杨崇俊,王 强,杜自豪,任吉超,袁昌明

(1.中国计量大学 质量与安全工程学院,浙江 杭州 310018;2.中国特种设备检测研究院,北京 100029)

近年来,随着高层建筑越来越普及,电梯成为各大建筑的标配,截止2019年底我国电梯数量已突破700万台[1]。电梯与我们的生活息息相关,电梯作为一种特种设备,当出现故障时,所造成的危害性较大。人们对电梯的安全问题也越来越关注,因此寻找有效、可靠的电梯安全评估方法具有重要意义。

近年来,功能安全以其合理的技术理念、科学的评价体系和优化的管理方法,在化工、石油、电子设备等领域得到了广泛的应用[2]。Francis[3]对放热反应中的不同临界等级进行风险评估,设计了防止失控的防护措施以及所需的IPL和SIL,该方法可以最小化地设计出安全保护系统;Catelani等人[4]提出一种基于RBD(可靠性框图)方法来评估机电一体化中安全仪表的安全性能;Elnara等[5]提出一种在老旧的核电站上增加独立的安全仪表系统,提高了该系统的可靠性。而功能安全在电梯领域的研究相对较少。我国最新的扶梯国家标准(GB16899-2011)[6]中提出了PESSRAE概念,用于自动扶梯和自动人行道的可编程电子安全相关系统;甘兵等[7]在电梯制动系统中通过FMEDA进行功能安全评估,将制动系统分解成很多个子系统,并且结合实际使用情况进行修正;姜武等[8]通过FMEDA与Hopfield相结合对电梯进行功能安全评估;李中兴[9]提出非E/E/PES等不能对机械安全部件使用功能安全评估方法的安全相关系统,可使用与SR等级等效的评估方法;张晴[10]根据GB16899-2011新标准提出的PESSRAE的要求研发了自动扶梯功能安全系统,实现了每一个安全功能硬件都能通过安全完整性定量分析;周赟[11]通过风险图法,分配电梯制动系统的功能安全完整性等级,建立所需的安全规则和安全完整性规则;杨健[12]通过对自动扶梯安全可编程电子相关系统软件的生命周期阶段进行了相应的验证工作,确保了其软件产品达到安全完整性水平。现有的功能安全分析中缺乏对电梯的安全完整性等级的定级方法研究,且电梯种类较多,不能用一种统一的标准确定电梯安全完整性等级。

本文提出了一种基于故障假设分析法和保护层分析融合的方法,并且通过可接受风险频率与风险严重程度建立了电梯风险等级表,列出了事故发生的初始原因和现有的保护措施,以及防止事故发生或减少事故伤害的其他措施,定量地算出事故发生的概率;然后与建立的风险可容忍度标准进行比较,可以确定是否需要额外降低风险的措施,根据风险降低因子,从而可以确定安全仪表系统所需要的安全完整性等级。

1 功能安全

1.1 功能安全概述

功能安全是21世纪初新兴的一个概念,它的主旨就是防止因某个部件失效而给整个系统造成故障。根据IEC 61508标准的定义,功能安全是与受控设备(EUC)和EUC控制系统有关的整体安全组成部分,它取决于E/E/PE安全相关系统及其他技术安全相关系统和外部风险降低设施功能的正确使用[13]。通过引入功能安全可以将安全问题转化为风险控制问题,并通过控制风险达到所需的安全水平[14]。

1.2 安全完整性等级

安全完整性等级(Safety Integrity Level,SIL)是一种安全等级的划分,是指安全装置在规定的时间和条件下完成规定安全功能的能力,IEC 61508将其分为SIL1、SIL2、SIL3和SIL4四个等级[12],其中SIL等级如表1表2所示。

表1 在低要求操作模型下目标失效量

表2 在高要求操作模型下目标失效量

通过IEC61508的标准使风险和安全完整性等级间产生了联系,它将安全仪表系统所提供的保护通过完全完整性等级将其量化,这取决于风险暴露的时间、风险后果严重程度、安全保护措施的个数和可接受标准等一系列因素。总之,风险降低就是使得风险降低到允许可接受的范围内,具体过程见图1。

图1 风险与保护层关系图Figure 1 Relationship between risk and layer of protection

1.3 ALARP模型

在进行安全完整性等级划分之前,企业需要根据不同的流程来制定自己的风险可接受标准,ALARP(as low as reasonable practicable)模型常用来划分可接受风险标准。该标准是根据该风险发生的频率和后果严重程度综合确定的,通过划分危险区域和危险等级,可以直观地看到每个危险出现的可接受区域。风险能被图2中的两条横线分为三大部分,即风险不可接受区、风险允许区和风险可接受区这三个部分[15]。

图2 ALARP模型图Figure 2 ALARP model diagram

ALARP模型是根据风险可能性等级以及风险严重程度等级建立矩阵图[16],首先设定可接受的频率,然后划分每个事故的频率等级区间,并对事故后果等级进行描述,风险等级表不是固定的,需要根据实际情况进行绘制。

2 电梯安全完整性等级定级方法

2.1 故障假设分析

功能安全中的第一步是对工艺过程中可能出现的偏差、故障以及造成的风险进行分析判断,因此选择合适的分析方法显得尤为重要。电梯系统相比于化工系统的结构较为简单,故可以选用故障假设(What if analysis)分析法,它可以快速地找出电梯可能出现的风险隐患,可以预测潜在的危害和不良后果,识别现有的过程系统防护措施。

2.2 保护层分析

2.2.1 保护层分析法的概述

保护层分析法是一种半定量分析方法,它可以确定事故发生的危害程度,还可以定量计算已有保护层失效时危险发生的概率,并提出相应的保护措施,推算出所需要的防护等级。当与故障假设分析法相结合时可以快速地分辨出危险源以及可能产生的后果,通过与既定的风险可容忍度标准进行比较,可以确定是否需要额外降低风险的措施,根据需要降低的风险量,从而可以确定全仪表系统所达到的安全完整性等级。

2.2.2 独立保护层的识别

如图3所示是根据IEC61511提供的典型安全保护层模型,由于每个独立保护层的形状与洋葱相似,因此该保护层模型通常也被称为洋葱模型。从图中可以看出一个完整的风险降低是:由“工艺过程”、“基本控制系统”、“安全仪表系统”、“防灾系统”、“疏散撤离系统”以及“社区响应系统”等多个保护层组成。每个位置的保护层都有其自身风险降低的要求,是通过一系列既独立又相互联系的保护层组合而成,达到降低风险的目的。

图3 典型的安全保护层模型Figure 3 Typical security protection layer model

一般而言用平均失效率(PFD)对保护层降低风险的能力进行定量分析,不同保护层的PFD值一般在10-5和10-1之间,当PFD的数值越少,表明该保护层越不容易失效,即该保护层的可靠性很高,发生危险事件的概率很小。在电梯中典型的保护层主要有基本过程控制系统和机械防护这两大类,其PFD值均为0.1[17]。

当得出各个保护层的PFD,就可以通过初始事件发生的频率、系统中保护层执行指令的故障频率以及导致事故发生的条件频率算出危险事件发生的真实频率,具体计算公式如下:

(1)

式(1)中,f代表危险事件发生的真实频率,f′代表事故初始事件发生的频率,Pj为导致事故产生的中间条件频率,j代表中间条件个数,PFDi为保护层失效率,n表示保护层的个数。

通过比较系统中当前的风险水平和允许可接受的风险水平,可以确定系统所需的安全完整性等级。如果所得出事故发生频率在允许可接受风险水平以下,则表示系统是安全的,无需采取其他保护措施;若所得出事故发生频率在可接受风险水平以上,则表明系统处于危险中,极有可能导致事故的发生,此时需要立即采取降低风险的措施,增加安全仪表系统。

安全仪表系统必须提供的风险降低因子为

(2)

式(2)中,f允许为当前严重性等级下的可接受频率。

2.3 基于故障假设分析与保护层分析融合的步骤

1) 准备阶段,主要是收集和熟悉工艺流程图,明白该系统是如何工作的,并准备开展故障假设分析。

2) 召开会议进行头脑风暴,识别系统中可能出现的故障、故障产生的原因以及可能造成的后果。

3) 确定危险事件出现的频率,它是由初始事件、条件事件和后果事件发生频率的乘积所构成,同时再确定其严重度的危险等级,结合计算出其风险等级。

4) 找出系统内所有保护层,并确定所有保护层平均要求时的失效率。然后再计算出此时的风险等级。

5) 判断剩余风险是否在可容忍标准内,若达到了风险可接受水平,则无需采取其他保护措施,否则要增加安全仪表系统,直到降到可接受风险水平,根据需要降低的风险量,从而可以确定全仪表系统所达到的安全完整性等级。

3 电梯安全完整性等级定级方法的应用

3.1 电梯允许接受频率

根据每年发布的全国特种设备安全状况的报告,做出了2011年至2019年全国电梯数量和电梯死亡人数的统计,见图4。分别计算每年的电梯致死率,发现以下规律:在2011年至2015年这五年内,电梯致死率的数量级是10-5,而到了2016年我国电梯的致死率是10-6,这说明我国电梯的安全形势越来越乐观,国家也越来越重视,对电梯提出更高的安全要求。鉴于我国电梯安全形势总体平稳向好,一直控制在合理可接受的范围内,因此设置电梯可接受标准上限为1×10-4,下限为1×10-6,根据该上下限可对电梯进行ALARP建模。

图4 2011—2019年电梯数量与死亡人数Figure 4 Number of elevators and the number of deaths from 2011 to 2019

3.2 电梯可接受风险标准

电梯可接受风险标准的建立主要是与事故发生的频率以及事故发生的严重程度有关,并且在建立电梯可接受风险标准前要结合不同地区、不同的规定要求下和不同电梯种类等多种因素综合考虑。

根据上面的统计数据建立合适的后果严重度等级以及所对应风险频率表,见表3表4。

表3 事故伤害严重等级

表4 事故发生频率等级

根据所建立的后果严重度等级以及所对应风险频率表,就可以建立相对应的风险可接受标准表,如表5。

表5 电梯可接受风险标准表

确定了电梯可接受风险标准表后,要对每一个风险等级进行描述和分析,并且对各个等级的风险提出相应合理的措施,如表6。

表6 风险等级及对应措施

3.3 实例分析

下面以某住宅小区额定载重量800 kg、额定速度1.60 m/s,16层16站的乘客电梯超速为例子进行故障假设分析,图5为电梯超速过程。当电梯由于出现故障下行超速时,分布于电梯系统各部位的安全开关被触发,切断电梯控制电路,引发曳引机和制动器动作,将电梯制停下来;若出现极端情况,如制动器失效,轿厢将沿井道坠落,当行驶速度达到电梯额定速度的115%时,限速器会触发安全钳动作,将轿厢制停在导轨上;若限速器仍然失效,安全钳就不能完成规定动作,会导致电梯墩底,造成人员伤亡,此时剩余的安全保护动作为强制减速开关、上下限位开关、极限开关和缓冲器,那么剩余的保护层能不能起到保护人身安全作用还得进一步分析,具体见表7。

表7 电梯故障假设分析表

图5 电梯超速过程图Figure 5 Elevator speeding process diagram

根据该乘客电梯超速的例子,经过故障假设分析,考虑最坏的情况假设此时限速器失灵不能触发安全钳动作,根据典型的安全保护层模型,绘制出电梯的安全保护层模型,如图6。

图6 某乘客电梯的安全保护层模型Figure 6 Safety protection layer model of a passenger elevator

得出电梯此时的保护层有强制减速开关、下限位开关、极限开关和缓冲器等,根据给出的典型保护层的PFD,可知它们失效率均为0.1,即所有保护层失效的概率为1×10-4;因为已经考虑最坏的情况,制动器、限速器均失效,即失效率为1;多名乘客在高层乘坐电梯下行,即促成危险事件的中间条件频率为0.3。经分析电梯产生事故后不会造成次生事故,故不需要考虑社区紧急响应,那么电梯坠入井道的频率为f为3×10-5。该事故在不考虑任何其他保护措施下,造成电梯墩底,造成多人死亡,查表3可知事故严重等级为5,则可接受的频率为10-6。计算风险降低因子RRF=f/f允许=3×10-5/10-6=3×101,可知需要增加额外的安全仪表系统来降低风险,根据表3可查该系统的安全完整性等级为1,以上分析情况可见表8。

表8 电梯下行各保护层情况

4 结 论

通过分析近十年来我国电梯的致死率,确定了电梯风险可接受标准频率的上下限,建立了电梯可接受风险标准。将故障假设分析与保护层分析方法融合,并与所制定的可接受风险标准进行比对,可以快速准确地确定出电梯的安全完整性等级。基于上述方法可以很好的将功能安全的理念融入到电梯中,通过实验可知,某电梯初始事故频率为10-5,而其可接受标准频率为10-6,通过风险降低因子,得出该电梯所需要的安全仪表系统的安全完整性等级为1。