ternence

【ADI 工程师博客】电梯的功能安全性

ternence 在 2018-7-18 建立的討論區

原文链接:

https://ez.analog.com/blogs/engineerzone-spotlight/2018/06/19/functional-safety-for-liftselevators

 

先附上该系列博客的其他几篇内容:

【ADI 工程师博客】功能安全与人工智能

【ADI工程师博客】功能安全与安防

【ADI工程师博客】功能安全与网络

【ADI 工程师博客】IEC 62443系列网络安全标准:概述

【ADI 工程师博客】关于功能安全性,我推荐读这些书

【ADI 工程师博客】功能安全的秘诀

 

最近,我看到了许多有关电梯、自动扶梯和自动步梯的标准。我觉得这是特定领域标准一个很好的例子。我要说的是标准是2017年首次发布的ISO 22201-1。该标准采用了SIL等级,列出了51项安全功能,又为每项功能给出了一个SIL等级,最高SIL等级为3。对特定领域标准来说,这是一件好事。该标准以IEC 61508通用标准为基础,明确了适用于这类设备的具体要求。与一类特定设备相关的标准读起来要容易得多,因为只有大约60页长,而不是长达700页的通用标准。ISO 22201标准的第2部分是关于自动扶梯和自动步梯的。

 

即使你对电梯/自动扶梯不感兴趣,你也可能发现,特定领域标准的细节还是挺有意思的。

 

任何标准,你读到的第一部分都是适用范围;我注意到,该标准的适用范围包括客梯和货梯及其在酒店、家庭、工厂和医院里的使用。该标准把各安全系统统称为电梯安全相关应用可编程电子系统(PESSRAL)

 

与家用电器标准UL 1998IEC 60730类似,该标准列出了各种架构及其对各SIL等级的适用性:

 

  • SIL 1级:一个通道,带自测功能
  • SIL 2级:一个通道,带自测和监控功能,监控指独立的诊断模块
  • SIL 2级和SIL 3级:两个通道,带比较功能

 

我注意到,描述这些架构的表格把它们描述为“可能的故障控制措施”。在我看来,就像IEC 61508一样,只要诊断范围足够高,这些架构理论上允许单通道系统达到SIL 3级。虽然很难取得99%的诊断范围,但仍然不能“束缚了设计师的手”。

 

然而,SIL似乎没有这样的选择。除非风险评估结果另有要求,否则,像机器人标准ISO 10218-1一类的其他标准要求SIL 2级、HFT 1级或PLdCAT3,但这里没有“借口”,而是强制规定某个安全完整性等级。

 

SIL 3级安全功能需要核查下列功能:

  • 补偿机制张力损失
  • 工作平台完全缩进
  • 限速器绳或轿厢安全绳张力损失
  • 轿厢或厅门、轿厢或厅门面板打开

 

SIL 1级安全功能包括:

  • 检测直流提升电机场运行电流
  • 检测轿厢安全机构是否已启动
  • 检测夹持装置是否啮合

 

另一张表给出了51项安全功能各自的安全状态。

 

标准有两个附件,其中一个是规定性的,另一个则是参考性的。(规定性附件提出要求,参考性附件只是提供一些指导意见。)参考性的附件A指出了两个途径,一个采用的是IEC 61508-2IEC 61508-3的方式,另一个则是以附件内容为基础的定制途径。

 

我在读附件A时注意到的内容包括:

 

  • 不要求考虑结合两种或以上的故障
  • 一种对PCB短路提出故障排除要求的方式
  • 安全和非安全功能位于同一PCB上时,PCB最低隔离距离为3mm(电气间隙)和4mm(爬电距离)
  • 质量、力、距离、速度、电压、电流、温度、加速度等测量的具体安全精度范围为+/-1%+/-5%
  • 要求预防单通道安全功能可变存储器中所有奇数位、2位和部分3位故障,即使SIL 1级也是如此

 

我注意到,其中未提到网络安全,即是说,需要参考以前的IEC 61508,而后者又指向IEC 62443,我们在以前的一篇博文里讨论过其内容。

 

另外,标准也没有谈及网络要求。因此,读者需要参考IEC 61508IEC 61784-3。一般地,这意味着,适用于网络的每小时危险故障概率(PFH)1%,对于SIL 3级安全功能来说,其故障率为1e-9/h。有关更多信息,请参阅我以前针对网络功能安全性的一篇博文https://ezchina.analog.com/thread/18591)。

 

最后分享一个视频,展示了雪缆车上的一次危险——虽然情况看起来很糟糕,但希望没人严重受伤——https://www.youtube.com/watch?v=ydL6dg4WJ7c&feature=youtu.be

結果