舞臺SSIILL33安全標(biāo)準(zhǔn)

文/[盧森堡]吉恩-馬利·舒爾茨，[德]奧利弗·布呂克

（瓦格納比羅盧森堡舞臺系統(tǒng)股份公司）

1 舞臺設(shè)備風(fēng)險評估、降低風(fēng)險及舞臺設(shè)備標(biāo)準(zhǔn)簡介

1.1 舞臺機(jī)械設(shè)備安全

在過去的幾年中，大型舞臺升降機(jī)和自動飛行系統(tǒng)已經(jīng)成為劇院和其他藝術(shù)表演場館的“標(biāo)準(zhǔn)”配置。雖然這種設(shè)備能夠在演出中實現(xiàn)快速的場景變換并制造出震撼的視覺效果，但這些設(shè)備和許多其他工業(yè)企業(yè)的設(shè)備一樣，可能以種種方式造成人身傷害。例如設(shè)備意外運行造成的淤青或肢體損傷，或因吊桿故障導(dǎo)致天花板滑落致使演員嚴(yán)重受傷。這損害的不僅僅是個人的人身安全，對整個公司也是生死攸關(guān)的大事。

但不同于工廠里機(jī)械設(shè)備的安全防護(hù)，演出不便設(shè)置柵欄把技術(shù)人員與舞臺的危險區(qū)域隔離開，或者設(shè)置光電柵欄，當(dāng)演員或合唱團(tuán)靠近運行的升降臺時停止其運行，這都會脫離舞臺功能和設(shè)置舞臺設(shè)備的初衷。但這是否意味著舞臺上的人無法得到保護(hù)？當(dāng)然，事實并非如此。

許多標(biāo)準(zhǔn)的主要目的就是保護(hù)人們遠(yuǎn)離設(shè)備的傷害（如歐洲機(jī)械指令2006/42/EC）。這些標(biāo)準(zhǔn)規(guī)定了一個流程，來識別風(fēng)險并尋找措施將風(fēng)險降低至可以接受的水平。

在一個理想狀態(tài)下，一旦風(fēng)險確定，人們當(dāng)然就想完全消除所有風(fēng)險。然而，因此帶來的成本也會隨著風(fēng)險的降低而成倍增加。在某些應(yīng)用中，風(fēng)險甚至是由用途衍生而來的，并不能完全消除。所以，在可容許的范圍內(nèi)，由生產(chǎn)商、運營商以及舞臺機(jī)械設(shè)備使用者帶來的殘余風(fēng)險時常存在。而這些風(fēng)險應(yīng)該是眾所周知且可預(yù)估的。

1.2 風(fēng)險評估

歐洲機(jī)械指令定義的風(fēng)險評估過程，應(yīng)該能夠幫助識別機(jī)械設(shè)備引起的風(fēng)險。但讀者可能聽說過，這個標(biāo)準(zhǔn)明確地把演出中用于演員或藝術(shù)家升降的設(shè)備排除在外。簡單地解釋這個現(xiàn)象：標(biāo)準(zhǔn)里規(guī)定的保護(hù)人員安全的措施，常常要求在人們周圍及運動部件上方或下方設(shè)置圍墻、柵欄，但這根本就不適用于舞臺機(jī)械。于是，舞臺機(jī)械設(shè)備現(xiàn)代化標(biāo)準(zhǔn)應(yīng)運而生（如德國《DIN 56950-1:2012》或歐洲《CWA 15902-1:2008》）。它們依照之前標(biāo)準(zhǔn)的風(fēng)險評估過程，對特殊的舞臺機(jī)械設(shè)備應(yīng)用制定了相應(yīng)的措施，以降低風(fēng)險。

這些標(biāo)準(zhǔn)都需要風(fēng)險評估過程，正如國際標(biāo)準(zhǔn)《EN ISO12100 機(jī)械安全——設(shè)計的一般原則——風(fēng)險評估和風(fēng)險降低》中所描述的。

在使用機(jī)械設(shè)備的范圍內(nèi)，人們能想象到的所有危險都有風(fēng)險。例如，典型的飛行系統(tǒng)的隱患是墜落物體。對每次危險，都可以預(yù)見潛在的后果。墜落的物體會產(chǎn)生沖擊力。如果此時某個人在舞臺上被擊中，事故的嚴(yán)重后果可能是裂傷，可能是肢體骨折，甚至可能導(dǎo)致死亡。而評估風(fēng)險，不僅需要識別危險后果的嚴(yán)重性，也需要考慮風(fēng)險發(fā)生的可能性，以及人們在舞臺上出現(xiàn)的頻率、時間和被墜落物體砸傷的概率？現(xiàn)實中物體是否經(jīng)常墜落？是不是可以采取措施，避免或限制造成的傷害？

在以往的案例中，最嚴(yán)重的是一個或幾個人死于物體墜落。劇場中白天有人長時間在舞臺上停留，他們可能是藝術(shù)家，可能是技術(shù)人員也可能是游客。大多數(shù)人都不會戴上安全帽保護(hù)自己。所以墜落物體所造成的風(fēng)險只會根據(jù)大型物體墜落的概率而上升或下降。因此，在舞臺機(jī)械應(yīng)用中，需要判斷大型物件從飛行板上墜落的概率。

完成風(fēng)險評估后，還必須對設(shè)備進(jìn)行特殊風(fēng)險的評估：在其他任何情況下，設(shè)備導(dǎo)致的風(fēng)險會不會高于可接受的水平？假如設(shè)備設(shè)計負(fù)載是500 kg，若換做1000 kg負(fù)載且進(jìn)行急停，會不會發(fā)生斷裂？如果答案是肯定的，則必須著眼于如何降低風(fēng)險，完成后再次從頭進(jìn)行評估。

1.3 降低風(fēng)險

前文提及的標(biāo)準(zhǔn)定義了在降低風(fēng)險方面可接受的措施層級：

1. 只要有可能，都需通過本質(zhì)安全的設(shè)計方法消除危害或降低風(fēng)險。例如對于剪切邊的防護(hù)設(shè)計、安全系數(shù)大于10的鋼絲繩的設(shè)計，或者對于增加400 h壽命及2倍特性負(fù)載的減速箱轉(zhuǎn)矩的設(shè)計。這些方法能永久消除危害，或降低風(fēng)險。

所以，設(shè)計提升500 kg負(fù)載的卷揚機(jī)時，可以按1000 kg提升量的設(shè)計來降低之前能識別的風(fēng)險。但由于經(jīng)濟(jì)的原因，設(shè)計者不會這么做。此外也有技術(shù)的原因：可以設(shè)想一下，當(dāng)以1000 Kg的載荷取代500 Kg來設(shè)計每個吊桿時，建筑的結(jié)構(gòu)設(shè)計需要如何改變？

2. 如果并不具備本質(zhì)安全的設(shè)計方法或不能完全使風(fēng)險降至可接受的水平，則需引進(jìn)技術(shù)保護(hù)裝置或能達(dá)到保護(hù)效果的解決方案來進(jìn)一步降低風(fēng)險。通常是在控制系統(tǒng)中引入安全功能。

在瓦格納比羅盧森堡舞臺系統(tǒng)股份公司（以下簡稱“瓦格納”）的一些范例中，安裝了一個壓力傳感器，以永久監(jiān)測負(fù)載，判斷設(shè)備提升負(fù)載的安全性?！巴吒窦{”將超載檢測作為一項安全功能。最常見的安全功能是限位開關(guān)，能在行程范圍內(nèi)及緊急狀況下停止設(shè)備的運行，從而提供一個易于使用及可靠的整體安全方法。然而，這些解決方案都不能徹底消除危險，只能在技術(shù)解決方案正常工作的前提下，降低危險發(fā)生的可能性。那么，這些安全功能的可靠性需要有多高呢？

3. 如果沒有設(shè)計本質(zhì)安全的措施，也不提供技術(shù)解決方案或經(jīng)濟(jì)途徑來降低風(fēng)險，則不得不簡單地給設(shè)備使用者和操作者提供殘余風(fēng)險的信息，包括放置警示標(biāo)志或詳細(xì)的使用說明（只允許訓(xùn)練有素的工作人員使用設(shè)備）。當(dāng)然，這種降低風(fēng)險的方式是最脆弱的，僅在沒有任何其他方法時使用。

1.4 安全功能和SIL 3標(biāo)準(zhǔn)

前文曾提及，安全功能是由控制系統(tǒng)實現(xiàn)的降低風(fēng)險的方法。例如德國舞臺設(shè)備行業(yè)安全標(biāo)準(zhǔn)（《DIN 56950-1:2012》）對起重承載設(shè)備中控制系統(tǒng)的安全功能進(jìn)行了如下的規(guī)定：

☆ 安全停車和緊急停車；

☆ 安全運行啟動；

☆ 安全行程范圍；

☆ 松繩檢測、亂繩檢測、主軸螺母或齒條齒輪侵蝕的檢測；

☆ 超速檢測；

☆ 超載檢測、欠載檢測；

☆ 錯誤運行軌跡檢測；

☆ 同組設(shè)備不同步運行檢測；

☆ 目標(biāo)位置超行程檢測。

額外的安全功能將由最新的舞臺工程標(biāo)準(zhǔn)規(guī)定的危險及風(fēng)險評估產(chǎn)生。安全功能可以實施保護(hù)，防止車臺之間的相互碰撞，或墜入臺下升降臺基坑等情況。

由于控制系統(tǒng)必須負(fù)責(zé)執(zhí)行、實現(xiàn)這些安全功能，所以需要認(rèn)知和評估控制系統(tǒng)的可靠性，從而判斷這些措施是否能將風(fēng)險控制在可接受的水平。

依據(jù)《IEC/EN 61508》和衍生標(biāo)準(zhǔn)《IEC/EN 62061》，安全功能質(zhì)量和可靠性的評級由安全完整性等級（SIL）表示。

上圖顯示了必須達(dá)到哪一個SIL等級才能降低風(fēng)險至可接受的水平。在大多數(shù)舞臺自動化領(lǐng)域的風(fēng)險中，最嚴(yán)重的后果是嚴(yán)重傷害或死亡（CB）。人們經(jīng)常在運動負(fù)載下的危險區(qū)（FB）活動，避免危險（PB）幾乎是不可能的。與大多數(shù)其他工業(yè)應(yīng)用（W3）領(lǐng)域相似，舞臺自動化對安全功能的需求率很高。從損壞的卷揚機(jī)上墜落的負(fù)載可能致人嚴(yán)重受傷或者死亡。在前述案例中，要求至少每年進(jìn)行一次超載檢測。

不同的標(biāo)準(zhǔn)可能會使用不同的風(fēng)險圖，但所有標(biāo)準(zhǔn)最后得到的都是同樣的結(jié)論：許多舞臺自動化的安全功能（尤其是提升震撼效果的整個布景），需要依據(jù)SIL3標(biāo)準(zhǔn)實施。

根據(jù)SIL3標(biāo)準(zhǔn)實施的安全功能，在高要求或持續(xù)性的需求環(huán)境下，失效不能高于每小時7次～10次，即安全功能的失效次數(shù)在1140年的操作中不能高于一次。雖然這個數(shù)字聽起來好像概率非常低，但對一個具有250個軸的大項目來說，假設(shè)每天平均使用率是50%，那么要求的安全標(biāo)準(zhǔn)是平均每臺設(shè)備每10年的失效次數(shù)不能高于一次。

1.5 SIL3安全標(biāo)準(zhǔn)的實施

SIL的每一個安全等級須對每個單獨的安全功能進(jìn)行設(shè)計和計算，并不能簡單地根據(jù)某些組成部分的認(rèn)證就宣稱達(dá)到標(biāo)準(zhǔn)。

安全功能設(shè)計的第一個步驟是安全結(jié)構(gòu)的設(shè)計。所有的輸入、邏輯和輸出元件必須首先進(jìn)行識別和評估。評估由以下兩項完成：

☆ 機(jī)電元件的B10D值（危險失效率），例如接觸器、繼電器和開關(guān)等；

☆ 復(fù)雜電氣或電子設(shè)備（包括驅(qū)動設(shè)備、PLC元件或軸控制器）的MTTFd（平均危險故障間隔時間）或PFHD（每小時危險失效概率）。

最后，達(dá)到安全等級至關(guān)重要的一環(huán)是設(shè)計實現(xiàn)安全功能的組件布局。只有使用了雙通道結(jié)合復(fù)雜（基于電子或計算機(jī)）系統(tǒng)的安全設(shè)計，才能達(dá)到SIL3等級的安全功能。因為在SIL3實現(xiàn)的安全架構(gòu)中，單個組件失效不會導(dǎo)致安全功能不達(dá)要求。如果非危險或檢測到的危險故障安全功能（SFF）的總百分比低于99%，硬件容錯率為1%。

安全功能所得結(jié)果的PFH值由每個單獨通道的PFH值計算而得。常見原因故障率（CCF）將被用到這個結(jié)果中。CCF評估兩個通道同時使用相同組件時，系統(tǒng)誤差引起的失效概率。

2 SIL標(biāo)準(zhǔn)和PL標(biāo)準(zhǔn)的比較

目前，在工業(yè)機(jī)械設(shè)備領(lǐng)域有兩個涉及功能安全的標(biāo)準(zhǔn)符合《歐洲機(jī)械指令2006/42/EC》：

（1）《IEC / EN 62061》標(biāo)準(zhǔn)源自通用標(biāo)準(zhǔn)《IEC / EN 61508》的工業(yè)機(jī)械特殊應(yīng)用標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)只對電氣系統(tǒng)進(jìn)行了描述。

（2）《EN ISO 13849-1》標(biāo)準(zhǔn)是從EN ISO954-1的前身發(fā)展而來的工業(yè)機(jī)械特殊應(yīng)用標(biāo)準(zhǔn)，引入了危害和風(fēng)險評估的概念。其中引入了危害和風(fēng)險評估的概念。描述了電氣、氣動、液壓和機(jī)械系統(tǒng)。

這兩種標(biāo)準(zhǔn)雖然都遵循了同樣的風(fēng)險評估和風(fēng)險消減理念，但二者提供了不同的方法，并使用不同的術(shù)語來描述安全水平?！禝EC/ EN 62061》標(biāo)準(zhǔn)把安全完整性等級定義為SIL1～SIL3，類似于其母標(biāo)準(zhǔn)《IEC / EN61508》（盡管它采用了略有不同的風(fēng)險圖）。SIL4沒有定義在其中，因為大量致人死亡的災(zāi)難性事故極不可能出現(xiàn)在工業(yè)機(jī)械中。SIL4用于如《IEC61511》加工業(yè)標(biāo)準(zhǔn)衍生的特定應(yīng)用中。

《EN ISO 13849-1》標(biāo)準(zhǔn)定義的風(fēng)險圖

《EN ISO 13849-1》標(biāo)準(zhǔn)則定義了五種性能水平PLa ～PLe，如上圖所示。

隨著國家對節(jié)能工作的越來越重視，隨著電氣設(shè)備生產(chǎn)技術(shù)的改進(jìn)和節(jié)能減排意識的提高，電氣工程的節(jié)能工作有了一定的成效。為了使電氣工程進(jìn)一步提高節(jié)能的效果，以適應(yīng)社會需要，滿足國家可持續(xù)發(fā)展的要求，應(yīng)該加大節(jié)能力度，將節(jié)能的理念貫穿于整個用電過程。從生產(chǎn)到管理，從輸送到使用，都應(yīng)該以節(jié)能為目的，為合理利用資源做貢獻(xiàn)。

PL級別和SIL的級別是不同的，但可以在故障概率的基礎(chǔ)上進(jìn)行比較。對于舞臺機(jī)械設(shè)備安全功能典型的性能級別來說，SIL3與高級別的PLd或PLe的水平相當(dāng)。

在功能安全性要求下研發(fā)電子解決方案時，這兩個標(biāo)準(zhǔn)將會產(chǎn)生相似的方案以及故障概率數(shù)據(jù)。

即便不具備更深的知識，讀者也會發(fā)現(xiàn)《EN ISO 13849-1》標(biāo)準(zhǔn)的附錄中包含大量的實例和規(guī)則，可以據(jù)此進(jìn)行安全功能的設(shè)計和組件的評級，這非常有用。因此，相比源自《IEC EN 62061》的SIL標(biāo)準(zhǔn)，使用PL標(biāo)準(zhǔn)可能更具吸引力。但《EN ISO 13849-1》標(biāo)準(zhǔn)不能覆蓋舞臺機(jī)械行業(yè)所有必須的安全功能。錯誤軌跡的檢測、用戶定義的組內(nèi)設(shè)備的不同步運行、軟件設(shè)置的目標(biāo)位置的超行程檢測等，只能通過可編程的電子設(shè)備實現(xiàn)。因此，這是一個非常復(fù)雜的系統(tǒng)。通過使用電子元件或可編程組件及子系統(tǒng)，《IEC / EN 62061》標(biāo)準(zhǔn)可以設(shè)計和評估復(fù)雜、非常規(guī)的安全功能解決方案。但《EN ISO 13849-1》標(biāo)準(zhǔn)僅通過使用簡單的元器件（如安全繼電器、機(jī)電傳感器和執(zhí)行器）對安全功能的設(shè)計和評估進(jìn)行規(guī)定。因此，還不得不使用《IEC / EN 62061》標(biāo)準(zhǔn)作額外的工作。

在安全體系中，這兩種標(biāo)準(zhǔn)都不能用于定義和評估復(fù)雜的子系統(tǒng)，例如安全性PLC或安全性軸控制器這樣復(fù)雜（邏輯）的子系統(tǒng)。這些系統(tǒng)必須直接依據(jù)《IEC / EN 61508》標(biāo)準(zhǔn)第1～7部分進(jìn)行開發(fā)和認(rèn)證。此通用標(biāo)準(zhǔn)在工程和流程文檔、電氣和電子設(shè)計、軟件開發(fā)、模塊和集成測試，以及整個產(chǎn)品的壽命中采取嚴(yán)格的規(guī)則要求。

3 對舞臺機(jī)械安全性和SIL3安全標(biāo)準(zhǔn)的常見誤解

許多舞臺機(jī)械設(shè)備的規(guī)格文件需要SIL3標(biāo)準(zhǔn)認(rèn)證的控制系統(tǒng)。但很多術(shù)語的使用是不恰當(dāng)?shù)模瑫?dǎo)致對安全性和SIL3的曲解：

（1）不是使用了雙觸點的蘑菇型紅色急停按鈕，該控制系統(tǒng)就達(dá)到了SIL3標(biāo)準(zhǔn)。這些被稱作“急?！钡陌粹o對實現(xiàn)符合SIL3的安全功能是一個良好的起點，但只有E-STOP系統(tǒng)中的邏輯元件和執(zhí)行元件在終端至終端的雙通道安全設(shè)計中實施，才能達(dá)到SIL3標(biāo)準(zhǔn)。

（2）并不是將標(biāo)準(zhǔn)的開關(guān)裝置組件替換成黃色編碼的安全性裝置組件，該系統(tǒng)就達(dá)到了SIL3標(biāo)準(zhǔn)。這些元件通常提供內(nèi)部功能實現(xiàn)必要的診斷覆蓋率，但仍然需要用它們設(shè)計、實施合適的安全架構(gòu)。

（3）并不是在系統(tǒng)中雙倍設(shè)置某些元件，并稱之為冗余，該系統(tǒng)就達(dá)到了SIL3標(biāo)準(zhǔn)。雙通道設(shè)計使系統(tǒng)對單個故障的魯棒性達(dá)到很高的水平，但如果以錯誤的方式實現(xiàn)，一個通道的問題仍可能導(dǎo)致整個實施過程失敗。第二個通道甚至也可能在安全功能的要求下，增加危險故障的概率。

（4）并不是系統(tǒng)只實現(xiàn)了SIL3要求的安全功能的一個子集（比如急停、過載檢測、行程限制），該系統(tǒng)就達(dá)到了SIL3標(biāo)準(zhǔn)。

如果舞臺控制系統(tǒng)在危害和風(fēng)險評估中得到鑒定，在所有需要SIL3的領(lǐng)域，該系統(tǒng)能將所有安全功能實施至一個適當(dāng)?shù)乃?，該系統(tǒng)才能達(dá)到SIL3等級。

4 基于安全標(biāo)準(zhǔn)，軸控制器AXIO-II與PLC系統(tǒng)的比較

使用基于傳統(tǒng)PLC系統(tǒng)的舞臺機(jī)械控制系統(tǒng)，無法在合理的安全水平實現(xiàn)安全功能。標(biāo)準(zhǔn)的PLC系統(tǒng)并不能提供《IEC/EN 61508》標(biāo)準(zhǔn)中規(guī)定和要求的所有內(nèi)部措施（這些措施用于確保足夠低的危險故障率）。措施包括：內(nèi)部電壓和溫度的永久性安全監(jiān)控、持續(xù)性自測、防止EMP和自發(fā)的些許問題的內(nèi)存保護(hù)、輸入和輸出狀態(tài)和水平的交叉檢查、嚴(yán)格的軟件調(diào)度規(guī)則、代碼覆蓋、編程語言、開發(fā)工具等等。而且，即便使用外部機(jī)電元件來設(shè)計本地安全功能，標(biāo)準(zhǔn)的PLC系統(tǒng)同樣無法實現(xiàn)影響吊機(jī)動態(tài)組或軟件限制的安全功能。

設(shè)計時必須添加輔助PLC來實現(xiàn)安全功能。這種輔助PLC應(yīng)該是一個認(rèn)證的安全性PLC，允許SIL3安全功能的實施。在多數(shù)設(shè)計中，安全性PLC僅能確定安全狀態(tài)（停止、斷電）是否能被設(shè)置，與PLC系統(tǒng)通常沒有復(fù)雜的相互作用。此外，安全性PLC的功能仍然十分有限。對于一個超過100個軸的大型舞臺，將不得不實施基于若干個安全性PLC的、極為復(fù)雜和難于控制的分層設(shè)計。

實施許多基于PLC的單軸和組安全功能，將造成某個子系統(tǒng)停止運行，甚至在某個故障的檢測中造成整個系統(tǒng)停止運行。這種情況下，可用性和靈活性的安全沖突往往是藝術(shù)創(chuàng)造者所不能接受的。

“瓦格納”的AXIO-II軸控制器，是專門針對于舞臺機(jī)械控制系統(tǒng)的應(yīng)用而研發(fā)的。AXIO-II軸控制器基于雙通道安全性硬件，不僅集成了標(biāo)準(zhǔn)PLC的所有軸控功能，而且能實施《IEC/ EN61508》標(biāo)準(zhǔn)認(rèn)證的、所有與舞臺機(jī)械相關(guān)的安全功能。AXIO-II軸控制器的軟硬件不僅能實現(xiàn)受控軸的本地安全功能，還能在超過200個軸的大系統(tǒng)中實現(xiàn)動態(tài)設(shè)備組的安全性。安全軸控制器是從零開始的研發(fā)，而不是在標(biāo)準(zhǔn)PLC系統(tǒng)增加額外的安全功能，即使在最復(fù)雜的情況下也能實現(xiàn)全部的安全功能（比如方向和速度敏感的安全限制，要優(yōu)于簡單的停止），從而在安全性要求非常高的情況下，能夠提供最大限度的可用性和靈活性。

AXIO-II軸控制器示意圖

對每個軸而言，可獨立熱插拔和自配置的設(shè)備，令整個系統(tǒng)的設(shè)計更加簡單，使舞臺控制系統(tǒng)更加穩(wěn)定、易于維護(hù)。