ISO 13849-1:2023

INTERNATIONAL ISO
STANDARD 13849-1
Redline version
compares Fourth edition to
Third edition
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
ISO13849-1:redline:2023(E)
ISO13849-1:redline:2023(E)
IMPORTANT — PLEASE NOTE
This is a provisional mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
— indicates removed text (in red)
Text example 2
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
All changes in this document have yet to reach concensus by vote and as such should only
be used internally for review purposes.
DISCLAIMER
This Redline version is not an official IEC Standard and is intended only to provide the
user with an indication of what changes have been made to the previous version. Only the
current version of the standard is to be considered the official document.
This Redline version provides you with a quick and easy way to compare all the changes
between this standard and its previous edition. A vertical bar appears in the margin
wherever a change has been made. Additions and deletions are displayed in red, with
deletions being struck through.
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
ISO13849-1:redline:2023(E)
Contents Page
Foreword .vii
Introduction .ix
1 Scope . 1
2 Normative references . 2
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms . 14
4 Design considerations .16
4 Overview .16
4.1 Safety objectives in design . 16
4.1 Risk assessment and risk reduction process at the machine . 16
4.2 Strategy for Contribution to the risk reduction . 19
4.2.1 General . 19
4.2.2 Contribution to the risk reduction by the control system. 19
4.3 Determination of required performance level (PL ) . 23
r
4.3 Design process of an SRP/CS .23
4.4 Design of SRP/CS . 24
4.5 Evaluation of the achieved performance level PL and relationship with SIL .25
4.5.1 Performance level PL . 25
4.5.2 Mean time to dangerous failure of each channel (MTTF ) . 27
D
4.5.3 Diagnostic coverage (DC) .28
4.5.4 Simplified procedure for estimating the quantifiable aspects of PL .28
4.5.5 Description of the output part of the SRP/CS by category . 31
4.4 Methodology . 31
4.6 Software safety requirements . 32
4.6.1 General . 32
4.6.2 Safety-related embedded software (SRESW) . 33
4.6.3 Safety-related application software (SRASW) .34
4.6.4 Software-based parameterization .36
4.7 Verification that achieved PL meets PL . 37
r
4.5 Required information .38
4.8 Ergonomic aspects of design .38
4.6 Safety function realization by using subsystems .38
5 Safety Specification of safety functions .39
5.1 Specification of safety functions . 39
5.1 Identification and general description of the safety function .40
5.2 Details of safety functions. 43
5.2 Safety requirements specification . 43
5.2.1 Safety-related stop function . 43
5.2.1 General requirements . 43
5.2.2 Manual reset function .46
5.2.2 Requirements for specific safety functions .46
5.2.3 Start/restart function .50
5.2.3 Minimizing motivation to defeat safety functions .50
5.2.4 Local control function . 51
5.2.4 Remote access . 51
5.2.5 Muting function . 51
5.2.6 Response time . . . 52
5.2.7 Safety–related parameters. 52
5.2.8 Fluctuations, loss and restoration of power sources . 52
5.3 Determination of required performance level (PL ) for each safety function . . 52
r
5.4 Review of the safety requirements specification (SRS) . 52
iii
ISO13849-1:redline:2023(E)
5.5 Decomposition of SRP/CS into subsystems . 53
6 Categories and their relation to MTTF of each channel, DC and CCF .54
D avg
6.1 General .54
6 Design considerations .55
6.2 Specifications of categories .55
6.1 Evaluation of the achieved performance level . 55
6.2.1 6.1.1 General overview of performance level . 55
6.2.2 Designated architectures . 57
6.1.2 Correlation between performance level (PL) and safety integrity level (SIL) . 57
6.2.3 Category B . 57
6.2.4 Category 1 .58
6.2.5 Category 2 . 59
6.1.3 Architecture — Categories and their relation to MTTF of each channel,
D
average diagnostic coverage and common cause failure (CCF).60
6.2.6 Category 3 .68
6.1.4 Mean time to dangerous failure (MTTF ) .68
D
6.1.5 Diagnostic coverage (DC) . 70
6.1.6 Common cause failures (CCFs) . 71
6.1.7 Systematic failures . 71
6.1.8 Simplified procedure for estimating the performance level for subsystems . 71
6.1.9 Alternative procedure to determine the performance level and PFH
without MTTF .73
D
6.2.7 Category 4 .74
6.1.10 Fault consideration and fault exclusion .77
6.1.11 Well-tried component .78
6.3 6.2 Combination of SRP/CS subsystems to achieve overall PL an overall
performance level of the safety function . 79
6.2.1 General .80
6.2.2 Known PFH values .80
6.2.3 Unknown PFH values . 81
6.3 Software based manual parameterization . 81
6.3.1 General . 81
6.3.2 Influences on safety-related parameters . 82
6.3.3 Requirements for software based manual parameterization . 82
6.3.4 Verification of the parameterization tool . 83
6.3.5 Documentation of software based manual parameterization .84
7 Fault consideration, fault exclusion .84
7 Software safety requirements .84
7.1 General .84
7.2 Fault consideration .86
7.2 Limited variability language (LVL) and full variability language (FVL) .86
7.2.1 Limited variability language (LVL) .86
7.2.2 Full variability language (FVL) . 86
7.2.3 Decision for limited variability language (LVL) or full variability language
(FVL) . 87
7.3 Safety-related embedded software (SRESW) . 88
7.3.1 Design of safety-related embedded software (SRESW) . 88
7.3.2 Alternative procedures for non-accessible embedded software .89
7.3 Fault exclusion .89
7.4 Safety-related application software (SRASW) .89
8 Verification of the achieved performance level .92
9 Ergonomic aspects of design .92
iv
ISO13849-1:redline:2023(E)
8 10 Validation .93
10.1 Validation principles. 93
10.1.1 General . 93
10.1.2 Validation plan. 95
10.1.3 Generic fault lists . . . 96
10.1.4 Specific fault lists . 96
10.1.5 Information for validation . 96
10.2 Validation of the safety requirements specification (SRS) . 97
10.3 Validation by analysis . 98
10.3.1 General . 98
10.3.2 Analysis techniques . 98
10.4 Validation by testing . 98
10.4.1 General . 98
10.4.2 Measurement accuracy . 99
10.4.3 Additional requirements for testing .100
10.4.4 Number of test samples .100
10.4.5 Testing methods .100
10.5 Validation of the safety functions .101
10.6 Validation of the safety integrity of the SRP/CS .101
10.6.1 Validation of subsystem(s) .101
10.6.2 Validation of measures against systematic failures .102
10.6.3 Validation of safety-related software .103
10.6.4 Validation of combination of subsystems .104
10.6.5 Overall validation of safety integrity .104
10.7 Validation of environmental requirements .104
10.8 Validation record .105
10.9 Validation maintenance requirements .105
9 Maintenance . 105
11 Maintainability of SRP/CS . 105
10 12 Technical documentation . 106
11 13 Information for use . 107
13.1 General .108
13.2 Information for SRP/CS integration .108
13.3 Information for user .108
Annex A (informative) Determination Guidance for the determination of required
performance level (PL ).110
r
Annex B (informative) Block method and safety-related block diagram .117
Annex C (informative) Calculating or evaluating MTTF values for single components .119
D
Annex D (informative) Simplified method for estimating MTTF for each channel . 131
D
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and modules
subsystems .134
Annex F (informative) Estimates for common cause failure (CCF) Method for quantification
of measures against common cause failures (CCF) . 138
Annex G (informative) Systematic failure . 143
Annex H (informative) Example of a combination of several safety-related partsof the
control system subsystems .147
Annex I (informative) Examples for the simplified procedure to estimate the PL of
subsystems . 151
Annex J (informative) Software Example of SRESW realisation . 163
Annex K (informative) Numerical representation of Figure 5 12 . 169
v
ISO13849-1:redline:2023(E)
Annex L (informative) Electromagnetic interference (EMI) immunity .173
Annex M (informative) Additional information for safety requirements specification (SRS) .177
Annex N (informative) Avoiding systematic failure in software design .179
Annex O (informative) Safety-related values of components or parts of control systems . 199
Bibliography . 202
vi
ISO13849-1:redline:2023(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directiveswww .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patentswww .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on theof the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO'sISO’s adherence to
the WTOWorld Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the
following URL:, see Foreword - Supplementary informationwww .iso .org/ iso/ foreword .html.
The committee responsible for this document is ISO/TC 199, Safety of machinery.
This document was prepared by Technical Committee ISO/TC 199, Safety of machinery, in collaboration
with the European Committee for Standardization (CEN) Technical Committee CEN/TC 114, Safety of
machinery, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This thirdfourth edition cancels and replaces the secondthird edition (ISO 13849-1:20062015), which
has been technically revised. It also incorporates Technical Corrigendum ISO 13849-1:2006/Cor 1:2009.
Changes from the previous edition include
The main changes are as follows:
— the whole document was reorganized to better follow the design and development process for
control systems;
— new Clause 4 on recommendation for risk assessment;
— deletion of the former Table 1 from the Introduction,
— specification of the safety functions (updated Clause 5);
— updating and addition of normative references,
— combination of several subsystems (updated in Clause 6);
— modification of the definitions of terms hazardous situation and high demand or continuous mode,
— new Clause 7 on software safety requirements;
— new Clause 9 on ergonomic aspects of design;
— validation (updated Clause 8 and moved to Clause 10);
vii
ISO13849-1:redline:2023(E)
— addition of a new term and definition, proven in use,
— new G.5 on management of the functional safety;
— new Annex L on electromagnetic interference (EMI) immunity;
— editorial, but not technical, modification of Figure 1,
— new Annex M with additional information for safety requirements specification;
— a new subclause, 4.5.5, as well as modifications to existing sections including the annexes, substantial
modification of Annex C and an entirely new Annex I.
— new Annex N on fault-avoiding measures for the design of safety related software;
— new Annex O with safety-related values of components or parts of the control systems.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related
parts of control systems:
— Part 1: General principles for design
— Part 2: Validation
A list of all parts in the ISO 13849 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
viii
ISO13849-1:redline:2023(E)
Introduction
The structure of safety standards in the field of machinery is as follows.:
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects
that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature,
noise);
— type-B2 standards on safeguards (e.g. two-handshand controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This part ofdocument ISO 13849is a type-B-1B1 standard as stateddefined in ISO 12100:2010.
The first edition of this document was published in 1999 based on EN 954-1:1996 (withdrawn standard).
The second edition was revised in 2006 and the third edition was revised in 2015.
This document is of relevance, in particular for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.).
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e. g.e.g. for maintenance (small, medium and large enterprises);
— consumers (i.e. machinery intended for use by consumers).
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate atin the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards, as
defined in ISO 12100:2010.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and
built according to the requirements of that standard, the requirements of that type-C standard take
precedence.
When provisions of a type-C standard are different from those which are stated in type-A or type-B
standards, the provisions of the type-C standard take precedence over the provisions of the other
ix
ISO13849-1:redline:2023(E)
standards for machines that have been designed and built according to the provisions of the type-C
standard.
NOTE 1 The examples and basis for most content is based on stationary machines in factory applications.
However, other machines are not excluded. This document was written without considering if certain machinery
(e.g. mobile machinery) has specific requirements. However, this document is intended to be used across many
machinery industries and as a basis for type-C standards developers, as far as applicable.
This part ofdocument ISO 13849is intended to give guidance to those involved in the design and
assessment of control systems, and to Technical Committeesthose preparing type-B2 or type-C
standards which are presumed to comply with the Essential Safety Requirements of Annex I of the
Directive 2006/42/EC on machinery. It does not give specific guidance for compliance with other EC
directives.
As part of the overall risk reduction strategy at a machine, a designer will often choose to achieve
some measure of risk reduction through the application of safeguards employing one or more safety
functions.
Risk reduction according to ISO 12100:2010, Clause 6, is accomplished by applying, in the following
sequence, inherently safe design measures, safeguarding and/or complementary risk reduction
measures and information for use. A designer can reduce risks by risk reduction measures that can
have safety functions. Parts of machinery control systems that are assigned to provide safety functions
are called safety-related parts of control systems (SRP/CS) and these. These can consist of hardware
or a combination of hardware and software and can either be separate from the machine control
system or an integral part of it. In addition to providingimplementing safety functions, SRP/CS can also
provideimplement operational functions (e.g. two-handed controls as a means of process initiation).
The ability of safety-related parts of control systems to perform a safety function under foreseeable
conditions is allocated one of five levels, called performance levels (PL). These performance levels are
defined in terms of probability of dangerous failure per hour (see Table 2).
ISO 12100:2010 is used for risk assessment of the machine. Annex A of this document can be used for
the determination of the required performance level (PL ) of a safety function performed by the SRP/
r
CS, where its PL is not specified in the applicable type-C standard. This document is relevant for the
r
SRP/CS safety functions that are used to address risks for cases where a risk assessment conducted
according to ISO 12100:2010 determines that a risk reduction measure is needed that relies on a safety
function (e.g. interlocking guard). In those cases, the safety-related control system performs a safety
function. This document is intended to be used to design and evaluate the SRP/CS. Only the part of the
control system that is safety-related falls under the scope of this document.
Figure 1 illustrates the relationship between ISO 12100:2010 and this document. For a detailed
overview see Figure 2.
NOTE 2 See also ISO/TR 22100-2:2013 for further information.
x
ISO13849-1:redline:2023(E)
NOTE Based on ISO/TR 22100-2:2013, Figure 2.
Figure 1 — Integration of this document (ISO 13849-1) within the risk reduction process of
ISO 12100:2010
NOTE 3 Figure 1 shows where the SRP/CS contributes to the risk reduction process of ISO 12100:2010: Step
2. The SRP/CS supports the combined risk reduction measures by the implementation of safety functions. The
ability of safety-related parts of control systems to perform a safety function under foreseeable conditions is
allocated one of five levels, called performance levels (PL). The required performance level (PL ) for a particular
r
safety function (depending on the required risk reduction) will be determined by risk estimation.
Informative Annex A of this document contains a method for risk estimation and can be used for the
determination of the PL of a safety function performed by the SRP/CS. Any risk estimation method will
r
show a variance because of the subjective nature of the evaluation criteria. In comparison to Annex A,
type-C standards can have more specific risk estimation methods for specific machine applications.
The probabilityfrequency of dangerous failure of the safety function depends on several factors,
including but not limited to, hardware and software structure, the extent of fault detection mechanisms
[diagnostic coverage (DC)], reliability of components [mean time to dangerous failure (MTTF ),
D
common cause failure (CCF)], design process, operating stress, environmental conditions and operation
procedures.
In order to assist the designer and facilitatefacilitate the design of SRP/CS and the assessment of
achieved PL, this document employs a methodology based on the categorization of structures according
toarchitectures with specific design criteria (e.g. MTTF , DC ) and specified behavioursbehaviour
D avg
under fault conditions. These categoriesarchitectures are allocated one of five levels termed Categories
B, 1, 2, 3 and 4.
Functional safety considers the failure characteristics of elements/components performing a safety
function. For each safety function, this failure characteristic is expressed as the frequency of dangerous
failure per hour (PFH).
The performance levels and categories can be applied to safety-related parts of control systems, such
asSRP/CS, e.g.:
— control units (e.g. a logic unit for control functions, data processing, monitoring);
— electro-sensitive protective devices (e.g. photoelectric barriers), pressure sensitive devices.
xi
ISO13849-1:redline:2023(E)
The performance levels can be defined, and categories determined, for subsystems of SRP/CS using
safety parts (components), e.g.:
— protective devices (e.g. two-hand control devices, interlocking devices), electro-sensitive protective
devices (e.g. photoelectric barriers), pressure sensitive devices,;
— power control unitselements (e.g. a logic unit for control functions, data processing, monitoring,
etc.), andrelays, valves);
— power controlsensors and HMI elements (e.g. relays, valves, etc.),position sensors, enable switches).
as well as to control systems carrying out safety functions at all kinds of machinery —Machinery
covered by this document can range from simple (e.g. small kitchen machines, or automatic doors and
gates) to manufacturing installationscomplex (e.g. packaging machines, printing machines, presses and
integrated machinery into a system).
This part of ISO 13849 is intended to provide a clear basis upon which the design and performance of
any application of the SRP/CS (and the machine) can be assessed, for example, by a third party, in-house
or by an independent test house.
Information on the recommended application of IEC 62061 and this part of ISO 13849
This document and IEC 62061 and this part ofboth specify a methodology and provide related guidance
ISO 13849 specify requirements for the design and implementation of safety-related control systems
of machinery. The use of either of these International Standards, in accordance with their scopes, can
be presumed to fulfil the relevant essential safety requirements. ISO/TR 23849 gives guidance on the
application of this part of ISO 13849 and IEC 62061 in the design of safety-related control systems for
machinery.
As with ISO/TR 23849, ISO/TR 22100-2 has been added to the list of normative references given in
Clause 2 — the latter owing to its importance for an understanding of the relationship between this
part of ISO 13849 and ISO 12100.
The requirements of Clause 10 of this document supersede the requirements of ISO 13849-2:2012
(excluding the informative annexes).
xii
ISO13849-1:redline:2023(E)
Safety of machinery — Safety-related parts of control
systems —
Part 1:
General principles for design
1 Scope
This document specifies a methodology and provides related requirements, recommendations and
guidance for the design and integration of safety-related parts of control systems (SRP/CS) that perform
safety functions, including the design of software.
This part ofdocument ISO 13849 provides safety requirements and guidance on the principles for
the design and integration of safety-related parts of control systems (SRP/CS), including the design
of software. For these parts of SRP/CS, it specifies characteristics that include the performance level
required for carrying out safety functions. It applies to SRP/CS for high demand and continuous
modemodes of operation including their subsystems, regardless of the type of technology and energy
used (e.g. electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machineryand mechanical).
This document does not apply to low demand mode of operation.
NOTE 1 See 3.1.44 and the IEC 61508 series for low demand mode of operation.
ItThis document d
...

NORME ISO
INTERNATIONALE 13849-1
Quatrième édition
2023-04
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos . vi
Introduction .viii
1 Domaine d'application .1
2 Références normatives .1
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations . 11
4 Présentation .13
4.1 Processus d'appréciation et de réduction du risque de la machine .13
4.2 Contribution à la réduction du risque . 14
4.3 Processus de conception d'une SRP/CS . 15
4.4 Méthodologie . . 17
4.5 Informations requises . 17
4.6 Réalisation de la fonction de sécurité en utilisant les sous-systèmes . 18
5 Spécification des fonctions de sécurité .18
5.1 Identification et description générale de la fonction de sécurité . 18
5.2 Spécification des exigences de sécurité . 19
5.2.1 Exigences générales . 19
5.2.2 Exigences relatives aux fonctions de sécurité spécifiques .22
5.2.3 Réduction le plus possible de l'incitation à neutraliser les fonctions de
sécurité .26
5.2.4 Accès à distance . 27
5.3 Détermination du niveau de performance requis (PL ) pour chaque fonction de
r
sécurité . 27
5.4 Examen de la spécification des exigences de sécurité (SRS) .28
5.5 Décomposition de la SRP/CS en sous-systèmes .28
6 Considérations relatives à la conception .30
6.1 Évaluation du niveau de performance atteint .30
6.1.1 Présentation générale du niveau de performance .30
6.1.2 Corrélation entre le niveau de performance (PL) et le niveau d'intégrité de
sécurité (SIL) . 31
6.1.3 Architecture — Catégories et leur relation aux MTTF de chaque canal,
D
couverture du diagnostic moyenne et défaillance de cause commune (CCF) . 32
6.1.4 Temps moyen avant défaillance dangereuse (MTTF ) .39
D
6.1.5 Couverture du diagnostic (DC). 41
6.1.6 Défaillances de cause commune (CCF) . 41
6.1.7 Défaillances systématiques . 42
6.1.8 Procédures simplifiées pour estimer le niveau de performance de sous-
systèmes . 42
6.1.9 Autre procédure pour déterminer le niveau de performance et la PFH sans
MTTF .44
D
6.1.10 Prise en compte et exclusion des défauts .46
6.1.11 Composant éprouvé . 47
6.2 Combinaison des sous-systèmes pour atteindre un niveau de performance global
de la fonction de sécurité . 47
6.2.1 Généralités . 47
6.2.2 Valeurs PFH connues .48
6.2.3 Valeurs PFH inconnues .48
6.3 Paramétrage manuel lié au logiciel .49
6.3.1 Généralités .49
6.3.2 Influences sur les paramètres relatifs à la sécurité .49
6.3.3 Exigences relatives au paramétrage manuel lié au logiciel .50
iii
6.3.4 Vérification de l'outil de paramétrage. 51
6.3.5 Documentation de paramétrage manuel lié au logiciel . 51
7 Exigences concernant les logiciels .52
7.1 Généralités . 52
7.2 Langage de variabilité limitée (LVL) et langage de variabilité totale (FVL) .53
7.2.1 Langage de variabilité limitée (LVL) . 53
7.2.2 Langage de variabilité totale (FVL) .54
7.2.3 Décision pour le langage de variabilité limitée (LVL) ou le langage de
variabilité totale (FVL) .54
7.3 Logiciel intégré relatif à la sécurité (SRESW) .56
7.3.1 Conception du logiciel intégré relatif à la sécurité (SRESW) .56
7.3.2 Autres procédures pour le logiciel intégré non accessible . 57
7.4 Logiciel applicatif relatif à la sécurité (SRASW) . 57
8 Vérification du niveau de performance atteint .60
9 Aspects ergonomiques de la conception .61
10 Validation . .61
10.1 Principes de validation . 61
10.1.1 Généralités . 61
10.1.2 Plan de validation .63
10.1.3 Listes des défauts génériques .64
10.1.4 Listes des défauts spécifiques .64
10.1.5 Informations pour la validation .64
10.2 Validation de la spécification des exigences de sécurité (SRS) .65
10.3 Validation par analyse .66
10.3.1 Généralités .66
10.3.2 Techniques d'analyse .66
10.4 Validation par essais . 67
10.4.1 Généralités . 67
10.4.2 Exactitude des mesures . 67
10.4.3 Exigences supplémentaires relatives aux essais .68
10.4.4 Nombre d'échantillons .68
10.4.5 Méthodes d'essai .68
10.5 Validation des fonctions de sécurité . 69
10.6 Validation de l'intégrité de sécurité de la SRP/CS . 69
10.6.1 Validation du (des) sous-système(s) . 69
10.6.2 Validation des mesures prises contre les défaillances systématiques . 71
10.6.3 Validation du logiciel relatif à la sécurité . 71
10.6.4 Validation de la combinaison des sous-systèmes .72
10.6.5 Validation globale de l'intégrité de sécurité .72
10.7 Validation des exigences d'environnement .73
10.8 Rapport de validation .73
10.9 Validation des exigences de maintenance .73
11 Maintenabilité des SRP/CS . .74
12 Documentation technique .74
13 Informations pour l'utilisation .75
13.1 Généralités . 75
13.2 Informations relatives à l'intégration de SRP/CS . 75
13.3 Informations destinées à l'utilisateur . 76
Annexe A (informative) Lignes directrices pour la détermination du niveau de performance
requis (PL ) .78
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité .83
Annexe C (informative) Calcul ou évaluation des valeurs MTTF pour des composants
D
uniques .85
iv
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal .94
D
Annexe E (informative) Estimations pour la couverture du diagnostic (DC) des fonctions et
des sous-systèmes .96
Annexe F (informative) Méthode de quantification des mesures contre les défaillances de
cause commune (CCF) . 100
Annexe G (informative) Défaillance systématique . 104
Annexe H (informative) Exemple d'une combinaison de plusieurs sous-systèmes . 108
Annexe I (informative) Exemples de procédure simplifiée pour estimer le PL de sous-
systèmes . 111
Annexe J (informative) Exemple d'élaboration de SRESW . 120
Annexe K (informative) Représentation numérique de la Figure 12 . 125
Annexe L (informative) Immunité aux interférences éléctromagnétiques (IEM) . 130
Annexe M (informative) Informations supplémentaires pour la spécification des exigences
de sécurité (SRS) .134
Annexe N (informative) Évitement des défaillances systématiques lors de la conception
logicielle . 137
Annexe O (informative) Valeurs relatives à la sécurité de composants ou de parties de
systèmes de commande . 158
Bibliographie .161
v
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/avant-propos.html.
Le présent document a été élaboré par le Comité technique ISO/TC 199, Sécurité des machines, en
collaboration avec le Comité technique CEN/TC 114 du Comité européen de normalisation (CEN),
Sécurité des machines, conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord
de Vienne).
Cette quatrième édition annule et remplace la troisième édition (ISO 13849-1:2015), qui a fait l'objet
d'une révision technique.
Les principales modifications sont les suivantes:
— l'ensemble du document a été réorganisé pour mieux suivre le processus de conception et de
développement des systèmes de commande;
— nouvel Article 4 sur une recommandation d'appréciation du risque;
— spécification des fonctions de sécurité (Article 5 mis à jour);
— combinaison de plusieurs sous-systèmes (Article 6 mis à jour);
— nouvel Article 7 sur les exigences de sécurité logicielle;
— nouvel Article 9 sur les aspects ergonomiques de la conception;
— validation (Article 8 mis à jour et transfert à l'Article 10);
— nouveau G.5 sur la gestion de la sécurité fonctionnelle;
— nouvelle Annexe L sur l'immunité aux interférences électromagnétiques (IEM);
vi
— nouvelle Annexe M contenant des informations complémentaires sur la spécification des exigences
de sécurité;
— nouvelle Annexe N sur les mesures de prévention des pannes pour la conception de logiciels relatifs
à la sécurité;
— nouvelle Annexe O avec valeurs relatives à la sécurité de composants ou de parties des systèmes de
commande.
Une liste de toutes les parties de la série ISO 13849 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www.iso.org/members.html.
vii
Introduction
La structure des normes de sécurité dans le domaine des machines est la suivante:
a) Normes de type A (normes fondamentales de sécurité), précisant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines.
b) Normes de type B (normes génériques de sécurité), traitant d'un ou de plusieurs aspect(s) de la
sécurité, ou d'un ou de plusieurs type(s) de protection qui peut ou peuvent être utilisé(s) pour une
large gamme de machines:
— normes de type B1, traitant d'aspects particuliers de la sécurité (par exemple, distances de
sécurité, température de surface, bruit);
— normes de type B2, traitant de moyens de protection (par exemple, commandes bimanuelles,
dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).
c) normes de type C (normes de sécurité des machines), traitant des exigences de sécurité détaillées
pour une machine particulière ou un groupe de machines.
Le présent document est une norme de type B1 tel que défini dans l'ISO 12100:2010.
La première édition du présent document a été publiée en 1999 sur la base de l'EN 954-1:1996 (norme
annulée). La deuxième édition a été révisée en 2006, et la troisième édition a été révisée en 2015.
Le présent document est pertinent, en particulier, pour les groupes de parties prenantes suivants, dans
le domaine de la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché).
D'autres personnes peuvent être concernées par le niveau de sécurité des machines obtenu au moyen
du présent document:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/salariés (par exemple, syndicats);
— prestataires de services, par exemple, sociétés de maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (c'est-à-dire, dans le cas de machines destinées à être utilisées par des
consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer à l'élaboration
du présent document.
De plus, le présent document est destiné aux organismes de normalisation élaborant des normes de
type C, telles que définies dans l'ISO 12100:2010.
Les exigences du présent document peuvent être complétées ou modifiées par une norme de type C.
viii
Pour les machines couvertes par le domaine d'application d'une norme de type C et qui ont été conçues
et construites suivant les exigences de cette norme, les exigences de ladite norme de type C sont
prioritaires.
NOTE 1 Les exemples et la base de la majeure partie du contenu reposent sur des machines fixes servant à
des applications industrielles. Cependant, d'autres machines ne sont pas exclues. Le présent document a été
rédigé sans tenir compte des exigences particulières de certaines machines (par exemple, machines mobiles).
Cependant, le présent document est destiné à être utilisé dans de nombreuses industries de machines et comme
base pour les développeurs de normes de type C, dans la mesure du possible.
Le présent document est destiné à donner des conseils au cours de la conception et de l'évaluation des
systèmes de commande ainsi qu'au cours de l'élaboration des normes de type B2 ou de type C.
La réduction du risque selon l'ISO 12100:2010, Article 6, s'effectue en appliquant, dans la séquence
suivante, les mesures de prévention intrinsèque, les mesures de sauvegarde et/ou de réduction du
risque complémentaires et les informations pour l'utilisation. Un concepteur peut réduire les risques
au moyen de mesures de réduction du risque qui peuvent avoir des fonctions de sécurité. Les parties
des systèmes de commande de machine qui sont assignées pour fournir des fonctions de sécurité sont
appelées parties des systèmes de commande relatives à la sécurité (SRP/CS). Celles-ci peuvent être
constituées de matériel ou d'une combinaison de matériel et de logiciel et peuvent être séparées du
système de commande de la machine ou en faire partie intégrante. En plus de fournir des fonctions de
sécurité, les SRP/CS peuvent également mettre en œuvre des fonctions opérationnelles.
L'ISO 12100:2010 est utilisée pour l'appréciation du risque de la machine. L'Annexe A du présent
document peut être utilisée pour la détermination du niveau de performance requis (PL ) d'une fonction
r
de sécurité réalisée par la SRP/CS, lorsque son PL n'est pas spécifié dans la norme de type C applicable.
r
Le présent document concerne les fonctions de sécurité SRP/CS qui sont utilisées pour remédier aux
risques dans les cas où une appréciation du risque conduite selon l'ISO 12100:2010 détermine qu'une
mesure de réduction du risque s'appuyant sur une fonction de sécurité (par exemple, protecteur avec
dispositif de verrouillage) est nécessaire. Dans ces cas, le système de commande relatif à la sécurité
réalise une fonction de sécurité. Le présent document est destiné à être utilisé pour concevoir et évaluer
la SRP/CS. Seule la partie du système de commande relative à la sécurité relève du présent document.
La Figure 1 illustre la relation entre l'ISO 12100:2010 et le présent document. Pour un aperçu détaillé,
voir Figure 2.
NOTE 2 Voir également l'ISO/TR 22100-2:2013 pour plus d'informations.
ix
NOTE Basé sur l'ISO/TR 22100-2:2013, Figure 2.
Figure 1 — Intégration du présent document (ISO 13849-1) dans le processus de réduction du
risque de l'ISO 12100:2010
NOTE 3 La Figure 1 présente la manière dont les SRP/CS contribuent au processus de réduction du risque
de l'ISO 12100:2010: Étape 2. La SRP/CS supporte les mesures de réduction du risque combinées par la mise
en œuvre de fonctions de sécurité. L'aptitude des parties des systèmes de commande relatives à la sécurité à
exécuter une fonction de sécurité dans des conditions prévisibles est classée en cinq niveaux, appelés niveaux de
performance (PL). Le niveau de performance requis (PL ) pour une fonction de sécurité particulière (en fonction
r
de la réduction du risque requise) sera déterminé par une estimation du risque.
L'Annexe A informative du présent document contient une méthode d'estimation du risque et peut être
utilisée pour la détermination du PL d'une fonction de sécurité exécutée par la SRP/CS. Toute méthode
r
d'estimation du risque montrera une variance du fait de la nature subjective des critères d'évaluation.
Comparé à l'Annexe A, les normes de type C peuvent présenter des méthodes d'estimation du risque
plus spécifiques pour des applications spécifiques de la machine.
La fréquence de défaillance dangereuse des fonctions de sécurité dépend de plusieurs facteurs, y compris,
mais sans y être limité, la structure matérielle et logicielle du système, l'étendue des mécanismes de
détection des défauts [couverture du diagnostic (DC)], la fiabilité des composants [temps moyen avant
défaillance dangereuse (MTTF ), la défaillance de cause commune (CCF)], le processus de conception,
D
la contrainte de fonctionnement, les conditions environnementales et les méthodes de fonctionnement.
Pour faciliter la conception des SRP/CS et l'évaluation du PL atteint, le présent document emploie une
méthodologie basée sur la catégorisation d'architectures avec des critères de conception spécifiques
(par exemple, MTTF , DC ) et un comportement spécifié dans des conditions de défaut. Ces
D avg
architectures sont classées en cinq niveaux, appelés catégories B, 1, 2, 3 et 4.
La sécurité fonctionnelle tient compte des caractéristiques de défaillance d'éléments/de composants
réalisant une fonction de sécurité. Pour chaque fonction de sécurité, cette caractéristique de défaillance
s'exprime en fréquence de défaillance dangereuse par heure (PFH).
Les niveaux et catégories de performance peuvent être appliqués à la SRP/CS, par exemple:
— les unités de commande (par exemple, unité logique pour les fonctions de commande, traitement
des données, surveillance continue);
x
— les dispositifs de protection électrosensibles (par exemple, barrières photoélectriques), dispositifs
sensibles à la pression.
Les niveaux de performance peuvent être définis, et les catégories déterminées pour les sous-systèmes
de SRP/CS en utilisant des parties de sécurité (composants), par exemple:
— les dispositifs de protection (par exemple, dispositifs de commande bimanuelle, dispositifs de
verrouillage);
— les pré-actionneurs (par exemple, relais, vannes);
— les capteurs et éléments IHM (par exemple, capteurs de position, interrupteurs d'activation).
Les machines couvertes par le présent document vont des plus simples (par exemple, petits
électroménagers de cuisine ou portes et portails automatiques) aux plus complexes (par exemple,
machines d'emballage, machines d'impression, presses, et machines intégrées dans un système).
Le présent document et l'IEC 62061 spécifient tous deux une méthodologie, et fournissent des conseils
portant sur la conception et la mise en œuvre des systèmes de commande relatifs à la sécurité des
machines.
Les exigences de l'Article 10 du présent document remplacent les exigences de l'ISO 13849-2:2012 (à
l'exception des annexes informatives).
xi
NORME INTERNATIONALE ISO 13849-1:2023(F)
Sécurité des machines — Parties des systèmes de
commande relatives à la sécurité —
Partie 1:
Principes généraux de conception
1 Domaine d'application
Le présent document spécifie une méthodologie et fournit des exigences, des recommandations et des
conseils portant sur la conception et l'intégration des parties des systèmes de commande relatives à la
sécurité (SRP/CS) qui réalisent des fonctions de sécurité, incluant la conception de logiciels.
Le présent document s'applique aux SRP/CS pour les modes de fonctionnement à forte sollicitation et
continu, incluant leurs sous-systèmes, indépendamment du type de technologie et d'énergie utilisé (par
exemple, électrique, hydraulique, pneumatique et mécanique). Le présent document ne s'applique pas
au mode de fonctionnement à faible sollicitation.
NOTE 1 Voir 3.1.44 et la série IEC 61508 pour le mode de fonctionnement à faible sollicitation.
Le présent document ne spécifie pas les fonctions de sécurité et les niveaux de performance requis
(PL ) qui doivent être utilisés dans un cas particulier.
r
NOTE 2 Le présent document spécifie une méthodologie pour la conception des SRP/CS sans tenir compte
d'exigences spécifiques pour certaines machines (par exemple, machines mobiles). Ces exigences spécifiques
peuvent être prises en compte dans une norme de type-C.
Le présent document ne donne pas d'exigences spécifiques pour la conception de produits/composants
intégrés dans les SRP/CS. Les exigences spécifiques pour la conception de certains composants de SRP/
CS sont couvertes par les normes ISO et IEC applicables.
Le présent document ne fournit pas de mesures spécifiques pour les aspects de sécurité (par exemple,
physique, sécurité informatique (IT-security), cybersécurité).
NOTE 3 Les problèmes de sécurité peuvent avoir un effet sur les fonctions de sécurité. Voir l'ISO/TR 22100-4
et l'IEC/TR 63074 pour d'autres informations.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-2:2012, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 2: Validation
ISO 13855:2010, Sécurité des machines — Positionnement des dispositifs de protection par rapport à la
vitesse d'approche des parties du corps
ISO 20607:2019, Sécurité des machines — Notice d'instructions — Principes rédactionnels généraux
IEC 61508-3:2010, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 3: Exigences concernant les logiciels
IEC 62046:2018, Sécurité des machines — Application des équipements de protection à la détection de la
présence de personnes
IEC 62061:2021, Sécurité des machines — Sécurité fonctionnelle des systèmes de commande relatifs à la
sécurité
IEC/IEEE 82079-1:2019, Élaboration des informations d’utilisation (instructions d’utilisation) des
produits — Partie 1: Principes et exigences générales
3 Termes, définitions, symboles et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 12100:2010, ainsi que
les suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse https:// www .electropedia .org/
3.1.1
partie d'un système de commande relative à la sécurité
SRP/CS
partie d'un système de commande qui réalise une fonction de sécurité (3.1.27) répondant à un ou des
signaux d'entrée et générant un ou des signaux de sortie relatifs à la sécurité
Note 1 à l'article: Les parties d'un système de commande relatives à la sécurité commencent au point où sont
générés les signaux d'entrée relatifs à la sécurité (y compris, par exemple, la came de commande et le galet de
l'interrupteur de position) et se terminent à la sortie des pré-actionneurs (y compris, par exemple, les contacts
principaux d'un contacteur).
3.1.2
système de commande de la machine
système qui répond aux signaux d'entrée de parties de machines, d'opérateurs, d'équipements de
commande externes ou de toute combinaison de ceux-ci et qui génère des signaux de sortie imposant à
la machine un comportement attendu
Note 1 à l'article: Le système de commande de la machine peut utiliser toute technologie ou combinaison de
différentes technologies (par exemple, électrique/électronique, hydraulique, pneumatique et mécanique).
3.1.3
spécification des exigences de sécurité
SRS
spécification contenant les exigences relatives aux fonctions de sécurité (3.1.27) qui doivent être
satisfaites par le système de commande relatif à la sécurité en termes de caractéristiques des fonctions
de sécurité (exigences fonctionnelles) et de niveaux de performance requis (PL ) (3.1.6)
r
[SOURCE: IEC 61508-4:2010, 3.5.11, modifié — Les informations de IEC 61508-4:2010, 3.5.12 ont été
incluses.]
3.1.4
catégorie
classification du sous-système (3.1.45) liée à sa résistance aux défauts (3.1.8) et à son comportement
consécutif à des défauts, qui est obtenue par l'architecture des parties, la détection des défauts et/ou
leur fiabilité
3.1.5
niveau de performance
PL
niveau discret utilisé pour spécifier l'aptitude de parties de systèmes de commande relatives à la sécurité
(SRP/CS) (3.1.1) à réaliser une fonction de sécurité (3.1.27) dans des conditions prévisibles
Note 1 à l'article: Voir 6.1 pour un aperçu général du niveau de performance.
3.1.6
niveau de performance requis
PL
r
niveau de performance (3.1.5) exigé pour atteindre la réduction du risque (3.1.19) requise pour chaque
fonction de sécurité (3.1.27)
Note 1 à l'article: Voir 5.3 et Figure A.1 pour plus d'informations sur le niveau de performance requis (PL ).
r
3.1.7
niveau d'intégrité de sécurité
SIL
niveau discret (parmi quatre possibles) permettant de spécifier les exigences concernant l'intégrité
de sécurité des fonctions de sécurité (3.1.27) à allouer aux systèmes relatifs à la sécurité, le niveau 4
d'intégrité de sécurité ayant le plus haut degré d'intégrité de sécurité et le niveau 1 le plus bas
Note 1 à l'article: Dans le présent document, seuls les SIL 1 à SIL 3 sont pris en compte.
[SOURCE: IEC 61508-4:2010, 3.5.8, modifié — «à allouer aux systèmes relatifs à la sécurité» a été ajouté
à la définition, les NOTES ont été supprimées et une nouvelle Note 1 à l'article a été ajoutée.]
3.1.8
défaut
condition anormale qui peut entraîner une réduction ou une perte de la capacité d'une unité
fonctionnelle à exécuter une fonction requise
Note 1 à l'article: Un défaut est souvent la conséquence d'une défaillance (3.1.10) de l'entité elle-même, mais il
peut exister sans défaillance préalable.
Note 2 à l'article: Dans le présent document, «défaut» signifie un défaut aléatoire ou un défaut causé par une
défaillance systématique (3.1.14).
[SOURCE: IEC 60050-192:2015, modifié — La Note 2 à l'article a été modifiée.]
3.1.9
exclusion de défauts
exclusion de certains défauts (3.1.8) dans une partie d'un système de commande relative à la sécurité
(SRP/CS), si cette exclusion peut être justifiée par la probabilité négligeable de ces défauts
3.1.10
défaillance
cessation de l'aptitude d'un dispositif à accomplir une fonction requise
Note 1 à l'article: Après une défaillance, le dispositif présente un défaut (3.1.8).
Note 2 à l'article: Une «défaillance» est un passage d'un état à un autre, par opposition à un «défaut», qui est un
état.
Note 3 à l'article: Les défaillances n'affectant que la disponibilité du processus commandé ne sont pas couvertes
par le domaine d'application du présent document.
[SOURCE: IEC 60050-192:2015, modifié — La Note 3 à l'article a été modifiée.]
3.1.11
défaut permanent
défaut (3.1.8) d'un élément qui persiste jusqu'à ce qu'une action de maintenance corrective soit réalisée
[SOURCE: IEC 60050-192:2015]
3.1.12
défaillance dangereuse
défaillance (3.1.10) d'un élément et/ou d'un sous-système (3.1.45) et/ou d'un système qui joue un rôle
dans la mise en œuvre de la fonction de sécurité (3.1.27) qui:
a) empêche une fonction de sécurité de fonctionner lorsque cela est requis (mode de sollicitation)
ou entraîne la défaillance d'une fonction de sécurité (mode continu) de telle sorte que la (les)
machine(s) soit (soient) placée(s) dans un état dangereux ou potentiellement dangereux; ou
b) diminue la probabilité que la fonction de sécurité fonctionne correctement lorsque cela est
nécessaire
[SOURCE: IEC 61508-4:2010, 3.6.7, modifié — «EUC» remplacé par «la (les) machine(s)».]
3.1.13
défaillance de cause commune
CCF
défaillance (3.1.10), résultat d'un ou de plusieu
...

NORME ISO
INTERNATIONALE 13849-1
Redline version
compare la Quatrième
édition à la Troisième édition
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
ISO13849-1:redline:2023(F)
ISO13849-1:redline:2023(F)
IMPORTANT — PLEASE NOTE
This is a provisional mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
— indicates removed text (in red)
Text example 2
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
All changes in this document have yet to reach concensus by vote and as such should only
be used internally for review purposes.
DISCLAIMER
This Redline version is not an official IEC Standard and is intended only to provide the
user with an indication of what changes have been made to the previous version. Only the
current version of the standard is to be considered the official document.
This Redline version provides you with a quick and easy way to compare all the changes
between this standard and its previous edition. A vertical bar appears in the margin
wherever a change has been made. Additions and deletions are displayed in red, with
deletions being struck through.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
ISO13849-1:redline:2023(F)
Sommaire Page
Avant-propos .vii
Introduction .ix
1 Domaine d'application .1
2 Références normatives .2
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations .15
4 Présentation .16
4.1 Processus d'appréciation et de réduction du risque de la machine . 16
4.2 Contribution à la réduction du risque . 18
4.3 Processus de conception d'une SRP/CS . 19
4.4 Méthodologie . . 21
4.5 Informations requises . 21
4.6 Réalisation de la fonction de sécurité en utilisant les sous-systèmes .22
5 Spécification des fonctions de sécurité .22
5.1 Identification et description générale de la fonction de sécurité .22
5.2 Spécification des exigences de sécurité . 23
5.2.1 Exigences générales .23
5.2.2 Exigences relatives aux fonctions de sécurité spécifiques .26
5.2.3 Réduction le plus possible de l'incitation à neutraliser les fonctions de
sécurité .30
5.2.4 Accès à distance . 31
5.3 Détermination du niveau de performance requis (PL ) pour chaque fonction de
r
sécurité . 31
5.4 Examen de la spécification des exigences de sécurité (SRS) . 31
5.5 Décomposition de la SRP/CS en sous-systèmes . 32
4 6 .
Considérations relatives à la conception .34
4.1 Objectifs de sécurité lors de la conception .34
4.2 Stratégie de réduction du risque . 36
4.2.1 Généralités .36
4.2.2 Contribution à la réduction du risque par le système de commande .36
4.3 Détermination du niveau de performance requis (PL ) .39
r
4.4 Conception des SRP/CS .40
4.5 6.1 .
Évaluation du niveau de performance PL atteint et relation avec le SIL atteint . 41
4.5.1 6.1.1 .
Niveau Présentation générale du niveau de performance PL . 41
6.1.2 Corrélation entre le niveau de performance (PL) et le niveau d'intégrité de
sécurité (SIL) .44
6.1.3 Architecture — Catégories et leur relation aux MTTF de chaque canal,
D
couverture du diagnostic moyenne et défaillance de cause commune (CCF) . 45
4.5.2 6.1.4 .
Temps moyen avant défaillance dangereuse pour chaque canal (MTTF ) . 52
D
4.5.3 6.1.5 .
Couverture du diagnostic (DC). 53
6.1.6 Défaillances de cause commune (CCF) .54
6.1.7 Défaillances systématiques .54
4.5.4 6.1.8 .
Procédure simplifiée pour l'estimation des aspects quantifiables d'un PL .55
iii
ISO13849-1:redline:2023(F)
4.5.4 6.1.8 .
Procédures simplifiées pour estimer le niveau de performance de sous-
systèmes .55
4.5.5 6.1.9 .
Description du dispositif de sortie du SRP/CS par catégorie.58
4.5.5 6.1.9 .
Autre procédure pour déterminer le niveau de performance et la PFH sans
MTTF . 59
D
6.1.10 Prise en compte et exclusion des défauts . 61
6.1.11 Composant éprouvé . 62
6.2 Combinaison des sous-systèmes pour atteindre un niveau de performance global
de la fonction de sécurité . 62
6.2.1 Généralités . 62
6.2.2 Valeurs PFH connues .63
6.2.3 Valeurs PFH inconnues .63
4.6 6.3 .
Exigences pour le logiciel de sécurité .64
4.6.1 Généralités .64
4.6.2 Logiciel intégré relatif à la sécurité (SRESW) .65
4.6 6.3 .
Paramétrage manuel lié au logiciel .66
4.6.3 6.3.1 .
Logiciel applicatif relatif à la sécurité (SRASW) .66
4.6.3 6.3.1 .
Généralités .68
6.3.2 Influences sur les paramètres relatifs à la sécurité .69
4.6.4 6.3.3 .
Paramétrage Exigences relatives au paramétrage manuel lié au logiciel .69
6.3.4 Vérification de l'outil de paramétrage.72
6.3.5 Documentation de paramétrage manuel lié au logiciel .72
4.7 Vérification de l'atteinte du PL requis .72
4.8 Aspects ergonomiques de la conception . .72
7 Exigences concernant les logiciels .73
7.1 Généralités .73
7.2 Langage de variabilité limitée (LVL) et langage de variabilité totale (FVL) .74
7.2.1 Langage de variabilité limitée (LVL) .74
7.2.2 Langage de variabilité totale (FVL) . 75
7.2.3 Décision pour le langage de variabilité limitée (LVL) ou le langage de
variabilité totale (FVL) .75
7.3 Logiciel intégré relatif à la sécurité (SRESW) .77
7.3.1 Conception du logiciel intégré relatif à la sécurité (SRESW) .77
7.3.2 Autres procédures pour le logiciel intégré non accessible .78
7.4 Logiciel applicatif relatif à la sécurité (SRASW) . 78
8 Vérification du niveau de performance atteint .81
5 Caractéristiques des fonctions de sécurité .82
5.1 Spécification des fonctions de sécurité .82
5.2 Détails des fonctions de sécurité .84
5.2.1 Fonction d'arrêt liée à la sécurité .84
5.2.2 Fonction réarmement manuel .84
5.2.3 Fonction mise en marche et remise en marche.85
5.2.4 Fonction commande locale .85
5.2.5 Fonction d'inhibition .86
5.2.6 Temps de réponse .86
5.2.7 Paramètres relatifs à la sécurité .86
5.2.8 Variations, perte et rétablissement des sources d’énergie .86
iv
ISO13849-1:redline:2023(F)
5 9 .
Aspects ergonomiques de la conception .86
6 Catégories et leur relation aux MTTF de chaque canal, DC et CCF .87
D avg
6 10 .
Validation . .87
6.1 10.1 . .
Généralités .87
6.1 10.1 . .
Principes de validation .87
10.1.1 Généralités .87
10.1.2 Plan de validation .89
10.1.3 Listes des défauts génériques .90
10.1.4 Listes des défauts spécifiques .90
10.1.5 Informations pour la validation .90
10.2 Validation de la spécification des exigences de sécurité (SRS) . 91
10.3 Validation par analyse .92
10.3.1 Généralités . 92
10.3.2 Techniques d'analyse .92
10.4 Validation par essais .93
10.4.1 Généralités . 93
10.4.2 Exactitude des mesures . 93
10.4.3 Exigences supplémentaires relatives aux essais .94
10.4.4 Nombre d'échantillons .94
10.4.5 Méthodes d'essai .94
10.5 Validation des fonctions de sécurité . 95
6.2 10.6 .
Spécifications des catégories . 95
6.2.1 Généralités .95
6.2.2 Architectures désignées .96
6.2 10.6 .
Validation de l'intégrité de sécurité de la SRP/CS .96
6.2.3 10.6.1 .
Catégorie B .96
6.2.3 10.6.1 .
Validation du (des) sous-système(s) .96
10.6.2 Validation des mesures prises contre les défaillances systématiques .98
6.2.4 10.6.3 .
Catégorie 1 .99
6.2.4 10.6.3 .
Validation du logiciel relatif à la sécurité .99
6.2.5 Catégorie 2 . 101
6.2.6 Catégorie 3 . 102
6.2.7 10.6.4 .
Catégorie 4 .103
6.2.7 10.6.4 .
Validation de la combinaison des sous-systèmes .104
10.6.5 Validation globale de l'intégrité de sécurité .107
6.3 10.7 .
Combinaison des SRP/CS pour atteindre un PL global .107
6.3 10.7 .
Validation des exigences d'environnement .108
10.8 Rapport de validation .109
10.9 Validation des exigences de maintenance .109
7 Prise en compte des défauts, exclusion de défauts .110
7.1 Généralités . 110
7.2 Prise en compte des défauts . 110
7.3 Exclusion de défauts . 110
v
ISO13849-1:redline:2023(F)
8 Validation . .110
9 Maintenance . 111
9 11 .
Maintenabilité des SRP/CS . . 111
10 12 .
Documentation technique . 111
11 13 .
Informations pour l'utilisation . 112
13.1 Généralités .113
13.2 Informations relatives à l'intégration de SRP/CS .113
13.3 Informations destinées à l'utilisateur . 114
Annexe A (informative) Détermination Lignes directrices pour la détermination du niveau
de performance requis (PL ) . 115
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité . 122
Annexe C (informative) Calcul ou évaluation du des valeurs MTTF pour des composants
D
uniques . 125
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal . 138
D
Annexe E (informative) Estimations pour la couverture du diagnostic (DC)pour les
fonctions et les modules des fonctions et des sous-systèmes .141
Annexe F (informative) Estimations pour Méthode de quantification des mesures contre
les défaillances de cause commune (CCF) . 146
Annexe G (informative) Défaillance systématique . 152
Annexe H (informative) Combinaison de plusieurs parties du système de
commanderelatives à la sécurité (SRP/CS) Exemple d'une combinaison de
plusieurs sous-systèmes . 157
Annexe I (informative) Exemples de procédure simplifiée pour estimer le PL de sous-
systèmes .161
Annexe J (informative) Logiciel Exemple d'élaboration de SRESW .174
Annexe K (informative) Représentation numérique de la Figure 5 12 . 180
Annexe L (informative) Immunité aux interférences éléctromagnétiques (IEM) . 185
Annexe M (informative) Informations supplémentaires pour la spécification des exigences
de sécurité (SRS) . 189
Annexe N (informative) Évitement des défaillances systématiques lors de la conception
logicielle . 192
Annexe O (informative) Valeurs relatives à la sécurité de composants ou de parties de
systèmes de commande . 213
Bibliographie .216
vi
ISO13849-1:redline:2023(F)
Avant-propos
L’ISOL'ISO (Organisation internationale de normalisation) est une fédération mondiale
d’organismesd'organismes nationaux de normalisation (comités membres de l’ISOl'ISO).
L’élaborationL'élaboration des Normes internationales est en général confiée aux comités techniques de
l’ISOl'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique
créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison
avec l’ISOl'ISO participent également aux travaux. L’ISOL'ISO collabore étroitement avec la Commission
électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour l’élaboration duélaborer le présent document et celles destinées à sa mise
à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des
différents critères d’approbationd'approbation requis pour les différents types de documents ISO. Le
présent document a été rédigé conformément aux règles de rédaction données dans les Directives ISO/
IEC, Partie 2 (voir www .iso .org/ directiveswww .iso .org/ directives).
L’attention est appeléeL'attention est attirée sur le fait que certains des éléments du présent document
peuvent faire l’objetl'objet de droits de propriété intellectuelle ou de droits analogues. L’ISOL'ISO
ne saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti
de leur existence. Les détails concernant les références aux droits de propriété intellectuelle ou
autres droits analogues identifiés lors de l’élaborationl'élaboration du document sont indiqués dans
l’Introductionl'Introduction et/ou surdans la liste ISO des déclarations de brevets reçues par l'ISO
(voir www .iso .org/ patentswww .iso .org/ brevets).
Les éventuelles appellations commerciales utiliséeséventuellement mentionnées dans le présent
document sont données pour information à l’intention, par souci de commodité, à l'intention des
utilisateurs et ne constituent pas une approbation ou une recommandationsauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISOl'ISO liés à l’évaluationl'évaluation de la conformité, aussi bien que pour des
informations au-sujet de l’adhésion de l’ISOou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’OMCl'Organisation mondiale du commerce (OMC) concernant les obstacles techniques
au commerce (OTC), voir le lien URL suivant: Foreword - Supplementary informationwww .iso .org/ iso/
avant -propos .html.
Le comité chargé de l’élaboration du présent document est l’ISO/TC 199, Sécurité des machines.
Le présent document a été élaboré par le Comité technique ISO/TC 199, Sécurité des machines, en
collaboration avec le Comité technique CEN/TC 114 du Comité européen de normalisation (CEN),
Sécurité des machines, conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord
de Vienne).
Cette troisièmequatrième édition annule et remplace la deuxièmetroisième édition
(ISO 13849-1:20062015), dont elle constitue unequi a fait l'objet d'une révision technique. Elle comprend
également le Rectificatif Technique ISO 13849-1:1/Cor 1:2009. Les modifications par rapport à l’édition
précédentes incluent
Les principales modifications sont les suivantes:
— suppression de l’ancien Tableau 1 contenu dans l’Introduction,
l'ensemble du document a été réorganisé pour mieux suivre le processus de conception et de
développement des systèmes de commande;
— nouvel Article 4 sur une recommandation d'appréciation du risque;
— mise à jour et ajout de références normatives,
spécification des fonctions de sécurité (Article 5 mis à jour);
vii
ISO13849-1:redline:2023(F)
— combinaison de plusieurs sous-systèmes (Article 6 mis à jour);
— modification de la définition des termes situation dangereuse et mode de demande élevée ou mode
continu,
nouvel Article 7 sur les exigences de sécurité logicielle;
— nouvel Article 9 sur les aspects ergonomiques de la conception;
— validation (Article 8 mis à jour et transfert à l'Article 10);
— nouveau G.5 sur la gestion de la sécurité fonctionnelle;
— ajout d’un nouveau terme et définition, utilisation éprouvée,
nouvelle Annexe L sur l'immunité aux interférences électromagnétiques (IEM);
— modification éditoriale, mais pas technique, de la Figure 1,
nouvelle Annexe M contenant des informations complémentaires sur la spécification des exigences de
sécurité;
— nouvelle Annexe N sur les mesures de prévention des pannes pour la conception de logiciels relatifs
à la sécurité;
— un nouveau paragraphe, 4.5.5, mais également des modifications aux sections existantes dont les
annexes, notamment des modifications substantielles de l’Annexe C et une nouvelle Annexe I.
nouvelle Annexe O avec valeurs relatives à la sécurité de composants ou de parties des systèmes de
commande.
L'ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines —
Parties des systèmes de commande relatives à la sécurité:
— Partie 1: Principes généraux de conception
— Partie 2: Validation
Une liste de toutes les parties de la série ISO 13849 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/ members .html.
viii
ISO13849-1:redline:2023(F)
Introduction
Dans le domaine de la sécurité des machines, les normes sont structurées de la manière suivante:
La structure des normes de sécurité dans le domaine des machines est la suivante:
a) normes de type ANormes de type A (normes fondamentales de sécurité), précisant des notions
fondamentales, des principes de conception et des aspects généraux relatifs aux machines;.
b) normes de type BNormes de type B (normes génériques de sécurité), traitant d'un aspectou de
plusieurs aspect(s) de la sécurité, ou d'un type de dispositif conditionnant la sécurité valable pour
toutes les machines ouou de plusieurs type(s) de protection qui peut ou peuvent être utilisé(s) pour
une large gamme de machines:
— normes de type B1, traitant d'aspects particuliers de la sécurité (par exemple, distances de
sécurité, température de surface, bruit),;
— normes de type B2 traitant de dispositifs conditionnant la sécurité, traitant de moyens de
protection (par exemple, commandes bimanuelles, dispositifs de verrouillage, dispositifs
sensibles à la pression, protecteurs);.
c) normes de type C (normes de sécurité des machines), traitant des exigences de sécurité détaillées
pour une machine particulière ou un groupe de machines.
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de
sécurité détaillées s'appliquant à une machine particulière ou à un groupe de machines particulier.
La présente partie de l’ISO 13849Le présent document est une norme de type B1 telle que définie dans
l’tel que défini dans l'ISO 12100:2010.
Lorsque des dispositions de la norme de type C diffèrent de celles indiquées dans une norme de type A
ou B, ces dispositions prévalent sur celles des autres normes, et ce pour les machines conçues et
fabriquées conformément aux spécifications de la norme de type C.
La première édition du présent document a été publiée en 1999 sur la base de l'EN 954-1:1996 (norme
annulée). La deuxième édition a été révisée en 2006, et la troisième édition a été révisée en 2015.
Le présent document est pertinent, en particulier, pour les groupes de parties prenantes suivants, dans
le domaine de la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché).
D'autres personnes peuvent être concernées par le niveau de sécurité des machines obtenu au moyen
du présent document:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/salariés (par exemple, syndicats);
— prestataires de services, par exemple, sociétés de maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (c'est-à-dire, dans le cas de machines destinées à être utilisées par des
consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer à l'élaboration
du présent document.
ix
ISO13849-1:redline:2023(F)
De plus, le présent document est destiné aux organismes de normalisation élaborant des normes de
type C, telles que définies dans l'ISO 12100:2010.
Les exigences du présent document peuvent être complétées ou modifiées par une norme de type C.
Pour les machines couvertes par le domaine d'application d'une norme de type C et qui ont été conçues
et construites suivant les exigences de cette norme, les exigences de ladite norme de type C sont
prioritaires.
NOTE 1 Les exemples et la base de la majeure partie du contenu reposent sur des machines fixes servant à
des applications industrielles. Cependant, d'autres machines ne sont pas exclues. Le présent document a été
rédigé sans tenir compte des exigences particulières de certaines machines (par exemple, machines mobiles).
Cependant, le présent document est destiné à être utilisé dans de nombreuses industries de machines et comme
base pour les développeurs de normes de type C, dans la mesure du possible.
La présente partie de l’ISO 13849Le présent document est destinéedestiné à donner des conseils au
cours de la conception et de l'évaluation des systèmes de commande ainsi qu'aux Comités Techniques
élaborantqu'au cours de l'élaboration des normes de type B2 ou de type C présumées conformes aux
exigences essentielles de sécurité de l'Annexe I de la Directive 2006/42/CE relative aux machines. Elle
ne donne pa
...