港口机械控制系统安全性能评估与应用

2022-05-06顾明观

港口装卸 2022年2期

顾明观

上海振华重工(集团)股份有限公司

1 引言

随着港口机械向自动化、智能化方向发展，其控制系统愈发复杂，设备的安全风险也随之增大，无论是设计、调试还是操作环节中的失误，都可能导致系统失效，进而引发安全事故。采用具备安全功能的控制系统，是降低安全风险的有效方法。因此，对控制系统的安全性能进行科学评估，是提高港口机械设备安全性的重要保证。

2 机械安全标准及主要安全功能

2.1 机械安全标准

ISO 13849和IEC 62061都是应用于机械行业的功能安全评估标准，对控制系统安全相关部件的设计提出了要求。在设计机械设备的控制系统时，采用其中任何一个标准都可认为满足了基本安全要求。两者的区别在于，IEC 62061沿用IEC(国际电工委员会)颁布的功能安全标准IEC 61508中定义的安全完整性等级(SIL)的概念，而ISO 13849源自欧洲标准EN 954-1，并吸收了IEC 61508系列的部分概念，侧重于分析控制回路的结构特征，再结合平均危险失效间隔时间等3个量化参数，来评估回路是否达到期望的性能等级(PL)[1]。以下基于应用范围更为广泛的ISO 13849，论述控制系统安全性能等级的评估方法和过程。

2.2 主要安全功能

为了保证机器的安全性，在开发和设计机械设备的过程中必须考虑减小风险，可通过各种保护措施来实现，最终达到安全状态。这些措施既可以是控制系统提供的安全功能，也可以是其他保护措施(如机械措施)。在港口机械上，控制系统的安全功能通常包括：超行程保护、限制区域保护、碰撞保护、超速保护、过载保护、超力矩保护、被困人员的救援联锁保护、防止意外启动、手动复位、紧急停止等[2]。

3 控制系统安全性能等级的评估方法

对控制系统进行安全性能评估就是识别由控制系统安全相关部件所执行的安全功能，确定其所能达到的性能等级，并验证其性能等级是否满足安全需求的过程。

3.1 所需性能等级(PLr)的确定

对于由控制系统的安全相关部件执行的每项安全功能，ISO 13849提供了一种风险图解方法(见图1)，按照下列3个风险参数确定所要求的性能等级(PLr):伤害的严重程度(S)，暴露于危险的频率或时间(F)，以及避免危险或限制伤害的可能性(P)。

图1 风险图解法

3.2 安全相关部件的识别

为了计算安全功能的失效概率，需要精确识别电气原理图中的安全功能相关部件，包括失效可能影响功能通道中安全功能执行的所有部件(冗余结构具有两个功能通道)，以及负责检测此类危险失效并实现安全状态的所有测试器件。

3.3 控制系统的结构类别

类别(Category)，是控制系统在防止故障能力以及故障条件下后续行为方面的分类，分为类别B、类别1、类别2、类别3和类别4，共5类。它是决定控制系统安全性能等级的重要因素之一。

在此过程中，通过冗余、测试以及是否使用经验证的部件等特性，确定控制系统的结构类别。类别B是基本类别，所有其他类别都必须满足类别B的要求。类别1主要通过选择和使用合适的元件来改进耐受故障的能力，发生1个故障就可使安全功能无效。类别2、类别3和类别4这3种类别主要通过结构措施实现更好的安全功能表现。其中，类别2是通过定期检查正在执行的指定安全功能来实现；类别3和类别4采用双通道的冗余措施，保证单一故障情况下，安全控制系统依然可以通过执行安全功能来实现。

3.4 平均危险失效时间(MTTFD)的估算

平均危险失效间隔时间(MTTFD)，是指预期的发生危险失效的平均时间。理论上，每个元件、模块、通道及控制系统作为一个整体都具有一个MTTFD值。单个元件的MTTFD值优先采用制造商的数据，不可得时则可以使用标准中附录C的方法进行计算或评估；各通道的MTTFD值可以使用标准中附录D中的“部件计数法”进行简化估算。

每个通道的MTTFD值划分为高(30～100年)、中(10～30年)和低(3～10年)3个等级，最大值一般为100年(对于类别4的控制系统，最大值增加至2 500年)。

3.5 诊断覆盖率(DCavg)的估算

诊断覆盖率(DC)，是可诊断危险失效的失效率与所有危险失效的失效率之间的比值，它是衡量诊断有效性的指标。根据诊断覆盖率范围，划分为高(99%以上)、中(90%～99%)、低(60%～90%)和无(60%以下)4个等级。诊断覆盖率是针对某一元件、模块或者整个安全控制系统而言的。对于执行安全功能的控制系统来说，只有一个平均诊断覆盖率DCavg。估计DC的简化方法参见标准中的附录E。

3.6 共因失效(CCF)的估算

共因失效(CCF)，是指由单一事件引发的不同产品的失效，而且这些失效不能互为因果关系。除了类别B和类别1不具有冗余结构的系统外，其他系统都必须采取防止CCF的措施。标准中的附录F给出了防止CCF的措施，且每项措施对应5～25不等的得分。对于列出的每种措施，要么得满分，要么得零分，若部分满足某种措施，该措施不能得分。基于此原则计算出控制系统防止CCF的措施得分，足够防止CCF的措施要求最低得分为65分。

3.7 性能等级(PL)的确定

性能等级(PL)，表示控制系统执行安全功能的能力，分为5个等级，从最低PL=a到最高PL=e，各自对应一个明确的平均每小时危险失效概率(PFHD)范围。

通过对前述MTTFD、DC、CCF和结构类别的估计，按照标准可确定控制系统中每个安全相关部件的性能等级(PL)。对于每种单独的安全功能，控制系统的安全相关部件的性能等级(PL)必须不低于所要求的性能等级(PLr)。反之需要重新修改设计，直至满足PL≥PLr。

4 控制系统安全性能等级评估方法的应用

以可移动式防护门为例，评估控制系统的安全性能等级。

4.1 确定所需性能等级

可移动式防护门的安全功能是，一旦打开防护门，将立即启动安全停止功能，达到防止人员在机械设备工作状态下进入危险区域的目的。根据风险图解法，确定风险参数S=S2，P=P1，F=F2，由图1可得出所需性能等级PLr=d。

4.2 识别安全相关部件

图2所示的电路图展示了影响防护门安全功能的所有部件，其中省略了不影响安全功能的元器件。

图2 防护门安全功能控制原理图

以下采用“倒推法”将安全功能的电路图转换为功能模块图进行逻辑表示。在本例中，防护门的开关状态由两个位置开关B1和B2检测。B1的常闭触点与接触器Q相连，构成第一个功能通道，可以直接切断电动机的电源；位置开关B2与可编程逻辑控制器K和变频器T构成了第二个功能通道，也可以切断电动机的电源，从而防止危险动作的发生。因此，在某一通道发生故障时，安全功能保持不变。这些安全相关部件和通道可以用图3所示的功能模块图表示。

图3 防护门安全功能模块图

另外，B1的常开触点信号输入到K，并与B2的开关位置进行比较；接触器Q的开合状态同样在K中监控。若K检测到B1、B2和Q中的部件故障，将使得Q失电从而禁止运行。

制造商给出的安全相关部件的B10D和MTTFD数据见表1。

表1 安全相关部件的B10D和MTTFD值

4.3 估算可量化参数

4.3.1 平均危险失效时间MTTFD计算

假定该设备每年的工作时间为300 d，每天工作16 h，该防护门每小时估计操作1次，则年平均操作次数为：nop=300×16×1=4 800次/a。

根据标准中的公式：

(1)

可得，MTTFD,B1=208 a，MTTFD,B2=208 a，MTTFD,Q=833 a。

应用标准中的部件计数法，得出B1和Q组成的第一个通道的MTTFD，C1值为：

(2)

同理，B2、K和T组成的第二个通道MTTFD,C2=11.3 a。

由于这两个通道具有不同的MTTFD值，应该用每个通道具有相同MTTFD的冗余系统来代替。根据标准给出的对称双通道系统的MTTFD等效计算方法：

(3)

求得该系统的MTTFD为111.6 a，大于100 a，因此得出MTTFD为“高”。

4.3.2 诊断覆盖率DCavg计算

在上述电路中，PLC测试B1、B2、Q、T和PLC本身等5个安全相关部件。根据标准中的表E1，每个被测部件的DC为：DCB1/B2=99%(基于K对B1和B2两个位置开关状态的合理性监测)；DCQ=99%(通过对接触器Q镜像触点的监控)；K的DCK假设为60%(由于过程可能检测到故障)，T的DCT假设为60%(供应商给出)。则系统的诊断覆盖率为：

(4)

DCavg介于60%和90%之间，因此得出DCavg为“低”。

4.3.3 针对共因失效(CCF)的适当措施

假定控制电路采取了如下防止CCF的措施：信号路径之间的物理隔离，位置开关B1和B2的电源导线单独敷设，即信号路径之间的物理隔离(15分)，过压保护等措施(15分)，并且考虑了环境有关因素(25+10分)，因此总的得分为65分，刚好满足防止CCF的要求。