文/梁骁
功能安全在电梯领域的应用
文/梁骁
通过北京自动扶梯安全事故引入IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》国际标准,对功能安全概念、整体安全生命周期的各个阶段及安全完整性等级进行了介绍;并对功能安全在电梯领域的应用作了具体解析。
功能安全 整体安全 生命周期 安全完整性等级
当前我国电梯产量、电梯保有量、年增长量均为世界第一。然而不断增长的电梯数量,给电梯安全使用带来了挑战。据国家质检总局的统计数据显示,随着电梯保有量的增加和使用年限的增长,我国近年来每年因电梯事故导致的人员伤亡有40余人,呈上升趋势。
《特种设备事故报告和调查处理规定》中明确指出特种设备事故的发生主要由两方面造成:一方面是由相关人员的不安全行为造成的;另一方面则是由电梯的不安全状态造成的。经过多年的实践和发展,电梯在设计上是有较完备的安全保护措施的,如电梯有上行超速保护装置、层门门锁装置等;自动扶梯、自动人行道有梯级链断裂保护装置、非操纵逆转保护装置、驱动链断裂保护装置等。同时,国家标准及安全技术规范中还规定电梯制造厂商必须配置这些保护措施和装置,电梯产品出厂前必须要安装好保护装置。既然电梯已有了这些保护装置,在突发事件发生时应能保护设备及乘客的财产及生命安全,可事实并非如此。
2011年7月5日上午9点36分,北京地铁四号线动物园站A口上行自动扶梯发生设备故障,正搭乘电梯的部分乘客出现摔倒、挤压情况,致1名男孩死亡,多人受伤。经调查,导致此次事故发生的原因是:涉事自动扶梯在运行过程中,驱动主机固定螺栓发生断裂,造成主机倾覆、驱动链条脱落,梯级失去上行动力,在梯级自重及乘客的作用下逆向下滑,附加制动器开关未正常启动。
据官方调查显示,涉事自动扶梯已设置了附加制动器、断链等保护装置,可事故发生时,自动扶梯的防断裂、防逆转等保护装置并未动作,梯级制动失效,致使人员伤亡事故发生。
任何设备在运行中百分百不出故障的概率几乎是零,但如何最大限度地降低危险故障的发生是要我们认真去解决的问题。但对于与安全相关的电气元器件及控制系统的失效或故障,却没有引起足够的重视。要从根本上避免风险,不能仅仅是停留在安全保护和防护,而是要解决与安全相关控制系统的设计、元器件的选择及软件的验证等根本问题,这些则属于功能安全的范畴。
国际电工委员会在2000年2月发布了功能安全基础标准——IEC 61508《电气/电子/可编程电子E/E/PE安全相关系统的功能安全》系列标准。在应用过程中发现该标准内容尚不够全面、明确,经过几年的补充和修订,近期发布了最新版本IEC 61508。IEC 61508作为功能安全的基础标准,在新版标准中明确提出了安全相关系统的功能安全,给出了一个全面的电气/电子/可编程电子系统功能安全管理的框架。它是一个技术理念、科学的评估体系和优化的管理手段的集合,可应用于机械制造、流程工业、运输、医药等所有领域。
IEC 61508-4∶2010《电气/电子/可编程电子安全相关系统的功能安全第四部分:定义和缩略语》中给出了功能安全的概念:与受控设备(EUC)和EUC控制系统有关的整体安全组成部分,它取决于E/E/PE安全相关系统,其他技术安全相关系统和外部风险降低设施功能的正确使用。
无论零部件或者整体系统发生的失效是随机失效、系统失效还是共因失效,都不会导致安全系统的故障,进而不会对人员或者环境产生危害,那么这个系统在功能上就是安全的。功能安全是安全仪表系统中能否有效执行其安全功能的体现,它是一种基于风险的安全技术和管理模式。
功能安全管理的目的就是确定对达到E/E/PE安全相关系统要求的功能安全所必需的整体的安全生命周期及软件的安全生命周期所有阶段的管理和技术活动。
按照IEC 61508要求,安全相关产品从概念、设计实现、整体安装和试运行、操作直至停用等每个阶段都要采取故障避免和控制措施并且经过验证和确认。功能安全的管理就是贯穿于整体安全生命周期的所有阶段之中(如图1所示)。
图1 整体安全生命周期
由图1可以看出,功能安全的管理在整体安全生命周期中无处不在。整体安全生命周期是安全相关系统实现过程中所必须的生命活动,这些活动的发生从一项工程的概念阶段开始,直到所有E/E/PE安全相关系统、其他技术安全相关系统,以及外部风险降低设施停止使用为止的一段时间内。整体安全生命周期构建了功能安全管理的框架,其基本思想是功能安全相关的所有活动都是按一个有计划的系统方法进行管理。
IEC 61508标准作为一项用于工业领域的国际通用标准,功能安全早已在飞机、铁路、汽车等领域运用,目前在电梯领域功能安全的理念也在逐渐得到运用。
①PESSRAL和PESSRAE
用于电梯的可编程电子安全相关系统(PESSRAL)及用于自动扶梯和自动人行道的可编程电子安全相关系统(PESSRAE)是功能安全在电梯领域应用的最好体现。
目前我国无论是电梯还是自动扶梯、自动人行道,在控制及驱动技术上已经相当先进,但是保证电梯安全的相关技术这几十年却基本上没有变化。
由于与安全相关方面的设计全部是面向机械或电气的设计,这些安全部件均是基于最基本的机械、电气原理和测试。在满足维修要求的情况下,理论上不会出问题,这给电梯设计者和使用者提供了相对程度的安全感。
我国电梯数量虽多,但电梯的使用频率也居高不下。由于电梯机械部件可靠性的限制,经常发生由于磨损、调整不当及尘埃所引起的电梯故障,造成使用人员被困。这种情况下救援和恢复运行就十分复杂、缓慢。
因此,在电梯领域运用PESSRAL和PESSRAE系统,能进一步提高电梯的安全性和监控能力。同时还可以提高电梯的可靠性和故障的可预测性,避免因触点的污渍、烧蚀或机械损坏导致电梯故障的发生。
②SIL
安全完整性等级(SIL)是功能安全的一部分,是一个描述安全相关系统安全功能失效概率的指标,即当要求它不起作用时它不能起作用的概率。可分两种情况,一种针对低要求情况,即要求安全相关系统的安全功能起作用的频率小于每年一次,这种情况下安全完整性等级用每当要求时其失效的概率来表示;另一种针对高要求或连续操作的情况,即连续操作或要求安全相关系统的安全功能起作用的频率大于每年一次,这种情况下,安全完整性等级用每小时危险失效数来表示。
在IEC安全标准中,定义有4种SIL,分别是SIL 1、SIL 2、SIL 3、SIL 4。在功能安全的执行上,SIL 4是最可靠的,SIL 1是最不可靠的。
电梯规范中的安全完整性等级是指各种因素导致电梯故障率(包括随机硬件故障和系统性故障)的可能性,这些故障将导致不安全状态的出现,如硬件故障、软件故障、电子干扰所致故障等。安全完整性等级是电梯安全保护系统的核心指标。GB 16899-2011《自动扶梯和自动人行道安装安全规范》中规定:自动扶梯、自动人行道最高安全完整性等级为SIL 2。EN81-1∶1998-A1中规定曳引式或强制式乘客电梯、病床电梯及载货电梯的最高安全完整性等级为SIL 3。
综上所述,IEC 61508国际标准是安全相关系统的通用标准,通过危险分析和风险分析确定允许风险,通过必要的风险降低确定安全完整性等级要求,具有用技术手段改进安全和经济功能,对安全相关系统具有重大意义和重要地位,各个领域的安全相关系统都必须遵循这个标准,电梯领域也不例外。按照安全生命周期各阶段的要求,设计、开发及电梯安全的相关系统,为电梯的设计、使用提供强有力的安全保障。
[1] 史学玲.功能安全标准的理论特点与管理模式[J].仪器仪表标准化与计量:2006,4:2-4.
[2] 阳宪惠.安全仪表系统的功能安全[M].北京:清华大学出版社,2007.
Through Beijing escalator accident case,the paper discussed IEC 61508 international standard"Functional safety of electrical/electronic/programmable electronic safety-related systems".The paper introduces functional safety concept,integral safety,safety of the various stages of the life cycle,and safety integrity level.The paper analyzes in specific the applications of functional safety in elevator area.
Functional Safety;Overall Safety;Life cycle;SIL
(作者单位:上海市特种设备监督检验技术研究院)