防止潛在危險的安全工程
一個設計安全產品的理想工具

隨著 IEC 62368-1 第一版 (視聽、資訊與通訊科技設備安全標準) 在 2009 年 10 月初拍板成為最終國際標準草 案 (108/325/FDIS)，其正式發佈的時間指日可待。由於 IEC 62368-1 所牽動的產業及影響範疇甚廣，因此我們 建議產品研發或製造者能夠及早為新標準來臨的時代做準備，本階段不妨著手了解本標準所主張的全新安全思 維 – 防止潛在危險的安全工程 (Hazard-based Safety Engineering, 簡稱 HBSE) – 這套追求更理想產品安全目 標的工具。

產品安全工程 (Product Safety Engineering) 是 一門以「人體參數」為基礎的應用科學，它 使用統計學的手法定義人體各項代表性的參 數，如人體等效阻抗模型、器官對於各種波 長的吸收率…等，進而以應用科學評估產品 在指定的正常使用與可能的故障模式下，是 否對使用人員及周圍環境造成危害。

傳統的產品安全目標

對於消費者而言，產品安全常是凌駕在產品 功能與外觀之上的重要考量，然某些製造商 基於成本考量或其他因素，並非以設計安全 的產品為出發點，因此以下的三個外部力量 即成了必要的產品安全規範：

1.	標準法規 (Standards、Codes、Regulations and Laws)：陳述安全產品的允收標準；
2.	第三方驗證 (Third-party Certification)：評估 受委託的產品是否符合指定的標準法規， 並以證書或是授權產品安全標誌的使用， 召告大眾該產品的安全性；
3.	產品責任 (Product Liability)：指產品設計、 製造、供應及銷售等環節的負責人必須依 法承擔產品缺陷所帶來的損害。

傳統的產品安全目標主要來自外部要求，而 非自願符合，因此使得證明產品安全的過程 倍加艱辛，若製造商可充分瞭解產品安全背 後的真正工程原理，將有助產品設計前期即 先導入「成功方程式」。

更好的產品安全目標

製造商欲追求更好的產品安全目標，當即改 變既有思維。在研發產品時，以「防止潛在 危險」為必要考量，在產品研發初期即設計 「先天安全」的產品，這對產品在未來要符 合標準、遵守法律規章以及取得第三方驗證 時將更為順暢，或當有產品責任的民事訴訟 時，將更有立論基礎來支持產品的安全性。

「防止潛在危險的安全工程」(HBSE) 就是在 提供一套設計安全產品的工程流程，其不僅 跳脫以往僅專注在允收標準的陳述，且進一 步地以工程角度解讀產品安全背後所應用的 工程原理，所以可協助研發人員在產品設計 階段就嵌入產品安全的概念，有效地減少研 發後期因可能違反標準而導致的頻繁改版 (Rework)。HBSE 不全然是一個過於理想化的 空談，它是一個可經反覆實務操作所證明的 成功經驗。

認識 HBSE

事實上，HBSE 的存在今日將邁入第三個十 年，其幕後推手為 Hewitt Packard (HP) 的 Richard Nute 先生。HBSE 的發展緣由是為了 協助研發人員學習產品安全的知識，因此 Nute 先生精心設計了一套 8 小時的訓練課 程，並用「體感」實驗幫助研發人員感受， 進而思考「安全防護」(Safeguard) 之於產品 設計環節的重要性。此課程一推出即獲極大 迴響，並成了HP研發與安規工程師的必修學 分，HBSE 也因此有了後續的發展。由於消 費性電子產品的生命週期短暫，連帶縮短了 產品的設計時程。大部分的製造商對於設計 符合標準的產品，多採取設計時遵守安全標 準的最低要求，接下來再由安規部門或第三 方驗證機構測試產品的符合性，然而此作法 易衍生後續的難題，如：因未能通過產品週 期後期的安全驗證，造成產品上市時機的延 宕；產品安全概念未在產品設計初期導入， 造成之後須放棄原有的設計功能以符合安全 要求等。

HBSE 的發展恰可正面回應製造商研發產品 的最根本需求，其已經超越單純的符合各種安 全標準，而將產品安全工程的規格向上提升。

HBSE 的基本假設

「傷害的發生僅存在於足夠的能量強度與時 間，且經由傳導機制到達人體」為 HBSE 的 基本假設。在實務上，「三方塊能量轉移模 型」(圖一) 常被用在 HBSE 的基本假設上。

任何足以產生傷害的產品–無論傷害的形式 為何，都必須透過能量的轉移，不論是由人 體轉出 (如凍傷) 抑或是注入能量 (如燙 傷)。因此危險能量源與人體之間的聯繫，必定 依賴轉移機制的存在，而產生傷害。換言之， 若將危險能量源與人體確實隔離的話，傷害就 無由產生了。基於這樣的假設，二個「無害」 模型因而被延展：

由此可知，在 HBSE 能量轉移模型中，其中 不變的是「人體耐受度」，所以若人體耐受 度為已知，則可透過前述的兩個主要無害模 型有效降低傷害的形成；再者，任何新科技 皆可被還原成最原始的能量形式，並被量化 以確認是否為危險。

換言之，HBSE 擁有將工程流程獨立於科技 演進外 (Technology Independence) 的特點， 因此以其為基礎的安全標準相對穩定，而不 須為了追逐科技演進而頻繁改版，進而對業 者造成難以預估的營運衝擊。

HBSE 的流程

HBSE 流程是一個最直觀的分析，它基於能量 守恆原則 (Conservation of Energy) 以及上述 HBSE 的基本假設。《圖四》 HBSE 的流程所示 之第一步驟 –「識別能量源」，是可以透過經驗 歸納出一些常見的能量存在形式來協助完成：

•	產品內部先天存在的能量形式為何存在？ 產品初始被設計使用能量的形式與強度為何？
•	產品運轉時，是否有任何能量已被轉換並 以其他形式存在產品內部？比方產品本身 在正常運轉時是否產生「虛功」？這些虛 功呈現的方式為何？

接著進入的第一個決策點即是評估或量測能 量的強度是否足以構成潛在危險。在設計任 何安全防護前，必須先知道能量轉移到人體 的機制為何；一旦轉移機制被確認，我們也 已建立該安全防護的效能要求。

最後則是證明前述的安全防護是否如預期有 效。此時很有可能仍會發現流程初期的原始 設定條件是錯誤的，如能量可能不會以原來 設定的機制轉移、或是原安全防護設計方向 無法衰減能量等。若真如此，則需重新調整 條件並再走一次流程。

故障樹分析

HBSE 的另一個強力工具則為現在廣被電子、 化工、核能以及航太產業運用分析危害成因 的「故障樹分析」 (Fault Tree Analysis， FTA)，如《圖五》示範「手指夾傷事 件」的分析。

FTA 運用布林邏輯 (Boolean Logic) 描述個別 的故障為何產生最終的危害，其是採用將最 上層危害向下逐級展開探究成因的分析方 式，並具體說明各事件間的因果關係，最後 續以布林代數 (Boolean Algebra) 量化並分配 發生的機率，以事先安排對應的預防措施或 隔離關鍵事件等，有力減少危害發生的機率。

實務上，利用「故障樹分析」詮釋 HBSE 三 方塊能量轉移模型過程，則不難發現兩者理 念不謀而合。若以「1」表示「事件成立」， 「0」為「事件不會發生」，則故障樹中聯繫 危險能量與身體暴露的「及」閘 (AND Gate) 須同時輸入 1，才能使最上層的傷害輸出為「 1」，意即產生傷害，試著以 HBSE 第二個無 害模型 (能量衰減模型) 分析 (參考《圖三》)， 當身體暴露輸入為 0 時 (人體不處於任何存有 危險能量或處在能量已衰減的空間裡)，不論 危險能量是否存在，及閘的輸出必定為 0，所 以不必擔心傷害的產生 (如圖六)。

有了「故障樹分析」的加持，HBSE 的基本 假設得以在實際的產品安全工程流程中具體 實現，透過布林代數量化，進而規劃應對預 防措施、或以消除關鍵事件的方式，來減少 最上層危害發生的機會。

HBSE 訓練課程模組

目前 UL 已偕同惠普 (HP) 與安捷倫 (Agilent) 的產品安全部門共同完成 HBSE 的十二個訓 練課程模組，期能在以「防止潛在危害」為 本的新安規標準導入市場之際，產業人士得 以先行建立設計安全產品的全新工程流 程。UL University 亦已正式取得 HBSE 訓練 課程的完整授權，可提供公開的研究討論 會。

這套建立在「符合安全標準」之上的課程， 植入有別於以往的思考模式，讓製造商、消 費者、政府主管機關以及第三方驗證機構等 不同團體能夠以一個共通的工程語言相互溝 通。其可讓產品研發工程師不再只透過安全 標準來學習知識，更有能力設計先天安全的 產品；其可幫助製造商在不犧牲產品預設功 能的條件下，提高產品的安全規格，以強 化產品責任的免疫力；其同時也能闡述產品 安全工程的基本原理，跳脫過去產品安全工 程師僅能依附於標準條款的窠臼。不僅如 此，消費者若學習此套課程，亦能增加基礎 的產品安全知識，減少可能產生危害的誤 用。

無論您在產業供需鏈扮演何種角色，但都有 機會是產品最終使用者，因此對於安全的需 求都是相等的。總結來看，HBSE 立基背景 所衍生的工程流程甚至是可以超越每一個人 對於產品的基本期望。

本文作者為 UL 台灣工程部 Flore Chiang