李向东， 陈序， 崔静静， 樊卫华*

(1.江苏省特种设备安全监督检验研究院， 南京 210036； 2.南京理工大学自动化学院, 南京 210094)

起重机在工业生产中起着很重要的作用，在钢材市场、钢厂、工矿企业、冶金企业都被广泛应用。2020年，中国起重机行业的资产总额达3 604亿元，同比增长了6.68%，主营业务收入约1 886亿元，总利润额230亿元。截至2020年底，起重机械数量在中国特种设备中排名第三，高达253.84万台，占比15.4%[1]。

随着中国起重机注册使用的数量逐年增长，在生产效率得到极大提高的同时，起重机安全事故时有发生，往往带来巨大的财产损失，甚至造成人员伤亡[2]。2020年起重机行业的事故数量占比为25.23%，死亡总人数占29.25%，可见起重机事故发生频率比较高，事故造成的人员死亡情况严重，有关起重机安全问题的社会关注度也因此不断提高，加强起重机械的相关安全技术研究已经成为当务之急。

伴随无线通信、互联网自动化技术的应用，催生了现代化智能起重机等新型的起重机械。由于自动化和智能技术的引入，有望凭借自动操作能力和智能化系统，模拟人工实际作业，实现人工向自动化的更替，符合工业4.0和智能制造的发展趋势，具有广阔的前景[2]。

与传统的起重机械相比，智能化的起重机械在结构和组成上有较大的变化，特别是电气控制系统中的可编程控制器，可以通过其内部的软件实现对变频器、电动机的控制以及各种操控设备的信号检测。然而，由于可编程控制器内部的软件代码往往无法清晰获知，且其对机械、电气部件的影响难以直接测量，这给电气系统功能安全评估带来了新的挑战。2000年5月，国际电工委员会发布了IEC61508标准，名为《电气/电子/可编程电子安全系统的功能安全》，针对由电气/电子/可编程电子部件构成的、起安全作用的电气/电子/可编程电子系统的安全生命周期，建立一个基本评价方法。中国在该标准的基础上，也颁布了电气/电子/可编程电子安全相关系统的功能安全(GB/T 20438)等系列国家标准，但这些标准中对于电气功能安全评估的评价方法和实施细则尚待明确。

生产安全牵动人心，关系重大。近年来，不少学者对风险评估展开了广泛的研究并取得了一定的成果。刘致双等[3]提出了一种基于多指标综合评估法的特种设备固有风险分类分级方法，运用多指标综合评估法和熵权法，建立了特种设备使用单位固有风险分级模型，得出特种设备固有风险值。史运涛等[4]考虑了系统风险复杂的耦合影响关系，提出了一种基于图神经网络的系统动态风险评估方法，实现了燃气系统的安全动态风险评估。刘佳璐等[5]基于大数据概念，结合电梯检验质量和风险预警分析，提出了电梯安全综合评价模型，建立了项目检查表，提出了风险评估方法和程序，系统地描述了危险情节，给出了风险评估和评定标准。孙滔然等[6]在国际标准化组织(International Organization for Standardization, ISO)标准体系的基础上，利用伤害程度、危险发生的频率及持续时间、危险发生概率和避免或减少伤害的可能性四项指标，评估系统的风险指数。刘自秤[7]通过对系统危险进行辨识，分析起重机各部分可能发生的缺陷，列出清单，然后运用定量风险评估 (quantitative risk assessment，QRA) 方法对失效频率和后果等级进行评价，根据安全风险大小，结合风险矩阵，确定起重机的失效程度，提出降低风险的建议措施。针对评估时只对系统的某一部分单独评估，陈峥等[8]对每个风险指标建立不同的分类标准，评估出散货料仓施工前的风险等级，并采用指标体系法构建一级和二级指标评估体系，结合多级可拓模型评估出施工过程中的风险等级。单科科等[9]、孙远韬等[10]基于潜在失效模式及后果分析法和故障树分析法对起重机进行失效分析，并建立故障树，根据故障树确定系统的失效概率，得出对应的安全完整性等级。刘自秤[7]提出利用定量风险评价对起重机各个部分的缺陷进行评估，结合风险矩阵，确定其失效程度，给出降低风险的建议。在安全理论方面也涌现了模糊综合评价法、支持向量机等评价方法，充分利用了计算机来辅助失效分析[11]。

但上述研究中，大部分评估依赖于对系统内部结构进行分析，需要系统内部的技术资料，才可以实施。由于中国起重机械的生产、使用、管理、维修通常由多个主体完成，技术资料的管理制度尚不健全，技术资料缺失情况时有发生，这可能导致上述方法在评估中无法实施，且目前大部分风险评估方法属于定性评估，无法定量得到起重机的风险等级。

针对上述问题，现提出利用黑盒测试法对评估设备进行测试，无需全盘获取其内部技术资料；在测试过程中，只需测量或采集评估对象的关键输出参数，利用输出参数与期望标准值、设计极限值之间的偏差，定量评估设备的健康状态，从而确定它的风险等级。

1 黑盒测试

黑盒测试是一种无需清晰了解系统内部和运行机制，通过外部观测和识别，利用系统输入输出信号来研究系统特性的一种方法[12]。黑箱测试的基本原理如图1所示。

图1 黑盒测试法原理图Fig.1 Schematic diagram of black box test method

“黑盒系统”代表需要研究和了解的对象；输入表示可对系统产生影响的各个信号及其可能的组合，一般根据测试用例生成；输出反映指定输入下系统的变化，表征了系统对于输入信号的响应状态。

随着科学技术的进步，起重机逐渐向智能化、自动化的趋势发展，采用可编程逻辑电子部件来进行控制。智能化的起重机实际上是软硬件结合的系统，其失效机制不仅和机械部件相关，与可编程逻辑电子部件内部的软件也有关系，因此失效的成因和组成变得十分复杂。在无法获得内部设计详细资料，特别是软件设计详细资料时，难以使用IEC61508中的风险评估方法对起重机械进行评估。此时，可将它们视为黑盒，无需了解其中可编程逻辑电子部件内部的软件代码等信息，直接通过外部观测来进行评估。

对于采用可编程逻辑电子部件的起重机，可以抽象为如图2所示的系统。

操纵杆、各种开关、按钮以及遥控器的输入量经电气控制系统处理后，产生驱动电机与各种执行机构运行的信号，机构的运行使得系统的输出产生变化。因此，可以对系统的输出进行采样和处理，用于评估设备的风险等级。基于黑盒法评估起重机械风险等级的步骤如图3所示。

图2 特种设备的总体结构Fig.2 The general structure of special equipment

图3 基于黑盒测试的风险评估流程Fig.3 Risk assessment process based on black box testing

该方法首先要定义待评估对象所对应的各种软硬件失效类别，按照类别确定系统输入和输出信号，进而设计有效的测试用例，覆盖所有的失效类别，且尽可能地减少用例(即测试次数)。在此基础上，对待评估对象进行测试并获取测试的数据。然后对数据进行处理，以获得风险等级。

2 风险等级评估方法

2.1 负向函数计算

为实现风险评估的量化，考虑采用某种数学函数量化设备的风险等级。由于安全评估理论中风险越大对应的风险等级的级数越低(表1)，因此选择负向函数来描述这种负相关关系。

表1 风险等级的描述

本文中采用的负向函数为

(1)

式(1)中：f(x)为特征参数的评估分数；xl为评估区域的下限；xh为评估区域的上限；R为评估结果范围参数，一般选择为0～100；b为形状参数，可根据参数特性进行调整，b=0时表示线性处理。

由于采集数据的量纲各不相同，需将数据统一为无量纲形式[13]。定义x为特征参数的偏差值，即

x=|P-Pe|

(2)

式(2)中：P为某一参数的实测值；Pe为期望标准值。此时，式(1)中的xh和xl分别代表偏差值的上下限。

通过使用负向函数，基于采集到的输出数据的期望标准值、极限值，就可以计算各项分数，量化单项的风险状况。

2.2 基于层次分析法的静态权重确定

不同采集参数对特种设备风险的影响程度是不一样的，静态权重说明了各个参数对风险程度的固定贡献。

Saaty在1970年提出了层次分析法(analytic hierarchy process，AHP)，根据制定的决策标准，将对象两两之间进行比较，评估它们的整体性能，为最终决策提供依据，能有效弱化权重确定过程中的主观性[14]。利用层次分析法确定设备各项特征参数的权重时，要先根据各特征参数的相对重要性构建判断矩阵，用于确定各项参数的相对重要程度。对采集的n项参数，通过两两比较构建出来的判断矩阵格式为

(3)

式(3)中：aij(i,j=1,2,…,n)为参数i与参数j相比对于系统的重要程度，aij>0，且有

(4)

表2引入了数值为1～9的标度体系用于量化aij，其中A、B为需要进行两两比较的特征参数。

表2 判断矩阵的标度

一般通过特征值法计算各项参数的静态权重，即将构建出的判断矩阵M的最大特征值所对应的特征向量进行归一化处理，得到各项特征参数的权重。

然而判断权重存在不一致的问题，要进行一致性的判断。一致性代表数据能够保持一致，在两两对比构造判断矩阵的过程中，理想情况下对于矩阵M中的数据a13、a21、a23，若有a23=a21a13，则称它们是一致的。实际上，层次分析法的使用中允许存在不一致，但不一致的程度必须在允许范围内[15-16]。

在线性代数中，矩阵M也被称为正互反矩阵，当其是非一致矩阵时，它的最大特征值λmax一定大于它的阶数n，因此将一致性指标(consistency index,CI)定义为两者的差值，公式为

(5)

指标CI越大，矩阵的一致性就越差；反之，指标CI越小，矩阵的一致性越好。为了判断计算出来的一致性指标CI的大小，构建了平均随机一致性指标(random index,RI)。RI的构建方法是随机构建1 000个正互反矩阵，并计算一致性指标的平均值，如表3所示。

表3 平均随机一致性指标

RI反映了一致性指标的期望值。定义一致性比例(consisten ratio,CR)为

(6)

当CR<0.1时，认为判断矩阵的不一致程度在容许的范围内，即矩阵通过了一致性检验；否则需要适当地调整原矩阵，并再次判断一致性，直到满足要求。

2.3 权重的动态调整

在评估一个特种设备时，不仅要考虑初始情况下各个参数的重要程度，还要考虑个别或者少数参数发生变化(例如，超过预警值或者报警值)时对整个设备风险状况的影响程度的变化。因此本文提出对权重进行动态调整。

文献[17]表示当某个参数的取值在健康区域附近时，该参数对设备状况的影响主要体现为静态权重。而当参数的采样值逐渐偏离正常区域时，其对设备的影响也随之改变，体现为权重的增大，在临近报警区时达到最大。对于不同的特征参数，静态权重反映了对设备状况的影响，而同一特征参数在不同情况下的取值可能不同，与此同时对设备的影响程度也会发生一定的变化，也就是说权重会改变。因此在起重机械风险评估过程中不应始终采用固定不变的静态权重，而是需要根据情况对权重进行动态调整，来更合理地表示某个参数的影响程度。

权重的调整根据特征参数的取值可以分为两种情况。

(1)特征参数超过预警值。当某项参数检测值超过预警值时，它在评估设备风险状况时的重要性应该适当增加。将测量值超过预警值的特征参数记录在集合A中，将处于正常范围内的参数记录在集合B中。对集合A中特征参数的权重调整为

(7)

式(7)中：wi0、wk0为集合A中特征参数的初始权重值。

集合B中特征参数的权重则调整为

(8)

式(8)中：wj0、wk0为集合B中特征参数的初始权重值。

(2)特征参数超过报警值。当特征参数超出报警值时，说明设备可能已经处于某种程度的危险中。为了避免由于特征参数的初始静态权重较小，导致危险信息被忽略，必须调整权重以充分凸显该项特征参数的危险程度[18]。将超过报警值的特征参数记录在集合C中，并调整为

(9)

式(9)中：β是修正因子，一般取0.9；x是特征参数的检测值；α为危险报警的上限值或者下限值。

式(8)仅对超出报警值的特征参数的权重做了较大的调整，因此能充分凸显设备中的异常参数。

3.4 综合评分

根据修正之后的权重，可以计算系统整体的综合分数，公式为

(10)

式(10)中：Dsys代表设备的综合评估分数，反映了设备的风险程度；wi是n个参数构成的向量中特征参数i对应的权重因子；Di是特征参数的负向函数计算结果。

经计算得出的Dsys反映了设备的风险程度，由表4可以确定设备的风险等级。

表4 风险等级与评估分数对应关系

3 案例

为验证方法的可行性，利用文献[17]中雷达发射机的风险评估数据为例。雷达发射机由射频放大装置、高频柜、调制柜和冷却部分组成，采用FPGA(field programmable gate array)和DSP(digital signal processing)控制直接数字频率合成(direct digital synthesis,DDS)芯片的工作，产生各种雷达波形是一种采用可编程逻辑部件的电气设备[19-22]。

文献[17]采用黑盒测试法，每隔6 s采集发射机的20个监控参数。经过降维后保留了如表5所示的11项特征参数，包括钛泵电流、灯丝电流、偏磁电流、注电流、反峰电流、整流电压、高功率电流、峰值功率、平均功率、发射机温度、风道温度。表6给出了各项特征参数的期望标准值和报警边界值。

经由层次分析法根据各项特征参数两两之间的重要程度完成标度，见表7。

计算可得判断矩阵的特征值为λmax=11.894 2，CI=(11.894 2-10)/10=0.089 42，判断矩阵的阶数n=11，查表可知RI=1.51，由公式CR=CI/RI可算得CR=0.059，而CR<0.1，说明矩阵满足一致性要求。将判断矩阵的最大特征值对应的特征向量归一化之后得到的结果即各项特征参数对应的静态权重，如表8所示。

令负向函数中的b=0，A=100，表示最佳状况下的结果为100。对超过预警值和报警值的特征参数的权重进行动态调整，结果如表9所示。根据负向函数对每项特征参数进行分数计算，并结合动态修正后的权重得到的8个样本的综合评分结果如表10所示。

表5 雷达发射机各项特征参数的输出

表6 各项特征参数的期望标准值及报警边界值

表7 依据层次分析标度结果

表8 各项特征参数对应静态权重

表9 各项特征参数的动态权重

表10 各项特征参数的评估分数

表10中，以上这两种情况都能较好地反映某些特征参数的异常。表10最后一列的综合分数反映了8组设备的健康状况，分数越高代表风险越低，反之则代表风险越高。表11比较了8组数据分别在采用专家评估的固定权重以及通过调整基于层次分析法得出的静态权重得到的动态权重两种情况下的综合评分，可以看出采用动态权重能更好地突出系统的异常情况，对风险等级的区分度更高，更合理。

将本文方法确定的风险等级结果与参考文献计算得出的健康度进行比较，结果如表12所示，发现表征结果基本一致。雷达发射机越健康，代表它的风险等级就越小。

表11 采用固定权重以及动态权重的综合评分结果比较

表12 雷达发射机风险等级结果比较

4 结论

针对内部结构复杂难以理清的起重机械，采用黑盒测试法收集设备工作中的输出参数，基于负向函数利用每一项特征参数的实测值、标准期望值和极限值评估该项的分数。考虑采用层次分析法，通过对设备各项输出参数进行两两比较，根据重要性进行标度，构建一个判断矩阵，来选择静态权重。充分考虑参数发生变化对设备状态产生的影响，根据各项参数取值将数据划分为正常、超出预警值、超出报警值三种区间，并适当调整后两种区间内参数的权重大小。根据每项参数的评分结合其对应的权重，可得出起重机械的综合评估分数。通过实例计算，有效归纳出不同风险等级对应的分数范围。但本文也存在一定的问题，后续需要利用更多的输出数据来验证风险等级的划分是否合理。