轮式起重机电控系统的功能安全设计

摘要：轮式起重机电控系统功能安全设计得严格按照国际和行业标准来，要构建多层级安全架构并且实施全生命周期管理。首先要依据IEC61508、ISO13849以及行业专项规范像GB/T28264等，明确安全完整性等级也就是SIL和性能等级即PL的合规要求，通过FMEDA、FTA等工具量化系统性失效和硬件随机失效风险。其次要设计模块化安全架构，把电控系统划分成控制层也就是冗余PLC、驱动层即STO/SLS功能以及传感器层也就是力矩和角度冗余监测，并且依据风险等级分配安全功能比如超载保护是SIL3、防倾覆是SIL2，通信层面采用CANopenSafety/EtherCATSafety协议保障数据完整性。开发过程遵循V模型，结合STPA分析控制逻辑缺陷，通过硬件EMC测试、软件故障注入以及现场功能响应时间验证要小于100ms确保安全目标达成。这个框架兼顾技术严谨性和工程可行性，能为起重机安全系统设计提供标准化解决方案。

关键词：轮式起重机；机电控系统；功能安全设计

Abstract: The functional safety design of the electric control system for wheeled cranes strictly adheres to international and industry standards, aiming to establish a multi-level safety architecture and implement full lifecycle management. First, it is necessary to follow IEC61508, ISO13849, and specialized industry norms such as GB/T28264, to clarify compliance requirements for safety integrity levels, or SIL, and performance levels, or PL. Systematic failure risks and hardware random failure risks are quantified using tools like FMEDA and FTA. Second, a modular safety architecture should be designed, dividing the electric control system into control layers—redundant PLCs, drive layers—STO/SLS functions, and sensor layers—torque and angle redundancy monitoring. Safety functions are assigned based on risk levels: overload protection is SIL3, anti-overturning is SIL2, and communication uses CANopenSafety/EtherCATSafety protocols to ensure data integrity. The development process follows the V-model, combining STPA analysis of control logic defects, and ensuring that hardware EMC tests, software fault injection, and on-site functional response times are all less than 100ms to achieve safety objectives. This framework balances technical rigor and engineering feasibility, providing a standardized solution for crane safety system design.

 Key words: wheeled crane; electromechanical control system; functional safety design

轮式起重机在工业场景里属于核心重型装备，其作业环境复杂并且风险十分密集，容易因为超载、支腿失稳、强风扰动或者操作失误，从而引发倾覆、载荷坠落等灾难性事故，这会直接威胁人员生命和基础设施的安全。依据行业统计结果，全球起重机事故当中超过70%都和电控系统失效存在关联，这凸显出功能安全设计具有紧迫性。功能安全借助系统性技术手段，在电控系统当中构建起风险主动防控机制，其核心目标是，以IEC61508（功能安全通用标准）与ISO13849（机械安全控制系统）框架为基础，把系统性失效（例如软件逻辑缺陷）和随机硬件失效（例如元器件失效）的概率降低到可接受风险阈值（例如SIL3级下PFH<10⁻⁷/h），确保设备在全生命周期之内具备故障自诊断、安全状态保持以及危险动作可靠抑制的能力，最终达成设备可靠性提升与人员零伤亡的双重目标。

1功能安全标准与合规性要求

轮式起重机电控系统要遵循多层级标准体系来实现合规性，在国际层面上，IEC61508作为功能安全通用标准，能提供从风险分析到安全验证全流程方法论，是构建安全架构的基础框架，ISO13849针对机械安全控制系统提出量化要求，明确像力矩限制器、紧急停止装置等安全相关部件需达到的性能等级，其子系统架构设计规则如Category3冗余可直接指导起重机安全部件开发，ISO25119虽聚焦农业机械，但其安全生命周期管理与故障容错设计理念可为工程机械提供参考，在行业专项标准中，GB/T28264-2017强制要求起重机械配备超载保护、防倾覆等安全装置，还明确其失效概率需满足SIL2级即PFH<10-7/h，FEM4.001则细化安全相关系统技术指标，比如支腿反力监测精度误差≤5%、安全回路响应时间≤200ms，合规性验证需通过SIL与PL的匹配性分析，结合FMEDA计算硬件失效概率，最终由TÜV或SGS等机构在样机测试、设计文档审查及工厂质量体系审核三阶段介入认证，以此确保产品全生命周期安全可控[1]。

2电控系统功能安全架构设计

2.1安全相关子系统划分

轮式起重机电控系统要依据功能安全目标开展分层解耦设计，构建包含控制层、驱动层与传感器层的三级安全架构，控制层采用双通道冗余PLC架构，主从控制器利用交叉校验机制实时同步逻辑运算结果，当单通道出现硬件失效（像CPU故障、通信中断）或诊断出软件异常（如任务超时、指令冲突）时，自动触发安全状态切换（例如进入预设安全位姿），其SIL等级要通过FMEDA计算达到SIL3级（PFH<10⁻⁷/h），驱动层集成STO（安全扭矩关断）与SLS（安全限速）功能，前者通过切断电机驱动器功率级来实现零能耗制动，后者基于实时转速反馈动态调节PWM占空比，二者都需满足ISO13849-1中Category4架构要求（故障检测覆盖率≥99%），确保动力传输路径失效能被100%识别，传感器层部署力矩限制器（双冗余应变片+算法交叉验证）、角度传感器（双编码器+差分比对）及风速仪（三模冗余+中值滤波），冗余单元通过独立供电与通信总线隔离干扰，自诊断模块持续监测量程漂移、采样噪声等参数，故障阈值设定要覆盖传感器全生命周期误差（比如力矩监测精度≤±3%F.S.），确保环境与载荷数据具有可信度[2]。

2.2安全功能分配与SIL等级

安全功能分配以及SIL等级属于安全关键系统设计的核心重要环节，需要严格遵循IEC61508/62061等相关标准，超载保护（SIL3）和紧急停止（SIL3，符合ISO13850）作为高风险缓解措施，要求具备硬件冗余、诊断覆盖率≥99%以及故障检测时间≤100ms，通常借助双通道架构来实现，防倾覆控制（SIL2）需要满足硬件故障裕度≥1以及诊断覆盖率≥90%，可以采用带周期性自检的单通道设计，非安全功能（SIL0/1）仅需要基础单通道逻辑，不需要冗余或者高级诊断。

表1SIL等级与功能分配关系

2.3通信安全设计

轮式起重机分布式电控系统要依托安全通信协议来构建具备抗干扰能力和高可靠性的传输链路，CANopenSafety与EtherCATSafety协议是典型的解决方案，前者基于CAN总线扩展安全层，也就是在SDO/PDO报文附加16位CRC校验与序列计数器，通过冗余通信帧即主从节点双路径发送以及响应超时监测即≤50ms未收到应答则触发安全停机来实现SIL3级传输，其优势是能兼容传统CAN设备且节点扩展成本较低，后者利用EtherCAT的实时以太网特性，采用黑通道原理把通信故障纳入安全完整性评估，通过帧头校验、循环冗余校验即CRC-32以及看门狗定时器即Watchdog≤10ms来确保数据完整性，单周期通信周期<1ms的特性可满足驱动层STO/SLS功能的毫秒级响应需求，二者都需要配置安全相关参数如节点存活时间、重发次数上限以适配起重机强振动、高电磁干扰工况，避免因通信误码或丢包引发误动作[3]。

3功能安全开发流程

3.1生命周期模型

生命周期模型里的V模型是安全关键系统开发的标准化框架，它着重强调需求、设计、实现、验证与确认存在严格对应关系，其左侧从需求分析到架构设计再到详细设计最后到编码，是逐层分解系统需求的过程，右侧从单元测试到集成测试再到系统测试最后到验收测试，是逐级验证功能与安全目标的过程，以此形成闭环，在SIL等级开发当中，V模型能够确保可追溯性，例如超载保护（SIL3）需要通过需求规格书（左）与故障注入测试（右）进行双向验证，防倾覆控制（SIL2）需要在设计阶段定义诊断覆盖率并在集成测试中加以验证，该模型强制要求每个阶段的输出像需求文档、测试用例等要符合标准（IEC61508），并且要通过独立评估来确保完整性，进而降低系统性失效风险[4]。

3.2关键技术方法

在安全关键系统开发当中关键技术方法有FMEDA也就是失效模式影响与诊断分析、FTA即故障树分析和STPA也就是系统理论过程分析，它们分别从不同维度对功能安全起到保障作用，FMEDA用于量化硬件随机失效概率也就是PFH/PFD，同时评估诊断覆盖率即DC和安全失效分数也就是SFF，以此确保满足目标SIL等级的相关要求，FTA采用自上而下的方法，把顶层安全目标分解到底层组件失效模式，识别关键故障路径并且优化冗余设计，STPA基于系统理论，分析控制回路中潜在人因失误、软件缺陷以及交互风险，弥补传统方法在复杂系统动态失效分析方面的不足，三者结合能够全面覆盖硬件随机失效、系统性失效以及人机交互风险，符合IEC61508/ISO26262等标准的相关要求。

3.3安全验证与确认

安全验证与确认是保障功能安全系统契合SIL等级要求的关键步骤，需全面覆盖硬件、软件以及现场运行这三个层面，硬件测试包含EMC抗扰度（IEC61000-6-2）测试来验证电磁兼容性，还有高低温循环（-20℃~70℃）测试以确保环境适应性，软件测试要执行MC/DC（修正条件/判定覆盖）分析来满足SIL3及以上等级的代码覆盖率要求，并且通过故障注入测试验证容错机制的有效性，现场验证主要关注安全功能的实时性（如触发响应时间<100ms）和可靠性（如误动作率<10-9/h），以此确保在实际工况下达成安全完整性目标，这些测试必须严格依照IEC61508/ISO13849标准开展，并经由独立评估机构认证，从而证明系统在整个生命周期内具备安全合规性[5]。

结论：

功能安全成了轮式起重机行业高质量发展核心驱动力，技术渗透明显重塑了产业格局，一方面，因为有通过IEC61508/ISO13849等标准认证的强制要求，迫使企业构建全生命周期安全管理体系，倒逼技术研发投入和质量管控实现升级，推动市场准入门槛朝着“安全能力”方向倾斜，具备SIL3级功能安全认证的产品溢价能力提升超30%，另一方面，安全技术深度嵌入产品差异化竞争之中，像动态防倾覆算法精度、故障响应时间（<100ms）等指标成了客户采购关键决策因子，未来研究需要聚焦两大方向，一是5G远程操控场景之下低时延通信与安全决策链的耦合设计，以此规避信号中断引发的失控风险，二是氢燃料电池系统与功能安全架构的协同优化，重点突破高压储氢监控、电-氢能流故障隔离及电磁兼容性等技术瓶颈，实现新能源装备“零风险”商业化落地[6]。

参考文献：

[1]王震.轮式起重机复杂箱型结构焊缝疲劳寿命研究[D].吉林大学,2024.

[2]张盛涛.轮式起重机车架组合板壳结构力学性能研究[D].太原科技大学,2024.

[3]屈云涛,李帅,李波,等.轮式起重机安全风险分析评价方法研究[J].中国机械,2024,(09):92-95.

[4]张兴晨,张正得,王玉国,等.轮式起重机载荷谱计算软件数据库设计[J].南京工程学院学报(自然科学版),2022,20(03):38-43.

[5]王丰.浅析轮式起重机的作业稳定性计算[J].中国设备工程,2021,(10):168-170.

[6]李向鹏,王涛,李长青,等.分体式吊钩在轮式起重机中的应用[J].工程机械与维修,2020,(S1):171-172.