游樂設(shè)施安全相關(guān)系統(tǒng)安全完整性評價方法研究

宋偉科 單宇佳

（中國特種設(shè)備檢測研究院 北京 100029）

1 研究背景

隨著游樂設(shè)施產(chǎn)品向體驗多元化方向的發(fā)展，游樂設(shè)施設(shè)備的復(fù)雜程度也越來越高，同時要求設(shè)備的動作精準，以便和虛擬影視設(shè)備相配合，才能達到更加逼真的效果，這就要求游樂設(shè)施產(chǎn)品在控制系統(tǒng)上更加精確化。通過更為先進的基于PC的PLC控制技術(shù)，利用多種傳感器進行數(shù)據(jù)的轉(zhuǎn)化和傳輸，利用先進的交直流驅(qū)動技術(shù)或液壓氣動驅(qū)動技術(shù)進行動力輸送，才能實現(xiàn)游樂設(shè)施產(chǎn)品的精準化控制。同時系統(tǒng)的不斷復(fù)雜使得游樂設(shè)施本身的可靠性要求越來越高。尤其是涉及人身安全的重要安全相關(guān)系統(tǒng)，其安全可靠性直接決定了游樂設(shè)施的運行安全。

安全相關(guān)系統(tǒng)是指能夠保證設(shè)備安全運行的相關(guān)系統(tǒng)，包括機械安全相關(guān)系統(tǒng)和電氣安全相關(guān)系統(tǒng)[1，2]。安全相關(guān)系統(tǒng)對于保證游樂設(shè)施的安全運行至關(guān)重要。游樂設(shè)施常見的安全相關(guān)系統(tǒng)包括安全聯(lián)鎖系統(tǒng)、緊急停止系統(tǒng)、安全減速制動系統(tǒng)、防碰撞保護系統(tǒng)、防逆行保護系統(tǒng)、防超速保護系統(tǒng)等。每一個安全相關(guān)系統(tǒng)都可能包括電氣系統(tǒng)、控制系統(tǒng)、液壓/氣動系統(tǒng)和機械系統(tǒng)等。

在游樂設(shè)施安全評價方面，目前通用的技術(shù)是針對系統(tǒng)層面的危險源分析方法和針對零部件層面的FMEA評價方法，并未對安全相關(guān)系統(tǒng)的安全功能進行評價。功能安全評價關(guān)注的安全相關(guān)系統(tǒng)執(zhí)行的安全功能失效引起的可能風(fēng)險。功能安全是基于安全設(shè)備的可靠性，可靠性是功能安全評價的一個重要指標。相比較安全儀表領(lǐng)域，目前在游樂設(shè)施安全相關(guān)系統(tǒng)的安全功能完整性評價方面國外主要利用現(xiàn)有的機械安全相關(guān)標準進行評價，而國內(nèi)依然是空白。

2 游樂設(shè)施安全相關(guān)系統(tǒng)完全完整性評價流程

游樂設(shè)施安全相關(guān)系統(tǒng)安全完整性評價的對象為安全相關(guān)系統(tǒng)的安全功能，目標是評估其安全回路能否滿足安全功能要求[3，4]。游樂設(shè)施安全相關(guān)系統(tǒng)的安全完整性評價以風(fēng)險分析為基礎(chǔ)，以安全完整性等級（Safety Integrity Level，SIL）為評價指標，從整體安全生命周期角度，考慮環(huán)境因素、人為因素等對安全功能的影響進行綜合評價，并提出優(yōu)化設(shè)計方案。優(yōu)化設(shè)計后重新進行安全完整性評價是必要的。游樂設(shè)施安全相關(guān)系統(tǒng)的安全完整性評價結(jié)果應(yīng)進行試驗確認，試驗確認應(yīng)結(jié)合實際游樂設(shè)施運行工況開展工作。

游樂設(shè)施安全相關(guān)系統(tǒng)的安全完整性評價內(nèi)容包括安全相關(guān)系統(tǒng)的辨識、風(fēng)險評價、SIL分配、安全回路設(shè)計、安全功能的安全完整性等級評價、優(yōu)化設(shè)計和試驗確認，如圖1所示。其中安全相關(guān)系統(tǒng)辨識、安全功能風(fēng)險評估是安全功能SIL分配的前提。對安全回路進行SIL等級模型計算和評價是安全功能SIL驗證的組成部分。因此SIL分配和SIL驗證是游樂設(shè)施安全相關(guān)系統(tǒng)安全功能評價的主體。

圖1 游樂設(shè)施安全相關(guān)系統(tǒng)SIL評價過程

3 安全功能的SIL分配

3.1 安全相關(guān)系統(tǒng)的識別

游樂設(shè)施安全相關(guān)系統(tǒng)的安全完整性評價應(yīng)首先確定評價對象。每一個安全相關(guān)系統(tǒng)都可能包括電氣系統(tǒng)、控制系統(tǒng)、液壓/氣動系統(tǒng)和機械系統(tǒng)等。由于控制系統(tǒng)和機械系統(tǒng)在安全評價和風(fēng)險評估方法上的不同，而安全相關(guān)控制系統(tǒng)的重要性往往被忽視，因此游樂設(shè)施安全相關(guān)系統(tǒng)安全完整性評價主要關(guān)注控制安全相關(guān)系統(tǒng)的評價方法研究。

由于在游樂設(shè)施控制系統(tǒng)當中真正影響安全的安全相關(guān)控制系統(tǒng)簡稱SRP/CS（Safety-Related Parts of a Control System）往往只占整個控制系統(tǒng)的一小部分，如圖2所示。如何科學(xué)有效的識別SRP/CS是目前困擾設(shè)計人員的一個問題。設(shè)計人員需要根據(jù)不同種類游樂設(shè)施的運行工況以及以往相關(guān)事故信息收集及設(shè)計經(jīng)驗，在復(fù)雜的控制系統(tǒng)中準確的抽出SRP/CS部分。但從通用的角度考慮一般情況，如游樂設(shè)施的允許起動/再起動聯(lián)鎖回路、緊急停止以及制動系統(tǒng)必須作為SRP/CS進行考慮。設(shè)計完成時需確認SRP/CS的輸入與輸出信號都屬于安全信號，且其任何分支子系統(tǒng)與整個SRP/CS的集成都應(yīng)滿足性能等級PL≥PLr的設(shè)計要求。

圖2 安全相關(guān)（虛線內(nèi)）與非安全相關(guān)（虛線外）控制系統(tǒng)的區(qū)別方式

3.2 安全相關(guān)系統(tǒng)安全功能風(fēng)險評估

安全相關(guān)系統(tǒng)的安全功能風(fēng)險評估的目的是為了獲得該功能的安全完整性等級（SIL）要求，不恰當?shù)娘L(fēng)險評估技術(shù)會導(dǎo)致安全相關(guān)系統(tǒng)的安全完整性等級過高或過低。過高會造成浪費，而過低將不能滿足安全要求而導(dǎo)致發(fā)生不可接受的風(fēng)險。目前SIL分配方法主要有風(fēng)險矩陣法，風(fēng)險圖法和保護層分析法。其中風(fēng)險矩陣法是一種基于分類的方法，對風(fēng)險的后果和可能性分類，構(gòu)建風(fēng)險矩陣，屬于定性分析方法。但該方法主要依據(jù)實際經(jīng)驗和主觀判斷，一致性和精確度較差，不能體現(xiàn)可容忍風(fēng)險水平，針對不同場景的辨識度不高，復(fù)雜過程難以應(yīng)用。風(fēng)險圖法是一種基于分類的半定性方法，通過后果、處于危險區(qū)域的時間、避開危險的概率和事件發(fā)生概率四個因素構(gòu)建風(fēng)險圖。而保護層分析法是一種定量方法，從危險和可操作性分析數(shù)據(jù)入手，計算每個識別的危險，確定高風(fēng)險降低的總量，從而確定SIL等級。該方法需要更多的可靠性數(shù)據(jù)，評價過程相對費時。鑒于游樂設(shè)施安全相關(guān)系統(tǒng)不同于傳統(tǒng)的安全儀表過程控制系統(tǒng)，本文采用基于游樂設(shè)施失效數(shù)據(jù)庫的風(fēng)險矩陣法進行SIL等級評定和分配。

參照IEC62061要求對安全相關(guān)系統(tǒng)的安全功能進行量化和打分，IEC62061在風(fēng)險識別中需要評價的參數(shù)包括[7，8]：

Se：危險可能導(dǎo)致的傷害程度

Fr：人員暴露在危險中的頻率和持續(xù)時間

Pr：危害時間發(fā)生的概率

Av：避免或者限制傷害的可能性

以上技術(shù)參數(shù)的選取來源是安全相關(guān)系統(tǒng)的安全功能在具體游樂設(shè)施中的表現(xiàn)行為，參照大型游樂設(shè)施失效案例知識庫和相關(guān)法規(guī)標準要求進行選取。在此技術(shù)上，參照表1 SIL分配矩陣對安全功能進行SIL等級分配，其中表中行表示嚴重程度（Se），列表示以上分析的級別（CI），由Fr、Pr和Av相加而來。行列交叉點位置即為該安全功能應(yīng)該具備的SIL等級。

表1 SIL分配矩陣

4 安全功能的SIL驗證

安全相關(guān)系統(tǒng)的安全功能回路設(shè)計完成后，需要對該安全回路所能提供的安全功能進行評估，以明確其安全功能所能達到的安全完整性等級是否滿足風(fēng)險評估的要求。如果計算得到的安全完整性等級（SIL）達不到根據(jù)風(fēng)險評估分配的安全完整性等級，則安全相關(guān)系統(tǒng)的安全回路應(yīng)重新優(yōu)化設(shè)計。SIL驗證的主流方法有可靠性框圖、故障樹和馬爾科夫（Markov）模型等。但不論何種方法，都是基于安全回路部件的可靠性開展評估和驗證工作。安全回路的可靠性指標是SIL驗證的前提。

4.1 安全回路的可靠性指標

1）安全控制類別（Category）

SRP/CS相對于故障的可靠性等級以及在故障狀態(tài)下的自我檢測預(yù)警能力是決定SIL的最主要因素。ISO 13849-1當中規(guī)定共有B/1/2/3/4共五個類別，類別等級越高可靠性越高[5，6]。安全控制類別是安全回路的基本特性。

2）平均無危險故障時間MTTFd（Mean Time to Dangerous Failure）

由于系統(tǒng)的整體可靠性是由系統(tǒng)內(nèi)各個不同要素自身的可靠性疊加所決定的，所以平均發(fā)生失效率也是決定系統(tǒng)可靠性的主要因素之一。一般來說MTTFd值為故障率的反函數(shù)MTTFd=1/λ，單位用[年]來表示。該值可以屬于一個元件，也可以是針對一個系統(tǒng)的描述。針對一個系統(tǒng)時可以通過分段確定每部分的MTTFd，然后計算出系統(tǒng)的平均無故障時間。在需要考慮由于機械操作次數(shù)而發(fā)生風(fēng)險的情況下，還需要考慮式（1）所示的B10d（10%的器件發(fā)生故障的平均循環(huán)次數(shù)）參數(shù)。這種情況下通過年均操作次數(shù)nop（Number of operations）值的設(shè)定就可以依據(jù)以下公式求出MTTFd值了，其中式（3）為串聯(lián)回路計算公式，式（4）為并聯(lián)計算公式。

在這里由于游樂設(shè)施的運行周期及次數(shù)一般部件具有較強的季節(jié)性及規(guī)律性，使用設(shè)計者在初始設(shè)計階段可根據(jù)以往該設(shè)備的運行工況，及具體使用預(yù)計情況進行合理的參數(shù)設(shè)定。安全PLC、安全繼電器等的MTTFd值一般來說是由第三方檢驗機構(gòu)進行驗證后給出，所以設(shè)計者進行回路設(shè)計時可優(yōu)先選擇經(jīng)過認證的標準件。

3）平均診斷范圍DCavg（Average Diagnostic Coverage）

平均診斷范圍是構(gòu)成SRP/CS 的各系統(tǒng)的自帶自我診斷能力的平均值。合理的自我診斷及自我監(jiān)控措施可以作為采用低可靠性回路架構(gòu)的一種補足措施進行使用，此方法可有效提高回路的SIL等級。這一點也比較符合目前我國游樂設(shè)施設(shè)計制造的現(xiàn)狀，即可以通過選用比較廉價的器件但通過合理的自我檢測手段實現(xiàn)比較高的性能等級。

4）共因失效理由CCF（Common Cause Failure）

共因失效理由是指構(gòu)成各部分機械硬件結(jié)構(gòu)發(fā)生故障的共同原因。ISO13849-1規(guī)定CCF值的大小是由所規(guī)定的8個因素的綜合評分進行確定的最低分數(shù)不得低于65分，且只有類別2以上的SRP/CS系統(tǒng)需要進行CCF評價。

4.2 安全功能完整性等級驗證

安全功能的完整性等級驗證依賴于以上四個可靠性參數(shù)，但決定系統(tǒng)整體安全性能最重要的參數(shù)還是控制類別。但在相同控制類別的情況下通過其他三個參數(shù)的調(diào)整，也可以實現(xiàn)提高或降低安全性能的最終結(jié)果，因此可以根據(jù)不同設(shè)計輸入要求在設(shè)計階段實現(xiàn)一定的靈活性。在能保證安全性能的前提下，適當?shù)目刂浦圃斐杀?。最終求得的安全性能結(jié)果可通過與ISO 13849-1附件K的表K.1所提供的柱狀圖中的參數(shù)進行比對，確定最終的安全性能等級。為方便參考可將柱狀圖的參數(shù)值簡化為見表2[7，8]。

表2 性能等級結(jié)果比對柱狀圖簡化表

5 結(jié)論目前存在的問題

游樂設(shè)施安全相關(guān)系統(tǒng)安全功能安全性評價方法適用于直接關(guān)系人身安全的重要控制系統(tǒng)進行安全評估，填補了國內(nèi)游樂設(shè)施控制系統(tǒng)安全評價的空白，具有重大的現(xiàn)實意義。但游樂設(shè)施又區(qū)別于傳統(tǒng)的過程工業(yè)中的安全儀表系統(tǒng)，在SIL分配及驗證環(huán)節(jié)區(qū)別較大。同時游樂設(shè)施本身多樣化、復(fù)雜性的特性決定了其安全功能完整性評價存在諸多難點，也是今后研究的重點所在，主要集中在以下幾個方面：

1）安全功能的SIL分配主要依賴于傳統(tǒng)經(jīng)驗和失效案例數(shù)據(jù)庫，開發(fā)更加有效和準確的定量評價方法才能更加合理地分配安全回路的安全功能SIL等級。

2）在SIL驗證環(huán)節(jié)，目前國內(nèi)大部分游樂設(shè)施所用的控制元件不具備具體的可靠性指標，在此種情況下，如何確定安全回路元器件的可靠性指標尤為重要。

3）安全回路的安全完整性等級不僅僅取決于硬件回路的安全可靠性，在軟件可靠性、人為因素等方面還有值得研究的影響因素。

[1] EN 13814—2004 Fairground and amusement park machinery and structure-safety[S].

[2] GB 8408—2008 游樂設(shè)施安全規(guī)范[S].

[3] IEC 61508：1998 Functional safety of electrical/electronic/programmable electronic safety-related systems，IDT[S].

[4] GB/T 20438—2006 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全[S].

[5] ISO 13849：2006 Safety of machinery-Safety-related parts of control systems， IDT[S].

[6] GB/T 16855—2008 機械安全 控制系統(tǒng)有關(guān)安全部件[S].

[7] IEC 62061：2005 Safety of machinery-Functional safety of safety-related electrical， electronic and programmable electronic control systems， IDT[S].

[8] GB/T 28526—2012 機械電氣安全 安全相關(guān)電氣、電子和可編程電子控制系統(tǒng)的功能安全[S].