误动作等级(STL)是对于架设在安全系统(安全相关系统或安全关键系统)中的安全机能,对误动作次数的要求。STL 1表示安全机能会出现的误动作次数最多,误动作等级最高,表示会出现的误动作最少。误动作等级没有上限的限制。
安全系统及安全机能是为了保护人员设备安全,及避免影响环境所设置,安全机能应该是在出现危险情形时才能启动。但若安全机能在没有危险情形时动作(例如因内部故障而动作),可能不会造成人员设备的危害,但会可能使设备的原始机能无法运作(例如因安全机能误动作,电梯会停在最近楼层,无法正常起降),因此会带来经济上的损失。误动作等级就是表示安全机能出现误动作的几率。
STL(误动作等级)是一种安全机能的性能水平度量,度量其误动作的频繁程度。依IEC 61508、IEC 61511(英语:IEC 61511)、ISA S84及EN 50204等安全标准中有提到一些会因为STL而获益的典型系性。误动作等级可以让使用安全机能的终端客户有可以量化的指标,有助于客户订定期望的安全机能可用性水准。误动作等级可以针对整个安全回路订定,也可以只针对个别的元件。
终端客户常会陷入一个二难的处境,一方面需要安全机能来保护人员、设备及环境,但又不希望因为安全机能的误动作影响正常制程,因而造成经济上的损失。误动作等级可以说明安全机能误动作的几率,有助于让终端客户达到理想的安全性及理想的制程可用度。
误动作等级会和安全机能误动作时,因制程中断而造成的财物损失有关,若财物损失越大,则需要选择其安全机能的STL越高的设备。各家公司需决定他们可以承受或是愿意承受的财物损失。其中相关的因素有公司的财务实力、其保险政策、停机及重新开机的成本、安全设备本身的成本(若STL较高的设备,其价格也可能较高)等。上述许多因素都会随公司而不同。以下的例子是一家公司评量所需要误动作等级的表。
安全机能可以达到的STL等级是依其安全机能的失效安全几率(PFS)而定。失效安全几率和失效安全无关,是指因安全系统内部问题,造成安全机能在不应动作时动作的几率。以下的表说明PFS数值以及对应的误动作等级。
目前的安全标准只定义安全机能的安全完整性等级(SIL)。标准中不会定义误动作等级,因为误动作等级考虑的不是安全性,而是安全机能误动作造成的损失。虽然如此,误动作等级仍然是安全系统中的一个属性,尤其是在制程设备、石油及天然气、化工及核能产业的安全机能中格外的重要。这些产业中未预期的停机会使工厂陷入危险的情形,工厂要重新复工也是如此。这些制程的停机及重启是在制程中最危险的二个阶段,因此需设法将其次数降到最低。
在实务上,STL(误动作等级)及SIL(安全完整性等级)是互补的,两者都是安全机能中的属性。误动作等级是依照安全机能的平均PFS(失效安全几率)来决定,也就是依没有需求时安全机能动作的几率来决定,而安全完整性等级是依依照安全机能的平均PFD(失效危险几率)来决定,也就是依有需求时安全机能未动作的几率来决定。两者对终端用户安全及经济的考量上都很重要。
为了计算安全回路中的PFS或PFD,需要有安全回路中每一个元件的可靠度模型及可靠度资料。最理想的可靠度模式是马克夫模型(参照安德雷·马尔可夫)。一般会需要以下的资料:
