港口機械控制系統安全性能評估與應用

顧明觀

上海振華重工(集團)股份有限公司

1 引言

隨著港口機械向自動化、智能化方向發展，其控制系統愈發復雜，設備的安全風險也隨之增大，無論是設計、調試還是操作環節中的失誤，都可能導致系統失效，進而引發安全事故。采用具備安全功能的控制系統，是降低安全風險的有效方法。因此，對控制系統的安全性能進行科學評估，是提高港口機械設備安全性的重要保證。

2 機械安全標準及主要安全功能

2.1 機械安全標準

ISO 13849和IEC 62061都是應用于機械行業的功能安全評估標準，對控制系統安全相關部件的設計提出了要求。在設計機械設備的控制系統時，采用其中任何一個標準都可認為滿足了基本安全要求。兩者的區別在于，IEC 62061沿用IEC(國際電工委員會)頒布的功能安全標準IEC 61508中定義的安全完整性等級(SIL)的概念，而ISO 13849源自歐洲標準EN 954-1，并吸收了IEC 61508系列的部分概念，側重于分析控制回路的結構特征，再結合平均危險失效間隔時間等3個量化參數，來評估回路是否達到期望的性能等級(PL)[1]。以下基于應用范圍更為廣泛的ISO 13849，論述控制系統安全性能等級的評估方法和過程。

2.2 主要安全功能

為了保證機器的安全性，在開發和設計機械設備的過程中必須考慮減小風險，可通過各種保護措施來實現，最終達到安全狀態。這些措施既可以是控制系統提供的安全功能，也可以是其他保護措施(如機械措施)。在港口機械上，控制系統的安全功能通常包括：超行程保護、限制區域保護、碰撞保護、超速保護、過載保護、超力矩保護、被困人員的救援聯鎖保護、防止意外啟動、手動復位、緊急停止等[2]。

3 控制系統安全性能等級的評估方法

對控制系統進行安全性能評估就是識別由控制系統安全相關部件所執行的安全功能，確定其所能達到的性能等級，并驗證其性能等級是否滿足安全需求的過程。

3.1 所需性能等級(PLr)的確定

對于由控制系統的安全相關部件執行的每項安全功能，ISO 13849提供了一種風險圖解方法(見圖1)，按照下列3個風險參數確定所要求的性能等級(PLr):傷害的嚴重程度(S)，暴露于危險的頻率或時間(F)，以及避免危險或限制傷害的可能性(P)。

圖1 風險圖解法

3.2 安全相關部件的識別

為了計算安全功能的失效概率，需要精確識別電氣原理圖中的安全功能相關部件，包括失效可能影響功能通道中安全功能執行的所有部件(冗余結構具有兩個功能通道)，以及負責檢測此類危險失效并實現安全狀態的所有測試器件。

3.3 控制系統的結構類別

類別(Category)，是控制系統在防止故障能力以及故障條件下后續行為方面的分類，分為類別B、類別1、類別2、類別3和類別4，共5類。它是決定控制系統安全性能等級的重要因素之一。

在此過程中，通過冗余、測試以及是否使用經驗證的部件等特性，確定控制系統的結構類別。類別B是基本類別，所有其他類別都必須滿足類別B的要求。類別1主要通過選擇和使用合適的元件來改進耐受故障的能力，發生1個故障就可使安全功能無效。類別2、類別3和類別4這3種類別主要通過結構措施實現更好的安全功能表現。其中，類別2是通過定期檢查正在執行的指定安全功能來實現；類別3和類別4采用雙通道的冗余措施，保證單一故障情況下，安全控制系統依然可以通過執行安全功能來實現。

3.4 平均危險失效時間(MTTFD)的估算

平均危險失效間隔時間(MTTFD)，是指預期的發生危險失效的平均時間。理論上，每個元件、模塊、通道及控制系統作為一個整體都具有一個MTTFD值。單個元件的MTTFD值優先采用制造商的數據，不可得時則可以使用標準中附錄C的方法進行計算或評估；各通道的MTTFD值可以使用標準中附錄D中的“部件計數法”進行簡化估算。

每個通道的MTTFD值劃分為高(30～100年)、中(10～30年)和低(3～10年)3個等級，最大值一般為100年(對于類別4的控制系統，最大值增加至2 500年)。

3.5 診斷覆蓋率(DCavg)的估算

診斷覆蓋率(DC)，是可診斷危險失效的失效率與所有危險失效的失效率之間的比值，它是衡量診斷有效性的指標。根據診斷覆蓋率范圍，劃分為高(99%以上)、中(90%～99%)、低(60%～90%)和無(60%以下)4個等級。診斷覆蓋率是針對某一元件、模塊或者整個安全控制系統而言的。對于執行安全功能的控制系統來說，只有一個平均診斷覆蓋率DCavg。估計DC的簡化方法參見標準中的附錄E。

3.6 共因失效(CCF)的估算

共因失效(CCF)，是指由單一事件引發的不同產品的失效，而且這些失效不能互為因果關系。除了類別B和類別1不具有冗余結構的系統外，其他系統都必須采取防止CCF的措施。標準中的附錄F給出了防止CCF的措施，且每項措施對應5～25不等的得分。對于列出的每種措施，要么得滿分，要么得零分，若部分滿足某種措施，該措施不能得分。基于此原則計算出控制系統防止CCF的措施得分，足夠防止CCF的措施要求最低得分為65分。

3.7 性能等級(PL)的確定

性能等級(PL)，表示控制系統執行安全功能的能力，分為5個等級，從最低PL=a到最高PL=e，各自對應一個明確的平均每小時危險失效概率(PFHD)范圍。

通過對前述MTTFD、DC、CCF和結構類別的估計，按照標準可確定控制系統中每個安全相關部件的性能等級(PL)。對于每種單獨的安全功能，控制系統的安全相關部件的性能等級(PL)必須不低于所要求的性能等級(PLr)。反之需要重新修改設計，直至滿足PL≥PLr。

4 控制系統安全性能等級評估方法的應用

以可移動式防護門為例，評估控制系統的安全性能等級。

4.1 確定所需性能等級

可移動式防護門的安全功能是，一旦打開防護門，將立即啟動安全停止功能，達到防止人員在機械設備工作狀態下進入危險區域的目的。根據風險圖解法，確定風險參數S=S2，P=P1，F=F2，由圖1可得出所需性能等級PLr=d。

4.2 識別安全相關部件

圖2所示的電路圖展示了影響防護門安全功能的所有部件，其中省略了不影響安全功能的元器件。

圖2 防護門安全功能控制原理圖

以下采用“倒推法”將安全功能的電路圖轉換為功能模塊圖進行邏輯表示。在本例中，防護門的開關狀態由兩個位置開關B1和B2檢測。B1的常閉觸點與接觸器Q相連，構成第一個功能通道，可以直接切斷電動機的電源；位置開關B2與可編程邏輯控制器K和變頻器T構成了第二個功能通道，也可以切斷電動機的電源，從而防止危險動作的發生。因此，在某一通道發生故障時，安全功能保持不變。這些安全相關部件和通道可以用圖3所示的功能模塊圖表示。

圖3 防護門安全功能模塊圖

另外，B1的常開觸點信號輸入到K，并與B2的開關位置進行比較；接觸器Q的開合狀態同樣在K中監控。若K檢測到B1、B2和Q中的部件故障，將使得Q失電從而禁止運行。

制造商給出的安全相關部件的B10D和MTTFD數據見表1。

表1 安全相關部件的B10D和MTTFD值

4.3 估算可量化參數

4.3.1 平均危險失效時間MTTFD計算

假定該設備每年的工作時間為300 d，每天工作16 h，該防護門每小時估計操作1次，則年平均操作次數為：nop=300×16×1=4 800次/a。

根據標準中的公式：

(1)

可得，MTTFD,B1=208 a，MTTFD,B2=208 a，MTTFD,Q=833 a。

應用標準中的部件計數法，得出B1和Q組成的第一個通道的MTTFD，C1值為：

(2)

同理，B2、K和T組成的第二個通道MTTFD,C2=11.3 a。

由于這兩個通道具有不同的MTTFD值，應該用每個通道具有相同MTTFD的冗余系統來代替。根據標準給出的對稱雙通道系統的MTTFD等效計算方法：

(3)

求得該系統的MTTFD為111.6 a，大于100 a，因此得出MTTFD為“高”。

4.3.2 診斷覆蓋率DCavg計算

在上述電路中，PLC測試B1、B2、Q、T和PLC本身等5個安全相關部件。根據標準中的表E1，每個被測部件的DC為：DCB1/B2=99%(基于K對B1和B2兩個位置開關狀態的合理性監測)；DCQ=99%(通過對接觸器Q鏡像觸點的監控)；K的DCK假設為60%(由于過程可能檢測到故障)，T的DCT假設為60%(供應商給出)。則系統的診斷覆蓋率為：

(4)

DCavg介于60%和90%之間，因此得出DCavg為“低”。

4.3.3 針對共因失效(CCF)的適當措施

假定控制電路采取了如下防止CCF的措施：信號路徑之間的物理隔離，位置開關B1和B2的電源導線單獨敷設，即信號路徑之間的物理隔離(15分)，過壓保護等措施(15分)，并且考慮了環境有關因素(25+10分)，因此總的得分為65分，剛好滿足防止CCF的要求。

4.4 結果分析

控制系統采用了雙通道的冗余結構，MTTFD為高(111.6 a)，DCavg為低(64.5%)，且具有足夠防止TF的措施(65分)，因此，滿足類別3的要求。根據以上估算，應用標準可以查得其性能等級PL=d，與所需的性能等級PLr匹配，即PL≥PLr，證明此安全功能的安全回路設計符合要求。

5 結語

控制系統安全相關部件的設計是風險減小策略的一部分，隨著控制技術的發展，港口機械的安全功能越來越多地依賴于控制系統，控制系統對于風險減小的作用越來越大，其性能等級關系到整個設備和人員的安全。因此，對港口機械的控制系統進行安全性能等級評估，并驗證是否能夠滿足安全需求十分必要。