陈铁军

(株洲天桥起重机股份有限公司， 湖南 株洲 412000)

1 背景介绍

20世纪80年代以来，我国铝工业发展迅速，各地纷纷新建电解铝项目，铝电解冶炼技术得以不断的试验、改进，突破技术壁垒，电解槽的电流、效率、单位铝能耗等各方面远优于国外电解槽技术，电解槽配套的铝电解起重机技术也得到快速发展。与之相反的国外，特别是经济发达的欧美，高污染高能耗的电解铝冶炼项目受政策抑制，发展缓慢，且大多为80年代新建，不管是技术寿命还是经济或自然寿命都已进入老旧期，正面临技术改造，值此契机，国内电解槽技术和铝电解起重机得以进军欧美市场。

2 铝电解起重机CE认证

CE(CONFORMITE EUROPEENNE)即为方便欧盟各国之间自由贸易、达成通用的安全标准、协调国家标准而由欧盟权威机构制定技术法规、机制和程序。铝电解起重机为特种机械设备，必须有欧盟认可的认证机构参与CE的认证过程，通过CE认证才能被认为符合欧盟的安全及相关的机械指令和标准要求，在欧盟市场销售。

铝电解起重机CE认证的核心过程包括机械风险评估和针对机械安全风险评估结果进行的风险减小措施，而控制系统安全相关部件(本质安全)设计减小措施是风险减小措施的关键，所以控制系统安全相关部件设计及评估验证对于铝电解起重机机械安全CE认证极其重要。

3 控制系统安全相关部件设计及评估验证

机械安全风险减小措施主要包括控制系统安全相关部件(本质安全)设计减小措施、安全防护和附加保护措施、使用信息中关于剩余风险的规定减小措施。根据欧盟的基本安全标准(IS012100)、通用安全标准(ISO13849、EN 60204-1等)、专用安全标准(EN15011、EN13135等)和风险评估要求，铝电解起重机的控制系统安全相关部件包括紧急停止、各机构的限制相关运动限位、变频提升的超速、过载等部件。下面以紧急停止部件为例，分别从控制部件的类别设计、MTTFd(平均危险失效间隔时间)、DC(诊断覆盖率)、CCF(共因失效)等方面分别对设计的控制系统安全相关部件评估性能等级PL是否满足所需的性能PLr等级。

3.1 所需性能等级PLr评估确认

根据风险评估的结果和控制系统安全相关部件实现的风险减小的量，共同确认所需要的性能PLr，用于确定安全功能要求的PLr的风险图如图1所示，风险参数如表1所示。

图1 确定PLr的风险图

根据ISO 13849—1的PLr风险图及风险估计，紧急停止部件所需性能等级PLr风险参数S2-F1-P2，对应风险评估图评估所需性能等级PLr=d。

3.2 控制系统安全相关部件架构类别

根据风评所需性能等级PLr=d，控制系统安全相关部件设计减小可以通过架构类别2(单部件+自动危险动作前检测或周期检测)、类别3(冗余部件)、类别4(冗余部件，DC值更高，每个通道的MTTFD仅为高)实现。本紧急停止部件采用类别3架构实现，具体设计电路图如图3所示。

遥控器发射器和接收机紧急停止开关、安全继电器采用双通道设计，根据原理图简化紧急停止开关部件模块图如图4所示。

3.3 控制系统安全相关元件选型及MTTFd(平均危险失效间隔时间)值计算

3.3.1 元件的选型及MTTFd值

根据类别3架构部件的元件选型要求，该安全部件中元件选用经验证的元件，并且进行诊断检测，使得任何不见中的单一故障不会导致安全功能的散失；只要合理可行，单一故障能够在下一次安全功能时或之前被检测到，具体元件型号及相关MTTFd等数据如表2所示。

表1 风险参数

图2 主部件冗余控制原理图

图3 遥控紧急停止冗余控制原理图

图4 遥控紧急停安全相关模块图

表2 元件型号及MTTFd数据

3.3.2 紧急停止部件的MTTFd值

表3 部件的MTTFd计算

根据ISO 13849—1附录D式(D.2)用来计算对称双通道系统的MTTFd的等效等同值。根据ISO 13849—1表4通道总MTTFd：10

3.4 紧急停止部件DC(诊断覆盖率)值来源及计算

3.4.1 紧急停止部件元件的DC值

紧急停止部件元件的DC值如表4所示。

3.4.2 紧急停止部件DCavg

根据ISO 13849—1附录E式(E.1)计算紧急停止部件的DCavg。

表4 元件的DC值

DCavg=88.3%。根据ISO 13849—1表5可以确认为“低”。

3.5 共因失效(CCF)的估计

采用类别2、类别3、类别4架构实现安全功能时需要考虑防止共因失效的措施，根据ISO 13849—1附录F：共因失效CCF评分规则及评分如表5：

足够防止CCF的措施要求最低分为65分，本安全部件CCF评分为75分，足以满足防止CCF的要求。

3.6 软件的安全要求

本紧急停止安全部件采用硬接线控制，选用的遥控器、安全继电器、继电器等均为经验证的元件，内置软件已满足安全相关要求，总接触器驱动和反馈亦符合安全相关控制。

3.7 紧急停止部件设计及评估计算分析结论

本紧急停止安全部件构架：满足类别为3特征，任何不见中的单一故障不会导致安全功能的散失；只要合理可行，单一故障能够在下一次安全功能时或之前被检测到；

紧急停止安全部件MTTFd：根据3.3节计算结果，MTTFd=25，为“中”；

表5 共因失效估计

紧急停止安全部件诊断覆盖率：根据3.4节计算结果，DCavg=88.3%，为“低”；

紧急停止安全部件共因失效(CCF)估计：根据3.5节CCF评分估计，CCF评分为75分，大于65分，防止CCF的措施足够。

综合以上几点，根据ISO 13849—1图表5中，查询紧急停止部件的PL等级为“c”或者“d”。

根据ISO 13849—1附录表K.1，查询紧急停止部件的平均每小时危险失效概率为9.47×10-7，满足该安全部件所需要的性能PLr=d等级要求，所以设计的该紧急停止控制系统安全相关部件满足要求，验证计算通过。

说明：PL—性能等级；1—每个通道的MTTFD=低；2—每个通道的MTTFD=K中；3—每个通道的MTTFD=高。图5 PL与类别、DCavg和每个通道的MTTFD的关系

图6 ISO 13849—1附录表K.1图

4 应用

经过提交予CE官方认证公司——TUV公司的审核，该紧急停止部件及其他相关类似的电气原理、控制安全相关元件选型、计算书过程和结论正确，符合欧盟的安全及相关的机械指令和标准要求，满足CE认证要求。