孫遠(yuǎn)韜 陳凱歌 張 氫 吳占穩(wěn)

1 同濟大學(xué)機械與能源工程學(xué)院 2 中國特種設(shè)備檢測研究院

1 引言

隨著我國現(xiàn)代工業(yè)的發(fā)展，起重機械的應(yīng)用范圍越來越廣、負(fù)載越來越大、各機構(gòu)工作速度越來越快，對其安全性能的要求越來越嚴(yán)格，但在實際生產(chǎn)中，對功能安全性的保障一般只在安全規(guī)程中予以描述。

目前，針對起重機械的風(fēng)險評估和安全防護評價都是基于傳統(tǒng)的風(fēng)險分析方法進行的[1-2]。曲珩斌提出了一種基于IAHP和專家群決策的橋式起重機安全綜合評價方法，對某通用橋式起重機進行安全性評價[3]。Ruud S等基于FSA方法提出了一種利用成本效益決策準(zhǔn)則估計風(fēng)險控制方案(安全功能)目標(biāo)可靠性的方法[4]。2000年5月，國際電工委員會正式發(fā)布了IEC61508標(biāo)準(zhǔn)《電氣/電子/可編程電子安全系統(tǒng)的功能安全》，提供了功能安全[5-7]分析的基本方法，但長期以來，功能安全的概念僅僅在儀器儀表工程、石油化工和電子可編程等領(lǐng)域有長足的發(fā)展[8-11]，起重機械基于功能安全的分析方法尚未系統(tǒng)建立。但隨著科技發(fā)展，在起重機的變頻器、限位傳感器以及超高壓油缸等部件的設(shè)計中，已經(jīng)開始嘗試從失效出發(fā)進行功能安全設(shè)計。

為了在設(shè)計過程中考慮安全防護系統(tǒng)的安全性和可靠性，有必要從整機及關(guān)鍵部件的角度嘗試分析安全失效機理與規(guī)律，根據(jù)不同的風(fēng)險及危害程度進行起重機的功能安全分析，從而指導(dǎo)起重機械的設(shè)計并能夠逐步應(yīng)用于實際工程。

2 起重機械安全防護系統(tǒng)基于功能安全的設(shè)計方法

功能安全是指任一隨機故障、系統(tǒng)故障或共因失效都不會導(dǎo)致安全系統(tǒng)的故障，即設(shè)備或控制系統(tǒng)的安全功能無論在正常情況下還是在有故障存在的情況下，都應(yīng)該保證正確實施。

功能安全面向的對象為安全防護系統(tǒng)，IEC61508提供了功能安全分析的基本方法。該方法主要包括3個部分：風(fēng)險分析、安全完整性等級和安全生命周期。為進一步促進起重機安全評價的發(fā)展，本文就起重機安全防護系統(tǒng)進行基于功能安全的設(shè)計方法研究。

采用可靠性分析方法結(jié)合層級劃分的理論研究，從典型起重機失效模式與機理出發(fā)，分析對應(yīng)安全防護系統(tǒng)的功能安全及其對系統(tǒng)的影響規(guī)律，形成滿足不同安全等級的安全防護裝置的設(shè)計方法。

考慮到起重機工作級別，結(jié)合IEC61508提供的功能安全分析方法中提出的安全完整性等級，將功能安全的概念引入到起重機安全防護系統(tǒng)的風(fēng)險評估和安全評價中，從而建立起起重機械安全防護系統(tǒng)基于功能安全的設(shè)計方法，其流程見圖1。

圖1 起重機械安全防護系統(tǒng)基于功能安全的設(shè)計方法

該設(shè)計方法可分為5個步驟，具體如下。

步驟一：根據(jù)起重機的工作級別確定安全規(guī)范防護系統(tǒng)執(zhí)行器的設(shè)計計算，并確定所需的目標(biāo)SIL。

步驟二：采用FMEA分析法對安全防護系統(tǒng)的失效(故障)模式進行分析，并計算各故障模式的嚴(yán)酷度值，篩選出主要故障模式。

步驟三：根據(jù)步驟二分析結(jié)果，從下至上建立安全防護系統(tǒng)故障模式的故障樹，并根據(jù)各部分之間的邏輯關(guān)系計算系統(tǒng)的失效概率。

步驟四：根據(jù)步驟三計算得到的失效概率，結(jié)合IEC61508規(guī)定的SIL劃分標(biāo)準(zhǔn)得到安全防護系統(tǒng)的SIL等級，并與步驟一所得的目標(biāo)SIL進行比較驗證。

步驟五：根據(jù)步驟四的驗證結(jié)果，若計算SIL滿足目標(biāo)SIL，則設(shè)計計算符合要求；否則，對安全防護系統(tǒng)的執(zhí)行器以及傳感器進行優(yōu)化設(shè)計和配置。

上述設(shè)計方法的關(guān)鍵是建立起重機工作級別與目標(biāo)SIL之間的關(guān)系，后續(xù)的所有研究均在此基礎(chǔ)上展開。

3 工作級別的劃分與目標(biāo)SIL的確定

3.1 起重機工作級別劃分

起重機通過起升和移動吊運貨物完成搬運任務(wù)，為適應(yīng)起重機不同的使用情況和工作要求，在設(shè)計起重機安全防護系統(tǒng)時，應(yīng)對起重機進行工作級別的劃分。《起重機設(shè)計手冊》規(guī)定，起重機整機的工作級別與起重機的使用等級及起重機的起升載荷狀態(tài)級別有關(guān)。

起重機的使用等級是將起重機可能完成的總工作循環(huán)數(shù)劃分成10個級別，分別用U0、U1、U2、…、U9表示[12]。

起重機的起升載荷狀態(tài)級別是指在起重機的設(shè)計預(yù)期壽命期限內(nèi)，它的各個有代表性的起升載荷值的大小及其對應(yīng)的起吊次數(shù)，與起重機的額定起升載荷值的大小及總的起吊次數(shù)的比值情況。

若起重機各個起升載荷值的大小及相應(yīng)的起吊次數(shù)已知，則可計算出起重機的載荷譜系數(shù)：

(1)

式中，Ci為與起重機各個有代表性的起升載荷相應(yīng)的工作循環(huán)次數(shù)；CT為起重機總工作循環(huán)次數(shù)；PQi為能表征起重機在預(yù)期壽命期內(nèi)工作任務(wù)的各個有代表性的起升載荷；PQmax為起重機的額定起升載荷；m為冪指數(shù)，為了便于級別的劃分，約定取3。

根據(jù)不同的載荷譜系數(shù)，可將起重機起升載荷狀態(tài)級別劃分為Q1～Q44個等級[12]。

根據(jù)上述使用等級及起升載荷狀態(tài)級別的劃分情況，起重機整機的工作級別劃分為A1～A8共8個等級(見表1)。

表1 起重機整機工作級別劃分

3.2 目標(biāo)SIL的確定

根據(jù)起重機的工作級別可以完成對起重機整機的設(shè)計及相關(guān)的安全防護系統(tǒng)的設(shè)計。在進行基于功能安全的設(shè)計時，工作級別決定了起重機所需要達到的SIL(目標(biāo)SIL)，因此需要建立從起重機工作級別到目標(biāo)SIL的映射關(guān)系。IEC61508中將安全完整性等級劃分為4個等級(見表2)，第四等級表示最高的安全完整性程度，第一等級為最低。

表2 SIL劃分標(biāo)準(zhǔn)

根據(jù)表1劃分的起重機整機工作級別，使用等級表征著起重機的使用頻繁程度，載荷譜系數(shù)KP表征起重機在工作過程中的吊重情況。綜合以上2個因素，將表1中的8個工作級別劃分為4個等級。A1～A2為第一等級，表示起重機使用頻繁程度很小或很少起升額定重量的情況，這種情況下起重機工作的安全裕度很大，起重機的安全防護系統(tǒng)在執(zhí)行安全功能時發(fā)生故障和失效的概率很小，對應(yīng)著SIL4；A3～A5為第二等級，表示起重機使用頻繁程度較小或較少起升額定重量的情況，這種情況下起重機工作的安全裕度較大，起重機的安全防護系統(tǒng)在執(zhí)行安全功能時發(fā)生故障和失效的概率較小，對應(yīng)著SIL3；A6～A7為第三等級，表示起重機使用頻繁程度中等或較多起升額定重量的情況，這種情況下起重機工作的安全裕度較小，起重機的安全防護系統(tǒng)在執(zhí)行安全功能時發(fā)生故障和失效的概率較大，對應(yīng)著SIL2；A8為第四等級，表示起重機使用頻繁程度高或頻繁起升額定重量的情況，這種情況下起重機工作的安全裕度很小，起重機的安全防護系統(tǒng)在執(zhí)行安全功能時發(fā)生故障和失效的概率很大，對應(yīng)著SIL1。

上述方法可用于定性描述起重機工作級別與目標(biāo)SIL之間的關(guān)系。為了得到兩者的確切關(guān)系，可以建立工作級別與目標(biāo)SIL的函數(shù)關(guān)系，從而完成映射。

定義SIL是關(guān)于工作級別Ai的函數(shù)，則其函數(shù)關(guān)系可描述為

SIL=f(Ai)

(2)

式中Ai與起重機的總工作循環(huán)次數(shù)CT和載荷譜系數(shù)Kp有關(guān)，是可定義目標(biāo)SIL與工作級別Ai的關(guān)系，為

SIL=f(CT,Kp)

(3)

4 SIL驗證

4.1 失效分析

完成起重機安全防護系統(tǒng)的初步設(shè)計及確定目標(biāo)后，需要對其進行失效分析。具體地，針對每一組件，列出其所有可能的失效模式。各組件的每種失效模式所占總失效概率的百分比，一般都能通過相關(guān)的標(biāo)準(zhǔn)查出，或者通過以往的經(jīng)驗數(shù)據(jù)判定。針對各種失效模式，分析每種失效模式會對當(dāng)前系統(tǒng)造成的危害程度。

采用FMEA分析方法分析起重機安全防護系統(tǒng)的失效模式及各失效模式的失效機理，最終完整辨別出起重機各系統(tǒng)的失效模式并對其危害程度進行分析。FMEA分析的目的是為了發(fā)現(xiàn)設(shè)備或系統(tǒng)中的產(chǎn)生故障的原因及其危害程度，用量化的數(shù)據(jù)直觀地展現(xiàn)給用戶。

4.2 平均失效概率計算

在FMEA分析的基礎(chǔ)上，根據(jù)設(shè)計準(zhǔn)則建立各失效模式的功能函數(shù)(極限狀態(tài)方程)，對設(shè)計變量進行處理，獲得各失效模式的失效概率，記為Fi(t)。由表4可知，SIL的最終確定由平均失效概率PFDavg決定，對于各失效模式，PFDavg由在時間間隔T的算術(shù)平均值獲得

(4)

根據(jù)各失效模式的平均失效概率PFDavg，采用故障樹分析(FTA)明確安全防護系統(tǒng)各部件之間的層次關(guān)系、失效故障之間的因果關(guān)系等。在故障樹的基礎(chǔ)上，計算各個子系統(tǒng)或關(guān)鍵零部件的失效概率。

設(shè)系統(tǒng)各零部件的發(fā)生失效的平均概率分別為PFDavg1,PFDavg2,…,PFDavgn，則對于串聯(lián)系統(tǒng)其平均失效概率為

(5)

對于并聯(lián)系統(tǒng)其平均失效概率為

(6)

4.3 SIL劃分與SIL驗證

根據(jù)上述計算得到起重機安全防護系統(tǒng)失效概率，即可根據(jù)表2所示的IEC61508提供的SIL劃分標(biāo)準(zhǔn)進行SIL劃分。

將上述獲得的SIL與目標(biāo)SIL進行比較，驗證當(dāng)前設(shè)計方案下的SIL是否符合目標(biāo)設(shè)定的要求，若符合要求，則基于功能安全的起重機安全防護系統(tǒng)的設(shè)計方法合理；否則，不合理，需要對設(shè)計方案進行相關(guān)調(diào)整與改進。

4.4 優(yōu)化設(shè)計

根據(jù)IEC61508要求將安全防護系統(tǒng)分為執(zhí)行器系統(tǒng)、傳感器系統(tǒng)和驅(qū)動器系統(tǒng)，當(dāng)SIL驗證不滿足要求時，分別對執(zhí)行器的主要機構(gòu)或結(jié)構(gòu)參數(shù)進行調(diào)整和優(yōu)化設(shè)計，從而提高其可靠性。此外，IEC61508給出了多種傳感器優(yōu)化配置方案，通過多傳感器的串并聯(lián)設(shè)計可以顯著提高傳感器子系統(tǒng)的可靠性。通過上述方法，對安全防護系統(tǒng)進行優(yōu)化設(shè)計，從而降低系統(tǒng)失效概率，使其落在目標(biāo)SIL對應(yīng)的概率區(qū)間內(nèi)。

5 算例分析

某型號起重機的額定起重量為41 t，根據(jù)專家經(jīng)驗，該型號起重機使用較頻繁，平均吊運載荷為20 t，一般承受載荷15 t、20 t、25 t、30 t，其對應(yīng)的頻率分別為0.12、0.45、0.32、0.11。

5.1 目標(biāo)SIL的確定

由上述內(nèi)容可知，該類型起重機的使用等級為U6，計算得到起升機構(gòu)的載荷譜系數(shù)

根據(jù)《起重機設(shè)計手冊》，該起重機起升載荷狀態(tài)級別為Q2，根據(jù)表1可得，其工作級別為A6，對應(yīng)目標(biāo)SIL2。

5.2 起升制動系統(tǒng)平均失效概率計算

制動器系統(tǒng)是起重機安全防護系統(tǒng)的重要組成部分，上述起重機起升機構(gòu)的制動采用智能型制動系統(tǒng)。

智能制動系統(tǒng)由制動器(執(zhí)行器)、傳感器(限位開關(guān)等)、驅(qū)動器組成。其中制動器的關(guān)鍵部件包括制動臂(杠桿式)、制動拉桿、制動彈簧、彈簧拉桿和制動盤。在設(shè)計過程中，采用較大的安全系數(shù)，即其為高可靠性產(chǎn)品，記各部件的可靠性為99.5%，則制動器的平均失效概率為

傳感器子系統(tǒng)主要包括限位開關(guān)、感應(yīng)式接近開關(guān)、接觸式傳感器和正壓力傳感器。電子元件的可靠

性通常用指數(shù)分布可靠度函數(shù)表示，其可靠度為

R(t)=e-λt

假設(shè)上述傳感器有一恒定的失效率λ=0.01失效/h，則1 h內(nèi)傳感器正常工作的可靠度為

R(1)=e-0.01×1=0.99

根據(jù)式(5)計算可得傳感器子系統(tǒng)的平均失效概率為

根據(jù)經(jīng)驗，在保證制動器和傳感器正常工作的情況下，驅(qū)動器子系統(tǒng)的平均失效概率很低，不妨假設(shè)為

Pfmonitor=1×10-3

根據(jù)上述分析，可計算得到制動器系統(tǒng)的平均失效概率為

PFDavgsys=Pfbrake·Pfsensor·Pfmonitor=9.75×10-7

5.3 SIL驗證

根據(jù)上述計算所得制動器系統(tǒng)的平均失效概率可判斷：計算SIL為2，與初始確定的目標(biāo)SIL一致，故滿足要求，完成設(shè)計。

6 結(jié)語

本文將功能安全的概念引入到起重機安全防護系統(tǒng)的設(shè)計中，建立起典型起重機安全防護系統(tǒng)基于功能安全的設(shè)計方法的總體技術(shù)路線。根據(jù)《起重機設(shè)計手冊》規(guī)定的起重機工作級別，分別采用定性和定量方法實現(xiàn)起重機工作級別與目標(biāo)SIL之間的映射關(guān)系。通過FMEA和FTA法計算安全防護系統(tǒng)失效概率，從而確定防護系統(tǒng)的SIL，并與目標(biāo)SIL進行比對，根據(jù)對比結(jié)果指導(dǎo)安全防護系統(tǒng)的優(yōu)化設(shè)計。以某型號起重機智能制動器系統(tǒng)為例，對上述方法進行了應(yīng)用，并驗證了該設(shè)計方法的正確性，在起重機的安全防護系統(tǒng)設(shè)計中具有一定的推廣價值。