功能​安全​詳解:​現代​工業​趨勢

綜覽

​近年來​功能​安全​已​成為​工業​的​一大​課題,​全​因​自動化​設備​於​製造、​測試​與​過程​控制​的​應用​越​趨​常見,​因此​更​重視​避免​傷亡、​設備​損毀​和​環境​破壞。​政府​和​員工​對​工程​安全​的​要求​與​期望​日益​增長,​製造商​和​供應​商​需要​使用​可​預測​的​方式​來​實現​和​設計​器材,​藉此​滿足​一定​的​安全​要求。

內容

什麼​是​功能​安全 (functional safety)?

什麼​是​功能​安全 (functional safety)? 國際​電工​委員會 (International Electrotechnical Commission, IEC) 於 IEC61508-0: 3.1 標準​中,​針對​功能​安全​的​定義​如下:​「功能​安全​是​整體​安全​的​一​部份,​取決於​系統​或​設備​能否​因應​輸入​而​正確​運作。」​於「闡釋 IEC 61508」​一文​中,​IEC 進一步​解釋:​「功能​安全​是​指​檢測​潛在​危險​情況,​並​實踐​保護​或​糾正​措施,​藉此​避免​危險​事故​發生​或​緩解​危險​事故​發生​的​後果。」

設備​的​產品​生命​週期​包含​了​分析、​設計、​裝置、​運作​與​維護​過程。​如果​要​達到​功能​安全,​就要​預防​或​控制​故障。​Exida 功能​安全​認證​機構​表示:​「功能​安全​的​目標​是​設計​一個​自動​安全​功能,​能夠​正確​執行​預設​安全​功能;​若​發現​有​可能​發生​故障,​系統​可以​在​可​預期​的​情況​下​自動​停機。」​基於​系統​本身​的​穩定​程度,​該​系統​能夠​執行​預設​功能,​至於​該​系統​能否​預測​到​故障,​進而​在​可​預測​的​情況​下​停機,​則是​取決於​該​系統的​功能​安全​設計。

 

為什麼​我們​需要​功能​安全?

公司​企業​有​責任​為​使用者、​社​群,​以至​環境​提供​安全​的​設備​與​程序。​若​未能​確保​已​執行​安全​措施,​隨時​會​導致​他人​受傷、​環境​破壞、​重要​設備​與​基礎​建設​嚴重​損毀,​進而​導致​責任​索賠、​設備​損失、​業務​中斷​與​公司​形象​受損​等​惡果,​不論​企業​規模​為何,​都​可能會​受到​影響。​多國​政府​正​要求​所有​進口​機械​都​須要​符合​功能​安全​要求。​歐洲​已​實施​了​機械​指令 (2006/42/​EC),​以​確保​在​歐洲​使用​的​機械​都能​達到​一定​的​安全​程度。​透過​功能​安全​儀器,​能​減低​發生​危險​事故​的​機會,​並​符合​政府​機構​的​安全​要求。

 

功能​安全​標準

幸好,​一系列​的​國際​標準​已經​發佈,​為​需要​功能​安全​的​系統,​提供​一致​與​已經​證實​有效​的​方法。​IEC 61508 適用於​各種​行業,​為​基本​的​通用​規範。​行業​或​團體​可​應用 IEC 61508 的​概念​到​某些​範疇,​並​增添​相關​措施,​使​其​更​具​相關​性,​以下​為​部分​例子:

  • IEC 62061 機械​安全 (Safety of Machinery)
  • IEC 61511 過程​工​業界​別​的​安全​儀表​化​系統 (Safety Instrumented Systems for the Process Industry Sector)
  • IEC 60601 醫學​設備 (Medical Equipment)
  • IEC 61513 核電廠 (Nuclear Power Plants)
  • ISO 26262 道路​車輛​的​功能​安全 (Road Vehicles​—​Functional Safety)

針對​電氣、​電子​與​可​編​程​電子 (E/​E/​PE) 的​相關​系統,​IEC 61508 涵​蓋​了​其​整個​安全​生命​週期。​此​標準​旨​在​減低​故障​風險,​以及​減低​故障​後果​的​嚴重​程度。​由於​不可能​達到​零​風險,​設計​初期​就要​把​功能​安全​納入​考慮,​方能​有效​處理​並​減低​風險。

為了​把​危險​事故​發生​的​機會​減​到​最低,​IEC 61508 詳述​了​如何​透過​識別​並​消除​系統​上​的​故障,​增加​設計​穩定​程度,​以及​透過​了解​各類​元件​如何​導致​隨機​故障,​增加​硬體​的​穩定​程度。

系統的​功能​安全​設計​與​運作​過程​中​如果​出現​人為​錯誤,​就​可能​導致​系統​故障。​如果​某些​元件​要​取得 IEC 61508 認證,​其​工程​程序​的​文件​須​經​評估,​識別​並​減少​因​人為​錯誤​而​導致​疏忽​的​機會。​從​系統​設計​到​停用,​透過​檢查​所有​生命​週期​階段​的​故障​風險,​對於​識別​和​消除​這些​系統​故障​攸關​重要。

硬體​元件​會​因​溫度、​侵蝕​或​過​勞​等​物理​應力​而​故障​或​耗損,​因此​造成​隨機​故障。​系統​功能​安全​設計​使用​從​測試​和​歷史​數據​整合​而來​的​統計​資料​來​解釋​隨機​故障。​公司​可以​計算​元件​的​故障​機率,​藉此​確定​與​元件​和​系統​相關​的​風險​量。

 

功能​安全​生命​週期

功能​安全​生命​週期​由​各種​規範​組成,​為​設計​人員​提供​了​創建​安全​且​具​成本​效益​的​系統​框架。 IEC 61508 將​生命​週期​分為​三個​主要​部分:​分析、​實現​和​運作。

圖 1. IEC 61508 定義​下​的​功能​安全​生命​週期

就​分析​階段​而言,​必須​先​識別​並​研究​功能​安全​的​需求。​透過​危機​風險​分析,​了解​有​可能​發生​的​危險​事故​與​後果,​以及​其​發生​的​機會。​接著,​指定​分析​安全​功能,​以及​每個​功能​所​需要​降低​的​風險,​以便​為​每個​安全​系統​分配​適當的​安全​完整性​等級。​這​階段​以​安全​要求​規範 (Safety Requirements Specification) 文件​作​結。​此​文件​詳述​了​分析​階段​的​結果,​並於​實現​階段​為​系統​及​功能​安全​設計​人員​提供​引導。

接著​在​實現​階段,​設計​人員​將​按照​在​分析​階段​識別​了​的​功能​安全​需求,​而​選擇​採用​相符​的​技術​及​結構。​設計​人員​所​選擇​的​元件​須​經過​可靠性​和​安全​性​計算,​確保​符合​適當的​安全​完整​度​水平。​一經​驗證,​設計​人員​將​記錄​接線​圖、​安裝​說明​與​操作​說明,​整合​為​詳細​設計。​完成​這​步驟​後,​系統​便​可以​組​裝、​調​試,​讓​工廠​進行​驗收​測試。

運作​階段​是​功能​安全​生命​週期​的​最後​階段,​將​按​規範​文件​中​為​系統​進行​維護​和​修理,​包括​驗證​測試、​操作​員​培訓​與​系統​修改​等​項目,​以​確保​系統​日後​安全。​此外,​系統​也​可能​在​這個​階段​遭到​淘汰。

同時,​也​需要​培訓​合​資格​的​專業​功能​安全​人員,​確保​功能​安全​生命​週期​獲得​認證​並​嚴格​遵守。​不同​的​安全​認證​組織,​都​提供​功能​安全​專家,​例如 Exida 的​訓練​人員。

 

安全​儀表​系統 (SIS) 與​安全​儀表​功能 (SIF)

IEC 61511 第 1 章 3.2.72 列​明,​安全​儀表​系統 (Safety Instrumented System, SIS) 是​用來​執行​一個​或​多個​安全​儀表​功能​的​儀表​系統。​安全​儀​系統​可​由​感​測​器、​邏輯​解​算​器​與​終端​元件​組成。​安全​儀表​系統​能​預防​系統​和​設備​發生​危險​事故,​並將​其​發生​機會​減至​最低。

安全​儀表​功能 (SIF) 為​保持​機械​與​運作​過程​安全​的​重要​部分。​安全​儀表​功能​由​感​測​器、​邏輯​解​算​器​與​最終​元件​組成,​旨​在​保持​機械​運作​正常,​預防​潛在​危險​事故。

圖 2. 安全​儀表​功能​的​元件

感​測​器​可​量​測​設備​的​狀況​並​識別​有無​危險​情況。​感​測​器​的​例子​包括​緊急​停止​按鈕、​光​幕、​安全​墊、​壓力​傳感器​與​溫度​傳感器。​邏輯​解​算​器​則​檢查​所有​傳感器​輸入,​並在​發生​危險​事故​時,​根據​用戶​在​實現​階段​創建​的​程序,​執行​功能​安全​操作。​然後​邏輯​解​算​器​將​輸出​訊號​發送​到​最終​元件,​以​將​設備​置​於​無​危害​或​安全​狀態。​邏輯​解​算​器​使​設備​保持​在​安全​狀態,​直到​執行​糾正​措施,​及/​或​感​測​器​檢測​到​安全​操作​情況。​而​最終​元件​的​例子​包括​繼電器​和​閥門。

 

安全​完整性​等級 (safety integrity level)

安全​完整性​等級 (SIL) 量​測​功能​安全​的​安全​度,​並​執行​風險​水平​降低​的​作業。 許多​人​使用 SIL 術語​來​專​指​降低​風險​的​目標​水平。​IEC 61508 定義​了 4 個 SIL 等級。​等級 4 提供​最高​安全​等級,​等級 1 則為​最低,​因此​會​附帶​詳細​的​功能​安全​要求,​以​符合​更高 SIL 等級。​在​一個​安全​功能​系統,​所有​功能​和​元件​必須​滿足​合適​的​安全​等級,​該​系統​才能​符合​必須​的​安全​等級。​經過​分析,​若​發現​系統​大部分​元件​達到 SIL 3,​但​只要有​一個​元件​只​達到 SIL 2,​那麼​整個​系統​都​不可​獲得​高於 SIL 2 的​安全​完整性​等級。

SIL 取決於​許多​因素,​例如​系統​設計​的​能力​水平、​元件​供應​商、​結構​限制、​硬體​容​錯​與​安全​故障​失效​比率,​以及​故障​機率。

如​前​所述,​功能​安全​元件​與​系統的​設計​與​操作​過程​中,​如果​出現​人為​錯誤,​都​可能​導致​系統​故障。​在​認證​系統​能力​水平​時,​會​評估​開發​過程​與​系統的​質素​都會​進行​評估。​IEC 61508 規定​了​審查​設計​以​確定​系統​能力​水平​的​要求,​當中​的​考慮​因素​包括​故障​檢測​精確度、​代碼​保護​能力​與​硬件​多樣性。​根據 IEC 61508,​系統​元件​經​第三​方​認證​的 SIL 等級,​反映​了​系統​能力​等級。

 

隨機​硬體​故障​或​結構​限制

隨機​硬體​故障​影響​系統的​硬體​安全​完整​度。​結構​限制​則​基於​元件​的​組​裝​方式​及其​安全​功能​而定,​它​能​影響​最終​安全​完整性​等級。​系統​於​危險​事故​發生​時,​未能​運作​的​機率,​也會​影響​安全​完整性​等級。

透過​失效​模式​與​影響​與​診斷​分析 (FMEDA) 等​技術,​能​了解​因​隨機​硬體​故障​而​引起​的​故障​風險​和​機率。​FMEDA 詳細​分析​元件​的​失效​模式​與​診斷​能力,​此為​一種​經過​驗證​的​方法,​用於​識別​失效​模式​與​失效​率,​而​這​兩個​因素​可用​於​計算​安全​故障​失效​比率​和​故障​概率。​認證​組織​如 Exida 與 TÜV 會​針對​元件​執行 FMEDA,​為​設計​人員​提供​用以​設計​及​識別​安全​系統​完整​度​等級​的​資料。

 

安全​故障​失效​比率 (safe failure fraction)

安全​故障​失效​比率 (safe failure fraction, SFF) 為​元件​整體​故障​率​與​導致​安全​故障​或​檢測​到​不​安全​故障​的​比例。 以下​為 4 種​可​構成​整體​故障​的​隨機​硬體​情況:

λsu:​未​發現​安全​情況
λsd:​發現​安全​情況
λdu:​未​發現​危險​狀況
λdd:​發現​危險​狀況

 

硬體​容​錯 (hardware fault tolerance)

若​一個​功能​安全​系統的​硬體​容​錯 (hardware fault tolerance, HFT) 為 N (可為​0、​1 或 2),​則 N​+1 為​可​導致​該​系統​安全​功能​失效​的​最小​故障​次數。​若​硬體​的​硬體​容​錯​為 1,​則​系統​安全​功能​可以​容許 1 次​故障​發生。​若​發生​兩次​故障,​該​系統​便​不能​符合​預設​的​安全​功能。

元件​表決 (voting) 系統​能​提高​硬體​容​錯​值。​若​表決​系統​為​「N 中​取​M」​(MooN),​則 M 為​最小​的​通道​數量​以​令​系統​正常​運作,​N 為​總​通道​數量。​1oo1 結構​是個​簡單​的​配置,​只有 1 個​元件,​硬體​容​錯​為 0。​1oo2 結構​則有​兩個​元件,​但​只需要​其中 1 個​元件​正常​運作,​硬體​容​錯​因而​為 1。

系統的 SIL 水平​是​基於 SFF 與​硬體​容​錯​等級。​IEC 61508 指定​兩種​次​級​系統 (A 類​與 B 類),​並​視​乎​這些​次​級​系統,​要求​一定​的 SFF 與​硬體​容​錯​等級。​A 類​次​級​系統的​特質​為​簡單、​容易​明白,​以及​已經​於​該​領域​獲得​驗證。​而 B 類​次​級​系統​為​複合​系統,​仍​未獲​該​領域​專家​驗證。

安全​故障​失效​比率

(SFF)

硬體​容​錯 (HFT)

0

1

2

<60%

SIL 1

SIL 2

SIL 3

60% ≤ 90%

SIL 2

SIL 3

SIL 4

90% ≤ 99%

SIL 3

SIL 4

SIL 4

>99%

SIL 3

SIL 4

SIL 4

表 1. A 類​次​級​系統的​安全​完整性​等級 (SIL) (IEC 61508-2)

 

安全​故障​失效​比率

(SFF)

H​硬體​容​錯 (HFT)

0

1

2

<60%

不​容許

SIL 1

SIL 2

60% ≤ 90%

SIL 1

SIL 2

SIL 3

90% ≤ 99%

SIL 2

SIL 3

SIL 4

>99%

SIL 3

SIL 4

SIL 4

表 2. B 類​次​級​系統的​安全​完整性​等級 (SIL) (IEC 61508-2)

 

故障​機率 (probability of failure)

故障​機率​反映​了​因​硬體​故障​而​導致​系統​故障​的​機率。​IEC 61508 定義​了​兩種​功能​安全​的​運作​模式,​分別​為​低​需求​模式​和​高​需求​模式 (或​連續​運作​模式)。

當​系統​以​高​需求​模式​運作​時,​系統​安全​需求​的​頻率​不到​一年。​以​連續​模式​運作​相當於​在​非常​高​的​需求​模式​下​運作,​光​幕​就是​一個​以此​模式​運作​的​例子,​保護​使用者​免​受​諸如​金屬​板​沖床​之類​的​製造​設備​的​危害。​每小時​危險​故障​概率 (PFH) 用於​高​需求​或​連續​運作​模式​的​系統。​在​最​簡單​的​形式​中,​當​使用​沒有​硬體​容​錯 (HFT = 0) 的​元件​時,​PFH 等於 λdu (未​檢測​到​危險​情況​的​故障)。 有關​其他​硬體​配置,​請​參閱 IEC 61508。 表 3 顯示​了​滿足​各種 SIL 的​高​需求​或​連續​模式​系統​所需​的 PFH 值。

SIL

每小時​發生​嚴重​故障​的​機率 (PFH)

4

≥10-9 to <10-8

3

≥10-8 to <10-7

2

≥10-7 to <10-6

1

≥10-6 to <10-5

表 3. 高​需求​或​連續​模式​下​安全​功能​的​安全​完整性​等級 (IEC 61508-1)

在​低​需求​模式​下​運作​時,​系統​安全​需求​的​頻率​不​超過​每年​一次。​加工廠​中的​高​完整性​壓力​保護​系統 (HIPPS) 是​低​需求​運作​系統的​例子。​平均​危險​失效​機率 (average probability of dangerous failure, PFDavg) 可以​應用於​低​需求​系統​中。​在​計算 PFDavg 時,​會​考慮​許多​因素,​例如​驗證​測試​間隔、​修復​時間​和​元件​的​體系​結構 (例如 1oo2 表決​系統)。​驗證​測試​評估​安全​系統​元件,​以​檢測​系統​內​置​的​診斷​可能​無法​檢測​到​的​任何​故障。​若​在​驗證​測試​中​檢測​到​任何​故障,​便會​予以​修復,​讓​系統​猶如​處於​的​全新​狀態。​通過​提高​驗證​測試​的​頻率,​設計​人員​可以​讓​系統​達到​更高​的​SIL​水平。​儘管​如此,​他們​必須​考慮​測試​的​成本​和​複雜​程度。​修復​時間,​也​稱為​平均​修復​時間 (MTTR),​是在​安全​系統​上​檢測​到​完全​修復​故障​所需​的​時間。​平均​修復​時間​包括​檢測​維修、​技術​人員​開始​維修​以及​完成​維修​的​時間。 同樣,​IEC 61508 規定​了​計算 PFDavg 時​使用​的​公式。​表 4 顯示​了​低​需求​系統​要​滿足​各種 SIL 水平​所需​的 PFDavg 值:

SIL

平均​危險​失效​機率 (PFDavg)

4

≥10-5 to <10-4

3

≥10-4 to <10-3

2

≥10-3 to <10-2

1

≥10-2 to <10-1

表 4. 安全​功能​在​低​需求​運作​模式​所需​的​安全​完整性​等級 (IEC 61508-1)

計算 SIF 各​元件​的​故障​機率​值,​然後​將​它們​加總,​便​得出 SIF 的​整體​故障​機率。​前面​圖表​中,​故障​機率​值​的​對應 SIL 得出​整體 SIF。 圖 3 顯示​了​各​元件​的​常見​故障​機率,​可​做為​參考。

圖 3. 在​安全​儀表​功能​中,​各​元件​故障​機率​的​建議​配額

 

以​功能​安全​系統​保護​人員、​設備​與​環境​安全

功能​安全​系統​是​避免​受傷、​設備​損毀​與​環境​損害​的​關鍵。​採取​這種​預防​措施​可以​使​設備​更​安全,​從而​讓​設備​供應​商​的​財務​負擔​減​到​最低。​從​系統​設計​一​開始,​到​部署​和​運作​期間,​以至​系統​淘汰​等​過程,​設計​人員​都​需要​評估​系統的​潛在​危險​與​相關​風險。​任何​成功​的​功能​安全​系統,​都​取決於​能夠​執行​合適​的​功能​安全​標準。​而​功能​安全​標準​的​執行​者​都應該​經過​適當​培訓​和​認證,​確保​他們​獲得​相關​方面​的​全面​知識。