舞台SSIILL33安全标准

文/[卢森堡]吉恩-马利·舒尔茨，[德]奥利弗·布吕克

（瓦格纳比罗卢森堡舞台系统股份公司）

1 舞台设备风险评估、降低风险及舞台设备标准简介

1.1 舞台机械设备安全

在过去的几年中，大型舞台升降机和自动飞行系统已经成为剧院和其他艺术表演场馆的“标准”配置。虽然这种设备能够在演出中实现快速的场景变换并制造出震撼的视觉效果，但这些设备和许多其他工业企业的设备一样，可能以种种方式造成人身伤害。例如设备意外运行造成的淤青或肢体损伤，或因吊杆故障导致天花板滑落致使演员严重受伤。这损害的不仅仅是个人的人身安全，对整个公司也是生死攸关的大事。

但不同于工厂里机械设备的安全防护，演出不便设置栅栏把技术人员与舞台的危险区域隔离开，或者设置光电栅栏，当演员或合唱团靠近运行的升降台时停止其运行，这都会脱离舞台功能和设置舞台设备的初衷。但这是否意味着舞台上的人无法得到保护？当然，事实并非如此。

许多标准的主要目的就是保护人们远离设备的伤害（如欧洲机械指令2006/42/EC）。这些标准规定了一个流程，来识别风险并寻找措施将风险降低至可以接受的水平。

在一个理想状态下，一旦风险确定，人们当然就想完全消除所有风险。然而，因此带来的成本也会随着风险的降低而成倍增加。在某些应用中，风险甚至是由用途衍生而来的，并不能完全消除。所以，在可容许的范围内，由生产商、运营商以及舞台机械设备使用者带来的残余风险时常存在。而这些风险应该是众所周知且可预估的。

1.2 风险评估

欧洲机械指令定义的风险评估过程，应该能够帮助识别机械设备引起的风险。但读者可能听说过，这个标准明确地把演出中用于演员或艺术家升降的设备排除在外。简单地解释这个现象：标准里规定的保护人员安全的措施，常常要求在人们周围及运动部件上方或下方设置围墙、栅栏，但这根本就不适用于舞台机械。于是，舞台机械设备现代化标准应运而生（如德国《DIN 56950-1:2012》或欧洲《CWA 15902-1:2008》）。它们依照之前标准的风险评估过程，对特殊的舞台机械设备应用制定了相应的措施，以降低风险。

这些标准都需要风险评估过程，正如国际标准《EN ISO12100 机械安全——设计的一般原则——风险评估和风险降低》中所描述的。

在使用机械设备的范围内，人们能想象到的所有危险都有风险。例如，典型的飞行系统的隐患是坠落物体。对每次危险，都可以预见潜在的后果。坠落的物体会产生冲击力。如果此时某个人在舞台上被击中，事故的严重后果可能是裂伤，可能是肢体骨折，甚至可能导致死亡。而评估风险，不仅需要识别危险后果的严重性，也需要考虑风险发生的可能性，以及人们在舞台上出现的频率、时间和被坠落物体砸伤的概率？现实中物体是否经常坠落？是不是可以采取措施，避免或限制造成的伤害？

在以往的案例中，最严重的是一个或几个人死于物体坠落。剧场中白天有人长时间在舞台上停留，他们可能是艺术家，可能是技术人员也可能是游客。大多数人都不会戴上安全帽保护自己。所以坠落物体所造成的风险只会根据大型物体坠落的概率而上升或下降。因此，在舞台机械应用中，需要判断大型物件从飞行板上坠落的概率。

完成风险评估后，还必须对设备进行特殊风险的评估：在其他任何情况下，设备导致的风险会不会高于可接受的水平？假如设备设计负载是500 kg，若换做1000 kg负载且进行急停，会不会发生断裂？如果答案是肯定的，则必须着眼于如何降低风险，完成后再次从头进行评估。

1.3 降低风险

前文提及的标准定义了在降低风险方面可接受的措施层级：

1. 只要有可能，都需通过本质安全的设计方法消除危害或降低风险。例如对于剪切边的防护设计、安全系数大于10的钢丝绳的设计，或者对于增加400 h寿命及2倍特性负载的减速箱转矩的设计。这些方法能永久消除危害，或降低风险。

所以，设计提升500 kg负载的卷扬机时，可以按1000 kg提升量的设计来降低之前能识别的风险。但由于经济的原因，设计者不会这么做。此外也有技术的原因：可以设想一下，当以1000 Kg的载荷取代500 Kg来设计每个吊杆时，建筑的结构设计需要如何改变？

2. 如果并不具备本质安全的设计方法或不能完全使风险降至可接受的水平，则需引进技术保护装置或能达到保护效果的解决方案来进一步降低风险。通常是在控制系统中引入安全功能。

在瓦格纳比罗卢森堡舞台系统股份公司（以下简称“瓦格纳”）的一些范例中，安装了一个压力传感器，以永久监测负载，判断设备提升负载的安全性。“瓦格纳”将超载检测作为一项安全功能。最常见的安全功能是限位开关，能在行程范围内及紧急状况下停止设备的运行，从而提供一个易于使用及可靠的整体安全方法。然而，这些解决方案都不能彻底消除危险，只能在技术解决方案正常工作的前提下，降低危险发生的可能性。那么，这些安全功能的可靠性需要有多高呢？

3. 如果没有设计本质安全的措施，也不提供技术解决方案或经济途径来降低风险，则不得不简单地给设备使用者和操作者提供残余风险的信息，包括放置警示标志或详细的使用说明（只允许训练有素的工作人员使用设备）。当然，这种降低风险的方式是最脆弱的，仅在没有任何其他方法时使用。

1.4 安全功能和SIL 3标准

前文曾提及，安全功能是由控制系统实现的降低风险的方法。例如德国舞台设备行业安全标准（《DIN 56950-1:2012》）对起重承载设备中控制系统的安全功能进行了如下的规定：

☆ 安全停车和紧急停车；

☆ 安全运行启动；

☆ 安全行程范围；

☆ 松绳检测、乱绳检测、主轴螺母或齿条齿轮侵蚀的检测；

☆ 超速检测；

☆ 超载检测、欠载检测；

☆ 错误运行轨迹检测；

☆ 同组设备不同步运行检测；

☆ 目标位置超行程检测。

额外的安全功能将由最新的舞台工程标准规定的危险及风险评估产生。安全功能可以实施保护，防止车台之间的相互碰撞，或坠入台下升降台基坑等情况。

由于控制系统必须负责执行、实现这些安全功能，所以需要认知和评估控制系统的可靠性，从而判断这些措施是否能将风险控制在可接受的水平。

依据《IEC/EN 61508》和衍生标准《IEC/EN 62061》，安全功能质量和可靠性的评级由安全完整性等级（SIL）表示。

上图显示了必须达到哪一个SIL等级才能降低风险至可接受的水平。在大多数舞台自动化领域的风险中，最严重的后果是严重伤害或死亡（CB）。人们经常在运动负载下的危险区（FB）活动，避免危险（PB）几乎是不可能的。与大多数其他工业应用（W3）领域相似，舞台自动化对安全功能的需求率很高。从损坏的卷扬机上坠落的负载可能致人严重受伤或者死亡。在前述案例中，要求至少每年进行一次超载检测。

不同的标准可能会使用不同的风险图，但所有标准最后得到的都是同样的结论：许多舞台自动化的安全功能（尤其是提升震撼效果的整个布景），需要依据SIL3标准实施。

根据SIL3标准实施的安全功能，在高要求或持续性的需求环境下，失效不能高于每小时7次～10次，即安全功能的失效次数在1140年的操作中不能高于一次。虽然这个数字听起来好像概率非常低，但对一个具有250个轴的大项目来说，假设每天平均使用率是50%，那么要求的安全标准是平均每台设备每10年的失效次数不能高于一次。

1.5 SIL3安全标准的实施

SIL的每一个安全等级须对每个单独的安全功能进行设计和计算，并不能简单地根据某些组成部分的认证就宣称达到标准。

安全功能设计的第一个步骤是安全结构的设计。所有的输入、逻辑和输出元件必须首先进行识别和评估。评估由以下两项完成：

☆ 机电元件的B10D值（危险失效率），例如接触器、继电器和开关等；

☆ 复杂电气或电子设备（包括驱动设备、PLC元件或轴控制器）的MTTFd（平均危险故障间隔时间）或PFHD（每小时危险失效概率）。

最后，达到安全等级至关重要的一环是设计实现安全功能的组件布局。只有使用了双通道结合复杂（基于电子或计算机）系统的安全设计，才能达到SIL3等级的安全功能。因为在SIL3实现的安全架构中，单个组件失效不会导致安全功能不达要求。如果非危险或检测到的危险故障安全功能（SFF）的总百分比低于99%，硬件容错率为1%。

安全功能所得结果的PFH值由每个单独通道的PFH值计算而得。常见原因故障率（CCF）将被用到这个结果中。CCF评估两个通道同时使用相同组件时，系统误差引起的失效概率。

2 SIL标准和PL标准的比较

目前，在工业机械设备领域有两个涉及功能安全的标准符合《欧洲机械指令2006/42/EC》：

（1）《IEC / EN 62061》标准源自通用标准《IEC / EN 61508》的工业机械特殊应用标准。该标准只对电气系统进行了描述。

（2）《EN ISO 13849-1》标准是从EN ISO954-1的前身发展而来的工业机械特殊应用标准，引入了危害和风险评估的概念。其中引入了危害和风险评估的概念。描述了电气、气动、液压和机械系统。

这两种标准虽然都遵循了同样的风险评估和风险消减理念，但二者提供了不同的方法，并使用不同的术语来描述安全水平。《IEC/ EN 62061》标准把安全完整性等级定义为SIL1～SIL3，类似于其母标准《IEC / EN61508》（尽管它采用了略有不同的风险图）。SIL4没有定义在其中，因为大量致人死亡的灾难性事故极不可能出现在工业机械中。SIL4用于如《IEC61511》加工业标准衍生的特定应用中。

《EN ISO 13849-1》标准定义的风险图

《EN ISO 13849-1》标准则定义了五种性能水平PLa ～PLe，如上图所示。

随着国家对节能工作的越来越重视，随着电气设备生产技术的改进和节能减排意识的提高，电气工程的节能工作有了一定的成效。为了使电气工程进一步提高节能的效果，以适应社会需要，满足国家可持续发展的要求，应该加大节能力度，将节能的理念贯穿于整个用电过程。从生产到管理，从输送到使用，都应该以节能为目的，为合理利用资源做贡献。

PL级别和SIL的级别是不同的，但可以在故障概率的基础上进行比较。对于舞台机械设备安全功能典型的性能级别来说，SIL3与高级别的PLd或PLe的水平相当。

在功能安全性要求下研发电子解决方案时，这两个标准将会产生相似的方案以及故障概率数据。

即便不具备更深的知识，读者也会发现《EN ISO 13849-1》标准的附录中包含大量的实例和规则，可以据此进行安全功能的设计和组件的评级，这非常有用。因此，相比源自《IEC EN 62061》的SIL标准，使用PL标准可能更具吸引力。但《EN ISO 13849-1》标准不能覆盖舞台机械行业所有必须的安全功能。错误轨迹的检测、用户定义的组内设备的不同步运行、软件设置的目标位置的超行程检测等，只能通过可编程的电子设备实现。因此，这是一个非常复杂的系统。通过使用电子元件或可编程组件及子系统，《IEC / EN 62061》标准可以设计和评估复杂、非常规的安全功能解决方案。但《EN ISO 13849-1》标准仅通过使用简单的元器件（如安全继电器、机电传感器和执行器）对安全功能的设计和评估进行规定。因此，还不得不使用《IEC / EN 62061》标准作额外的工作。

在安全体系中，这两种标准都不能用于定义和评估复杂的子系统，例如安全性PLC或安全性轴控制器这样复杂（逻辑）的子系统。这些系统必须直接依据《IEC / EN 61508》标准第1～7部分进行开发和认证。此通用标准在工程和流程文档、电气和电子设计、软件开发、模块和集成测试，以及整个产品的寿命中采取严格的规则要求。

3 对舞台机械安全性和SIL3安全标准的常见误解

许多舞台机械设备的规格文件需要SIL3标准认证的控制系统。但很多术语的使用是不恰当的，会导致对安全性和SIL3的曲解：

（1）不是使用了双触点的蘑菇型红色急停按钮，该控制系统就达到了SIL3标准。这些被称作“急停”的按钮对实现符合SIL3的安全功能是一个良好的起点，但只有E-STOP系统中的逻辑元件和执行元件在终端至终端的双通道安全设计中实施，才能达到SIL3标准。

（2）并不是将标准的开关装置组件替换成黄色编码的安全性装置组件，该系统就达到了SIL3标准。这些元件通常提供内部功能实现必要的诊断覆盖率，但仍然需要用它们设计、实施合适的安全架构。

（3）并不是在系统中双倍设置某些元件，并称之为冗余，该系统就达到了SIL3标准。双通道设计使系统对单个故障的鲁棒性达到很高的水平，但如果以错误的方式实现，一个通道的问题仍可能导致整个实施过程失败。第二个通道甚至也可能在安全功能的要求下，增加危险故障的概率。

（4）并不是系统只实现了SIL3要求的安全功能的一个子集（比如急停、过载检测、行程限制），该系统就达到了SIL3标准。

如果舞台控制系统在危害和风险评估中得到鉴定，在所有需要SIL3的领域，该系统能将所有安全功能实施至一个适当的水平，该系统才能达到SIL3等级。

4 基于安全标准，轴控制器AXIO-II与PLC系统的比较

使用基于传统PLC系统的舞台机械控制系统，无法在合理的安全水平实现安全功能。标准的PLC系统并不能提供《IEC/EN 61508》标准中规定和要求的所有内部措施（这些措施用于确保足够低的危险故障率）。措施包括：内部电压和温度的永久性安全监控、持续性自测、防止EMP和自发的些许问题的内存保护、输入和输出状态和水平的交叉检查、严格的软件调度规则、代码覆盖、编程语言、开发工具等等。而且，即便使用外部机电元件来设计本地安全功能，标准的PLC系统同样无法实现影响吊机动态组或软件限制的安全功能。

设计时必须添加辅助PLC来实现安全功能。这种辅助PLC应该是一个认证的安全性PLC，允许SIL3安全功能的实施。在多数设计中，安全性PLC仅能确定安全状态（停止、断电）是否能被设置，与PLC系统通常没有复杂的相互作用。此外，安全性PLC的功能仍然十分有限。对于一个超过100个轴的大型舞台，将不得不实施基于若干个安全性PLC的、极为复杂和难于控制的分层设计。

实施许多基于PLC的单轴和组安全功能，将造成某个子系统停止运行，甚至在某个故障的检测中造成整个系统停止运行。这种情况下，可用性和灵活性的安全冲突往往是艺术创造者所不能接受的。

“瓦格纳”的AXIO-II轴控制器，是专门针对于舞台机械控制系统的应用而研发的。AXIO-II轴控制器基于双通道安全性硬件，不仅集成了标准PLC的所有轴控功能，而且能实施《IEC/ EN61508》标准认证的、所有与舞台机械相关的安全功能。AXIO-II轴控制器的软硬件不仅能实现受控轴的本地安全功能，还能在超过200个轴的大系统中实现动态设备组的安全性。安全轴控制器是从零开始的研发，而不是在标准PLC系统增加额外的安全功能，即使在最复杂的情况下也能实现全部的安全功能（比如方向和速度敏感的安全限制，要优于简单的停止），从而在安全性要求非常高的情况下，能够提供最大限度的可用性和灵活性。

AXIO-II轴控制器示意图

对每个轴而言，可独立热插拔和自配置的设备，令整个系统的设计更加简单，使舞台控制系统更加稳定、易于维护。