王文龙，胡敬铨，倪波涛，张晓曦，倪文进

（1.福建诚恒意建设有限公司，福建厦门，361026；2.永富建工集团有限公司，福建福州，350108；3.福建省闽盛工程建设有限公司，福建福州，350108）

0 引言

塔式起重机作为建筑施工的重要象征与主要运输机械，在建筑业得到了广泛应用[1]。塔式起重机在的主要工作是：对指定的货物在范围很广的作业现场内进行运送等，因此作业过程存在风险，所以，一旦在各个步骤流程上出现一点小差错，就容易引起事故。在实际工作中，如何提高塔式起重机的本质安全，如何合理地使用和管理好塔式起重机，让塔式起重机更好地发挥作用，是建筑业亟待解决的难题之一[1-2]。

安全装置在塔机安全与可靠运行中起着极为重要的作用，其中包括了起升限位器、载重力矩限制器、变幅限位器、锚定装置、夹轨器、行程限位装置、缓冲装置、极限力矩联轴器、防风抗滑装置、接地及避雷、警报信号、风速仪、铁鞋、顶轨器等[3]。以上有一部分装置的主要作用是预防设备发生损坏，有一部分是为了保护工作人员。安全装置能使事故发生时带来的损失降低很多。通常工作人员无法察觉装置发生了故障，如果设备在工作时对应的安全装置存在故障，这时设备发生了故障，则这个情况属于多重故障。所以要是没有一个报警系统反映装置当前是否在正常工作，就只能通过人工检查安全装置是否起作用。如果检查的次数太过频繁，则会耗费过多的物力和人力，而检查次数太低又无法使安全装置的可用度达到指标。为此，考虑到安全装置的重要性和安全性，并与具体企业对装置可用度的规定相结合，确定安全装置平均故障间隔时间（MTBF），然后经过安全完整性等级（SIL－Safety Integrity Level）决定检查装置的频率，对检查周期开展理论分析和优化使可用度达到要求。有效的防止发生事故。

1 SIL 技术

1.1 SIL 理论基础

关于测试SIF（安全仪表功能）以及其他保护层的安全功能的一个指标是安全完整性等级（SIL－Safety Integrity Level），只要设备设置可以接受的后果并预测必要的风险降低，就可以分配SIS（安全仪表系统）的安全完整性要求。

经安全仪表功能的选择，能有效地减少设备发生故障的风险，对了解设备运行时的危险程度有更深层的认知，使设备的产出和投入达到最大化，同时在符合标准的前提下对各安全装置做出正确的选择。安全功能能正常发挥作用的能力被称为安全完整性，通过测试安全完整性可以评定对应的级别。它基于PFD（Probability of Failure on Demand-反应失效概率），用来测量一个特定的安全仪表功能。

根据国际电工委员会IEC 61508 标准，安全仪表系统的实用性、风险降低因子与安全度等级及相对应的德国TŰV 认证等级如表1 所示。

表1 安全仪表系统的SIL 划分（要求低的操作模式）

其中：

IEC：International Electrotechnical Commission-国际电工委员会；

ANSI/ISA：American National Standards Institute/The Instrumentation,Systems,and Automation Society-美国国家标准化组织/美国仪表系统与自动化学会；

TüV：德国技术监督协会；

DIN：德国工业标准。

1.2 SIL 等级选择

标准IEC61508 中对安全功能发生作用的次数进行了规定：频率为每年1 次或更少为低要求故障操作模式，该模式也是在工业中最广泛的操作模式；频率为每年两次或更多为高要求操作模式，该模式在航空业等使用较多。安全等级在ISA 84.01 中的定义分为3 种，且其中只有关于低要求。IEC61508 中定义的SIL4 主要对于核工业。

考虑到具体的状况，应选用最符合的安全完整性等级：

（1）选用安全等级SIL1。装置发生故障的概率很低，即使产生了故障，装置和产品也之会有很小的损坏，短时间内无法破坏环境也无法伤到工作人员，亏损的经济较小；

（2）选用安全等级SIL2。装置有时会发生故障，发生了故障后，装置和产品会有较大的损坏，同时有可能破坏环境和伤及工作人员，亏损的经济较大；

（3）选用安全等级SIL3。装置发生故障的可能性比较大，而且一旦产生故障，装置和产品等会有很大的损坏，同时容易破坏环境并对工作人员造成伤害，带来的经济损失很大。

生产装置间存在差异，且对应的介质等也有较多的差异，因此在安全标准中，不存在关于对选择安全完整性等级精确的规定，很多情况下，由于缺少充足的条件使得安全完整性等级的选择不合适，这样降低的风险就不足或者会消耗过多费用。通常可以根据事故发生带来的风险和事故发生的概率来做一个定量的分析，最后确定安全完整性等级。

后果分析方法：使用时应结合各个参数，例如：相关工程师对发生风险造成的损失进行估算的实力、工程师在以往发生风险造成后果得到的数据、相关的机构应对风险的经验等，是属于较保守的方法，没有结合产生风险的可能性，使用时容易。该方法在实际工业中也有很多不一样的用法。

可能性分析法：这个方法主要是把流程中的事件拆成一个个基本事件，使得各事件充分短，因此根据以往的数据能较准确地对发生的可能性进行估算。详细的方法如下：统计分析法和故障延伸模型。其中故障延伸模型又可分解为：事件树法、简化公式法，可靠性框图，故障树分析法、Markov 分析法。

2 理论分析

设备的安全装置如果处在正常的寿命期时间之内，失效速率函数是一个不会跟着时间改变的常数，它的失效率为λ(t)=λ，失效概率密度函数为f(t) =λeλt，失效累积概率密度为：

保护系统失效属于隐藏状态，因此当设备失效时不会及时被察觉，无法及时调整。在一段时间内一直不检测的话，其发生失效的概率会逐渐趋向于1，如图1 所显示：

图1 失效概率与故障检测周期的关系[3]

要使装置发生故障的概率在规定的范围内，可使用按时检查的方式，如图1(b)，检查的周期为θ，若是检查的结果都是正常的，就可使下个θ 的平均故障率达到要求，即在P0之下。

因此，一个有按时检查的保护系统发生失效的概率是在0到θ 的时间间隔内P(t)的平均值PFD，见图2(a)，可表示为：

图2 PFD 与故障检测周期的关系[4]

正常情况下λθ≪ 1，因此(1 -e-λθ) ≈λθ，（当PFD<0.1时，误差<3%，其近似值在可接受范围内。因为所有安全完整性等级要求PFD<0.1，所以接近的结果是可接受的）[4]，见图2(b)，则PFD 可表示为：

其中λ 表示发生故障的频率，即一小时或者一年内失效的次数，检查的周期为θ，由公式（3）可以得出可用度与θ与MTBF 之间有很大的联系。如果MTBF 为200 天，规定可用度为99.5%，如果θ 为两天，即θ 为MTBF 的1%；当可用度规定为99.5%和95%时，其θ 分别为MTBF 的5%和10%，见表2。

表2 可用度与故障检测周期的关系[6]

3 优化过程及运算实例

3.1 优化过程

安全装置发生失效是无法避免的，在确定的安全装置平均故障间隔时间（MTBF-Mean Time Between Failure）下，可以设置检查的周期次数，使可用度达到要求。利用相关厂家、单位等的数据信息和有技术的操作人员可以得出平均故障间隔时间。

确定装置θ 的步骤有三个：（1）设置允许发生的多重故障率；（2）分析计算指定的期间内发生失效的概率；（3）确定同一时期内，使多重故障带来的损失减少到允许的范围内，使可用度达到要求。根据表2 安全仪表系统的SIL 划分（要求低的操作模式），正常的起重属于一般工业应用，SIL 等级为1，其PDF 要求范围为0.01～0.1。

3.2 实例运算

分析塔式起重机起升上限位这个安全保护装置：

（1）在起升次数到达10 万次过程中，容许1 次超出在规定的范围，即确定臂架超出起升上限位的容许的概率为10-5。

（2）当没有安全装置时，操作手在5000 次的过程中，也许会发生1 次失误，以致起升超出规定的范围。

（3）按照条件保护装置在每20 次的操作中，不能超过一次失效；即该保护功能的反应失效概率PFD 必须小时5%，此时相应的可用度在95%之上。

如果起升上限位装置的MTBF 为300 天，则根据公式（3）得出θ 为30 天；即每间隔30 天做一次检查的工作，就可使可用度在95%之上。如果限位装置的MTBF 大于300 天，则可增加相应的θ。

4 结语

对于安全装置在塔式起重机中的重要性，并综合考虑各具体单位对可用度的规定，在确定的安全装置平均故障间隔时间（MTBF）下，通过SIL 计算出检查的频率，对检查的周期进行改进，使安全装置的可用度达到要求。