吳昊罡 袁旭潞 王 輝

北京起重運(yùn)輸機(jī)械設(shè)計(jì)研究院有限公司 北京 100007

0 引言

智能起重搬運(yùn)系統(tǒng)是一類(lèi)用于自動(dòng)化物料倉(cāng)儲(chǔ)車(chē)間的起重搬運(yùn)系統(tǒng)，系統(tǒng)依托起重搬運(yùn)機(jī)械及其控制系統(tǒng)、車(chē)間內(nèi)多傳感器檢測(cè)與數(shù)據(jù)融合系統(tǒng)、視頻監(jiān)控及智能識(shí)別系統(tǒng)和多種類(lèi)網(wǎng)絡(luò)傳輸系統(tǒng)等進(jìn)行智能化作業(yè)。目前，智能起重搬運(yùn)系統(tǒng)的生產(chǎn)過(guò)程仍存在一定程度的安全隱患，若該系統(tǒng)中的電氣或電子系統(tǒng)一旦發(fā)生故障就可能會(huì)引發(fā)嚴(yán)重事故。為此，本文針對(duì)智能起重搬運(yùn)系統(tǒng)的功能安全、風(fēng)險(xiǎn)分析和安全完整性的構(gòu)成進(jìn)行了相關(guān)研究。

1 智能起重搬運(yùn)系統(tǒng)危險(xiǎn)因素

智能起重搬運(yùn)系統(tǒng)包括綜合調(diào)度管理系統(tǒng)、起重搬運(yùn)設(shè)備控制系統(tǒng)、物料與環(huán)境檢測(cè)系統(tǒng)、通訊系統(tǒng)、工作人員以及其他系統(tǒng)等。綜合調(diào)度管理系統(tǒng)通過(guò)通訊系統(tǒng)接收物料與環(huán)境檢測(cè)系統(tǒng)的相關(guān)信號(hào)，結(jié)合生產(chǎn)調(diào)度計(jì)劃，使用通訊方式向起重搬運(yùn)機(jī)械發(fā)出前往各個(gè)物料輸送設(shè)備上搬運(yùn)貨物的信號(hào)，起重搬運(yùn)機(jī)械通過(guò)通訊系統(tǒng)與物料疏松設(shè)備進(jìn)行信號(hào)聯(lián)鎖，如設(shè)備狀態(tài)信號(hào)、物料到位信號(hào)、物料取放完成信號(hào)等。選取必要的信號(hào)顯示或指示于生產(chǎn)現(xiàn)場(chǎng)或人機(jī)界面上，后臺(tái)工作人有可根據(jù)生產(chǎn)計(jì)劃和現(xiàn)場(chǎng)具體情況調(diào)整系統(tǒng)的運(yùn)行，并根據(jù)設(shè)備、元件運(yùn)維數(shù)據(jù)安排定期檢修保養(yǎng)。

在實(shí)際生產(chǎn)過(guò)程中，可能發(fā)生的危險(xiǎn)有起重機(jī)的電控與安全保護(hù)裝置故障；檢測(cè)元件失效；系統(tǒng)內(nèi)各類(lèi)網(wǎng)絡(luò)通訊的延遲、干擾故障；設(shè)備間聯(lián)鎖錯(cuò)誤；算法、控制軟件、程序及運(yùn)行平臺(tái)錯(cuò)誤和故障；網(wǎng)絡(luò)病毒、黑客入侵的破壞；運(yùn)行期間管理、使用維保不當(dāng)?shù)取?/p>

系統(tǒng)硬件可以通過(guò)加強(qiáng)設(shè)備冗余、檢修、保養(yǎng)、更換來(lái)降低危險(xiǎn)發(fā)生的概率，使用方應(yīng)加強(qiáng)維保人員培訓(xùn)教育，避免發(fā)生維保錯(cuò)誤導(dǎo)致危險(xiǎn)；各子系統(tǒng)內(nèi)部關(guān)鍵信息和子系統(tǒng)間聯(lián)鎖信息的傳輸應(yīng)引入相應(yīng)的檢測(cè)反饋與驗(yàn)證機(jī)制，當(dāng)一項(xiàng)工作需要2個(gè)及以上單元同時(shí)工作時(shí)，避免同一錯(cuò)誤同時(shí)發(fā)生在2個(gè)及以上設(shè)備，從而導(dǎo)致危險(xiǎn)發(fā)生。換言之，搬運(yùn)輸送設(shè)備不僅僅是綜合調(diào)度管理系統(tǒng)的執(zhí)行機(jī)構(gòu)，也是檢查指令、信息的崗哨。

在重要的生產(chǎn)現(xiàn)場(chǎng)，智能起重搬運(yùn)系統(tǒng)中的通訊網(wǎng)絡(luò)安全，特別是在互聯(lián)網(wǎng)+、5G物聯(lián)網(wǎng)應(yīng)用逐步推廣的趨勢(shì)下，網(wǎng)絡(luò)安全、信息安全必須得到保障，網(wǎng)絡(luò)系統(tǒng)防火墻、病毒檢測(cè)必須有專業(yè)人員管理監(jiān)控。賽門(mén)鐵克早在2010年就披露了W32.Stuxnet針對(duì)管道和核動(dòng)力工廠工業(yè)控制系統(tǒng)進(jìn)行攻擊的相關(guān)報(bào)道，該病毒可以通過(guò)修改PLC來(lái)改變工業(yè)控制系統(tǒng)的運(yùn)行，包括獲取對(duì)PLC的指令，修改PLC程序塊，向PLC中下裝新的程序塊，隱藏病毒感染以躲避工程師檢測(cè)。

因此，在設(shè)計(jì)整套系統(tǒng)時(shí)，各子系統(tǒng)設(shè)備僅符合本設(shè)備的相關(guān)標(biāo)準(zhǔn)是不夠的。智能起重搬運(yùn)系統(tǒng)是一個(gè)集成系統(tǒng)，其安全設(shè)計(jì)應(yīng)綜合整體架構(gòu)、各設(shè)備性能、信息化控制系統(tǒng)、信息安全、設(shè)備使用管理做出整體性安全設(shè)計(jì)。

2 安全完整性及等級(jí)評(píng)估問(wèn)題

在智能起重搬運(yùn)系統(tǒng)設(shè)計(jì)時(shí)，不僅要使其具有正確的、符合使用場(chǎng)景的安全功能，還要考慮其可執(zhí)行性，即具備一定程度的安全完整性。安全完整性（Safety Integrity，SI）是指在規(guī)定的時(shí)間段內(nèi)和規(guī)定的條件下安全相關(guān)系統(tǒng)成功執(zhí)行規(guī)定的安全功能的概率[1]。

安全完整性等級(jí)（Safty Integrity Level，SIL）是一個(gè)系統(tǒng)性的評(píng)估，在功能安全設(shè)計(jì)時(shí)應(yīng)先根據(jù)系統(tǒng)的運(yùn)行場(chǎng)景和風(fēng)險(xiǎn)頻率進(jìn)行事故風(fēng)險(xiǎn)分類(lèi)，如表1所示[2]。對(duì)風(fēng)險(xiǎn)的頻率匹配結(jié)果應(yīng)通過(guò)有關(guān)各方的討論和同意（如安全管理部門(mén)和可能暴露在風(fēng)險(xiǎn)中的人員）。在國(guó)際標(biāo)準(zhǔn)IEC61508中規(guī)定了4種安全完整性等級(jí)，如表2 所示[3]。

表1 事故風(fēng)險(xiǎn)分類(lèi)示意表

表2 安全完整性等級(jí)

在表1中，級(jí)別Ⅰ代表高風(fēng)險(xiǎn)，級(jí)別Ⅱ代表中風(fēng)險(xiǎn)，級(jí)別Ⅲ代表低風(fēng)險(xiǎn)，級(jí)別Ⅳ代表可忽略不計(jì)的風(fēng)險(xiǎn)。

由表2可知，危險(xiǎn)失效平均概率可表示為

式中：PFDavg為安全相關(guān)防護(hù)系統(tǒng)在要求時(shí)的平均危險(xiǎn)概率，F(xiàn)t為可容忍危險(xiǎn)頻率，F(xiàn)np為安全相關(guān)防護(hù)系統(tǒng)的要求率。

確定安全完整性等級(jí)的方法有ALARP（As Low As Reasonably Practicable）原則、SIL確定的定量方法、風(fēng)險(xiǎn)圖方法、保護(hù)層分析、危險(xiǎn)事件嚴(yán)重性矩陣等。在實(shí)際應(yīng)用中，沒(méi)有一種方法可適用于所有的系統(tǒng)，故需結(jié)合可接受的風(fēng)險(xiǎn)類(lèi)別、后果嚴(yán)重程度、專業(yè)知識(shí)和方法進(jìn)行安全完整性水平評(píng)估和驗(yàn)證。通常采用ALARP原則結(jié)合其他方法來(lái)評(píng)估安全完整性等級(jí)，ALARP原則（見(jiàn)圖1）項(xiàng)目風(fēng)險(xiǎn)有不可容忍線和可忽略線進(jìn)行風(fēng)險(xiǎn)等級(jí)分區(qū)。中高風(fēng)險(xiǎn)區(qū)是項(xiàng)目風(fēng)險(xiǎn)識(shí)別的重點(diǎn)，必須盡可能地找出中高風(fēng)險(xiǎn)區(qū)所有的風(fēng)險(xiǎn)。需要注意的是，在進(jìn)行智能化系統(tǒng)設(shè)計(jì)時(shí)，特別是系統(tǒng)內(nèi)新型控制方案風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)各不相同，故本文不提供具體的關(guān)于某一類(lèi)智能起重搬運(yùn)系統(tǒng)的安全完整性等級(jí)評(píng)估方法。

圖1 ALARP原則示意圖

3 智能起重搬運(yùn)系統(tǒng)安全完整性架構(gòu)

智能起重搬運(yùn)系統(tǒng)整體的安全完整性由系統(tǒng)性安全、硬件安全、軟件安全、網(wǎng)絡(luò)安全、安裝調(diào)試、運(yùn)行維護(hù)等構(gòu)成，涵蓋系統(tǒng)生命周期的整體開(kāi)發(fā)過(guò)程。設(shè)備在全生命周期內(nèi)的安全都必須得到可靠保障，安全相關(guān)系統(tǒng)的功能安全也必須具有可持續(xù)性，在全生命周期中都是完整的，必須采取相應(yīng)手段保障安全系統(tǒng)全生命周期的功能安全[4]。安全完整性越高，安全相關(guān)系統(tǒng)在要求時(shí)執(zhí)行規(guī)定的安全功能或?qū)崿F(xiàn)規(guī)定的狀態(tài)的概率就越高。

3.1 系統(tǒng)性安全

任何起重搬運(yùn)系統(tǒng)在生產(chǎn)時(shí)都必然存在發(fā)生故障或事故的可能性，且在一定條件下可能造成損失，損失發(fā)生的概率和損失嚴(yán)重程度的組合對(duì)應(yīng)一定的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)因素包括可檢測(cè)、量化的定量安全因素，也包括大量不能精確量化的、難以預(yù)測(cè)的定性安全因素。定量安全因素可通過(guò)專門(mén)的硬件安全和軟件安全設(shè)計(jì)以便發(fā)現(xiàn)、提示和避免損失。定性安全因素在軟硬件安全設(shè)計(jì)之外，還要輔以嚴(yán)格的安全制度甚至法律法規(guī)予以規(guī)范約束。

系統(tǒng)安全工作包括對(duì)系統(tǒng)安全功能開(kāi)發(fā)進(jìn)行計(jì)劃和協(xié)調(diào)，定義系統(tǒng)功能和技術(shù)安全概念，將需求分配給對(duì)應(yīng)的軟硬件設(shè)計(jì)人員，組織協(xié)調(diào)各系統(tǒng)人員之間的技術(shù)交流和技術(shù)澄清，對(duì)各系統(tǒng)功能安全進(jìn)行評(píng)估審核。

3.2 硬件安全

智能起重搬運(yùn)系統(tǒng)的硬件大多是基于現(xiàn)有的各類(lèi)電子電氣元件進(jìn)行集成開(kāi)發(fā)以滿足項(xiàng)目需求，硬件功能安全也是基于這些電子電氣元件進(jìn)行選型和應(yīng)用，單個(gè)硬件（如傳感器、電動(dòng)機(jī)等）并不具有系統(tǒng)性的屬性，應(yīng)對(duì)其在系統(tǒng)中的匹配性、適用標(biāo)準(zhǔn)進(jìn)行評(píng)估，系統(tǒng)可利用相互獨(dú)立的元件反饋信息進(jìn)行比對(duì)，或采取冗余設(shè)計(jì)判斷某項(xiàng)功能是否出現(xiàn)異常。另外，要在以人為本、安全生產(chǎn)的原則下判斷風(fēng)險(xiǎn)性質(zhì)和損失范圍，作出正確的系統(tǒng)安全評(píng)估和規(guī)劃，優(yōu)化功能安全的性價(jià)比。硬件設(shè)計(jì)工程師需要熟悉應(yīng)用場(chǎng)景，設(shè)計(jì)與之適應(yīng)的硬件系統(tǒng)、信號(hào)接口、安裝要求、性能數(shù)據(jù)、使用壽命或強(qiáng)制報(bào)廢要求等，對(duì)其他專業(yè)工程師提供安全開(kāi)發(fā)建議和指導(dǎo)，提供面向系統(tǒng)集成和客戶的技術(shù)文檔。在硬件設(shè)計(jì)中，針對(duì)安全風(fēng)險(xiǎn)較高的部分，進(jìn)行冗余設(shè)計(jì)或選用安全型電氣元件，根據(jù)環(huán)境不同選擇性能可靠的信號(hào)傳輸方式。應(yīng)保持與系統(tǒng)集成工程師和軟件工程師的密切交流，熟悉系統(tǒng)各項(xiàng)硬件性能，堅(jiān)持安全原則，形成可行、可靠的安全方案。

從工程建設(shè)的角度看，系統(tǒng)內(nèi)的單個(gè)子系統(tǒng)內(nèi)部硬件設(shè)計(jì)通常有各種成熟方案，但子系統(tǒng)之間的銜接、軟件對(duì)硬件功能安全要求、硬件系統(tǒng)的環(huán)境適應(yīng)性和防護(hù)措施、生產(chǎn)/施工/調(diào)試的可行性和具體實(shí)施方法是系統(tǒng)硬件安全設(shè)計(jì)的工作難點(diǎn)和重點(diǎn)。

3.3 軟件安全

軟件安全是每個(gè)智能起重搬運(yùn)系統(tǒng)功能安全設(shè)計(jì)的重要安全要素。在軟件設(shè)計(jì)和測(cè)試過(guò)程中，軟件工程師需要熟悉應(yīng)用場(chǎng)景，對(duì)系統(tǒng)安全需求進(jìn)行可行性分析，判斷系統(tǒng)功能異常導(dǎo)致危害的潛在來(lái)源和風(fēng)險(xiǎn)程度，對(duì)硬件反饋信號(hào)提安全需求，設(shè)計(jì)與功能需求、安全需求適應(yīng)的軟件和信息校驗(yàn)機(jī)制，對(duì)其他專業(yè)工程師提供安全開(kāi)發(fā)建議和指導(dǎo)，提供面向系統(tǒng)集成和客戶的技術(shù)文檔。應(yīng)保持與系統(tǒng)集成工程師和硬件工程師的密切交流，要明確功能需求和安全需求，堅(jiān)持安全原則，形成可行、可靠的安全方案。

以通用橋式起重機(jī)為例，按照功能設(shè)計(jì)起重機(jī)將貨物提升至指定高度后，運(yùn)行大車(chē)小車(chē)機(jī)構(gòu)向目標(biāo)位置運(yùn)行。該過(guò)程中可能發(fā)生的情況有：1）提升至指定位置，一切正常，移向指定位置；2）制動(dòng)器失效，提升到位后變頻器停止輸出發(fā)生高空墜物；3）高度檢測(cè)裝置異常，實(shí)際停止位置與程序指令不符；4）高度限制器失效，上升方向無(wú)限位；5）提升制動(dòng)器制動(dòng)能力下降，運(yùn)行過(guò)程中發(fā)生貨物下滑或墜落。軟件設(shè)計(jì)過(guò)程中，不應(yīng)僅僅按照情況1）中一切正常的思路進(jìn)行設(shè)計(jì)，而是必須分析遇到這幾種情況的嚴(yán)重程度，并按照應(yīng)對(duì)最嚴(yán)重的情況進(jìn)行程序設(shè)計(jì)，并對(duì)硬件設(shè)計(jì)提出功能安全需求。

3.4 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是系統(tǒng)信息交互的通道，網(wǎng)絡(luò)安全是系統(tǒng)安全的重要節(jié)點(diǎn)。智能起重搬運(yùn)系統(tǒng)中使用了以太網(wǎng)、Profibus、Profinet、Modbus、網(wǎng)線、光纖、通訊電纜、多種無(wú)線網(wǎng)絡(luò)以及正在投入工業(yè)應(yīng)用的5G網(wǎng)絡(luò)等，各子系統(tǒng)可利用內(nèi)外部網(wǎng)絡(luò)進(jìn)行信息交互，供應(yīng)商也可通過(guò)外部網(wǎng)絡(luò)連接系統(tǒng)內(nèi)部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)采集、調(diào)整程序、售后服務(wù)。

智能起重搬運(yùn)系統(tǒng)應(yīng)針對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的危險(xiǎn)因素，從軟件層面和硬件層面進(jìn)行雙重準(zhǔn)備。軟件設(shè)計(jì)應(yīng)進(jìn)行數(shù)據(jù)校驗(yàn)、延遲診斷，重要的保護(hù)性信號(hào)或停止信號(hào)應(yīng)在線路設(shè)計(jì)上能夠直接切斷動(dòng)力源或控制源，或采用不同網(wǎng)絡(luò)冗余傳輸信號(hào)，要確保符合關(guān)于使用通訊方式進(jìn)行遙控控制的相關(guān)標(biāo)準(zhǔn)；內(nèi)部網(wǎng)絡(luò)應(yīng)根據(jù)網(wǎng)絡(luò)介質(zhì)特性，進(jìn)行防干擾屏蔽、線路防護(hù)，在項(xiàng)目規(guī)劃設(shè)計(jì)階段對(duì)網(wǎng)絡(luò)傳輸路徑進(jìn)行規(guī)劃。將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行物理隔絕，做好計(jì)算機(jī)病毒預(yù)防工作，以避免外部人員將病毒植入系統(tǒng)。在使用外部網(wǎng)絡(luò)（如5G傳輸）時(shí)，應(yīng)選擇可靠的網(wǎng)絡(luò)硬件，并加強(qiáng)網(wǎng)絡(luò)監(jiān)測(cè)，避免黑客入侵造成系統(tǒng)發(fā)生事故。智能起重搬運(yùn)系統(tǒng)的無(wú)線網(wǎng)絡(luò)安全是一個(gè)非常值得關(guān)注的領(lǐng)域，系統(tǒng)內(nèi)相當(dāng)數(shù)量的信息傳遞都依靠無(wú)線網(wǎng)絡(luò)，在一些場(chǎng)合下起重機(jī)械的控制信號(hào)也由無(wú)線網(wǎng)絡(luò)或5G網(wǎng)絡(luò)傳輸，但這一領(lǐng)域的網(wǎng)絡(luò)安全在智能起重搬運(yùn)系統(tǒng)或起重機(jī)械的相關(guān)標(biāo)準(zhǔn)、規(guī)范、設(shè)計(jì)、使用中沒(méi)有足夠的體現(xiàn)，也未根據(jù)使用場(chǎng)合的重要性進(jìn)行安全級(jí)別、應(yīng)用許可的劃分。

3.5 安裝調(diào)試

安裝調(diào)試是智能起重搬運(yùn)系統(tǒng)具體實(shí)現(xiàn)運(yùn)行的重要環(huán)節(jié)，是一個(gè)有計(jì)劃、有步驟、有記錄、有反饋、有分析的整體行為。安裝調(diào)試使用的設(shè)備、軟件應(yīng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)、設(shè)備規(guī)范或軟件要求，對(duì)定量測(cè)量的設(shè)備按要求進(jìn)行校準(zhǔn)。系統(tǒng)的安裝調(diào)試工作還應(yīng)包括按時(shí)間順序編制的工作文檔，記錄設(shè)備校準(zhǔn)和測(cè)量數(shù)據(jù)，測(cè)試分析安全功能，向系統(tǒng)總體和設(shè)計(jì)人員交流反饋并做出現(xiàn)場(chǎng)變更，確認(rèn)工作結(jié)果，歸檔各類(lèi)工作文檔。

3.6 運(yùn)行、維護(hù)和修理

運(yùn)行、維護(hù)和修理的目的是確保系統(tǒng)的功能安全維持在規(guī)定的水平，其所需的技術(shù)要求應(yīng)有明確的規(guī)定和考核標(biāo)準(zhǔn)，并提供給負(fù)責(zé)相關(guān)工作的人員。要建立系統(tǒng)運(yùn)行、維護(hù)和修理規(guī)程，按維護(hù)日程執(zhí)行規(guī)程中要求的工作，對(duì)維護(hù)工作建立檔案管理，定期進(jìn)行功能安全檢查，必要情況下由系統(tǒng)供應(yīng)商提供運(yùn)維修理服務(wù)。

4 結(jié)論

智能起重搬運(yùn)系統(tǒng)是近年來(lái)逐步應(yīng)用于倉(cāng)儲(chǔ)物流、工礦企業(yè)的起重搬運(yùn)系統(tǒng)，是配備各種專業(yè)設(shè)備、融合各類(lèi)傳感器、具有高度信息化的智能系統(tǒng)。本文通過(guò)對(duì)智能起重搬運(yùn)系統(tǒng)功能安全問(wèn)題的分析，提出智能系統(tǒng)與安全完整性結(jié)合的理念。然而，安全的核心還應(yīng)是在智能化浪潮中秉承以人為本的安全管理制度、從業(yè)人員的安全責(zé)任意識(shí)、系統(tǒng)化安全開(kāi)發(fā)理念、安全技術(shù)的持續(xù)投入，以及相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的制定、完善和指導(dǎo)。