符合功能安全性標準的元件設計

安全是工業應用的首要之務，以保護員工和設備免於受傷和受損。焊接、切割、沖壓作業，以及高速轉軸及處理危險工件或物質，都會對安全造成極大威脅。在美國，工廠作業員必須符合美國職業安全與健康管理局 (OSHA) 的規定，使用安全設備、遵守操作程序和參與訓練計畫。工廠需進行特定分析，以補強這些系統，用於辨識實際的方式提高員工的健全和設備的使用壽命。此外，自動化機器必須針對潛在或絕對不安全的狀態或故障情形，透過自動機械動作或修正，滿足功能安全需求。

圖 1：現今的多層式訊號燈使用 LED 提高效率和能見度。有些還會內建蜂鳴器，在違反安全時發出 100 dB 的警報，藉此提升安全性。(圖片來源：Menics)

功能安全性系統包括下列形式的電子產品：感測器、I/O、控制器、開關、機電元件、液壓元件，以及可偵測危險狀況並改變機器狀態以避免發生危險的軟體。現行的功能安全性設計和法規源自於歐盟，適用對象涵蓋全球供應商、機器製造商和最終使用者。歐盟機械指令 2006/42/EC 列出統一的歐洲規範 (EN) 和國際電工委員會 (IEC) EN/IEC 62061 標準，以及國際標準化組織 (ISO) EN/ISO 13849-1 標準，是目前最廣泛採用的標準。

ISO 13849-1 和 IEC 62061 可以交叉參照，而且 OEM 和最終使用者也可以自由擇一使用。唯一要注意的是，功能安全性與機器和控制功能息息相關，卻與裝置或元件無關，儘管後面兩者所提供的功能可以滿足特定的安全等級需求。

EN/IEC 62061 詳細規範相關的要求和建議，以作為設計、整合並驗證永久性安裝 (非可攜式) 機器或工廠所設的 SRECS (S 安全；R 相關；E 電氣、電子；以及 C 可編程控制功能) 的安全完整性等級。EN/IEC 62061 安全完整性等級 (SIL) 可針對系統的功能安全性進行評等，分為 1 (最基本) 至 4 級 (整合性最高且最精密)，SIL3 是機器能達到的最高等級。用來規定所需 SIL 的風險包括：風險暴露規律性、潛在的受傷嚴重程度、事故發生機率，以及機器操作員迴避性操作有助於避免受傷的可能性。

表 1：所需的 SIL 等級的取決因素為：在發生給定的不安全條件時，造成受傷的嚴重程度，以及造成這種條件的可能性。(表格來源：IEC)

相較之下，EN/ISO 13849-1:2005 則根據 SRP/CS (即 S 安全；R 相關；P 零件；C 控制；S 系統)，詳細說明相關要求和建議。SRP/CS 效能等級可對機器安全功能進行量化，且無論使用何種子元件均可。該標準採用眾所周知的效能等級 (PL) 功能安全性評等，分為「a」(最基本) 到「e」(整合性最高且最精密)。可用以決定所需 PL 的風險，除了適用於 SIL 風險外，還包括重複暴露於機器危害的頻率和持續時間。此外，完整的 PL 等級包括類別編號 (表示整個系統的架構) 和平均危險故障時間 (或稱 MTTFd)。

圖 2：特定安裝下的適當功能安全性等級，取決於量化變數、定量數值和軟體式分析的結果。(圖片來源：Design World)

滿足 IEC 61508 和 IEC 62061 的要求包括測試安全控制功能 (以及驗證機器模式、狀態標準和修正)，以確認機器的功能安全性等級。EN ISO 13849-1 和 2 還要求進行書面記錄測試 (靜態和動態)，以確認與安全控制有密切的整合。

操作人員觸發的安全元件

許多與安全相關的元件，設計用於接收工廠人員的輸入，而不是機器或防護裝置的某些中介區域或軸的輸入。這些元件包括觸覺式安全墊、光幕、控制台、人機介面 (HMI)、觸控式機械鎖，以及亮紅色蘑菇頭緊急停止按鈕 (僅適用於緊急情況)。操作人員適用的安全元件，還包括外殼 (符合 NEMA 等級，可保護內裝元件) 以及機器防護罩和佈線管，這些都是簡單且可靠的機器安全元件，可用於保護必須在機器附近 (有時在機器內)，及其電源和控制面板的人員。

拉線開關環繞機器的危險部分，操作人員可快速拉動以觸發緊急停止機制 (緊急停止開關)。這類安全元件特別常見於開放式機器 (難以提供防護裝置) 和無防護的輸送帶，但與斷路開關不同的是，這類元件會切斷電路電源，並緊閉危險的工作單元，使人員無法進入。其他產品包括安裝在機床開口 (尤其是執行切割或沖壓工作) 周圍的安全壓條 (條帶)，以及偵測到操作人員在其表面上踏步或站立時，可透過專用安全繼電器觸發安全響應的地板安全墊。

前文提到的光幕則稍微複雜些，這包括光電光束的發射器。如果光束在抵達接收器的途中在偵測平面上被截斷，就會快速停止危險的製程。光幕比其他選項還要昂貴，但考量機器操作人員經常需與機器某些部分互動，這成本仍然可接受。另一個精密的安全元件是雙手型安全控制台。這些元件通常需要同時啟用獨立的開關，才能啟動或維持機器的運作。

所有操作人員觸發的安全元件 (以及內建的安全邏輯或控制器) 必須經過驗證，才能放心確保工廠人員和設備會受到保護。例如，IEC 61508 與 IEC 62061 測試標準要求，使用備援繼電器的緊急停止開關，應當在操作人員觸發邏輯和現場元件之間的第一通道時正常運作，而且也應該在觸發兩者之間的第二通道時正常運作。此類備援緊急停止開關功能，會在機器試運轉期間進行獨立驗證。

自動化安全開關、感測器和防護裝置

圖 3：雷射掃描器是一種非接觸式安全回饋元件，而其最為人所知的功能是協助 AGV 在設施中移動。但是，此種掃描器的應用非常豐富，有時可以作為光幕的替代方案。(圖片來源：IDEC)

用於機器自動功能的元件，與人員觸發的安全相關元件不同。

包含閂鎖和開關的內建鎖定裝置

開關和聯鎖裝置是機器工作單元外圍的必要元件。安全極限開關具有觸點，可自動驗證機器元件的位置或動作。相較之下，功能更高的安全開關 (即所謂的聯鎖安全開關) 使用舌簧或鉸鏈聯鎖機構，可作為具有正向驅動 (雙重驗證的 NO 和 NC) 開關觸點的機器防篡改保護裝置。危機鑰匙的聯鎖裝置開關具有機械鑰匙和鎖，可將進入機器工作區的門保持關閉，直到可安全進入為止。然而，非接觸式 RFID 和磁性安全開關越來越常見，這類元件會監控工作區機門的位置 (打開或關閉)，並在危險製程期間禁止操作人員進入。

具備電氣斷路器與隔離器的內建安全功能

機器狀態所觸發的安全元件，也包括可確保電氣安全的元件。斷路器 (非常類似保險絲) 可防止過載電流對主電源、電源分支和訊號電路，造成有害和危險的效應。一些安裝產品在現場元件和控制器之間，包括可進行電流隔離的隔離器，以確保操作的本質安全。突波保護元件可以補強所有設計的電氣安全性，以防止電壓尖波損壞主電源和驅動電源，和／或回饋和控制訊號分配所涉及的電氣和電子自動化元件。

具有制動的內建機械性安全功能

符合安全制動條件的制動，也稱為故障防護制動。這類制動被預設在停止狀態 (通常用以鎖定或固定運動軸)，即使電力或液壓動力故障或解除也是如此。若要執行故障防護操作，都要依賴彈簧加載式或其他機械性動作來執行。

範例：以氣動方式釋放的彈簧組摩擦力制動，常作為伺服馬達驅動式自動化應用的故障防護制動。所有產品都必須具有符合 ISO 13849-1 等級認證，通常是由國際性產品測試組織 Intertek Group 進行認證。由於其機械鎖定功能，這些制動在保持不動時不會消耗電力，可在安全等級效能上提供最大的可靠性，並避免其他電動式停止模式會產生的過熱情形。額定的產品壽命計算方式為：在產品系列的所有元件中，某個百分比的元件，在發生常見原因造成 (可預測) 故障前的壽命 (以百萬週期為單位)。IIoT 功能很實用，故障防護制動也可包含板載診斷與感測器回饋功能，以追蹤操作狀態。

功能安全等級最高的制動採用多個彈簧，可透過與制動外罩內固定元件互動的摩擦表面，以機械力鎖住機器軸。相關安全標準還要求納入感測器，以確認制動狀態。

安全繼電器和其他安全控制器

圖 4：只需數個安全 I/O 的簡單設備，可以採用類似這種產品的經濟實惠型機電安全繼電器。(圖片來源：Omron Automation and Safety)

安全繼電器和其他控制器可支援安全開關、感測器和防護裝置的功能。所有元件都有共同的能力，可在需要時，透過解除電力或液壓動力使機器進到安全狀態，或是使動力停止的機器慢下來或鎖定至安全狀態。

固線式安全功能的繼電器

安全繼電器模組是故障防護控制選項之一。這些模組採用的電子元件具有短路和過壓保護以及輔助繼電器。固線式機電繼電器已使用數十年；只需將其接線至自動控制器，並視需要斷開機器子部分的電力 (與緊急停止開關或光幕配合使用)。其缺點在於需要在現場進行繁瑣的佈線，並缺乏可重新配置的特性。更先進的安全繼電器可利用 I/O 和模組化設計，與感測器、機器控制器和自動化網路進行彈性的整合。

安全性可編程的安全控制器

另一種符合故障防護的安全選項，是整合的專用安全控制器。與繼電器相比，此類控制器更合適用於複雜自動化系統，因為可以提供更大的 I/O 陣列以及 PLC 功能。然而有一點要注意，若要使用這些獨立的安全控制器，需要進行額外的編程和人員訓練。不過，這些控制器的數位電子產品，可透過軟體進行完整設定，以支援自動化功能。

圖 5：安全控制器可以整合多種安全功能，以安裝可重新設定且靈活的安全功能。本圖的工作單元中，第一個安全電路包含了光幕，而這光幕 (在回報中斷狀態時) 會打開電路開關，以停止轉盤。第二個安全電路則整合靜音控制器。當工件在轉盤停止並進入工作單元時，可讓機械人正常運作。否則，此電路將打開開關以停用機械人。第三個安全電路包括一個緊急停止開關，可打開所有開關並停止轉盤和機械人。(圖片來源：Panasonic Industrial Automation Sales)

工程師可以定義需要安全覆蓋的範圍並修改其設定，而無需重新對整個工作單元進行佈線。(如此可減少佈線硬體和人工成本。)通常以安全控制器為基礎的安裝也可隨著作業的演變，支援網路擴充和 IIoT 連線。

安全等級工業控制器的整合安全性

第三種故障防護安全控制選項越來越常見於精密機器中，這種選項整合安全 PLC、可編程自動化控制器 (PAC) 和其他 PC 式控制器。除了例行機器功能外，部分此類的電子硬體也可擔負安全功能的任務。因此自動化機器設備可進行編程，以便靈活控制其操作所需的安全功能。

結論

完善的機器安全性仰賴回饋和控制元件的等級，以提供與特定應用之危害相對應的保護。機器安全性也需要進行適當的元件整合、記錄與驗證，這可確保安全電路在所有機器操作模式下都能正常運作，即使在故障期間也沒問題。

IEC 61508 和 62061 安全壽命標準定義執行安全性整合的正確方式，亦即從初始風險評估和設計，到 OEM 對已安裝系統的效能進行實際驗證，以及在安裝機器後，為了最終使用者 (或由最終使用者) 對系統效能進行再次驗證。後者的驗證會透過正常的操作順序、減速、停止與重置等例行測試，帶著機器「逐步走完程序」。