一種基于功能安全的起重機械安全防護系統設計方法*

孫遠韜 陳凱歌 張 氫 吳占穩

1 同濟大學機械與能源工程學院 2 中國特種設備檢測研究院

1 引言

隨著我國現代工業的發展，起重機械的應用范圍越來越廣、負載越來越大、各機構工作速度越來越快，對其安全性能的要求越來越嚴格，但在實際生產中，對功能安全性的保障一般只在安全規程中予以描述。

目前，針對起重機械的風險評估和安全防護評價都是基于傳統的風險分析方法進行的[1-2]。曲珩斌提出了一種基于IAHP和專家群決策的橋式起重機安全綜合評價方法，對某通用橋式起重機進行安全性評價[3]。Ruud S等基于FSA方法提出了一種利用成本效益決策準則估計風險控制方案(安全功能)目標可靠性的方法[4]。2000年5月，國際電工委員會正式發布了IEC61508標準《電氣/電子/可編程電子安全系統的功能安全》，提供了功能安全[5-7]分析的基本方法，但長期以來，功能安全的概念僅僅在儀器儀表工程、石油化工和電子可編程等領域有長足的發展[8-11]，起重機械基于功能安全的分析方法尚未系統建立。但隨著科技發展，在起重機的變頻器、限位傳感器以及超高壓油缸等部件的設計中，已經開始嘗試從失效出發進行功能安全設計。

為了在設計過程中考慮安全防護系統的安全性和可靠性，有必要從整機及關鍵部件的角度嘗試分析安全失效機理與規律，根據不同的風險及危害程度進行起重機的功能安全分析，從而指導起重機械的設計并能夠逐步應用于實際工程。

2 起重機械安全防護系統基于功能安全的設計方法

功能安全是指任一隨機故障、系統故障或共因失效都不會導致安全系統的故障，即設備或控制系統的安全功能無論在正常情況下還是在有故障存在的情況下，都應該保證正確實施。

功能安全面向的對象為安全防護系統，IEC61508提供了功能安全分析的基本方法。該方法主要包括3個部分：風險分析、安全完整性等級和安全生命周期。為進一步促進起重機安全評價的發展，本文就起重機安全防護系統進行基于功能安全的設計方法研究。

采用可靠性分析方法結合層級劃分的理論研究，從典型起重機失效模式與機理出發，分析對應安全防護系統的功能安全及其對系統的影響規律，形成滿足不同安全等級的安全防護裝置的設計方法。

考慮到起重機工作級別，結合IEC61508提供的功能安全分析方法中提出的安全完整性等級，將功能安全的概念引入到起重機安全防護系統的風險評估和安全評價中，從而建立起起重機械安全防護系統基于功能安全的設計方法，其流程見圖1。

圖1 起重機械安全防護系統基于功能安全的設計方法

該設計方法可分為5個步驟，具體如下。

步驟一：根據起重機的工作級別確定安全規范防護系統執行器的設計計算，并確定所需的目標SIL。

步驟二：采用FMEA分析法對安全防護系統的失效(故障)模式進行分析，并計算各故障模式的嚴酷度值，篩選出主要故障模式。

步驟三：根據步驟二分析結果，從下至上建立安全防護系統故障模式的故障樹，并根據各部分之間的邏輯關系計算系統的失效概率。

步驟四：根據步驟三計算得到的失效概率，結合IEC61508規定的SIL劃分標準得到安全防護系統的SIL等級，并與步驟一所得的目標SIL進行比較驗證。

步驟五：根據步驟四的驗證結果，若計算SIL滿足目標SIL，則設計計算符合要求；否則，對安全防護系統的執行器以及傳感器進行優化設計和配置。

上述設計方法的關鍵是建立起重機工作級別與目標SIL之間的關系，后續的所有研究均在此基礎上展開。

3 工作級別的劃分與目標SIL的確定

3.1 起重機工作級別劃分

起重機通過起升和移動吊運貨物完成搬運任務，為適應起重機不同的使用情況和工作要求，在設計起重機安全防護系統時，應對起重機進行工作級別的劃分。《起重機設計手冊》規定，起重機整機的工作級別與起重機的使用等級及起重機的起升載荷狀態級別有關。

起重機的使用等級是將起重機可能完成的總工作循環數劃分成10個級別，分別用U0、U1、U2、…、U9表示[12]。

起重機的起升載荷狀態級別是指在起重機的設計預期壽命期限內，它的各個有代表性的起升載荷值的大小及其對應的起吊次數，與起重機的額定起升載荷值的大小及總的起吊次數的比值情況。

若起重機各個起升載荷值的大小及相應的起吊次數已知，則可計算出起重機的載荷譜系數：

(1)

式中，Ci為與起重機各個有代表性的起升載荷相應的工作循環次數；CT為起重機總工作循環次數；PQi為能表征起重機在預期壽命期內工作任務的各個有代表性的起升載荷；PQmax為起重機的額定起升載荷；m為冪指數，為了便于級別的劃分，約定取3。

根據不同的載荷譜系數，可將起重機起升載荷狀態級別劃分為Q1～Q44個等級[12]。

根據上述使用等級及起升載荷狀態級別的劃分情況，起重機整機的工作級別劃分為A1～A8共8個等級(見表1)。

表1 起重機整機工作級別劃分

3.2 目標SIL的確定

根據起重機的工作級別可以完成對起重機整機的設計及相關的安全防護系統的設計。在進行基于功能安全的設計時，工作級別決定了起重機所需要達到的SIL(目標SIL)，因此需要建立從起重機工作級別到目標SIL的映射關系。IEC61508中將安全完整性等級劃分為4個等級(見表2)，第四等級表示最高的安全完整性程度，第一等級為最低。

表2 SIL劃分標準

根據表1劃分的起重機整機工作級別，使用等級表征著起重機的使用頻繁程度，載荷譜系數KP表征起重機在工作過程中的吊重情況。綜合以上2個因素，將表1中的8個工作級別劃分為4個等級。A1～A2為第一等級，表示起重機使用頻繁程度很小或很少起升額定重量的情況，這種情況下起重機工作的安全裕度很大，起重機的安全防護系統在執行安全功能時發生故障和失效的概率很小，對應著SIL4；A3～A5為第二等級，表示起重機使用頻繁程度較小或較少起升額定重量的情況，這種情況下起重機工作的安全裕度較大，起重機的安全防護系統在執行安全功能時發生故障和失效的概率較小，對應著SIL3；A6～A7為第三等級，表示起重機使用頻繁程度中等或較多起升額定重量的情況，這種情況下起重機工作的安全裕度較小，起重機的安全防護系統在執行安全功能時發生故障和失效的概率較大，對應著SIL2；A8為第四等級，表示起重機使用頻繁程度高或頻繁起升額定重量的情況，這種情況下起重機工作的安全裕度很小，起重機的安全防護系統在執行安全功能時發生故障和失效的概率很大，對應著SIL1。

上述方法可用于定性描述起重機工作級別與目標SIL之間的關系。為了得到兩者的確切關系，可以建立工作級別與目標SIL的函數關系，從而完成映射。

定義SIL是關于工作級別Ai的函數，則其函數關系可描述為

SIL=f(Ai)

(2)

式中Ai與起重機的總工作循環次數CT和載荷譜系數Kp有關，是可定義目標SIL與工作級別Ai的關系，為

SIL=f(CT,Kp)

(3)

4 SIL驗證

4.1 失效分析

完成起重機安全防護系統的初步設計及確定目標后，需要對其進行失效分析。具體地，針對每一組件，列出其所有可能的失效模式。各組件的每種失效模式所占總失效概率的百分比，一般都能通過相關的標準查出，或者通過以往的經驗數據判定。針對各種失效模式，分析每種失效模式會對當前系統造成的危害程度。

采用FMEA分析方法分析起重機安全防護系統的失效模式及各失效模式的失效機理，最終完整辨別出起重機各系統的失效模式并對其危害程度進行分析。FMEA分析的目的是為了發現設備或系統中的產生故障的原因及其危害程度，用量化的數據直觀地展現給用戶。

4.2 平均失效概率計算

在FMEA分析的基礎上，根據設計準則建立各失效模式的功能函數(極限狀態方程)，對設計變量進行處理，獲得各失效模式的失效概率，記為Fi(t)。由表4可知，SIL的最終確定由平均失效概率PFDavg決定，對于各失效模式，PFDavg由在時間間隔T的算術平均值獲得

(4)

根據各失效模式的平均失效概率PFDavg，采用故障樹分析(FTA)明確安全防護系統各部件之間的層次關系、失效故障之間的因果關系等。在故障樹的基礎上，計算各個子系統或關鍵零部件的失效概率。

設系統各零部件的發生失效的平均概率分別為PFDavg1,PFDavg2,…,PFDavgn，則對于串聯系統其平均失效概率為

(5)

對于并聯系統其平均失效概率為

(6)

4.3 SIL劃分與SIL驗證

根據上述計算得到起重機安全防護系統失效概率，即可根據表2所示的IEC61508提供的SIL劃分標準進行SIL劃分。

將上述獲得的SIL與目標SIL進行比較，驗證當前設計方案下的SIL是否符合目標設定的要求，若符合要求，則基于功能安全的起重機安全防護系統的設計方法合理；否則，不合理，需要對設計方案進行相關調整與改進。

4.4 優化設計

根據IEC61508要求將安全防護系統分為執行器系統、傳感器系統和驅動器系統，當SIL驗證不滿足要求時，分別對執行器的主要機構或結構參數進行調整和優化設計，從而提高其可靠性。此外，IEC61508給出了多種傳感器優化配置方案，通過多傳感器的串并聯設計可以顯著提高傳感器子系統的可靠性。通過上述方法，對安全防護系統進行優化設計，從而降低系統失效概率，使其落在目標SIL對應的概率區間內。

5 算例分析

某型號起重機的額定起重量為41 t，根據專家經驗，該型號起重機使用較頻繁，平均吊運載荷為20 t，一般承受載荷15 t、20 t、25 t、30 t，其對應的頻率分別為0.12、0.45、0.32、0.11。

5.1 目標SIL的確定

由上述內容可知，該類型起重機的使用等級為U6，計算得到起升機構的載荷譜系數

根據《起重機設計手冊》，該起重機起升載荷狀態級別為Q2，根據表1可得，其工作級別為A6，對應目標SIL2。

5.2 起升制動系統平均失效概率計算

制動器系統是起重機安全防護系統的重要組成部分，上述起重機起升機構的制動采用智能型制動系統。

智能制動系統由制動器(執行器)、傳感器(限位開關等)、驅動器組成。其中制動器的關鍵部件包括制動臂(杠桿式)、制動拉桿、制動彈簧、彈簧拉桿和制動盤。在設計過程中，采用較大的安全系數，即其為高可靠性產品，記各部件的可靠性為99.5%，則制動器的平均失效概率為

傳感器子系統主要包括限位開關、感應式接近開關、接觸式傳感器和正壓力傳感器。電子元件的可靠

性通常用指數分布可靠度函數表示，其可靠度為

R(t)=e-λt

假設上述傳感器有一恒定的失效率λ=0.01失效/h，則1 h內傳感器正常工作的可靠度為

R(1)=e-0.01×1=0.99

根據式(5)計算可得傳感器子系統的平均失效概率為

根據經驗，在保證制動器和傳感器正常工作的情況下，驅動器子系統的平均失效概率很低，不妨假設為

Pfmonitor=1×10-3

根據上述分析，可計算得到制動器系統的平均失效概率為

PFDavgsys=Pfbrake·Pfsensor·Pfmonitor=9.75×10-7

5.3 SIL驗證

根據上述計算所得制動器系統的平均失效概率可判斷：計算SIL為2，與初始確定的目標SIL一致，故滿足要求，完成設計。

6 結語

本文將功能安全的概念引入到起重機安全防護系統的設計中，建立起典型起重機安全防護系統基于功能安全的設計方法的總體技術路線。根據《起重機設計手冊》規定的起重機工作級別，分別采用定性和定量方法實現起重機工作級別與目標SIL之間的映射關系。通過FMEA和FTA法計算安全防護系統失效概率，從而確定防護系統的SIL，并與目標SIL進行比對，根據對比結果指導安全防護系統的優化設計。以某型號起重機智能制動器系統為例，對上述方法進行了應用，并驗證了該設計方法的正確性，在起重機的安全防護系統設計中具有一定的推廣價值。