在IEC標準中,功能安全管理(FSM)是系統性安全完整性(Systematic Safety Integrity, 即系統性能力,SC)的一部分。系統性安全完整性並非關注安全儀表功能(SIF)中使用的產品,而是關注圍繞這些產品建立的功能安全組織,以及該組織在整個SIS安全生命周期中的參與。系統性能力由運作良好且維護完善的FSM系統構成,FSM需貫穿SIS安全生命周期的每個階段。因此,FSM在下圖中以左側垂直欄表示。系統性能力以SCx表示,其中x對應所需的SIL等級,且SC必須符合目標SIL。SC必須透過裝定製造商(或認證機構)的聲明,對SIF中所有購買的裝定加以驗證。此外,SC也必須對安全生命周期中所有相關方(如業主、承包商/EPC、SIS整合商等)加以驗證。SC由應用的FSM決定,且SIS安全生命周期中所有參與人員的經驗與能力證明,是SC的一部分。
本圖引用並衍生自IEC 61511-1 Ed.2 2016 第7圖 安全生命周期圖
FSM的目的是降低或避免SIS中的系統性故障,從而提高系統性安全完整性。系統性安全完整性的概念可透過以下例子更清楚說明:
假設邏輯應用設計(主要是因果圖C&E)存在錯誤。SIS整合商以這些C&E進行工程設計,但錯誤未被發現。系統由不同人員進行內部測試,他們也未發現錯誤。接著由業主或承包商代表進行工廠驗收測試(FAT),錯誤仍未被揭示。最終系統帶著錯誤部署到現場,這就是所謂的系統性故障。而解決系統性故障的唯一方法是修改C&E。FSM旨在降低或避免系統性故障,換句話說,就是「發現隱藏的錯誤」。
那麼,應如何實施呢?
- 在專案中使用(已證明的)具能力人員(如業主、承包商/EPC、SIS整合商等)。知識豐富且經驗足夠的人員能更早發現錯誤。
- 確保專案以結構化和有紀律的方式執行。不做臨時口頭更改,而是採用設計凍結和變更包,並指派專案經理以結構化方式管理專案。
- 使用程序、工具和範本。雖然可將前一專案的文件複製再利用,但這可能導致模板中未在前一專案使用的項目被忽略,進而引發設計錯誤或大量返工。此外,某些客戶專屬安全要求可能被錯誤套用到新專案中。
- 透過文件審查進行設計驗證,審查者應與文件作者不同且具能力。
- 使用結構化且文件化的測試程序對設計進行測試,測試人員應與工程師不同。請注意,在「運行中」的系統無法(或不允許)進行測試,因此提前全面測試是關鍵,以盡可能發現未揭示的錯誤。
- 記錄並保存所有執行的工作(保持最新)。這些測試記錄是公司面對保險公司或其他調查者索賠時的重要證據。無記錄就無證據,可能導致保險公司拒賠。確保稽核追蹤被妥善維護且為最新狀態。
當FSM系統依上述方式建立後,可透過功能安全稽核檢查其穩定性與運作情況。這些稽核可視為質性評估,與熟知的ISO系統品質稽核類似。
事實上,FSM系統可視為「超級ISO品質系統」。
與功能安全評估(FSA)一樣,功能安全稽核(FS Audit)也需由具能力且具有適當獨立性的專業人員執行。可參考功能安全評估章節中的表格以確定正確的獨立性。
例如,對於SIL 3等級的SIF,需由獨立組織證明FSM系統適用,因此需要SC3。FSM系統也可選擇由公告機構(如TÜV Rheinland)認證,但IEC標準並未要求正式認證,因此SC也可透過「自我聲明」表達。但自我聲明背後必須有FSM稽核報告作為證據。
客戶挑戰
許多客戶未意識到他們也負有FSM/系統性能力的責任。他們認為只要SIF符合所需SIL等級(即硬體安全完整性),就算完成義務。然而,這並不正確。如果客戶未建立符合其安裝中最高SIL等級的FSM系統,則無法宣稱SIL。
我們的解決方案
Yokogawa擁有全球最多TÜV Rheinland認證的辦公室,對建立與維護FSM系統具有豐富經驗。我們可對貴公司進行FSM稽核,從快速檢查FSM準備狀態到全面FSM稽核皆可執行。若最終目標是由公告機構認證,我們可協助準備工作,評估貴公司的準備狀況。
Yokogawa內部每年均由功能安全專家稽核各辦公室執行的FSM落實情況。由於FSM主要關注硬體周邊的組織管理,一些Yokogawa稽核員也曾對其他公司或使用者進行獨立FSA稽核,無論是否使用Yokogawa硬體。
客戶效益
Yokogawa的功能安全專家可對貴組織進行獨立功能安全稽核,審查FSM的實施、流程、程序、工具與範本,並撰寫報告。無論客戶安裝或選擇的硬體品牌為何,均可進行評估。稽核中會識別差距並提出改進建議,以提升功能安全。根據FSM稽核報告,客戶可選擇透過自我聲明方式發表系統性能力(SC)。Yokogawa擁有全球認證的功能安全專家網絡,以確保FSM合規性。」
想了解更多技術&解決方案嗎?
聯絡我們