游樂設施安全相關系統安全完整性評價方法研究

宋偉科 單宇佳

（中國特種設備檢測研究院 北京 100029）

1 研究背景

隨著游樂設施產品向體驗多元化方向的發展，游樂設施設備的復雜程度也越來越高，同時要求設備的動作精準，以便和虛擬影視設備相配合，才能達到更加逼真的效果，這就要求游樂設施產品在控制系統上更加精確化。通過更為先進的基于PC的PLC控制技術，利用多種傳感器進行數據的轉化和傳輸，利用先進的交直流驅動技術或液壓氣動驅動技術進行動力輸送，才能實現游樂設施產品的精準化控制。同時系統的不斷復雜使得游樂設施本身的可靠性要求越來越高。尤其是涉及人身安全的重要安全相關系統，其安全可靠性直接決定了游樂設施的運行安全。

安全相關系統是指能夠保證設備安全運行的相關系統，包括機械安全相關系統和電氣安全相關系統[1，2]。安全相關系統對于保證游樂設施的安全運行至關重要。游樂設施常見的安全相關系統包括安全聯鎖系統、緊急停止系統、安全減速制動系統、防碰撞保護系統、防逆行保護系統、防超速保護系統等。每一個安全相關系統都可能包括電氣系統、控制系統、液壓/氣動系統和機械系統等。

在游樂設施安全評價方面，目前通用的技術是針對系統層面的危險源分析方法和針對零部件層面的FMEA評價方法，并未對安全相關系統的安全功能進行評價。功能安全評價關注的安全相關系統執行的安全功能失效引起的可能風險。功能安全是基于安全設備的可靠性，可靠性是功能安全評價的一個重要指標。相比較安全儀表領域，目前在游樂設施安全相關系統的安全功能完整性評價方面國外主要利用現有的機械安全相關標準進行評價，而國內依然是空白。

2 游樂設施安全相關系統完全完整性評價流程

游樂設施安全相關系統安全完整性評價的對象為安全相關系統的安全功能，目標是評估其安全回路能否滿足安全功能要求[3，4]。游樂設施安全相關系統的安全完整性評價以風險分析為基礎，以安全完整性等級（Safety Integrity Level，SIL）為評價指標，從整體安全生命周期角度，考慮環境因素、人為因素等對安全功能的影響進行綜合評價，并提出優化設計方案。優化設計后重新進行安全完整性評價是必要的。游樂設施安全相關系統的安全完整性評價結果應進行試驗確認，試驗確認應結合實際游樂設施運行工況開展工作。

游樂設施安全相關系統的安全完整性評價內容包括安全相關系統的辨識、風險評價、SIL分配、安全回路設計、安全功能的安全完整性等級評價、優化設計和試驗確認，如圖1所示。其中安全相關系統辨識、安全功能風險評估是安全功能SIL分配的前提。對安全回路進行SIL等級模型計算和評價是安全功能SIL驗證的組成部分。因此SIL分配和SIL驗證是游樂設施安全相關系統安全功能評價的主體。

圖1 游樂設施安全相關系統SIL評價過程

3 安全功能的SIL分配

3.1 安全相關系統的識別

游樂設施安全相關系統的安全完整性評價應首先確定評價對象。每一個安全相關系統都可能包括電氣系統、控制系統、液壓/氣動系統和機械系統等。由于控制系統和機械系統在安全評價和風險評估方法上的不同，而安全相關控制系統的重要性往往被忽視，因此游樂設施安全相關系統安全完整性評價主要關注控制安全相關系統的評價方法研究。

由于在游樂設施控制系統當中真正影響安全的安全相關控制系統簡稱SRP/CS（Safety-Related Parts of a Control System）往往只占整個控制系統的一小部分，如圖2所示。如何科學有效的識別SRP/CS是目前困擾設計人員的一個問題。設計人員需要根據不同種類游樂設施的運行工況以及以往相關事故信息收集及設計經驗，在復雜的控制系統中準確的抽出SRP/CS部分。但從通用的角度考慮一般情況，如游樂設施的允許起動/再起動聯鎖回路、緊急停止以及制動系統必須作為SRP/CS進行考慮。設計完成時需確認SRP/CS的輸入與輸出信號都屬于安全信號，且其任何分支子系統與整個SRP/CS的集成都應滿足性能等級PL≥PLr的設計要求。

圖2 安全相關（虛線內）與非安全相關（虛線外）控制系統的區別方式

3.2 安全相關系統安全功能風險評估

安全相關系統的安全功能風險評估的目的是為了獲得該功能的安全完整性等級（SIL）要求，不恰當的風險評估技術會導致安全相關系統的安全完整性等級過高或過低。過高會造成浪費，而過低將不能滿足安全要求而導致發生不可接受的風險。目前SIL分配方法主要有風險矩陣法，風險圖法和保護層分析法。其中風險矩陣法是一種基于分類的方法，對風險的后果和可能性分類，構建風險矩陣，屬于定性分析方法。但該方法主要依據實際經驗和主觀判斷，一致性和精確度較差，不能體現可容忍風險水平，針對不同場景的辨識度不高，復雜過程難以應用。風險圖法是一種基于分類的半定性方法，通過后果、處于危險區域的時間、避開危險的概率和事件發生概率四個因素構建風險圖。而保護層分析法是一種定量方法，從危險和可操作性分析數據入手，計算每個識別的危險，確定高風險降低的總量，從而確定SIL等級。該方法需要更多的可靠性數據，評價過程相對費時。鑒于游樂設施安全相關系統不同于傳統的安全儀表過程控制系統，本文采用基于游樂設施失效數據庫的風險矩陣法進行SIL等級評定和分配。

參照IEC62061要求對安全相關系統的安全功能進行量化和打分，IEC62061在風險識別中需要評價的參數包括[7，8]：

Se：危險可能導致的傷害程度

Fr：人員暴露在危險中的頻率和持續時間

Pr：危害時間發生的概率

Av：避免或者限制傷害的可能性

以上技術參數的選取來源是安全相關系統的安全功能在具體游樂設施中的表現行為，參照大型游樂設施失效案例知識庫和相關法規標準要求進行選取。在此技術上，參照表1 SIL分配矩陣對安全功能進行SIL等級分配，其中表中行表示嚴重程度（Se），列表示以上分析的級別（CI），由Fr、Pr和Av相加而來。行列交叉點位置即為該安全功能應該具備的SIL等級。

表1 SIL分配矩陣

4 安全功能的SIL驗證

安全相關系統的安全功能回路設計完成后，需要對該安全回路所能提供的安全功能進行評估，以明確其安全功能所能達到的安全完整性等級是否滿足風險評估的要求。如果計算得到的安全完整性等級（SIL）達不到根據風險評估分配的安全完整性等級，則安全相關系統的安全回路應重新優化設計。SIL驗證的主流方法有可靠性框圖、故障樹和馬爾科夫（Markov）模型等。但不論何種方法，都是基于安全回路部件的可靠性開展評估和驗證工作。安全回路的可靠性指標是SIL驗證的前提。

4.1 安全回路的可靠性指標

1）安全控制類別（Category）

SRP/CS相對于故障的可靠性等級以及在故障狀態下的自我檢測預警能力是決定SIL的最主要因素。ISO 13849-1當中規定共有B/1/2/3/4共五個類別，類別等級越高可靠性越高[5，6]。安全控制類別是安全回路的基本特性。

2）平均無危險故障時間MTTFd（Mean Time to Dangerous Failure）

由于系統的整體可靠性是由系統內各個不同要素自身的可靠性疊加所決定的，所以平均發生失效率也是決定系統可靠性的主要因素之一。一般來說MTTFd值為故障率的反函數MTTFd=1/λ，單位用[年]來表示。該值可以屬于一個元件，也可以是針對一個系統的描述。針對一個系統時可以通過分段確定每部分的MTTFd，然后計算出系統的平均無故障時間。在需要考慮由于機械操作次數而發生風險的情況下，還需要考慮式（1）所示的B10d（10%的器件發生故障的平均循環次數）參數。這種情況下通過年均操作次數nop（Number of operations）值的設定就可以依據以下公式求出MTTFd值了，其中式（3）為串聯回路計算公式，式（4）為并聯計算公式。

在這里由于游樂設施的運行周期及次數一般部件具有較強的季節性及規律性，使用設計者在初始設計階段可根據以往該設備的運行工況，及具體使用預計情況進行合理的參數設定。安全PLC、安全繼電器等的MTTFd值一般來說是由第三方檢驗機構進行驗證后給出，所以設計者進行回路設計時可優先選擇經過認證的標準件。

3）平均診斷范圍DCavg（Average Diagnostic Coverage）

平均診斷范圍是構成SRP/CS 的各系統的自帶自我診斷能力的平均值。合理的自我診斷及自我監控措施可以作為采用低可靠性回路架構的一種補足措施進行使用，此方法可有效提高回路的SIL等級。這一點也比較符合目前我國游樂設施設計制造的現狀，即可以通過選用比較廉價的器件但通過合理的自我檢測手段實現比較高的性能等級。

4）共因失效理由CCF（Common Cause Failure）

共因失效理由是指構成各部分機械硬件結構發生故障的共同原因。ISO13849-1規定CCF值的大小是由所規定的8個因素的綜合評分進行確定的最低分數不得低于65分，且只有類別2以上的SRP/CS系統需要進行CCF評價。

4.2 安全功能完整性等級驗證

安全功能的完整性等級驗證依賴于以上四個可靠性參數，但決定系統整體安全性能最重要的參數還是控制類別。但在相同控制類別的情況下通過其他三個參數的調整，也可以實現提高或降低安全性能的最終結果，因此可以根據不同設計輸入要求在設計階段實現一定的靈活性。在能保證安全性能的前提下，適當的控制制造成本。最終求得的安全性能結果可通過與ISO 13849-1附件K的表K.1所提供的柱狀圖中的參數進行比對，確定最終的安全性能等級。為方便參考可將柱狀圖的參數值簡化為見表2[7，8]。

表2 性能等級結果比對柱狀圖簡化表

5 結論目前存在的問題

游樂設施安全相關系統安全功能安全性評價方法適用于直接關系人身安全的重要控制系統進行安全評估，填補了國內游樂設施控制系統安全評價的空白，具有重大的現實意義。但游樂設施又區別于傳統的過程工業中的安全儀表系統，在SIL分配及驗證環節區別較大。同時游樂設施本身多樣化、復雜性的特性決定了其安全功能完整性評價存在諸多難點，也是今后研究的重點所在，主要集中在以下幾個方面：

1）安全功能的SIL分配主要依賴于傳統經驗和失效案例數據庫，開發更加有效和準確的定量評價方法才能更加合理地分配安全回路的安全功能SIL等級。

2）在SIL驗證環節，目前國內大部分游樂設施所用的控制元件不具備具體的可靠性指標，在此種情況下，如何確定安全回路元器件的可靠性指標尤為重要。

3）安全回路的安全完整性等級不僅僅取決于硬件回路的安全可靠性，在軟件可靠性、人為因素等方面還有值得研究的影響因素。

[1] EN 13814—2004 Fairground and amusement park machinery and structure-safety[S].

[2] GB 8408—2008 游樂設施安全規范[S].

[3] IEC 61508：1998 Functional safety of electrical/electronic/programmable electronic safety-related systems，IDT[S].

[4] GB/T 20438—2006 電氣/電子/可編程電子安全相關系統的功能安全[S].

[5] ISO 13849：2006 Safety of machinery-Safety-related parts of control systems， IDT[S].

[6] GB/T 16855—2008 機械安全 控制系統有關安全部件[S].

[7] IEC 62061：2005 Safety of machinery-Functional safety of safety-related electrical， electronic and programmable electronic control systems， IDT[S].

[8] GB/T 28526—2012 機械電氣安全 安全相關電氣、電子和可編程電子控制系統的功能安全[S].