港口機(jī)械控制系統(tǒng)安全性能評(píng)估與應(yīng)用

顧明觀

上海振華重工(集團(tuán))股份有限公司

1 引言

隨著港口機(jī)械向自動(dòng)化、智能化方向發(fā)展，其控制系統(tǒng)愈發(fā)復(fù)雜，設(shè)備的安全風(fēng)險(xiǎn)也隨之增大，無(wú)論是設(shè)計(jì)、調(diào)試還是操作環(huán)節(jié)中的失誤，都可能導(dǎo)致系統(tǒng)失效，進(jìn)而引發(fā)安全事故。采用具備安全功能的控制系統(tǒng)，是降低安全風(fēng)險(xiǎn)的有效方法。因此，對(duì)控制系統(tǒng)的安全性能進(jìn)行科學(xué)評(píng)估，是提高港口機(jī)械設(shè)備安全性的重要保證。

2 機(jī)械安全標(biāo)準(zhǔn)及主要安全功能

2.1 機(jī)械安全標(biāo)準(zhǔn)

ISO 13849和IEC 62061都是應(yīng)用于機(jī)械行業(yè)的功能安全評(píng)估標(biāo)準(zhǔn)，對(duì)控制系統(tǒng)安全相關(guān)部件的設(shè)計(jì)提出了要求。在設(shè)計(jì)機(jī)械設(shè)備的控制系統(tǒng)時(shí)，采用其中任何一個(gè)標(biāo)準(zhǔn)都可認(rèn)為滿(mǎn)足了基本安全要求。兩者的區(qū)別在于，IEC 62061沿用IEC(國(guó)際電工委員會(huì))頒布的功能安全標(biāo)準(zhǔn)IEC 61508中定義的安全完整性等級(jí)(SIL)的概念，而ISO 13849源自歐洲標(biāo)準(zhǔn)EN 954-1，并吸收了IEC 61508系列的部分概念，側(cè)重于分析控制回路的結(jié)構(gòu)特征，再結(jié)合平均危險(xiǎn)失效間隔時(shí)間等3個(gè)量化參數(shù)，來(lái)評(píng)估回路是否達(dá)到期望的性能等級(jí)(PL)[1]。以下基于應(yīng)用范圍更為廣泛的ISO 13849，論述控制系統(tǒng)安全性能等級(jí)的評(píng)估方法和過(guò)程。

2.2 主要安全功能

為了保證機(jī)器的安全性，在開(kāi)發(fā)和設(shè)計(jì)機(jī)械設(shè)備的過(guò)程中必須考慮減小風(fēng)險(xiǎn)，可通過(guò)各種保護(hù)措施來(lái)實(shí)現(xiàn)，最終達(dá)到安全狀態(tài)。這些措施既可以是控制系統(tǒng)提供的安全功能，也可以是其他保護(hù)措施(如機(jī)械措施)。在港口機(jī)械上，控制系統(tǒng)的安全功能通常包括：超行程保護(hù)、限制區(qū)域保護(hù)、碰撞保護(hù)、超速保護(hù)、過(guò)載保護(hù)、超力矩保護(hù)、被困人員的救援聯(lián)鎖保護(hù)、防止意外啟動(dòng)、手動(dòng)復(fù)位、緊急停止等[2]。

3 控制系統(tǒng)安全性能等級(jí)的評(píng)估方法

對(duì)控制系統(tǒng)進(jìn)行安全性能評(píng)估就是識(shí)別由控制系統(tǒng)安全相關(guān)部件所執(zhí)行的安全功能，確定其所能達(dá)到的性能等級(jí)，并驗(yàn)證其性能等級(jí)是否滿(mǎn)足安全需求的過(guò)程。

3.1 所需性能等級(jí)(PLr)的確定

對(duì)于由控制系統(tǒng)的安全相關(guān)部件執(zhí)行的每項(xiàng)安全功能，ISO 13849提供了一種風(fēng)險(xiǎn)圖解方法(見(jiàn)圖1)，按照下列3個(gè)風(fēng)險(xiǎn)參數(shù)確定所要求的性能等級(jí)(PLr):傷害的嚴(yán)重程度(S)，暴露于危險(xiǎn)的頻率或時(shí)間(F)，以及避免危險(xiǎn)或限制傷害的可能性(P)。

圖1 風(fēng)險(xiǎn)圖解法

3.2 安全相關(guān)部件的識(shí)別

為了計(jì)算安全功能的失效概率，需要精確識(shí)別電氣原理圖中的安全功能相關(guān)部件，包括失效可能影響功能通道中安全功能執(zhí)行的所有部件(冗余結(jié)構(gòu)具有兩個(gè)功能通道)，以及負(fù)責(zé)檢測(cè)此類(lèi)危險(xiǎn)失效并實(shí)現(xiàn)安全狀態(tài)的所有測(cè)試器件。

3.3 控制系統(tǒng)的結(jié)構(gòu)類(lèi)別

類(lèi)別(Category)，是控制系統(tǒng)在防止故障能力以及故障條件下后續(xù)行為方面的分類(lèi)，分為類(lèi)別B、類(lèi)別1、類(lèi)別2、類(lèi)別3和類(lèi)別4，共5類(lèi)。它是決定控制系統(tǒng)安全性能等級(jí)的重要因素之一。

在此過(guò)程中，通過(guò)冗余、測(cè)試以及是否使用經(jīng)驗(yàn)證的部件等特性，確定控制系統(tǒng)的結(jié)構(gòu)類(lèi)別。類(lèi)別B是基本類(lèi)別，所有其他類(lèi)別都必須滿(mǎn)足類(lèi)別B的要求。類(lèi)別1主要通過(guò)選擇和使用合適的元件來(lái)改進(jìn)耐受故障的能力，發(fā)生1個(gè)故障就可使安全功能無(wú)效。類(lèi)別2、類(lèi)別3和類(lèi)別4這3種類(lèi)別主要通過(guò)結(jié)構(gòu)措施實(shí)現(xiàn)更好的安全功能表現(xiàn)。其中，類(lèi)別2是通過(guò)定期檢查正在執(zhí)行的指定安全功能來(lái)實(shí)現(xiàn)；類(lèi)別3和類(lèi)別4采用雙通道的冗余措施，保證單一故障情況下，安全控制系統(tǒng)依然可以通過(guò)執(zhí)行安全功能來(lái)實(shí)現(xiàn)。

3.4 平均危險(xiǎn)失效時(shí)間(MTTFD)的估算

平均危險(xiǎn)失效間隔時(shí)間(MTTFD)，是指預(yù)期的發(fā)生危險(xiǎn)失效的平均時(shí)間。理論上，每個(gè)元件、模塊、通道及控制系統(tǒng)作為一個(gè)整體都具有一個(gè)MTTFD值。單個(gè)元件的MTTFD值優(yōu)先采用制造商的數(shù)據(jù)，不可得時(shí)則可以使用標(biāo)準(zhǔn)中附錄C的方法進(jìn)行計(jì)算或評(píng)估；各通道的MTTFD值可以使用標(biāo)準(zhǔn)中附錄D中的“部件計(jì)數(shù)法”進(jìn)行簡(jiǎn)化估算。

每個(gè)通道的MTTFD值劃分為高(30～100年)、中(10～30年)和低(3～10年)3個(gè)等級(jí)，最大值一般為100年(對(duì)于類(lèi)別4的控制系統(tǒng)，最大值增加至2 500年)。

3.5 診斷覆蓋率(DCavg)的估算

診斷覆蓋率(DC)，是可診斷危險(xiǎn)失效的失效率與所有危險(xiǎn)失效的失效率之間的比值，它是衡量診斷有效性的指標(biāo)。根據(jù)診斷覆蓋率范圍，劃分為高(99%以上)、中(90%～99%)、低(60%～90%)和無(wú)(60%以下)4個(gè)等級(jí)。診斷覆蓋率是針對(duì)某一元件、模塊或者整個(gè)安全控制系統(tǒng)而言的。對(duì)于執(zhí)行安全功能的控制系統(tǒng)來(lái)說(shuō)，只有一個(gè)平均診斷覆蓋率DCavg。估計(jì)DC的簡(jiǎn)化方法參見(jiàn)標(biāo)準(zhǔn)中的附錄E。

3.6 共因失效(CCF)的估算

共因失效(CCF)，是指由單一事件引發(fā)的不同產(chǎn)品的失效，而且這些失效不能互為因果關(guān)系。除了類(lèi)別B和類(lèi)別1不具有冗余結(jié)構(gòu)的系統(tǒng)外，其他系統(tǒng)都必須采取防止CCF的措施。標(biāo)準(zhǔn)中的附錄F給出了防止CCF的措施，且每項(xiàng)措施對(duì)應(yīng)5～25不等的得分。對(duì)于列出的每種措施，要么得滿(mǎn)分，要么得零分，若部分滿(mǎn)足某種措施，該措施不能得分?；诖嗽瓌t計(jì)算出控制系統(tǒng)防止CCF的措施得分，足夠防止CCF的措施要求最低得分為65分。

3.7 性能等級(jí)(PL)的確定

性能等級(jí)(PL)，表示控制系統(tǒng)執(zhí)行安全功能的能力，分為5個(gè)等級(jí)，從最低PL=a到最高PL=e，各自對(duì)應(yīng)一個(gè)明確的平均每小時(shí)危險(xiǎn)失效概率(PFHD)范圍。

通過(guò)對(duì)前述MTTFD、DC、CCF和結(jié)構(gòu)類(lèi)別的估計(jì)，按照標(biāo)準(zhǔn)可確定控制系統(tǒng)中每個(gè)安全相關(guān)部件的性能等級(jí)(PL)。對(duì)于每種單獨(dú)的安全功能，控制系統(tǒng)的安全相關(guān)部件的性能等級(jí)(PL)必須不低于所要求的性能等級(jí)(PLr)。反之需要重新修改設(shè)計(jì)，直至滿(mǎn)足PL≥PLr。

4 控制系統(tǒng)安全性能等級(jí)評(píng)估方法的應(yīng)用

以可移動(dòng)式防護(hù)門(mén)為例，評(píng)估控制系統(tǒng)的安全性能等級(jí)。

4.1 確定所需性能等級(jí)

可移動(dòng)式防護(hù)門(mén)的安全功能是，一旦打開(kāi)防護(hù)門(mén)，將立即啟動(dòng)安全停止功能，達(dá)到防止人員在機(jī)械設(shè)備工作狀態(tài)下進(jìn)入危險(xiǎn)區(qū)域的目的。根據(jù)風(fēng)險(xiǎn)圖解法，確定風(fēng)險(xiǎn)參數(shù)S=S2，P=P1，F(xiàn)=F2，由圖1可得出所需性能等級(jí)PLr=d。

4.2 識(shí)別安全相關(guān)部件

圖2所示的電路圖展示了影響防護(hù)門(mén)安全功能的所有部件，其中省略了不影響安全功能的元器件。

圖2 防護(hù)門(mén)安全功能控制原理圖

以下采用“倒推法”將安全功能的電路圖轉(zhuǎn)換為功能模塊圖進(jìn)行邏輯表示。在本例中，防護(hù)門(mén)的開(kāi)關(guān)狀態(tài)由兩個(gè)位置開(kāi)關(guān)B1和B2檢測(cè)。B1的常閉觸點(diǎn)與接觸器Q相連，構(gòu)成第一個(gè)功能通道，可以直接切斷電動(dòng)機(jī)的電源；位置開(kāi)關(guān)B2與可編程邏輯控制器K和變頻器T構(gòu)成了第二個(gè)功能通道，也可以切斷電動(dòng)機(jī)的電源，從而防止危險(xiǎn)動(dòng)作的發(fā)生。因此，在某一通道發(fā)生故障時(shí)，安全功能保持不變。這些安全相關(guān)部件和通道可以用圖3所示的功能模塊圖表示。

圖3 防護(hù)門(mén)安全功能模塊圖

另外，B1的常開(kāi)觸點(diǎn)信號(hào)輸入到K，并與B2的開(kāi)關(guān)位置進(jìn)行比較；接觸器Q的開(kāi)合狀態(tài)同樣在K中監(jiān)控。若K檢測(cè)到B1、B2和Q中的部件故障，將使得Q失電從而禁止運(yùn)行。

制造商給出的安全相關(guān)部件的B10D和MTTFD數(shù)據(jù)見(jiàn)表1。

表1 安全相關(guān)部件的B10D和MTTFD值

4.3 估算可量化參數(shù)

4.3.1 平均危險(xiǎn)失效時(shí)間MTTFD計(jì)算

假定該設(shè)備每年的工作時(shí)間為300 d，每天工作16 h，該防護(hù)門(mén)每小時(shí)估計(jì)操作1次，則年平均操作次數(shù)為：nop=300×16×1=4 800次/a。

根據(jù)標(biāo)準(zhǔn)中的公式：

(1)

可得，MTTFD,B1=208 a，MTTFD,B2=208 a，MTTFD,Q=833 a。

應(yīng)用標(biāo)準(zhǔn)中的部件計(jì)數(shù)法，得出B1和Q組成的第一個(gè)通道的MTTFD，C1值為：

(2)

同理，B2、K和T組成的第二個(gè)通道MTTFD,C2=11.3 a。

由于這兩個(gè)通道具有不同的MTTFD值，應(yīng)該用每個(gè)通道具有相同MTTFD的冗余系統(tǒng)來(lái)代替。根據(jù)標(biāo)準(zhǔn)給出的對(duì)稱(chēng)雙通道系統(tǒng)的MTTFD等效計(jì)算方法：

(3)

求得該系統(tǒng)的MTTFD為111.6 a，大于100 a，因此得出MTTFD為“高”。

4.3.2 診斷覆蓋率DCavg計(jì)算

在上述電路中，PLC測(cè)試B1、B2、Q、T和PLC本身等5個(gè)安全相關(guān)部件。根據(jù)標(biāo)準(zhǔn)中的表E1，每個(gè)被測(cè)部件的DC為：DCB1/B2=99%(基于K對(duì)B1和B2兩個(gè)位置開(kāi)關(guān)狀態(tài)的合理性監(jiān)測(cè))；DCQ=99%(通過(guò)對(duì)接觸器Q鏡像觸點(diǎn)的監(jiān)控)；K的DCK假設(shè)為60%(由于過(guò)程可能檢測(cè)到故障)，T的DCT假設(shè)為60%(供應(yīng)商給出)。則系統(tǒng)的診斷覆蓋率為：

(4)

DCavg介于60%和90%之間，因此得出DCavg為“低”。

4.3.3 針對(duì)共因失效(CCF)的適當(dāng)措施

假定控制電路采取了如下防止CCF的措施：信號(hào)路徑之間的物理隔離，位置開(kāi)關(guān)B1和B2的電源導(dǎo)線單獨(dú)敷設(shè)，即信號(hào)路徑之間的物理隔離(15分)，過(guò)壓保護(hù)等措施(15分)，并且考慮了環(huán)境有關(guān)因素(25+10分)，因此總的得分為65分，剛好滿(mǎn)足防止CCF的要求。

4.4 結(jié)果分析

控制系統(tǒng)采用了雙通道的冗余結(jié)構(gòu)，MTTFD為高(111.6 a)，DCavg為低(64.5%)，且具有足夠防止TF的措施(65分)，因此，滿(mǎn)足類(lèi)別3的要求。根據(jù)以上估算，應(yīng)用標(biāo)準(zhǔn)可以查得其性能等級(jí)PL=d，與所需的性能等級(jí)PLr匹配，即PL≥PLr，證明此安全功能的安全回路設(shè)計(jì)符合要求。

5 結(jié)語(yǔ)

控制系統(tǒng)安全相關(guān)部件的設(shè)計(jì)是風(fēng)險(xiǎn)減小策略的一部分，隨著控制技術(shù)的發(fā)展，港口機(jī)械的安全功能越來(lái)越多地依賴(lài)于控制系統(tǒng)，控制系統(tǒng)對(duì)于風(fēng)險(xiǎn)減小的作用越來(lái)越大，其性能等級(jí)關(guān)系到整個(gè)設(shè)備和人員的安全。因此，對(duì)港口機(jī)械的控制系統(tǒng)進(jìn)行安全性能等級(jí)評(píng)估，并驗(yàn)證是否能夠滿(mǎn)足安全需求十分必要。