孙远韬 陈凯歌 张 氢 吴占稳
1 同济大学机械与能源工程学院 2 中国特种设备检测研究院
随着我国现代工业的发展,起重机械的应用范围越来越广、负载越来越大、各机构工作速度越来越快,对其安全性能的要求越来越严格,但在实际生产中,对功能安全性的保障一般只在安全规程中予以描述。
目前,针对起重机械的风险评估和安全防护评价都是基于传统的风险分析方法进行的[1-2]。曲珩斌提出了一种基于IAHP和专家群决策的桥式起重机安全综合评价方法,对某通用桥式起重机进行安全性评价[3]。Ruud S等基于FSA方法提出了一种利用成本效益决策准则估计风险控制方案(安全功能)目标可靠性的方法[4]。2000年5月,国际电工委员会正式发布了IEC61508标准《电气/电子/可编程电子安全系统的功能安全》,提供了功能安全[5-7]分析的基本方法,但长期以来,功能安全的概念仅仅在仪器仪表工程、石油化工和电子可编程等领域有长足的发展[8-11],起重机械基于功能安全的分析方法尚未系统建立。但随着科技发展,在起重机的变频器、限位传感器以及超高压油缸等部件的设计中,已经开始尝试从失效出发进行功能安全设计。
为了在设计过程中考虑安全防护系统的安全性和可靠性,有必要从整机及关键部件的角度尝试分析安全失效机理与规律,根据不同的风险及危害程度进行起重机的功能安全分析,从而指导起重机械的设计并能够逐步应用于实际工程。
功能安全是指任一随机故障、系统故障或共因失效都不会导致安全系统的故障,即设备或控制系统的安全功能无论在正常情况下还是在有故障存在的情况下,都应该保证正确实施。
功能安全面向的对象为安全防护系统,IEC61508提供了功能安全分析的基本方法。该方法主要包括3个部分:风险分析、安全完整性等级和安全生命周期。为进一步促进起重机安全评价的发展,本文就起重机安全防护系统进行基于功能安全的设计方法研究。
采用可靠性分析方法结合层级划分的理论研究,从典型起重机失效模式与机理出发,分析对应安全防护系统的功能安全及其对系统的影响规律,形成满足不同安全等级的安全防护装置的设计方法。
考虑到起重机工作级别,结合IEC61508提供的功能安全分析方法中提出的安全完整性等级,将功能安全的概念引入到起重机安全防护系统的风险评估和安全评价中,从而建立起起重机械安全防护系统基于功能安全的设计方法,其流程见图1。
图1 起重机械安全防护系统基于功能安全的设计方法
该设计方法可分为5个步骤,具体如下。
步骤一:根据起重机的工作级别确定安全规范防护系统执行器的设计计算,并确定所需的目标SIL。
步骤二:采用FMEA分析法对安全防护系统的失效(故障)模式进行分析,并计算各故障模式的严酷度值,筛选出主要故障模式。
步骤三:根据步骤二分析结果,从下至上建立安全防护系统故障模式的故障树,并根据各部分之间的逻辑关系计算系统的失效概率。
步骤四:根据步骤三计算得到的失效概率,结合IEC61508规定的SIL划分标准得到安全防护系统的SIL等级,并与步骤一所得的目标SIL进行比较验证。
步骤五:根据步骤四的验证结果,若计算SIL满足目标SIL,则设计计算符合要求;否则,对安全防护系统的执行器以及传感器进行优化设计和配置。
上述设计方法的关键是建立起重机工作级别与目标SIL之间的关系,后续的所有研究均在此基础上展开。
起重机通过起升和移动吊运货物完成搬运任务,为适应起重机不同的使用情况和工作要求,在设计起重机安全防护系统时,应对起重机进行工作级别的划分。《起重机设计手册》规定,起重机整机的工作级别与起重机的使用等级及起重机的起升载荷状态级别有关。
起重机的使用等级是将起重机可能完成的总工作循环数划分成10个级别,分别用U0、U1、U2、…、U9表示[12]。
起重机的起升载荷状态级别是指在起重机的设计预期寿命期限内,它的各个有代表性的起升载荷值的大小及其对应的起吊次数,与起重机的额定起升载荷值的大小及总的起吊次数的比值情况。
若起重机各个起升载荷值的大小及相应的起吊次数已知,则可计算出起重机的载荷谱系数:
(1)
式中,Ci为与起重机各个有代表性的起升载荷相应的工作循环次数;CT为起重机总工作循环次数;PQi为能表征起重机在预期寿命期内工作任务的各个有代表性的起升载荷;PQmax为起重机的额定起升载荷;m为幂指数,为了便于级别的划分,约定取3。
根据不同的载荷谱系数,可将起重机起升载荷状态级别划分为Q1~Q44个等级[12]。
根据上述使用等级及起升载荷状态级别的划分情况,起重机整机的工作级别划分为A1~A8共8个等级(见表1)。
表1 起重机整机工作级别划分
根据起重机的工作级别可以完成对起重机整机的设计及相关的安全防护系统的设计。在进行基于功能安全的设计时,工作级别决定了起重机所需要达到的SIL(目标SIL),因此需要建立从起重机工作级别到目标SIL的映射关系。IEC61508中将安全完整性等级划分为4个等级(见表2),第四等级表示最高的安全完整性程度,第一等级为最低。
表2 SIL划分标准
根据表1划分的起重机整机工作级别,使用等级表征着起重机的使用频繁程度,载荷谱系数KP表征起重机在工作过程中的吊重情况。综合以上2个因素,将表1中的8个工作级别划分为4个等级。A1~A2为第一等级,表示起重机使用频繁程度很小或很少起升额定重量的情况,这种情况下起重机工作的安全裕度很大,起重机的安全防护系统在执行安全功能时发生故障和失效的概率很小,对应着SIL4;A3~A5为第二等级,表示起重机使用频繁程度较小或较少起升额定重量的情况,这种情况下起重机工作的安全裕度较大,起重机的安全防护系统在执行安全功能时发生故障和失效的概率较小,对应着SIL3;A6~A7为第三等级,表示起重机使用频繁程度中等或较多起升额定重量的情况,这种情况下起重机工作的安全裕度较小,起重机的安全防护系统在执行安全功能时发生故障和失效的概率较大,对应着SIL2;A8为第四等级,表示起重机使用频繁程度高或频繁起升额定重量的情况,这种情况下起重机工作的安全裕度很小,起重机的安全防护系统在执行安全功能时发生故障和失效的概率很大,对应着SIL1。
上述方法可用于定性描述起重机工作级别与目标SIL之间的关系。为了得到两者的确切关系,可以建立工作级别与目标SIL的函数关系,从而完成映射。
定义SIL是关于工作级别Ai的函数,则其函数关系可描述为
SIL=f(Ai)
(2)
式中Ai与起重机的总工作循环次数CT和载荷谱系数Kp有关,是可定义目标SIL与工作级别Ai的关系,为
SIL=f(CT,Kp)
(3)
完成起重机安全防护系统的初步设计及确定目标后,需要对其进行失效分析。具体地,针对每一组件,列出其所有可能的失效模式。各组件的每种失效模式所占总失效概率的百分比,一般都能通过相关的标准查出,或者通过以往的经验数据判定。针对各种失效模式,分析每种失效模式会对当前系统造成的危害程度。
采用FMEA分析方法分析起重机安全防护系统的失效模式及各失效模式的失效机理,最终完整辨别出起重机各系统的失效模式并对其危害程度进行分析。FMEA分析的目的是为了发现设备或系统中的产生故障的原因及其危害程度,用量化的数据直观地展现给用户。
在FMEA分析的基础上,根据设计准则建立各失效模式的功能函数(极限状态方程),对设计变量进行处理,获得各失效模式的失效概率,记为Fi(t)。由表4可知,SIL的最终确定由平均失效概率PFDavg决定,对于各失效模式,PFDavg由在时间间隔T的算术平均值获得
(4)
根据各失效模式的平均失效概率PFDavg,采用故障树分析(FTA)明确安全防护系统各部件之间的层次关系、失效故障之间的因果关系等。在故障树的基础上,计算各个子系统或关键零部件的失效概率。
设系统各零部件的发生失效的平均概率分别为PFDavg1,PFDavg2,…,PFDavgn,则对于串联系统其平均失效概率为
(5)
对于并联系统其平均失效概率为
(6)
根据上述计算得到起重机安全防护系统失效概率,即可根据表2所示的IEC61508提供的SIL划分标准进行SIL划分。
将上述获得的SIL与目标SIL进行比较,验证当前设计方案下的SIL是否符合目标设定的要求,若符合要求,则基于功能安全的起重机安全防护系统的设计方法合理;否则,不合理,需要对设计方案进行相关调整与改进。
根据IEC61508要求将安全防护系统分为执行器系统、传感器系统和驱动器系统,当SIL验证不满足要求时,分别对执行器的主要机构或结构参数进行调整和优化设计,从而提高其可靠性。此外,IEC61508给出了多种传感器优化配置方案,通过多传感器的串并联设计可以显著提高传感器子系统的可靠性。通过上述方法,对安全防护系统进行优化设计,从而降低系统失效概率,使其落在目标SIL对应的概率区间内。
某型号起重机的额定起重量为41 t,根据专家经验,该型号起重机使用较频繁,平均吊运载荷为20 t,一般承受载荷15 t、20 t、25 t、30 t,其对应的频率分别为0.12、0.45、0.32、0.11。
由上述内容可知,该类型起重机的使用等级为U6,计算得到起升机构的载荷谱系数
根据《起重机设计手册》,该起重机起升载荷状态级别为Q2,根据表1可得,其工作级别为A6,对应目标SIL2。
制动器系统是起重机安全防护系统的重要组成部分,上述起重机起升机构的制动采用智能型制动系统。
智能制动系统由制动器(执行器)、传感器(限位开关等)、驱动器组成。其中制动器的关键部件包括制动臂(杠杆式)、制动拉杆、制动弹簧、弹簧拉杆和制动盘。在设计过程中,采用较大的安全系数,即其为高可靠性产品,记各部件的可靠性为99.5%,则制动器的平均失效概率为
传感器子系统主要包括限位开关、感应式接近开关、接触式传感器和正压力传感器。电子元件的可靠
性通常用指数分布可靠度函数表示,其可靠度为
R(t)=e-λt
假设上述传感器有一恒定的失效率λ=0.01失效/h,则1 h内传感器正常工作的可靠度为
R(1)=e-0.01×1=0.99
根据式(5)计算可得传感器子系统的平均失效概率为
根据经验,在保证制动器和传感器正常工作的情况下,驱动器子系统的平均失效概率很低,不妨假设为
Pfmonitor=1×10-3
根据上述分析,可计算得到制动器系统的平均失效概率为
PFDavgsys=Pfbrake·Pfsensor·Pfmonitor=9.75×10-7
根据上述计算所得制动器系统的平均失效概率可判断:计算SIL为2,与初始确定的目标SIL一致,故满足要求,完成设计。
本文将功能安全的概念引入到起重机安全防护系统的设计中,建立起典型起重机安全防护系统基于功能安全的设计方法的总体技术路线。根据《起重机设计手册》规定的起重机工作级别,分别采用定性和定量方法实现起重机工作级别与目标SIL之间的映射关系。通过FMEA和FTA法计算安全防护系统失效概率,从而确定防护系统的SIL,并与目标SIL进行比对,根据对比结果指导安全防护系统的优化设计。以某型号起重机智能制动器系统为例,对上述方法进行了应用,并验证了该设计方法的正确性,在起重机的安全防护系统设计中具有一定的推广价值。