张华龙，郑正国，李忠为

（株洲天桥起重机股份有限公司，湖南 株洲 412000）

0 引言

核电数控桥式起重机主要用于燃料后处理示范厂放射性产品存放桶等危险载荷的吊运和定位码放，作业环境特殊。为减小对操作和检修人员的危害，要求运行于其内的起重机必须安全可靠。因此，在设计阶段，首先引入了基本安全标准GB/T15706[1]，对起重机在使用过程中存在的危险进行识别；其次引入GB/T16856[2]对已识别的危险进行风险估计和评估，对较大和不能接受的风险采用相应的手段进行风险减小，并采用风险迭代分析方法，直至此类风险已充分减小到能够被接受，且不引入其他不能接受的风险。根据风险评估的结果，核电数控起重机电气控制系统的起升机构的超上限安全回路、紧急停止安全控制回路、起升超速安全回路以及大小车运行控制回路均需采取进一步措施降低风险；最后结合安全标准GB/T16855.1-2018/ISO13849-1[3]对上述需要风险减小的起重机控制系统安全回路进行验证，保证数控桥式起重机能够稳定可靠地工作。

1 风险评估

风险评估的过程主要包括起重机械限制的确定、危险识别、风险估计、风险评价。

起重机械限制的确定包括使用限制、空间限制、时间限制和其他限制。危险识别主要目的是对起重机运输、安装、试运转、使用、维护以及拆卸报废过程中存在的危险因素、危险状态、危险源等进行识别，并根据识别的危险列出危险清单，为后一步采取措施减小或消除危险做准备。风险估计是根据危险识别的清单和确定的风险要素，对每种危险状态进行风险估计，确定伤害可能达到的严重程度和伤害发生的概率。风险评价是在机械限制确定后，并在危险识别和风险估计的基础上，判断是否已达到风险减小的目的，如需要风险减小，则应选用适当的保护措施[1]。

根据风险评估的结果，对不能接受的风险，需要进一步采取减小风险的措施，直至该风险能够被接受并不引入其他风险。本研究仅探讨电气控制系统的可靠性，因此仅从电气控制方面存在的风险进行阐述。风险评估完后，确定需要采取进一步措施降低风险的电气控制回路有：起升机构的超上限安全回路、紧急停止安全控制回路、起升超速安全回路以及大小车运行控制回路。

确定了需要降低风险的电气安全控制回路后，需要再根据ISO13849-1附录A，确定上述各电气安全控制回路所需的性能等级（PLr），才能达到电气安全控制回路风险，使之降低到能接受的程度。根据S(受伤害严重程度)、F(暴露于风险的频率或持续时间)、P(避免危险的可能性)确定性能等级的方法，见图1。此处以起升机构的超上限安全回路为例，根据此风险图进行分析，受伤害严重程度为S2（起升超上限位失灵后，起升机构会发生严重的机械碰撞或掉落，对在其下面的人员可能会造成不可恢复的伤害或死亡），暴露于风险的频率为F1（起升升降正常情况都为停止开关停车，暴露时间小于总工作时间的1/20），避免危险的可能性为P2（起升超上限位失灵后，时间短暂，很难按下急停按钮，避免碰撞事件发生），因此，起升机构的超上限安全回路需要达到的性能等级为PLd；以上S2、F1、P2数据是根据风险评估小组评审讨论后得出的[3]。

图1 风险评估

2 控制系统安全回路设计

当确定电气安全控制回路的PL等级后，下一步应该确定回路的类别，ISO13849-1给出了五种类别，即类别B、类别1、类别2、类别3、类别4，每种类别都对应各自不同的架构，此处不对类别做详述。

再以起升机构的超上限安全回路性能等级PLd为例，根据图2（同ISO13849-1图5），若要达到PLd，则需要选择类别2或类别 3；如选择了类别2，每个通道的平均危险失效间隔时间（MTTFD）为高，诊断覆盖率（DCavg）为低或中；如选择了类别3，每个通道的MTTFD为中或高，DCavg为低或中。设计从实现的方便性考虑，起升机构的超上限安全回路选择了类别3，类别3对应的指定架构如图3（同ISO13849-1图11），架构3的输入检测回路、逻辑控制模块、输出控制回路均为冗余架构[4]。

图2 PL与类别、DCavg及每个通道的MTTFD关系

图3 类别3的指定架构

2.1 控制系统的设计选型

根据ISO 13849-1，类别3对应的双逻辑控制模块，并且两个模块的信号需要交叉监控，因此设计选型采用西门子S7-1500系列安全型PLC（CPU 1513F）和安全型数字量输入模块和安全型数字量输出模块，安全型PLC通过冗余设计实现功能安全，原理为每个模块内部均有两个小型控制器；这两个控制器相互交叉监视，并同时执行相同功能代码，自动测试彼此I/O回路，如发生故障将故障安全信号模块设置为安全状态[5]。

CPU 1513F使用故障安全Profisafe总线规约与故障安全信号模块、变频器、绝对值编码器等进行通信。对于双输入冗余传感器，传感器1采用重锤限位开关，传感器2采用绝对值编码器；冗余输出控制回路1控制主接触器通断，冗余输出控制回路2控制起升机构变频器输出。图4为控制系统拓扑图，图5为根据类别3设计的起升超上限安全回路架构图[2]。

图4 控制系统拓扑

图5 起升超上限安全回路架构

2.2 安全控制回路的设计

根据起升超上限安全回路架构图，设计了起升机构的双回路控制原理图。

回路1，直接通过重锤限位开关控制总电源接触器的线圈，当重锤开关A1SL61动作后，B1KA01中间继电器动作，断开总电源接触器B1KM00/01线圈电源，总电源接触器失电断开，因此起升机构电源失电，起升机构停止上升，详见图6和图7。

图6 总接触器控制电路

图7 总接触器主电路

回路2，通过绝对值编码器A1BV01监控起升机构高度，绝对值编码器通过Profinet总线接入控制系统，安全型PLC（CPU 1513F）通过总线时刻读取并监测绝对值编码器的位置信息，当超过了高度阈值后，通过总线发送控制停止命令字给起升变频器B2UFM1停止运行，制动器立即抱闸，此时起升机构停止上升，详见图4。

3 控制回路PL等级验证

根据ISO13849-1的要求，需要对每个通道的MTTFD、CCF、DCavg、类别、软件和PL进行量化，验证设计及选型等的正确性。

3.1 MTTFD验算

与供应商联系，取得了各选型产品的MTTFD或B10D，见表1。

表1 各元器件的MTTFD或B10D

根据现场实际应用工况，限位开关（A1SL61）预定每年工作365天，每天3班，白天班8 h操作，该开关两次相继切换的起始点之间的平均时间估计为1周（7×24×3600 s，正常使用基本不动作，此时间定义为该开关的检查时间间隔）；（见ISO 13849-1 C.2式）；MTTFD==1149425（见ISO 13849-1 C.1式）。中间继电器（B1KA01）预定每年工作365天，每天3班，仅白天班8 h操作，该中继两次相继切换的起始点之间的平均时间估计为8 h（8×3600 s）；总接触器（B1KM01/00）预定每年工作365天，每天3班，白天班8 h操作，该接触器两次相继切换的起始点之间的平均时间估计为8 h（8×3600 s）；

表2 每通道MTTFD

3.2 DCavg验算

在控制回路图中，限位开关（A1SL61）常闭点输入至安全PLC模块；中间继电器（B1KA01）常闭点输入至安全PLC模块；接触器（B1KM00/01）常闭点输入至安全PLC模块；每个被测部件的DCavg值为：

（1）DC A1SL61=99%，“高”，ISO 13849-1表E.1输入装置第2栏，使用常闭机械触点，取99%；

（2）DC B1KA01=99%，“高”，用常开机械连接触点，ISO 13849-1表E.1输出第8栏；

（3）DC B1KM00/01=99%，“高”，PLC监控接触器常闭触点,ISO 13849-1表E.1输出第8栏；

（4）DC A1BV01=0，“低”，产品规格书给出说明；

（5）DCA1LC01=99%，“高”，安全型PLC，产品规格书给出说明；

（6）DCB2UFM1=99%，“高”，安全型PLC，产品规格书给出说明；

根据ISO 13849-1附录E.2公式（E.1）

表3 每通道MTTFD

3.3 CCF（共因失效）估计

ISO 13849-1附录F给出了CCF量化评分的原则，根据设计的实际情况，对起升机构的超上限安全控制回路进行防止CCF措施如下：

（1）设计采用硬线控制和PLC控制相异的设计原则，此条获得20分；

（2）回路具有防止过电压、过电流、过热等保护且选用的元器件均是经验证的，此条获得20分；

（3）电气控制系统有根据标准防止污染和电磁干扰来防止CCF的设计，且有考虑环境因素如振动、温度、湿度等外因扰动，此条获得35分。

因此，总得分为75分，CCF得分≥65既满足要求。

3.4 软件

由于采用了安全型PLC，可以保证安装于其内的嵌入式软件应用软件在全生命周期内的安全性，因此控制系统软件满足相关安全要求。

3.5 结果

起升超上限安全回路架构满足类别为3特征，每个通道的等效MTTFD为“高”，诊断覆盖率DCavg为中；防止CCF的措施足够。

根据图2，起升超上回路数据：MTTFD=高（136），DCavg=中（%），类别为3，得出PL=d或e。

综上，起升超上限安全控制回路的计算评估，满足PLd等级要求。

设计采用了同样的方法，对需要采取措施降低风险的紧急停止安全控制回路、起升超速安全回路以及大小车运行控制回路均做了相应的PLr性能等级验算，均满足设计及标准要求。

4 结语

核电数控桥式起重机采用了风险评估的方法，识别出电气控制系统存在的风险，并对不能接受的风险采取了进一步降低风险的措施，保证了电气控制系统的可靠性，为核电数控起重机在辐照环境下的稳定可靠运行提供了有力的安全保障。