張華龍，鄭正國(guó)，李忠為

（株洲天橋起重機(jī)股份有限公司，湖南 株洲 412000）

0 引言

核電數(shù)控橋式起重機(jī)主要用于燃料后處理示范廠放射性產(chǎn)品存放桶等危險(xiǎn)載荷的吊運(yùn)和定位碼放，作業(yè)環(huán)境特殊。為減小對(duì)操作和檢修人員的危害，要求運(yùn)行于其內(nèi)的起重機(jī)必須安全可靠。因此，在設(shè)計(jì)階段，首先引入了基本安全標(biāo)準(zhǔn)GB/T15706[1]，對(duì)起重機(jī)在使用過(guò)程中存在的危險(xiǎn)進(jìn)行識(shí)別；其次引入GB/T16856[2]對(duì)已識(shí)別的危險(xiǎn)進(jìn)行風(fēng)險(xiǎn)估計(jì)和評(píng)估，對(duì)較大和不能接受的風(fēng)險(xiǎn)采用相應(yīng)的手段進(jìn)行風(fēng)險(xiǎn)減小，并采用風(fēng)險(xiǎn)迭代分析方法，直至此類(lèi)風(fēng)險(xiǎn)已充分減小到能夠被接受，且不引入其他不能接受的風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，核電數(shù)控起重機(jī)電氣控制系統(tǒng)的起升機(jī)構(gòu)的超上限安全回路、緊急停止安全控制回路、起升超速安全回路以及大小車(chē)運(yùn)行控制回路均需采取進(jìn)一步措施降低風(fēng)險(xiǎn)；最后結(jié)合安全標(biāo)準(zhǔn)GB/T16855.1-2018/ISO13849-1[3]對(duì)上述需要風(fēng)險(xiǎn)減小的起重機(jī)控制系統(tǒng)安全回路進(jìn)行驗(yàn)證，保證數(shù)控橋式起重機(jī)能夠穩(wěn)定可靠地工作。

1 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估的過(guò)程主要包括起重機(jī)械限制的確定、危險(xiǎn)識(shí)別、風(fēng)險(xiǎn)估計(jì)、風(fēng)險(xiǎn)評(píng)價(jià)。

起重機(jī)械限制的確定包括使用限制、空間限制、時(shí)間限制和其他限制。危險(xiǎn)識(shí)別主要目的是對(duì)起重機(jī)運(yùn)輸、安裝、試運(yùn)轉(zhuǎn)、使用、維護(hù)以及拆卸報(bào)廢過(guò)程中存在的危險(xiǎn)因素、危險(xiǎn)狀態(tài)、危險(xiǎn)源等進(jìn)行識(shí)別，并根據(jù)識(shí)別的危險(xiǎn)列出危險(xiǎn)清單，為后一步采取措施減小或消除危險(xiǎn)做準(zhǔn)備。風(fēng)險(xiǎn)估計(jì)是根據(jù)危險(xiǎn)識(shí)別的清單和確定的風(fēng)險(xiǎn)要素，對(duì)每種危險(xiǎn)狀態(tài)進(jìn)行風(fēng)險(xiǎn)估計(jì)，確定傷害可能達(dá)到的嚴(yán)重程度和傷害發(fā)生的概率。風(fēng)險(xiǎn)評(píng)價(jià)是在機(jī)械限制確定后，并在危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)估計(jì)的基礎(chǔ)上，判斷是否已達(dá)到風(fēng)險(xiǎn)減小的目的，如需要風(fēng)險(xiǎn)減小，則應(yīng)選用適當(dāng)?shù)谋Ｗo(hù)措施[1]。

根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，對(duì)不能接受的風(fēng)險(xiǎn)，需要進(jìn)一步采取減小風(fēng)險(xiǎn)的措施，直至該風(fēng)險(xiǎn)能夠被接受并不引入其他風(fēng)險(xiǎn)。本研究?jī)H探討電氣控制系統(tǒng)的可靠性，因此僅從電氣控制方面存在的風(fēng)險(xiǎn)進(jìn)行闡述。風(fēng)險(xiǎn)評(píng)估完后，確定需要采取進(jìn)一步措施降低風(fēng)險(xiǎn)的電氣控制回路有：起升機(jī)構(gòu)的超上限安全回路、緊急停止安全控制回路、起升超速安全回路以及大小車(chē)運(yùn)行控制回路。

確定了需要降低風(fēng)險(xiǎn)的電氣安全控制回路后，需要再根據(jù)ISO13849-1附錄A，確定上述各電氣安全控制回路所需的性能等級(jí)（PLr），才能達(dá)到電氣安全控制回路風(fēng)險(xiǎn)，使之降低到能接受的程度。根據(jù)S(受傷害嚴(yán)重程度)、F(暴露于風(fēng)險(xiǎn)的頻率或持續(xù)時(shí)間)、P(避免危險(xiǎn)的可能性)確定性能等級(jí)的方法，見(jiàn)圖1。此處以起升機(jī)構(gòu)的超上限安全回路為例，根據(jù)此風(fēng)險(xiǎn)圖進(jìn)行分析，受傷害嚴(yán)重程度為S2（起升超上限位失靈后，起升機(jī)構(gòu)會(huì)發(fā)生嚴(yán)重的機(jī)械碰撞或掉落，對(duì)在其下面的人員可能會(huì)造成不可恢復(fù)的傷害或死亡），暴露于風(fēng)險(xiǎn)的頻率為F1（起升升降正常情況都為停止開(kāi)關(guān)停車(chē)，暴露時(shí)間小于總工作時(shí)間的1/20），避免危險(xiǎn)的可能性為P2（起升超上限位失靈后，時(shí)間短暫，很難按下急停按鈕，避免碰撞事件發(fā)生），因此，起升機(jī)構(gòu)的超上限安全回路需要達(dá)到的性能等級(jí)為PLd；以上S2、F1、P2數(shù)據(jù)是根據(jù)風(fēng)險(xiǎn)評(píng)估小組評(píng)審討論后得出的[3]。

圖1 風(fēng)險(xiǎn)評(píng)估

2 控制系統(tǒng)安全回路設(shè)計(jì)

當(dāng)確定電氣安全控制回路的PL等級(jí)后，下一步應(yīng)該確定回路的類(lèi)別，ISO13849-1給出了五種類(lèi)別，即類(lèi)別B、類(lèi)別1、類(lèi)別2、類(lèi)別3、類(lèi)別4，每種類(lèi)別都對(duì)應(yīng)各自不同的架構(gòu)，此處不對(duì)類(lèi)別做詳述。

再以起升機(jī)構(gòu)的超上限安全回路性能等級(jí)PLd為例，根據(jù)圖2（同ISO13849-1圖5），若要達(dá)到PLd，則需要選擇類(lèi)別2或類(lèi)別 3；如選擇了類(lèi)別2，每個(gè)通道的平均危險(xiǎn)失效間隔時(shí)間（MTTFD）為高，診斷覆蓋率（DCavg）為低或中；如選擇了類(lèi)別3，每個(gè)通道的MTTFD為中或高，DCavg為低或中。設(shè)計(jì)從實(shí)現(xiàn)的方便性考慮，起升機(jī)構(gòu)的超上限安全回路選擇了類(lèi)別3，類(lèi)別3對(duì)應(yīng)的指定架構(gòu)如圖3（同ISO13849-1圖11），架構(gòu)3的輸入檢測(cè)回路、邏輯控制模塊、輸出控制回路均為冗余架構(gòu)[4]。

圖2 PL與類(lèi)別、DCavg及每個(gè)通道的MTTFD關(guān)系

圖3 類(lèi)別3的指定架構(gòu)

2.1 控制系統(tǒng)的設(shè)計(jì)選型

根據(jù)ISO 13849-1，類(lèi)別3對(duì)應(yīng)的雙邏輯控制模塊，并且兩個(gè)模塊的信號(hào)需要交叉監(jiān)控，因此設(shè)計(jì)選型采用西門(mén)子S7-1500系列安全型PLC（CPU 1513F）和安全型數(shù)字量輸入模塊和安全型數(shù)字量輸出模塊，安全型PLC通過(guò)冗余設(shè)計(jì)實(shí)現(xiàn)功能安全，原理為每個(gè)模塊內(nèi)部均有兩個(gè)小型控制器；這兩個(gè)控制器相互交叉監(jiān)視，并同時(shí)執(zhí)行相同功能代碼，自動(dòng)測(cè)試彼此I/O回路，如發(fā)生故障將故障安全信號(hào)模塊設(shè)置為安全狀態(tài)[5]。

CPU 1513F使用故障安全Profisafe總線(xiàn)規(guī)約與故障安全信號(hào)模塊、變頻器、絕對(duì)值編碼器等進(jìn)行通信。對(duì)于雙輸入冗余傳感器，傳感器1采用重錘限位開(kāi)關(guān)，傳感器2采用絕對(duì)值編碼器；冗余輸出控制回路1控制主接觸器通斷，冗余輸出控制回路2控制起升機(jī)構(gòu)變頻器輸出。圖4為控制系統(tǒng)拓?fù)鋱D，圖5為根據(jù)類(lèi)別3設(shè)計(jì)的起升超上限安全回路架構(gòu)圖[2]。

圖4 控制系統(tǒng)拓?fù)?/p>

圖5 起升超上限安全回路架構(gòu)

2.2 安全控制回路的設(shè)計(jì)

根據(jù)起升超上限安全回路架構(gòu)圖，設(shè)計(jì)了起升機(jī)構(gòu)的雙回路控制原理圖。

回路1，直接通過(guò)重錘限位開(kāi)關(guān)控制總電源接觸器的線(xiàn)圈，當(dāng)重錘開(kāi)關(guān)A1SL61動(dòng)作后，B1KA01中間繼電器動(dòng)作，斷開(kāi)總電源接觸器B1KM00/01線(xiàn)圈電源，總電源接觸器失電斷開(kāi)，因此起升機(jī)構(gòu)電源失電，起升機(jī)構(gòu)停止上升，詳見(jiàn)圖6和圖7。

圖6 總接觸器控制電路

圖7 總接觸器主電路

回路2，通過(guò)絕對(duì)值編碼器A1BV01監(jiān)控起升機(jī)構(gòu)高度，絕對(duì)值編碼器通過(guò)Profinet總線(xiàn)接入控制系統(tǒng)，安全型PLC（CPU 1513F）通過(guò)總線(xiàn)時(shí)刻讀取并監(jiān)測(cè)絕對(duì)值編碼器的位置信息，當(dāng)超過(guò)了高度閾值后，通過(guò)總線(xiàn)發(fā)送控制停止命令字給起升變頻器B2UFM1停止運(yùn)行，制動(dòng)器立即抱閘，此時(shí)起升機(jī)構(gòu)停止上升，詳見(jiàn)圖4。

3 控制回路PL等級(jí)驗(yàn)證

根據(jù)ISO13849-1的要求，需要對(duì)每個(gè)通道的MTTFD、CCF、DCavg、類(lèi)別、軟件和PL進(jìn)行量化，驗(yàn)證設(shè)計(jì)及選型等的正確性。

3.1 MTTFD驗(yàn)算

與供應(yīng)商聯(lián)系，取得了各選型產(chǎn)品的MTTFD或B10D，見(jiàn)表1。

表1 各元器件的MTTFD或B10D

根據(jù)現(xiàn)場(chǎng)實(shí)際應(yīng)用工況，限位開(kāi)關(guān)（A1SL61）預(yù)定每年工作365天，每天3班，白天班8 h操作，該開(kāi)關(guān)兩次相繼切換的起始點(diǎn)之間的平均時(shí)間估計(jì)為1周（7×24×3600 s，正常使用基本不動(dòng)作，此時(shí)間定義為該開(kāi)關(guān)的檢查時(shí)間間隔）；（見(jiàn)ISO 13849-1 C.2式）；MTTFD==1149425（見(jiàn)ISO 13849-1 C.1式）。中間繼電器（B1KA01）預(yù)定每年工作365天，每天3班，僅白天班8 h操作，該中繼兩次相繼切換的起始點(diǎn)之間的平均時(shí)間估計(jì)為8 h（8×3600 s）；總接觸器（B1KM01/00）預(yù)定每年工作365天，每天3班，白天班8 h操作，該接觸器兩次相繼切換的起始點(diǎn)之間的平均時(shí)間估計(jì)為8 h（8×3600 s）；

表2 每通道MTTFD

3.2 DCavg驗(yàn)算

在控制回路圖中，限位開(kāi)關(guān)（A1SL61）常閉點(diǎn)輸入至安全PLC模塊；中間繼電器（B1KA01）常閉點(diǎn)輸入至安全PLC模塊；接觸器（B1KM00/01）常閉點(diǎn)輸入至安全PLC模塊；每個(gè)被測(cè)部件的DCavg值為：

（1）DC A1SL61=99%，“高”，ISO 13849-1表E.1輸入裝置第2欄，使用常閉機(jī)械觸點(diǎn)，取99%；

（2）DC B1KA01=99%，“高”，用常開(kāi)機(jī)械連接觸點(diǎn)，ISO 13849-1表E.1輸出第8欄；

（3）DC B1KM00/01=99%，“高”，PLC監(jiān)控接觸器常閉觸點(diǎn),ISO 13849-1表E.1輸出第8欄；

（4）DC A1BV01=0，“低”，產(chǎn)品規(guī)格書(shū)給出說(shuō)明；

（5）DCA1LC01=99%，“高”，安全型PLC，產(chǎn)品規(guī)格書(shū)給出說(shuō)明；

（6）DCB2UFM1=99%，“高”，安全型PLC，產(chǎn)品規(guī)格書(shū)給出說(shuō)明；

根據(jù)ISO 13849-1附錄E.2公式（E.1）

表3 每通道MTTFD

3.3 CCF（共因失效）估計(jì)

ISO 13849-1附錄F給出了CCF量化評(píng)分的原則，根據(jù)設(shè)計(jì)的實(shí)際情況，對(duì)起升機(jī)構(gòu)的超上限安全控制回路進(jìn)行防止CCF措施如下：

（1）設(shè)計(jì)采用硬線(xiàn)控制和PLC控制相異的設(shè)計(jì)原則，此條獲得20分；

（2）回路具有防止過(guò)電壓、過(guò)電流、過(guò)熱等保護(hù)且選用的元器件均是經(jīng)驗(yàn)證的，此條獲得20分；

（3）電氣控制系統(tǒng)有根據(jù)標(biāo)準(zhǔn)防止污染和電磁干擾來(lái)防止CCF的設(shè)計(jì)，且有考慮環(huán)境因素如振動(dòng)、溫度、濕度等外因擾動(dòng)，此條獲得35分。

因此，總得分為75分，CCF得分≥65既滿(mǎn)足要求。

3.4 軟件

由于采用了安全型PLC，可以保證安裝于其內(nèi)的嵌入式軟件應(yīng)用軟件在全生命周期內(nèi)的安全性，因此控制系統(tǒng)軟件滿(mǎn)足相關(guān)安全要求。

3.5 結(jié)果

起升超上限安全回路架構(gòu)滿(mǎn)足類(lèi)別為3特征，每個(gè)通道的等效MTTFD為“高”，診斷覆蓋率DCavg為中；防止CCF的措施足夠。

根據(jù)圖2，起升超上回路數(shù)據(jù)：MTTFD=高（136），DCavg=中（%），類(lèi)別為3，得出PL=d或e。

綜上，起升超上限安全控制回路的計(jì)算評(píng)估，滿(mǎn)足PLd等級(jí)要求。

設(shè)計(jì)采用了同樣的方法，對(duì)需要采取措施降低風(fēng)險(xiǎn)的緊急停止安全控制回路、起升超速安全回路以及大小車(chē)運(yùn)行控制回路均做了相應(yīng)的PLr性能等級(jí)驗(yàn)算，均滿(mǎn)足設(shè)計(jì)及標(biāo)準(zhǔn)要求。

4 結(jié)語(yǔ)

核電數(shù)控橋式起重機(jī)采用了風(fēng)險(xiǎn)評(píng)估的方法，識(shí)別出電氣控制系統(tǒng)存在的風(fēng)險(xiǎn)，并對(duì)不能接受的風(fēng)險(xiǎn)采取了進(jìn)一步降低風(fēng)險(xiǎn)的措施，保證了電氣控制系統(tǒng)的可靠性，為核電數(shù)控起重機(jī)在輻照環(huán)境下的穩(wěn)定可靠運(yùn)行提供了有力的安全保障。