选择 ISO 13849 或 IEC 62061 的依据是什么？

评估安全相关控制系统所需和已达到的安全等级有两套不同的标准：ISO 13849 与 IEC 62061。

选择使用哪一套标准，由设计者自行决定。这一点得到了上层风险评估与风险降低的 A 类安全标准 ISO 12100:2010 的支持，该标准在第 6.2.11.1 节中明确指出：

控制系统的设计措施应当如此选择，使其安全相关性能提供足够的风险降低（参见 ISO 13849-1 或 IEC 62061）。

这一表述显然是一种无条件的选择，因此无需特别说明理由即可在两套标准中任选其一。

对于不同的安全功能，甚至同一安全功能的不同子系统，也可以选用不同的标准。并没有硬性要求必须说明为何采用某一特定标准。不过，本文作者建议在交替使用时给出名义上的理由。

以下理由为示例（仅供参考——未在任何相关标准中列出）：

• 适用性：所选标准更适合特定的安全功能或子系统，例如能够依据更明确的准则或以更高精度评估性能等级或所需的 SIL（这是选用 IEC 62061 的一个好理由，因为它对伤害严重程度和暴露频率等有更明确、更细化的准则）。
• 一个常见的例子是，ISO 13849 中的严重程度 S2 包含死亡，但通常必须用于任何永久性伤害；而 IEC 62061 提供了 4 个严重程度等级而非 2 个，使设计者能够选择精确匹配风险的做法，而不是简单地假定几乎所有需要医疗处理的事故都与死亡同等严重。
• 软件支持：所选标准在用于评估的软件工具中得到更好的支持。这里典型的例子是 SISTEMA 仅支持 ISO 13849（IEC 62061 只能在外部自行计算时使用）。
• 熟悉程度：执行评估的人员更熟悉所选标准（这通常不能作为混用两套标准的理由，除非有多位作者且偏好不同）。
• 先例：对于一组给定的安全功能或子系统，评估（宽松或严格地）基于以往对类似功能或子系统的评估（无论是在同一公司内，还是作者过去所做的）。
• 质量管理：公司的质量管理体系要求或推荐使用某一特定标准进行评估（这通常不能作为混用两套标准的理由，但可以与适用性或先例理由结合使用）。
• 客户要求：客户要求使用某一特定标准进行评估（这通常只能作为有限的混用两套标准的理由，但可以与适用性、先例或质量管理理由结合使用）。

以下理由不推荐作者使用：

• 预认证元件的可用性：某些元件按两套标准之一进行了预认证，而另一套没有——不推荐，因为你完全可以、也应当直接使用双向映射表。

以下理由在任何情况下都应被视为禁止性理由，因为使用它们意味着安全需求规范是事后生成的，可被解读为设计过程中疏忽大意、未尽到尽职调查义务：

• 实施其中一套标准比另一套更便宜。
• 一组给定的元件满足其中一套标准的评估准则，而不满足另一套。

来源：ISO 12100:2010，第 6.2.11.1 节，第一段。

作者资质：Uli Köhler 是一名功能安全工程师和顾问，持有 CMSE® – Certified Machinery Safety Expert (TÜV NORD) 认证。