从系统安全的角度看，电梯的设计是如何实现“故障导向安全”这一原则的？

当系统发生故障时，应自动进入或保持在安全状态，避免对人员或设备造成伤害。电梯设计中通过多层次、冗余的安全装置和逻辑来实现这一原则。以下是关键设计措施：

1. 制动系统安全

• 失电制动：电梯曳引机的制动器通常采用“通电松闸、断电抱闸”的设计。一旦电力中断或控制系统故障，制动器自动机械抱闸，使电梯停止运行。
• 冗余制动：除主制动器外，某些电梯还配备额外制动装置（如安全钳、夹绳器等），在超速或失控时触发。

2. 超速保护系统

• 限速器与安全钳联动：
  • 当电梯轿厢超速（通常为额定速度的115%以上）时，机械式限速器触发，通过钢丝绳拉动安全钳。
  • 安全钳夹紧导轨，强制轿厢停止，同时切断控制电路。
• 缓冲器后备保护：若电梯仍因故障冲过极限位置，底坑的液压或弹簧缓冲器可吸收冲击能量，减轻伤害。

3. 电气安全回路

• 串联式安全回路：将轿门/层门锁、紧急停止按钮、限速器开关、安全钳开关等关键安全触点串联为独立回路。任一触点断开（如门未关闭），电梯立即停止运行或无法启动。
• 故障检测与自锁：控制系统持续监测故障（如电机过载、通信异常），一旦检测到异常，立即停止运行并进入保护状态。

4. 门系统安全

• 门锁装置：每层厅门和轿门均有机电联锁，确保门未完全闭合时电梯无法运行。
• 门保护装置：光幕或触板在关门过程中检测到障碍物时，门会自动重新开启，防止夹伤。

5. 防坠落与冲顶保护

• 上下极限开关：在井道顶部和底部设置机械限位开关，强制切断电源。
• 制动与曳引冗余：
  • 即使钢丝绳全部断裂，安全钳和制动系统仍可阻止轿厢坠落。
  • 曳引机制动力矩设计需满足“轿厢满载125%载荷时仍可可靠制动”的规范。

6. 冗余控制系统

• 双CPU或双通道控制：现代电梯控制器常采用双处理器，实时比较运算结果，若不一致则进入安全状态。
• 独立安全电路：关键安全功能（如制动控制）采用与主控分离的硬线电路，避免软件故障导致安全功能失效。

7. 停电与故障应急

• 自动平层与救援：部分电梯配备停电自动平层装置，通过备用电源将轿厢运行至最近楼层并开门。
• 应急通信与照明：轿厢内设置紧急报警装置和备用照明，保障被困人员能求救并减少恐慌。

8. 机械冗余设计

• 多根钢丝绳承载：轿厢由多根独立钢丝绳悬挂，单根断裂不影响安全。
• 导轨与轿厢结构强度：即使安全钳动作或缓冲器撞击，结构也能承受冲击力。

安全原则在故障场景中的体现

故障类型	安全响应措施
电力中断	制动器抱闸，轿厢停止
控制系统失效	安全回路断开，电梯停止
钢丝绳断裂	安全钳夹紧导轨，防止坠落
超速运行	限速器触发安全钳
门未关闭	门锁断开安全回路，电梯无法运行
轿厢冲顶/蹲底	极限开关切断电源，缓冲器吸收冲击

总结

电梯的“故障导向安全”本质上是通过机械优先、电气备份、冗余设计的综合策略，确保任何单一故障（甚至部分复合故障）都不会导致灾难性后果。其设计遵循国际标准（如EN 81、ASME A17.1），并在全生命周期中通过定期检验和维护保障可靠性。这种“主动预防+被动保护”的体系，使得电梯成为现代社会中故障率最低的运输系统之一。