基于功能安全的起重机安全防护系统 SIL 划分方法研究

孙远韬1 陈凯歌1 汪戴乾1 张 氢1 吴占稳2
1 同济大学机械与能源工程学院 上海 2018041 2 中国特种设备检测研究院 北京 100029

摘 要：功能安全的最终目的是确保设备安全运行，其理念已经逐步扩展到特种机电类设备的安全防护系统设计当中。起重机制动器系统作为一种典型的安全防护装置，对其进行功能安全设计对保证起重机安全具有举足轻重的作用。基于功能安全设计方法，针对安全完整性等级（SIL）划分的问题，以轨道式龙门起重机（RMG）的智能制动系统为例说明其关键过程。首先，在失效模式与影响分析（FMEA）结果的基础上建立主要失效模式的故障树，并建立各失效模式的功能函数。然后，根据所建立的功能函数计算失效概率，并结合故障树分析法（FTA）计算制动器系统的失效概率。最后，结合IEC61508 标准给出的失效概率与SIL 之间的关系定量划分制动器系统安全完整性等级，同时，根据标准提供的风险图法定性划分RMG 智能制动系统的SIL，结果表明，两种方法所得结果相符。

关键词：RMG；智能制动系统；功能安全；安全完整性等级

中图分类号：TH 213.5 文献标识码：A 文章编号：1001-0785（2020）12-0020-06

0 引言
随着工业化的发展，起重机的使用日益普遍，但由于使用不当、操作不规范、安全防护不足等原因导致的起重机安全事故频有发生，其中，起重机的使用和操作规范在安全规程中予以规定，而安全防护系统则属于设计范畴，对起重机安全防护系统进行风险评估和安全评价迫在眉睫。起重机的机械运动部件质量大，在运动过程中惯性和动能均较大，制动器作为典型的安全防护装置，对保障其安全运行起着至关重要的作用。

目前，针对起重机制动器的风险分析和安全评价已有相关研究。高志柯[1] 对起重机块式制动器进行了失效分析并提出了防止措施。李世鹏[2] 等为降低起重机运行过程中的安全事故发生率，对起重机制动器进行了安全性能分析和设计。尹浩[3] 对起重机制动器的故障和原因进行了分析，并对安全条件下起重机制动器的设计进行了研究。

不难发现，目前的安全评价和风险分析大多属于定性分析，没有形成统一定量分析方法。早在2000 年，国际电工委员会就提出了功能安全的概念并提供了一整套分析方法，其中，SIL[4-6] 是IEC61508 中的一个重要概念，SIL 是基于风险和安全的概念展开的，安全防护系统的SIL，也就是其风险降低的量，单从安全角度看SIL，SIL 越高系统越安全，风险越低。本文基于IEC61508 提供的功能安全设计方法，建立起重机安全防护系统基于功能安全的设计方法如图1 所示。

图1 起重机安全防护系统基于功能安全的设计方法

目前，传统的制动器仅存在开闭两个状态，在制动过程中运动部件产生的制动冲击较大，制动冲击在各部件之间传递，容易造成传动链的损伤，且其制动不平稳。为了对开闭的中间状态进行控制，采用智能制动器进行制动，即令其制动力和制动时间可根据需要予以调整[7]。为了保证这种新型的智能制动器安全可靠，有必要在设计过程中对其进行功能安全分析和评价。本文主要对起
重机制动系统进行SIL 划分，以RMG 智能制动系统进行分析，根据其故障模式和各零部件、子系统之间的逻辑关系对制动器系统的失效概率进行计算，并最终对智能制动系统的安全完整性等级进行分析，从而指导制动器系统的设计。

1 智能制动系统风险分析
1.1 智能制动系统简介
智能制动系统的组成如图2 所示，从功能模块的角度可以将起重机制动系统分为三个子系统，即传感器系统、逻辑控制系统和执行机构，其中，逻辑控制系统为该系统的智能驱动部分，执行机构为制动器。

RMG 智能制动系统的制动器由制动盘、制动摩擦材料、制动弹簧、制动臂、电液推动器、杠杆系统等组成。RMG 制动器设置有退距自动均等装置、衬垫磨损自动补偿装置、瓦块自动随位装置，配备有各种限位开关或感应式接近开关；此外，还配备有检测制动瓦是否闭合的接触传感器，检测制动器是否抱紧的正压力传感器，检测制动盘是否磨损的磨损检测传感器。传感器子系统信号和智能控制信号需要经过驱动单元作用到制动器上。传感器的信号通过PLC 控制，实现各种控制或故障显示。

1.2 智能制动系统FTA
文献[8] 基于FMEA 和FTA 对智能型制动系统进行了失效分析，本文在此基础上对制动系统的主要失效模式建立故障树。

针对RMG 智能制动系统，将故障树各层事件重新整合和删减，保留主要失效模式，得到智能制动系统的故障树如图3 所示。

同一零部件的不同失效模式之间为串联关系，各子系统的零部件层为串联关系，智能制动系统各子系统之间也为串联关系，根据以上逻辑关系可以自底至顶得到智能制动系统的失效概率计算模型。

即底事件Xi 发生时Xi=1，否则Xi=0，对于制动器子系统，可得其失效概率为

同理可得传感器子系统和驱动器子系统的失效概率分别为

于是可得智能制动系统的失效概率为

2 制动器失效概率计算
2.1 基本参数确定
RMG 起升机构的制动采用高速轴单制动方式，根据文献[9]，制动器型号为YP1 型，其中制动盘直径d=400 mm，额定退距ε=0.8 mm。
起升电机输出扭矩为382 N.m，则盘式制动器的制
动工作力为

2.2 功能函数的建立
文献[9] 详细规定了盘式制动器的设计准则，在文献[8]FMEA 和FTA 的基础上，根据设计准则可建立制动器各失效模式的功能函数（极限状态方程）。
1）制动盘功能函数
根据设计准则可得盘式制动器制动覆面比压的功能函数为

根据设计要求，需要对制动盘进行发热运算，设计手册规定制动器每小时产生的总热量Qp 应与每小时散发的总热量Qh 平衡，于是可建立制动盘发热功能函数

2）弹簧疲劳强度功能函数

制动弹簧在变应力作用下，当循环次数时N ＞ 106，疲劳强度安全系数计算值Sca 应大于弹簧疲劳强度的设计安全系数SF，于是可建立弹簧的疲劳强度功能函数为

当弹簧的设计计算和材料的机械性能数据精确性高时，取SF=1.31.7；当精确性低时，取SF=1.82.2。根据弹簧静强度安全系数的计算公式及强度条件可得制动弹簧的静强度功能函数为

式中：τs 为弹簧材料的剪切屈服极限，静强度的安全系数Ss 与进行疲劳强度验算时相同。
3）制动臂弯曲强度功能函数
根据设计准则可以建立制动臂弯曲强度的功能函数为

4）弹簧拉杆抗拉强度的功能函数
根据设计准则可以建立弹簧拉杆的功能函数为

上述各式中相关参数参照文献[9]。

2.3 失效概率的计算
根据基本设计参数，对式（5）式（10）中各量进行计算，将计算值和许用值考虑为服从特定分布的随机变量，其中随机分布的均值为计算值或许用值，变异系数根据实际情况分别取0.05、0.1 或0.2。各参数的分布特征如表1 所示。
根据表1 计算可得制动器各失效模式的发生概率及可靠度如表2 所示。
根据式（1）计算可得制动器失效概率

根据文献[10] 可知，电子元件的可靠性通常用指数分布可靠度函数表示，其可靠度

传感器子系统和驱动器子系统均由电子元器件构成。假设上述电子元器件有一恒定的失效率λ=0.001 失效/h，则1 h 内电子元器件正常工作的可靠度

根据式（2）、（3）和图1 计算可得传感器子系统和驱动器子系统的失效概率分别为

根据式（4）计算可得RMG 智能制动系统的失效概率为

3 安全完整性等级分析
3.1 智能制动系统失效概率计算及SIL 划分
IEC61508 中将SIL 划分为四个等级，如表3 所示，第四等级表示最高的安全完整性程度，第一等级为最低。

根据表3 和上述计算得到的智能制动系统的失效概率可以获得RMG 智能制动系统的安全完整性等级为SIL2。

3.2 基于风险图法的智能制动系统SIL 划分
风险图法是IEC61508 提出的一种定性划分SIL 的方法，风险图法通过引用风险分析过程中一些参数来共同反应安全相关系统出现失效后危险情况，然后将每个参数划入对应的分级中，最后通过参数的组合情况来确定安全相关系统所需的SIL。图4 所示为风险图法分析过程图。

图中各参数在GB/T 20438.5—2006《电气/ 电子/可编程电子安全相关系统的功能安全 第五部分：确定安全完整性等级的方法示例》中均已进行了详细说明[11]。

RMG 主要应用于码头堆场，RMG 制动器在设计时选取安全系数较大，因此很少发生事故，所以将其后果划为CC 级。安全操作规范规定RMG 在起升时不允许人暴露在下方，因此属于极少暴露在危险区域，属于FB级别。

制动器系统配备有各种限位开关，出现制动失效时可以及时反馈信息，因此工作人员不能避开危险的概率较低，将其划分为PA 级别。新型RMG 制动器系统由于不期望事件使得因制动系统失效而发生事故的概率也相对较低，故将这个级别划分到W2 级。

根据上述分析，结合表2 可判定智能型制动系统所需要达到的最低安全完整性等级为SIL2。通过上述分析可得出，定量计算结果与IEC61508 提供的风险图法结果相符。

C. 危险事件的后果 F. 在危险区域频率和暴露的时间 P. 未能避开危险事件的概率 W. 不期望事件的发生概率 –. 无安全需求 a. 无特殊安全需求 b. 单一的E/E/PE是不充分 1, 2, 3, 4. SIL

图4 风险图法

4 结论
本文基于IEC61508 对某型号RMG 起升机构的智能制动系统进行SIL 划分。通过建立主要失效模式的故障树及功能函数计算了智能制动系统的失效概率，从而实现定量评价智能制动系统的安全完整性等级。与风险图法得到的安全完整性等级比较，其结果相符。

参考文献
[1] 高志柯. 起重机块式制动器的失效分析及防止措施[J].南方农机,2017,48(24):61，62.
[2] 李世鹏, 刘宏杰. 起重机制动器的选用及安全性能分析[J]. 居舍,2018(14):173，166.
[3] 尹浩. 起重机制动器的安全使用及分析研究[J]. 科技与创新,2017(5):83，85.
[4] Yazdi Mohammad. An extension of the fuzzy improved risk graph and fuzzy analytical hierarchyprocess for determination of chemical complex safety integrity levels.[J]. International
journal of occupational safety and ergonomics : JOSE,2019, 25(4).
[5] Sotoodeh K . Safety Integrity Level in Valves[J]. Journal of Failure Analysis and Prevention, 2019, 19(3):832-837.
[6] 付世亮. 城市轨道交通车辆系统安全完整性等级分析[J]. 城市轨道交通研究,2019,22(10):70-74.
[7] 管彤贤. 欢呼智能型制动器登场[J]. 港口装卸,2013(3):1.
[8] 张氢, 周兆伟, 孙远韬, 等. 基于FMEA 和FTA 的智能 型制动器的失效分析[J]. 中国工程机械学报,2016,14(2):109-113.
[9] 《起重机设计手册》编写组. 起重机设计手册[M]. 北京：机械工业出版社,1980.
[10] 王守国. 电子元器件的可靠性[M]. 北京: 机械工业出版
社,2014.
[11] GB/T 20438.5—2006 电气/ 电子/ 可编程电子安全相关系统的功能安全 第五部分：确定安全完整性等级的方法示例[S].

来源：起重运输机械