孫遠韜1 陳凱歌1 汪戴乾1 張 氫1 吳佔穩21 同濟大學機械與能源工程學院 上海 2018041 2 中國特種裝置檢測研究院 北京 100029

摘 要：功能安全的最終目的是確保裝置安全執行，其理念已經逐步擴充套件到特種機電類裝置的安全防護系統設計當中。起重機制動器系統作為一種典型的安全防護裝置，對其進行功能安全設計對保證起重機安全具有舉足輕重的作用。基於功能安全設計方法，針對安全完整性等級（SIL）劃分的問題，以軌道式龍門起重機（RMG）的智慧制動系統為例說明其關鍵過程。首先，在失效模式與影響分析（FMEA）結果的基礎上建立主要失效模式的故障樹，並建立各失效模式的功能函式。然後，根據所建立的功能函式計算失效機率，並結合故障樹分析法（FTA）計算制動器系統的失效機率。最後，結合IEC61508 標準給出的失效機率與SIL 之間的關係定量劃分制動器系統安全完整性等級，同時，根據標準提供的風險圖法定性劃分RMG 智慧制動系統的SIL，結果表明，兩種方法所得結果相符。

關鍵詞：RMG；智慧制動系統；功能安全；安全完整性等級

中圖分類號：TH 213.5 文獻標識碼：A 文章編號：1001-0785（2020）12-0020-06

0 引言隨著工業化的發展，起重機的使用日益普遍，但由於使用不當、操作不規範、安全防護不足等原因導致的起重機安全事故頻有發生，其中，起重機的使用和操作規範在安全規程中予以規定，而安全防護系統則屬於設計範疇，對起重機安全防護系統進行風險評估和安全評價迫在眉睫。起重機的機械運動部件質量大，在運動過程中慣性和動能均較大，制動器作為典型的安全防護裝置，對保障其安全執行起著至關重要的作用。

目前，針對起重機制動器的風險分析和安全評價已有相關研究。高志柯[1] 對起重機塊式制動器進行了失效分析並提出了防止措施。李世鵬[2] 等為降低起重機執行過程中的安全事故發生率，對起重機制動器進行了安全效能分析和設計。尹浩[3] 對起重機制動器的故障和原因進行了分析，並對安全條件下起重機制動器的設計進行了研究。

不難發現，目前的安全評價和風險分析大多屬於定性分析，沒有形成統一定量分析方法。早在2000 年，國際電工委員會就提出了功能安全的概念並提供了一整套分析方法，其中，SIL[4-6] 是IEC61508 中的一個重要概念，SIL 是基於風險和安全的概念展開的，安全防護系統的SIL，也就是其風險降低的量，單從安全形度看SIL，SIL 越高系統越安全，風險越低。本文基於IEC61508 提供的功能安全設計方法，建立起重機安全防護系統基於功能安全的設計方法如圖1 所示。

圖1 起重機安全防護系統基於功能安全的設計方法

目前，傳統的制動器僅存在開閉兩個狀態，在制動過程中運動部件產生的制動衝擊較大，制動衝擊在各部件之間傳遞，容易造成傳動鏈的損傷，且其制動不平穩。為了對開閉的中間狀態進行控制，採用智慧制動器進行制動，即令其制動力和制動時間可根據需要予以調整[7]。為了保證這種新型的智慧制動器安全可靠，有必要在設計過程中對其進行功能安全分析和評價。本文主要對起重機制動系統進行SIL 劃分，以RMG 智慧制動系統進行分析，根據其故障模式和各零部件、子系統之間的邏輯關係對制動器系統的失效機率進行計算，並最終對智慧制動系統的安全完整性等級進行分析，從而指導制動器系統的設計。

1 智慧制動系統風險分析1.1 智慧制動系統簡介智慧制動系統的組成如圖2 所示，從功能模組的角度可以將起重機制動系統分為三個子系統，即感測器系統、邏輯控制系統和執行機構，其中，邏輯控制系統為該系統的智慧驅動部分，執行機構為制動器。

RMG 智慧制動系統的制動器由制動盤、制動摩擦材料、制動彈簧、制動臂、電液推動器、槓桿系統等組成。RMG 制動器設定有退距自動均等裝置、襯墊磨損自動補償裝置、瓦塊自動隨位裝置，配備有各種限位開關或感應式接近開關；此外，還配備有檢測制動瓦是否閉合的接觸感測器，檢測制動器是否抱緊的正壓力感測器，檢測制動盤是否磨損的磨損檢測感測器。感測器子系統訊號和智慧控制訊號需要經過驅動單元作用到制動器上。感測器的訊號透過PLC 控制，實現各種控制或故障顯示。

1.2 智慧制動系統FTA文獻[8] 基於FMEA 和FTA 對智慧型制動系統進行了失效分析，本文在此基礎上對制動系統的主要失效模式建立故障樹。

針對RMG 智慧制動系統，將故障樹各層事件重新整合和刪減，保留主要失效模式，得到智慧制動系統的故障樹如圖3 所示。

同一零部件的不同失效模式之間為串聯關係，各子系統的零部件層為串聯關係，智慧制動系統各子系統之間也為串聯關係，根據以上邏輯關係可以自底至頂得到智慧制動系統的失效機率計算模型。

即底事件Xi 發生時Xi=1，否則Xi=0，對於制動器子系統，可得其失效機率為

同理可得感測器子系統和驅動器子系統的失效機率分別為

於是可得智慧制動系統的失效機率為

2 制動器失效機率計算2.1 基本引數確定RMG 起升機構的制動採用高速軸單制動方式，根據文獻[9]，制動器型號為YP1 型，其中制動盤直徑d=400 mm，額定退距ε=0.8 mm。起升電機輸出扭矩為382 N.m，則盤式制動器的制動工作力為

2.2 功能函式的建立文獻[9] 詳細規定了盤式制動器的設計準則，在文獻[8]FMEA 和FTA 的基礎上，根據設計準則可建立制動器各失效模式的功能函式（極限狀態方程）。1）制動盤功能函式根據設計準則可得盤式制動器制動覆面比壓的功能函式為

根據設計要求，需要對制動盤進行發熱運算，設計手冊規定製動器每小時產生的總熱量Qp 應與每小時散發的總熱量Qh 平衡，於是可建立制動盤發熱功能函式

2）彈簧疲勞強度功能函式

制動彈簧在變應力作用下，當迴圈次數時N ＞ 106，疲勞強度安全係數計算值Sca 應大於彈簧疲勞強度的設計安全係數SF，於是可建立彈簧的疲勞強度功能函式為

當彈簧的設計計算和材料的機械效能資料精確性高時，取SF=1.3~1.7；當精確性低時，取SF=1.8~2.2。根據彈簧靜強度安全係數的計算公式及強度條件可得制動彈簧的靜強度功能函式為

式中：τs 為彈簧材料的剪下屈服極限，靜強度的安全係數Ss 與進行疲勞強度驗算時相同。3）制動臂彎曲強度功能函式根據設計準則可以建立制動臂彎曲強度的功能函式為

4）彈簧拉桿抗拉強度的功能函式根據設計準則可以建立彈簧拉桿的功能函式為

上述各式中相關引數參照文獻[9]。

2.3 失效機率的計算根據基本設計引數，對式（5）～式（10）中各量進行計算，將計算值和許用值考慮為服從特定分佈的隨機變數，其中隨機分佈的均值為計算值或許用值，變異係數根據實際情況分別取0.05、0.1 或0.2。各引數的分佈特徵如表1 所示。根據表1 計算可得制動器各失效模式的發生機率及可靠度如表2 所示。根據式（1）計算可得制動器失效機率

根據文獻[10] 可知，電子元件的可靠性通常用指數分佈可靠度函式表示，其可靠度

感測器子系統和驅動器子系統均由電子元器件構成。假設上述電子元器件有一恆定的失效率λ=0.001 失效/h，則1 h 內電子元器件正常工作的可靠度

根據式（2）、（3）和圖1 計算可得感測器子系統和驅動器子系統的失效機率分別為

根據式（4）計算可得RMG 智慧制動系統的失效機率為

3 安全完整性等級分析3.1 智慧制動系統失效機率計算及SIL 劃分IEC61508 中將SIL 劃分為四個等級，如表3 所示，第四等級表示最高的安全完整性程度，第一等級為最低。

根據表3 和上述計算得到的智慧制動系統的失效機率可以獲得RMG 智慧制動系統的安全完整性等級為SIL2。

3.2 基於風險圖法的智慧制動系統SIL 劃分風險圖法是IEC61508 提出的一種定性劃分SIL 的方法，風險圖法透過引用風險分析過程中一些引數來共同反應安全相關係統出現失效後危險情況，然後將每個引數劃入對應的分級中，最後透過引數的組合情況來確定安全相關係統所需的SIL。圖4 所示為風險圖法分析過程圖。

圖中各引數在GB/T 20438.5—2006《電氣/ 電子/可程式設計電子安全相關係統的功能安全 第五部分：確定安全完整性等級的方法示例》中均已進行了詳細說明[11]。

RMG 主要應用於碼頭堆場，RMG 制動器在設計時選取安全係數較大，因此很少發生事故，所以將其後果劃為CC 級。安全操作規範規定RMG 在起升時不允許人暴露在下方，因此屬於極少暴露在危險區域，屬於FB級別。

制動器系統配備有各種限位開關，出現制動失效時可以及時反饋資訊，因此工作人員不能避開危險的機率較低，將其劃分為PA 級別。新型RMG 制動器系統由於不期望事件使得因制動系統失效而發生事故的機率也相對較低，故將這個級別劃分到W2 級。

根據上述分析，結合表2 可判定智慧型制動系統所需要達到的最低安全完整性等級為SIL2。透過上述分析可得出，定量計算結果與IEC61508 提供的風險圖法結果相符。

C. 危險事件的後果 F. 在危險區域頻率和暴露的時間 P. 未能避開危險事件的機率 W. 不期望事件的發生機率 --. 無安全需求 a. 無特殊安全需求 b. 單一的E/E/PE是不充分 1, 2, 3, 4. SIL

圖4 風險圖法

4 結論本文基於IEC61508 對某型號RMG 起升機構的智慧制動系統進行SIL 劃分。透過建立主要失效模式的故障樹及功能函式計算了智慧制動系統的失效機率，從而實現定量評價智慧制動系統的安全完整性等級。與風險圖法得到的安全完整性等級比較，其結果相符。

參考文獻[1] 高志柯. 起重機塊式制動器的失效分析及防止措施[J].南方農機,2017,48(24):61，62.[2] 李世鵬, 劉宏傑. 起重機制動器的選用及安全效能分析[J]. 居舍,2018(14):173，166.[3] 尹浩. 起重機制動器的安全使用及分析研究[J]. 科技與創新,2017(5):83，85.[4] Yazdi Mohammad. An extension of the fuzzy improved risk graph and fuzzy analytical hierarchyprocess for determination of chemical complex safety integrity levels.[J]. Internationaljournal of occupational safety and ergonomics : JOSE,2019, 25(4).[5] Sotoodeh K . Safety Integrity Level in Valves[J]. Journal of Failure Analysis and Prevention, 2019, 19(3):832-837.[6] 付世亮. 城市軌道交通車輛系統安全完整性等級分析[J]. 城市軌道交通研究,2019,22(10):70-74.[7] 管彤賢. 歡呼智慧型制動器登場[J]. 港口裝卸,2013(3):1.[8] 張氫, 周兆偉, 孫遠韜, 等. 基於FMEA 和FTA 的智慧 型制動器的失效分析[J]. 中國工程機械學報,2016,14(2):109-113.[9] 《起重機設計手冊》編寫組. 起重機設計手冊[M]. 北京：機械工業出版社,1980.[10] 王守國. 電子元器件的可靠性[M]. 北京: 機械工業出版社,2014.[11] GB/T 20438.5—2006 電氣/ 電子/ 可程式設計電子安全相關係統的功能安全 第五部分：確定安全完整性等級的方法示例[S].