本文阐述了SRP/CS性能评估流程,确定了采用基于危险的方法确定SRP/CS要求的安全性能等级(PLr),介绍了SRP/CS控制回路的类别、平均危险失效时间(MTTFd)、平均危险失效的诊断覆盖率(DCavg)及共因失效(CCF)四个参数的确定方法,并对数控车床可移动式防护门控制系统进行了性能评估。 Process of performance evaluation of safety-related part of a control system (SRP/CS) was reported. Required performance level (PLr) of SRP/CS was determined by hazard based approach. Determined methods for category of SRP/CS, MTTFd, DCavg and CCF were reported. Performance evaluation was taken for control system of movable guard of CNC lathe.
王会永1,李向男1,包大勇1,邢力1,郑海鹏1,王彬1,刘晓东2
1山东检验检疫局检验检疫技术中心,山东 青岛
2上海检验检疫局机电产品检测技术中心,上海
收稿日期:2016年6月15日;录用日期:2016年7月8日;发布日期:2016年7月18日
本文阐述了SRP/CS性能评估流程,确定了采用基于危险的方法确定SRP/CS要求的安全性能等级(PLr),介绍了SRP/CS控制回路的类别、平均危险失效时间(MTTFd)、平均危险失效的诊断覆盖率(DCavg)及共因失效(CCF)四个参数的确定方法,并对数控车床可移动式防护门控制系统进行了性能评估。
关键词 :控制系统有关安全部件,性能等级,评估,应用
随着制造技术和控制技术的发展,集成了机械、电气及电子等技术的复杂安全控制系统正逐渐在各领域中得以应用。控制系统中有关响应安全输入信号并产生有关安全输出信号的部件称为控制系统有关安全部件(SRP/CS),为机器提供安全功能。风险评价是分析机器在使用时可能产生的各种危险状态及对每种危险状态下可能损伤或危害健康的概率和程度进行全面评估 [
由SRP/CS执行的安全功能,应根据风险评价的结果,确定“要求的性能等级”(PLr)。SRP/CS实现的风险减小总和越多,PLr就越高。SRP/CS完成安全功能的能力通过性能等级(PL)来表示。PL应不低于PLr,才能实现由SRP/CS执行的安全功能,达到风险减小的目的在所提供的安全功能中,SRP/CS一般通过作为本质安全设计的一部分或安全装置和保护装置的方式实现风险减小。SRP/CS)性能评估流程如图1所示。性能等级定义为每小时危险失效的概率 [
对于每种由SRP/CS执行的安全功能,应确定“要求的性能等级”(PLr)。本文选择基于HBA的评估方法,并通过风险图确定PLr,影响因素包括伤害的严重度(S)、暴露于维修的频率和时间(F),以及避免危险或限制伤害的可能性(P),确定方法见图2。
图中:1——估计安全功能对风险减小影响的起始点。L——对风险减小的影响小。H——对风险减小的影响大。风险因素:S——伤害的严重度;S1——轻微(通常是可恢复的伤害);S2——严重(通常是不可恢复的伤害或死亡);F——暴露于危险的频率和(或)时间;F1——很少发生和(或)暴露时间短;F2——频繁和(或)暴露时间长;P——避免危险或显示伤害的可能性;P1——特定条件下可能;P2——几乎不可能。PLr——所需的性能等级;a、b、c、d、e——性能等级级别。
性能等级评估的目的是证实PL不低于PLr。一般通过考虑SRP/CS控制回路的类别、平均危险失效时间(MTTFd)、平均危险失效的诊断覆盖率(DCavg)及共因失效(CCF)四个参数进行评估。
图1. SRP/CS性能评估流程
图2. 确定PLr的方法
SRP/CS控制回路的类别分为5类 [
MTTFd是指预期的危险失效平均时间。MTTFd为定量指标,单位为年,可从元器件制造商处获得。如果没有,则需要根据元器件的工作条件,通过B10d (10%的元器件达到危险失效的平均周期数)、hop (平均工作时间,小时/天)、dop (平均工作时间,天/年)和t周期(元器件两个相继周期的起始点之间的平均工作时间,秒/周期)计算得出。根据计算得出的MTTFd,判断其是低、中或高。
DC是诊断有效性的度量,是可诊断的危险失效的失效率与所有危险失效的失效率之间的比率。一般可用FMEA或类似的方法来估算 [
CCF是指同一事件引起的不同产品的失效,这些失效相互之间没有因果关系。能导致共因失效的因素很多,诸如雷同的设计、相同的元件进行冗余、类似元器件的不合理应用等 [
确认PL应综合考虑所有相关参数,并进行适当计算。一般可通过ISO 13849-1:2006提供的简化程序来实现,如图3所示。
由图3可以发现,一个PL可以由不同的途径和组合来实现,在进行SRP/CS设计时,应根据具体的控制系统以最优化的方式来实现,以控制成本。
本文以数控车床的可移动式防护门为例,对其控制系统的安全功能进行评估。按照相关标准要求,车床正常工作时,如果打开或移除可移动式防护罩,机床加工工作应停止,以保护操作者的安全。一般通过图4所示的电路实现“开门即停”的功能。
图4中,B1和联锁开关的常闭触点,Q1为控制电动机M停转的接触器。当车床正常工作时,联锁开关常闭触点B1处于常闭状态,接触器触点Q1闭合,电动机M正常运转。当防护门打开时,联锁常闭触点B1断开,接触器线圈Q1失电,接触器触点Q1断开,电动机M停转。
根据图2的方法,如果防护门打开,车床切削加工不停止,容易对操作者造成严重的伤害(S2),打开防护门干预车床切削工作的情况很少发生(F1),有经验的操作者可以避免相关的伤害发生(P1),因此PLr为c,即10−6≤ 每小时危险失效概率 < 3 × 10−6。确定PLr的风险图如图5所示。
图3. PL和每个通道的类别、DCavg和MTTFd的关系
图4. “开门即停”电气原理图
图5. 确定PLr的风险图
图6. 安全模块图
根据控制回路的安全功能和电气原理图,“开门即停”的安全模块图如图6所示。联锁开关和接触器均采用国际知名品牌,是经验证的元件。安全模块图符合类别1的指定结构。
从制造商官网查阅相关型号联锁开关和接触器的技术参数,两元器件的B10d = 20,000,000周期。一年中,车床的一年的工作时间(dop)为240天,每天工作(hop) 8小时,两元器件两次相继切换起始点之间的平均操作时间估计为20 s,则可计算单个元器件的MTTFdi。依据ISO 13849-1:2006,以联锁开关为例计算过程如下。
联锁开关每年的操作次数
由于接触器的相关参数与联锁开关一致,接触器的MTTFdi也为579。根据通道中每个元器件的MTTFdi,采用“部件计数法”的公式计算每个通道的MTTFd。
由上式得出,通道的MTTFd= 289.5,对照ISO 13849-1:2006,通道的MTTFD为“高”。根据图6,不考虑故障诊断率DCavg和共因失效CCF,确定PL为“c”,即PL = PLr。
控制系统有关安全部件(SRP/CS)作为提供安全功能的机械控制系统部件,其安全性能关系到整个机器的安全。本文阐述了SRP/CS性能评估流程,确定了采用基于危险的方法确定SRP/CS“要求的性能等级”(PLr),介绍了SRP/CS控制回路的类别、平均危险失效时间(MTTFd)、平均危险失效的诊断覆盖率(DCavg)及共因失效(CCF)四个参数的确定方法,并对数控车床可移动式防护门控制系统进行了性能评估。
王会永,李向男,包大勇,邢 力,郑海鹏,王 彬,刘晓东. 控制系统有关安全部件性能评估研究及应用Study and Application for Performance Evaluation of SRP/CS[J]. 动力系统与控制, 2016, 05(03): 80-85. http://dx.doi.org/10.12677/DSC.2016.53009