解读IEC62061-2021

标准概述

• 标准名称： IEC 62061:2021 Safety of machinery - Functional safety of safety-related control systems

• 中文名称： 机械安全 - 安全相关控制系统功能安全

• 核心目的： 该标准专门针对机械领域，为安全相关电气控制系统的设计、集成和验证提供了一套基于IEC 61508的框架和要求，以确保这些系统能够正确执行安全功能，将风险降低到可接受的水平。

背景与定位

机械的安全通常依赖于控制系统来执行安全功能（如急停、安全门联锁、双手控制等）。如果这些控制系统失效，可能导致严重的人身伤害。IEC 62061就是为了管理这些控制系统因随机硬件故障和系统性故障而失效的风险。

它与 ISO 13849-1 是机械安全领域两大最重要的控制安全标准，二者互为补充，有时也可选择使用。

• IEC 62061：源于电气/电子/可编程电子（E/E/PE）系统功能安全基础标准IEC 61508，更侧重于电气安全控制系统，方法论更接近流程工业中使用的安全标准。

• ISO 13849-1：更通用，涵盖了电气、液压、气动等多种技术，通常被认为更易于中小型机械制造商使用。

2021版是最新版本，替代了之前的IEC 62061:2005 + AMD1:2012 + AMD2:2015。

关键内容解读

1. 适用范围

本标准适用于机械（包括机械群）的安全相关电气、电子和可编程电子控制系统（SRECS）。它规定了从概念设计到所有生命周期阶段的要求。

2. 核心概念：安全生命周期 (Safety Life Cycle)

标准的核心是安全生命周期模型，它概述了从最初概念到最终停用的整个过程中，确保功能安全所需的一系列步骤。这确保了安全的系统化和管理化。主要阶段包括：

1. 概念和危险风险评估

2. 安全功能分配

3. 安全要求规格

4. 设计与集成

5. 安装、调试和验证

6. 操作与维护

7. 停用

3. 方法论：如何实现合规？

第1步：确定安全功能 (Safety Function)
首先，通过风险评估（通常使用ISO 12100）确定需要哪些安全功能（例如：当安全门打开时，停止驱动电机）。

第2步：为每个安全功能设定安全完整性等级 (SIL)
为每个安全功能分配一个所需的安全完整性等级（SIL）。SIL是一个离散的等级（共4级，SIL 1至SIL 3，IEC 62061中最高为SIL 3），用于指定安全功能所需的风险降低水平。SIL等级越高，要求的安全性能就越高。

确定SIL等级的方法：
标准提供了两种主要方法（在 Annex A 中）：

• 风险图法： 基于伤害的严重程度、暴露于危险的频率和持续时间、避免危险的可能性等因素进行定性评估。

• 半定量方法： 为风险参数分配数值以进行计算。

第3步：设计安全相关控制系统 (SRECS)
设计系统以实现所需的安全功能并达到目标的SIL。这包括：

• 架构设计： 选择传感器（如安全光幕）、逻辑控制器（如安全继电器或安全PLC）、执行器（如接触器）等。

• 计算硬件随机失效指标： 这是标准的核心技术环节。通过分析硬件故障，计算两个关键指标，以证明其满足目标SIL的要求：

  • PFH₃ (Probability of Dangerous Failure per Hour)： 每小时发生危险失效的平均概率。这是衡量随机硬件失效概率的指标，必须低于目标SIL规定的最大值。

    • SIL 1: PFH₃ ≥ 10⁻⁶ to < 10⁻⁵

    • SIL 2: PFH₃ ≥ 10⁻⁷ to < 10⁻⁶

    • SIL 3: PFH₃ ≥ 10⁻⁸ to < 10⁻⁷

  • SFF (Safe Failure Fraction)： 安全失效分数。衡量一个部件或子系统如何“优雅地”失效（即失效是安全的而不是危险的）。它与硬件故障裕度 (HFT) 一起，决定了架构约束（即允许使用什么架构来达到某个SIL等级）。

第4步：避免系统性失效 (Systematic Failures)
除了控制随机硬件故障，标准还高度重视避免因设计错误、软件bug、管理流程缺陷等引起的系统性失效。要求包括：

• 采用经过认证的、具有SIL等级的子元件（如SIL 3认证的安全PLC）。

• 严格的设计和编码规范。

• 全面的测试和验证流程。

• 完善的质量管理和配置管理。

第5步：验证与确认
最终，必须通过分析（计算PFH₃、检查架构）和测试来验证所设计的系统确实达到了要求的SIL性能。

IEC 62061:2021 的主要变化（相较于旧版）

2021版的更新旨在提高清晰度，并与其它标准（尤其是ISO 13849-1）更好地协调：

1. 与ISO 13849-1更好的协调： 附录G提供了两个标准之间术语和概念的详细对应关系，减少了用户的困惑。它明确了何时可以选择任一标准，并承认它们的等效性。

2. 澄清与扩展：

   • 更清晰地定义了“简单”和“复杂”元件之间的区别。

   • 引入了“混合模式”（既有离散行为又有连续行为的安全功能）的处理指南。

   • 扩展了关于网络安全方面的考虑，强调了防止恶意访问对功能安全的重要性。

   • 更新了关于软件安全的要求，以反映现代软件开发实践。

3. 改进的可读性： 对整个文档的结构和表述进行了优化，使其更易于理解和应用。

重要意义与应用

1. 法律与合规： 它是欧盟机械指令（现为机械法规）下协调标准，符合它即推定符合指令的基本健康和安全要求，是产品CE marking的重要基础。

2. 降低风险： 提供了科学、量化的方法来确保安全控制系统可靠地工作，保护人员安全。

3. 全球认可： 作为国际标准，被全球范围内的机械制造商、系统集成商和认证机构所认可。

4. 设计指南： 为工程师设计高可靠性的安全控制系统提供了详细、逐步的指导。

总结

IEC 62061:2021 是机械安全功能安全领域的权威和专业标准。它提供了一套基于安全生命周期和SIL等级的完整工程框架，通过量化分析硬件随机失效概率（PFH₀）和严格管理系统性失效，来确保安全相关电气控制系统的可靠性。

对于设计复杂电气安全控制系统（尤其是涉及可编程电子系统）的机械制造商来说，IEC 62061是一项必不可少的标准。它与ISO 13849-1的进一步协调，使得行业从业者可以根据自身技术和项目的复杂性，更灵活地选择最合适的标准路径。