宋伟科 单宇佳
(中国特种设备检测研究院 北京 100029)
随着游乐设施产品向体验多元化方向的发展,游乐设施设备的复杂程度也越来越高,同时要求设备的动作精准,以便和虚拟影视设备相配合,才能达到更加逼真的效果,这就要求游乐设施产品在控制系统上更加精确化。通过更为先进的基于PC的PLC控制技术,利用多种传感器进行数据的转化和传输,利用先进的交直流驱动技术或液压气动驱动技术进行动力输送,才能实现游乐设施产品的精准化控制。同时系统的不断复杂使得游乐设施本身的可靠性要求越来越高。尤其是涉及人身安全的重要安全相关系统,其安全可靠性直接决定了游乐设施的运行安全。
安全相关系统是指能够保证设备安全运行的相关系统,包括机械安全相关系统和电气安全相关系统[1,2]。安全相关系统对于保证游乐设施的安全运行至关重要。游乐设施常见的安全相关系统包括安全联锁系统、紧急停止系统、安全减速制动系统、防碰撞保护系统、防逆行保护系统、防超速保护系统等。每一个安全相关系统都可能包括电气系统、控制系统、液压/气动系统和机械系统等。
在游乐设施安全评价方面,目前通用的技术是针对系统层面的危险源分析方法和针对零部件层面的FMEA评价方法,并未对安全相关系统的安全功能进行评价。功能安全评价关注的安全相关系统执行的安全功能失效引起的可能风险。功能安全是基于安全设备的可靠性,可靠性是功能安全评价的一个重要指标。相比较安全仪表领域,目前在游乐设施安全相关系统的安全功能完整性评价方面国外主要利用现有的机械安全相关标准进行评价,而国内依然是空白。
游乐设施安全相关系统安全完整性评价的对象为安全相关系统的安全功能,目标是评估其安全回路能否满足安全功能要求[3,4]。游乐设施安全相关系统的安全完整性评价以风险分析为基础,以安全完整性等级(Safety Integrity Level,SIL)为评价指标,从整体安全生命周期角度,考虑环境因素、人为因素等对安全功能的影响进行综合评价,并提出优化设计方案。优化设计后重新进行安全完整性评价是必要的。游乐设施安全相关系统的安全完整性评价结果应进行试验确认,试验确认应结合实际游乐设施运行工况开展工作。
游乐设施安全相关系统的安全完整性评价内容包括安全相关系统的辨识、风险评价、SIL分配、安全回路设计、安全功能的安全完整性等级评价、优化设计和试验确认,如图1所示。其中安全相关系统辨识、安全功能风险评估是安全功能SIL分配的前提。对安全回路进行SIL等级模型计算和评价是安全功能SIL验证的组成部分。因此SIL分配和SIL验证是游乐设施安全相关系统安全功能评价的主体。
图1 游乐设施安全相关系统SIL评价过程
游乐设施安全相关系统的安全完整性评价应首先确定评价对象。每一个安全相关系统都可能包括电气系统、控制系统、液压/气动系统和机械系统等。由于控制系统和机械系统在安全评价和风险评估方法上的不同,而安全相关控制系统的重要性往往被忽视,因此游乐设施安全相关系统安全完整性评价主要关注控制安全相关系统的评价方法研究。
由于在游乐设施控制系统当中真正影响安全的安全相关控制系统简称SRP/CS(Safety-Related Parts of a Control System)往往只占整个控制系统的一小部分,如图2所示。如何科学有效的识别SRP/CS是目前困扰设计人员的一个问题。设计人员需要根据不同种类游乐设施的运行工况以及以往相关事故信息收集及设计经验,在复杂的控制系统中准确的抽出SRP/CS部分。但从通用的角度考虑一般情况,如游乐设施的允许起动/再起动联锁回路、紧急停止以及制动系统必须作为SRP/CS进行考虑。设计完成时需确认SRP/CS的输入与输出信号都属于安全信号,且其任何分支子系统与整个SRP/CS的集成都应满足性能等级PL≥PLr的设计要求。
图2 安全相关(虚线内)与非安全相关(虚线外)控制系统的区别方式
安全相关系统的安全功能风险评估的目的是为了获得该功能的安全完整性等级(SIL)要求,不恰当的风险评估技术会导致安全相关系统的安全完整性等级过高或过低。过高会造成浪费,而过低将不能满足安全要求而导致发生不可接受的风险。目前SIL分配方法主要有风险矩阵法,风险图法和保护层分析法。其中风险矩阵法是一种基于分类的方法,对风险的后果和可能性分类,构建风险矩阵,属于定性分析方法。但该方法主要依据实际经验和主观判断,一致性和精确度较差,不能体现可容忍风险水平,针对不同场景的辨识度不高,复杂过程难以应用。风险图法是一种基于分类的半定性方法,通过后果、处于危险区域的时间、避开危险的概率和事件发生概率四个因素构建风险图。而保护层分析法是一种定量方法,从危险和可操作性分析数据入手,计算每个识别的危险,确定高风险降低的总量,从而确定SIL等级。该方法需要更多的可靠性数据,评价过程相对费时。鉴于游乐设施安全相关系统不同于传统的安全仪表过程控制系统,本文采用基于游乐设施失效数据库的风险矩阵法进行SIL等级评定和分配。
参照IEC62061要求对安全相关系统的安全功能进行量化和打分,IEC62061在风险识别中需要评价的参数包括[7,8]:
Se:危险可能导致的伤害程度
Fr:人员暴露在危险中的频率和持续时间
Pr:危害时间发生的概率
Av:避免或者限制伤害的可能性
以上技术参数的选取来源是安全相关系统的安全功能在具体游乐设施中的表现行为,参照大型游乐设施失效案例知识库和相关法规标准要求进行选取。在此技术上,参照表1 SIL分配矩阵对安全功能进行SIL等级分配,其中表中行表示严重程度(Se),列表示以上分析的级别(CI),由Fr、Pr和Av相加而来。行列交叉点位置即为该安全功能应该具备的SIL等级。
表1 SIL分配矩阵
安全相关系统的安全功能回路设计完成后,需要对该安全回路所能提供的安全功能进行评估,以明确其安全功能所能达到的安全完整性等级是否满足风险评估的要求。如果计算得到的安全完整性等级(SIL)达不到根据风险评估分配的安全完整性等级,则安全相关系统的安全回路应重新优化设计。SIL验证的主流方法有可靠性框图、故障树和马尔科夫(Markov)模型等。但不论何种方法,都是基于安全回路部件的可靠性开展评估和验证工作。安全回路的可靠性指标是SIL验证的前提。
1)安全控制类别(Category)
SRP/CS相对于故障的可靠性等级以及在故障状态下的自我检测预警能力是决定SIL的最主要因素。ISO 13849-1当中规定共有B/1/2/3/4共五个类别,类别等级越高可靠性越高[5,6]。安全控制类别是安全回路的基本特性。
2)平均无危险故障时间MTTFd(Mean Time to Dangerous Failure)
由于系统的整体可靠性是由系统内各个不同要素自身的可靠性叠加所决定的,所以平均发生失效率也是决定系统可靠性的主要因素之一。一般来说MTTFd值为故障率的反函数MTTFd=1/λ,单位用[年]来表示。该值可以属于一个元件,也可以是针对一个系统的描述。针对一个系统时可以通过分段确定每部分的MTTFd,然后计算出系统的平均无故障时间。在需要考虑由于机械操作次数而发生风险的情况下,还需要考虑式(1)所示的B10d(10%的器件发生故障的平均循环次数)参数。这种情况下通过年均操作次数nop(Number of operations)值的设定就可以依据以下公式求出MTTFd值了,其中式(3)为串联回路计算公式,式(4)为并联计算公式。
在这里由于游乐设施的运行周期及次数一般部件具有较强的季节性及规律性,使用设计者在初始设计阶段可根据以往该设备的运行工况,及具体使用预计情况进行合理的参数设定。安全PLC、安全继电器等的MTTFd值一般来说是由第三方检验机构进行验证后给出,所以设计者进行回路设计时可优先选择经过认证的标准件。
3)平均诊断范围DCavg(Average Diagnostic Coverage)
平均诊断范围是构成SRP/CS 的各系统的自带自我诊断能力的平均值。合理的自我诊断及自我监控措施可以作为采用低可靠性回路架构的一种补足措施进行使用,此方法可有效提高回路的SIL等级。这一点也比较符合目前我国游乐设施设计制造的现状,即可以通过选用比较廉价的器件但通过合理的自我检测手段实现比较高的性能等级。
4)共因失效理由CCF(Common Cause Failure)
共因失效理由是指构成各部分机械硬件结构发生故障的共同原因。ISO13849-1规定CCF值的大小是由所规定的8个因素的综合评分进行确定的最低分数不得低于65分,且只有类别2以上的SRP/CS系统需要进行CCF评价。
安全功能的完整性等级验证依赖于以上四个可靠性参数,但决定系统整体安全性能最重要的参数还是控制类别。但在相同控制类别的情况下通过其他三个参数的调整,也可以实现提高或降低安全性能的最终结果,因此可以根据不同设计输入要求在设计阶段实现一定的灵活性。在能保证安全性能的前提下,适当的控制制造成本。最终求得的安全性能结果可通过与ISO 13849-1附件K的表K.1所提供的柱状图中的参数进行比对,确定最终的安全性能等级。为方便参考可将柱状图的参数值简化为见表2[7,8]。
表2 性能等级结果比对柱状图简化表
游乐设施安全相关系统安全功能安全性评价方法适用于直接关系人身安全的重要控制系统进行安全评估,填补了国内游乐设施控制系统安全评价的空白,具有重大的现实意义。但游乐设施又区别于传统的过程工业中的安全仪表系统,在SIL分配及验证环节区别较大。同时游乐设施本身多样化、复杂性的特性决定了其安全功能完整性评价存在诸多难点,也是今后研究的重点所在,主要集中在以下几个方面:
1)安全功能的SIL分配主要依赖于传统经验和失效案例数据库,开发更加有效和准确的定量评价方法才能更加合理地分配安全回路的安全功能SIL等级。
2)在SIL验证环节,目前国内大部分游乐设施所用的控制元件不具备具体的可靠性指标,在此种情况下,如何确定安全回路元器件的可靠性指标尤为重要。
3)安全回路的安全完整性等级不仅仅取决于硬件回路的安全可靠性,在软件可靠性、人为因素等方面还有值得研究的影响因素。
[1] EN 13814—2004 Fairground and amusement park machinery and structure-safety[S].
[2] GB 8408—2008 游乐设施安全规范[S].
[3] IEC 61508:1998 Functional safety of electrical/electronic/programmable electronic safety-related systems,IDT[S].
[4] GB/T 20438—2006 电气/电子/可编程电子安全相关系统的功能安全[S].
[5] ISO 13849:2006 Safety of machinery-Safety-related parts of control systems, IDT[S].
[6] GB/T 16855—2008 机械安全 控制系统有关安全部件[S].
[7] IEC 62061:2005 Safety of machinery-Functional safety of safety-related electrical, electronic and programmable electronic control systems, IDT[S].
[8] GB/T 28526—2012 机械电气安全 安全相关电气、电子和可编程电子控制系统的功能安全[S].