国际标准中特定助动词的标准化中文翻译规则(ISO/IEC 指令第2部分):

  • shall (应当/必须):表示严格的要求(Requirements),为了符合标准必须执行。

  • shall not (不应/不得):表示严禁的行为。

  • should (宜/建议):表示建议(Recommendations),在几种可能性中推荐一种,但不要求绝对执行。

  • should not (不宜):表示不建议的行为。

  • may (可/允许):表示允许(Permissions),在标准范围内是允许的做法。

  • need not (不必):表示不要求。

  • can (能/可以):表示陈述一种可能性或能力(Possibility/Capability),无论是物质的、物理的还是因果关系的。

  • cannot (不能):表示不可能或不具备能力。


IEC 62061 Edition 2.0 2026-03
IEC 62061 第2.0版 2026-03

INTERNATIONAL STANDARD
国际标准

Safety of machinery - Functional safety of safety-related control systems
机械安全 - 安全相关控制系统的功能安全

CONTENTS
目录

FOREWORD
前言 (7)

INTRODUCTION
引言 (9)

1 Scope
1 范围 (10)

2 Normative references
2 规范性引用文件 (11)

3 Terms, definitions and abbreviations
3 术语、定义和缩略语 (12)
3.1 Alphabetical list of definitions
3.1 定义的字母顺序列表 (12)
3.2 Terms and definitions
3.2 术语和定义 (14)
3.3 Abbreviations
3.3 缩略语 (27)

4 Design process of an SCS and management of functional safety
4 SCS(安全相关控制系统)的设计过程与功能安全管理 (27)
4.1 Objective
4.1 目标 (27)
4.2 Design process
4.2 设计过程 (28)
4.3 Management of functional safety using a functional safety plan
4.3 使用功能安全计划进行功能安全管理 (30)
4.4 Configuration management
4.4 配置管理 (32)
4.5 Modification
4.5 修改 (32)

5 Specification of a safety function
5 安全功能的规范 (33)
5.1 Objective
5.1 目标 (33)
5.2 Safety requirements specification (SRS)
5.2 安全要求规范 (SRS) (33)
5.2.1 General
5.2.1 概述 (33)
5.2.2 Information to be available
5.2.2 应提供的信息 (33)
5.2.3 Functional requirements specification
5.2.3 功能要求规范 (34)
5.2.4 Estimation of demand mode of operation
5.2.4 操作需求模式的评估 (34)
5.2.5 Safety integrity requirements specification
5.2.5 安全完整性要求规范 (35)

6 Design of an SCS
6 SCS的设计 (36)
6.1 General
6.1 概述 (36)
6.2 Subsystem architecture based on top down decomposition
6.2 基于自上而下分解的子系统架构 (36)
6.3 Basic methodology – Use of subsystem
6.3 基本方法 – 子系统的使用 (36)
6.3.1 General
6.3.1 概述 (36)
6.3.2 SCS decomposition
6.3.2 SCS分解 (37)
6.3.3 Sub-function allocation
6.3.3 子功能分配 (38)
6.3.4 Use of a pre-designed subsystem
6.3.4 预设计子系统的使用 (38)
6.4 Determination of safety integrity of the SCS
6.4 SCS安全完整性的确定 (39)
6.4.1 General
6.4.1 概述 (39)
6.4.2 PFH 
6.4.2 PFH (每小时危险失效频率) (39)
6.5 Requirements for systematic safety integrity of the SCS
6.5 SCS系统安全完整性要求 (40)
6.5.1 Requirements for the avoidance of systematic hardware failures
6.5.1 避免系统性硬件失效的要求 (40)
6.5.2 Requirements for the control of systematic faults
6.5.2 控制系统性故障的要求 (41)
6.6 Electromagnetic immunity
6.6 电磁抗扰度 (42)
6.7 Software based manual parameterization
6.7 基于软件的手动参数化 (42)
6.7.1 General
6.7.1 概述 (42)
6.7.2 Influences on safety-related parameters
6.7.2 对安全相关参数的影响 (42)
6.7.3 Requirements for software based manual parameterization
6.7.3 基于软件的手动参数化的要求 (43)
6.7.4 Verification of the parameterization tool
6.7.4 参数化工具的验证 (44)
6.7.5 Performance of software based manual parameterization
6.7.5 基于软件的手动参数化的性能 (44)
6.8 Security aspects
6.8 信息安全方面 (44)
6.9 Aspects of periodic testing
6.9 定期测试方面 (45)

7 Design and development of a subsystem
7 子系统的设计与开发 (45)
7.1 General
7.1 概述 (45)
7.2 Subsystem architecture design
7.2 子系统架构设计 (46)
7.3 Requirements for the selection and design of subsystem and subsystem elements
7.3 子系统及子系统要素的选择和设计要求 (47)
7.3.1 General
7.3.1 概述 (47)
7.3.2 Systematic integrity
7.3.2 系统完整性 (47)
7.3.3 Fault consideration and fault exclusion
7.3.3 故障考虑与故障排除 (50)
7.3.4 Failure rate of subsystem element
7.3.4 子系统要素的失效率 (51)
7.4 Architectural constraints of a subsystem
7.4 子系统的架构约束 (54)
7.4.1 General
7.4.1 概述 (54)
7.4.2 Estimation of safe failure fraction (SFF)
7.4.2 安全失效分数 (SFF) 的评估 (55)
7.4.3 Behaviour (of the SCS) on detection of a fault in a subsystem
7.4.3 检测到子系统故障时(SCS的)行为 (57)
7.4.4 Realization of diagnostic functions
7.4.4 诊断功能的实现 (59)
7.5 Subsystem design architectures
7.5 子系统设计架构 (59)
7.5.1 General
7.5.1 概述 (59)
7.5.2 Basic subsystem architectures
7.5.2 基本子系统架构 (60)
7.5.3 Basic requirements
7.5.3 基本要求 (61)
7.6 PFH of subsystems
7.6 子系统的PFH (62)
7.6.1 General
7.6.1 概述 (62)
7.6.2 Methods to estimate the PFH of a subsystem
7.6.2 评估子系统PFH的方法 (62)
7.6.3 Simplified approach to estimation of contribution of common cause failure (CCF)
7.6.3 评估共因失效 (CCF) 贡献的简化方法 (63)

8 Software
8 软件 (63)
8.1 General
8.1 概述 (63)
8.2 Definition of software levels
8.2 软件等级的定义 (63)
8.3 Software – Level 1
8.3 软件 – 等级 1 (64)
8.3.1 Software safety lifecycle – SW level 1
8.3.1 软件安全生命周期 – 软件等级 1 (64)
8.3.2 Software design – SW level 1
8.3.2 软件设计 – 软件等级 1 (65)
8.3.3 Module design – SW level 1
8.3.3 模块设计 – 软件等级 1 (67)
8.3.4 Coding – SW level 1
8.3.4 编码 – 软件等级 1 (68)
8.3.5 Module test – SW level 1
8.3.5 模块测试 – 软件等级 1 (68)
8.3.6 Software testing – SW level 1
8.3.6 软件测试 – 软件等级 1 (68)
8.3.7 Documentation – SW level 1
8.3.7 文档 – 软件等级 1 (69)
8.3.8 Configuration and modification management process – SW level 1
8.3.8 配置与修改管理过程 – 软件等级 1 (69)
8.4 Software level 2
8.4 软件等级 2 (70)
8.4.1 Software safety lifecycle – SW level 2
8.4.1 软件安全生命周期 – 软件等级 2 (70)
8.4.2 Software design – SW level 2
8.4.2 软件设计 – 软件等级 2 (72)
8.4.3 Software system design – SW level 2
8.4.3 软件系统设计 – 软件等级 2 (73)
8.4.4 Module design – SW level 2
8.4.4 模块设计 – 软件等级 2 (74)
8.4.5 Coding – SW level 2
8.4.5 编码 – 软件等级 2 (75)
8.4.6 Module test – SW level 2
8.4.6 模块测试 – 软件等级 2 (75)
8.4.7 Software integration testing SW level 2
8.4.7 软件集成测试 软件等级 2 (76)
8.4.8 Software testing SW level 2
8.4.8 软件测试 软件等级 2 (76)
8.4.9 Documentation – SW level 2
8.4.9 文档 – 软件等级 2 (77)
8.4.10 Configuration and modification management process – SW level 2
8.4.10 配置与修改管理过程 – 软件等级 2 (77)

9 Validation
9 确认 (78)
9.1 Validation principles
9.1 确认原则 (78)
9.1.1 Validation plan
9.1.1 确认计划 (81)
9.1.2 Use of generic fault lists
9.1.2 通用故障列表的使用 (81)
9.1.3 Specific fault lists
9.1.3 特定故障列表 (81)
9.1.4 Information for validation
9.1.4 用于确认的信息 (82)
9.1.5 Validation record
9.1.5 确认记录 (82)
9.2 Analysis as part of validation
9.2 作为确认一部分的分析 (83)
9.2.1 General
9.2.1 概述 (83)
9.2.2 Analysis techniques
9.2.2 分析技术 (83)
9.2.3 Verification of safety requirements specification (SRS)
9.2.3 安全要求规范 (SRS) 的验证 (83)
9.3 Testing as part of validation
9.3 作为确认一部分的测试 (84)
9.3.1 General
9.3.1 概述 (84)
9.3.2 Measurement accuracy
9.3.2 测量精度 (84)
9.3.3 More stringent requirements
9.3.3 更严格的要求 (85)
9.3.4 Test samples
9.3.4 测试样品 (85)
9.4 Validation of the safety function
9.4 安全功能的确认 (85)
9.4.1 General
9.4.1 概述 (85)
9.4.2 Analysis and testing
9.4.2 分析与测试 (86)
9.5 Validation of the safety integrity of the SCS
9.5 SCS安全完整性的确认 (86)
9.5.1 General
9.5.1 概述 (86)
9.5.2 Validation of subsystem(s)
9.5.2 子系统的确认 (86)
9.5.3 Validation of measures against systematic failures
9.5.3 针对系统性失效措施的确认 (87)
9.5.4 Validation of safety-related software
9.5.4 安全相关软件的确认 (87)
9.5.5 Validation of combination of subsystems
9.5.5 子系统组合的确认 (88)

10 Documentation
10 文档 (88)
10.1 General
10.1 概述 (88)
10.2 Technical documentation
10.2 技术文档 (88)
10.3 Information for use of the SCS
10.3 SCS的使用信息 (90)
10.3.1 General
10.3.1 概述 (90)
10.3.2 Information for use given by the manufacturer of subsystems
10.3.2 子系统制造商提供的使用信息 (90)
10.3.3 Information for use given by the SCS integrator
10.3.3 SCS集成商提供的使用信息 (91)

 

Annex A (informative) Determination of required safety integrity
附录 A (资料性) 所需安全完整性的确定 (93)
A.1 General / A.1 概述 (93)
A.2 Matrix assignment for the required SIL / A.2 所需SIL的矩阵分配 (93)
A.2.1 Hazard identification/indication / A.2.1 危险识别/指示 (93)
A.2.2 Risk estimation / A.2.2 风险评估 (93)
A.2.3 Severity (Se) / A.2.3 严重程度 (Se) (94)
A.2.4 Probability of occurrence of harm / A.2.4 伤害发生的概率 (94)
A.2.5 Class of probability of harm (Cl) / A.2.5 伤害概率等级 (Cl) (97)
A.2.6 SIL assignment / A.2.6 SIL分配 (97)
A.3 Overlapping hazards / A.3 重叠的危险 (99)

Annex B (informative) Example of SCS design methodology
附录 B (资料性) SCS (安全相关控制系统) 设计方法示例 (100)
B.1 General / B.1 概述 (100)
B.2 Safety requirements specification / B.2 安全要求规范 (100)
B.3 Decomposition of the safety function / B.3 安全功能的分解 (100)
B.4 Design of the SCS by using subsystems / B.4 使用子系统设计SCS (101)
B.4.1 General / B.4.1 概述 (101)
B.4.2 Subsystem 1 design – “guard door monitoring” / B.4.2 子系统1设计 – “防护门监控” (101)
B.4.3 Subsystem 2 design – “evaluation logic” / B.4.3 子系统2设计 – “评估逻辑” (103)
B.4.4 Subsystem 3 design – “motor control” / B.4.4 子系统3设计 – “电机控制” (104)
B.4.5 Evaluation of the SCS / B.4.5 SCS的评估 (104)
B.4.6 PFH / B.4.6 PFH (每小时危险失效频率) (105)
B.5 Verification / B.5 验证 (105)
B.5.1 General / B.5.1 概述 (105)
B.5.2 Analysis / B.5.2 分析 (105)
B.5.3 Tests / B.5.3 测试 (106)

Annex C (informative) Examples of MTTFD values for single components

附录 C (资料性) 单个组件的 MTTFD (危险失效前平均时间) 值示例 (107)
C.1 General / C.1 概述 (107)
C.2 Good engineering practices method / C.2 良好工程实践方法 (107)
C.3 Hydraulic components / C.3 液压组件 (107)
C.4  MTTFD of pneumatic, mechanical and electromechanical components / C.4 气动、机械和机电组件的 MTTFD (108) 

Annex D (informative) Examples for diagnostic coverage ( DC) 
附录 D (资料性) 诊断覆盖率 ( DC ) 示例 (110)

Annex E (informative) Methodology for the estimation of susceptibility to common cause failures (CCF)
附录 E (资料性) 共因失效 (CCF) 敏感性评估方法 (112)
E.1 General / E.1 概述 (112)
E.2 Methodology / E.2 方法论 (112)
E.2.1 Requirements for CCF / E.2.1 CCF要求 (112)
E.2.2 Estimation of effect of CCF / E.2.2 CCF影响的评估 (112)

Annex F (informative) Guideline for software level 1
附录 F (资料性) 软件等级 1 指南 (115)
F.1 Software safety requirements / F.1 软件安全要求 (115)
F.2 Coding guidelines / F.2 编码指南 (116)
F.3 Specification of safety functions / F.3 安全功能的规范 (117)
F.4 Specification of hardware design / F.4 硬件设计规范 (118)
F.5 Software system design specification / F.5 软件系统设计规范 (120)
F.6 Protocols / F.6 协议 (122)

Annex G (informative) Examples of safety functions
附录 G (资料性) 安全功能示例 (125)

Annex H (informative) Simplified approaches to evaluate the PFH value of a subsystem

附录 H (资料性) 评估子系统 PFH 值的简化方法 (126)
H.1 Table allocation approach / H.1 表格分配法 (126)
H.2 Simplified formulas for the estimation of PFH / H.2 评估 PFH 的简化公式 (128)

H.2.1 General / H.2.1 概述 (128)
H.2.2 Basic subsystem architecture A: single channel without a diagnostic function / H.2.2 基本子系统架构 A: 无诊断功能的单通道 (128)
H.2.3 Basic subsystem architecture B: dual channel without a diagnostic function / H.2.3 基本子系统架构 B: 无诊断功能的双通道 (129)
H.2.4 Basic subsystem architecture C: single channel with a diagnostic function / H.2.4 基本子系统架构 C: 带诊断功能的单通道 (129)
H.2.5 Basic subsystem architecture D: dual channel with a diagnostic function(s) / H.2.5 基本子系统架构 D: 带诊断功能的双通道 (135)
H.3 Parts count method / H.3 零部件计数法 (136)

Annex I (informative) The functional safety plan and design activities
附录 I (资料性) 功能安全计划与设计活动 (137)
I.1 General / I.1 概述 (137)
I.2 Example of a machine design plan including a safety plan / I.2 包含安全计划的机器设计计划示例 (137)
I.3 Example of activities, documents and roles / I.3 活动、文档和角色示例 (137)

Annex J (informative) Independence for reviews and testing/verification/validation activities
附录 J (资料性) 评审与测试/验证/确认活动的独立性 (142)
J.1 Software design / J.1 软件设计 (142)
J.2 Validation / J.2 确认 (142)


Bibliography
参考文献 (144)

Figure 1 – Scope of this document
图 1 – 本文档的范围 (11)

Figure 2 – Integration within the risk reduction process of ISO 12100 (extract)
图 2 – 在 ISO 12100 风险减小过程中的整合(摘录) (28)

Figure 3 – Iterative process for design of the safety-related control system
图 3 – 安全相关控制系统设计的迭代过程 (29)

Figure 4 – Example of a combination of subsystems as one SCS
图 4 – 子系统组合为一个 SCS 的示例 (30)

Figure 5 – By activating a low demand safety function at least once per year it can be assumed to be high demand
图 5 – 通过每年至少激活一次低要求安全功能,可将其假定为高要求模式 (35)

Figure 6 – Examples of typical decomposition of a safety function into sub-functions and its allocation to subsystems
图 6 – 安全功能分解为子功能及其分配给子系统的典型示例 (38)

Figure 7 – Example of safety integrity of a safety function based on allocated subsystems as one SCS
图 7 – 基于分配的子系统作为一个 SCS 的安全功能的安全完整性示例 (39)

Figure 8 – Basic subsystem architecture A logical representation
图 8 – 基本子系统架构 A 逻辑表示 (60)

Figure 9 – Basic subsystem architecture B logical representation
图 9 – 基本子系统架构 B 逻辑表示 (60)

Figure 10 – Basic subsystem architecture C logical representation
图 10 – 基本子系统架构 C 逻辑表示 (61)

Figure 11 – Basic subsystem architecture D logical representation
图 11 – 基本子系统架构 D 逻辑表示 (61)

Figure 12 – V-model for SW level 1
图 12 – 软件等级 1 的 V 模型 (65)

Figure 13 – V-model for software modules customized by the designer for SW level 1
图 13 – 设计人员为软件等级 1 定制的软件模块的 V 模型 (65)

Figure 14 – V-model of software safety lifecycle for SW level 2
图 14 – 软件等级 2 的软件安全生命周期 V 模型 (71)

Figure 15 – Overview of the validation process
图 15 – 确认过程概述 (80)

Figure A.1 – Parameters used in risk estimation
图 A.1 – 风险评估中使用的参数 (93)

Figure A.2 – Example proforma for SIL assignment process
图 A.2 – SIL 分配过程的示例表格 (99)

Figure B.1 – Decomposition of the safety function
图 B.1 – 安全功能的分解 (101)

Figure B.2 – Overview of design of the subsystems of the SCS
图 B.2 – SCS 子系统设计概述 (101)

Figure F.1 – Plant sketch
图 F.1 – 工厂草图 (117)

Figure F.2 – Principal module architecture design
图 F.2 – 主要模块架构设计 (120)

Figure F.3 – Principal design approach of logical evaluation
图 F.3 – 逻辑评估的主要设计方法 (121)

Figure F.4 – Example of logical representation (program sketch)
图 F.4 – 逻辑表示示例(程序草图) (122)

Figure H.1 – Basic subsystem architecture A logical representation
图 H.1 – 基本子系统架构 A 逻辑表示 (128)

Figure H.2 – Basic subsystem architecture B logical representation
图 H.2 – 基本子系统架构 B 逻辑表示 (129)

Figure H.3 – Basic subsystem architecture C logical representation
图 H.3 – 基本子系统架构 C 逻辑表示 (129)

Figure H.4 – Correlation of basic subsystem architecture C and the pertinent fault handling function
图 H.4 – 基本子系统架构 C 与相关故障处理功能的关联 (130)

Figure H.5 – Basic subsystem architecture C with external fault handling function
图 H.5 – 具有外部故障处理功能的基本子系统架构 C (131)

Figure H.6 – Basic subsystem architecture C with external fault diagnostics
图 H.6 – 具有外部故障诊断的基本子系统架构 C (132)

Figure H.7 – Basic subsystem architecture C with external fault reaction
图 H.7 – 具有外部故障反应的基本子系统架构 C (132)

Figure H.8 – Basic subsystem architecture C with internal fault diagnostics and internal fault reaction
图 H.8 – 具有内部故障诊断和内部故障反应的基本子系统架构 C (133)

Figure H.9 – Basic subsystem architecture D logical representation
图 H.9 – 基本子系统架构 D 逻辑表示 (135)

Figure I.1 – Example of a machine design plan including a safety plan
图 I.1 – 包含安全计划的机器设计计划示例 (137)

Figure I.2 – Example of activities, documents and roles (1 of 2)
图 I.2 – 活动、文档和角色示例 (1/2) (139)

Table 1 – Terms used in IEC 62061
表 1 – IEC 62061 中使用的术语 (12)

Table 2 – Abbreviations used in IEC 62061
表 2 – IEC 62061 中使用的缩略语 (27)

Table 3 – SIL and limits of PFH values
表 3 – SIL 和 PFH 值的限制 (35)

Table 4 – Required SIL and PFH of pre-designed subsystem
表 4 – 预设计子系统所需的 SIL 和 PFH (39)

Table 5 – Relevant information for each subsystem
表 5 – 每个子系统的相关信息 (46)

Table 6 – Architectural constraints on a subsystem: maximum SIL that can be claimed for an SCS using the subsystem
表 6 – 子系统的架构约束:使用该子系统的 SCS 可声明的最高 SIL (55)

Table 7 – Overview of basic requirements and interrelation to basic subsystem architectures
表 7 – 基本要求及其与基本子系统架构的相互关系概述 (62)

Table 8 – Different levels of application software
表 8 – 应用软件的不同等级 (63)

Table 9 – Documentation of an SCS
表 9 – SCS 的文档 (89)

Table A.1 – Severity (Se) classification
表 A.1 – 严重程度 (Se) 分类 (94)

Table A.2 – Frequency and duration of exposure (Fr) classification
表 A.2 – 暴露频率和持续时间 (Fr) 分类 (95)

Table A.3 – Probability (Pr) classification
表 A.3 – 概率 (Pr) 分类 (96)

Table A.4 – Probability of avoiding or limiting harm (Av) classification
表 A.4 – 避免或限制伤害的概率 (Av) 分类 (97)

Table A.5 – Parameters used to determine class of probability of harm (Cl)
表 A.5 – 用于确定伤害概率等级 (Cl) 的参数 (97)

Table A.6 – Matrix assignment for determining the required SIL (or PLr) for a safety function
表 A.6 – 用于确定安全功能所需 SIL(或 PLr)的矩阵分配 (98)

Table B.1 – Safety requirements specification – example of overview
表 B.1 – 安全要求规范 – 概述示例 (100)

Table B.2 – Systematic integrity – example of overview
表 B.2 – 系统完整性 – 概述示例 (105)

Table B.3 – Verification by tests
表 B.3 – 通过测试进行验证 (106)

Table C.1 – Standards references and MTTFDor B10D values for components
表 C.1 – 组件的标准参考和 MTTF或 B10D 值 (108)

Table D.1 – Estimates for diagnostic coverage (DC) (1 of 2)
表 D.1 – 诊断覆盖率 (DC) 的估计值 (1/2) (110)

Table E.1 – Estimation of CCF factor (β)
表 E.1 – CCF 因子 (β) 的评估 (113)

Table E.2 – Criteria for estimation of CCF
表 E.2 – CCF 的评估标准 (114)

Table F.1 – Example of relevant documents related to the simplified V-model
表 F.1 – 与简化 V 模型相关的相关文档示例 (115)

Table F.2 – Examples of coding guidelines
表 F.2 – 编码指南示例 (116)

Table F.3 – Specified safety functions
表 F.3 – 规定的安全功能 (118)

Table F.4 – Relevant list of input and output signals
表 F.4 – 输入和输出信号的相关列表 (119)

Table F.5 – Example of simplified cause and effect matrix
表 F.5 – 简化的因果矩阵示例 (122)

Table F.6 – Verification of software system design specification
表 F.6 – 软件系统设计规范的验证 (123)

Table F.7 – Software code review
表 F.7 – 软件代码审查 (123)

Table F.8 – Software validation
表 F.8 – 软件确认 (124)

Table G.1 – Examples of typical safety functions
表 G.1 – 典型安全功能示例 (125)

Table H.1 – Allocation of PFH value of a subsystem
表 H.1 – 子系统 PFH 值的分配 (127)

Table H.2 – Relationship between B10D, operations and MTTFD
表 H.2 – B10D、操作次数与 MTTFD 之间的关系 (128)

Table H.3 – Minimum value of 1/λD for the applicability of PFH equation (H.3)
表 H.3 – 适用 PFH 方程 (H.3) 的 1/λD 最小值 (133)

Table J.1 – Minimum levels of independence for review, testing and verification activities
表 J.1 – 审查、测试和验证活动的最低独立性等级 (142)

Table J.2 – Minimum levels of independence for validation activities
表 J.2 – 确认活动的最低独立性等级 (142)

结合上述 IEC 62061:2026 的目录结构,我们能清晰地看出机械领域安全相关控制系统(SCS)设计的核心脉络。如果您是电气工程师、自动化工程师或功能安全专家,以下几个核心技术要点需要深度掌握:

1. 从“风险”到“要求”:安全要求规范 (SRS) 的重要性 (第5章)

标准第5章定义了安全要求规范 (SRS)。这是所有功能安全设计的源头。工程师不能上来就画原理图,必须先明确:

  • 功能要求 (Functional Requirements):机器需要做什么动作来保持安全?(例如:打开防护门时,电机必须在2秒内停止运转)。

  • 安全完整性要求 (Safety Integrity Requirements):这个动作失效的风险有多大?需要达到哪个等级的 SIL (Safety Integrity Level)?
    划重点:附录A (Annex A) 提供了一个非常实用的矩阵分配法,通过评估伤害严重程度 (Se) 和伤害发生的概率,推导出所需的 SIL 等级。

2. 自上而下的架构分解 (第6章与第7章)

IEC 62061 强调系统工程的方法。第6章讲的是整个SCS系统的设计,第7章深入到**子系统 (Subsystem)**的设计。

  • PFH (每小时危险失效频率):这是评估系统可靠性的硬指标。整个SCS的 PFH 是各个子系统 PFH 值的总和。

  • 架构约束 (Architectural constraints, 7.4):即使你用的元器件再好,如果架构是单通道且没有诊断,系统也达不到高SIL。标准要求评估安全失效分数 (SFF),并根据诊断覆盖率 (DC) 和硬件容错能力 (HFT) 来约束最高能达到的 SIL。

  • 附录H的简化公式:对于大部分机械工程师来说,不需要从零推导复杂的马尔科夫模型。附录H 提供了子系统基本架构(A, B, C, D四类,类似于ISO 13849-1中的Category)的简化计算公式。

3. “重中之重”的失效控制:系统性失效与共因失效

硬件元器件老化引起的随机失效可以通过 MTTFD  (附录C) 来计算,但标准花大量篇幅强调了另外两种失效:

  • 系统性失效 (Systematic failures, 6.5 & 7.3.2):通常是设计错误(如软件Bug、电磁干扰导致死机)。解决方法是通过规范的设计流程、抗扰度测试(EMC, 6.6)和严格的管理来“避免”和“控制”。

  • 共因失效 (CCF, 7.6.3 & 附录E):如果是双通道系统(如两个接触器串联切断电源),如果因为同一个原因(如机柜温度过高、电源尖峰)导致两个接触器同时黏连,冗余就失效了。附录E提供了一套打分表,指导工程师如何采取措施(如物理隔离、多样性设计)来降低 CCF。

4. 软件不再是“黑盒”:明确的软件等级要求 (第8章)

随着机械设备越来越智能,PLC程序和嵌入式代码在安全中扮演关键角色。IEC 62061 将软件划分为两个等级:

  • Software Level 1:通常指参数化软件或使用预先认证的库(如安全PLC中的逻辑功能块)进行的应用编程。要求相对简单,参考附录F。

  • Software Level 2:指底层嵌入式软件(如用C/C++开发的安全驱动器固件)。第8.4节规定了极其严格的 V模型生命周期:从系统设计、模块设计、编码到模块测试、集成测试。

5. 验证 (Verification) vs. 确认 (Validation) (第9章)

这两者在中文语境下常被混淆,但在标准中截然不同:

  • 验证 (Verification):在开发过程的每个阶段,检查输出是否满足输入(例:代码写得是否符合详细设计文档)。(注:体现在各章节内部的流程中)

  • 确认 (Validation, 第9章):在系统完成后,通过分析和测试,证明造出来的系统真的满足了最初在第5章定义的 SRS(安全要求规范)。

  • 独立性 (Annex J):标准特别要求(特别是高SIL级别时),负责评估和测试的人员必须独立于设计人员,避免“既当裁判又当运动员”。

总结: IEC 62061:2026 是一套严密的逻辑体系。它要求设计者不仅要懂电气硬件(继电器、变频器),懂软件逻辑,更要懂得风险管理与生命周期控制。掌握这份标准,是机械与电气工程师通向“高级功能安全专家”的必经之路。


FOREWORD
前言

  1. The International Electrotechnical Commission (IEC) is a worldwide organization for standardization comprising all national electrotechnical committees (IEC National Committees). The object of IEC is to promote international co-operation on all questions concerning standardization in the electrical and electronic fields. To this end and in addition to other activities, IEC publishes International Standards, Technical Specifications, Technical Reports, Publicly Available Specifications (PAS) and Guides (hereafter referred to as "IEC Publication(s)"). Their preparation is entrusted to technical committees; any IEC National Committee interested in the subject dealt with may participate in this preparatory work. International, governmental and non-governmental organizations liaising with the IEC also participate in this preparation. IEC collaborates closely with the International Organization for Standardization (ISO) in accordance with conditions determined by agreement between the two organizations.

  2. 国际电工委员会(IEC)是由所有国家电工委员会(IEC国家委员会)组成的全球标准化组织。IEC的宗旨是促进电气和电子领域有关标准化所有问题的国际合作。为此以及除其他活动外,IEC出版国际标准、技术规范、技术报告、公共可用规范(PAS)和指南(以下简称“IEC出版物”)。它们的编制委托给各个技术委员会;任何对所涉及主题感兴趣的IEC国家委员会都可以参与这项准备工作。与IEC有联络关系的国际、政府和非政府组织也参与这项准备工作。IEC根据两组织协议确定的条件与国际标准化组织(ISO)密切合作。

  3. The formal decisions or agreements of IEC on technical matters express, as nearly as possible, an international consensus of opinion on the relevant subjects since each technical committee has representation from all interested IEC National Committees.

  4. IEC在技术问题上的正式决议或协议尽可能地表达了对相关主题的国际共识,因为每个技术委员会都有来自所有感兴趣的IEC国家委员会的代表。

  5. IEC Publications have the form of recommendations for international use and are accepted by IEC National Committees in that sense. While all reasonable efforts are made to ensure that the technical content of IEC Publications is accurate, IEC cannot be held responsible for the way in which they are used or for any misinterpretation by any end user.

  6. IEC出版物以推荐性国际标准的形式发布,并在此意义上被IEC国家委员会接受。虽然已经做出了所有合理的努力以确保IEC出版物的技术内容准确无误,但IEC不能 (cannot, 表示不具备能力或不可能) 对最终用户使用它们的方式或任何误解承担责任。

  7. In order to promote international uniformity, IEC National Committees undertake to apply IEC Publications transparently to the maximum extent possible in their national and regional publications. Any divergence between any IEC Publication and the corresponding national or regional publication shall be clearly indicated in the latter.

  8. 为了促进国际统一,IEC国家委员会承诺在其国家和地区出版物中最大程度地透明应用IEC出版物。任何IEC出版物与相应的国家或地区出版物之间的任何差异,应当/必须 (shall, 表示强制性要求) 在后者中清楚地标明。

  9. IEC itself does not provide any attestation of conformity. Independent certification bodies provide conformity assessment services and, in some areas, access to IEC marks of conformity. IEC is not responsible for any services carried out by independent certification bodies.

  10. IEC本身不提供任何合格评定证明。独立的认证机构提供合格评定服务,并在某些领域提供获取IEC合格标志的途径。IEC对独立认证机构开展的任何服务不承担任何责任。

  11. All users should ensure that they have the latest edition of this publication.

  12. 所有用户宜/建议 (should, 表示强烈建议) 确保他们拥有本出版物的最新版本。

  13. No liability shall attach to IEC or its directors, employees, servants or agents including individual experts and members of its technical committees and IEC National Committees for any personal injury, property damage or other damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and expenses arising out of the publication, use of, or reliance upon, this IEC Publication or any other IEC Publications.

  14. 对于因出版、使用或依赖本IEC出版物或任何其他IEC出版物而引起的任何直接或间接的人身伤害、财产损失或其他任何性质的损害,或相关成本(包括律师费)和费用,不应/不得 (shall not, 表示严禁/免责声明) 使IEC或其董事、员工、雇员或代理人(包括个人专家及其技术委员会和IEC国家委员会的成员)承担任何责任。

  15. Attention is drawn to the Normative references cited in this publication. Use of the referenced publications is indispensable for the correct application of this publication.

  16. 请注意本出版物中引用的规范性引用文件。为了正确应用本出版物,使用这些引用的出版物是必不可少的。

  17. IEC draws attention to the possibility that the implementation of this document may involve the use of (a) patent(s). IEC takes no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, IEC had received notice of (a) patent(s), which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at https://patents.iec.ch. IEC shall not be held responsible for identifying any or all such patent rights.

  18. IEC提请注意,本文件的实施可能/允许 (may, 此处表可能性) 涉及使用一项或多项专利。IEC对有关任何声明的专利权的证据、有效性或适用性不表明立场。截至本文件发布之日,IEC已收到实施本文件可能 (may) 需要的一项或多项专利的通知。然而,警告实施者这可能不 (may not) 代表最新信息,最新信息可以/允许 (may) 从 https://patents.iec.ch 的专利数据库中获取。IEC不应/不得 (shall not, 表示强制免责) 负责识别任何或所有此类专利权。

[合并版本说明 - 绿色文本框部分]
This consolidated version of the official IEC Standard and its amendments has been prepared for user convenience.
编制本 IEC 官方标准及其修改单的合并版本是为了方便用户。

IEC 62061 edition 2.2 contains the second edition (2021-03)[documents 44/885/FDIS and 44/888/RVD], its amendment 1 (2024-03)[documents 44/1020/FDIS and 44/1024/RVD] and its amendment 2 (2026-03)[documents 44/1074/FDIS and 44/1081/RVD].
IEC 62061 第 2.2 版包含第二版(2021-03)[文件 44/885/FDIS 和 44/888/RVD]、其修改单 1(2024-03)[文件 44/1020/FDIS 和 44/1024/RVD] 以及其修改单 2(2026-03)[文件 44/1074/FDIS 和 44/1081/RVD]。

In this Redline version, a vertical line in the margin shows where the technical content is modified by amendments 1 and 2. Additions are in green text, deletions are in strikethrough red text. A separate Final version with all changes accepted is available in this publication.
在本红线 (Redline) 版本中,页边空白处的垂直线显示了修改单 1 和 2 对技术内容进行修改的位置。新增内容为绿色文本,删除内容为带删除线的红色文本。本出版物还提供了一个接受所有更改的单独最终版本。

IEC 62061 has been prepared by IEC technical committee 44: Safety of machinery – Electrotechnical aspects. It is an International Standard.
IEC 62061 由 IEC 第44技术委员会:机械安全 – 电气方面编制。它是一项国际标准。

This second [edition] constitutes a technical revision.
本第二版构成了一次技术修订。

This edition includes the following significant technical changes with respect to the previous edition:
与上一版相比,本版包括以下重大技术变更:

  • structure has been changed and contents have been updated to reflect the design process of the safety function,
    改变了结构并更新了内容,以反映安全功能的设计过程;

  • standard extended to non-electrical technologies,
    标准扩展到了非电气技术领域;

  • definitions updated to be aligned with IEC 61508-4,
    更新了定义,以与 IEC 61508-4 保持一致;

  • functional safety plan introduced and configuration management updated (Clause 4),
    引入了功能安全计划并更新了配置管理(第4章);

  • requirements on parametrization expanded (Clause 6),
    扩展了对参数化的要求(第6章);

  • reference to requirements on security added (Subclause 6.8),
    增加了对信息安全 (Security) 要求的引用(第6.8子条款);

  • requirements on periodic testing added (Subclause 6.9),
    增加了对定期测试的要求(第6.9子条款);

  • various improvements and clarification on architectures and reliability calculations (Clause 6 and Clause 7),
    对架构和可靠性计算进行了各种改进和澄清(第6章和第7章);

  • shift from "SILCL" to "maximum SIL" of a subsystem (Clause 7),
    将子系统的“SILCL(SIL声明限值)”转变为“maximum SIL(最高SIL)”(第7章);

  • use cases for software described including requirements (Clause 8),
    描述了软件的用例,包括具体要求(第8章);

  • requirements on independence for software verification (Clause 8) and validation activities (Clause 9) added,
    增加了对软件验证(第8章)和确认活动(第9章)独立性的要求;

  • new informative annex with examples (Annex G),
    增加了带示例的新资料性附录(附录G);

  • new informative annexes on typical MTTFD values, diagnostics and calculation methods for the architectures (Annex C, Annex D and Annex H).
    增加了关于典型 MTTFD 值、诊断以及架构计算方法的新资料性附录(附录C、附录D和附录H)。

The language used for the development of this International Standard is English.
用于制定本国际标准的语言是英语。

This document was drafted in accordance with ISO/IEC Directives, Part 2, and developed in accordance with ISO/IEC Directives, Part 1 and ISO/IEC Directives, IEC Supplement, available at www.iec.ch/members_experts/refdocs. The main document types developed by IEC are described in greater detail at www.iec.ch/standardsdev/publications.
本文件是根据 ISO/IEC 指令第2部分起草的,并根据 ISO/IEC 指令第1部分和 ISO/IEC 指令 IEC 补充件制定的,相关文件可在 www.iec.ch/members_experts/refdocs 获取。IEC 制定的主要文件类型在 www.iec.ch/standardsdev/publications 中有更详细的描述。

The committee has decided that the contents of this document and its amendments will remain unchanged until the stability date indicated on the IEC website under webstore.iec.ch in the data related to the specific document. At this date, the document will be
委员会已决定,本文件及其修改单的内容将保持不变,直到 IEC 网站 webstore.iec.ch 上与特定文件相关的数据中指示的稳定性日期。到该日期时,本文件将被:
– reconfirmed, (重新确认)
– withdrawn, or (撤销,或)
– revised. (修订。)

读懂 IEC 62061 版本迭代背后的“设计哲学”

标准的《前言》往往被很多人跳过,但实际上,这里列出的“重大技术变更 (Significant technical changes)”正是该领域技术发展的风向标。如果您是自动化工程师、机器制造商或功能安全审核员,以下五个核心变化是您必须深度掌握的:

1. 破除边界:扩展至“非电气技术” (Non-electrical technologies)

  • 过去: IEC 62061 被严格限制在电气/电子/可编程电子(E/E/PE)系统内。如果你设计了一台机器,安全回路上使用了气动电磁阀或液压缸,你就只能去查阅 ISO 13849-1(机械安全控制系统部件标准)。这导致工程师常常要在两个标准间反复横跳。

  • 现在: 新版 62061 实现了“破圈”!它直接包容了机械、液压、气动等非电气组件。新增的附录C直接给出了液压气动组件的典型 MTTFD 和 B10D 值。这意味着,你现在可以完全单独使用 IEC 62061 来完成包含机械结构的整套安全控制系统(SCS)的 SIL 评估,极大简化了机电一体化设备的认证流程。

2. 信息安全 (Security) 成为功能安全的“前置条件” (Subclause 6.8)

  • 解析: 在工业4.0和物联网(IIoT)时代,安全PLC和传感器都连上了网络。"Safety(功能安全:机器不伤害人)" 和 "Security(信息安全:防黑客攻击)" 的界限已经模糊。新版标准第6.8节明确提出:如果一个安全系统容易受到网络攻击被篡改参数,那么它的功能安全等级直接归零。

  • 实操建议: 工程师在做功能安全设计时,必须参考 IEC 62443 等工控安全标准,对安全PLC的访问权限、密码保护、远程调试端口进行硬性约束。

3. 告别生涩词汇:从 SILCL 到 Maximum SIL (第7章)

  • 解析: 老版本中,子系统的能力被称为 "SILCL"(SIL Claim Limit,SIL声明限值),这是一个极为生涩难懂的词。新版将其统一更名为更为直白的 "maximum SIL" (最高SIL)

  • 核心逻辑: 无论你选用的元器件寿命(MTTFD)有多长,系统的**架构(单通道还是双通道)诊断能力(DC)**决定了你能达到的“天花板”。比如:一个单通道且没有诊断功能的架构,哪怕继电器永远不坏,它的 maximum SIL 也只能被锁死在 SIL 1。

4. 软件规范的全面升级:用例与独立性 (第8章与第9章)

  • 解析: 现代机器的“安全”越来越依赖于代码。新标准大幅强化了对软件(特别是参数化软件和应用编程)的规范。

  • 划重点 - 独立性要求 (Independence): 这是新版极其强调的管理概念。你不能“既当裁判又当运动员”。如果是 SIL 2 或 SIL 3 的系统,编写代码的工程师绝对不能 (shall not) 同时负责软件的验证(Verification)和确认测试(Validation)。必须由独立的人员甚至独立的第三方部门来执行测试,以消除主观盲区。

5. 实战工具包的扩充:附录 C, D, H (你的“计算外挂”)

  • 解析: 标准制定者听到了底层工程师的呼声——“纯数学模型太难算啦!”

  • 福利: 新版提供了极其丰富的实操工具:

    • 附录C: 找不到元器件数据时的“保底默认值表”。

    • 附录D: 各种电路诊断设计能达到多少 DC(诊断覆盖率)的“对号入座表”。

    • 附录H: 针对4种典型安全架构的 “简化版 PFH 计算公式”,工程师只需要像套用初中代数公式一样,把参数代入即可得出结果,免去了建立马尔可夫模型的痛苦。

总结:
IEC 62061 的这次迭代,标志着功能安全标准正在从“纯学术派的概率计算”走向**“注重管理、兼容并蓄、贴近工程实战”**。理解这些变更,不仅能帮您快速通过认证,更能系统性地提升您机器产品的本质安全设计水平。


INTRODUCTION
引言

As a result of automation, demand for increased production and reduced operator physical effort, Safety-related Control Systems (referred to as SCS) of machines play an increasing role in the achievement of overall machine safety. Furthermore, the SCS themselves increasingly employ complex electronic technology.
由于自动化的发展、对提高产量和减轻操作员体力劳动需求的增加,机器的安全相关控制系统(简称 SCS)在实现机器整体安全方面发挥着越来越重要的作用。此外,SCS 本身也越来越多地采用复杂的电子技术。

IEC 62061 specifies requirements for the design and implementation of safety-related control systems of machinery. This document is machine sector specific within the framework of IEC 61508.
IEC 62061 规定了机械安全相关控制系统的设计和实施要求。本文件是 IEC 61508 框架内针对机械领域的特定标准。

NOTE While IEC 62061 and ISO 13849-1 are using different methodologies for the design of safety related control systems, they intend to achieve the same risk reduction.
注: 虽然 IEC 62061 和 ISO 13849-1 在设计安全相关控制系统时使用了不同的方法,但它们旨在实现相同的风险减小。

This International Standard is intended for use by machinery designers, control system manufacturers and integrators, and others involved in the specification, design and validation of an SCS. It sets out an approach and provides requirements to achieve the necessary performance and facilitates the specification of the safety functions intended to achieve the risk reduction.
本国际标准旨在供机械设计人员、控制系统制造商和集成商,以及其他参与 SCS 规范、设计和确认的人员使用。它提出了一种方法并提供了实现必要性能的要求,同时有助于规范旨在实现风险减小的安全功能。

This document provides a machine sector specific framework for functional safety of an SCS of machines. It only covers those aspects of the safety lifecycle that are related to safety requirements allocation through to safety validation. Requirements are provided for information for safe use of SCS of machines that can also be relevant to later phases of the lifecycle of an SCS.
本文件为机器 SCS 的功能安全提供了一个机械领域特定的框架。它仅涵盖安全生命周期中与“从安全要求分配到安全确认”相关的那些方面。本标准提供了有关机器 SCS 安全使用信息的要求,这些信息也能/可以 (can,表示具备这种可能性或能力) 与 SCS 生命周期的后续阶段相关。

There are many situations on machines where SCS are employed as part of safety measures that have been provided to achieve risk reduction. A typical case is the use of an interlocking guard that, when it is opened to allow access to the danger zone, signals the safety related parts of the machine control system to stop hazardous machine operation. In automation, the machine control system that is used to achieve correct operation of the machine process often contributes to safety by mitigating risks associated with hazards arising directly from control system failures. This document gives a methodology and requirements to:
在机器上有很多情况,SCS 被用作已提供的安全措施的一部分以实现风险减小。一个典型的例子是使用联锁防护装置,当它被打开以允许进入危险区域时,会向机器控制系统的安全相关部分发出信号,以停止危险的机器操作。在自动化中,用于实现机器过程正确操作的机器控制系统,通常通过减轻直接由控制系统失效引起的危险相关的风险,来为安全做出贡献。本文件给出了一种方法和要求,以:

  • assign the required safety integrity for each safety function to be implemented by SCS;
    为 SCS 要实现的每个安全功能分配所需的安全完整性;

  • enable the design of the SCS appropriate to the assigned safety (control) function(s);
    使 SCS 的设计能够适应所分配的安全(控制)功能;

  • integrate safety-related subsystems designed in accordance with other applicable functional safety-related standards (see 6.3.4);
    集成根据其他适用的功能安全相关标准设计的安全相关子系统(见 6.3.4);

  • validate the SCS.
    确认 SCS。

This document is intended to be used within the framework of systematic risk reduction, in conjunction with risk assessment described in ISO 12100. Suggested methodologies for a safety integrity assignment are given in informative Annex A.
本文件旨在与 ISO 12100 中描述的风险评估相结合,在系统性风险减小的框架内使用。资料性附录 A 中给出了安全完整性分配的建议方法。


技术要点深度解析:读懂《引言》背后的工程逻辑

标准的《引言》虽然只有短短一页,但它奠定了整部 IEC 62061 标准的基调。对于自动化工程师、机器制造商和电气设计人员来说,这段引言回答了功能安全领域的几个“终极疑问”。

1. 认祖归宗:IEC 62061 与 IEC 61508 的关系

引言中明确提到:“本文件是 IEC 61508 框架内针对机械领域的特定标准”。

  • 大白话解析: IEC 61508 是所有行业(核电、航空、化工、铁路)功能安全的**“母标准”,极其庞大且晦涩。如果让一个做包装机的工程师直接去啃 61508,绝对会疯掉。因此,IEC 制定了 62061 这个“子标准”**,专门针对制造业和机械装备。它裁剪掉了不必要的严苛要求,用机械工程师听得懂的语言(如电机、接触器、防护门)重新编写了 SIL(安全完整性等级)的落地指南。

2. 世纪大和解:IEC 62061 vs. ISO 13849-1

引言中那句孤零零的 "NOTE(注)",是整个行业最关注的焦点。

  • 历史背景: 在机械安全界,一直存在两大门派。一派用 ISO 13849-1(算 PL 性能等级,偏机械和气动),另一派用 IEC 62061(算 SIL 等级,偏电气和复杂软件)。两派曾长期互不兼容。

  • 深度解析: 这里的 NOTE 是一份“和平宣言”。它官方定调:SIL 和 PL 是殊途同归的。更重要的是,在引言的四个核心目标中,第3点明确提出要“集成根据其他标准设计的子系统”。这意味着,在最新的 IEC 62061 中,你可以光明正大地把一个 PL e 的气动阀岛(基于 13849),串联到一个 SIL 3 的安全 PLC 系统(基于 62061)中! 两大标准的无缝融合,极大地解放了工程师的选型限制。

3. 画地为牢:标准的“管辖范围”

标准明确指出,它只覆盖生命周期中的 “从安全要求分配到安全确认” 这一段。

  • 避坑指南: IEC 62061 是一本**“工程设计与验证手册”**。它不管机器怎么生产制造,也不管机器最后怎么报废。它的主战场在办公室和测试车间:指导你如何算PFH、画架构图、写软件代码,并在出厂前做 Validation(确认测试)。

4. 工程师的“四步走”标准作业流程 (SOP)

引言结尾给出的 4 个 bullet points(圆点列表),其实就是电气/安全工程师的日常工作流程:

  1. Assign (分配): 查表算数,确定这个光幕或急停需要 SIL 2 还是 SIL 3。(对应附录 A)。

  2. Design (设计): 根据 SIL 要求,画原理图,写 PLC 程序。决定是单通道还是双通道冗余。

  3. Integrate (集成): 采购西门子、皮尔磁、倍福等厂家自带 SIL/PL 证书的安全组件,把它们像搭积木一样拼在一起。

  4. Validate (确认): 把机器造出来,通上电,去拉开防护门、按下急停,记录设备是否在规定的毫秒数内安全停机,并出具测试报告。

5. 一切的前提:ISO 12100 (风险评估)

引言最后一句是核心警告:“本文件旨在与 ISO 12100 结合使用”。

  • 深度解析: 很多新手拿到设备直接开始画安全回路线,这是错的。没有 ISO 12100(机械安全基本概念与风险评估原则),IEC 62061 就是无源之水。 你必须先通过 ISO 12100 识别出机器哪里会夹手、哪里会卷入,评估出风险有多大,然后才能拿着这个结果,进入 IEC 62061 去设计电路来消除这些风险。ISO 12100 提出问题,IEC 62061 解决问题。

结语: 读懂这篇引言,你就建立起了机械功能安全的全局观。它不仅是一套电气设计规范,更是一套通过严谨的系统工程方法,保护操作人员生命安全的护城河。