我国自动扶梯功能安全应用存在的问题与对策

2019-02-22李中兴

安全与环境工程 2019年1期

李中兴

(广州特种机电设备检测研究院，广东广州 510663)

电梯事故持续成为媒体关注的焦点，尤其是自动扶梯事故。自2010年12月深圳自动扶梯逆行事故、2011年7月北京地铁自动扶梯逆行事故和2015年7月湖北“扶梯卷人”事故发生之后，更是使得自动扶梯的安全问题不断升温，已成为电梯行业的重中之重。电梯从以实现基本功能为主到融入多种安全保护装置再到往功能安全的方向发展，可以说其安全系数越来越高。早在1996年美国国家标准学会(ANSI)/美国仪器仪表学会(ISA)就发布了《加工工业的安全仪器化系统的应用》(ANSI/ISA S84.01—1996)标准[1]，2000年国际电工委员会(IEC)发布了《电气/电子/可编程电子(Electrical/Electronic/Programmable Electronic，E/E/PE)安全相关系统的功能安全》(IEC 61508)标准[2]，随着IEC 61508的发布，有关功能安全问题的研究逐步成为研究的热点。随后各行各业都出台了基于IEC 61508的相关标准，如过程工业领域的标准 IEC 61511[3]，核工业领域的标准 IEC 61513，机械工业领域的标准 IEC 62021等[4]。我国也在2006年发布了GB/T 20438标准(等同采用IEC 61508)，2007年发布了GB/T 21109标准(等同于 IEC 61511)[5]。功能安全问题越来越受到各个国家的重视，国外功能安全评估和认证也开始逐步完善和成熟，用户通过委托第三方评估和认证机构对所选用的安全相关系统进行评估和认证，以确保其能够达到预期的效果，比如德国的TUV认证机构。

目前，我国已有少数功能安全评估和认证机构进行功能安全评估，但还处于起步阶段。无论是电梯还是自动扶梯，其出厂时必须要有安全保护装置，这是标准的强制要求。然而这些安全装置是否能百分之百地发挥作用，实现安全保护，这涉及到功能安全的问题，以往的标准中并没有明确的规定。鉴于此，我国最新的扶梯国家标准《自动扶梯和自动人行道的制造与安装安全规范》(GB 16899—2011)[6]中提出了用于自动扶梯和自动人行道的可编程电子安全相关系统(Programmable Electronic System in Safety Related Applications for Escalators and Moving Walks,PESSRAE)，为使用可编程电子安全相关系统提供了依据。自动扶梯功能安全产品及功能安全评估方法也将成为未来的研究发展方向。

1 功能安全的引入

已有调查显示，自动扶梯的事故中有相当一部分并不是没有安全保护装置，而是由于安全保护装置未及时发挥其应有的作用，这就涉及到保护装置的可靠性问题，它是另外一个概念。这不是标准有没有、行不行的问题，而是功能安全的范畴。功能安全就是为了防止安全设施的功能失效所导致的危险，主要解决安全设施的有效性问题。

1. 1 功能安全基本术语

IEC 61508标准中定义功能安全为：与受控设备(EUC) 和EUC控制系统有关的整体安全组成部分，它取决于电气/电子/可编程电子E/E/PE安全相关系统、其他技术安全相关系统和外部风险降低设施功能的正确使用[2]。

安全完整性 (safety integrity)为：在规定的条件下、规定的时间内，安全系统成功实现所要求的安全功能的概率[2]。

IEC 61508标准中规定系统有4种安全完整性水平，SIL4是安全完整性水平最高的等级，SIL1是安全完整性水平最低的等级。实际上，系统能达到SIL4安全完整性水平等级是很困难的。安全完整性水平(SIL)等级对应的风险降低因数RRF值，见表1[7]。

表1 安全完整性水平(SIL)等级对应的风险降低因数RRF值

注：PFD=1/RRF，是衡量功能安全的安全性能水平。

为了实现上述功能安全的要求，达到理想的安全完整性水平(SIL)等级，需要有良好的管理模式、严格的规章制度、完善的功能安全产品、合理的风险降低措施以及专业的技术人员。

1. 2 功能安全管理的框架

整体安全生命周期在IEC 61508标准中给出的定义包含16个阶段，大致分为3个过程：1～5阶段表示分析过程；6～13阶段表示实现过程；14～16阶段表示运营过程[7-8]，如图1所示。

功能安全管理贯穿于整个安全生命周期，从产品的理念到产品的退役。对于自动扶梯，功能安全管理要从扶梯相关功能安全产品的设计理念开始，到功能安全的评估，直到扶梯的完全退役为止都要进行严格的管理。

2 自动扶梯功能安全的有关规范和标准

自动扶梯是复杂的机电产品，机械安全和电气安全都是研究的重点，最新发布的国家标准将功能安全相关条款纳入到规范中，这表明功能安全在不久的将来很可能将作为强制要求来实施。

图1 整体安全生命周期Fig.1 Safety life cycle

表2 监测装置和电气安全装置(或功能)的要求

2.1 可编程电子安全相关系统(PESSRAE)

最新的扶梯国家标准GB 16899—2011中，第3.1.22条定义了用于自动扶梯和自动人行道的可编程电子安全相关系统(PESSRAE)，其包含用于表2所列安全应用的、基于可编程电子装置的以及用于控制、防护、监测的系统，包括系统中所有元素(例如电源、传感器和其他输入装置、数据高速公路和其他通信途径以及执行器、其他输出装置)；第5.12.1.2.6条规定，如果PESSRAE和一个与安全无关的系统共用同一硬件，则该硬件应符合PESSRAE的规定[6]。PESSRAE是基于软件的PES在电梯/扶梯安全相关系统中的应用。

表2中，(c)～(n)及(q)所述事件达到的要求有3种途径：第一种是满足5.12.1.2.2的安全开关；第二种是满足5.12.1.2.3的安全电路；第三种是满足PESSRAE，并同时给出了SIL等级的要求，最高要达到SIL2等级。对于第三种提及的PESSRAE要求应符合《电气/电子/可编程电子安全相关系统的功能安全》(GB/T 20438)标准的规定。GB/T 20438等同采用国际标准IEC 61508[9-11]。

2. 2 自动扶梯相关的功能安全标准

自动扶梯相关的功能安全标准最早且有影响的是IEC在2000年2月发布的功能安全基础标准IEC 61508[2]。同时，还有《机械安全——控制系统相关安全部件——第1部分》(ISO 13849-1—2015)标准，它建立在系统风险分析的基础上，主要应用于电气、液压、气动系统以及部分电子产品系统[12]；《机械安全与安全有关的电气、电子和可编程电子控制系统的功能安全》(IEC 62061—2012)标准，它提供了采用复杂的、可由先前非传统系统结构执行的安全功能的方法，适用于电气系统领域[13]。此外，还有ISO 22201—2017系列标准，其包括三个部分：ISO 22201-1是针对电梯安全相关的PESSRAL的设计和开发；ISO 22201-2是针对自动扶梯/自动人行道安全相关的PESSRAL的设计和开发；ISO 22201-3是关于电梯、自动扶梯/自动人行道安全相关的PESSRAL的维修与改造活动，源于IEC 61508和EN 81标准，并且参考了IEC 61508标准中的风险分析方法[14]，如图2所示。

图2 自动扶梯相关的功能安全标准Fig.2 Escalator-related functional safety standards

3 我国自动扶梯功能安全应用存在的问题及未来的研究发展方向

3. 1 存在的问题

自动扶梯在安全方面的设计是基于机械和电气的，通过增加安全部件或增加电气相应安全措施来实现。但是，这些措施的可靠性并未设计得很理想，而采用PESSRAE可以从根本上减少故障和事故的发生，从而提高电梯的可靠性和安全性。目前我国自动扶梯行业在功能安全应用方面主要存在如下问题：

3.1.1 自动扶梯功能安全标准体系与国际水平存在差距

功能安全基础标准IEC 61508于2000年正式发布，随后陆续出台了以它为基础的各行业标准。2011年，设置符合功能安全要求的用于自动扶梯和自动人行道的PESSRAE，被写入了我国自动扶梯的国家标准当中，这说明我国扶梯行业的功能安全意识已经形成，然而在功能安全标准制定方面，我国等同或等效采用国际标准，大部分相关标准还是靠翻译，因此急需要真正理解功能安全标准的理念与方法，并结合我国国情和行业的特点，制定出适合我国的功能安全标准体系。目前我国自动扶梯功能安全相关的标准与国际水平差距较大，详见表3。

由表3可知：从标准产生数量的差距来看，电梯和自动扶梯功能安全相关的国际标准有7个，而国内标准只有4个，且全部是等同或等效采用的国际标准，等效采用率为100%，还有3个标准至今仍未转化为我国标准，转化率为57.1%，这意味着我国自有标准还处于空白状态；从标准产生年代的差距来看，已转化的标准中差距最小的是6年，最大的是14年，平均差距为9年，可见我国标准滞后的时间较长，另外还有3个标准未进行转化和应用。

表3 国内外电梯和自动扶梯功能安全相关标准的差距

3.1.2 自动扶梯功能安全的评估方法具有局限性

成熟的功能安全理念针对的是E/E/PES安全相关系统，而对于自动扶梯很多机械安全部件安全功能的验证无法通过像表1一样的计算来获得，需要寻找另外的评估方法，比如通过失效模式与影响分析等方法来评估该部件的安全可靠性(Safety Reliability,SR)等级，从而获得等效的功能安全完整性水平(SIL)等级[15-16]。

3.1.3 功能安全评估人才缺乏

目前，我国具有功能安全工程师培训资质的机构非常稀少，北京的“机械工业仪器仪表综合技术经济研究所”是较早的具有功能安全工程师培训资质的机构，由于国内对功能安全的认识不足，加上培训师数量有限，早几年在该机构参加培训的功能安全工程师人数每期不足10人，可见我国这方面人才的缺口之大。近几年，随着人们对功能安全认识的提高，一些机构开始开展功能安全评估与认证业务，也积极培养相关人才，但是这些人员在短期内很难系统掌握功能安全的技术和知识，更谈不上对其熟练应用。

3. 2 未来的研究发展方向

针对我国自动扶梯行业在功能安全应用方面存在的问题，本文提出了未来的研究发展方向，具体如下：

3.2.1 建立和完善适合我国的自动扶梯行业功能安全的标准体系

(1) 建立自动扶梯行业功能安全的相关标准。要根据我国的国情及行业特点，并参照国际标准，建立适合我国的自动扶梯行业的功能安全标准体系和功能安全评估方法。由于自动扶梯具有产品种类繁多、系统复杂、集成度高、对安全的要求高、事故后果严重(即涉及人民生命和财产安全)等特点，且使用者素质参差不齐，加之我国功能安全的标准缺乏，因此需要结合这些因素，编制适合我国的自动扶梯行业功能安全的标准，尤其是功能安全的评估标准。随着功能安全研究的深入，功能安全完整性水平等级高且系统复杂程度低的控制系统是自动扶梯功能安全产品研究的重点，而自动扶梯功能安全评估方法则是应用过程中标准研究的重点。此外，我国在扶梯安全宣传力度方面还有待完善。

(2) 建立自动扶梯行业功能安全的管理体系。安全靠技术和管理来共同保障，先进的技术缺乏完善的管理体制，也会存在巨大的安全隐患，自动扶梯尤其是车站人流量大的场所，更需要良好的管理来减少事故的发生率，而思想意识和计划是良好管理不可缺少的部分。自动扶梯功能安全产品的设计要从设计思想上融入功能安全的理念，从产品设计开始，时时刻刻以功能安全理念来驱动产品的设计；功能安全管理不只是管理人和设备，在整个安全生命周期的所有活动中都需要管理，这就必须要制定详细的功能安全管理工作计划，确定人员、部门和机构的责任，包括哪些机构和人员参与、协调机制、阶段总结计划、纠错机制、归档等[17-18]。

3.2.2 研究自动扶梯非E/E/PES安全相关系统功能安全的评估方法

自动扶梯非E/E/PES安全相关系统的功能安全评估无法采用功能安全的评估方法来划分功能安全完整性水平SIL等级，可以考虑通过失效模式与影响分析的方法来评估安全可靠性SR等级，即对一定年限自动扶梯非E/E/PES安全相关系统的危险状况进行半定量分析，得到其风险值，具体数学模型如下：

R=f(S,P)=SP

式中：P为危险状态导致事故发生的难易程度；S为事故的严重程度。

将事故发生的可能性分为A、B、C、D、E五个等级，事故的严重程度分为5、4、3、2、1五个等级，详见表4。

表4 风险等级表

通过对非E/E/PES安全相关系统的指标分析，得到非E/E/PES安全相关系统的SR等级，并与SIL等级相结合，最终可得到自动扶梯功能安全的评估等级。

3.2.3 培养高水平的功能安全人才

我国人口众多，但功能安全人才缺乏，准确运用功能安全进行设计、评估的人员远远不足，需要行业引导并建立适合我国行业特点的功能安全应用体系，以保证功能安全应用在我国的顺利实施。

功能安全产品的设计和管理，需要具备专业知识的人员，他们应熟练掌握功能安全的理论知识和自动扶梯的专业技术。但由于功能安全在我国自动扶梯行业的应用处于起步阶段，该行业同时具备功能安全理论知识和扶梯专业知识的人才极为缺乏，因此需要定期对相关人员进行系统的培训，必要时可为他们提供出国考察和交流的机会，以培养高水平的自动扶梯行业功能安全的技术和管理人才。