ISO 13849-1:2015(E)

－ 1－

目錄

節次頁次

1. 適用範圍 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2 . 引用標準 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

3 . 用語、定義、符號及縮寫用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 .1 用語及定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 .2 符號及縮寫用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

4 .設計考量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

4 .1 設計之安全目標 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

4 .2 風險降低之策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

4 .3 決定所要求性能等級 (PL r) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4 .4 SRP/CS 之設計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4 .5 評估達成之性能等級 (PL)及其與 SIL 的關係 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

4 .6 軟體安全要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

4 .7 查證達到之 PL 滿足 PL r . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

4 .8 設計之人體工學層面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

5 .安全功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

5 .1 安全功能之規格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

5 .2 安全功能之細節 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

6 .類別與各通道 MTTFD、DC a v g 及 CCF 的關係 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

6 .1 一般 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

6 .2 類別之規格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

6 .3 組合 SRP/CS 以達成整體 PL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

7 .故障考量、故障排除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

7 .1 一般 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

7 .2 故障考量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

7 .3 故障排除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

8 .確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

9 .維護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

10.技術文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

11.使用資訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

附錄 A (參考 ) 要求性能等級 (PL r)之決定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

附錄 B (參考 ) 方塊法及安全相關方塊圖 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

附錄 C (參考 ) 計算或評估單一構件之 MTTF D 值 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

－ 2－

附錄 D (參考 ) 各通道 MTTFD 之簡化估計方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

附錄 E (參考 ) 功能及模組之診斷涵蓋率 (DC)的估計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

附錄 F (參考 ) 共因失效 (CCF)之估計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

附錄 G (參考 ) 系統性失效 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

附錄 H (參考 ) 控制系統數個安全相關部分之組合範例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

附錄 I (參考 ) 範例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

附錄 J (參考 ) 軟體 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

附錄 K (參考 ) 圖 5 數值呈現 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

參考資料 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

ISO 13849-1:2015(E)

－ 3－

前言

本標準係依據 2015 年發行之第 3 版 ISO 13849-1，不變更技術內容，制定成為中華民

國國家標準者。

本標準係依標準法之規定，經國家標準審查委員會審定，由主管機關公布之中華民國

國家標準。

依標準法第四條之規定，國家標準採自願性方式實施。但經各該目的事業主管機關引

用全部或部分內容為法規者，從其規定。

本標準並未建議所有安全事項，使用本標準前應適當建立相關維護安全與健康作業，

並且遵守相關法規之規定。

本標準之部分內容，可能涉及專利權、商標權與著作權，主管機關及標準專責機關不

負責任何或所有此類專利權、商標權與著作權之鑑別。

－ 4－

1. 適用範圍

本標準提供控制系統安全相關部分 (SRP/CS)之設計及整合原則的安全要求以及指

引，包括軟體設計。本標準規範 SRP/CS 的特性，其包括執行安全功能所需的性能

等級。本標準適用於所有類型機械之高需求及連續模式的 SRP/CS，不管其所用的

技術或能量類型 (電氣、液壓、氣壓及機械等 )為何。

本標準未規定使用於特定情形的安全功能或性能等級。

本標準對使用可程式電子系統的 SRP/CS 提供特定要求。

本標準並未對 SRP/CS 之零件的產品設計，給予明確之要求。但可使用如類型或性

能等級等原則。

備考 1： SRP/CS 之零件的產品範例：繼電器、電磁閥、位置開關、 PLC(可程式邏

輯控制器 )、馬達控制單元、雙手控制裝置及壓敏配備。設計此類產品，務

必參照特定適用的國際標準，例：ISO 13851、ISO 13856-1 及 ISO 13856 -2。

備考 2：要求性能等級的定義，參照 3.1.24。

備考 3：本標準所提供的可程式電子系統之要求，與 IEC 62061 對機械的安全相關

電氣、電子及可程式電子控制系統所規定的設計及開發方法相容。

備考 4：對 PL r=e 之構件的安全相關內嵌軟體，參照 IEC 61508-3 :1998 之第 7 節。

2. 引用標準

下列標準因本標準所引用，成為本標準之一部分。有加註年分者，適用該年分之版

次，不適用於其後之修訂版 (包括補充增修 )。無加註年分者，適用該最新版 (包括補

充增修 )。

ISO 12100:2010 Safe ty o f machinery − Genera l pr incip les for des ign − Risk

assessment and r i sk reduction

ISO 13849-2:2012 Safe ty–re la ted par ts o f cont rol sys tems − Par t2: Val idat ion

IEC 60050-191:1990 Interna tional electro technica l vocabulary – Chapter 191:

Dependabil i ty and quali ty o f service. Amended by IEC

60050-191-am1:1999 and IEC 60050 -191-am2:2002:1999

IEC 61508-3:2010 Functional safe ty o f electr ica l /e lec tronic/programmable

elec tronic safety– re la ted sys tems–Part3 : Software

requirements. Correc ted by IEC 61508 -3/Cor.1:1999

IEC 61508-4:2010 Functional safe ty o f electr ica l /e lec tronic/programmable

elec tronic safety– re la ted sys tems–Part4 : Defini t ions and

abbreviat ions. Correc ted by IEC 61508 -4/Cor.1:1999

IEC 62061:2012 Safe ty o f machinery – Functional safety o f safe ty– re la ted

elec tr ica l , e lec tronic and programmable electronic control

sys tems

ISO/TR 22100 -2 :2013 Safe ty o f machinery–Relat ionship wi th ISO 12100 –Part

2:Ho w ISO 12100 relates to ISO 13849 -1

ISO/TR 23849 Guidance on the appl icat ion of ISO 13849 -1 and IEC 62061 in

ISO 13849-1:2015(E)

－ 5－

the des ign of safety-re la ted control sys tems for machinery

3. 用語、定義、符號及縮寫用語

3 .1 用語及定義

除下列名詞外，本標準亦使用 ISO 12100 及 IEC 60050-191 的用語及定義。

3.1.1 控制系統之安全相關部分 (safety-related part of a contro l system)(SRP/CS)

為控制系統的一部分，其回應安全相關輸入信號並產生安全相關輸出信號。

備考 1. 控制系統的組合式安全相關部分，從安全相關輸入信號的啟動點 (包括

如致動凸輪及位置開關的滾子 )開始，至動力控制元件的輸出 (包括如接

觸器的主接點 )結束。

備考 2. 若監控系統用於診斷，其亦視為 SRP/CS。

3.1.2 類別 (category)

控制系統的安全相關部分，依其對於故障的阻抗性及在故障狀況下的因應行為

作分類。其由零件的結構配置、故障偵測及 /或其可靠度來達成。

3.1.3 故障 ( fault)

一項目無法執行所要求功能之狀態，但不包括在預防性維護或其他已規劃的動

作時，或缺乏外部資源所造成的失能。

備考 1. 故障通常源自於項目本身的失效，但亦可能在失效前就存在。

備考 2. 本標準的〝故障〞係指隨機故障。

[參照： IEC 60050 -191:1990 之 05-01]

3.1.4 失效 ( fai lure)

一項目終止執行所要求功能之能力。

備考 1. 在失效後，該項目即故障。

備考 2. 〝失效〞為事件，〝故障〞則為狀態。

備考 3. 此定義的概念並不適用於僅由軟體組成之項目。

備考 4. 僅影響受控製程可用性的失效，不在本標準範圍內。

[參照： IEC 60050 -191:1990 之 04-01]

3.1.5 危險性失效 (dangerous fai lure)

有可能讓 SRP/CS 處於危害或無法運作狀態之失效。

備考 1. 此潛在失效是否成真，取決於系統的通道架構。在備援系統中，一危險

性硬體失效較不可能會引起整體危害或無法運作的狀態。

備考 2. [參照： IEC 61508-4 之 3.6.7 , modif ied ]

3.1.6 共因失效 (co mmon cause fa ilure , CCF)

源自於單一事件，不同項目之失效，且此等失效彼此無因果關係。

備考：共因失效不應與共模失效混淆 (參照： ISO 12100:2010 之 3.36)。

[參照： IEC 60050 -191-am1:1999 之 04-23]

3.1.7 系統性失效 (systematic fai lure)

－ 6－

與某一原因有確定性關聯的失效，其僅能經由設計或製程、操作程序、文件或

其他相關因素之修改才能排除。

備考 1. 僅做矯正性維護而不做修改，通常無法排除失效原因。

備考 2. 模擬失效原因可引起系統性失效。

備考 3. 系統性失效之原因的範例包括在下列各項中之人為失誤。

－安全要求規範。

－硬體之設計、製造、安裝及操作。

－軟體之設計及施作等。

[參照： IEC 60050-191:1990 之 04-19]

3.1.8 靜默 (mut ing)

由 SRP/CS 暫時自動擱置安全功能。

3.1.9 手動重置 (manual reset)

SRP/CS 中之功能，在再起動機器前以手動復原一項或多項安全功能。

3.1.10 傷害 (harm)

身體受傷或損及健康。

[參照： ISO 12100:2010 之 3.5]

3.1.11 危害 (hazard)

傷害的潛在來源。

備考 1. 可形容危害以定義其來源 (例：機械危害及電氣危害 )或潛在傷害的本

質 (例：觸電危害、割傷危害、中毒危害及火災危害 )。

備考 2. 本定義所稱危害係指：

－在機器預定使用期間永遠存在的危害 (例：危害之活動零件的運動、

焊接時的電弧、不良的姿勢、噪音排放、高溫 )。

－無法預期的危害 (例：爆炸、非蓄意 /非預期起動所造成的擠壓危害、

斷裂所造成的射出及加速 /減速所造成的掉落 )。

[參照： ISO 12100:2010 之 3.6 , modif ied]

3.1.12 危害狀況 (hazardous s ituation)

人員暴露於至少一種危害的情形。

備考：此暴露可能立即或經一段時間後造成傷害。

[參照： ISO 12100:2010 之 3.10]

3.1.13 風險 (risk)

傷害的發生機率及嚴重性的組合。

[參照： ISO 12100:2010 之 3.12]

ISO 13849-1:2015(E)

－ 7－

3.1.14 殘餘風險 (residual risk)

在採取保護措施後，仍存在的風險。

備考：參照圖 2。

[參照： ISO 12100:2010 之 3.13, modif ied]

3.1.15 風險評鑑 (risk assessment)

包括風險分析及風險評估的整體過程。

[參照： ISO 12100:2010 之 3.17]

3.1.16 風險分析 (risk analysis)

機器限界規格、危害鑑別及風險估計的組合。

[參照： ISO 12100:2010 之 3.15]

3.1.17 風險評估 (risk evaluat ion)

基於風險分析，判定是否達成風險降低的目標。

[參照： ISO 12100:2010 之 3.16]

3.1.18 機器預定用途 ( intended use of a machine)

依據使用說明提供之資訊使用機器。

[參照： ISO 12100:2010 之 3.23]

3.1.19 合理可預見之誤用 (reasonably foreseeable misuse)

可能來自容易預測的人員行為，而以非設計者預定的方式使用機器。

[參照： ISO 12100:2010 之 3.24]

3.1.20 安全功能 (safety function)

機器的功能，其失效可能會導致立即提高風險。

[參照： ISO 12100:2010 之 3.30]

3.1.21 監控 (monitoring)

此安全功能會在構件或元件減弱執行其功能之能力時，或製程條件改變而減少

風險降低的幅度時，確保保護措施會啟動。

3.1.22 可程式電子系統 (progra mmable e lectronic system, PES)

由一個或多個可程式電子裝置之操作，執行控制、保護或監控的系統，包括系

統的所有元件，例：電源供應器、感測器及其他輸入裝置、接觸器以及其他輸

出裝置。

[參照： IEC 61508 -4:1998 之 3.3.2 , modif ied]

3.1.23 性能等級 (performance leve l , PL)

一種離散式等級，用以指定控制系統安全相關部分的能力，以在可預見的條件

下執行安全功能。

備考：參照 4.5.1。

3.1.24 要求性能等級 (required performace leve l , PL r)

對各安全功能，為達到要求的風險降低而適用之性能等級 (PL)。

－ 8－

備考：參照圖 2 及附錄 A.1。

3.1.25 至危險性失效平均時間 (mean t ime to dangerous fai lure , MTTF D)

至危險性失效之平均時間的期望值。

[參照： IEC 62061:2005 之 3.2.34 , modif ied]

3.1.26 診斷涵蓋率 (diagnostic coverage , DC)

診斷有效性的評量，其以偵測到的危險性失效的失效率與所有危險性失效之失

效率的比值決定之。

備考：診斷涵蓋率適用於部分或整個安全相關系統，例：診斷涵蓋率適用於感

測器及 /或邏輯系統及 /或最終元件。

[參照： IEC51508-4 :1998 之 3.8.6 , modif ied]

3.1.27 保護措施 (protect ive measure)

預定達到風險降低的措施。

範例 1. 由設計者施行：本質設計、安全防護及補充保護措施，以及使用資訊。

範例 2. 由使用者施行：組織 (安全工作程序、監督、工作許可系統 )、提供及

使用額外安全防護裝置、個人防護具及訓練。

[參照： ISO 12100:2010 之 3.19, modif ied]

3.1.28 任務時間 (miss ion t ime , T M)

涵蓋 SRP/CS 預定使用之期間。

3.1.29 試驗率 ( test rate , r t)

偵測 SRP/CS 內部故障的自動試驗頻率，為診斷試驗間隔的倒數。

3.1.30 需求率 (demend rate , rD)

對 SRP/CS 安全相關動作的需求頻率。

3.1.31 修理率 (repair rate , r r)

從線上試驗或系統明顯功能異常而偵測到危險性失效，到修理或更換系統 /構

件後再起動操作此段期間的倒數。

備考：修理時間不包括偵測失效所需的時間。

3.1.32 機器控制系統 (machine control system)

此系統會回應來自機器元件之零件、操作員、外部控制設備或任何此等之組合

的輸入信號，並產生輸出信號讓機器以預定方式運轉。

備考：機器控制系統可使用任何單一技術或組合不同技術 (例：電氣 /電子、液

壓、氣壓及機械 )。

3.1.33 安全完整性等級 ( safety integrity leve l , SIL)

一種離散式等級 (4 個可能等級之一 )，用來指定分配至電氣 /電子 /可程式電子安

全相關系統安全功能的安全完整性要求。等級 4 為最高安全完整性等級，而等

級 1 則為最低。

[參照： IEC 61508-4:1998 之 3.5.6]

ISO 13849-1:2015(E)

－ 9－

3.1.34 有限變異性語言 ( l imited variabi l i ty language , LVL)

為一種語言，提供結合預先定義的應用專屬程式庫函數之能力，以執行安全要

求規範。

備考 1. LVL 之典型範例 (階梯邏輯及功能方塊圖 )參照 IEC 61131-3。

備考 2. PLC 是使用 LVL 之系統的典型範例。

[參照： IEC61511 -1 :2003 之 3.2.80 .1.2 , modified]

3.1.35 完整變異性語言 ( ful l var iabil ity language , FVL)

為一種語言，提供執行多種函數及應用之能力。

範例： C 語言、 C++語言及組合語言。

備考 1. 嵌入式系統是使用 FVL 之典型範例。

備考 2. 在機械領域， FVL 通常使用於嵌入式軟體內，較少使用於應用軟體。

[參照： IEC 61511 -1:2003 之 3.2.80 .1.3 , modified]

3.1.36 應用軟體 (application software)

由機器製造商所建立之應用專屬軟體，通常內含邏輯序列、限界及運算表式式，

其控制適當的輸入、輸出、計算及決策，以符合 SRP/CS 的要求。

3.1.37 嵌入式軟體 (embedded software)

韌體 ( f irmware)

系統軟體 ( sys tem software)

此軟體為系統的一部分，由控制器製造商所提供，機械使用者無法進入而修改

之。

備考：嵌入式軟體通常以 FVL 撰寫。

3.1.38 高需求或連續模式 (high demand or continuous mode)

對 SRP/CS 的需求頻率超過一年一次，或作為正常操作的一部分，安全相關控

制功能將機器保持在安全狀態的一種操作模式。

[參照： IEC 62061:2015 之 3.2.27 , modif ied]

3.1.39 經使用驗證 (proven in use)

依特定元件配置之操作經驗分析，證明危險的系統性故障之可能性非常低，以

致使用該元件之每項安全功能皆達到所要求的性能等級 (PL r )。

[參照： IEC 61508 -4:2010 之 3.8.18 , modif ied]

3.2 符號及縮寫用語

參照表 1。

表 1 符號及縮寫用語

符號或縮寫描述定義或出處

a, b , c , d , e 性能等級代號表 3

AOPD 主動式光電保護裝置（例：光障礙器）附錄 H

B, 1 , 2 , 3 , 4 類別代號表 7

－ 10－

表 1 符號及縮寫用語 (續 )


B 1 0 D 至 10％構件發生危險性失效的週期數（適用於氣動及

機電構件）

附錄 C

Cat. 類別 3 .1 .2

CC 電流轉換器附錄 I

CCF 共因失效 3 .1 .6

DC 診斷涵蓋率 3 .1 .26

DC a v g 平均診斷涵蓋率 E.2

F, F1, F2 暴露於危害的頻率及 /或時間 A.2.2

FB 功能方塊 4 .6 .3

FVL 完整變異性語言 3 .1 .35

FMEA 失效模式及效應分析 7 .2

I , I1 , I2 輸入裝置，如感測器 6 .2

i , j 計數指標附錄 D

I/O 輸入 /輸出表 E.1

i a b , ib c 互聯方式圖 4

K1A, K1B 接觸器附錄 I

L, L1, L2 邏輯 6 .2

LVL 有限變異性語言 3 .1 .34

M 馬達附錄 I

MTTF 至失效之平均時間附錄 C

MTTFD 至危險失效之平均時間 3 .1 .25

n, N, Ñ 項目數量 6 .3，D.1

N l o w 在 SRP/CS 之組合中具 PL l o w 的 SRP/CS 數量 6 .3

n o p 年操作平均數附錄 C

O, O1, O2,

OTE

輸出裝置，如致動器 6 .2

P , P1, P2 避免危害的可能性 A.2.3

PES 可程式電子系統 3 .1 .22

PFHD 每小時危險性失效的平均機率表 3 及表 K.1

PL 性能等級 3 .1 .23

PLC 可程式邏輯控制器附錄 I

PL l o w 在 SRP/CS 組合中，一 SRP/CS 的最低性能等級 6 .3

PL r 所要求性能等級 3 .1 .24

rD 需求率 3 .1 .30

r t 試驗率 3 .1 .29

RS 旋轉感測器附錄 I

S, S1, S2 受傷嚴重程度 A.2.1

SW1A, SW1B,

SW2

位置開關附錄 I

SIL 安全完整性等級表 4

SRASW 安全相關應用軟體 4 .6 .3

SRESW 安全相關嵌入式軟體 4 .6 .2

SRP 安全相關部分一般

ISO 13849-1:2015(E)

－ 11－

表 1 符號及縮寫用語 (續 )


SRP/CS 控制系統之安全相關部分 3 .1 .1

TE 試驗設備 6 .2

TM 任務時間 3 .1 .28

T1 0 D 至 10%構件危險性失效之平均時間附錄 C

4.設計考量

4 .1 設計之安全目標

SRP/CS 之設計及建構應完全考量 ISO 12100 的原則 (參照圖 1 及圖 3)。應考慮所

有預定用途及合理可預見的誤用。

－ 12－

a 參照 ISO 12100:2010

b 參照本標準

圖 1 風險評鑑 /風險降低總覽

開始

決定機械之限界

(參照 5.3a)

危害鑑別

(參照條文 4 及 5.4a)

風險估計

(參照 5.5a)

風險評估

(參閱 5.6a)

風險是否已

適當降低？

依 ISO 12100

執行風險評鑑

是

是

否

否

是

否

對每一種使用 (任務 )條

件下之每一項危害，應

分別執行此風險降低

的迭代流程。

是否產生其

他危害？

結束

對該危害之風險降低

流程：

1 . 藉由本質安全設計

2 . 藉由安全防護裝置

3 . 藉由使用資訊

(參照圖 1a)

控制系統安全相關部分

(SRP/CS)之設計的迭代流程

(參照圖 3b)

所選保護措施

是否取決於控

制系統？

ISO 13849-1:2015(E)

－ 13－

4.2 風險降低之策略

4 .2 .1 一般

ISO 12100:2010 之 6.1 提供在機器上風險降低的策略，進一步的指引參照 ISO

12100:2010 之 6.2(本質設計措施 )及 6.3(安全防護及補充保護措施 )。此策略涵蓋

機器整個壽命期。

機器的危害分析及風險降低流程，要求藉由下列階層式措施排除或降低危害：

－藉由設計排除危害或降低風險 (參照 ISO 12100:2010 之 6.2)。

－藉由安全防護及可能的補充保護措施降低風險 (參照 ISO 12100:2010 之

6.3)。

－藉由提供關於殘留風險的使用資訊降低風險 (參照 ISO 12100:2010 之 6.4)。

4.2.2 控制系統對風險降低的成效

遵循機器整體設計程序之目的是為達成安全目標 (參照 4.1)。設計 SRP/CS 以提

供所要求之風險降低，是機器整體設計程序中不可或缺的一部分。SRP/CS 提供

可達到所要求之風險降低的 PL 之安全功能。如以設計的本質安全部份，或者以

聯鎖防護裝置或保護裝置之控制，提供安全功能時，SRP/CS 之設計為風險降低

之策略的一部分。此為一迭代流程，並圖示於圖 1 及圖 3。

備考：控制系統的非安全相關部分或機器的純功能性元件，不需實施此風險降

低策略 (參照 ISO/TR 22100-2 :2013 之第 3 節 )。

每項安全功能皆應指定其特性 (參照第 5 節 )及所要求的性能等級，並記錄於安全

要求規範中。

在本標準中，性能等級以每小時危險性失效之機率定義之。以每小時危險性失

效之機率定義範圍，分為五個性能等級，從最低 P L a 到最高 P L e (參照表 2)。

為達到 PL，除量化層面外，亦必須滿足與 PL 定性層面有關之要求 (參照 4.5)

表 2 性能等級 (PL)

PL 每小時危險性失效的平均機率 (PFHD )

1/h

a ≥10－ 5

至＜ 10－ 4

b ≥3 x 10－ 6

至＜ 10－ 5

c ≥10－ 6

至＜ 3 x 10－ 6

d ≥10－ 7

至＜ 10－ 6

e ≥10－ 8

至＜ 10－ 7

從機器的風險評鑑 (參照 ISO 12100)，設計者應決定 SRP/CS 執行每項安全相關

功能所需提供的風險降低成效。此成效並不涵蓋受控機械的整體風險，例：不

考慮機械衝床或洗衣機的整體風險，但應考量因使用特定安全功能而降低的風

險。此功能之範例為，衝床上電敏保護裝置啟動的停止功能，或洗衣機的機門

－ 14－

上鎖功能。

可運用各種保護措施 (SRP/CS 及非 SRP/CS)，以達到安全情況的最終結果，達成

風險降低 (參照圖 2)。

說明

Rh 對特定的危害情況，在採取保護措施前的風險。

R r 保護措施被要求的風險降低。

R a 以保護措施達成的實際風險降低。

1 解決方案 1 – 非 SRP/CS 之保護措施 (如機械措施 )降低的風險較

多，而 SRP/CS 降低的風險較少。

2 解決方案 2 – SRP/CS(如光幕 )降低的風險較多，而非 SRP/CS 之保護

措施 (如機械措施 )降低的風險較少。

3 已充分降低之風險。

4 未充分降低之風險。

R 風險。

a 實施解決方案 1 及 2 後的殘留風險。

b 已充分降低之風險。

R1 S R P / C S

R2 S R P / C S 來自 SRP/CS 執行安全功能後的風險降低。

R1M、 R2 M 來自非 SRP/CS 的保護措施 (如機械措施 )之風險降低。

備考：對風險降低之進一步資訊，參照 ISO 12100。

圖 2 對每一危害情況的風險降低流程總覽

ISO 13849-1:2015(E)

－ 15－

a ISO 13849 -2 對確認提供額外協助。

圖 3 控制系統安全相關部分 (SRP/CS)的設計迭代流程

由圖 1

鑑別將由 SRP/CS 執行之安全功能

對每項安全功能指定應具備的特性

(參照第 5 節 )

對所選

的每項

安全功

能

決定所要求性能等級 PL r

(參照 4.3 及附錄 A)

安全功能的設計及技術實現：

鑑別執行安全功能的安全相關

部分 (參照 4.4)

評估性能等級 (PL)(參照 4.5)並考量 : －類別 (參照第 6 節 ) － MTTFD(參照附錄 C 及 D) － DC(參照附錄 E) － CCF(參照附錄 F) －系統性失效 (參照附錄 G) －若存在，上述安全相關部分的軟體 (參照 4.6 及附錄 J)

查證安全功能的 PL

是否為 PL ≥ PL r

(參照 4.7 節 )

確認 (參照第 8 節 a)

是否滿足所有要

求？

是否已分析所有

安全功能？

至圖 1

是

是

是

否

否

否

－ 16－

4.3 決定所要求性能等級 (PL r)

對每一選定由 SRP/CS 執行的安全功能，應決定其要求性能等級 (PL r )並作成文件

(有關決定 PL r 之指引，參照附錄 A)。所要求性能等級依風險評鑑的結果決定之，

並考量控制系統安全相關部分所欲執行的風險降低量 (參照圖 2)。

SRP/CS 被要求提供的風險降低量越高，則 PL r 應越高。

4.4 SRP/CS 之設計

決定機器的安全功能是風險降低流程的一部分。此部分流程包括控制系統的安全

功能，如防止非預期起動。

一個安全功能可由一個或多個 SRP/CS 施行，多個安全功能可由一個或多個

SRP/CS(例：邏輯單元或動力控制元件 )分擔。也可能由一個 SRP/CS 施行安全功

能及標準控制功能。設計者可使用單一或組合之任何可用技術。SRP/CS 亦可提供

操作性功能 (例：作為周期啟動 (Cycle Ini t ia t ion)方式的主動式光電保護裝置

(AOPD))。

圖 4 給予典型的安全功能圖解，顯示用於下列各項的控制系統安全相關部分

(SRP/CS)的組合。

－輸入 (SRP/CS a)。

－邏輯 /處理 (SRP/CS b)。

－輸出 /動力控制元件 (SRP/CS c)。

－互聯方式 ( i a b、 i b c) (例：電氣式或光學式 )。

備考 1. 需區別同一台機械內的不同安全功能及執行其一安全功能的相關

SRP/CS。

在鑑別控制系統的安全功能後，設計者應鑑別 SRP/CS(參照圖 1 及 3)，並在需要

時，應將 SPR/CS 分派給輸入、邏輯及輸出，及在備援情形下之個別通道，然後

評估性能等級 PL(參照圖 3)。

備考 2. 第 6 節給予指定架構。

備考 3. 所有互聯方式包含在安全相關部分中。

ISO 13849-1:2015(E)

－ 17－

說明

I 輸入 (例：極限開關、感測器或 AOPD)

L 邏輯

O 輸出 (例：閥、接觸器或電流轉換器）

1 啟動事件 (例：手動致動按鈕、打開防護裝置或阻斷 AOPD 光束 )

2 機器致動器 (例：馬達或氣缸 )

圖 4 控制系統安全相關部分組合處理典型安全功能的圖解

4.5 評估達成之性能等級 (PL)及其與 SIL 的關係

4 .5 .1 性能等級 (PL)

在本標準中，藉由性能等級之決定，表示安全相關部分執行安全功能的能力。

應對執行安全功能的每一選定 SRP/CS 及 /或 SRP/CS 之組合，實施性能等級評

估。

SRP/CS 的性能等級應由下列層面的估計決定之。

－單一構件的 MTTFD 值 (參照附錄 C 及附錄 D)。

－ DC(參照附錄 E)。

－ CCF(參照附錄 F)。

－結構 (參照第 6 節 )。

－安全功能在故障條件下的行為 (參照第 6 節 )。

－安全相關軟體 (參照 4.6 及附錄 J)。

－系統性失效 (參照附錄 G)。

－在預期的環境條件下，執行安全功能的能力。

備考 1. 其他參數 (例：操作層面、需求率及試驗率 )可能有些影響。

此等層面可用與評估流程有關的下列 2 方法加以分組。

(a) 可量化的層面 (單一構件的 MTTFD 值、DC、 CCF 及結構 )。

(b) 不可量化且會影響 SRP/CS 行為的定性層面 (安全功能在故障情況下的行為、

安全相關軟體、系統性失效及環境條件 )。

在可量化層面中，可靠度 (例：MTTFD 及結構 )的影響會依所使用的技術而異。

例如，在一技術中，高可靠度安全相關部分的單一通道，可能 (在某些限制內 )

提供與另一技術中較低可靠度之容錯結構相同或更高的 PL。

有許多方法可用來估計任何形式系統 (如複雜的結構 )的 PL 量化層面，例：馬可

夫模型 (Markov model)、廣義隨機 Petr i 網 (GSPN)及可靠度方塊圖 (參照，如 IEC

－ 18－

61508)。

為更容易評鑑 PL 的可量化層面，本標準根據 5 種指定架構的定義，提供一簡化

方法，此等架構皆符合特定的設計準則，及在故障情形下的行為 (參照 4.5.4)。

可利用圖 5 與附錄 A 至附錄 H、附錄 J 及附錄 K 的程序，估計依第 6 節要求設

計的 SRP/CS 或 SRP/CS 組合的至危險失效之平均機率。

對偏離指定架構之 SRP/CS，應提供詳細的計算，以展示達到所要求的性能等級

(PL r)。

在 SRP/CS 可視為簡易且所要求性能等級介於 a 至 c 的應用中，可在設計的基本

原則中確立 PL 的定性估計 (亦參照 4.5.5 )。

備考 2. 設計複雜的控制系統 (如設計來執行安全功能的 PES)時，應用其他相關標準 (例：

IEC 61508 或 IEC 61496)可能是適當的。

利用 4.6 及附錄 G 中的建議措施，可展示 PL 定性層面之達成。

在符合 IEC 61508 的標準中，安全相關控制系統執行安全功能的能力是以 SIL

表示。表 3 顯示兩個概念 (PLs 及 SILs)間的關係。

PL a 在 SIL 分等中並無相對應的等級，主要用來降低輕微且通常可復原的受傷

之風險。因 SIL 4 限定於製程工業中可能發生的災難性事故，所以此等級範圍

與在機器的風險無關。因此對應 SIL 3 之 PL e，定義為最高等級。

表 3 性能等級 (PL)與安全完整性等級 (SIL)間的關係

PL

SIL

(相關資訊，參照 IEC 61508－ 1)

高需求 /連續模式

a 無對應

b 1

c 1

d 2

e 3

當採用一或多個 SRP/CS 設計安全相關控制功能時，各 SRP/CS 之設計應依本標

準或依 IEC 62061/IEC 61508(亦參照 ISO/TR 23849)，儘管本標準之 PL 與 IEC

61508 及 IEC 62061 之 SIL 間有對應關係。 SRP/CS 之結合，依 6.3。

因此應採取保護措施以降低風險，主要為下列各項。

－降低在構件層級之故障機率。此目標為降低影響安全功能之失效或故障的機

率。增加構件的可靠度可達到此目標，例：由選擇充分試用的構件及 /或應

用充分試用的安全原則，而將關鍵的故障或失效發生的機率降至最低或完全

排除 (參照 ISO 13849 -2)。

－改善 SRP/CS 的結構。此目標為避免故障所產生的危險性效應。某些故障可

偵測到，並可能需要備援及 /或具監控的結構。

以上兩種措施可個別使用或組合運用。運用某些技術時，可藉由選用可靠的構

ISO 13849-1:2015(E)

－ 19－

件及故障排除達到風險降低。但在利用其他技術時，可能需要備援及 /或具監控

的系統才能降低風險。此外，共因失效 (CCF)亦應納入考量 (參照圖 3)。

關於架構之拘束，參照第 6 節。

4.5.2 每通道至危險性失效之平均時間 (MTTF D)

每通道的 MTTFD 值分為三個等級 (參照表 4)，並應個別考量每一通道 (例：單一

通道及備援系統的每一通道 )。

依表 5，對各 SRP/CS(子系統 )，各通道之 MTTFD 最大值為 100 年。對第類別

4SRP/CS(子系統 )，各通道之 MTTFD 最大值增加至 2,500 年。

備考：此較高值係合理，因在第類別 4 中，結構及 DC 等其他可量化層面在其

最大值，此允許串聯組合 3 個以上具第類別 4 子系統 (SRP/CS)，並依 6.3

達到 PL e。

表 4 每通道至危險性失效之平均時間 (MTTFD)

MTTFD

每通道之等級每通道之範圍

低 3 年 ≤ MTTFD < 10 年

中 10 年 ≤ MTTFD < 30 年

高 30 年 ≤ MTTFD ≤ 100 年

備考 1. 每通道 MTTFD 範圍之選擇，皆根據最近在現場取得的失效率，並形成

與 PL 之對數刻度相配合的對數刻度。就實際的 SRP/CS 而言，每通道

的 MTTFD 值通常不會少於 3 年，少於此數值即表示市售的所有系統在

一年後會有約 30％失效且需要更換。每通道的 MTTFD 值大於 100 年不

被接受，因在高風險的 SRP/CS 不應僅依賴構件的可靠度。應需要額外

方式如備援及測試，以強化 SRP/CS 對系統性及隨機性失效之防範。為

求實務可行，MTTFD 值之範圍數目限制為 3。每通道的 MTTFD 最大值

以 100 年為限，僅適用於執行安全功能的 SRP/CS 之單一通道。單一構

件可使用較高的 MTTF D 值 (參照表 D.1)。

備考 2. 此表指示的界限，假設在 5% 準確度內。

為估計構件的 MTTFD，應依下列順序提供蒐集數據的階層式程序：

(a) 使用製造商的數據。

(b) 使用附錄 C 及附錄 D 中的方法。

(c) 選擇 10 年。

4.5.3 診斷涵蓋率 (DC)

DC 的值分為 4 個等級 (參照表 5)。

在多數情況中，可利用失效模式及效應分析 (FMEA，參照 IEC 60812)或類似的

方法估計 DC。在此情況下，所有相關故障及 /或失效模式皆應納入考量。DC 的

簡化估計方法，參照附錄 E。

－ 20－

備考：診斷涵蓋率 (DC)之估計範例，參照附錄 E。

表 5 診斷涵蓋率 (DC)

DC

等級範圍

無 DC < 60％

低 60％ ≤ DC < 90％

中 90％ ≤ DC < 99％

高 99％ ≤ DC

備考 1. 由數個零件組成的 SRP/CS，在圖 5、第 6 節及 E.2 中，使用平均值 DCavg

作為 DC。

備考 2. DC 範圍之選擇，依關鍵值 60％、 90％及 99％，此等值亦使用於其他

關於試驗診斷涵蓋率的標準 (如 IEC 61508)。研究顯示， (1–DC)而非

DC 本身才是試驗有效性的衡量指標。關鍵值 60％、90％及 99％的 (1–

DC)形成一種對 PL 對數刻度相配合的對數刻度。小於 60％的 DC 值，

對受測系統的可靠度僅有些微效應，因此在此定為〝無〞。對於複雜

的系統，DC 值要大於 99％很難達成。為求實用，範圍之數目限制為 4。

此表中的指示界限假設在 5％的準確度內。

4.5.4 估計 PL 可量化層面之簡化流程

可由考量所有相關之參數及適當的計算方法，估計 PL(參照 4.5.1)。

本節根據指定架構，描述一種估計 SRP/CS 之 PL 在可量化層面的簡化流程。某

些擁有類似結構的其他架構，可轉換成此等指定架構，以估計 PL。

指定架構以方塊圖呈現，並列於 6.2 每個類別的內容中。6 .2 及附錄 B 中提供關

於方塊法及安全相關方塊圖的資訊。

指定架構顯示各類別之系統結構的邏輯呈現。技術實現或如功能迴路圖等可能

看起來完全不一樣。

繪製組合之 SRP/CS 指定架構，由安全相關信號啟動點開始，至動力控制元件的

輸出結束 (亦參照 ISO 12100:2010 之附錄 A)。指定架構亦用以描述對輸入信號

做出反應，並產生安全相關輸出信號之控制系統的部分或次部分。因此，〝輸入〞

元件，可代表如光幕 (AOPD)及控制邏輯元件之輸入迴路或輸入開關。〝輸出〞

亦可代表如輸出信號切換裝置 (OSSD)或雷射掃瞄器之輸出等。

此等指定架構是基於下列典型假設。

－任務時間， 20 年 (參照第 10 節 )。

－在任務時間內，具恆定之失效率。

－對第類別 2，需求率 ≤ 1/100 試驗率 (亦參照附錄 K 之備考 )，或在有安全功能

需求時立即測試，且偵測到故障並使機器導至非危害情況 (通常為停止機器 )

之全部時間，短於到達危害之時間 (亦參照 ISO 13855)。

－對第類別 2，測試通道之 MTTFD 大於功能通道 MTTFD 的一半。

此方法將類別視為有定義 DC a v g 的架構。每個 SRP/CS 的 PL 取決於架構、每通

ISO 13849-1:2015(E)

－ 21－

道的至危險性失效之平均時間 (MTTFD)及 DC a v g。

共因失效 (CCF)亦應納入考量 (其指引參照附錄 F)。

對具軟體之 SRP/CS，應適用 4.6 的要求。

若無法取得或未使用量化之數據 (如低複雜性系統 )，應選擇所有相關參數的最壞

情況。

SRP/CS 之組合或單一 SRP/CS 皆可有一個 PL。6 .3 考慮數個具不同 PL 的 SRP/CS

之組合。

在具 PL r a 至 c 的應用情形中，避免故障的措施可能就已足夠。對具 PL r d 到 e

的較高風險應用，SRP/CS 的結構可提供避免、偵測或容許故障的措施。實務的

措施包括，備援、多樣及監控 (亦參照 ISO 12100:2010 之第 3 節及 IEC 60204-1 :

2005)。

圖 5 顯示結合每通道之 MTTFD 及 DC a v g 的類別選擇流程，以達到安全功能所要

求性能等級。

為估計 PL，圖 5 提供類別、DC a v g(水平軸 )及每通道之 MTTFD(直條 )的不同可能

組合。可選用圖中代表每個通道之 3 個 MTTFD 範圍 (低、中及高 )的直條，來達

到所要求的性能等級。

在使用此簡化方法及圖 5(其代表依第 6 節之指定架構的各種馬可夫模型之結果 )

之前，應決定 SRP/CS 的類別，及 DC a v g 與每通道的 MTTFD(參照第 6 節及附錄

C 至附錄 E)。

對類別 2、 3 及 4，應執行足夠的措施防範共因失效 (其指引參照附錄 F)。圖 5

將此等參數納入考量，提供一種圖形化方法以決定 SRP/CS 達到的性能等級。類

別 (包括共因失效 )與 DC a v g 的組合決定應選用圖 5 中的哪一欄位。應依據每通道

的 MTTFD，從相關欄位的 3 個不同陰影區中選擇 1 個。

此區域的垂直位置決定所達到的性能等級，其可由縱軸讀出。若此區域涵蓋 2

或 3 個可能的性能等級，即可從表 6 得到所達到的性能等級。更精確的 PL 值選

擇取決於每通道的 MTTFD 的精確值，參照附錄 K。

－ 22－

類別

B

類別 1 類別 2 類別 2 類別 3 類別 3 類別 4

DC a v g

無

DC a v g

無

DC a v g

低

DC a v g

中

DC a v g

低

DC a v g

中

DC a v g

高

說明

PL 性能等級

1 每通道的 MTTFD =低

2 每通道的 MTTFD =中

3 每通道的 MTTFD =高

圖 5 類別、DC a v g、每通道 MTTFD 與 PL 間之關係

表 6 評估 SRP/CS 所達到 PL 之簡化流程

類別 B 1 2 2 3 3 4

DC a v g 無無低中低中高

每通道的 MTTFd

低 a 未涵蓋 a b b c 未涵蓋

中 b 未涵蓋 b c c d 未涵蓋

高未涵蓋 c c d d d e

4.5.5 以類別描述 SRP/CS 輸出部分

若無機械、液壓或氣壓構件 (或包含混合技術之構件 )應用特定的可靠度數據，機

器製造商可在無任何 MTTFD 計算下，評估 PL 可量化層面。

在此情況下，以架構、診斷及防範 CCF 之措施，實現安全相關性能等級 (PL)。

表 7 顯示可達成之 PL(對應圖 5)與類別間之關係。可利用類別 B(Cat. B)實現 PL

a 及 PL b。若使用充分驗證構件及充分驗證安全原則，則可利用類別 1 或類別 2

實現 PL c。

以類別 1 實現 PL c 安全功能時，製程中未監控之安全相關構件的 T 1 0 D 值即被決

定。依機器製造商經使用驗證之數據，可決定此 T 1 0 D 值。

ISO 13849-1:2015(E)

－ 23－

類別 2 中試驗通道的 MTTFD 至少應為 10 年。

若使用充分驗證構件及充分驗證安全原則，則可利用類別 3 實現 PL d。若使用

充分驗證構件及充分驗證安全原則，可利用類別 4 實現 PL e。

基本上，在以類別 2、類別 3 或類別 4 實現安全功能時，必須考慮共因失效 (CCF)

及足夠的診斷涵蓋率 (DC)(類別 2 及類別 3 為低或中，類別 4 為高 )。

在此情況下，DC a v g 之計算可簡化為在功能通道中所有構件個別 DCs 之算術平

均值。

表 7 依類別、DC a v g 及使用充分驗證構件估計最壞情況之 PL 及 PFHD

PFHD （ 1/h）類別 B 類別 1 類別 2 類別 3 類別 4

PL a 210－ 5

• O O O O

PL b 510－ 6

• O O O O

PL c 1 .710－ 6

－ •2* •1* O O

PL d 2.910－ 7

－－－ •1* O

PL e 4 .710－ 8

－－－－ •1*

• 建議採用類別。

O 可選用類別。

－不允許類別。

1* 必須採用經使用驗證 (參照 3.1.39)或充分驗證 (構件製造商確認適合於特定

應用 )構件及充分驗證安全性原則。

2* 必須使用充分驗證構件及充分驗證安全性原則。

對流程中未監控之安全相關構件，可依機器製造商經使用驗證之數據決定 T 1 0 D

值。

4.6 軟體安全要求

4 .6 .1 一般

安全相關嵌入式或應用軟體之所有壽命期活動，主要應考慮避免在軟體壽命期

間被引進的故障 (參照圖 6)。下列要求的主要目標是讓軟體可讀、可懂、可測試

及可維護。

－ 24－

備考：附錄 J 給予更多壽命期活動的詳細建議。

圖 6 軟體安全性壽命期之簡化 V 模型

4.6.2 安全相關嵌入式軟體 (SRESW)

具 PL r a 至 d 之構件所用的 SRESW，應運用下列基本措施。

－具查證及確認活動之軟體安全壽命期，參照圖 6。

－紀錄規格及設計。

－模組化及結構化的設計及編碼。

－系統性失效之控制 (參照 G.2)。

－若使用以軟體為主的措施控制隨機硬體失效，查證是否正確實現。

－功能性測試，如黑箱測試。

－修改後，合適的軟體安全壽命期活動。

具 PL r c 或 d 之構件所用的 SRESW，應運用下列額外措施。

－使用與 IEC 61508 或 ISO 9001 同等級的專案管理及品質管理系統。

－紀錄軟體安全壽命期內的所有相關活動。

－進行組態管理，以鑑別所有與 SRESW 釋出相關的組態項目及文件。

－具安全要求及設計的結構化之規格。

－使用適當之程式語言及具使用信心的電腦工具。

－模組化及結構化程式編輯、分開非安全相關軟體、介面定義完整的長度有限

之模組以及使用設計及編碼標準。

－藉由走查 /具控制流程分析之審查，查驗編碼。

ISO 13849-1:2015(E)

－ 25－

－延伸的功能性測試，例：灰箱測試、性能測試或模擬。

－修改後，衝擊分析及合適的軟體安全壽命期活動。

對具 PL r = e 的構件， SRESW 應符合 IEC 61508-3 :1998 第 7 節，適用 SIL 3。對

使用於類別 3 或類別 4 之 SRP/CS 的 2 通道，當在規格、設計及編碼使用多樣的

情形時，即可藉由上述 PL r = c 或 d 的措施，達成 PL r =e。

備考 1. 對此類措施的詳細描述，參照 IEC 61508-7 :2000。

備考 2. 對使用於類別 3 或類別 4 的 SRP/CS 之構件，在設計及編碼具多樣情形

的 SRESW，可藉由例如只考慮結構層面，檢視軟體的各部分而非檢查

編碼的每一行，減少涉及採取措施以避免系統性失效的努力。

對不符合 SRESW 要求之構件，如製造商未提供 PLCs 之安全性等級，此等構件

可在下列替代情況使用。

－限制 SRP/CS 為 PL a 或 b 且使用類別 B、類別 2 或類別 3。

－限制 SRP/CS 為 PL c 或 d，且可在類別 2 或類別 3 中之 2 通道使用多個構件。

此 2 通道的構件使用不同技術。

4.6.3 安全相關應用軟體 (SRASW)

軟體安全壽命期 (參照圖 6)亦適用於 SRASW(參照附錄 J)。

以 LVL 編寫並符合下列要求的 SRASW，可達到 PL a 至 e。若 SRASW 是以 FVL

編寫，則應適用 SRESW 的要求且可達到 PL a 至 e。若構件中 SRASW 的一部分，

對具不同 PL 的數個安全功能有任何衝擊 (如修改所造成的衝擊 )，則應適用最高

PL 的要求。供 PL r a 至 e 構件使用的 SRASW，應運用下列的基本措施。

－具查證及確認活動之開發壽命期，參照圖 6。

－記錄規格及設計。

－將程式編輯模組化及結構化。

－功能性測試。

－修改後進行適當的開發活動。

對具 PL r = c 至 e 之構件用的 SRASW，要求或建議使用下列具增加效率的額外

措施 (對 PL r =c 較低有效度、對 PL r =d 中等有效度及對 PL r =e 較高有效度 )。

(a) 安全相關軟體規格應經審查 (亦參照附錄 J )，並讓所有參與壽命期的人員易

於取閱，內容應包含下列描述。

(1) 具所要求之 PL 及所屬操作模式的安全功能。

(2) 性能準則，如反應時間。

(3) 具外部信號介面的硬體架構。

(4) 外部失效之偵測及控制。

(b) 工具、程式庫及程式語言之選擇。

(1) 具使用信心之適當工具，對由一個構件及其工具達成的 PL = e，該工具

應符合適當的安全標準。若使用 2 個有不同工具的不同構件，有使用信

－ 26－

心即已足夠。應使用會偵測到可導致系統性錯誤的情形 (例：資料類型

不匹配、動態記憶體配置模糊、不完整呼叫的介面、遞迴及指標運算 )

之技術特性。應以編譯期間檢查為主，而非僅在程式執行期間檢查。工

具應強制使用語言子集及編碼指引，或至少監督或引導開發者使用。

(2) 一旦合理且可行時，應使用已確認的函數方塊 (FB)程式庫–可用工具製

造商提供的安全相關 FB 程式庫 (對 PL = e 高度推薦 )，或已獲確認的應

用專屬 FB 程式庫，並符合本標準之規定。

(3) 應使用適合模組化方法並經認可的 LVL 子集，如 IEC 61131-3 語言的被

接受子集。高度推薦使用圖形化語言 (例：函數方塊圖及階梯圖 )。

(c) 軟體設計應包含下列功能。

(1) 描述數據及控制流程的半正式方法，例：狀態圖或程式流程圖。

(2) 主要由函數方塊實現模組化及結構化的程式編輯，此函數方塊由已確認

的安全相關函數方塊程式庫所衍生。

(3) 有限編碼長度的函數方塊。

(4) 在應有一個入口及一個出口點的函數方塊內執行程式碼。

(5) 三階段的架構模型，輸入→處理→輸出 (參照圖 7 及附錄 J)。

(6) 僅在一程式位置指派一安全輸出。

(7) 使用偵測外部失效之技術，及可導至安全狀態的輸入、處理及輸出方塊

中防衛程式編輯之技術。

輸入方塊處理方塊輸出方塊

藉由安全性輸

入擷取各種安

全性感測器的

資訊

實現導至安全

狀態之安全功

能所要求的處

理

藉由安全性輸

出控制致動器

圖 7 軟體之一般架構模型

(d) 若 SRASW 及非 SRASW 組合在一構件中。

(1) SRASW 及非 SRASW 應在具完整定義的資料連結之不同函數方塊中編

碼。

(2) 不應有非安全相關及安全相關資料之邏輯組合，此可能導致安全相關信

號完整性降級，例如，由邏輯〝OR〞組合安全相關及非安全相關信號，

其結果控制安全相關信號。

(e) 軟體實現 /編碼。

(1) 程式碼應可讀、可瞭解及可測試，且為達此目標應使用符號變數 (而非

明確的硬體位址 )。

輸入處理輸出

ISO 13849-1:2015(E)

－ 27－

(2) 應使用已認可、可接受的編碼指引 (亦參照附錄 J)。

(3) 應使用在應用層 (防禦性程式編輯 )可用的資料完整性及似真檢查

(plausib il i ty check) (如範圍檢查 )。

(4) 程式碼應經由模擬加以測試。

(5) 對於 PL = d 或 e，應藉由控制及資料流程分析進行查證。

( f) 測試。

(1) 功能性行為及性能準則 (如時效性能 )的黑箱測試為適當的確認方法。

(2) 對 PL =d 或 e，建議使用來自邊界值分析法的試驗案例。

(3) 建議使用試驗規畫，且應包含具完成準則的試驗案例及所要求之工具。

(4) I /O 測試應確保在 SRASW 內正確使用安全相關信號。

(g) 文件記錄。

(1) 應記錄所有壽命期及修改活動。

(2) 文件記錄應完整、可用、可讀及可瞭解。

(3) 原始文件內的程式碼應包含具合法實體之模組標題、功能性及 I /O 敘述、

版本及所使用的函數方塊程式庫版本以及網路 /聲明及宣告行之充分註

解。

(h) 查證 ( 1 )

範例：審查、檢驗、走查或其他適合的活動。

註 ( 1 )：僅需對應用專屬程式碼查證，而不需對確認之程式庫函數查證。

( i ) 組態管理

高度建議建立過程及資料備份，以識別並存檔與特定 SRASW 版本相關的文

件、軟體模組、查證 /確認結果及工具組態。

( j ) 修改

在修改 SRASW 後，應施行衝擊分析，以確保規格。在修改後應執行適當的

壽命期活動。應控制修改存取權，並應記錄修改歷程。

備考：修改並不會影響使用中系統。

4.6.4 軟體基參數化 (Sof tware－ based Para meterization)

安全相關參數的軟體基參數化，應視為 SRP/CS 設計的一項安全相關層面，並描

述於軟體安全要求規範中。應使用 SRP/CS 供應商提供的專屬軟體工具執行參數

化。此工具應有其自我識別 (名稱、版本等 )，且應防止未經授權的修改，如使用

密碼。

應維持用於參數化之所有數據的完整性。此應採取措施控制下列各項來達成。

－有效輸入範圍。

－資料在傳送前的毀損。

－參數傳送過程的錯誤之效應。

－參數傳送不完整的效應。

－ 28－

－用來參數化之軟硬體工具故障及失效的效應。

依本標準，參數化工具應滿足 SRP/CS 的所有要求。或者應使用特殊程序設定安

全相關參數。此程序應包含藉由下列其一確認 SRP/CS 的輸入參數。

－重新傳送修改過的參數至參數化工具。

－確認參數完整性的其他適合方式。

此程序也應包含後續的確認，例：由合適的技術人員進行確認，或由參數化工

具的自動檢查確認。

備考 1. 在使用非專門執行參數化的裝置 (例：個人電腦或其他同等裝置 )執行參

數化時，此程序特別重要。

在傳送 /重新傳送過程中用來編碼 /解碼的軟體模組，及用以將安全相關參數視覺

化呈現給使用者的軟體模組，應至少使用多樣化功能，以避免系統性失效。

軟體基參數化的文件應指出所用的資料 (如事先定義的參數集 )、識別 SRP/CS 所

屬參數的必需資訊、執行參數化的人員及其他相關資訊，如參數化的日期。

軟體基參數化應使用下列查證活動。

－查證正確設定每個安全相關參數 (最小值、最大值及代表值 )。

－查證安全相關參數已似真檢查，如藉由使用無效值等。

－查證已防止未經授權的安全相關參數修改。

－查證參數化資料 /信號已產生及處理，使得故障不會導致安全功能喪失。

備考 2. 在使用非專門執行參數化的裝置 (例：個人電腦或其他同等裝置 )執行參

數化時，此程序特別重要。

4.7 查證達到之 PL 滿足 PL r

對每個個別之安全功能，相關 SRP/CS 的 PL 應符合依 4.3(參照圖 3)所決定的要求

性能等級 (PL r )。若不符合，則須進行圖 3 之迭代流程。

屬安全功能一部分之不同 SRP/CS 的 PL，應大於或等於該安全功能之要求性能等

級 (PL r)。

4.8 設計之人體工學層面

應設計並實現操作者及 SRP/CS 間的介面，使得人員在機器的所有預定用途及合

理可預見誤用中不會遭受危險 (亦參照 ISO 12100、 EN 614-1、 ISO 9355-1、 ISO

9355-2、 ISO 9355-3、EN 1005 -3、 IEC 60204-1 :2005 之第 10 節、 IEC 60447 及 IEC

61310)。

應運用人體工學原理，讓機器及控制系統 (包含安全相關部分 )皆易於使用，並使

得操作者不會企圖以危害方式行動。

適用 ISO 12100:2010 之 6.2.8 中遵守人體工學原理的安全要求。

5.安全功能

5 .1 安全功能之規格

本節提出 SRP/CS 所能提供的安全功能之清單及細節。設計者 (或 C 類標準制訂者 )

ISO 13849-1:2015(E)

－ 29－

應納入所需的安全功能，以達到特定應用的控制系統被要求之安全措施。

範例，安全相關停止功能、防止非預期起動、手動重置功能、靜默功能及持動功

能。

備考：機械控制系統提供操作及 /或安全功能。操作功能 (例：起動、正常停止 )亦

可為安全功能，但此情況僅在對機械執行完整風險評鑑後才能確定。

表 8 及表 9 中列出一些典型之安全功能及其某些特性及安全相關參數，同時指出

與該安全功能、特性或參數相關的其他國際標準之要求。設計者 (或 C 類標準制訂

者 )應確保列於此等表內的相關安全功能，滿足所有適用的要求。

本節規範某些安全功能特性的額外要求。

若必要，應調整對使用不同能源之特性及安全功能的要求。

由於表 8 及表 9 大部分的參考資料皆與電氣標準相關，因此在其他技術 (例：液壓

及氣壓 )之情形，將需調整適用的要求。

－ 30－

表 8 適用於典型之機器安全功能及其某些特性的相關標準

安全功能 /特性要求

額外資訊，參照本標準 ISO 12100:2010

由安全防護裝置 ( a )啟

動之安全相關停止功

能

5 .2 .1 3 .28.8, 6 .2 .11.3 IEC 60204-1:2005,9.2 .2 ,

9 .2 .5 .3 , 9 .2 .5 .5

ISO 14119

ISO 13855

手動重置功能 5 .2 .2 － IEC 60204-1:2005, 9 .2 .5 .3 ,

9 .2 .5 .4

起動 /再起動功能 5 .2 .3 6 .2 .11.3, 6 .2 .11.4 IEC 60204-1:2005, 9 .2 .1 ,

9 .2 .5 .1 , 9 .2 .5 .2

9 .2 .6

本機控制功能 5 .2 .4 6 .2 .11.8, 6 .2 .11.10 IEC 60204-1:2005, 10 .1.5

靜默功能 5 .2 .5 － IEC/TS 62046:2008 , 5 .5

持動功能 6 .2 .11.8 (b) IEC 60204-1:2005, 9 .2 .6 .1

致能裝置功能－ IEC 60204-1:2005, 9 .2 .6 .3 ,

10.9

防止非預期的起動－ 6 .2 .11.4 ISO 14118

IEC 60204-1:2005, 5 .4

受困人員之逃脫及救

援

－ 6 .3 .5 .3

隔絕及能量消散功能－ 6 .3 .5 .4 ISO 14118

IEC 60204-1:2005, 5 .3 ,

6 .3 .1

控制模式及模式選擇－ 6 .2 .11.8, 6 .2 .11.10 IEC 60204-1:2005, 9 .2 .3 ,

9 .2 .4

控制系統之不同安全

相關部分間的互動

－ 6 .2 .11.1

(最後一句 ) IEC 60204-1:2005, 9 .3 .4

監控安全相關輸入值

的參數化

4 .6 .4 －－

緊急停止功能 ( b ) － 6 .3 .5 .2 ISO 13850

IEC 60204-1:2005, 9 .2 .5 .4

註 ( a ) 包含聯鎖防護裝置及限制裝置 (例：超速、超溫及超壓 )。

註 ( b ) 補充保護措施，參照 ISO 12100:2010。

ISO 13849-1:2015(E)

－ 31－

表 9 規範某些安全功能及安全相關參數要求的相關標準

安全功能 /安全相關

參數

要求額外資訊，參照：

本標準 ISO 12100:2010

反應時間 5 .2 .6 － ISO 13855:2010, 3 .2 , A.3,

A.4

安全相關參數，如速

率、溫度或壓力

5 .2 .7 6 .2 .11.8 (e) IEC 60204-1:2005, 7 .1 ,

9 .3 .2 , 9 .3 .4

動力源波動、喪失及

恢復

5 .2 .8 6 .2 .11.8 (e) IEC 60204-1:2005, 4 .3 ,

7 .1 , 7 .5

指示及警報－ 6 .2 .8 ISO 7731

ISO 11428

ISO 11429

IEC 61310-1

IEC 60204-1:2005, 10 .3,

10.4

IEC 61131

IEC 62061

在識別及指定安全功能時，至少應考量下列各項。

(a) 對每一特定危害或危害情況的風險評鑑結果。

(b) 機器操作特性，包含下列各項。

－機器預定用途 (包括合理可預見的誤用 )。

－操作模式 (例：本機模式、自動模式、與機器的某區或部分相關的模式 )。

－週期時間。

－反應時間。

(c) 緊急操作。

(d) 不同工作流程及手動作業 (修理、設定、清潔及異常排除等 )間的互動描述。

(e) 安全功能預定達成或防止的機器行為。

( f) 機器在失去動力時之行為 (亦參照 5.2.8 )。

備考：在某些情況下，可能必須考慮機器在失去動力時之行為，例如必須防止

垂直軸在重力下掉落。此可能需要 2 個別的安全功能，有動力可用及無

動力可用。

(g) 機器成為可作用或失能的條件 (如操作模式 )。

(h) 操作頻率。

( i ) 可同時作用或可能造成衝突動作之彼等功能的優先順序。

5.2 安全功能之細節

5 .2 .1 安全相關停止功能

除表 8 之要求外，亦適用下列事項。

安全相關停止功能 (如由安全防護裝置啟動 )，一旦致動後，應使機器處於安全

狀態。此停止應優先於操作原因之停止。

當一組機器以協同方式一起工作時，應提供方式以信號傳遞至監督控制

(Supervisory Contro l )及 /或其他機器，此停止情況存在。

－ 32－

備考：安全相關停止功能會造成操作問題及難以再起動，如在電弧焊接運用中。

為降低使停止功能失效的企圖，可先執行操作原因之停止，以結束實際操

作，並可輕易及快速地從停止位置準備再起動 (例：以免任何生產受損害 )。

一解決方案為使用具防護鎖固的聯鎖裝置，當循環達到可輕易再起動的確

定位置時，此防護鎖固解鎖。

5.2.2 手動重置功能


在停止指令經安全防護裝置啟動後，應保持在停止狀況，直到再起動的安全狀

態存在為止。

以重置安全防護裝置的方式再建立安全功能，會取消停止指令。若由風險評鑑

指示，此停止指令之取消，應以手動、個別及蓄意動作 (手動重置 )確認。

手動重置功能應符合下列條件。

－由 SRP/CS 內的一單獨且手動操作的裝置提供。

－僅在所有安全功能及安全防護裝置皆在可操作狀態下才能達成。

－不會自行啟動運動或危害情況。

－以蓄意動作操作。

－致能控制系統，以接收單獨的起動指令。

－僅在將致動器從具能量位置斷開後，才能接受。

應選擇提供手動重置功能的安全相關部分之性能等級，使得納入手動重置功能，

不會減損相關安全功能被要求的安全性。

重置致動器應設置在危險區以外的安全位置，且可從該位置以目視清楚檢查是

否有人員留在危險區內。

若無法完全看到危險區，即應需要特別的重置程序。

備考：一解決方案為使用第二重置致動器。以第一致動器結合設置在危險區外

(在安全防護裝置附近 )的第二重置致動器，才能在危險區內啟動重置功

能。此重置程序必須在控制系統接收單獨的起動指令前，於一定時限內

實現。

5.2.3 起動 /再起動功能


僅在危害狀況不能存在時，才可自動再起動。特別是，具起動功能的聯鎖防護

裝置適用 ISO 12100:2010 之 6.3.3 .2 .5。

對起動及再起動的要求，亦應適用於可從遠端控制的機器。

備考：感測器傳至控制系統的回饋信號可引發自動再起動。

範例，在自動機器操作中，感測器傳至控制系統的回饋信號，通常用來控制製

程。若工件偏離位置，製程即停止。若聯鎖安全防護裝置的監控未優先於自動

製程控制，則當操作員重新調整工件時，就可能發生機器再起動的危險。因此

ISO 13849-1:2015(E)

－ 33－

直到安全防護裝置再次關閉且維修人員離開危害區，不應允許以遙控方式再起

動。由控制系統所提供之防止非預期起動，取決於風險評鑑之結果。

5.2.4 本機控制功能


當機器受就地控制，例：用可攜式控制裝置或教導盒時，應適用下列要求。

－本機控制的選擇設施，應設置在危險區外。

－應僅可能在風險評鑑所定義之區域內，以本機控制引發危害情況。

－本機控制與主控制間之切換，不應造成危害狀況。

5.2.5 靜默功能


靜默時不應讓任何人員暴露於危害狀況。在靜默期間應以其他方法提供安全情

況。

SRP/CS 的所有安全功能，皆應在靜默結束時恢復。

應選擇提供靜默功能的安全相關部分之性能等級，使得納入靜默功能不會減損

相關安全功能被要求的安全性。

備考：在某些應用中，需要提供靜默指示信號。

5.2.6 反應時間


當 SRP/CS 的風險評鑑指出此有必要時，即應決定 SRP/CS 的反應時間。 (亦參

照第 11 節 )

備考：控制系統的反應時間為機器全部反應時間的一部分。機器所要求的全部

反應時間會影響安全相關部分的設計，如需提供煞車系統。

5.2.7 安全相關參數

除表 9 所列之規定外，亦應適用以下規定。

當如位置、速率、溫度或壓力等安全相關參數偏離目前的限界時，控制系統應

啟動適當措施 (例：停止、警告信號及警報之致動 )。

若在手動輸入安全相關資料至可程式電子系統時，發生錯誤可能造成危害狀況，

則應在安全相關控制系統內提供資料檢查系統，例：檢查限界、格式及 /或邏輯

輸入值。

5.2.8 動力源波動、喪失及恢復

除表 9 所列之規定外，亦應適用以下規定。

若能量位準的波動幅度超過設計的操作範圍，包括能量供應喪失，SRP/CS 應繼

續提供或啟動輸出信號，此信號將可使機器系統的其他部分保持在安全狀態。

6.類別與各通道之 MTTF D、DCa v g 及 CCF 的關係

6 .1 一般

SRP/CS 應符合 6 .2 中指定的 5 個類別之 1 個以上要求。

－ 34－

類別是用以達到一特定 PL 的基本參數。依第 4 節所描述的設計考量，類別陳述

SRP/CS 在故障抵抗性方面所要求之行為。

類別 B 為基本類別。發生故障可能導致安全功能喪失。在類別 1 中，主要藉由選

擇及應用構件達到改善故障抵抗性。在類別 2、類別 3 及類別 4 中，主要藉由改

善 SRP/CS 的結構達到改善特定安全功能的性能。在類別 2 中，此由週期地檢查

執行中的特定安全功能提供。在類別 3 及類別 4 中，此由確保單一故障將不會導

致安全功能喪失來提供。在類別 4 及類別 3 所有合理可行的情況中，此等故障會

被偵測到。在類別 4 中，將規範對故障累積之抵抗性。

表 10 為 SRP/CS 類別、要求及故障時系統行為的總覽。

當考慮在某些構件中之失效原因時，排除某些故障是可能的 (參照第 7 節 )。

特定 SRP/CS 之類別選擇主要取決於下列各項。

－由該部分提供之安全功能所欲達到的風險降低。

－要求性能等級 (PL r)。

－使用之技術。

－該部分故障時引起的風險。

－避免該部分故障 (系統性故障 )的可能性。

－該部分及相關參數發生故障的機率。

－至危險性失效之平均時間 (MTTFD)。

－診斷涵蓋率 (DC)。

－類別 2、類別 3 及類別 4 情況中之共因失效。

6.2 類別之規格

6 .2 .1 一般

每一 SRP/CS 皆應符合相關類別的要求，參照 6.2.3 至 6 .2.7。

下列架構典型地符合個別類別的要求。

下列圖形為一般架構而非範例。實際情況可能偏離此等架構，任何偏離皆應以

適當分析工具的方式 (例：馬可夫模型及故障樹分析 )調整，使得系統符合所要

求性能等級 (PL r )。

指定之架構不但可視為迴路圖，亦可視為邏輯圖。對類別 3 及類別 4，所有部

分不必然具實體備援，但有備援方式以確保故障不會導致安全功能喪失。

圖 8 至圖 12 中的線條及箭頭，表示邏輯互連方式及可能的邏輯診斷方式。

6.2.2 指定架構

SRP/CS 的結構為對 PL 有很大影響的關鍵特性。即使可能的結構變化多端，其

基本概念通常類似。因此在機械範疇內的大多數架構皆可對應至某一個類別。

對每個類別，可用一安全相關方塊圖作為典型呈現。此等典型的實現稱為指定

架構，並列於下列各類別的敘述中。

圖 5 中的 PL 是以指定架構為基礎，並取決於類別、每通道的 MTTFD 及 DC a v g。

ISO 13849-1:2015(E)

－ 35－

若以圖 5 估計 PL， SRP/CS 之架構應展示其與宣告類別的指定架構相當。符合

各別類別特性的設計，一般會與各別類別的指定結構相當。

6.2.3 類別 B

設計、建造、選擇、組裝及組合 SRP/CS 時至少應符合相關標準，並對特定應

用使用基本安全原則，以承受下列各項。

－預期的操作應力，如斷路容量及頻率的可靠度。

－所處理材料的影響，如洗衣機中的清潔劑。

－其他相關外部影響，例：機械振動、電磁干擾、動力供應中斷或干擾。

類別 B 系統內無診斷涵蓋率 (DC a v g 無 )，且每通道的 MTTFD 可為低至中。在此

等結構內 (通常為單一通道系統 )，無須考量 CCF。

類別 B 可達到的最大 PL 為 PL=b。

備考：當故障發生時，其可能導致安全功能喪失。

對電磁相容性的特定要求可參照相關產品標準，如 IEC61800－ 3 對動力驅動系

統的要求。特別是，對 SRP/CS 的功能性安全，應符合抗擾性要求。若無產品

標準，至少應遵循 IEC 61000－ 6－ 2 的抗擾性要求。

說明

i m 互連方式

I 輸入裝置，如感測器

L 邏輯

O 輸出裝置，如主接觸器

圖 8 類別 B 的指定架構

6.2.4 類別 1

對類別 1，應適用 6.2.3 對類別 B 的相同要求。此外，類別 1 亦需符合下列事

項。

應使用充分驗證的構件及安全原則，設計及建造類別 1 的 SRP/CS(參照 ISO

13849-2)。

用於安全相關應用的〝充分驗證的構件〞為具下列其一的構件。

(a) 過去已廣泛使用於相似的應用且效果良好。

(b) 使用於安全相關應用已展示其合適性及可靠度的原則，製作及查證。

若新開發的構件及安全原則滿足 (b)的條件，也可視為等同於〝充分驗證〞。

接受一特定構件為〝充分驗證〞之決定，取決於其用途。

備考 1. 複雜的電子構件 (例：PLC、微處理器、特定應用積體電路 )不可視為等

－ 36－

同於〝經充分驗證〞。

每通道之 MTTFD 應為高。

類別 1 可達到的最大 PL 為 PL=c。

備考 2. 類別 1 系統中無診斷涵蓋率 (DC a v g 無 )。在此類結構 (單一通道系統 )中

無須考量 CCF。

備考 3. 當故障發生時，可能會導致安全功能喪失。然而類別 1 各通道的 MTTFD

皆高於類別 B，因此較不會喪失安全功能。

應清楚區別〝經充分驗證的構件〞與〝故障排除〞 (參照第 7 節 )。一構件是否

視為〝經充分驗證〞取決於其用途。例如，具正向開路接點之位置開關用於工

具機上，可視為經充分驗證，但應用於食品工業時則不適當。例如，此開關使

用在乳品工業幾個月後，便有可能被乳酸毀壞。故障排除可能會導致 PL 值變

得甚高，但在裝置的全部壽命期中，應採取允許故障排除之適當措施。控制系

統外部可能需要額外措施以確保達到此目標。就位置開關來說，此等措施之某

些範例如下。

－確保開關調整後，使其牢靠固定。

－確保凸輪牢靠固定。

－確保凸輪之橫向穩定度。

－避免位置開關超越行程 (如衝擊吸收器的適當固裝強度及任何對準裝置 )。

－保護開關免受外來損害。

說明

im 相互連接之方法


L 邏輯


圖 9 類別 1 之指定架構

6.2.5 類別 2

類別 2 適用 6 .2.3 中對類別 B 的相同要求，及 6 .2.4 中的〝經充分驗證安全原則〞。

此外類別 2 亦需符合下列事項。

類別 2 SRP/CS 之設計，應讓機器控制系統於適當時間間隔檢查其功能。安全功

能的檢查應依照下列方式執行。

－於機器起動時執行。

－若風險評鑑及操作類型顯示有必要，在啟動任何危害情況前，如開始新週期、

開始其他移動，在安全功能有需要時立即執行及 /或於操作期間定期執行。

此檢查可自動地啟動。任何有關安全功能之檢查應為下列要求之一。

ISO 13849-1:2015(E)

－ 37－

－如未偵測出故障，容許繼續操作。

－如偵測出故障，產生一輸出 (OTE)以啟動適當的控制動作。

若 PL r = d，輸出 (OTE)應啟動安全狀態，並保持直到故障清除。

若 PL r 為 PL r = a 至 PL r = c，只要實務上可行，輸出 (OTE)即應啟動安全狀態並

保持至故障清除。若此不可行 (如最終切換裝置內之接點熔接 )，則試驗設備之輸

出 OTE 提供警告可能即足夠。

對圖 10 中類別 2 之指定架構，MTTFD 及 DC a v g 之計算應僅考量功能通道 (如圖

10 中的 I、 L 及 O)的方塊，而不考量測試通道之方塊 (如圖 10 的 TE 及 OTE)。

功能通道的診斷涵蓋率 (DC a v g)至少應為低。各通道 MTTFD 值應為低至高，視所

要求性能等級 (PL r )而定。應採用防止 CCF 的措施 (參照附錄 F)。

檢查不應造成任何危害情況 (如因反應時間增加 )。其試驗設備與提供安全功能的

安全相關部分，可彼此整合或分離。

類別 2 可達到之最大 PL 為 PL=d。

備考 1. 某些情況下類別 2 不適用，因為並非所有構件皆可進行安全功能檢查。

備考 2. 類別 2 系統行為之特性如下。

－檢查間隔中，發生故障會導致安全功能喪失。

－檢查會偵測到安全功能喪失。

備考 3. 支撐類別 2 功能的有效性之原則為採用的技術支援，如檢查頻率之選擇

等能降低危害情況的發生機率。

備考 4. 為使指定架構適用簡化方法，參考 4.5.4 的假設。

說明

im 相互連接方式


L 邏輯

m 監控


TE 試驗設備

OTE 試驗設備的輸出

虛線代表合理可行的故障偵測。

圖 10 類別 2 的指定架構

6.2.6 類別 3



－ 38－

類別 3 之 SRP/CS 設計，應確保任何部分的單一故障不會導致安全功能喪失。

在任何合理可行的情況下，應於下一個安全功能需求時或之前，偵測出此單一

故障。

全部 SRP/CS 之診斷涵蓋率 (DC a v g)至少應為低。各備援通道的 MTTFD 應為低至

高，視 PL r 而定。應採用防止 CCF 之措施 (參照附錄 F)。

備考 1. 單一故障偵測的要求，並不代表可偵測所有故障。因此，未偵測到的故

障累積，可能導致機器產生非預定之輸出及危害情況。可行的故障偵測

措施之典型範例有使用機械導引式繼電器接點的回饋，及備援電氣輸出

之監控等。

備考 2. 若因技術及應用有需要時，C 類標準制定者必須提供更多故障偵測之細

節。


－出現單一故障時，安全功能仍能繼續執行。

－可偵測出部分但非全部的故障。

－未偵測到故障的累積，可能因此喪失安全功能。

備考 4. 所用之技術會影響故障偵測實現的可能性。

說明

im 相互連接方式

c 交叉監控

I1、 I2 輸入裝置，如感測器

L1、 L2 邏輯

m 監控

O1、O2 輸出裝置，如主接觸器

虛線代表合理可行的故障偵測。


ISO 13849-1:2015(E)

－ 39－

6.2.7 類別 4



類別 4 之 SRP/CS 的設計應符合下列事項。

－任一安全相關部分中的單一故障，不會導致安全功能喪失。

－在下一個安全功能需求時或之前，如開關切至 ON 的瞬間或於機器操作循環

結束時，偵測出單一故障。

若不可能做此偵測，未偵測到故障之累積，應不可導致安全功能喪失。

全部 SRP/CS 之診斷涵蓋率 (DC a v g)應為高，包括故障的累積。各備援通道之

MTTFD 值應為高。應採用防止 CCF 的措施 (參照附錄 F)。


－出現單一故障時，安全功能仍能繼續執行。

－及時偵測到故障，以防止安全功能喪失。

－考量未偵測到故障之累積。

備考 2. 類別 3 及類別 4 間之差別在於類別 4 的 DC a v g 較高，且每通道所要求的

MTTFD 值只能為〝高〞。

實務上，考慮兩個故障的組合故障可能就足夠。

說明

i m 相互連接方式

c 交叉監控

I1、 I2 輸入裝置，感測器

L1、 L2 邏輯

m 監控

O1、O2 輸出裝置，主接觸器

監控的實線代表比類別 3 指定架構更高之診斷涵蓋率。


－ 40－

表 10 類別之要求概述

類別要求概述系統行為

達到安全

所使用之

原則

各通道

之

MTTF D

DCa v g CCF

B

(參照

6.2.3)

SRP/CS 及 /或其保護設

備與其構件應依相關標

準設計、建造、選擇、

組裝及結合，使之能承

受預期之影響。應使用

基本安全原則。

故障之發生

可能導致安

全功能喪失主要特性

依構件之

選擇

低至中無不相關

1

(參照

6.2.4)

應適用類別 B 之要求，

應使用經充分驗證之構

件及經充分驗證之安全

原則

故障之發生

可能導致安

全功能喪

失，但發生

機率較類別

B 為低。

主要特性

依構件之

選擇

高無不相關

2

(參照

6.2.5)

適用類別 B 的需求及經

充分驗證的安全原理。

機器控制系統應在適當

時間間隔進行安全功能

檢查。 (參照 4.5.4 )

兩檢查間可

能發生故

障，而導致

安全功能喪

失。

由檢查偵測

出安全功能

的喪失。

主要特性

依結構低至高低至中

參照

附錄 F

3

(參照

6.2.6)



安全相關部分的設計應

確保：

－此等部分中之單一

故障並不會導致安

全功能喪失。

－在任何合理可行

時，可偵測到單一故

障。

發生單一故

障時，安全

功能仍持續

執行。

可偵測到部

分但非全部

的故障。

未偵測的故

障之累積會

導致安全功

能之喪失。

主要特性

依結構低至高低至中

參照

附錄 F

4

（參照

6.2.7）



安全相關部分的設計應

確保：

－此等部分中之單一

故障並不會導致安

全功能喪失。

－在下一個安全功能

要求時或之前，可偵

測出單一故障。若無

法做此偵測，未偵測

到的故障之累積，不

可導致安全功能之

喪失。

發生單一故

障時，安全

功能仍持續

執行。

累積故障之

偵測，可降

低安全功能

喪失的機率

(高 DC)。

可及時偵測

故障，以防

止安全功能

喪失。

主要特性

依結構

高高

（包括

累積的

故障）

參照

附錄 F

註：完整要求參照第 6 節

ISO 13849-1:2015(E)

－ 41－

6.3 組合 SRP/CS 以達成整體 PL

安全功能可由數個 SRP/CS 之組合實現，如輸入系統、信號處理單元及輸出系統

等。此等 SRP/CS 可被指定至一種及 /或不同類別。對每個所用的 SRP/CS，應選

擇依 6.2 之一類別。對此等 SRP/CS 之整體組合，可藉由本節所描述方法鑑別一

整體之 PL。在此情況中，須確認此 SRP/CS 之組合 (參照圖 3)。

依 6.2，控制系統的安全相關組合部分，在安全相關信號啟動點開始，而在動力

控制元件輸出點結束。但此組合之 SRP/CS 有可能包含數個以線形 (串聯排列 )或備

援 (並聯排列 )方式連結的部分。在已算出 SRP/CS 組合中所有部分個別 PL 的情況

下，為避免重新且複雜地估計 SRP/CS 組合所達成的性能等級 (PL)，可用下列所

示，估計串聯組合 SRP/CS 的 PL。

假設串聯組合中有 N 個單獨的 SRP/CS i，以一體方式執行一安全功能。對各

SRP/CS i 已評估其 PL i。此情況如圖 13 所示 (亦參照圖 4 及圖 H.2)。

若已知所有 SRP/CS i 之 PFHD 值，則組合 SRP/CS 的 PFH D 為所有 N 個各別 SRP/CS i

之 PFHD 值的加總。組合 SRP/CS 的 PL 會被下列各項所限制。

－涉及執行安全功能之任何各別 SRP/CS i 的最低 PL(因為 PL 亦由不可量化層面

決定 )，及

－對應至組合 SRP/CS 之 PFHD 的 PL，依表 2。

備考：此方法之範例參照附錄 H 及 ISO/TR 23849 之 8.2.6。

圖 13 達成整體 PL 之 SRP/CS 組合

若所有各別 SRP/CS i 之 PFHD 值為未知，則以最壞情況代替上述方法，可利用表

11 計算執行安全功能之整個組合 SRP/CS 的 PL 如下。

(a) 鑑別最低之 PL i，此為 PL l o w。

(b) 識別 PL i=PL l o w 之數量 N l o w≦ SRP/CS i 的 N。

(c) 在表 11 中查出 PL。

－ 42－

表 11 計算串聯排列之 SRP/CS 的 PL

PL l o w N l o w PL

a > 3 無 (不允許 )

≤ 3 a

b > 2 a

≤ 2 b

c > 2 b

≤ 2 c

d > 3 c

≤ 3 d

e > 3 d

≤ 3 e

註：此表中之數值為依各 PL 中點的可靠度值計算而得

7.故障考量、故障排除

7 .1 一般

安全相關部分應依選擇的類別設計，以達到所要求性能等級 (PL r )。應評鑑其抵抗

故障之能力。

7.2 故障考量

ISO 13849-2 列出對不同技術之重要故障及失效。故障不僅限於清單所列，且若

必要應考量並列出額外故障。在此情況下，亦應清楚說明評估方法。對 ISO 13849-2

未提及之新構件，應執行失效模式及效應分析 (FMEA，參照 IEC 60812)，以建立

此等構件應考量之故障。

一般而言，應考量下列故障準則。

－若因一項故障而造成其他構件失效，第一個故障及所有隨後之故障應視為單

一故障。

－具共同原因之兩個以上單獨故障，應視為單一故障 (即所謂的共因失效 )。

－具個別原因之兩個以上故障同時發生，被認為極不可能，因此不需考慮。

7.3 故障排除

在無假設某些故障可排除的情形下，不可能評估 SRP/CS。對故障排除的詳細資訊，

參照 ISO 13849-2。

故障排除為技術安全要求與發生故障之理論可能性間的折衷。

故障排除可基於下列各項。

－某些故障在技術上不太可能發生。

－普遍接受的技術經驗，與所考慮之應用無關，。

－與應用及特定危害相關之技術要求。

若故障已排除，應在技術文件中給予詳細的判定過程。

8.確認

應確認 SRP/CS 的設計 (參照圖 3)。此確認應展示提供各安全功能的 SRP/CS 組合，

符合本標準的所有相關要求。

關於確認之細節，參照 ISO 13849 -2。

ISO 13849-1:2015(E)

－ 43－

9.維護

可能需要預防性或矯正性維護，以維持安全相關部分之指定性能。指定性能之隨時

間偏離可導致安全性惡化或甚至達到危害狀況。 SRP/CS 的使用資訊應包括維護

SRP/CS(包括定期檢驗 )的說明。

關於控制系統安全相關部分可維護性的規定，應遵循 ISO 12100:2010 之 6.2.7 的原

則。所有維護資訊應符合 ISO 12100:2010 之 6 .4.5 .1 (e)。

10.技術文件

在設計 SRP/CS 時，其設計者應至少將下列安全相關部分之資訊文件化。

－ SRP/CS 提供之安全功能。

－各安全功能之特性。

－安全相關部分開始及結束之確切點。

－環境條件。

－性能等級 (PL)。

－所選擇之類別。

－與可靠度相關之參數 (MTTFD、DC、 CCF 及任務時間 )。

－防止系統性失效之措施。

－所用之技術。

－所有考量的安全相關故障。

－故障排除之判定過程 (參照 ISO 13849-2)。

－設計依據 (例：考量之故障及排除之故障 )。

－軟體文件。

－防止合理可預見誤用之措施。

備考：一般而言，此文件預定為製造商內部使用，並不會提供給機器使用者。

11.使用資訊

應適用 ISO 12100:2010 之 6.4.5 .2 的原則及其他相關標準的適用節次 (如 IEC

60204-1 :2005 第 17 節 )。尤其應提供安全使用 SRP/CS 的重要資訊給使用者，此資

訊應包括但不限於下列各項。

－對所選類別及任何故障排除，安全相關部分之限制。

－ SRP/CS 的限制及任何故障排除 (參照 7 .3)。為此，在維持所選的類別及安全性

能有必要時，應提供合適之資訊 (例：修改、維護及修理 )，以確保故障排除之

持續判定。

－指定性能偏離對安全功能之效應。

－ SRP/CS 介面及保護裝置之清楚描述。

－反應時間。

－操作限制 (包括環境條件 )。

－指示及警告。

－ 44－

－安全功能靜默及擱置。

－控制模式。

－維護 (參照第 9 節 )。

－維護檢查表。

－易於接近及更換內部零件。

－簡易且安全的故障排除方式。

－說明與基準類別相關之使用用途的資訊。

－若相關，檢查試驗時間間隔。

應提供關於 SRP/CS 類別及性能等級的特定資訊，如下列各項。

－本標準之日期 (即〝 ISO 13849 -1:2006〞 )。

－類別 B，類別 1，類別 2，類別 3 或類別 4。

－性能等級 PL a、 PL b、 PL c、 PL d 或 PL e。

範例：符合本標準，並屬於類別 B 及性能等級 a 的 SRP/CS，應表示如下。

ISO 13849 -1:2006 類別 B PL a

ISO 13849-1:2015(E)

－ 45－

附錄 A

(參考 )

要求性能等級 (PL r)之決定

A.1 PL r 之選擇

附錄 A 關注由所考慮的控制系統安全相關部分對風險降低之貢獻。此處所示方法僅

提供所要求之風險降低的估計，且預定僅供設計者及標準制定者，在決定由 SRP/CS

執行各必要安全功能之 PL r 時，作為指引。

備考：此 PL r 估計方法為非強制性。其是假設危害事件之發生機率為最壞情況 (即發

生機率為 100 %)的一般方法。當評估 PL r 時，若適當可採用特定機器類型之其

他風險估計方法，且應考量成功解決類似機器 /危害之經驗。因此，C 類標準所

要求 PL，可能偏離圖 A.1 所示之一般方法所指示的 PL。

圖 A.1 中之圖形為基於預定安全功能提供前之狀況 (亦參照 ISO/TR 22100-2 :2013)。決

定預定安全功能之 PL r 時，應考量由與控制系統無關之技術措施 (如機械防護裝置 )或

額外安全功能來降低風險，於此情況下，在實現此等措施後選擇圖 A.1 的起始點 (亦

參照圖 2)。

受傷嚴重性 (以 S 表示 )僅能粗略估計 (例：撕裂傷、截肢或死亡 )。對發生之頻率，輔

助參數被用於改善估計值。此等參數如下。

－暴露於危害中之頻率及時間 (F)。

－避開危害或限制傷害之可能性 (P)。

經驗顯示可將此等參數加以組合，如圖 A.1 所示，產生從低至高之風險層次。要強調

的是此為僅能提供風險估計之定性程序。

A.2 對風險估計選擇參數 S、 F 及 P 之指引

A.2.1 受傷嚴重性， S1 及 S2

在估計因安全功能失效引起之風險時，僅考慮輕傷 (通常為可復原 )及重傷 (通常為不可

復原 )與死亡。

為做出判定，決定 S1 及 S2 時應將意外之通常後果及正常恢復過程納入考慮。例如，

無併發症之瘀傷及 /或撕裂傷應歸類為 S1，而截肢或死亡為 S2。

A.2.2 危害之頻率及 /或暴露時間， F1 及 F2

針對參數 F1 或 F2，無法具體選擇一普遍有效的時間間隔，但以下說明有助於在有疑

慮時做出正確決定。

若人員經常或持續暴露於危害中，應選擇 F2。不論是否為同一人連續暴露，如升降

設備之使用。應依接近危害之頻率及持續時間選擇頻率參數。

若設計者已知安全功能之需求，則可選擇此需求之頻率及持續時間，而非接近危害的

頻率及持續時間。在本標準中，假設對安全功能的需求頻率為每年一次以上。

暴露於危害的時段，應以平均值為基礎評估之，此可視為與設備使用之總時間相關。

例如，若在週期操作期間，需要規則地接觸機器之工具以進給及移動工件，則應選擇

－ 46－

F2。

若無其他正當理由且若頻率高於每 15 min 一次，則應選擇 F2。

若累積暴露時間未超過全部操作時間的 1/20，且頻率未高於每 15 min 一次，則可選

擇 F1。

A.2.3 避開危害事件之可能性 P1 及 P2 及發生機率

避開危害之機率及危害事件發生之機率組合成參數 P。當危害情況發生時，僅在實際

上能避開危害或能大幅降低其影響時，才能選擇 P1，否則應選擇 P2。

若可合理判定危害事件之發生機率為低，則可將 PL r 降低一級，參照 A.2.3.2。

A.2.3.1 避開危害之可能性

瞭解能否在可能造成傷害前先意識到危害情況並避開相當重要。例如，所暴露的危害

能否藉由其物理特性直接識別，或僅能透過如指示器等技術方式辨識。其他可能影響

參數 P 選擇之重要層面包括下列各項。

－危害發生之速率 (如快或慢 )。

－避開危害之可能性 (如逃脫 )。

－與製程有關之實務安全經驗。

－是否由受過訓練且適合之操作者操作。

－在有監督或無監督下操作。

A.2.3.2 危害事件發生之機率

危害事件發生之機率取決於人員的行為或技術失效。大多數情況下無法得知或難以鑑

別適當機率。危害事件之發生機率，應依以下因素估計之。

－可靠度資料。

－類似機器之意外記錄。

備考：低意外數字不必然表示危害情況的發生機會低，而是機器有充分的安全措施。

其中類似機器係指。

－相關安全功能預定降低之風險相同。

－要求相同之製程及操作者動作。

－採用引起危害之相同技術。

ISO 13849-1:2015(E)

－ 47－

說明

1 評估安全功能對降低風險之貢獻度的起點

L 降低風險貢獻度低

H 降低風險貢獻度高

PL r 要求性能等級

風險參數：

S 受傷嚴重程度

S1 輕微 (通常為可復原之受傷 )

S2 嚴重 (通常為不可復原之受傷或死亡 )

F 暴露於危害之頻率及 /或時間

F1 很少至不常及 /或暴露時間短

F2 經常至持續及 /或暴露時間長

P 避開危害或限制傷害之可能性

P1 特定條件下有可能

P2 幾乎不可能

圖 A.1 決定安全功能所要求 PL r 之圖形

圖 A.1 對整台機器之風險評鑑，為決定安全相關 PL r 提供指引。風險評鑑方法以

ISO 12100 為基礎 (參照圖 1 及 ISO/TR 22100 -2)。每項安全功能均應考慮此圖形。

A.3 重疊危害

使用本標準時，所有危害均視為特定危害或危害情況。為量化風險，故分別評估

每一危害。

若明確存在有永遠會同時發生之直接相連危害的組合時，則風險估計時應將其加

以組合。

機器風險評鑑期間，應考慮將危害分開或組合在一起。

範例 1. 連續焊接機器人可能產生各種同時危害情況，如因移動造成之擠壓及因

－ 48－

焊接製程造成之燃燒。此可視為直接相連危害之組合。

範例 2. 對一機器人單元，其由多個機器人獨立作業，則各機器人應分開考量。

範例 3. 如同風險評鑑之結果，對具多夾持裝置之旋轉台，有充分理由將各夾持裝置

分別考量。

ISO 13849-1:2015(E)

－ 49－

附錄 B

(參考 )

方塊法及安全相關方塊圖

B.1 方塊法

本簡化方法要求 SRP/CS 以方塊方式之邏輯呈現。SRP/CS 應依下列規則，分隔出

數個方塊。

－每個方塊應代表 SRP/CS 執行安全功能相關的邏輯單位。

－執行該安全功能之各通道，應分隔至不同方塊，若一方塊已無法執行其功能，

應不得透過其他通道的方塊，影響安全功能之執行。

－每個通道可包含 1 個或數個方塊，指定架構中每個通道 3 個方塊，即為輸入、

邏輯及輸出，並不是強制的數量，僅為每個通道內之邏輯分隔簡單地提供範

例。

－每個 SRP/CS 之硬體單元，應僅屬於 1 個方塊，如此便可由每個方塊所屬硬體

單元的 MTTFD，算出該方塊的 MTTFD(如以失效模式及效應分析或零件計數

法，參照附錄 D.1)。

－僅用於診斷之硬體單元 (如試驗設備 )及當其產生危險性失效時，不會影響不

同通道安全功能執行的硬體，可與不同通道執行安全功能所需的硬體分隔。

備考：依本標準之目的，〝方塊〞並不對應於功能性方塊或可靠度方塊。

B.2 安全相關方塊圖

以方塊方法定義之方塊，可用圖形呈現在安全相關方塊圖中的 SRP/CS邏輯結構。

此種圖形呈現，可參考下列指引。

－在串聯排列的方塊中，如有一方塊失效，將會導致整個通道失效 (如 SRP/CS

一通道中的硬體單元產生危險性失效，有可能整個通道皆無法再執行安全功

能 )。

－僅在並聯排列中之所有通道都產生危險性失效時，才會導致安全功能喪失 (如

由數個通道執行之一安全功能，只要其中一個通道沒有失效，安全功能便可

執行 )。

－僅用於測試之方塊且當其在危險性失效時，也不會影響不同通道安全功能的

執行，可與不同通道方塊分隔。

參照圖 B.1 之範例。

－ 50－

說明

I1 , I2 輸入裝置，如感測器

L 邏輯

O1, O2 輸出裝置，如主接觸器

T 測試裝置

I1 及 O1 組成第一通道 (串聯排列 )

I2、 L 及 O2 組成第二通道 (串聯排列 )，兩個通道以備援方式執行該安全功

能 (並聯排列 )。

T 僅為測試用。

圖 B.1 安全相關方塊圖之範例

ISO 13849-1:2015(E)

－ 51－

附錄 C

(參考 )

計算或評估單一構件之 MTTFD 值

C.1 一般

附錄 C 提供幾種計算或評估單一構件 MTTFD 值之方法。C.2 所示方法係以不同類

型構件之良好工程實務為基礎， C.3 適用於液壓構件， C.4 提供以 B 1 0 計算氣壓、

機械及機電構件 MTTF D 值之方法 (參照 C.4 .1)， C.5 列出電氣構件之 MTTFD 值。

C.2 良好工程實務方法

若符合以下準則，即可依表 C.1 估計構件之 MTTFD 值或 B 1 0 D 值。

(a) 構件之製造，符合用於構件設計之 ISO 13849-2 :2012 或相關標準 (參照表 C.1)

的基本及充分驗證安全原則 (由構件資料表確認 )。

備考：本資訊可查閱構件製造商之資料表。

(b) 構件製造商為 SRP/CS 設計者，規範適當應用及操作條件。

(c) SRP/CS 之設計，在構件實現及操作上，滿足依 ISO 13849-2 :2012 之基本及充

分驗證安全原則。

C.3 液壓構件

若符合以下準則，單一液壓構件 (如閥 )之 MTTFD 值可估計為 150 年。

(a) 液壓構件之製造，符合用於構件設計之 ISO 13849-2:2012 的表 C.1 及表 C.2

之基本及充分驗證安全原則 (由構件資料表確認 )。


(b) 液壓構件製造商為 SRP/CS 之設計者，規範適當應用及操作條件。在液壓構

件實現及操作上， SRP/CS 設計者應就採用符合 ISO 13849-2:2012 之表 C.1

及表 C.2 的基本及充分驗證安全原則，提供與其責任有關之資訊。

若符合 C.4 所示之準則，如閥等單一液壓構件之 MTTFD 值可估計為 150 年。若

年平均操作次數 (n o p)低於 1,000,000，則可估計更高之 MTTFD 值，如表 C.1 所示。

但若 (a )或 (b)任一項未達到，則必須由製造商提供單一液壓構件之 MTTFD 值。為

取代上述之固定 MTTFD 值，若製造商可提供資料，亦允許用 B 1 0 D 概念求氣壓、

機械及機電構件之 MTTFD 值的方法用於液壓構件。

表 C.1 對構件 MTTFD或 B10D之相關標準

依 ISO 13849-2:2012 基

本及充分驗證安全原則相關標準

典型數值：

MTTFD(year)

B 1 0 D(cyc le)

機械構件表 A.1 及表 A.2 － MTTFD = 150

n o p ≥ 1,000 ,000 cyc le /year

之液壓構件表 C.1 及表 C.2 ISO 4413 MTTFD = 150

1,000,000 cycle/year> n o p

≥ 500,000 cycle/year 之液

壓構件

表 C.1 及表 C.2 ISO 4413 MTTFD = 300

－ 52－

表 C.1 對構件 MTTFD或 B10D之相關標準(續)

依 ISO 13849-2:2012 基本

及充分驗證安全原則相關標準

典型數值：

MTTFD（ year）

B 1 0 D（ cycle）

500,000 cycle/year> n o p ≥

250,000 cyc le /year 之液

壓構件

表 C.1 及表 C.2 ISO 4413 MTTFD = 600

250,000 cycle/year> n o p

之液壓構件

表 C.1 及表 C.2 ISO 4413 MTTFD = 1,200

氣壓構件表 B.1 及表 B.2 ISO 4414 B 1 0 D = 20,000,000

低負載繼電器及低負載

繼電式接觸器表 D.1 及表 D.2

EN 50205

IEC 61810

IEC 60947

B 1 0 D = 20,000,000

標稱負載繼電器及標稱

負載繼電式接觸器表 D.1 及表 D.2

EN 50205

IEC 61810

IEC 60947

B 1 0 D = 400,000

低負載近接開關表 D.1 及表 D.2

IEC 60947

ISO 14119 B 1 0 D = 20,000,000

標稱負載近接開關表 D.1 及表 D.2

IEC 60947

ISO 14119 B 1 0 D = 400,000

低負載接觸器表 D.1 及表 D.2 IEC 60947 B 1 0 D = 20,000,000

標稱負載接觸器表 D.1 及表 D.2 IEC 60947

B 1 0 D = 1 ,300 ,000

(參照備考 1)

位置開關 ( a )

表 D.1 及表 D.2 IEC 60947

ISO 14119 B 1 0 D = 20,000,000

位置開關 ( 附獨立致動

器、防護鎖固 )( a )

表 D.1 及表 D.2

IEC 60947

ISO 14119 B 1 0 D = 2,000,000

緊急停止裝置 ( a )

表 D.1 及表 D.2 IEC 60947

ISO 13850 B 1 0 D = 100,000

按鈕

(如致能開關 )( a )

表 D.1 及表 D.2 IEC 60947 B 1 0 D = 100,000

B 1 0 D 定義及使用參照 C.4。

備考 1. 若無法取得其他資訊 (如產品標準 )，B 1 0 D 估計為 B 1 0 之兩倍 (50%危險性失效 )。

備考 2. 〝標稱負載〞或〝低負載〞應考慮 ISO 13849 -2 所述之安全原則，如對額定

電流值加大尺度 (over－ dimensioning)。〝低負載〞表示如 20%。

備考 3. 符合 IEC 60947-5-5 及 ISO 13850 之緊急停止裝置，及符合 IEC 60947 -5-8

之致能開關，可估計為類別 1 或類別 3/類別 4 子系統，視電氣輸出接點數量及後續

SRP/CS 之故障偵測而定。各接觸元件 (包含機械致動 )可視為一個具特定 B 1 0 D 值之通

道。對符合 IEC 60947-5-8 之致能開關，意謂經由按壓或經由釋放開啟功能。在某些

情況下，機器製造商可能在考量裝置特定應用及環境條件下，依 ISO 13849-2 表 D.8

採用故障排除。

註 ( a ) 若有可能排除直接開啟動作之故障。

ISO 13849-1:2015(E)

－ 53－

C.4 氣壓、機械及機電構件之 MTTF D

C.4.1 一般

對氣壓、機械及機電構件 (氣壓閥、繼電器、接觸器、位置開關及位置開關之凸

輪等 )，可能難以計算至危險性失效之平均時間 (構件之 MTTFD)，其以年表示且

為本標準所要求者。在大部分情況下，此類構件製造商僅提供至 10%構件危險

性失效 (B 1 0 D)之平均週期數。本節說明以製造商所提供與應用密切相關的週期數

B 1 0 或 T (壽命 )，計算構件 MTTFD 之方法。

若符合所有下列準則，即可依 C.4.2 估計單一氣壓、機電或機械構件的 MTTFD

值。

(a) 構件依符合 ISO 13849-2 :2012 之表 A.1、表 B.1 或表 D.1 的基本安全原則，

設計及製造。


(b) 用於類別 1、類別 2、類別 3 或類別 4 之構件，依符合 ISO 13849 -2:2012 之

表 A.2、表 B.2 或 D.2 的充分驗證安全原則，設計及製造。


(c) 構件製造商為 SRP/CS 之設計者規範適當應用及操作條件。在構件實現及操

作上，SRP/CS 設計者應就採用符合 ISO 13849-2 :2012 之表 B.1 或表 D.1 的

基本安全原則，提供與其責任有關之資訊。對類別 1、類別 2、類別 3 或類

別 4 ，其有責任告知使用者在構件實現及操作上，應滿足符合 ISO

13849-2 :2012 之表 B.2 或表 D.2 的充分驗證安全原則。

C.4.2 以 B1 0 D 計算構件之 MTTF D

應由構件製造商，依試驗方法之相關產品標準 (例： IEC 60957-5-1、 ISO 19973

及 IEC 61810)，決定構件至 10%危險性失效之平均週期數 (B 1 0 D)( 2 )。必須定義構

件的危險性失效模式，例：卡在末端位置或切換時間改變。若試驗期間並非所

有構件都會有危險性失效 (如試驗 7 個構件，只有 5 個發生危險性失效 )，則應

執行將不會危險性失效之構件納入考量的分析。

註 ( 2 )：若未提供 B 1 0 之危險性部分 (如由製造商提供 )，則可採用 B 1 0 的 50%，故

建議 B 1 0 D = 2 B 1 0。

有了 B 1 0 D 及平均年操作次數 n o p，可計算構件之 MTTFD。

（C.1）

其中

nop =

（C.2）

－ 54－

及以下對構件應用所做的假設。

h o p 平均操作時數，以 h/day 表示。

d o p 平均操作天數，以 day/year 表示。

t c y c l e 構件兩個接續週期開始間之平均操作時間 (如閥的切換 )，以 s /cyc le 表示。

構件操作時間限制為 T10D，構件至 10%危險性失效之平均時間為

（C.3）

此為利用年平均操作次數 nop，將構件至 10%危險性失效之平均週期數 B10D，轉換成構件至 10%

危險性失效之平均時間 T10D，如公式(C.3)。

本標準中之可靠度方法，假設構件失效隨時間呈指數分布，。對氣壓及機

電構件，較可能出現韋伯分布(weibull distribution)。但若將構件操作時間限制在構件至 10%危險

性失效之平均時間(T10D)內，則可估計此操作時間之恆定危險性失效率(λD)

λD

(C.4)

公式(C.4)考慮在恆定失效率下，在 T10D (year)對應於 B10D (cycle)後，假設的應用中有 10%的構件

失效。準確而言，

，可得

(C.5)

對指數分布 MTTFD = 1/λD，可得

(C.6)

備考：方程式中使用之所有變數，為以數值與量測單位相乘表示之物理量。正確之應用公式 C.4、

公式 C.5 及 MTTFD = 1/λD，可能需以 1 year＝8,760 h，將〝year〞轉換為〝hour〞。

C.4.3 範例

對一氣壓閥，製造商決定以 cycles 之平均值作為 B10D。一年操作 220 天，每天兩班使

用此閥。閥兩次接續切換開始間之平均時間估計為 5 s。此會得到下列數值。

－ dop為 220 day/year。

－ hop為 16 h/day。

－ tcycle為 5 s/cycle。

－B10D為 cycles。

利用此等輸入數據，可計算下列之量。

ISO 13849-1:2015(E)

－ 55－

(C.7)

(C.8)

(C.9)

依表 4，這表示構件之 MTTFD為〝高〞。此等假設僅在閥的限制操作時間為 23.7 years 時才有效。

C.5 電氣構件之 MTTF D 數據

C.5.1 一般

表 C.2 至表 C.7 顯示電子構件之某些典型的 MTTFD 平均值。此數據節錄自 SN

29500 系列資料庫 [46]。所有數據皆為一般類型。有呈現不同電子構件之 MTTFD

值的各類資料庫 (參照參考文獻，但其所列者並非完整清單 (non－ exhaust ive

l i st) )。若 SRP/CS 設計者有所用構件之其他、可靠及特定數據，強烈建議採用

該特定數據。

表 C.2 至表 C.7 所示數值在溫度 40 ℃、標稱負載電流及標稱負載電壓下才有

效。

在表中之 MTTF 欄位，來自 SN 29500 的數值係對一般構件之所有可能失效模式，

其未必是危險性失效。在 MTTFD 欄位中，典型地假設並非所有失效模式都會導

致危險性失效，此主要與應用有關。決定構件〝典型〞MTTFD 的精確方法為執

行 FMEA。某些構件，如作為開關之電晶體，在失效時可能會有短路或中斷。

此兩種模式中僅有一種是危險，因此〝備註〞欄假設只有 50%的危險性失效，

此表示構件的 MTTFD 是給定之 MTTF 值的兩倍。

C.5.2 半導體

參照表 C.2 及表 C.3。

表 C.2 電晶體(作為開關)

電晶體範例構件之 MTTF

year

構件之典型 MTTFD

year 備註

雙極 TO18、 TO92、

SOT23 38,052 76,104

50 %危險性失

效

雙極 (低功率 ) TO5,TO39 5,708 11,416

50 %危險性失

效

雙極 (功率 ) TO3、 TO220、

D 封裝 1903 3,806

50 %危險性失

效

FET 接面 MOS 22,831 45,662

50 %危險性失

效

MOS(功率 ) TO3、 TO220、

D 封裝 1 ,903 3,806

50 %危險性失

效

－ 56－

表 C.3 二極體、功率半導體及積體電路

二極體範例構件之 MTTF

year


year 備註

一般用途－ 114,155 228,311

50 %危險性失

效

抑制器－ 16,308 32,616

50 %危險性失

效

Zener 二極體

(P t o t < 1W) － 114,155 228,311

50 %危險性失

效

整流二極體－ 57,078 114,155

50 %危險性失

效

橋式整流器－ 11,415 22,831

50 %危險性失

效

閘流體－ 2 ,283 4,566

50 %危險性失

效

三端交流開關

（ Triac）、二

端交流開關

（Diac）

－ 1 ,522 3,044 50 %危險性失

效

積體電路 (可程

式化及非可程

式化 )

使用製造商數據 50 %危險性失

效

C.5.3 被動構件

參照表 C.4 至表 C.7。

表 C.4 電容器

電容器範例構件之 MTTF

year


year 備註

標準 (無功率 ) KS、KP、KC、

KT、MKT、

MKC、MKP、

MKU、MP、

MKV

57,078 114,155 50 %危險性失

效

陶瓷－ 22,831 45,662

50 %危險性失

效

鋁電解非固態電解質 22,831 45,662

50 %危險性失

效

ISO 13849-1:2015(E)

－ 57－

表 C.4 電容器(續)

電容器範例構件之 MTTF

year


year 備註

鋁電解固態電解質 38,052 76,104

50 %危險性失

效

鉭電解非固態電解質 11,415 22,831

50 %危險性失

效

鉭電解固態電解質 114,155 228,311

50 %危險性失

效

表 C.5 電阻器

電阻器範例構件之 MTTF

year


year 備註

碳膜－ 114,155 228,311

50 %危險性失

效

金屬膜－ 570,776 1,141,552

50 %危險性失

效

金屬氧化物及

繞線式－ 22,831 45,662

50 %危險性失

效

可變－ 3 ,805 7,618

50 %危險性失

效

表 C.6 電感器

電感器範例構件之 MTTF

year


year 備註

對 MC(電磁接

觸器 )應用－ 38,052 76,104

50 %危險性失

效

低頻電感器及

變壓器－ 22,831 45,662

50 %危險性失

效

主變壓器及用

於切換模式及

供電之變壓器

－ 11,415 22,831

50 %危險性失

效

表 C.7 光耦合器

光耦合器範例構件之 MTTF

year


year 備註

雙極輸出 SFH 610 7,610 15,220

50 %危險性失

效

FET 輸出 LH 1056 2,854 5,708

50 %危險性失

效

－ 58－

附錄 D

(參考 )

各通道 MTTFD 之簡化估計方法

D.1 零件計數法

使用〝零件計數法〞分別估計各個通道的 MTTFD。本計算方法 ( 3 )中使用通道中所

有單一構件的 MTTFD 值。

註 ( 3 )：零件計數法為近似方法，其誤差總在安全側。若要求更準確之值，設計者

應考量失效模式，但此估計方法可能非常複雜。

一般公式為

(D.1)

(D.1)

其中

MTTFD 為整個通道的值。

MTTFD i

MTTFD j 為通道中每個對安全功能有所影響之構件的 MTTFD。

為通道中所有構件之數目。

為通道中具相同 MTTFDj 的相同構件之組數。

第一個總和為每一個別構件之加總，第二個總和為對等的簡化形式，其中所有 n j

個具相同 MTTFD j 的相同構件，分為同一組。

在表 D.1 之範例中，通道的 MTTFD 為 22.4 year，依表 5 之等級為〝中〞。

表 D.1 電路板零件表之範例

j 構件

單元

n j

MTTFD j

典型情況

years

1/MTTFD j

典型情況

1 /year

n j /MTTFD j

典型情況

1/year

1 電晶體 (雙極、低功率 )

(參照表 C.2) 2 11,416 0.0000876 0.0001752

2 電阻器 (碳膜 ) (參照表

C.5) 5 228,311 0.0000044 0.0000219

3 電容器 (標準、無功率 )

(參照表 C.4) 4 114,155 0.0000088 0.0000350

4

繼電器 (製造商提供之

數值 )

(B 1 0 D=20,000,000 cyc le s

,n o p=633 ,600

cycles /year )

4 315.7 0 .0031676 0.0126703

5

接觸器 (製造商提供之

數值 )

(B 1 0 D=2,000,000 cyc les,

1 31.6 0 .0316456 0.0316456

ISO 13849-1:2015(E)

－ 59－

n o p=633,600

cycles /year )

Σ(n j /MTTFD j) 0 .0445480

MTTFD=1/Σ(n j /MTTFD j) (years) 22.4

備考 1. 此方法是基於通道內任何構件的危險性失效 (最壞情況之估計 )，皆會導

致通道發生危險性失效之假設。表 D.1 之 MTTFD 計算值便是基於此假

設。

備考 2. 此範例中，接觸器為主要的影響來源。範例中選擇的 MTTFD 及 B 1 0 D 值係

參考附錄 C 而得。對此應用範例，假設 d o p=220 days/year、 h o p =8 h/day

及 t c y c l e = 10 s/cyc les，可得 n o p=633,600 cyc les /year。一般而言，使用製

造商的 MTTFD 及 B 1 0 D 值會得到較好的結果，亦即通道的 MTTFD 會較高。

D.2 不同通道之 MTTF D，每個通道 MTTF D 的對稱化

6.2 之指定架構，假設一備援 SRP/CS 的不同通道之每個通道的 MTTFD 值皆相同。

每個通道之此值，應為圖 5 的輸入。

若通道之 MTTFD 值不同，有下列兩種可能。

－做最壞情況之假設，應考慮較低的值。

－使用公式 D.2 估計一個值，作為每個通道 MTTFD 值的替代值。

(D.2)

(D.2)

其中 MTTFD C 1 及 MTTFD C 2 為兩個不同備援通道之值，在採用公式 D.2 前，此等

值限制於最大為 100 years(類別 B、類別 1、類別 2 及類別 3)或 2,500 years (類別

4)。

範例：若一通道之 MTTFD C 1=3 years，另一通道的 MTTFD C 2=100 years，則得出

每個通道之 MTTFD=66 years。此即若在一備援系統中，其中一通道之

MTTFD 為 100 years，而另一通道為 3 years，此備援系統等同於每通道的

MTTFD 值皆為 66 years 之系統。

使用上述公式，兩個通道 MTTFD 值不同的備援系統，可被兩個通道 MTTFD 值皆

相同的備援系統替代。正確使用圖 5 需要此程序。

備考：此方法假設所有通道為獨立並聯。

－ 60－

附錄 E

(參考 )

功能及模組之診斷涵蓋率 (DC)的估計

E.1 診斷涵蓋率 (DC)之範例

參照表 E.1。

表 E.1 估計診斷涵蓋率 (DC)

措施 DC

輸入裝置

由輸入信號之動態改變以執行週期試驗 90%

似真檢查 (Plausibi l i ty check)，如使用常開及常閉機械連結

式接點

99%

無動態試驗情況下，交互監測輸入 0 %至 99 %，視應用進行

信號改變之頻率而定

若無法偵測到短路，則以動態試驗交互監測輸入信號 (針

對多個 I /O)

90%

交互監測輸入信號及邏輯 (L)內的中間結果，程式流程時

態 ( tempora l)及邏輯軟體監測，以及靜態故障及短路之偵

測 (針對多個 I /O)

99%

間接監測 (例：以壓力開關監測、致動器之電氣位置監測 ) 90 %至 99 %，視應用而定

直接監測 (例：控制閥之電氣位置監測、利用機械連結式

接觸元件監測機電裝置 )

99%

以程序進行故障偵測 0 %至 99 %，視應用而

定，若要求性能等級為

e，則僅使用此措施並不夠

監測感測器之部分特性 (例：電阻、電容之反應時間、類

比信號範圍 )

60%

邏輯

間接監測 (例：以壓力開關監測、致動器之電氣位置監測 ) 90 %至 99 %，視應用而定



99%

簡單的邏輯時態時間監測 (如作為看門狗 (wa tchdog)之計

時器，其觸發點位於邏輯程式內 )

60%

備考 1. 其他 DC 估計方法，參照如 IEC 61508-2 :2010 之表 A.2 至表 A.15。

備考 2. 若宣稱邏輯為中或高 DC，則可變記憶、固定記憶及處理單元至少須使用一

項各 DC 至少為 60%之措施，亦可使用本表所列以外之措施。

備考 3 . 對已給定 DC 範圍之措施 (如以程序進行故障偵測 )，藉由考慮所有危險失

效，可決定正確 DC 值，再決定 DC 措施可偵測到其中的哪些部份。如有疑

慮，應以 FMEA 作為估計 DC 之基礎。

ISO 13849-1:2015(E)

－ 61－

表 E.1 (續)

措施 DC

利用看門狗進行邏輯之時態及邏輯監測，其中試驗設備進

行邏輯行為之似真檢查

90%

開機自我測試以偵測邏輯部分中之潛在故障 (例：程式及

資料記憶、輸入 /輸出埠及介面 )

90 %(視測試技術而定 )

在開機或需要安全功能或外部信號經由輸入設施提出要

求時，利用主通道檢查監測裝置反應能力 (如看門狗 )

90%

動態原則 (有安全功能需求時，邏輯的所有構件被要求去

改變 ON－OFF－ON 狀態 )，如透過繼電器執行之聯鎖電

路

99%

固定記憶 ( invariable memory)：單字元組 (8 位元 )之簽名

(signature)

90%

固定記憶：雙字元組 (16 位元 )之簽名 99%

可變記憶 (var iab le memory)：使用備援資料進行 RAM 測

試，例：旗標、標記、常數、計時器並交叉比對此等資料

60%

可變記憶：檢查已使用資料記憶體單元之可讀性及寫入能

力

60%

可變記憶：以修改之漢明碼 (Hamming code)或 RAM 自我

試驗 (如〝 galpa t〞或〝Abraham〞 )，以監測 RAM

99%

處理單元：以軟體進行自我試驗 60 %至 90 %

處理單元：編碼處理 90 %至 99 %


定，若要求性能等級為 e，

則僅使用此措施並不夠

輸出裝置

無動態試驗情況下，以一個通道監測輸出 0 %至 99 %，視應用進行


無動態試驗情況下，交互監測輸出 0 %至 99 %，視應用進行


在無短路偵測情況下，以動態試驗交互監測輸出信號 (針

對多個 I /O)

90%

交互監測輸入信號及邏輯 (L)內的中間結果，程式流程時

態 ( temporal )及邏輯軟體監測，以及靜態故障及短路之偵

測 (針對多個 I /O)

99%

備援切斷路徑，並以邏輯及試驗設備監測致動器

99%

間接監測 (例：以壓力開關監測、致動器之電氣位置監測 ) 90 % to 99 %，視應用而定


定，若要求性能等級為

e，則僅使用此措施並不夠



99%

－ 62－

表 E.1 之應用參照以下範例。

範例 1 . ISO 13949-2 附錄 E 呈現一確認自動裝配機故障行為及診斷方式之完整範例。

範例 2. ISO/TR 24119 描述一實用的步驟表方法，用以評估串聯聯鎖裝置之診斷涵蓋

率。

範例 3.只有當生產流程中涉及安全相關構件時，才能使用 DC 措施〝以程序進行故障偵測〞，例如，標準 PLC 或

標準感測器用於工件處理，且屬於執行安全功能兩個備援通道之一的一部分。適當之 DC 等級，視常用

資源(邏輯、輸入/輸出等)之重疊而定。例如，當印刷機中旋轉編碼器之所有故障，皆會導致印刷流程高

度明顯中斷時，用以監測安全限速之此感測器的 DC，可估計為 90 %至 99 %。

E.2 平均 DC(DCavg)之估計

許多系統可能使用多種故障偵測措施，此等措施可檢查 SRP/CS 不同部分，且具

有不同 DC。對依圖 5 之 PL 估計法，整個執行安全功能的 SRP/CS，僅能使用一

個平均 DC。

DC 可由偵測所得之危險性失效的失效率與總危險性失效之失效率的比值決定之。

依此定義，平均診斷涵蓋率 DC a v g 可由下列公式估計之。

(E.1)

此處必須考慮所有無故障排除的 SRP/CS 構件並加總之。各個方塊都將其 MTTFD

及 DC 納入考慮。DC 在此公式中表示該部分偵測所得危險性失效之失效率 (與所

用之失效偵測措施無關 )與該部分所有危險性失效之失效率的比值。因此，DC 係

指被測部分而非測試裝置。無失效偵測之構件 (如未測試 )的 DC=0，只會對 DC a v g

的分母有影響。

ISO 13849-1:2015(E)

－ 63－

附錄 F

(參考 )

共因失效 (CCF)之估計

F.1 CCF 之要求

對感測器 /致動器及單獨對控制邏輯之防止 CCF 措施的完整程序，如 IEC

61508-6 :2000 之附錄 D 所示。但並非其中的所有措施皆適用於機械，最重要的措

施如本節所示。

備考：本標準假設，備援系統的 β 因子依 IEC 61508-6:2000 之附錄 D，應小於或

等於 2 %。 .

F.2 CCF 效應之估計

整個系統應通過此量化程序。應考慮控制系統安全相關部分的每個部分。

表 F.1 列出措施並包含依據工程判斷之所屬數值，其代表各措施對降低共因失效

之貢獻。

對各項列出之措施，只能宣告為滿分或零分。若一項措施只有部分完成，則此措

施之分數為零分。

表 F.1 防止 CCF 措施之評分程序及量化

編

號防止 CCF 措施分數

1 分開 /隔離

信號路徑間為實體分開，例：

－分開接線 /配管。

－以動態試驗偵測電纜短路及開路。

－分開遮蔽各通道信號路徑。

－印刷電路板上有足夠之空間距離及沿面距離。

15

2 多樣性

使用不同技術 /設計或物理原理，例：

－第一個通道為電子或可程式電子通道，第二個通道為機電

硬接線通道。

－各通道之安全功能具不同啟動方式 (例：位置、壓力或溫

度 )，

及 /或

變數 (例：距離、壓力或溫度 )之數位及類比量測

及 /或

不同製造商之構件。

20

－ 64－

表 F.1 (續)

編

號防止 CCF 措施分數

3 設計 /應用 /經驗

3.1 過電壓、壓力過高、過電流及溫度過高等保護。 15

3.2 所用之構件經充分驗證。 5

4 評鑑 /分析

對控制系統安全相關部分之各部分，已執行失效模式及效應分

析，並將其結果納入考慮，避免設計上之共因失效。

5

5 能力 /訓練

訓練設計者瞭解共因失效之原因及後果。 5

6 環境

6 .1 對電氣 /電子系統，依適當標準 (如 IEC 61326-3-1)，防止污染及電

磁干擾 (EMC)，以避免共因失效。

流體系統：壓力介質之過濾、防止吸入髒污、壓縮空氣排放，如

符合構件製造商對壓力介質純度之要求。

備考：若為流體及電氣組合系統，則兩個層面均應考慮。

25

6.2 其他影響

考慮所有相關環境影響之耐受性要求，例：溫度、衝擊、振動及

濕度 (如相關標準所規範 )。

10

加總 [最高為

100 分 ]

總分避免 CCF( a )措施

65 分或以上符合要求

小於 65 分程序不合格 =>選擇額外措施

註 ( a ) 若某一技術措施不相關時，可在加總計算時考慮此列所附分數。

ISO 13849-1:2015(E)

－ 65－

附錄 G

(參考)

系統性失效

G.1 一般

ISO 13849-2 有防止系統性失效措施的完整清單，如基本及充分驗證安全原則等。

G.2 控制系統性失效之措施

應採取下列措施控制系統性失效。

－關閉動力源 (參照 ISO 13849-2)

控制系統安全相關部分在設計上應確保失去動力時，機器達到安全狀態或維

持在此狀態。

－控制電壓急降、電壓變異、過電壓及電壓不足等效應之措施。

應預先決定 SRP/CS 對電壓急降、電壓變異、過電壓及電壓不足等情況之反應

行為，以使 SRP/CS 能達成或維持機器之安全狀態。 (亦參照 IEC 60204-1 及

IEC 61508-7:2000 之 A8)。

－控制或避免物理環境效應 (例：溫度、濕度、水、振動、灰塵、腐蝕性物質、

電磁干擾及其效應 )之措施。

應預先決定 SRP/CS 對物理環境效應之反應行為，以使 SRP/CS 能達成或維

持機器之安全狀態。 (亦參照 IEC60529 及 IEC 60204-1)。

－包含軟體之 SRP/CS，應使用程式序列監測，以偵測有缺失的程式序列。

若程式之個別元件 (例：軟體模組、子程式或指令 )，在錯誤的序列或時段被處理，

或處理器的時脈發生故障，則程式序列存在缺失 (參照 EN 61508-7:2001 之 A.9)。

－控制由任何資料通訊流程中引起的錯誤效應及其他效應之措施 (參照 IEC

61508-2 :2000 之 7.4.8)。

此外，考慮 SRP/CS 的複雜性及其性能等級 (PL)，亦應使用下列一種以上措施。

－藉由自動試驗偵測失效。

－藉由備援硬體進行試驗。

－硬體多元化。

－以確動模式操作。

－機械連結式接點。

－直接開啟動作。

－失效模式之導向。

－藉由合適之因子加大尺度，若製造商可證明降低額定，可改善可靠度。若適

合加大尺度，則應使用至少為 1.5 的加大尺度因子。

亦參照 ISO 13849 -2:2002 之 D.3。

G.3 避免系統性失效之措施

－ 66－

應採取下列措施避免系統性失效。

－使用適合之材料及適當的製造

依應力、耐用性、彈性、摩擦、磨耗、腐蝕、溫度、導電性及介電強度 (dielec tr ic

r igid ity)等選擇材料、製造方法及處理方式。

－正確的尺度及形狀

考慮如應力、應變、疲勞、溫度、表面粗糙度、許可差及製造等因素。

－適當選擇、結合、安排、組合及安裝構件，包括佈纜 (cabl ing)、配線 (wir ing)

及任何互聯。

採用適當標準及製造商的應用資料，如型錄、安裝說明、規範書及使用良好之工

程實務。

－相容性

使用操作特性相容之構件。

備考：如液壓或氣壓閥的構件，可能會要求週期性切換，以避免由於無切換

或無法接受之切換時間延長的失效。在此情況下，需要週期性試驗。

－承受指定之環境條件

SRP/CS 之設計，可讓其在所有可預期的環境及可預見的不利情況 (例：溫度、

濕度、振動及電磁干擾 (EMI))中工作 (參照 ISO 13849-2 :2002 之 D.2)。

－使用其設計符合適當標準且有定義明確之失效模式的構件

使用具特定特性之構件，降低未偵測到的故障之風險 (參照 IEC 61508-7 :2000

之 B.3.3)。

此外，考慮 SRP/CS 的複雜性及其性能等級 (PL)，亦應使用下列一種以上措施。

－硬體設計審查 (例：檢驗或走查 )

利用審查及分析，以揭露規格與實現間之落差 (參照 IEC 61508–7:2000 之 B.3.7

及 B.3.8)。

－可模擬或分析之電腦輔助設計工具

系統性執行設計程序，並納入現有通過測試的相關自動構形元件 (Automatic

Construct ion Elements )。 (參照 IEC 61508-7:2000 之 B.3.5)。

－模擬

就其構件運作的性能及正確的尺度，系統性並全面地檢驗 SRP/CS 之設計 (參

照 IEC 61508-7:2000 之 B.3.6)。

備考： IEC 61508-2： 2010 之附錄 F 規範應用特定積體電路 (ASIC)、現場可程式閘陣

列 (FPGA)及可程式邏輯裝置 (PLD)等，在設計及發展過程中，避免系統性失效之技術

及措施。

G.4 在 SRP/CS 整合期間避免系統性失效之措施

在 SRP/CS 整合期間，應採用下列措施避免系統化失效。

－功能測試。

ISO 13849-1:2015(E)

－ 67－

－專案管理。

－文件化。

此外，考慮 SRP/CS 之複雜性及其性能等級，亦應採用黑箱測試。

－ 68－

附錄 H

(參考 )

控制系統數個安全相關部分之組合範例

圖 H.1 為安全相關部分提供一種控制機器致動器的功能之示意圖。本圖並非運作 /工

作圖，且僅包含展示此一功能中結合類別與科技的原則。

其控制係由電子控制邏輯及液壓換向閥提供。風險由使用 AOPD 而降低，此裝置偵測

是否接近危害情況，並防止在光束被遮斷時起動流體致動器。

提供安全功能之安全相關部分，包括 AOPD、電子控制邏輯、液壓換向閥及互連裝置。

此等組合之安全相關部分提供停止功能作為安全功能。當 AOPD 被中斷時，輸出將信

號傳至電子控制邏輯，再由其提供信號給液壓換向閥，作為 SRP/CS 的輸出，以停止

液壓油流動。此停止機器致動器的危害移動。

此安全相關部分之組合，創造一安全功能，展示基於第 6 節所示要求之不同類別與技

術的組合。使用本標準所示之原則，圖 H.2 所示之安全相關部分，可描述如下。

－類別 2，電敏式保護裝置 (光障 )之 PL=c。此裝置使用充分驗證的安全原則，降低

故障機率。

－類別 3，電子控制邏輯之 PL=d。為提升此電子控制邏輯之安全性能等級，此 SRP/CS

為備援結構且實現多個故障偵測措施，使其可偵測大多數的單一故障。

－類別 1，液壓換向閥的 PL=c。是否屬於充分驗證狀態，主要視個別應用而定。在

本例中，此閥被視為屬充分驗證。為降低故障機率，此裝置包含使用充分驗證安

全原則之充分驗證構件，並考慮所有應用條件 (參照 6.2.4)。

備考 1. 互連裝置的位置、大小及配置亦須納入考量。

此組合以 PL l o w =c 及 N l o w=2，導致整體性能等級 PL =c(參照 6.3)。

備考 2. 若圖 H.2 之類別 1 或類別 2 部分有一故障，安全功能可能會喪失。

ISO 13849-1:2015(E)

－ 69－

說明

AOPD 主動式光電保護裝置 (如光障 )， SRP/CS a︰類別 2， PL=c

E 電子控制邏輯， SRP/CS b︰類別 3， PL=d

F 流體換向閥， SRP/CS c︰類別 1， PL=c

F a 流體致動器

H 危害移動

圖 H.1 解釋 SRP/CS 組合方塊圖之範例

－ 70－

說明

AOPD 主動式光電保護裝置 (如光障 )

E 電子控制邏輯

F 流體換向閥

I、 I1、 I2 輸入裝置，如感測器

L、 L1、 L2 邏輯

O、O1、O2、OTE 輸出裝置，如主接觸器

TE 試驗設備

圖 H.2 以指定架構取代圖 H.1

ISO 13849-1:2015(E)

－ 71－

附錄 I

(參考 )

範例

I.1 一般

附錄 I 說明使用先前附錄所示鑑別安全功能並決定 PL 之方法。提供兩種控制迴路

之量化。逐步程序參照圖 3。

檢視不同機器的 2 控制迴路範例 (A 及 B)，參照圖 I .1 及圖 I .3。兩者皆說明防護門

聯鎖的相同安全功能之性能，但因不同之應用而有不同的 PL r。第一個範例包含一

個中至高 MTTFD 值之機電構件的通道，第二個範例則由具中至高 MTTFD 值及適

當診斷測試的構件之兩個通道組成，一個為機電式，另一個為可程式電子式。

I.2 安全功能及要求性能等級 (PL r)

兩個範例中，與防護門聯鎖有關之安全功能的要求可規範如下。

當聯鎖防護打開時，將停止危險移動 (藉由將電動馬達減速或斷電 )。

備考：範例 B 中，風險評鑑決定，可接受因功能異常 (SW2、CC 或 PLC)而喪失馬

達受控之減速。

依 ISO 13855，按照機器停止性能，決定聯鎖防護與機器移動件間之最小距離。

範例 A 中，依風險圖法 (參照圖 A.1)之風險參數如下。

－受傷嚴重性， S = S2，嚴重。

－暴露於危害中的頻率及 /或時間， F = F1，很少至較不常及 /或暴露時間短。

－避免危害之可能性， P = P1，在特定情況下有可能。

選擇此等風險參數，導致要求性能等級 PL r 為 c。

決定較佳類別，典型地可藉由非常可靠的單通道系統 (類別 1)、具測試設備之單通

道系統 (類別 2)或備援架構 (類別 3)，實現性能等級〝 c〞 (參照圖 5 及第 6 節 )。

在範例 B 中，風險參數 S2 及 P1 相同，但危害頻率及 /或暴露時間 F = F2，經常至

持續及 /或暴露時間長。

此等決定導致要求性能等級 PL r 為 d。

決定較佳類別，典型地可藉由備援架構 (類別 2 或類別 3)實現性能等級〝 d〞 (參照

圖 5 及第 6 節 )。

－ 72－

I.3 範例 A(單通道系統 )

I .3 .1 鑑別安全相關部分

所有有助於防護聯鎖安全功能之構件，如圖 I .1 所示。為簡化，省略其他與安全

功能無關之構件 (例：起動及停止開關 )。

說明

o 防護聯鎖開啟

c 防護聯鎖未開啟

M 馬達

K1A 繼電式接觸器

SW1A 位置開關 (NC)

直接開啟

圖 I .1 執行安全功能之控制迴路 A

在本範例中，具直接開啟動作之位置開關 SW1A 使用於確動模式致動，但機械部分無

故障排除之判別。此位置開關連接至繼電式接觸器 K1A，其可切斷馬達電力。此等

安全相關部分之主要特性如下。

－機電構件之一通道。

－位置開關 SW1A(NC)具接點之確動機械動作及高 B 1 0 D。

－繼電式接觸器 K1A 具高 B 1 0 D。

依 ISO 13849-2 實現時，本範例中之位置開關及繼電式接觸器皆屬充分驗證構件。

安全相關部分可圖示於圖 I .2 所示之安全相關方塊圖。

說明

K1A 繼電式接觸器

SW1A 位置開關

圖 I.2 鑑別範例 A安全相關部分之安全相關方塊圖

ISO 13849-1:2015(E)

－ 73－

I.3.2 MTTFD、DCavg、防止 CCF 措施、類別及 PL之量化

假設依附錄 C、附錄 D、附錄 E 及附錄 F 估計 MTTFD、DC a v g 數值及防止 CCF

措施，或待由製造商提供。依 6.2 估計其類別。

－ MTTFD

位置開關 SW1A 及繼電式接觸器 K1A 促成此一通道的 MTTFD。假設由製造商

提供的數值為 B 1 0 D , S W 1 A = 20,000,000 cyc les(與負載無關之位置開關 )、B 1 0 D , K 1 A

= 400,000 cyc les(最大負載下之繼電式接觸器 )。採用 C.4.2 之方法，以每年 220

個工作天、每天工作 8 h、一個週期為 60 min，可得 MTTFD , S W 1 A = 113,636 years

及 MTTFD , K 1 A = 2 ,273 years。接著利用 D.1 零件計數法，計算此一個通道的

MTTFD。

( I .1)

( I .1)

因此，該通道之 MTTFD = 2 ,222 years (限制為 100 years)，且依 4.5.2 之表 5 為

〝高〞。

備考：若無法取得 SW1A 或 K1A 之 B 1 0 D 資訊，則可依 C.2 或 C.4 作最壞情況假

設。

－ T 1 0 D

依 C.4.2 方法所得之 T 1 0 D , S W 1 A 為 11,364 years 及 T 1 0 D , K 1 A 為 227 years，兩者皆

超過 20 years 的任務時間，故可消除對任何預防性更換之需求。

－ DC

因控制迴路 A 未執行診斷測試，故 DC = 0 或依 4.5.3 之表 6 為〝無〞。

－ CCF

因僅使用一個通道，故與防止 CCF 之措施無關。

－類別

滿足類別 1 之特性(基本及充分驗證安全原則以及充分驗證構件)，包含通道之 MTTFD要求應

為〝高〞。

圖 5 之輸入資料為，通道的 MTTFD為〝高〞(100 years)、DCavg為〝無〞及類別為 1。

利用圖 5，此可解釋為性能等級 c。

應用附錄 K 顯示每小時危險性失效之平均機率(PFHD)為 1.14 × 10－6/h及 PL c。

此結果與依 I .2 之要求性能等級 c 相符。因此控制迴路 A 滿足 I .2 中具 S2、 F1、

P1 及 PL r c 之應用範例 A 風險降低之要求。

I.4 範例 B(備援系統 )

I .4 .1 鑑別安全相關部分

所有有助於防護聯鎖安全功能之構件如圖 I .3 所示。為簡化，省略其他與安全功

能無關之構件 (例：起動及停止開關或 K1B 延時切換 )。

－ 74－

說明

PLC 可程式邏輯控制器 C S 停止信號（標準）

CC 電流轉換器 E S 致能（標準）

M 馬達 K1B 繼電式接觸器

RS 旋轉感測器 SW1B 位置開關（NC）

o 防護聯鎖開啟 SW2 位置開關（NO）

c 防護聯鎖未開啟直接開啟

圖 I.3 執行安全功能之控制迴路 B

在此第二個範例中，使用 2 通道架構提供備援。如範例 A 中，第一個通道包含

具直接開啟動作之位置開關 SW1B 使用於確動模式致動。此位置開關連接至繼

電式接觸器 K1B，其可切斷馬達電力。在包含 (可程式 )電子構件之第二個通道中，

第二個位置開關 SW2 連接至可程式邏輯控制器 PLC，其可命令電流轉換器 CC

切斷馬達電力。此等安全相關部分主要特性如下。

－備援通道，一個為機電式及另一個為可程式電子式。

－僅位置開關 SW1B(NC)具接點之確動機械動作，但兩個位置開關 SW1B 及

SW2 皆具高 B 1 0 D。

－繼電式接觸器 K1B 具高 MTTFD。

－電子構件 PLC 及 CC 具中 MTTFD。

－對 PLr 為 d， PLC 安全相關應用軟體 (SRASW)，例：與監測輸入信號 SW2、

K1B、RS 及至電流轉換器之輸出命令有關的軟體部分，依 4 .6.3 規範、設計

及查證。

安全相關部分及其通道區分，可圖示於圖 I .4 所示之安全相關方塊圖中。因此，

第一個通道包含 SW1B 及 K1B，第二個通道包含 SW2、 PLC 及 CC，但 RS 僅用

於測試電流轉換器。

ISO 13849-1:2015(E)

－ 75－

說明

SW1B 位置開關

K1B 繼電式接觸器

SW2 位置開關

PLC 可程式邏輯控制器

CC 電流轉換器

RS 旋轉感測器

圖 I.4 鑑別範例 B 安全相關部分之方塊圖

I.4 .2 各通道 MTTF D、 DCa v g、防止 CCF 措施、類別及 PL 之量化

假設依附錄 C、附錄 D、附錄 E 及附錄 F，評估各通道 MTTFD 值、DC a v g 及防止

共因失效措施，或待由製造商提供。依 6.2 決定類別。

具直接開啟動作之位置開關 SW1B 使用於確動模式致動，但機械部分無故障排

除之判別。

－ MTTFD

位置開關 SW1B 及繼電式接觸器 K1B 促成第一個通道的 MTTFD , C 1。假設由

製造商提供的數值為 B 1 0 D , S W 1 B = 20,000,000 cyc les(與負載無關之位置開關 )

及 B 1 0 D , K 1 B = 400,000 cyc les(最大負載下之繼電式接觸器 )。採用 C.4 .2 之方

法，以每年 300 個工作天、每天工作 16 h、一個週期為 4 min，可得到

MTTFD , S W 1 B = 2 ,778 years 及 MTTFD , K 1 B = 56 years。接著利用 D.1 零件計數

法，計算第一個通道的 MTTFD , C 1。

( I .2)

( I .2)

因此，該通道的 MTTF D = 55 years，且依 4.5.2 之表 5 為〝高〞。

第二個通道中，SW2、PLC 及 CC 促成 MTTFD , C 2。假設製造商提供之 B 1 0 D , S W 2

為 1,000,000 cyc les。如同第一個通道採用 C.4.2 之方法，所得之 MTTFD , S W 2

為 139 years。對 PLC 及 CC，假設製造商提供之 MTTFD 為 20 years。利用

－ 76－

D.1 零件計數法，計算第二個通道的 MTTFD , C 2。

( I .3)

( I .3)

因此，該通道之 MTTF D = 9 .3 years，且依 4.5.2 為〝低〞。

備考：若無法取得 SW1B、 SW2 或 K1B 的 MTTFD 資訊，可依 C.2 或 C.4 作

最壞情況假設。

因為兩個通道具不同的 MTTFD 值，故可利用 D.2 公式計算對稱雙通道系統

之 MTTFD 等效相同值。採用此公式可得各通道之 MTTFD = 37 years，且依

4.5.2 之表 5 為〝高〞。

－ T 1 0 D

依 C.4.2 方法所得之 T 1 0 D , S W 1 B 為 278 years、 T 1 0 D , K 1 B 為 5.5 years 及 T 1 0 D , S W 2

為 13.9 years，後兩者皆低於 20 years 的任務時間。因此，僅在操作分別到

達 5.5 年前更換 K1B 及在到達 13.9 年前更換 SW2，所估計之 PL 及 PFH 才

為有效。

－ DC

控制迴路 B 中，以 PLC 測試其中五個安全相關部分。此測試包含由 PLC 讀

回 SW1B、SW2 及 K1B、由 PLC 透過 RS 讀回 CC 及 PLC 執行自我測試。與

各被測部分有關之 DC 值如下。

(1) 由於似真檢查，DC S W 1 B = DC S W 2 = 99 %，〝高〞，參照表 E.1(輸入裝置

部分第二列 )，

(2) 由於常開及常閉機械連結接點，DC K 1 B = 99 %，〝高〞，參照表 E.1(輸

入裝置部分第二列 )，

(3) 由於自我測試之低有效性，DCP L C = 30 %，〝無〞 (PLC 製造商已提供如

由 FMEA 所計算之此數值 )，且

(4) 由於以控制邏輯間接監測致動器，DCC C = 90 %，〝中〞，參照表 E.1(輸

出裝置部分第六列 )－若 PLC 監測 CC 之失效，即能藉由致能 (標準 )停止

運動，且能切斷繼電式接觸器 K1B 之電力 (額外切斷路徑 )。

估計 PL 時，需要平均 DC 值 (DC a v g)作為圖 5 之輸入。

ISO 13849-1:2015(E)

－ 77－

( I .4)

( I .4)

因此，所得之 DCavg 依 4.5.3 及表 6 為〝低〞。

－ CCF

依 F.2 估計之防止 CCF 措施，控制迴路 B 之分數如表 I .1 所示。

表 I .1 估計範例 B 之防止 CCF 措施

編

號項目控制迴路分數最高可能分數

1 分開 /隔離

信號路徑間實體分隔 15 15

2 多樣性

使用不同技術 /設計或物理原理 20 20

3 設計 /應用 /經驗

3.1 對過電壓、過壓力、過電流或溫度過高等保護 15 15

3.2 所用之構件經充分驗證無 (僅部分滿

足，參照 F.2) 5

4 評鑑 /分析

對控制系統安全相關部分之各部分，已執行失

效模式及效應分析，並將其結果納入考慮，以

避免設計上之共因失效

無 5

5 能力 /訓練

訓練設計者瞭解共因失效之原因及後果無 5

6 環境

6.1 對電氣 / 電子系統，依適當標準 ( 如 IEC

61326-3-1)，防止污染及電磁干擾 (EMC)以避

免共因失效

25 25

6.2 其他影響

考慮所有相關環境影響之耐受性要求，如溫

度、衝擊、振動及濕度 (如相關標準之規定 )

10 10

總分 85 最高 100

足夠的防止 CCF 措施要求至少 65 分，故就範例 B 而言， 85 分已充分滿足防止

CCF 之要求。

範例 B 滿足類別 3 特性，因為在任何部分中的單一故障，不會導致喪失安全功

能，只要合理可行，應在下一個安全功能需求時或之前偵測到單一故障，診斷

涵蓋率 (DC a v g)在 60 %至 90 %間，防止 CCF 措施為足夠，且各通道之等效 MTTFD

為〝高〞。

－ 78－

圖 5 之輸入資料為，通道 MTTFD 為〝高〞 (37 years)，DC a v g 為〝低〞且類別為

3。

利用圖 5，此可解釋為性能等級 d。

應用附錄 K(使用 36 years)，顯示每小時危險性失效之平均機率 (PFH D)為 5.16 ×

10- 7

/h 及 PL d。

此結果與依 I .2 之要求性能等級 d 相符。因此，控制迴路 B 滿足 I .2 中具 S2、

F2、 P1 及 PL r d 之範例 B 應用的風險降低要求。

ISO 13849-1:2015(E)

－ 79－

附錄 J

(參考)

軟體

J.1 範例之描述

在本附錄中，為實現 SRP/CS 之 SRESW 的 PL r = d，將呈現示範性活動。此 SRP/CS

與機器設備接合，其確保下列事項。

－由各種感測器所傳送資訊之擷取。

－考慮安全要求，操作控制元件所要求的處理過程。

－致動器之控制。

本應用 SRESW 在功能方塊等級的設計，如圖 J .1 所示。

圖 J .1 軟體範例之功能方塊等級設計

擷取

感測器 1

擷取感測器 2

擷取

感測器 3

擷取感測器 4

擷取

感測器 5

處理功能 1

處理

功能 2

控制致動器 1

控制致動器 2

控制致動器 ˇ 3

致動器介面

感測器

介面

－ 80－

J.2 軟體安全壽命期 V 模型之應用

表 J . l 所示為機器控制之軟體安全壽命期 V 模型應用的文件及活動之示範性整

合。

表 J .1 軟體安全壽命期內的文件及活動

開發活動查證活動相關文件

機器層面︰

鑑別涉及 SRP/CS 之功能

鑑別安全相關功能〝機器控制之安全相關規

格〞

架構層面︰

具感測器及致動器之控制架

構的定義

所選構件其安全特性之註解〝控制架構之定義〞

軟體規格層面︰

將機器功能轉寫成軟體功能

描述之再審閱 (參照 J .3 ) 〝軟體描述〞

軟體架構層面︰

將功能細分至功能方塊

定義需要仔細審查及確認的

關鍵方塊

〝功能方塊建模〞

編碼層面︰

依程式編輯規則編碼 (參照

J .4)

再審閱程式碼。功能之查證

及規則之符合

〝在程式碼中編寫註解〞

〝編寫再審閱單〞

確認層面︰

試驗情境之製作︰

功能之操作層面

失效之行為層面

試驗涵蓋範圍之查證

試驗結果之查證

交互參照規格段落及測試之

〝對照矩陣〞

包含試驗情境及達成結果之

註解的〝試驗單〞

J.3 軟體規格之查證

作為軟體安全壽命期之部分，在軟體規格層級的查證活動包含審閱描述，以查證

所有敏感點已適當描述。當查證各功能時，應考慮下列事項。

－限制系統規格錯誤解讀之情況。

－避免因規格之差距，導致 SRP/CS 出現未知行為。

－精確地定義功能作用 /無作用的條件。

－明確地保證已處理所有可能狀況。

－一致性試驗。

－不同參數化之情況。

－隨失效後之反應。

J.4 程式編輯規則之範例

就 CCF 而言，一般應可能以作者、上載日期、版本及最後存取類型作程式認證。

關於程式編輯規則，可分為下列數類。

(a) 在程式結構層級之程式編輯規則

程式編輯應予以架構化，以顯示一致且易懂的整體骨架，讓不同的處理過程

能容易地被找到。此意謂下列規則。

(1) 對典型程式或功能方塊使用範本。

ISO 13849-1:2015(E)

－ 81－

(2) 將程式分為不同片段，以辨識對應〝輸入〞、〝處理過程〞及〝輸出〞的

主要部分。

(3) 對原始程式中每個程式區段註解，以便在程式修改時更新註解。

(4) 當呼叫功能方塊時，有此方塊角色之描述。

(5) 每個記憶位置，應僅由單一類型的資料形式使用，並以唯一標籤標示。

(6) 儘管已授權條件跳躍，工作程序仍不應取決於變數，如在程式執行時所計

算的跳越位址。

(b) 有關變數使用之程式編輯規則

－任何輸出的作用或無作用應只發生一次 (集中式條件 )。

－程式應結構化，集中要更新變數的方程式。

－每個全域變數，不論是輸入或輸出，應具夠清楚易於記憶名稱且在原始程

式內皆有註解描述之。

(c) 在功能方塊層級之程式編輯規則

－優先使用由 SRP/CS 供應商確認之功能方塊，檢查所確認方塊的假設操作

條件與程式條件相對應。

－已編碼方塊的大小，應限制在下列指引值。

( i ) 參數 –最多 8 個位數及兩個整數輸入、一個輸出。

( i i ) 函數碼 –最多 10 個區域變數，最多 20 個布倫方程式。

－功能方塊不應修改到全域變數。

－數位值應以對應預設基準控制之，以確保領域之有效性。

－功能方塊應嘗試偵測待處理變數之一致性。

－應可存取方塊之故障碼，以在多個故障中區別此故障。

－故障偵測後，故障碼及方塊狀態應以註解描述之。

－方塊重置或回復至正常狀態，應以註解描述之。

－ 82－

附錄 K

(參考 )

圖 5 之數值呈現

參照表 K.1。

－ 85－

表 K.1 圖 5 之數值呈現

各通道之 M TTF D

yea r

每小時危險性失效之平均機率 P FH D (1 /h )及對應的性能等級 ( P L)

類別 B P L 類別 1 P L 類別 2 P L 類別 2 P L 類別 3 P L 類別 3 P L 類別 4 P L

DC a v g = 無 DC a v g = 無 DC a v g = 低 DC a v g = 中 DC a v g = 低 DC a v g = 中 DC a v g = 高

3 3 .8 0 × 10－ 5 a 2 .5 8 × 10

－ 5 a 1 .9 9 × 10－ 5 a 1 .2 6 × 10

－ 5 a 6 .0 9 × 10－ 6 b

3 .3 3 .4 6 × 10－ 5 a 2 .3 3 × 10

－ 5 a 1 .7 9 × 10－ 5 a 1 .1 3 × 10

－ 5 a 5 .4 1 × 10－ 6 b

3 .6 3 .1 7 × 10－ 5 a 2 .1 3 × 10

－ 5 a 1 .6 2 × 10－ 5 a 1 .0 3 × 10

－ 5 a 4 .8 6 × 10－ 6 b

3 .9 2 .9 3 × 10－ 5 a 1 .9 5 × 10

－ 5 a 1 .4 8 × 10－ 5 a 9 .3 7 × 10

－ 6 b 4 .4 0 × 10－ 6 b

4 .3 2 .6 5 × 10－ 5 a 1 .7 6 × 10

－ 5 a 1 .3 3 × 10－ 5 a 8 .3 9 × 10

－ 6 b 3 .8 9 × 10－ 6 b

4 .7 2 .4 3 × 10－ 5 a 1 .6 0 × 10

－ 5 a 1 .2 0 × 10－ 5 a 7 .5 8 × 10

－ 6 b 3 .4 8 × 10－ 6 b

5 .1 2 .2 4 × 10－ 5 a 1 .4 7 × 10

－ 5 a 1 .1 0 × 10－ 5 a 6 .9 1 × 10

－ 6 b 3 .1 5 × 10－ 6 b

5 .6 2 .0 4 × 10－ 5 a 1 .3 3 × 10

－ 5 a 9 .8 7 × 10－ 6 b 6 .2 1 × 10

－ 6 b 2 .8 0 × 10－ 6 c

6 .2 1 .8 4 × 10－ 5 a 1 .1 9 × 10

－ 5 a 8 .8 0 × 10－ 6 b 5 .5 3 × 10

－ 6 b 2 .4 7 × 10－ 6 c

6 .8 1 .6 8 × 10－ 5 a 1 .0 8 × 10

－ 5 a 7 .9 3 × 10－ 6 b 4 .9 8 × 10

－ 6 b 2 .2 0 × 10－ 6 c

7 .5 1 .5 2 × 10－ 5 a 9 .7 5 × 10

－ 6 b 7 .1 0 × 10－ 6 b 4 .4 5 × 10

－ 6 b 1 .9 5 × 10－ 6 c

8 .2 1 .3 9 × 10－ 5 a 8 .8 7 × 10

－ 6 b 6 .4 3 × 10－ 6 b 4 .0 2 × 10

－ 6 b 1 .7 4 × 10－ 6 c

9 .1 1 .2 5 × 10－ 5 a 7 .9 4 × 10

－ 6 b 5 .7 1 × 10－ 6 b 3 .5 7 × 10

－ 6 b 1 .5 3 × 10－ 6 c

1 0 1 .1 4 × 10－ 5 a 7 .1 8 × 10

－ 6 b 5 .1 4 × 10－ 6 b 3 .2 1 × 10

－ 6 b 1 .3 6 × 10－ 6 c

1 1 1 .0 4 × 10－ 5 a 6 .4 4 × 10

－ 6 b 4 .5 3 × 10－ 6 b 2 .8 1 × 10

－ 6 c 1 .1 8 × 10－ 6 c

1 2 9 .5 1 × 10－ 6 b 5 .8 4 × 10

－ 6 b 4 .0 4 × 10－ 6 b 2 .4 9 × 10

－ 6 c 1 .0 4 × 10－ 6 c

1 3 8 .7 8 × 10－ 6 b 5 .3 3 × 10

－ 6 b 3 .6 4 × 10－ 6 b 2 .2 3 × 10

－ 6 c 9 .2 1 × 10－ 7 d

1 5 7 .6 1 × 10－ 6 b 4 .5 3 × 10

－ 6 b 3 .0 1 × 10－ 6 b 1 .8 2 × 10

－ 6 c 7 .4 4 × 10－ 7 d

1 6 7 .1 3 × 10－ 6 b 4 .2 1 × 10

－ 6 b 2 .7 7 × 10－ 6 c 1 .6 7 × 10

－ 6 c 6 .7 6 × 10－ 7 d

1 8 6 .3 4 × 10－ 6 b 3 .6 8 × 10

－ 6 b 2 .3 7 × 10－ 6 c 1 .4 1 × 10

－ 6 c 5 .6 7 × 10－ 7 d

2 0 5 .7 1 × 10－ 6 b 3 .2 6 × 10

－ 6 b 2 .0 6 × 10－ 6 c 1 .2 2 × 10

－ 6 c 4 .8 5 × 10－ 7 d

2 2 5 .1 9 × 10－ 6 b 2 .9 3 × 10

－ 6 c 1 .8 2 × 10－ 6 c 1 .0 7 × 10

－ 6 c 4 .2 1 × 10－ 7 d

備考 1. 對類別 2，若需求率小於或等於測試率的 1/25(參照 4.5.4)，則表 K.1 所述類別 2的 PFHD值乘以因子 1.1，可用為最壞情況估計。

備考 2. 基於下列 DCavg，計算 PFHD值。

DCavg = 低，以 60 %計算。

DCavg = 中，以 90 %計算。

DCavg = 高，以 99 %計算。

－ 86－

表 K.1 (續)


yea r



DC a v g = 無 DC a v g = 無 DC a v g =低 DC a v g = 中 DC a v g = 低 DC a v g = 中 DC a v g = 高

2 4 4 .7 6 × 10－ 6 b 2 .6 5 × 10

－ 6 c 1 .6 2 × 10－ 6 c 9 .4 7 × 10

－ 7 d 3 .7 0 × 10－ 7 d

2 7 4 .2 3 × 10－ 6 b 2 .3 2 × 10

－ 6 c 1 .3 9 × 10－ 6 c 8 .0 4 × 10

－ 7 d 3 .1 0 × 10－ 7 d

3 0 3 .8 0 × 10－ 6 b 2 .0 6 × 10

－ 6 c 1 .2 1 × 10－ 6 c 6 .9 4 × 10

－ 7 d 2 .6 5 × 10－ 7 d 9 .5 4 × 10

－ 8 e

3 3 3 .4 6 × 10－ 6 b 1 .8 5 × 10

－ 6 c 1 .0 6 × 10－ 6 c 5 .9 4 × 10

－ 7 d 2 .3 0 × 10－ 7 d 8 .5 7 × 10

－ 8 e

3 6 3 .1 7 × 10－ 6 b 1 .6 7 × 10

－ 6 c 9 .3 9 × 10－ 7 d 5 .1 6 × 10

－ 7 d 2 .0 1 × 10－ 7 d 7 .7 7 × 10

－ 8 e

3 9 2 .9 3 × 10－ 6 c 1 .5 3 × 10

－ 6 c 8 .4 0 × 10－ 7 d 4 .5 3 × 10

－ 7 d 1 .7 8 × 10－ 7 d 7 .1 1 × 10

－ 8 e

4 3 2 .6 5 × 10－ 6 c 1 .3 7 × 10

－ 6 c 7 .3 4 × 10－ 7 d 3 .8 7 × 10

－ 7 d 1 .5 4 × 10－ 7 d 6 .3 7 × 10

－ 8 e

4 7 2 .4 3 × 10－ 6 c 1 .2 4 × 10

－ 6 c 6 .4 9 × 10－ 7 d 3 .3 5 × 10

－ 7 d 1 .3 4 × 10－ 7 d 5 .7 6 × 10

－ 8 e

5 1 2 .2 4 × 10－ 6 c 1 .1 3 × 10

－ 6 c 5 .8 0 × 10－ 7 d 2 .9 3 × 10

－ 7 d 1 .1 9 × 10－ 7 d 5 .2 6 × 10

－ 8 e

5 6 2 .0 4 × 10－ 6 c 1 .0 2 × 10

－ 6 c 5 .1 0 × 10－ 7 d 2 .5 2 × 10

－ 7 d 1 .0 3 × 10－ 7 d 4 .7 3 × 10

－ 8 e

6 2 1 .8 4 × 10－ 6 c 9 .0 6 × 10

－ 7 d 4 .4 3 × 10－ 7 d 2 .1 3 × 10

－ 7 d 8 .8 4 × 10－ 8 e 4 .2 2 × 10

－ 8 e

6 8 1 .6 8 × 10－ 6 c 8 .1 7 × 10

－ 7 d 3 .9 0 × 10－ 7 d 1 .8 4 × 10

－ 7 d 7 .6 8 × 10－ 8 e 3 .8 0 × 10

－ 8 e

7 5 1 .5 2 × 10－ 6 c 7 .3 1 × 10

－ 7 d 3 .4 0 × 10－ 7 d 1 .5 7 × 10

－ 7 d 6 .6 2 × 10－ 8 e 3 .4 1 × 10

－ 8 e

8 2 1 .3 9 × 10－ 6 c 6 .6 1 × 10

－ 7 d 3 .0 1 × 10－ 7 d 1 .3 5 × 10

－ 7 d 5 .7 9 × 10－ 8 e 3 .0 8 × 10

－ 8 e

9 1 1 .2 5 × 10－ 6 c 5 .8 8 × 10

－ 7 d 2 .6 1 × 10－ 7 d 1 .1 4 × 10

－ 7 d 4 .9 4 × 10－ 8 e 2 .7 4 × 10

－ 8 e

1 0 0 1 .1 4 × 10－ 6 c 5 .2 8 × 10

－ 7 d 2 .2 9 × 10－ 7 d 1 .0 1 × 10

－ 7 d 4 .2 9 × 10－ 8 e 2 .4 7 × 10

－ 8 e

1 1 0 2 . 2 3 × 10－ 8 e

1 2 0 2 . 0 3 × 10－ 8 e

1 3 0 1 . 8 7 × 10－ 8 e

1 5 0 1 . 6 1 × 10－ 8 e

1 6 0 1 . 5 0 × 10－ 8 e

1 8 0 1 . 3 3 × 10－ 8 e

－ 87－

表 K.1 (續)


yea r




2 0 0 1 . 1 9 × 10－ 8 e

2 2 0 1 . 0 8 × 10－ 8 e

2 4 0 9 . 8 1 × 10－ 9 e

2 7 0 8 . 6 7 × 10－ 9 e

3 0 0 7 . 7 6 × 10－ 9 e

3 3 0 7 . 0 4 × 10－ 9 e

3 6 0 6 . 4 4 × 10－ 9 e

3 9 0 5 . 9 4 × 10－ 9 e

4 3 0 5 . 3 8 × 10－ 9 e

4 7 0 4 . 9 1 × 10－ 9 e

5 1 0 4 . 5 2 × 10－ 9 e

5 6 0 4 . 1 1 × 10－ 9 e

6 2 0 3 . 7 0 × 10－ 9 e

6 8 0 3 . 3 7 × 10－ 9 e

7 5 0 3 . 0 5 × 10－ 9 e

8 2 0 2 . 7 9 × 10－ 9 e

9 1 0 2 . 5 1 × 10－ 9 e

1 ,0 0 0 2 . 2 8 × 10－ 9 e

1 ,1 0 0 2 . 0 7 × 10－ 9 e

1 ,2 0 0 1 . 9 0 × 10－ 9 e

1 ,3 0 0 1 . 7 5 × 10－ 9 e

1 ,5 0 0 1 . 5 1 × 10－ 9 e

－ 88－

表 K.1 (續)


yea r




1 ,600 1 .42 × 10－ 9 e

1 ,800 1 .26 × 10－ 9 e

2 ,000 1 .13 × 10－ 9 e

2 ,200 1 .03 × 10－ 9 e

2 ,300 9 .85 × 10－ 1 0 e

2 ,400 9 .44 × 10－ 1 0 e

2 ,500 9 .06 × 10－ 1 0 e

－ 89－

名詞對照

applicat ion software 應用軟體

category 類別

common cause fa i lure 共因失效

dangerous fa i lure 危險性失效

demend ra te 需求率

diagnost ic coverage 診斷涵蓋率

embedded sof tware 嵌入式軟體

fa i lure 失效

fault 故障

ful l var iab il i ty language 完整變異性語言

harm 傷害

hazard 危害

hazardous si tua tion 危害狀況

high demand or continuous mode 高需求或連續模式

in tended use o f a machine 機器預定用途

l imi ted var iabi l i ty language 有限變異性語言

machine control sys tem 機器控制系統

manual reset 手動重置

mean t ime to dangerous fa i lure 至危險性失效平均時間

mission t ime 任務時間

monitor ing 監控

muting 靜默

per formance leve l 性能等級

programmable e lectronic sys tem 可程式電子系統

protec tive measure 保護措施

proven in use 經使用驗證

reasonably foreseeable misuse 合理可預見之誤用

repair rate 修理率

required per formace level 要求性能等級

res idual r i sk 殘餘風險

r isk 風險

r isk ana lys is 風險分析

r isk assessment 風險評鑑

r isk eva luat ion 風險評估

safety funct ion 安全功能

－ 90－

sa fety integri ty level 安全完整性等級

safety-re la ted par t o f a control sys tem 控制系統之安全相關部分

systemat ic fai lure 系統性失效

test rate 試驗率

－ 91－

參考資料

可程式電子系統出版品

[1] IEC 6100-4-4 , Electromagnet ic compat ibi l i ty (EMC) － Part 4: Test ing and

measurement techniques－ Sect ion4:Elec tr ica l fast t ransien t/burst immunity tes t

[2] IEC 61496-1, Safety o f machinery－ Elec tro-sensi t ive protec tive equ ipment－ Part

1:Genera l requirements and tests

[3] IEC 61496-2, Safety o f machinery－ Elec tro-sensi t ive protec tive equ ipment－ Part

2:Particu lar requirements for equipment us ing act ive opto -electronic protect ive

devices

[4] IEC 61496-3 , Safe ty o f machinery － Electro-sensit ive pro tec tive equ ipment －

Part3:Part icular requirements for ac tive opto -elec tron ic pro tec tive dev ices

responsive to di f fuse re f lec t ion(AOPDDP)

[5] IEC 61508-1:1998, Functional sa fety o f e lec tr ica l/electronic/programmable

elec tronic sa fe ty - re lated sys tems－ Part 1:General requirements


elec tronic safe ty - re lated sys tems－ Part 2:Requirements for electr ical /elec tronic/

programmable elec tron ic sa fe ty- re lated sys tems


elec tronic safety -rela ted systems － Part5:Examples o f methods for the

determinat ion o f safe ty integri ty levels


elec tronic safe ty - re lated sys tems－ Part 6:Guidelines on the applicat ion of IEC

61508-2 and IEC 61508-3


elec tronic sa fe ty - re lated sys tems－ Part 7:Overv iew o f techniques and measures

[10] GUIDELINES HSE Programmable Elec tronic Systems in Safety -re lated

Applicat ion , Par ts 1 [ ISBN 0 11 883906 6]and 2[ISBN 0 11 883906 3]

[11] CECR － 184, Personal Sa fety in Microprocessor Control Systems

[Elektronikcentralen, Denmark]

其他出版物

[12] ISO 13850 , Safety of machinery－ Emergency stop－ Princip les for design

[13] ISO 13851 , Safety of machinery － Two-hand control dev ices machinery －

Funct ional aspects and des ign princ iples

[14] ISO 13856-1 , Safe ty o f machinery－ Pressure-sensi t ive protective devices－Part1：

General pr incip les for design and test ing of pressure -sensit ive mates and

pressure-sensi t ive f loors

[15] ISO 13856-2 , Safe ty o f machinery－ Pressure-sensi t ive protect ive dev ices－ Part 2：

－ 92－

General princ iples for design and tes t ing of pressure-sensi t ive edges and

pressure-sensi t ive bars

[16] ISO 11428, Ergonomics－ Visual danger s ignals－ Genera l requ irements,design

and test ing

[17] ISO 9001 , Quali ty management systems－ Requirements

[18] ISO 9355-1, Erognomic requirements for the des ign of disp lays and control

actuators－ Part 1：Human in terac tions wi th d isplays and contro l ac tua tors

[19] ISO 9355-2, Ergonomic requirements for the des ign of disp lays and control

actuators－ Part2：Disp lays

[20] ISO 9355-3, Ergonomic requirements for the des ign of disp lays and control

actuator－ Part 3:Control actua tors

[21] ISO 11429, Ergonomics－ System o f audi tory and visual danger and informat ion

signals

[22] ISO 7731 , Ergonomics－ Danger s ignals for public and work areas－ Auditory

danger s ignals

[23] ISO 4413 , Hydraulic f lu id power－ Genera l rules and safe ty requ irements for

systems and the ir components

[24] ISO 4414, Pneumatic f lu id power－ Genera l rules and sa fety requ irements for

systems and the ir components

[25] ISO 13855:2010, Safe ty of machinery－ Posi t ioning of pro tec tive equ ipment with

respect to the approach speeds o f parts o f the human body

[26] ISO 14118 , Safety of machinery－ Prevention o f unexpected s tar t -up

[27] ISO 19973(a ll par ts) , Pneumat ic f lu id power－ Assessment of component rel iab il i ty

by tes t ing

[28] IEC 60204-1:2005, Safe ty of machinery－ Elec tr ical equ ipment o f machines－ Part

1：General requirements

[29] IEC 60447, Basic and sa fety princip les for man -machine in ter face(MMI) －

Actuating princip les

[30] IEC 60529 , Degress o f protect ion provided by enclosure (IP code)

[31] IEC 60812, Analysis techniques for sys tem re liabil i ty－ Procedure for fa i lure mode

and ef fec ts analys is(FMEA)

[32] IEC 60947(al l par ts) , Low-voltage switchgear and controlgear

[33] IEC 61000-6-2, Electromagnet ic compatib i l i ty (EMC) － Part 6-2 ： Generic

standards－ Immuni ty for industr ial env ironments

[34] IEC 61800-3 , Adjustable speed e lec tr ica l power drive systems－ Part 3： EMC

requirements and speci f ic test methods

[35] IEC 61810(al l par ts) , Electromagnet ic elementary relays

[36] IEC 61300(al l par ts) , Fibre op tic in terconnecting devices and passive components

－ 93－

－ Basic test and measurements procedures

[37] IEC 61310(al l par ts) , Safety of machinery－ Ind ication,marking and ac tuation

[38] EN 61131-3, Programmable con trol lers－ Part 3:Programming languages

[39] EN 457, Safe ty of machinery － Auditory danger s ignals － General

requ irements,des ign and test ing

[40] EN 614-1, Safe ty o f machinery － Ergonomic design pr incip les － Part1 ：

Termimology and general pr inc iples

[41] EN 982, Safety of machinery－ Safety requ irements for f lu id power sys tems and

their components－Hydraulic

[42] EN 983, Ssfe ty o f machinery－ Safety requirements for f lu id power sys tems and

their components－ Pneumat ic

[43] EN 1005-3, Safe ty o f machinery － Human physical per formance － Par t 3 ：

Recommended force l imits for machinery operat ion

[44] EN 1088, Safe ty o f machinery－ In trerlocking devices associa ted with guards－

Princip les for design and se lec t ion

[45] EN 50205, Relays wi th forc ibly guided(mechanically l inked)contac ts

[46] SN 29500(al l par ts) , Fai lure rates o f components

[47] GOBLE W.M. Contro l systems － Evalua tion and Rehabi l i ty . 2nd Edit ion.

Instrument Socie ty o f America(ISA),North Caro lina,1998

[48] BGIA−Repor t 2 /2008e, Functional sa fety o f machine controls－ Applicat ion of ISO

13849 , German Social Accident Insurance(DGUV), June 2009, ISBN

978-3-88383-793-2, f ree download in the Interent:www.dguv.de/ i fa/13849e

資料庫

[49] SN 29500, Fai lure rates of components, Edi t ion 1999 -11, Siemens AG 1999

[50] IEC/TR 62380 , Rel iab il i ty data handbook － Universal model for re l iab il i ty

pred ict ion o f e lec tron ics components, PCBs and equipment( 4 )

[51] Reliabi l i ty Predict ion of Electronic Equipment, MIL -HDBK-217E. Department o f

Defense Washington,DC,1982

[52] Rel iabi l i ty Pred ic t ion Procedure for Elec tronic Equipment , Telcordia SR－ 332,

Issue 01, May 2001( te lecom-info. te lcord ia.co m) , Bel lcore TR -332, I ssue 06

[53] EPRD, Electronic Parts Reliab il i ty Data (RAC-STD-6100) , Rel iab il i ty Analys is

Centre, 201 Mil l S treet , Rome, NY 13440

[54] NPRD － 95.Non － e lectronic Par ts Rel iabi l i ty Data (RAC － STD － 6200) ,

Reliabi l i ty Analys is Centre, 201 Mill S tree t , Rome, NY 13440

[55] Bri t i sh Handbook for Reliabi l i ty Data for Components used in Telecommunica tion

Sys tems , Bri t i sh Telecom (HRD5,las t i ssue)

[56] Chinese Mil i tary Standard, GJB/z 299B

－ 94－

相對應國際標準

ISO 13849 -1 Safe ty o f machinery – Safety related par ts o f cont rol sys tems – Par t1 :

General pr inc iples fo r des ign

差異分析

草案編號草案名稱 ISO 原文修改內容原因理由

CNS 草 -制

- - - - - -

機械安全 -

控制系統安

全相關部分

-第一部：一

般設計原則

CNS 草 - 制

- - - - - - 之內

容，均與 ISO

原文一致，並

無差異

中華民國國家標準 - tmba.org.tw 13849-1... · 3.1.2 類別(category)...

Documents