確保智慧工廠風險可控　功能安全造就工業4.0發展

本文所探討的即為功能安全對於工業4.0各層面的影響，其中包括對網路、安全、機器人/協作機器人、軟體，以及用來建置這些功能的半導體。

功能安全是整體安全的一部分，它代表的是系統在被要求執行安全相關任務時一定會確切執行。舉例而言，當操作人員開啟保護裝置時，馬達能夠迅速地關閉，以防止對操作人員造成傷害，或者當有人員靠近時，機器人就會降低操作速度與力道以維護安全。

何謂功能安全

何謂功能安全，可從標準、安全完整性等級(Safety Integrity Levels, SIL)、失效來源(Sources of Failure)、處理隨機失效(Random Failures)、處理系統性失效(Systematic Failures)等五個面向來加以解釋。

IEC 61508標準為依歸

功能安全的基礎標準為國際電工委員會(IEC)61508。此標準的第一次改版於1998年發表，2010年發布第二版，目前當局已著手針對2020年的第三版進行編修。

自從IEC 61508於1998年發布第一版以來，IEC 61508基本標準已被各界進行調整使其適用於其他領域，例如汽車方面依據國際標準化組織(ISO)26262，製程控制方面依據IEC 61511，可編程邏輯控制方面根據IEC 61131-6，機械方面則根據IEC 62061，而可變速驅動器方面根據IEC 61800-5-2，以及其他許多領域皆依據各自的專業標準對IEC 61508進行調整(圖1)。上述與其他標準，協助各界自行針對這些範圍較局限的領域對IEC 61508進行更廣泛地解譯。

另一項不是由IEC 61508衍生而來的平行標準，就是ISO 13849，這項主要規範機械的標準是從已汰除的European EN 954標準所衍生而來。功能安全較基礎的概念是安全機能(Safety Function)。安全機能的定義是，某項作業必須執行才能達成或維持安全。典型的安全機能包含一個輸入子系統、一個邏輯子系統，以及一個輸出子系統。通常這意謂著可能感測到不安全的狀態，有時會根據感測到的數值做出決策，倘若判斷有潛在危險，則會命令輸出子系統將系統導引至預先設定的安全狀況。

從離開不安全狀態，到達成安全狀態，這兩者之間的時間至關重要。舉例來說，安全機能可能包含一個負責偵測機器內的保護裝置(Guard)是否被開啟之感測器、透過一個可編程邏輯控制器(PLC)控制晶片處理資料，以及運用一個可變速驅動器配合安全扭力值切斷輸入訊號，以在伸入機具的手接觸到運轉零件之前即時關斷運轉中的馬達。

SIL評估風險

SIL代表安全完整性等級，它代表必須減少多少的風險才能讓風險降至可接受的程度。根據IEC 61508的規定，其安全等級分為1、2、3、4級，等級每高一階，其相對應的安全要求也就提高一個數量級。

但在機械與工廠自動化領域並沒有SIL 4，因為這些環境中通常不會有超過一個人暴露在危險下。SIL 4是保留給諸如核能與軌道等領域應用，一旦出現事故，其所危及的範圍可能是數百，或甚至達到數千人。

除此之外，另還有其他功能安全標準，包括汽車採用的汽車安全完整性等級(ASIL)分為A、B、C、D等級，以及ISO 13849，其效能等級A、B、C、D、E可分別對應至SIL 1至SIL 3。

根據失效來源  規範應對方式

功能安全標準通常著重於兩種類型的失效，並規範各種應對方法。隨機硬體失效是最容易了解的一種，如其名稱所述，其成因是設備出現隨機性的非預期失效。因隨機性失效導致故障的機率定義為系統的每小時危險失效率(PFH)。所允許的PFH視要求的SIL而定，範圍從SIL 1的10-5/h一直到SIL 3的10-7/h。

另一項系統性失效(Systematic Failures)天生存在於設計中，其能解決的唯一方法就是變更設計。電磁相容(EMC)強健度不足會被視為一種系統誤差(Systematic Error)，原因可能包括要求不充分、規格與功能方面的驗證不足，以及所有軟體誤差。系統誤差實際上是存在於生產出每件產品的弱點，而不會只出現在特定幾件產品中。若遇到一定的情況組合，這種失效發生的機率為100%。

要能適合用在要求SIL X安全機能的情境，必須同時符合SIL在隨機與系統性失效的標準，光是符合硬體方面的要求是不夠的。

處理隨機失效  因應硬體問題

不論設備有多可靠，都有一定的機率在特定時刻出現失效。許多技巧可用來對付隨機硬體失效，其中包括診斷覆蓋率要求，以及運用冗餘配置。根據安全機能的SIL等級，就能得知對應的PFH或失效危險機率(PFD)。

此外，根據SIL可得知最低要求安全失效比率(SFF)，從SIL 1到SIL 3，分別對應到60%到99%，這套標準能夠針對系統在診斷與冗餘性之間找到適合的平衡點。其他的技巧還包括降低額定值(Derating)，以及使用品質更良好的零件等。

修改基礎設計  處理系統性失效

系統性失效是與隨機硬體失效無關的失效，必須修改設計才能避免失效。系統性失效的解決方法，包括遵循嚴格的開發流程，以及針對各工作結果進行獨立評測。這個流程通常以不同複雜度的V模型來代表，其要求的評測嚴謹度以及評測的獨立性，都會隨著SIL等級攀高而增加(圖2)。

在某些情況下，可藉由多元冗餘(Diverse Redundancy)來解決系統性誤差的問題。這是因為多元配置的系統比較不可能在同一時間以相同方式失效。此外，置入診斷機制來應付隨機失效，對於偵測系統性失效也相當實用。

認識工業4.0

工業4.0有許多名稱，包括工業4.0、工業物聯網(IIoT)、中國製造2025、工業+、智慧工廠等。名稱中的4.0代表第四次工業革命，其承襲著1970年代的第三次革命，當時各界廣泛使用電子與IT技術推行自動化。

工業領域的物聯網(IoT)經常出現在文章、會議、行銷標語中，但仍缺乏殺手級應用而被廣泛採納。目前可能的殺手級應用包括預測失效、調適性診斷以及條件式維護。

工業4.0其中一個關鍵點子就是虛實整合系統(CPS)。CPS包含智慧機器、儲存系統、能自主交換資訊的生產設施、觸發動作以及獨立相互控制。換句話說，一切都具備智能、儀表化及互連。這個定義也意謂著聯網(Networking)、安全以及其他方面的議題。

工業4.0的關鍵設計原則包括：互通(所有一切都相互連結)、虛擬化(工廠與模擬模型)、去中心化(就地化的智慧)、即時功能(以即時效率回應真實世界)、服務導向(透過網際網路提供服務)，以及模組化(視需要隨時重新設定)。

另外，若再配合感測器融合以及資料分析，即可獲取各種新情資，包括根據從智慧儀表蒐集到的診斷結果，以及在雲端進行的分析，視狀況進行預防性維護。比較各系統的老化狀況，系統可適時地切換至冗餘系統以提高生產力，而未來機器健康將成為一項重要考量因素。

一切都能聯網並相互溝通

許多較老舊的系統採用孤立式自動化系統，它們通常使用專利網路技術。許多類比網路經常採用4毫安培(mA)至20毫安培的電路，這樣的設計有許多好處，包括EMC的強健性、傳輸距離長達3公里(km)，以及天線安全和同步化，但缺點是對於工業4.0而言不夠彈性且速度不足。

在工業4.0時代，各界希望一切都能聯網並相互溝通，這方面常見的詞彙包括機器對機器(M2M)和流程對機器(P2M)。藉由聯網，可以提高製造效率、提高製造彈性、增加操作知識，以及促進生產成本降低。

以乙太網路為基礎的聯網解決方案被用來因應上述要求，但這類網路還必須解決內部維安(Safety)以及對外防禦(Security)等方面的議題。隨著各種新效率不斷浮現，未來的新服務也會變得更有成本效率。

數位網路興起  安全議題受關注

隨著數位網路的應用，安全逐漸成為一項議題。最近電影與媒體出現許多例子(如零時差攻擊)，包括Stuxnet蠕蟲和各種黑能源(Black Energy)病毒。若網路向外擴充至雲端，一旦成功駭入一家雲端供應商的系統，許多工廠就可能因此停擺，而事實上，它們中間可能只被駭入過一次。這樣的規模經濟效益，對駭客來說更具吸引力，以致許多權威專家宣稱IoT代表的縮寫，其實應該是Internet of Threats，亦即「威脅的總和」。

然而，IT安全要求並不全部都適合用在工業網路。IT安全有許多行為，包括頻繁的軟體更新，就不適合製造領域，因為軟體變更可能有生產線意外停擺的風險。此外，再加上功能安全系統的認證成本所費不貲，而且必須變更相關的管理程序，因此對於安全而言，這樣的變更就更加令人不悅。

在工業控制方面，審核中的提議標準為IEC 62443。IEC 62443涵蓋了工業自動化與控制系統(IACS)的設計、建置以及管理。

協作機器人/AGV運用  首重安全

以往的機器人都是極其龐大的機具，通常都住在鐵籠裡。協作機器人則屬於分擔工作的機器人，外型比較不嚇人，其任務是照顧人而不是傷害人。它們結合許多感測器與軟體，而且沒有必要和人類工人分開來。在工業環境中的協作機器人可能包含一隻或一對機械手臂，例如Universal Robots的UR5，或是ABB的YuMi。

自動導向車(AGV)這種行動機器人被視為一種特殊類型的協作機器人。它們為工業4.0提供一項關鍵元素，主要是負責在廠房樓板內搬移產品與原料。

隨著動態環境浮現的新危險發生時，就必須加以解決。在協作機器人與自動導向車方面有兩個選項，一是開發一個天生安全的系統，因為各方面的力量夠低，所以不會造成嚴重的傷害，二是根據相關功能安全標準設計一項解決方案。對於自動導向車而言，碰撞避免機制可採用視覺、雷達、雷射或嵌入在樓板內的軌道為作為基礎。

(本文作者任職於亞德諾)