李中興

(廣州特種機電設(shè)備檢測研究院，廣東 廣州 510663)

電梯事故持續(xù)成為媒體關(guān)注的焦點，尤其是自動扶梯事故。自2010年12月深圳自動扶梯逆行事故、2011年7月北京地鐵自動扶梯逆行事故和2015年7月湖北“扶梯卷人”事故發(fā)生之后，更是使得自動扶梯的安全問題不斷升溫，已成為電梯行業(yè)的重中之重。電梯從以實現(xiàn)基本功能為主到融入多種安全保護裝置再到往功能安全的方向發(fā)展，可以說其安全系數(shù)越來越高。早在1996年美國國家標(biāo)準(zhǔn)學(xué)會(ANSI)/美國儀器儀表學(xué)會(ISA)就發(fā)布了《加工工業(yè)的安全儀器化系統(tǒng)的應(yīng)用》(ANSI/ISA S84.01—1996)標(biāo)準(zhǔn)[1]，2000年國際電工委員會(IEC)發(fā)布了《電氣/電子/可編程電子(Electrical/Electronic/Programmable Electronic，E/E/PE)安全相關(guān)系統(tǒng)的功能安全》(IEC 61508)標(biāo)準(zhǔn)[2]，隨著IEC 61508的發(fā)布，有關(guān)功能安全問題的研究逐步成為研究的熱點。隨后各行各業(yè)都出臺了基于IEC 61508的相關(guān)標(biāo)準(zhǔn)，如過程工業(yè)領(lǐng)域的標(biāo)準(zhǔn) IEC 61511[3]，核工業(yè)領(lǐng)域的標(biāo)準(zhǔn) IEC 61513，機械工業(yè)領(lǐng)域的標(biāo)準(zhǔn) IEC 62021等[4]。我國也在2006年發(fā)布了GB/T 20438標(biāo)準(zhǔn)(等同采用IEC 61508)，2007年發(fā)布了GB/T 21109標(biāo)準(zhǔn)(等同于 IEC 61511)[5]。功能安全問題越來越受到各個國家的重視，國外功能安全評估和認(rèn)證也開始逐步完善和成熟，用戶通過委托第三方評估和認(rèn)證機構(gòu)對所選用的安全相關(guān)系統(tǒng)進行評估和認(rèn)證，以確保其能夠達到預(yù)期的效果，比如德國的TUV認(rèn)證機構(gòu)。

目前，我國已有少數(shù)功能安全評估和認(rèn)證機構(gòu)進行功能安全評估，但還處于起步階段。無論是電梯還是自動扶梯，其出廠時必須要有安全保護裝置，這是標(biāo)準(zhǔn)的強制要求。然而這些安全裝置是否能百分之百地發(fā)揮作用，實現(xiàn)安全保護，這涉及到功能安全的問題，以往的標(biāo)準(zhǔn)中并沒有明確的規(guī)定。鑒于此，我國最新的扶梯國家標(biāo)準(zhǔn)《自動扶梯和自動人行道的制造與安裝安全規(guī)范》(GB 16899—2011)[6]中提出了用于自動扶梯和自動人行道的可編程電子安全相關(guān)系統(tǒng)(Programmable Electronic System in Safety Related Applications for Escalators and Moving Walks,PESSRAE)，為使用可編程電子安全相關(guān)系統(tǒng)提供了依據(jù)。自動扶梯功能安全產(chǎn)品及功能安全評估方法也將成為未來的研究發(fā)展方向。

1 功能安全的引入

已有調(diào)查顯示，自動扶梯的事故中有相當(dāng)一部分并不是沒有安全保護裝置，而是由于安全保護裝置未及時發(fā)揮其應(yīng)有的作用，這就涉及到保護裝置的可靠性問題，它是另外一個概念。這不是標(biāo)準(zhǔn)有沒有、行不行的問題，而是功能安全的范疇。功能安全就是為了防止安全設(shè)施的功能失效所導(dǎo)致的危險，主要解決安全設(shè)施的有效性問題。

1. 1 功能安全基本術(shù)語

IEC 61508標(biāo)準(zhǔn)中定義功能安全為：與受控設(shè)備(EUC) 和EUC控制系統(tǒng)有關(guān)的整體安全組成部分，它取決于電氣/電子/可編程電子E/E/PE安全相關(guān)系統(tǒng)、其他技術(shù)安全相關(guān)系統(tǒng)和外部風(fēng)險降低設(shè)施功能的正確使用[2]。

安全完整性 (safety integrity)為：在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全系統(tǒng)成功實現(xiàn)所要求的安全功能的概率[2]。

IEC 61508標(biāo)準(zhǔn)中規(guī)定系統(tǒng)有4種安全完整性水平，SIL4是安全完整性水平最高的等級，SIL1是安全完整性水平最低的等級。實際上，系統(tǒng)能達到SIL4安全完整性水平等級是很困難的。安全完整性水平(SIL)等級對應(yīng)的風(fēng)險降低因數(shù)RRF值，見表1[7]。

表1 安全完整性水平(SIL)等級對應(yīng)的風(fēng)險降低因數(shù)RRF值

注：PFD=1/RRF，是衡量功能安全的安全性能水平。

為了實現(xiàn)上述功能安全的要求，達到理想的安全完整性水平(SIL)等級，需要有良好的管理模式、嚴(yán)格的規(guī)章制度、完善的功能安全產(chǎn)品、合理的風(fēng)險降低措施以及專業(yè)的技術(shù)人員。

1. 2 功能安全管理的框架

整體安全生命周期在IEC 61508標(biāo)準(zhǔn)中給出的定義包含16個階段，大致分為3個過程：1～5階段表示分析過程；6～13階段表示實現(xiàn)過程；14～16階段表示運營過程[7-8]，如圖1所示。

功能安全管理貫穿于整個安全生命周期，從產(chǎn)品的理念到產(chǎn)品的退役。對于自動扶梯，功能安全管理要從扶梯相關(guān)功能安全產(chǎn)品的設(shè)計理念開始，到功能安全的評估，直到扶梯的完全退役為止都要進行嚴(yán)格的管理。

2 自動扶梯功能安全的有關(guān)規(guī)范和標(biāo)準(zhǔn)

自動扶梯是復(fù)雜的機電產(chǎn)品，機械安全和電氣安全都是研究的重點，最新發(fā)布的國家標(biāo)準(zhǔn)將功能安全相關(guān)條款納入到規(guī)范中， 這表明功能安全在不久的將來很可能將作為強制要求來實施。

圖1 整體安全生命周期Fig.1 Safety life cycle

表2 監(jiān)測裝置和電氣安全裝置(或功能)的要求

2.1 可編程電子安全相關(guān)系統(tǒng)(PESSRAE)

最新的扶梯國家標(biāo)準(zhǔn)GB 16899—2011中，第3.1.22條定義了用于自動扶梯和自動人行道的可編程電子安全相關(guān)系統(tǒng)(PESSRAE)，其包含用于表2所列安全應(yīng)用的、基于可編程電子裝置的以及用于控制、防護、監(jiān)測的系統(tǒng)，包括系統(tǒng)中所有元素(例如電源、傳感器和其他輸入裝置、數(shù)據(jù)高速公路和其他通信途徑以及執(zhí)行器、其他輸出裝置)；第5.12.1.2.6條規(guī)定，如果PESSRAE和一個與安全無關(guān)的系統(tǒng)共用同一硬件，則該硬件應(yīng)符合PESSRAE的規(guī)定[6]。PESSRAE是基于軟件的PES在電梯/扶梯安全相關(guān)系統(tǒng)中的應(yīng)用。

表2中，(c)～(n)及(q)所述事件達到的要求有3種途徑：第一種是滿足5.12.1.2.2的安全開關(guān)；第二種是滿足5.12.1.2.3的安全電路；第三種是滿足PESSRAE，并同時給出了SIL等級的要求，最高要達到SIL2等級。對于第三種提及的PESSRAE要求應(yīng)符合《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》(GB/T 20438)標(biāo)準(zhǔn)的規(guī)定。GB/T 20438等同采用國際標(biāo)準(zhǔn)IEC 61508[9-11]。

2. 2 自動扶梯相關(guān)的功能安全標(biāo)準(zhǔn)

自動扶梯相關(guān)的功能安全標(biāo)準(zhǔn)最早且有影響的是IEC在2000年2月發(fā)布的功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC 61508[2]。同時，還有《機械安全——控制系統(tǒng)相關(guān)安全部件——第1部分》(ISO 13849-1—2015)標(biāo)準(zhǔn)，它建立在系統(tǒng)風(fēng)險分析的基礎(chǔ)上，主要應(yīng)用于電氣、液壓、氣動系統(tǒng)以及部分電子產(chǎn)品系統(tǒng)[12]；《機械安全與安全有關(guān)的電氣、電子和可編程電子控制系統(tǒng)的功能安全》(IEC 62061—2012)標(biāo)準(zhǔn)，它提供了采用復(fù)雜的、可由先前非傳統(tǒng)系統(tǒng)結(jié)構(gòu)執(zhí)行的安全功能的方法，適用于電氣系統(tǒng)領(lǐng)域[13]。此外，還有ISO 22201—2017系列標(biāo)準(zhǔn)，其包括三個部分：ISO 22201-1是針對電梯安全相關(guān)的PESSRAL的設(shè)計和開發(fā)；ISO 22201-2是針對自動扶梯/自動人行道安全相關(guān)的PESSRAL的設(shè)計和開發(fā)；ISO 22201-3是關(guān)于電梯、自動扶梯/自動人行道安全相關(guān)的PESSRAL的維修與改造活動，源于IEC 61508和EN 81標(biāo)準(zhǔn)，并且參考了IEC 61508標(biāo)準(zhǔn)中的風(fēng)險分析方法[14]，如圖2所示。

圖2 自動扶梯相關(guān)的功能安全標(biāo)準(zhǔn)Fig.2 Escalator-related functional safety standards

3 我國自動扶梯功能安全應(yīng)用存在的問題及未來的研究發(fā)展方向

3. 1 存在的問題

自動扶梯在安全方面的設(shè)計是基于機械和電氣的，通過增加安全部件或增加電氣相應(yīng)安全措施來實現(xiàn)。但是，這些措施的可靠性并未設(shè)計得很理想，而采用PESSRAE可以從根本上減少故障和事故的發(fā)生，從而提高電梯的可靠性和安全性。目前我國自動扶梯行業(yè)在功能安全應(yīng)用方面主要存在如下問題：

3.1.1 自動扶梯功能安全標(biāo)準(zhǔn)體系與國際水平存在差距

功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC 61508于2000年正式發(fā)布，隨后陸續(xù)出臺了以它為基礎(chǔ)的各行業(yè)標(biāo)準(zhǔn)。2011年，設(shè)置符合功能安全要求的用于自動扶梯和自動人行道的PESSRAE，被寫入了我國自動扶梯的國家標(biāo)準(zhǔn)當(dāng)中，這說明我國扶梯行業(yè)的功能安全意識已經(jīng)形成，然而在功能安全標(biāo)準(zhǔn)制定方面，我國等同或等效采用國際標(biāo)準(zhǔn)，大部分相關(guān)標(biāo)準(zhǔn)還是靠翻譯，因此急需要真正理解功能安全標(biāo)準(zhǔn)的理念與方法，并結(jié)合我國國情和行業(yè)的特點，制定出適合我國的功能安全標(biāo)準(zhǔn)體系。目前我國自動扶梯功能安全相關(guān)的標(biāo)準(zhǔn)與國際水平差距較大，詳見表3。

由表3可知：從標(biāo)準(zhǔn)產(chǎn)生數(shù)量的差距來看，電梯和自動扶梯功能安全相關(guān)的國際標(biāo)準(zhǔn)有7個，而國內(nèi)標(biāo)準(zhǔn)只有4個，且全部是等同或等效采用的國際標(biāo)準(zhǔn)，等效采用率為100%，還有3個標(biāo)準(zhǔn)至今仍未轉(zhuǎn)化為我國標(biāo)準(zhǔn)，轉(zhuǎn)化率為57.1%，這意味著我國自有標(biāo)準(zhǔn)還處于空白狀態(tài)；從標(biāo)準(zhǔn)產(chǎn)生年代的差距來看，已轉(zhuǎn)化的標(biāo)準(zhǔn)中差距最小的是6年，最大的是14年，平均差距為9年，可見我國標(biāo)準(zhǔn)滯后的時間較長，另外還有3個標(biāo)準(zhǔn)未進行轉(zhuǎn)化和應(yīng)用。

表3 國內(nèi)外電梯和自動扶梯功能安全相關(guān)標(biāo)準(zhǔn)的差距

3.1.2 自動扶梯功能安全的評估方法具有局限性

成熟的功能安全理念針對的是E/E/PES安全相關(guān)系統(tǒng)，而對于自動扶梯很多機械安全部件安全功能的驗證無法通過像表1一樣的計算來獲得，需要尋找另外的評估方法，比如通過失效模式與影響分析等方法來評估該部件的安全可靠性(Safety Reliability,SR)等級，從而獲得等效的功能安全完整性水平(SIL)等級[15-16]。

3.1.3 功能安全評估人才缺乏

目前，我國具有功能安全工程師培訓(xùn)資質(zhì)的機構(gòu)非常稀少，北京的“機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所”是較早的具有功能安全工程師培訓(xùn)資質(zhì)的機構(gòu)，由于國內(nèi)對功能安全的認(rèn)識不足，加上培訓(xùn)師數(shù)量有限，早幾年在該機構(gòu)參加培訓(xùn)的功能安全工程師人數(shù)每期不足10人，可見我國這方面人才的缺口之大。近幾年，隨著人們對功能安全認(rèn)識的提高，一些機構(gòu)開始開展功能安全評估與認(rèn)證業(yè)務(wù)，也積極培養(yǎng)相關(guān)人才，但是這些人員在短期內(nèi)很難系統(tǒng)掌握功能安全的技術(shù)和知識，更談不上對其熟練應(yīng)用。

3. 2 未來的研究發(fā)展方向

針對我國自動扶梯行業(yè)在功能安全應(yīng)用方面存在的問題，本文提出了未來的研究發(fā)展方向，具體如下：

3.2.1 建立和完善適合我國的自動扶梯行業(yè)功能安全的標(biāo)準(zhǔn)體系

(1) 建立自動扶梯行業(yè)功能安全的相關(guān)標(biāo)準(zhǔn)。要根據(jù)我國的國情及行業(yè)特點，并參照國際標(biāo)準(zhǔn)，建立適合我國的自動扶梯行業(yè)的功能安全標(biāo)準(zhǔn)體系和功能安全評估方法。由于自動扶梯具有產(chǎn)品種類繁多、系統(tǒng)復(fù)雜、集成度高、對安全的要求高、事故后果嚴(yán)重(即涉及人民生命和財產(chǎn)安全)等特點，且使用者素質(zhì)參差不齊，加之我國功能安全的標(biāo)準(zhǔn)缺乏，因此需要結(jié)合這些因素，編制適合我國的自動扶梯行業(yè)功能安全的標(biāo)準(zhǔn)，尤其是功能安全的評估標(biāo)準(zhǔn)。隨著功能安全研究的深入，功能安全完整性水平等級高且系統(tǒng)復(fù)雜程度低的控制系統(tǒng)是自動扶梯功能安全產(chǎn)品研究的重點，而自動扶梯功能安全評估方法則是應(yīng)用過程中標(biāo)準(zhǔn)研究的重點。此外，我國在扶梯安全宣傳力度方面還有待完善。

(2) 建立自動扶梯行業(yè)功能安全的管理體系。安全靠技術(shù)和管理來共同保障，先進的技術(shù)缺乏完善的管理體制，也會存在巨大的安全隱患，自動扶梯尤其是車站人流量大的場所，更需要良好的管理來減少事故的發(fā)生率，而思想意識和計劃是良好管理不可缺少的部分。自動扶梯功能安全產(chǎn)品的設(shè)計要從設(shè)計思想上融入功能安全的理念，從產(chǎn)品設(shè)計開始，時時刻刻以功能安全理念來驅(qū)動產(chǎn)品的設(shè)計；功能安全管理不只是管理人和設(shè)備，在整個安全生命周期的所有活動中都需要管理，這就必須要制定詳細(xì)的功能安全管理工作計劃，確定人員、部門和機構(gòu)的責(zé)任，包括哪些機構(gòu)和人員參與、協(xié)調(diào)機制、階段總結(jié)計劃、糾錯機制、歸檔等[17-18]。

3.2.2 研究自動扶梯非E/E/PES安全相關(guān)系統(tǒng)功能安全的評估方法

自動扶梯非E/E/PES安全相關(guān)系統(tǒng)的功能安全評估無法采用功能安全的評估方法來劃分功能安全完整性水平SIL等級，可以考慮通過失效模式與影響分析的方法來評估安全可靠性SR等級，即對一定年限自動扶梯非E/E/PES安全相關(guān)系統(tǒng)的危險狀況進行半定量分析，得到其風(fēng)險值，具體數(shù)學(xué)模型如下：

R=f(S,P)=SP

式中：P為危險狀態(tài)導(dǎo)致事故發(fā)生的難易程度；S為事故的嚴(yán)重程度。

將事故發(fā)生的可能性分為A、B、C、D、E五個等級，事故的嚴(yán)重程度分為5、4、3、2、1五個等級，詳見表4。

表4 風(fēng)險等級表

通過對非E/E/PES安全相關(guān)系統(tǒng)的指標(biāo)分析，得到非E/E/PES安全相關(guān)系統(tǒng)的SR等級，并與SIL等級相結(jié)合，最終可得到自動扶梯功能安全的評估等級。

3.2.3 培養(yǎng)高水平的功能安全人才

我國人口眾多，但功能安全人才缺乏，準(zhǔn)確運用功能安全進行設(shè)計、評估的人員遠遠不足，需要行業(yè)引導(dǎo)并建立適合我國行業(yè)特點的功能安全應(yīng)用體系，以保證功能安全應(yīng)用在我國的順利實施。

功能安全產(chǎn)品的設(shè)計和管理，需要具備專業(yè)知識的人員，他們應(yīng)熟練掌握功能安全的理論知識和自動扶梯的專業(yè)技術(shù)。但由于功能安全在我國自動扶梯行業(yè)的應(yīng)用處于起步階段，該行業(yè)同時具備功能安全理論知識和扶梯專業(yè)知識的人才極為缺乏，因此需要定期對相關(guān)人員進行系統(tǒng)的培訓(xùn)，必要時可為他們提供出國考察和交流的機會，以培養(yǎng)高水平的自動扶梯行業(yè)功能安全的技術(shù)和管理人才。

4 結(jié) 論

(1) 實現(xiàn)自動扶梯國家標(biāo)準(zhǔn)GB 16899—2011中定義的事件，有3種途徑：第一是滿足特定要求的安全開關(guān)；第二是滿足特定要求的安全電路；第三是符合SIL等級的功能安全產(chǎn)品，這將成為我國自動扶梯功能安全應(yīng)用未來的研究發(fā)展方向。

(2) 針對非E/E/PES安全相關(guān)系統(tǒng)無法采用功能安全評估方法的機械安全部件，可以采用SR等級等效的評估方法。

(3) 自動扶梯功能安全的標(biāo)準(zhǔn)體系包括標(biāo)準(zhǔn)體系和管理體系，要結(jié)合我國國情及自動扶梯行業(yè)的特點，研究適合我國的自動扶梯行業(yè)功能安全的標(biāo)準(zhǔn)體系和評估方法。

(4) 高水平功能安全專業(yè)人才的培養(yǎng)是目前急需要解決的問題。