盾構(gòu)機刀盤急停控制系統(tǒng)性能等級的研究

王曉偉

（中國鐵建重工集團股份有限公司，湖南長沙 410100）

0 引言

盾構(gòu)機作為一種地下隧道施工的重要設(shè)備，已經(jīng)被大量廣泛地應(yīng)用于城市地鐵施工中，其中刀盤作為盾構(gòu)機的核心部件之一，配備有急停控制系統(tǒng)，起著保護人員和設(shè)備的重要作用，其安全性能非常關(guān)鍵。標準ISO 13849-1—2015 劃分了系統(tǒng)的性能等級，不同設(shè)計的刀盤急停控制系統(tǒng)，對應(yīng)著不同的性能等級，CE 標準EN 16191—2014 對盾構(gòu)機安全功能所需的性能等級作出了要求，其中就包括刀盤急停控制系統(tǒng)。只有分析計算出盾構(gòu)機刀盤風(fēng)險等級和刀盤急停控制系統(tǒng)實際的性能等級，才能知道盾構(gòu)機當前的刀盤急停控制系統(tǒng)是否滿足設(shè)計要求。以中國鐵建重工集團股份有限公司（以下簡稱“鐵建重工”）生產(chǎn)的土壓平衡盾構(gòu)機刀盤急停控制系統(tǒng)為研究對象，對刀盤風(fēng)險等級及刀盤急停控制系統(tǒng)的性能等級進行分析和研究。

1 所需安全性能等級分析

1.1 風(fēng)險等級評估方法

標準ISO 13849-1—2015 提供了一種機械設(shè)備的風(fēng)險等級評估方法，通過該方法可以分析出設(shè)備的風(fēng)險等級及對應(yīng)所需的性能等級。該方法是從3 個因素進行分析評估，通過結(jié)果組合后最終得到設(shè)備或系統(tǒng)的風(fēng)險等級高低及所需要的安全性能等級。3 個因素分別是：

（1）傷害嚴重度S1 和S2。按照標準ISO 13849-1—2015 定義，S1 為輕傷（可恢復(fù)的），如擦傷、劃傷；S2 表示重傷（不可恢復(fù)的）和死亡，如斷肢或死亡。

（2）暴露于危險的頻率或時間F1 和F2。按照標準定義，F(xiàn)1表示頻率低或時間短，F(xiàn)2 表示頻率高或時間長。如果人員頻繁或不斷的暴露于危險中，或者頻率達到每15 min 一次，則應(yīng)選擇F2，如果累計暴露時間未超過全部操作時間的1/20，且頻率未超過每15 min 一次，則可選擇F1。

（3）避免危險的可能性P1 和P2。按照標準定義，當危險情況發(fā)生時，僅當實際上能夠避免危險或能夠大幅度降低其危害程度時，才可以選擇P1，否則應(yīng)選擇P2。

在實際風(fēng)險等級評估過程中，如果無法確定某個因素等級時，宜采用較高等級。

1.2 所需安全性能等級確定

通過分析影響風(fēng)險等級的3 個因素后，得出每個風(fēng)險因素等級，然后根據(jù)等級組合結(jié)果得出系統(tǒng)PLr。

標準ISO 13849-1—2015 定義了性能等級（Performance Level，PL）和所需的性能等級（PLr）。PL 指的是在可預(yù)測條件下，用來規(guī)定系統(tǒng)的各零部件執(zhí)行安全功能的離散級別，可以理解為系統(tǒng)實際的安全特性級別。PL 分為5 個等級，分別為a、b、c、d、e，其中a 為最低、e 為最高。圖1 是不同的風(fēng)險因素等級組合結(jié)果對應(yīng)的PLr，其中“1”表示風(fēng)險等級評估起點，“L”表示等級低、“H”表示等級高。風(fēng)險等級越高，則需要的安全性能等級也越高。PLr則是指使系統(tǒng)風(fēng)險降低而使用的安全特性級別。

圖1 安全性能等級需求確認圖

2 安全性能等級分析

2.1 性能等級分析參數(shù)

一個系統(tǒng)的PL 與組成該系統(tǒng)的各個部件的安全性能及組合類型有關(guān)，標準ISO 13849-1—2015 里提供一種估計PL 的可計量參數(shù)的簡化程序，可通過考慮相關(guān)參數(shù)和適當計算方法來估計PL。這些參數(shù)包括類別Cat.、平均危險失效時間MTTFD、診斷覆蓋率DC 和共因失效CCF。

2.1.1 類別Cat.

Cat.（Category，類別）指的是控制系統(tǒng)的各零部件防止故障能力以及在出現(xiàn)故障后系統(tǒng)后續(xù)動作方面的分類，它通過部件的結(jié)構(gòu)布置、故障檢測和部件可靠性來達到。這些類別分為5類，稱之為B 類、1 類、2 類、3 類和4 類，其中4 類安全性能最高。圖2 是各個類別的通用結(jié)構(gòu)圖，這些結(jié)構(gòu)圖不僅能當作電路圖，也能當作邏輯圖。

圖2 類別種類結(jié)構(gòu)

2.1.2 平均危險失效時間MTTFD

MTTFD（Mean Time To Dangerous Failure，預(yù)期的危險失效平均時間）分為3 個等級，分別為低、中、高，表1 顯示了3 個等級對應(yīng)的MTTFD值。

表1 每通道至危險性失效的平均時間（MTTFD）

對于器件MTTFD的獲取，標準里規(guī)定了應(yīng)按以下優(yōu)先順序：①采用制造商的數(shù)據(jù)；②使用標準ISO 13849-1—2015 附錄C 和附錄D 的方法；③選為10 年。先獲得或估算出每個通道中每個器件的MTTFD值，然后根據(jù)式（1）計算出整個系統(tǒng)的MTTFD值。

其中，MTTFD表示整個通道，MTTFDi表示每個元件的MTTFD。

2.1.3 診斷覆蓋率DC

DC（Diagnostic Coverage，診斷覆蓋率）是一種診斷有效性的度量，是可診斷的危險失效的失效率與所有的危險失效的失效率的比值。DC 分為4 個等級，分別為無、低、中和高（表2）。

表2 4 個等級對應(yīng)的DC

由數(shù)個零件組成的控制系統(tǒng)中，應(yīng)使用診斷覆蓋率平均值DCavg作為DC。

2.1.4 共因失效CCF

CCF（Common Cause Failure，共因失效）是指同一事件引起的不同產(chǎn)品的失效，這些失效相互之間沒有因果關(guān)系。對于類別2、類別3 和類別4，應(yīng)采用足以防止共因失效的措施。標準ISO 13849-1—2015 的附錄F 提供了防止CCF 措施的打分和量化過程，最后總分在65 分以上（滿分100 分），則說明該類別的防止CCF 措施是符合要求的。

2.2 性能等級確認

標準ISO 13849-1—2015 給出了類別、DCavg、每通道MTTFD與PL 的關(guān)系（圖3）。根據(jù)類別、每個通道MTTFD以及DCavg可以得出系統(tǒng)的PL，同樣根據(jù)需要的PL 也可以得出對應(yīng)的各個參數(shù)來輔助系統(tǒng)設(shè)計。

圖3 Cat.、DCavg、每通道MTTFD 與PL 的關(guān)系

圖3 中，某些區(qū)域存在有多種可能的PL，為了得到更準確的PL，標準采用每小時平均危險失效概率（PFHD）來量化PL。一些元器件采用的是根據(jù)IEC 61508 規(guī)定的SIL（Safety Integrity Level，安全完整性等級）來表示其安全能力的，表3 給出了PL與SIL 間的對應(yīng)關(guān)系。

表3 PL 與PFHD、SIL 對照表

3 項目實例分析

以鐵建重工生產(chǎn)出口到土耳其的盾構(gòu)機刀盤急停控制系統(tǒng)為例，分析盾構(gòu)機刀盤的風(fēng)險等級及急停控制系統(tǒng)需要的性能等級（PLr），并核算當前設(shè)計的刀盤急停控制系統(tǒng)的性能等級（PL）是否滿足需求。

3.1 刀盤急停控制系統(tǒng)PLr 評估

標準EN 16191—2014 的表3 規(guī)定了盾構(gòu)機各安全功能所需的性能等級（PLr），其中緊急停止裝置要求的性能等級（PLr）為c/d，d 需要根據(jù)風(fēng)險評估。根據(jù)風(fēng)險等級評估方法，首先需要確定3 個風(fēng)險因素等級。刀盤是盾構(gòu)機的重要核心部件之一，充當著盾構(gòu)機的“牙齒”，起到切削土體的作用，隨著工作時間的推移，刀盤上的刀具會出現(xiàn)不同程度的磨損，降低施工效率，所以每隔一段時間需要施工人員檢查或更換刀具。根據(jù)盾構(gòu)機施工行業(yè)經(jīng)驗分析，刀盤累計檢修時間并未超過全部工作時間的1/20，且頻率未高于每15 min 一次，由此可以判定暴露于危險的頻率或時間等級為F1。盾構(gòu)機刀盤又是一個質(zhì)量慣性較大的可旋轉(zhuǎn)部件，且周邊工作區(qū)域空間狹小，一旦出現(xiàn)緊急危險情況，人員逃脫的難度是比較大的，在結(jié)合行業(yè)內(nèi)的一些事故案列，可以得出它的傷害嚴重度等級為S2，避免危險的可能性等級為P2。根據(jù)圖1 并結(jié)合分析的風(fēng)險因素等級，最終可以得出盾構(gòu)機刀盤的風(fēng)險等級較高，相應(yīng)的急停控制系統(tǒng)需要的性能等級（PLr）為d。

3.2 刀盤急停控制電路圖分析

鐵建重工生產(chǎn)出口到土耳其的盾構(gòu)機是通過控制變頻器驅(qū)動刀盤電機來實現(xiàn)刀盤旋轉(zhuǎn)動作的。變頻器U1 選用的是帶有STO（Safe Torque Off，安全轉(zhuǎn)矩關(guān)斷）功能的Vacon NX 系列變頻器，該變頻器用戶手冊上有推薦STO 安全停機的接線圖。圖4是根據(jù)變頻器用戶手冊推薦的接線圖來搭接的刀盤急停控制系統(tǒng)的電路結(jié)構(gòu)圖，安全繼電器選用AB 的。隔離開關(guān)Q1、本地急停按鈕S1 和遠程急停按鈕S2 都有兩組觸點，并且每個元器件的兩組觸點是同步動作的。刀盤正常工作時，Q1、S1、S2 的兩組觸點均閉合，此時安全繼電器K1 的兩路輸出通道均是導(dǎo)通的，變頻器U1 的STO 兩個輸入均接通有24 V 電。如果STO 兩個輸入中的任何一個輸入沒有連接到24 V，變頻器都不能為運行狀態(tài)。當Q1、S1、S2 其中任何一個只要有一組觸點斷開，則K1的兩路輸出通道就會斷開并保持斷開狀態(tài)，從而使U1 的STO兩個輸入失電，導(dǎo)致變頻器U1 輸出無效使得變頻器不在刀盤驅(qū)動電機軸上產(chǎn)生轉(zhuǎn)矩、刀盤不能旋轉(zhuǎn)。

圖4 刀盤急停電路結(jié)構(gòu)

由圖4 可以看出，刀盤急停控制系統(tǒng)是采用雙輸入和雙輸出回路，根據(jù)圖2 在結(jié)合變頻器和安全繼電器樣本手冊，可以得出刀盤急停控制系統(tǒng)滿足Cat.3 結(jié)構(gòu)。

對于Cat.3 結(jié)構(gòu)，還需要分析該結(jié)構(gòu)為防止CCF 而采取的措施是否符合要求，根據(jù)標準ISO 13849-1—2015 的附錄F 以及結(jié)合元器件的樣本手冊，可以得出刀盤急停控制系統(tǒng)結(jié)構(gòu)采取了隔離、過電壓過電流保護、所用構(gòu)件經(jīng)充分驗證、環(huán)境因素影響（電磁兼容性、溫度、振動等）等措施來防止CCF，總分至少為70 分，已滿足防止CCF 的要求。

3.3 刀盤急停控制系統(tǒng)PL 分析

通過前文分析可知，只得出系統(tǒng)的類別（Cat.）來評估系統(tǒng)PL 是不夠的，還需要DCavg、每通道MTTFD這些參數(shù)。通過查詢變頻器、安全繼電器樣本手冊，可以得到相關(guān)數(shù)據(jù)（表4），但Q1、S1 和S2 未能獲得制造商的MTTFD數(shù)據(jù)及可采用的DC 標準推薦值。

表4 刀盤急停控制回路各元器件的MTTFD、DC 參數(shù)值

對于Q1、S1、S2，雖然沒有查詢到MTTFD值，但是標準ISO 13849-1—2015 提供了一種根據(jù)B10D（10%的元件達到危險失效時的平均周期數(shù)）和nop（平均年操作次數(shù)）來計算元件MTTFD的方法。通過查詢標準ISO 13849-1—2015 附錄C 中的表C.1，可知Q1、S1、S2 的B10D=100 000，盾構(gòu)機一年工作時間為365 d，每天工作24 h，分為兩班制，每個班檢查和測試一次急停裝置，兩次間隔時間為12 h，則nop=365×24/12=730，再根據(jù)標準提供的公式計算出單個刀盤急停按鈕的MTTFD值。

由于Q1、S1、S2 的參數(shù)及使用工況均相同，因此它們的MTTFD相等、均為1370。在知道刀盤急停控制系統(tǒng)內(nèi)每個元器件的MTTFD后，可以計算出系統(tǒng)每個通道的MTTFD。對于刀盤急停控制系統(tǒng)來說，兩個通道的MTTFD值是相同的。根據(jù)式（1）可以計算出刀盤急停控制系統(tǒng)每通道MTTFD。

最終計算出的刀盤急停控制系統(tǒng)每通道MTTFD為165 年，標準要求取最大值100 年，再根據(jù)表1 可以得出刀盤急停控制系統(tǒng)每通道MTTFD等級為“高”。

對于Q1、S1、S2 這3 個交互監(jiān)控輸入設(shè)備，標準推薦DC 為99%，由于它們是串聯(lián)后接入安全繼電器的，會導(dǎo)致每個輸入設(shè)備的DC 值降低，綜合實際考量后，將Q1、S1、S2 的DC 定為60%。通過圖4 可知，安全繼電器K1 沒有直接監(jiān)控變頻器U1的STO，這里采用較嚴格的計算方法，因此在計算系統(tǒng)的DCavg時，應(yīng)將變頻器U1 的STO 的DC 定為0。根據(jù)式（2）可以計算出刀盤急停控制系統(tǒng)DCavg。

通過計算，可知刀盤急停控制系統(tǒng)DCavg為65%，由表2 可知刀盤急停控制系統(tǒng)DCavg等級為“低”。

由上述計算分析可知，盾構(gòu)機刀盤急停控制系統(tǒng)滿足Cat.3，防止CCF 措施為足夠，每通道MTTFD等級為“高”，DCavg等級為“低”，再根據(jù)圖3，最終可知刀盤急停控制系統(tǒng)的PL 為d。

4 結(jié)論

通過對盾構(gòu)機的刀盤進行風(fēng)險評估，得出盾構(gòu)機刀盤急停控制系統(tǒng)需求的性能等級（PLr）為d，根據(jù)標準ISO 13849-1—2015 分析計算出鐵建重工生產(chǎn)出口到土耳其的盾構(gòu)機刀盤急停控制系統(tǒng)的性能等級（PL）為d，滿足CE 標準EN 16191—2014 規(guī)定的盾構(gòu)機刀盤急停控制系統(tǒng)的性能等級要求。