起重机械远程控制技术的安全性研究

刘武胜 刘 浩 袁旭潞

北京起重运输机械设计研究院有限公司 北京 100007

0 引言

工业起重机大多身处各种复杂、危险、恶劣的工业环境，操作人员为了看清作业环境并在视野可及的范围内完成起重作业流程，通常需要工作在随车安装的司机室内，由此决定了操作人员通常要处于高空、高温、多尘、噪声甚至是危险的恶劣环境下工作。每台起重机配备1个操作人员，在司机室内等候调度指挥安排，占据很多人力成本和时间成本。随着劳动力市场日趋紧张和控制技术的飞速进步，代替操作人员现场操作的远程控制、自动控制等模式受到各方的青睐，特别是在一些恶劣、危险的环境中，即将成为起重机操作的主流模式。

目前，研究或应用的无人操作起重机（即无人天车）、全自动起重机、智能起重机等均需实现人机分离的远程控制，但现有技术大多注重控制技术的实现，如控制系统3层硬件架构、数据库建立、状态监控、用户管理等只替代了操作人员的人工操作，而未替代操作人员的五官感知、风险识别及依据经验的主观判断等，忽视了感知安全、环境安全、传输安全等因远程控制新增的风险。

针对上述问题，本文提供了起重机械远程控制条件下控制安全方面的思考与建议，供客户、生产单位、监管机构等相关需求单位和人员参考。

1 远程控制技术

操作人员通过远程控制室的操作台，根据视频监控传输的实时画面和音像，对异地起重机械的作业进行监视和控制，实现操作人员异地对起重机械完成手动操控、半自动操控或全自动操控等（包括对必需的过程信息的采集、处理、传输和显示、执行等功能）。远程控制主要用于不具备可达性或难以达到的、环境恶劣、危险性高或智能化车间等特殊操作场合，可降低人员风险，改善操作人员工作条件，降低操作人员劳动强度，延长操作人员职业生命，减少操作人员数量，节省人员成本，实现降本增效、以人为本的管理理念，提高起重机综合作业效率，提高起重机安全性和可靠性，提升企业自动化、智能化管理水平。

正如现场操作的操作人员凭借三观（视觉、听觉、触觉、嗅觉、味觉）感知设备空间位置及运行状态，远程控制的操作人员也应能通过监控装置感知远端的设备运行状态，如视频监控和设备运行状态监控，能代替操作人员的三观感知，使操作人员具备身临其境的设备状态感知，具备对设备进行远程监测，发现设备故障的能力，具备对故障类型、故障部位及原因进行判断的能力，具备给出解决方案，实现故障恢复的能力。

相对于随车就地控制，远程控制新增的关键环节有：1）人机分离，操作人员不在设备上，无法凭借三观设身处地地感知；2）操作装置远离设备本体，控制信号安全有效的传输；3）增加代替三观感知的安全防护措施是否全面和有效。

2 远程控制技术存在的问题

1）物理隔离及身份认证不足，人机互认不到位

在远程控制位置，因缺乏有效的权限许可和访问控制措施而导致的安全问题，特别是各种远程操作终端容易发生非特定人员的操作，在相关人员不知情或未授权的情况下，触碰操作装置发出远程控制指令并进行相关操作。

2）控制信号远程传输的安全性、可靠性不足

通讯传输时延过大，断网甚至系统死机、崩溃。

3）替代随车控制的状态感知能力不全面，风险防护措施不充分

近年来，被企业自称无人化、智能化的起重机多次发生故障并引发事故。从这些起重机应用场景采用的各项技术以及事故案例表现看，在无人化、智能化技术的工程实践中，许多场合的所谓智能起重机只是实现了自动运行，基本无状态感知、隐患监测、故障诊断直至故障后引导起重机处于安全状态或位置的技术，距离替代人工控制的无人化、智能化尚存在较大差距。因为操作人员在工作中不仅操作起重机完成搬运过程，更多地是观察起重机及工作区域内各种情况，凭借三观感知和历史经验发现潜在的事故隐患，如啃轨或传动链损伤发出特别噪声、抓斗因漏油或销轴磨损造成的斗瓣开闭不到位、吊具偏斜、路径偏移、溜钩等隐患。

3 远程控制技术的设计原则

针对远程控制人机分离、控制信号远程传输、替代操作人员主观感知的3个关键环节，远程控制的设计需满足可靠性、实时性、分布性、系统性、安全性的设计原则，采用主动内生安全的设计思想，变被动打安全补丁为主动系统性安全设计，进行冗余设计、安全保护设计、信息安全保护设计和状态监控和故障诊断技术，采用永久的、自动的或其他安全保护装置，加强本质安全措施，使风险减小到可接受的水平，达到设备本质安全的特性。因此，设计时应考虑的因素有：

1）远程控制系统的设计应使远程控制能防止危险的产生，并符合远程控制系统能承受预期操作压力和外部影响；远程控制系统的硬件或软件故障不应导致危险状况；远程控制系统的逻辑错误不应导致危险状况；在预定使用条件和可合理预见的人为错误情况下，远程操作不会导致危险状况等设计原则。

2）远程控制是使用操纵台、移动终端、计算机等控制设备通过有线、无线或网络对远程起重机械的执行机构进行的远程操作，需要具备远程登录设备的能力、远程输入操作指令的能力和设备具有响应远程操作的能力。

3）远程控制系统应具备身份鉴别、口令安全、权限管理功能，对每个用户身份进行唯一标识，并分配相应的访问权限，授权操作人员访问控制系统并进行操作控制，防止其他非特定人员的操作。

4）远程控制系统应符合起重机械禁止意外启动。当控制系统参数的改变可能引发危险时，必须以可控的方式改变控制系统参数；当停机命令发出后，应无阻碍完成停机；保护装置应完全有效或给出停机命令；控制系统的安全部分必须与起重机械整体协调一致等要求。

5）控制装置应保证当动力源发生异常（偶然或人为切断或变化）时，不会造成危险。如果有多个控制位置，控制系统的设计必须是在使用其中一个控制位置时不能使用其他控制位置，但停机控制和急停除外。

6）对于远程正常停机，停机控制必须优先于启动控制。对于远程急停，为避免现有或即将发生的危险，起重机必须安装一个或多个急停装置；急停装置应是易于识别、清楚可见且迅速可及的控制装置，尽快停止危险过程而不产生其他附加危险。不论何种操作模式下，远程急停功能在任何时候必须是有效、可操作的。远程急停装置应是其他远程控制安全防护措施的备用方案，且不是唯一方案。

7）对于远程控制模式的选择，所选控制模式应设计为必须优先于急停之外的其他所有控制或操作；对于远程与就地随车控制的选择或手动与自动模式的选择，应通过设计和制造来确保其他对危险的保护措施起作用。

8）远程控制的起重机械应配备自动且能立即停止动作的装置，以预防下列情况下潜在的危险操作：操作人员失去对设备的控制；收到停机信号；系统中有关安全的部件检测到错误；规定时间内没有探测到确认信号。

9）当通过无线控制时，如未在规定时间内收到正确的控制信号或通讯意外中断，必须启动自动停机功能。

10）操作人员或自动控制系统无法感知或获得起重机的实际状态、位置等信息，如起重机不在操作人员视野可控范围内应启动自动停机功能。

4 远程控制技术的安全措施

起重机械远程控制系统主要包括现场数据采集/执行、现场控制与过程控制和作业管理等特征要素，涉及感知、传输、控制等3个阶段，主要由过程级、操作级和管理级组成。过程级包括被控对象、现场控制设备、测量仪表、监控装置等；操作级包括控制人员和操作人员站、人机界面和组态软件、控制服务器等；管理级包括作业管理系统和企业资源系统等。起重机械控制系统是可用性较高的等级保护对象，应对其实现安全保护、强化安全措施的原则：

1）安全措施不应对控制系统的基本功能产生不利影响，如用于基本功能的账户不应被锁定，甚至短暂的也不行；

2）任何安全措施的部署不能显著增加延迟而影响控制系统响应时间；

3）对于高可用性的起重机械远程控制系统，安全措施失效不应中断控制的基本功能。

为保证起重机械远程控制的安全和工作的有效性，应针对起重机械远程控制的环境、感知、传输、控制等关键环节采取相应的安全措施。

4.1 物理环境安全

1）远程操作台除具备现场操作台所有功能以外，还应具备视频监控、设备状态监控、位置监控等附加功能。远程操作台的激活应在远程操作台上指示出来，且不应引发任何起重机动作。若具备多个远程操作台，应采取措施确保在给定时间内，只有1个操作台起作用。采用电池供电的远程操作台的电压变化超过规定限值时，应向操作人员发出清晰的警示，且保持其功能直至起重机械脱离危险情况。

2）原随车操作人员室具有登机限位开关，确保非操作人员不能随意登车操作。远程操作多为共用控制中心，设置物理环境安全的目的是防止其他人员未经授权使用远程操作台访问、损坏或干扰设备。

3）控制设备自身应实现相应级别等级保护安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通过管理手段控制。也就是具备远程操作人员身份鉴别和认证，并进行权限管理。

4）在对工控机操作时,遵循相应的安全管理具体要求,操作人员使用统一分配的账号登录，严禁非授权账号登录。对接入系统的存储和计算设备要经过恶意代码的检查处理,相关密码策略应执行密码程序文件。

5）应采取相应措施确保远程控制指令只对预定的起重机起作用，只对预定的功能起作用，并防止起重机械对来自非预定操作台的信号作出响应。

4.2 控制信息传输安全

信息传输包括有线电缆、采用串联数据通信技术的有线光缆、无线遥控、无线网络等传输方式，多数针对传输安全的措施适用于后3种传输方式。起重机械远程控制作为工业控制系统，其构成的复杂性，组网的多样性，以及等级保护对象划分的灵活性，给无线传输的网络安全等级保护基本要求的使用带来了选择的需求。

无论控制信息采用何种传输方式，首要目标是保护控制系统传输数据的完整性、保密性和及时性，维护控制系统内部以及与外部网络之间信息的可靠、保密、快捷的安全传输。有线控制、无线遥控具有更强的安全性，但因其移动设备部署问题或传输通道限制，远程控制的信息传输更多采用无线网控。

1）涉及实时控制和数据传输的起重机械远程控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。

2）应对所有参与无线控制通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别；应对所有参与无线控制通信的用户进行授权以及执行使用进行限制，包括用户权限的分配、变更、注销和审核。应对所有远程操作的接入进行验证，验证次数达到阈值时应能终止远程操作。

3）安全通信网络应保证网络设备的业务处理能力满足业务高峰期需要，应保证网络各个部分的带宽满足业务高峰期需要，应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性。

4）安全区域边界保护应能对非授权设备私自联到内部网络的行为进行检查或限制，应能对内部用户非授权联到外部网络的行为进行检查或限制，应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。

5）应具备可靠的网络通讯功能，稳定传输控制、视频、语音等信号及监控数据。应具备数据安全校验和网络安全机制。

6）应将视频、语音信号与控制信号相互隔离，并设置优先级。通信时延不应对设备控制的实时性产生影响，根据目前的工业设备控制经验，建议通信时延不大于20 ms，控制响应时间不大于100 ms。当通讯信号传输中断或响应时间超过规定值，所有机构应停止自动运行或处于静止状态。

7）对于网络控制通信安全防护，应建立网络安全机制，确保通信数据的完整性和保密性，重要数据的通信网络链路应冗余配置，信息系统的安全等级保护应按照起重机的重要性及其风险程度进行测试评价。

8）数据访问安全针对内部系统交互及流转,设计采用内部数据交换协议,使用数字签名、关键数据加密等手段,保障协议数据的安全保密,防止协议数据的伪造、篡改、失泄密和重放攻击。数据访问权限由专门的系统安全维护人员进行统一管理。访问系统中使用多种认证方式,包括口令识别、指纹识别、USB-Key 识别等。所输入的信息是隐藏的,密码密钥等关键信息经过加密后进行存储,同时设置口令的错误次数以及超过规定错误次数的后果。

9）起重机械上的网络系统应具备时钟同步。

10）控制程序开发者宜参考程序安全和安全保障相关的建议，程序安全包括编码安全、通信安全、访问控制、日志记录与保护和数据保护与密码等方面的内容。安全保障包括环境安全、第三方SDK或组件安全、发布安全和个人信息安全等方面的内容。

11）重要场合的远程控制系统具备异构灾备功能，可在2个传输通道之间相互平滑切换，切换过程中业务无感知影响，可在关键信息基础设施数据网络受攻击中断的紧急情况下，提供异构灾备传输能力。

12）在应用于核电、冶炼、航天等领域时，应严格评估无线通信技术用于起重机械控制系统的安全性，在确保安全的前提下谨慎使用，且不应在控制系统中使用远程接入管理功能。

4.3 代替操作人员现场三观感知的防护装置安全

传统控制方式下随车移动的操作人员身处起重作业的空间中，自身感触起重机械的空间位置、与周边构筑物的抵近距离、视野所及的吊具姿态、行进通道内的畅达范围、作业区域内异物的干涉可能性、设备周边的异常噪声、异常气味等可能影响起重机械作业的环境因素均可通过操作人员自身察觉和经验判断化解起重机械运行中的风险。在远程控制情况下，应加装相应监测装置代替操作人员身临其境的三观感知，使起重机械功能安全可靠，管控策略有效，避免措施缺失、监控不全面等缺陷给起重机械正常运行带来安全隐患。至少应采取以下措施：

1）视频监控系统可代替操作人员现场操作的视觉观察，一般由摄像、传输、控制、显示、记录等装置组成，利用视频探测技术监控起重机械的关键部位及周边环境状况，实时显示、记录现场图像。通常需配备视频图像质量符合标准要求、图像传递时延满足远程操作观察需求的高清摄像机，并具有抗震、耐高低温、耐盐雾、抗电磁干扰、防护等级高甚至镜头自加热功能，以适应起重机械各种工作环境，保证其全天候、高质量运行。

为使操作人员掌握吊具作业和整台起重机械工作情况，一般需在该设备的小车上、端梁上、作业区域的端部甚至吊具上加装定焦、自动变焦视频摄像头。视频监控内容包括吊具全局、大车运行方向、小车运行方向、作业目标位置等，其中起升机构主画面摄像头需具备自动变焦功能，保证操作人员能从远程操作位置查看到必要的起重、搬运全场景。

视频部分负责将原现场操作室座舱视角及周边环境实时传输至远程操作终端；控制部分完成设备本地控制系统和远程控制系统之间的数据交互，并融合必要的安全策略。从设备运行可靠性和安全性考虑，当视频监控系统出现故障时，主机必须可靠停车。远程操控系统必须具备高精度空间感知、低时延实时视频图像传输、数据传输高效可靠通信等功能。

视频监控中涉及的视频图像传输时延值应小于预设的规定值。当视频信号中断或传输响应时间超过规定值，所有机构应停止自动运行或保持静止状态。

视频监控还需帮助操作人员观察作业区域人员、车辆等异物的闯入。当然，如加装红外感知或视觉识别以及作业区域封闭等措施对远程控制的区域安全更有保障作用。

2）定位系统作为起重机械空间位置的感知系统，代替操作人员现场操作的空间环境感觉，应具备高安全性设计，提供对起重机械自身位置和周围环境的准确理解，确保定位系统发生故障时，不会导致起重机位置安全功能的丧失。

为了充分保证空间位置正确性，应设置2套不同原理或不同类型器件的、独立的、可互为校验的位置检测装置，定位误差应小于规定值。定位校验系统应具备以下功能：独立于定位系统、同一故障不应导致定位和校验功能同时失效、自动校验的结果应同步上传至远程控制系统并以差值进行显示、当定位差值的绝对值大于偏差最大允许值时该系统应有报警输出并控制对应机构停止自动运行。

3）对于防撞保护与异物避障，可代替远程操作人员身临其境的视觉和空间感受，避免起重机与周边设备或环境发生碰撞。防撞保护是指通过自动检测载荷运行方向通道上的障碍物的距离，防止发生碰撞的保护系统。应具备2套独立的大车防碰撞检测系统，并两者互为补充；大车防撞保护系统应采用冗余设置。异物避障是指起升、小车、大车机构单独或2个机构联动运行时，有效防止吊具或负载与运行区域内的障碍物发生碰撞的保护系统，具有路径规划作用。

4）对于状态监测及故障诊断，可代替操作人员的主动观察和历史经验判断起重机械的状态风险。起重机械满足远程控制可靠性、可用性、可维修性、安全性需求的方法是基于采用预防措施，使其在起重作业时由错误引起的损伤概率最小。预防措施组合包括预防和防护，前者降低损伤发生的概率，后者降低损伤后果的严重性。

应采取相应措施代替操作人员现场操作的感知行为，对起重机异常状态及时做出报警，直至故障判断。所有现场操作可合理感知预见的风险、故障应被监测到，监测出的风险应及时通知远程操作人员，监测出的故障在解决之前，起重机械应保持安全状态。

5）对于远程急停，不论何种操作模式下，急停功能在任何时候必须是有效的和可操作的。急停装置应该是其他安全防护措施的备用方案，且不是唯一方案。

急停功能分为主动急停和被动急停。远程无线控制模式下，主动急停是指操作人员通过发射器发出急停指令，能关闭接收器所有的输出信号。主动急停功能对停止指令的响应时间不超过规定值。被动急停是指当接收器在一定时间内检测不到正常信号或接收器出现故障时，能关闭接收器所有的输出信号。被动急停功能对停止指令的响应时间不超过规定值，被动急停的触发时间不应超规定值。

远程控制还应考虑被吊物品识别、散状物料料位监测、自动摘挂载荷、自动抓取货物、吊具姿态监控以及掉线检测、网络通断、延迟判断等功能，协助远程操作人员判断作业需求和作业目标。

5 结语

远程控制作为起重机械实时监测与控制的工业控制系统，其安全稳定经济运行直接影响起重作业及生产过程的安全，甚至关乎国家安全和社会稳定，必须从安全防护技术、应急处置措施、安全管理等3个维度融合支撑，动态关联，从起重机的规划设计、研究开发、制造生产、安装调试、运行管理及升级改造等全方位、全过程进行管控风险和保障安全，并融入企业安全生产管理体系。