江苏省特种设备安全监督检验研究院常熟分院 江苏省常熟市 215500
1.1 电梯安全技术发展趋势
在电梯技术发展的初期,主要研究目标是实现电梯基本功能和提高电梯性能的发展 为主,对于安全方面的考虑不多。19 世纪末,随着电机驱动技术的成熟,人们使用该技术对电梯结构进行了改进,大大提升了电梯的性能。紧随其后的变压变频技术的发展则极大提升了电梯的舒适度以及节能。20 世纪,交流曳引机驱动技术的不断成熟使得电梯技术进一步发展,该技术的应用改进了电梯的结构(省去了老式电梯必须配备的独立机房)。这一技术使得电梯运行维护成本再一次降低的同时,在安全性、节能等方面也有了比较大的进步。
随着电梯的技术的发展,电梯的运用也越来越广泛。由于各类安全事故频发,发达国家开始制定电梯安全标准使得电梯保护装置的安装和使用不断规范化。旧式电梯的安全保护模式主要是通过制动器、限速器、安全钳和缓冲器等一系列机械装置的配合达到保护的目的。在此之后随着电气技术的发展,更加可靠的电气控制系统出现。电气安全装置主要是用传感器和电路控制模块实现对电梯的保护。电气安全装置的可靠性相比于前者有了很大提升。由于电气逻辑结构的加入,电气安全装置也更加智能。电梯的安全性随之得到了质的飞跃。
功能安全技术和方法研究最早催生于上世纪 70 年代的接连发生的与安全相关系统的功能失效引起的工业灾难。随着电梯技术的进步,人们发现基于电气控制系统的保护系统也并不可靠。电气控制系统的缺陷在于过于笨拙往往引起一些不必要的事故。由于可编程电子系统的发展,人们逐渐用可编程逻辑器件采集电梯的工作数据进行分析进而根据程序实现保护功能。
可编程逻辑器件在工作时也会偶尔失效。为了应对这种情况人们提出了功能安全的概念——设备系统不论在任意正常情况还是发生故障情况下均能完成自身功能。随着2000 年 IEC61508 的发布,功能安全技术有了通用于所有行业的技术标准。在此之后,人们在这一标准的基础之上又将功能安全技术进行了进一步的细分。随着 IEC61508 的出台,各国都开始加大对功能安全技术的研究力度。在 IEC61508之后,许多国家在 IEC61508 标准的基础上进行不同行业的细分,并出台了各行业所专用的标准。在对标准进行细化的同时,很多国家也根据自身在生产中的经验,在原有标准上针对各行各业的特性做出了改进。
SIL 等级反应风险水平的原理
对于一个稳定的电梯系统,风险发生的原因主要就是在发生危险时,电梯自有的安全装置失效,或者在运行中,自身功能器件失效。风险降低主要是通过硬件控制手段(电气/电子/可编程器件)使得风险下降。风险是风险概率和后果严重程度的组合,根据公式风险(risk)=严重度 (severity)×概率(possibility),当风险概率下降时,风险概率与严重程度的乘积 也会下降,即风险下降。因此,安全完整性水平可以作为反映风险发生概率的指标。
由上面的分析可以看出,IEC61508 将风险降低和安全完整性水平联系起来。在实际 的评估过程中,只需要对安全完整性水平进行检测就可以知道风险降低的情况。
标准中的 SIL等级评估方法
在 IEC61508 中介绍了几种分析系统安全系统可靠性的方法:
(1) 专家分析法:专家通过自己的经验根据特制的专家评审表对系统安全进行评分。
(2)失效模式及效果分析:通过对系统各个重要组件的失效模式以及相应的失效率进行计算和分析,得出系统失效模式。 此外还可以对风险后果进行研究。
(3) 局部计算分析:本方法是将系统组件分别计算失效率得出系统的总失效率。
(4)可靠性方框图:通过用图解的方法来显示系统的特性。
(5)失效树法:该方法是对已经发生事故进行分析,由表及里,通过树形结构分析相关原因。
(6)马尔可夫失效模型:根据系统可能发生的失效状态进行分析。
以上的 6 种方法,能够得出定性结果的方法是“专家分析法”和“失效模式及效果分析”。其他的方法都是定量地计算出相应指标然后进行分析。
IEC61508 将失效分为两大类随机硬件失效和系统失效。因为标准并没有规定必须使用哪种分析方法,所以在本节下面的内容中会分别针对这两种失效模式分析上进行分析,选择出本文设计的功能安全评估系统使用的评估方案。
2.2.2 电梯的硬件 SIL 等级架构设计
传统上,一般使用平均无失效时间(MTBT)对硬件可靠性进行评估。这个指标单位为小时,反映了产品相邻两次失效之间的平均工作时间。然而这种方法的对影响因素的考虑并不全面。目前针对这一指标的缺陷进行改进且应用非常广泛的是 FMEDA(failure modes,effects,diagnostic,analysis)法即硬件失效概率。这个方法通过对失效模式,影响和失效诊断率的分析可以得到安全系统硬件 SIL 等级计算所需的参数。下式描述了系统安全失效分数的计算方式
其中
-系统安全失效分数
-安全失效率
-检测到的危险失效率
-未检测到的危险失效率
在本文的电梯硬件 SIL 等级评估过程中,根据上面的公式可以直接计算出电梯的功能系统中电子元器件的失效情况。然而电梯的硬件除了电子元器件之外还有很多。所以在本文使用的评估方法是使用FMEDA硬件失效率辅助补偿算法和电梯自身特殊器件的评估方法一起判定被评估电梯的硬件 SIL 等级情况。
2.2.4 专家评估表设计
为了分析电梯风险的来源,首先需要对电梯的核心部件有所了解。下图列举出了电梯的制动以及控制等方面的部件。
图1电梯系统组成结构及部件
由上图可以发现电梯的核心功能结构相对比较复杂。除了以上的核心功能部件之外民用电梯往往还包含其他控制系统、调节系统和装潢等。所以电梯的运行受到的影响因素很多。除了电梯功能部件结构,电梯的使用环境也是重要的影响因素。电梯一般使用在高层建筑中。由于电梯本身结构,决定了电梯事故一旦发生,逃生空间很小,基本没有自救的可能。所以电梯事故的后果往往非常严重。除此之外,电梯的使用人员素质也参差不齐,人为破坏或使用不当导致的安全风险也很多。根据其他系统风险辨识的经验,电梯系统的危险辨识也是通过收集、采集并分析已经发生的事故,探索事故起因的规律性进而得出电梯系统风险的来源。根据南京特种设备研究所提供的信息,电梯事故发生的原因基本可以分为下面的三类:
(1)电梯自身元件或者机械结构失效导致电梯功能失效造成的风险。
主要风险来源:一方面是电梯零部件失效,另一方面是制造,维护以及改动时未
能满足标准规。
(2)使用环节中老化导致的风险,这与电梯的使用场所和使用频率有很大关系。
(3)人为破坏以及使用不当。
图2 电梯风险来源与后果严重程度分析
根据上图的电梯风险来源分析,大概确定出 8 个指标,分别为,设计指标,制造指标,安装指标,维护保养指标,维修改造指标,使用指标,管理指标和检验指标。为了能够让专家对所有的因素做出全面的评价,需要继续对这 8 个大指标进行了细分,将其分为多个二级和三级指标进行评分。
2.3 评估总架构设计
根据前面的研究,本文确定电梯安全评估方法分为将安全完整性分为硬件安全完整性和体系安全完整性两部分评估。其中硬件安全完整性主要由基于 IEC61508 的硬件失效算法完成。在 IEC61508 的基础之上,本文也将针对电梯系统特性对公有标准的评估方案进行了一些改进。对于体系安全完整性主要通过风险模式分析来得到主要的风险来源并以此为基础制作专家评估表。通过这些专家评估表可以使得专家对电梯系统的体系完整性进行评估。本文采用神经网络对专家评估法进行相应的改进,使其能够更加精确的评估实际的体系完整性情况。具体评估流程如下图 。
图3 评估流程图
2.4 本文小结
由于我国并没有制定适用于电梯的功能安全标准,本章主要从 IEC61508 入手,首 先论证了安全完整性等级(SIL 等级)为什么能反应系统的风险情况,然后在 IEC61508的提供的方法基础上设计了电梯功能安全评估的基本架构。主要是:
(1)将 SIL 等级分为硬件完整性等级和体系完整性等级分别进行评估.
(2)硬件完整性等级使FMEDA计算硬件失效率后再辅助使用补偿函数进行评估。
(3)体系完整性等级使用专家评估和神经网络相结合的方法,在工作人员使用基于风险分析法得到的评分表进行评分后将结果输入评估平台,最后由评估平台使用经过训练的神经网络分析评分后输出体系完整性等级的评估结果。