功能安全(Functional Safety)法規叢林

B0  2021年 02月03日 14:54


50-1.61233430315E+13.png


50-1.6123343187E+13.png


50-1.61233491858E+13.png


這個話題很艱澀, 我嘗試看看可不可以講得簡單易懂, 看不懂的大家一起探討, 因為我也在學習.


有人說歐洲人啟動這個功能安全的法規適用是一種貿易障礙,不過,我們要正向思考,所以我覺得,這個要求乃是為人類謀求福祉,增進人類全體之生活!也就是說,各設備,各馬達驅動的單元,在此要求之下,期待讓人類生活得更安全。所以我們每一天都為了人類的福祉增進而貢獻努力。


所謂法規叢林,就是例如:IEC 61508,EN 61800-5-2,IEC 62061,ISO 13849,EN 60204-1等等等。我建議各位就拿這些數字當明牌背起來算了,因為,他們將會幫助你取得增進人類福祉的入門票。


一般而言所謂的功能安全(Functional Safety)就是一個系統的安全(至少一部份而言)依存於某設計好的安全功能之正確運行。例如我們在一個機台的門設了一個開關,並期待門被打開就會關閉機器以保護人免於受傷。而功能安全就是要探討這樣的設計如何導致無法正確如預期地提供保護人的目的。


IEC 61508乃是功能安全的母法,有點像是憲法那種意思,不知道拿ISO9000來比方恰當否,就好像建立一家公司需要通過ISO認證那種感覺,61508規範了跟功能安全有關的管理方法,以及許多技術細節。例如組織管理的原則, 以及安全失效的種類(系統性失效, 偶發性錯誤)。產品生命週期中所有階段都有可能發生系統性失效(規格訂錯, 設計錯誤, 安裝錯誤, 操作不正確); 而偶發錯誤通常發生在邏輯硬體電路(E/E/PES 電子/電氣/可程式系統), 這些硬體的風險又可以以SFF, HFT與目標SIL(安全等級)做連結。單頻道電路結構,雙頻道結構,冗餘設計,偵測涵蓋率(DC)。終極目標為設計的元件或機台是否達到所要的安全等級。SIL(Safety Integrity Level)安全等級分1~4級, 數字越大越好(表示較安全),但工業自動化中只探討1~3級。

講到這裡,各位也許已經感覺身陷於亞馬遜森林中,有點迷失了!其實我也不是很懂,61508就先講到這裡。


第一張圖可以看到中心為母法61508,延伸出去各種不同的專業領域有各自的規範,此處特別指出的有右上角的EN 61800-5-2乃是驅動器相關的專法,又左下角的IEC 62061為系統整合者在完成機器設備時要注意的相關功能安全的法規。


第二張圖為工業自動化中值得注意的法規,除了61508之外,也看到61800-5-2驅動器專法,還有虛線框起來的2個法規: IEC 62061與ISO 13849。兩個框起來的部份乃是機器製造商要特別遵守的法規。其實62061與ISO 13849的性質類似但:

●IEC 62061衍生自母法IEC 61508體系, 適用於機台設備開發商, 講求的為61508一貫的SIL(安全等級)且以E/E/PES 電子/電氣/可程式系統 為主體適用標的。

●ISO 13849則出自非IEC 61508體系, 用來取代舊的EN954-1安全規範的歷史背景, 用PL(Performance Leve)來取代SIL安全等級但完全具有異曲同工之妙,有對照表(參見文末的本論壇連結)。特別的是它不只有適用於E/E/PES性質的設計技術, 也適用於其他非電子的系統。相較於SIL分級1~3,PL的分級為a~e,字母順序越後面越好。


最後以一個實際的例子來輔助,希望大家可以有點感覺這些叢林中的各顆大樹的意義。第三張圖是一張德國技術認證單位發行的認證證書,想指出來與大家分享的是呼應上文所述的安全法規叢林可以在此圖中的中間列有Codes and standards的部份看到,裡面林林總總列了好多號碼,如果您有背住前面我講的明牌號碼,這裡大多有出現喔!這是一個典型符合自動化工業中安全法規基本要求的證書。


相關之本論壇文章

功能安全(Functional Safety)的SIL與PL

http://www.imtf4.tw/topicdetail.php?t=1056

  • 1
  • 629
  • 2
  • 1

B1  2021年 02月03日 15:51


功能安全法規會依產業類別不同使用的法條也不同,例如:工控產業就必須使用EN61800-5-2、IEC62061和ISO13849,而汽車產業則必須使用ISO26262,當然認證等級也會有不同,工控產業是以SIL為分級單位(等級1~等級4),汽車產業則是以ASIL為分級單位(等級A~等級D),嚴格程度當然是汽車產業會大於工控產業,因為汽車只要有個閃失,那真的是會危及生命安全。

在工控產業中,IEC61508是認證單位(如TUV-Rheinland或TUV-Nord)用來檢視產品是否符合認證資格,是否可以取得認證證書的依據,認證過程則必須提供設計架構(Safety_Concept、Safety_Plan、Safety_Requirement_Specification和V&V-Plan)來取得取證門票,也就是拿到Concept Approval,才能走入設計階段,而設計除了電路開發、程式撰寫外,認證文件的產出才是最令人頭痛的工作,不管工作多複雜,都必須依照V-Model來執行。

取證的難易度也會因為功能不同而有差異,例如STO可以只靠硬體來實現的安全功能,沒有韌體的包袱,認證文件和工作相對就簡單不少。但如果是SS1、SS2或SLS,不單單能只靠硬體才能實現,甚至必須靠雙CPU或雙FPGA才能實現的功能,其取得Concept Approval,甚至取得證書的歷程都相當複雜與繁瑣。


原 PO - B2  2021年 02月03日 17:13


非常感謝Johnson19841011先進前來發言指導, 希望大家可以多來這個園地交流互相討論。

的確,歐洲人把做事情的方式都法制化,讓產業可以有依循,的確是工業進步的一個很大的助力。

STO只是入場券,要做到其他的安全停止功能,還要仰賴有系統的韌體/軟體開發,真的是所謂專業水準!

馬上回應....

共 2 則回應