文/[盧森堡]吉恩-馬利·舒爾茨，[德]奧利弗·布呂克

（瓦格納比羅盧森堡舞臺系統(tǒng)股份公司）

1 舞臺設備風險評估、降低風險及舞臺設備標準簡介

1.1 舞臺機械設備安全

在過去的幾年中，大型舞臺升降機和自動飛行系統(tǒng)已經成為劇院和其他藝術表演場館的“標準”配置。雖然這種設備能夠在演出中實現快速的場景變換并制造出震撼的視覺效果，但這些設備和許多其他工業(yè)企業(yè)的設備一樣，可能以種種方式造成人身傷害。例如設備意外運行造成的淤青或肢體損傷，或因吊桿故障導致天花板滑落致使演員嚴重受傷。這損害的不僅僅是個人的人身安全，對整個公司也是生死攸關的大事。

但不同于工廠里機械設備的安全防護，演出不便設置柵欄把技術人員與舞臺的危險區(qū)域隔離開，或者設置光電柵欄，當演員或合唱團靠近運行的升降臺時停止其運行，這都會脫離舞臺功能和設置舞臺設備的初衷。但這是否意味著舞臺上的人無法得到保護？當然，事實并非如此。

許多標準的主要目的就是保護人們遠離設備的傷害（如歐洲機械指令2006/42/EC）。這些標準規(guī)定了一個流程，來識別風險并尋找措施將風險降低至可以接受的水平。

在一個理想狀態(tài)下，一旦風險確定，人們當然就想完全消除所有風險。然而，因此帶來的成本也會隨著風險的降低而成倍增加。在某些應用中，風險甚至是由用途衍生而來的，并不能完全消除。所以，在可容許的范圍內，由生產商、運營商以及舞臺機械設備使用者帶來的殘余風險時常存在。而這些風險應該是眾所周知且可預估的。

1.2 風險評估

歐洲機械指令定義的風險評估過程，應該能夠幫助識別機械設備引起的風險。但讀者可能聽說過，這個標準明確地把演出中用于演員或藝術家升降的設備排除在外。簡單地解釋這個現象：標準里規(guī)定的保護人員安全的措施，常常要求在人們周圍及運動部件上方或下方設置圍墻、柵欄，但這根本就不適用于舞臺機械。于是，舞臺機械設備現代化標準應運而生（如德國《DIN 56950-1:2012》或歐洲《CWA 15902-1:2008》）。它們依照之前標準的風險評估過程，對特殊的舞臺機械設備應用制定了相應的措施，以降低風險。

這些標準都需要風險評估過程，正如國際標準《EN ISO12100 機械安全——設計的一般原則——風險評估和風險降低》中所描述的。

在使用機械設備的范圍內，人們能想象到的所有危險都有風險。例如，典型的飛行系統(tǒng)的隱患是墜落物體。對每次危險，都可以預見潛在的后果。墜落的物體會產生沖擊力。如果此時某個人在舞臺上被擊中，事故的嚴重后果可能是裂傷，可能是肢體骨折，甚至可能導致死亡。而評估風險，不僅需要識別危險后果的嚴重性，也需要考慮風險發(fā)生的可能性，以及人們在舞臺上出現的頻率、時間和被墜落物體砸傷的概率？現實中物體是否經常墜落？是不是可以采取措施，避免或限制造成的傷害？

在以往的案例中，最嚴重的是一個或幾個人死于物體墜落。劇場中白天有人長時間在舞臺上停留，他們可能是藝術家，可能是技術人員也可能是游客。大多數人都不會戴上安全帽保護自己。所以墜落物體所造成的風險只會根據大型物體墜落的概率而上升或下降。因此，在舞臺機械應用中，需要判斷大型物件從飛行板上墜落的概率。

完成風險評估后，還必須對設備進行特殊風險的評估：在其他任何情況下，設備導致的風險會不會高于可接受的水平？假如設備設計負載是500 kg，若換做1000 kg負載且進行急停，會不會發(fā)生斷裂？如果答案是肯定的，則必須著眼于如何降低風險，完成后再次從頭進行評估。

1.3 降低風險

前文提及的標準定義了在降低風險方面可接受的措施層級：

1. 只要有可能，都需通過本質安全的設計方法消除危害或降低風險。例如對于剪切邊的防護設計、安全系數大于10的鋼絲繩的設計，或者對于增加400 h壽命及2倍特性負載的減速箱轉矩的設計。這些方法能永久消除危害，或降低風險。

所以，設計提升500 kg負載的卷揚機時，可以按1000 kg提升量的設計來降低之前能識別的風險。但由于經濟的原因，設計者不會這么做。此外也有技術的原因：可以設想一下，當以1000 Kg的載荷取代500 Kg來設計每個吊桿時，建筑的結構設計需要如何改變？

2. 如果并不具備本質安全的設計方法或不能完全使風險降至可接受的水平，則需引進技術保護裝置或能達到保護效果的解決方案來進一步降低風險。通常是在控制系統(tǒng)中引入安全功能。

在瓦格納比羅盧森堡舞臺系統(tǒng)股份公司（以下簡稱“瓦格納”）的一些范例中，安裝了一個壓力傳感器，以永久監(jiān)測負載，判斷設備提升負載的安全性?！巴吒窦{”將超載檢測作為一項安全功能。最常見的安全功能是限位開關，能在行程范圍內及緊急狀況下停止設備的運行，從而提供一個易于使用及可靠的整體安全方法。然而，這些解決方案都不能徹底消除危險，只能在技術解決方案正常工作的前提下，降低危險發(fā)生的可能性。那么，這些安全功能的可靠性需要有多高呢？

3. 如果沒有設計本質安全的措施，也不提供技術解決方案或經濟途徑來降低風險，則不得不簡單地給設備使用者和操作者提供殘余風險的信息，包括放置警示標志或詳細的使用說明（只允許訓練有素的工作人員使用設備）。當然，這種降低風險的方式是最脆弱的，僅在沒有任何其他方法時使用。

1.4 安全功能和SIL 3標準

前文曾提及，安全功能是由控制系統(tǒng)實現的降低風險的方法。例如德國舞臺設備行業(yè)安全標準（《DIN 56950-1:2012》）對起重承載設備中控制系統(tǒng)的安全功能進行了如下的規(guī)定：

☆ 安全停車和緊急停車；

☆ 安全運行啟動；

☆ 安全行程范圍；

☆ 松繩檢測、亂繩檢測、主軸螺母或齒條齒輪侵蝕的檢測；

☆ 超速檢測；

☆ 超載檢測、欠載檢測；

☆ 錯誤運行軌跡檢測；

☆ 同組設備不同步運行檢測；

☆ 目標位置超行程檢測。

額外的安全功能將由最新的舞臺工程標準規(guī)定的危險及風險評估產生。安全功能可以實施保護，防止車臺之間的相互碰撞，或墜入臺下升降臺基坑等情況。

由于控制系統(tǒng)必須負責執(zhí)行、實現這些安全功能，所以需要認知和評估控制系統(tǒng)的可靠性，從而判斷這些措施是否能將風險控制在可接受的水平。

依據《IEC/EN 61508》和衍生標準《IEC/EN 62061》，安全功能質量和可靠性的評級由安全完整性等級（SIL）表示。

上圖顯示了必須達到哪一個SIL等級才能降低風險至可接受的水平。在大多數舞臺自動化領域的風險中，最嚴重的后果是嚴重傷害或死亡（CB）。人們經常在運動負載下的危險區(qū)（FB）活動，避免危險（PB）幾乎是不可能的。與大多數其他工業(yè)應用（W3）領域相似，舞臺自動化對安全功能的需求率很高。從損壞的卷揚機上墜落的負載可能致人嚴重受傷或者死亡。在前述案例中，要求至少每年進行一次超載檢測。

不同的標準可能會使用不同的風險圖，但所有標準最后得到的都是同樣的結論：許多舞臺自動化的安全功能（尤其是提升震撼效果的整個布景），需要依據SIL3標準實施。

根據SIL3標準實施的安全功能，在高要求或持續(xù)性的需求環(huán)境下，失效不能高于每小時7次～10次，即安全功能的失效次數在1140年的操作中不能高于一次。雖然這個數字聽起來好像概率非常低，但對一個具有250個軸的大項目來說，假設每天平均使用率是50%，那么要求的安全標準是平均每臺設備每10年的失效次數不能高于一次。

1.5 SIL3安全標準的實施

SIL的每一個安全等級須對每個單獨的安全功能進行設計和計算，并不能簡單地根據某些組成部分的認證就宣稱達到標準。

安全功能設計的第一個步驟是安全結構的設計。所有的輸入、邏輯和輸出元件必須首先進行識別和評估。評估由以下兩項完成：

☆ 機電元件的B10D值（危險失效率），例如接觸器、繼電器和開關等；

☆ 復雜電氣或電子設備（包括驅動設備、PLC元件或軸控制器）的MTTFd（平均危險故障間隔時間）或PFHD（每小時危險失效概率）。

最后，達到安全等級至關重要的一環(huán)是設計實現安全功能的組件布局。只有使用了雙通道結合復雜（基于電子或計算機）系統(tǒng)的安全設計，才能達到SIL3等級的安全功能。因為在SIL3實現的安全架構中，單個組件失效不會導致安全功能不達要求。如果非危險或檢測到的危險故障安全功能（SFF）的總百分比低于99%，硬件容錯率為1%。

安全功能所得結果的PFH值由每個單獨通道的PFH值計算而得。常見原因故障率（CCF）將被用到這個結果中。CCF評估兩個通道同時使用相同組件時，系統(tǒng)誤差引起的失效概率。

2 SIL標準和PL標準的比較

目前，在工業(yè)機械設備領域有兩個涉及功能安全的標準符合《歐洲機械指令2006/42/EC》：

（1）《IEC / EN 62061》標準源自通用標準《IEC / EN 61508》的工業(yè)機械特殊應用標準。該標準只對電氣系統(tǒng)進行了描述。

（2）《EN ISO 13849-1》標準是從EN ISO954-1的前身發(fā)展而來的工業(yè)機械特殊應用標準，引入了危害和風險評估的概念。其中引入了危害和風險評估的概念。描述了電氣、氣動、液壓和機械系統(tǒng)。

這兩種標準雖然都遵循了同樣的風險評估和風險消減理念，但二者提供了不同的方法，并使用不同的術語來描述安全水平?！禝EC/ EN 62061》標準把安全完整性等級定義為SIL1～SIL3，類似于其母標準《IEC / EN61508》（盡管它采用了略有不同的風險圖）。SIL4沒有定義在其中，因為大量致人死亡的災難性事故極不可能出現在工業(yè)機械中。SIL4用于如《IEC61511》加工業(yè)標準衍生的特定應用中。

《EN ISO 13849-1》標準定義的風險圖

《EN ISO 13849-1》標準則定義了五種性能水平PLa ～PLe，如上圖所示。

隨著國家對節(jié)能工作的越來越重視，隨著電氣設備生產技術的改進和節(jié)能減排意識的提高，電氣工程的節(jié)能工作有了一定的成效。為了使電氣工程進一步提高節(jié)能的效果，以適應社會需要，滿足國家可持續(xù)發(fā)展的要求，應該加大節(jié)能力度，將節(jié)能的理念貫穿于整個用電過程。從生產到管理，從輸送到使用，都應該以節(jié)能為目的，為合理利用資源做貢獻。

PL級別和SIL的級別是不同的，但可以在故障概率的基礎上進行比較。對于舞臺機械設備安全功能典型的性能級別來說，SIL3與高級別的PLd或PLe的水平相當。

在功能安全性要求下研發(fā)電子解決方案時，這兩個標準將會產生相似的方案以及故障概率數據。

即便不具備更深的知識，讀者也會發(fā)現《EN ISO 13849-1》標準的附錄中包含大量的實例和規(guī)則，可以據此進行安全功能的設計和組件的評級，這非常有用。因此，相比源自《IEC EN 62061》的SIL標準，使用PL標準可能更具吸引力。但《EN ISO 13849-1》標準不能覆蓋舞臺機械行業(yè)所有必須的安全功能。錯誤軌跡的檢測、用戶定義的組內設備的不同步運行、軟件設置的目標位置的超行程檢測等，只能通過可編程的電子設備實現。因此，這是一個非常復雜的系統(tǒng)。通過使用電子元件或可編程組件及子系統(tǒng)，《IEC / EN 62061》標準可以設計和評估復雜、非常規(guī)的安全功能解決方案。但《EN ISO 13849-1》標準僅通過使用簡單的元器件（如安全繼電器、機電傳感器和執(zhí)行器）對安全功能的設計和評估進行規(guī)定。因此，還不得不使用《IEC / EN 62061》標準作額外的工作。

在安全體系中，這兩種標準都不能用于定義和評估復雜的子系統(tǒng)，例如安全性PLC或安全性軸控制器這樣復雜（邏輯）的子系統(tǒng)。這些系統(tǒng)必須直接依據《IEC / EN 61508》標準第1～7部分進行開發(fā)和認證。此通用標準在工程和流程文檔、電氣和電子設計、軟件開發(fā)、模塊和集成測試，以及整個產品的壽命中采取嚴格的規(guī)則要求。

3 對舞臺機械安全性和SIL3安全標準的常見誤解

許多舞臺機械設備的規(guī)格文件需要SIL3標準認證的控制系統(tǒng)。但很多術語的使用是不恰當的，會導致對安全性和SIL3的曲解：

（1）不是使用了雙觸點的蘑菇型紅色急停按鈕，該控制系統(tǒng)就達到了SIL3標準。這些被稱作“急停”的按鈕對實現符合SIL3的安全功能是一個良好的起點，但只有E-STOP系統(tǒng)中的邏輯元件和執(zhí)行元件在終端至終端的雙通道安全設計中實施，才能達到SIL3標準。

（2）并不是將標準的開關裝置組件替換成黃色編碼的安全性裝置組件，該系統(tǒng)就達到了SIL3標準。這些元件通常提供內部功能實現必要的診斷覆蓋率，但仍然需要用它們設計、實施合適的安全架構。

（3）并不是在系統(tǒng)中雙倍設置某些元件，并稱之為冗余，該系統(tǒng)就達到了SIL3標準。雙通道設計使系統(tǒng)對單個故障的魯棒性達到很高的水平，但如果以錯誤的方式實現，一個通道的問題仍可能導致整個實施過程失敗。第二個通道甚至也可能在安全功能的要求下，增加危險故障的概率。

（4）并不是系統(tǒng)只實現了SIL3要求的安全功能的一個子集（比如急停、過載檢測、行程限制），該系統(tǒng)就達到了SIL3標準。

如果舞臺控制系統(tǒng)在危害和風險評估中得到鑒定，在所有需要SIL3的領域，該系統(tǒng)能將所有安全功能實施至一個適當的水平，該系統(tǒng)才能達到SIL3等級。

4 基于安全標準，軸控制器AXIO-II與PLC系統(tǒng)的比較

使用基于傳統(tǒng)PLC系統(tǒng)的舞臺機械控制系統(tǒng)，無法在合理的安全水平實現安全功能。標準的PLC系統(tǒng)并不能提供《IEC/EN 61508》標準中規(guī)定和要求的所有內部措施（這些措施用于確保足夠低的危險故障率）。措施包括：內部電壓和溫度的永久性安全監(jiān)控、持續(xù)性自測、防止EMP和自發(fā)的些許問題的內存保護、輸入和輸出狀態(tài)和水平的交叉檢查、嚴格的軟件調度規(guī)則、代碼覆蓋、編程語言、開發(fā)工具等等。而且，即便使用外部機電元件來設計本地安全功能，標準的PLC系統(tǒng)同樣無法實現影響吊機動態(tài)組或軟件限制的安全功能。

設計時必須添加輔助PLC來實現安全功能。這種輔助PLC應該是一個認證的安全性PLC，允許SIL3安全功能的實施。在多數設計中，安全性PLC僅能確定安全狀態(tài)（停止、斷電）是否能被設置，與PLC系統(tǒng)通常沒有復雜的相互作用。此外，安全性PLC的功能仍然十分有限。對于一個超過100個軸的大型舞臺，將不得不實施基于若干個安全性PLC的、極為復雜和難于控制的分層設計。

實施許多基于PLC的單軸和組安全功能，將造成某個子系統(tǒng)停止運行，甚至在某個故障的檢測中造成整個系統(tǒng)停止運行。這種情況下，可用性和靈活性的安全沖突往往是藝術創(chuàng)造者所不能接受的。

“瓦格納”的AXIO-II軸控制器，是專門針對于舞臺機械控制系統(tǒng)的應用而研發(fā)的。AXIO-II軸控制器基于雙通道安全性硬件，不僅集成了標準PLC的所有軸控功能，而且能實施《IEC/ EN61508》標準認證的、所有與舞臺機械相關的安全功能。AXIO-II軸控制器的軟硬件不僅能實現受控軸的本地安全功能，還能在超過200個軸的大系統(tǒng)中實現動態(tài)設備組的安全性。安全軸控制器是從零開始的研發(fā)，而不是在標準PLC系統(tǒng)增加額外的安全功能，即使在最復雜的情況下也能實現全部的安全功能（比如方向和速度敏感的安全限制，要優(yōu)于簡單的停止），從而在安全性要求非常高的情況下，能夠提供最大限度的可用性和靈活性。

AXIO-II軸控制器示意圖

對每個軸而言，可獨立熱插拔和自配置的設備，令整個系統(tǒng)的設計更加簡單，使舞臺控制系統(tǒng)更加穩(wěn)定、易于維護。