ISO 13849-1:2023
(Main)Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
This document specifies a methodology and provides related requirements, recommendations and guidance for the design and integration of safety‐related parts of control systems (SRP/CS) that perform safety functions, including the design of software. This document applies to SRP/CS for high demand and continuous modes of operation including their subsystems, regardless of the type of technology and energy (e.g. electrical, hydraulic, pneumatic, and mechanical). This document does not apply to low demand mode of operation. NOTE 1 See 3.1.44 and the IEC 61508 series for low demand mode of operation. This document does not specify the safety functions or required performance levels (PLr) that are to be used in particular applications. NOTE 2 This document specifies a methodology for SRP/CS design without considering if certain machinery (e.g. mobile machinery) has specific requirements. These specific requirements can be considered in a Type‑C standard. This document does not give specific requirements for the design of products/components that are parts of SRP/CS. Specific requirements for the design of some components of SRP/CS are covered by applicable ISO and IEC standards. This document does not provide specific measures for security aspects (e.g. physical, IT-security, cyber security). NOTE 3 Security issues can have an effect on safety functions. See ISO/TR 22100-4 and IEC/TR 63074 for further information.
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception
Le présent document spécifie une méthodologie et fournit des exigences, des recommandations et des conseils portant sur la conception et l'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) qui réalisent des fonctions de sécurité, incluant la conception de logiciels. Le présent document s'applique aux SRP/CS pour les modes de fonctionnement à forte sollicitation et continu, incluant leurs sous-systèmes, indépendamment du type de technologie et d'énergie utilisé (par exemple, électrique, hydraulique, pneumatique et mécanique). Le présent document ne s'applique pas au mode de fonctionnement à faible sollicitation. NOTE 1 Voir 3.1.44 et la série IEC 61508 pour le mode de fonctionnement à faible sollicitation. Le présent document ne spécifie pas les fonctions de sécurité et les niveaux de performance requis (PLr) qui doivent être utilisés dans un cas particulier. NOTE 2 Le présent document spécifie une méthodologie pour la conception des SRP/CS sans tenir compte d'exigences spécifiques pour certaines machines (par exemple, machines mobiles). Ces exigences spécifiques peuvent être prises en compte dans une norme de type‑C. Le présent document ne donne pas d'exigences spécifiques pour la conception de produits/composants intégrés dans les SRP/CS. Les exigences spécifiques pour la conception de certains composants de SRP/CS sont couvertes par les normes ISO et IEC applicables. Le présent document ne fournit pas de mesures spécifiques pour les aspects de sécurité (par exemple, physique, sécurité informatique (IT-security), cybersécurité). NOTE 3 Les problèmes de sécurité peuvent avoir un effet sur les fonctions de sécurité. Voir l'ISO/TR 22100-4 et l'IEC/TR 63074 pour d'autres informations.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13849-1
Redline version
compares Fourth edition to
Third edition
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
ISO13849-1:redline:2023(E)
© ISO 2023
---------------------- Page: 1 ----------------------
ISO13849-1:redline:2023(E)
IMPORTANT — PLEASE NOTE
This is a provisional mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
— indicates removed text (in red)
Text example 2
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
All changes in this document have yet to reach concensus by vote and as such should only
be used internally for review purposes.
DISCLAIMER
This Redline version is not an official IEC Standard and is intended only to provide the
user with an indication of what changes have been made to the previous version. Only the
current version of the standard is to be considered the official document.
This Redline version provides you with a quick and easy way to compare all the changes
between this standard and its previous edition. A vertical bar appears in the margin
wherever a change has been made. Additions and deletions are displayed in red, with
deletions being struck through.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2023 – All rights reserved
---------------------- Page: 2 ----------------------
ISO13849-1:redline:2023(E)
Contents Page
Foreword .vii
Introduction .ix
1 Scope . 1
2 Normative references . 2
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms . 14
4 Design considerations .16
4 Overview .16
4.1 Safety objectives in design . 16
4.1 Risk assessment and risk reduction process at the machine . 16
4.2 Strategy for Contribution to the risk reduction . 19
4.2.1 General . 19
4.2.2 Contribution to the risk reduction by the control system. 19
4.3 Determination of required performance level (PL ) . 23
r
4.3 Design process of an SRP/CS .23
4.4 Design of SRP/CS . 24
4.5 Evaluation of the achieved performance level PL and relationship with SIL .25
4.5.1 Performance level PL . 25
4.5.2 Mean time to dangerous failure of each channel (MTTF ) . 27
D
4.5.3 Diagnostic coverage (DC) .28
4.5.4 Simplified procedure for estimating the quantifiable aspects of PL .28
4.5.5 Description of the output part of the SRP/CS by category . 31
4.4 Methodology . 31
4.6 Software safety requirements . 32
4.6.1 General . 32
4.6.2 Safety-related embedded software (SRESW) . 33
4.6.3 Safety-related application software (SRASW) .34
4.6.4 Software-based parameterization .36
4.7 Verification that achieved PL meets PL . 37
r
4.5 Required information .38
4.8 Ergonomic aspects of design .38
4.6 Safety function realization by using subsystems .38
5 Safety Specification of safety functions .39
5.1 Specification of safety functions . 39
5.1 Identification and general description of the safety function .40
5.2 Details of safety functions. 43
5.2 Safety requirements specification . 43
5.2.1 Safety-related stop function . 43
5.2.1 General requirements . 43
5.2.2 Manual reset function .46
5.2.2 Requirements for specific safety functions .46
5.2.3 Start/restart function .50
5.2.3 Minimizing motivation to defeat safety functions .50
5.2.4 Local control function . 51
5.2.4 Remote access . 51
5.2.5 Muting function . 51
5.2.6 Response time . . . 52
5.2.7 Safety–related parameters. 52
5.2.8 Fluctuations, loss and restoration of power sources . 52
5.3 Determination of required performance level (PL ) for each safety function . . 52
r
5.4 Review of the safety requirements specification (SRS) . 52
iii
© ISO 2023 – All rights reserved
---------------------- Page: 3 ----------------------
ISO13849-1:redline:2023(E)
5.5 Decomposition of SRP/CS into subsystems . 53
6 Categories and their relation to MTTF of each channel, DC and CCF .54
D avg
6.1 General .54
6 Design considerations .55
6.2 Specifications of categories .55
6.1 Evaluation of the achieved performance level . 55
6.2.1 6.1.1 General overview of performance level . 55
6.2.2 Designated architectures . 57
6.1.2 Correlation between performance level (PL) and safety integrity level (SIL) . 57
6.2.3 Category B . 57
6.2.4 Category 1 .58
6.2.5 Category 2 . 59
6.1.3 Architecture — Categories and their relation to MTTF of each channel,
D
average diagnostic coverage and common cause failure (CCF).60
6.2.6 Category 3 .68
6.1.4 Mean time to dangerous failure (MTTF ) .68
D
6.1.5 Diagnostic coverage (DC) . 70
6.1.6 Common cause failures (CCFs) . 71
6.1.7 Systematic failures . 71
6.1.8 Simplified procedure for estimating the performance level for subsystems . 71
6.1.9 Alternative procedure to determine the performance level and PFH
without MTTF .73
D
6.2.7 Category 4 .74
6.1.10 Fault consideration and fault exclusion .77
6.1.11 Well-tried component .78
6.3 6.2 Combination of SRP/CS subsystems to achieve overall PL an overall
performance level of the safety function . 79
6.2.1 General .80
6.2.2 Known PFH values .80
6.2.3 Unknown PFH values . 81
6.3 Software based manual parameterization . 81
6.3.1 General . 81
6.3.2 Influences on safety-related parameters . 82
6.3.3 Requirements for software based manual parameterization . 82
6.3.4 Verification of the parameterization tool . 83
6.3.5 Documentation of software based manual parameterization .84
7 Fault consideration, fault exclusion .84
7 Software safety requirements .84
7.1 General .84
7.2 Fault consideration .86
7.2 Limited variability language (LVL) and full variability language (FVL) .86
7.2.1 Limited variability language (LVL) .86
7.2.2 Full variability language (FVL) . 86
7.2.3 Decision for limited variability language (LVL) or full variability language
(FVL) . 87
7.3 Safety-related embedded software (SRESW) . 88
7.3.1 Design of safety-related embedded software (SRESW) . 88
7.3.2 Alternative procedures for non-accessible embedded software .89
7.3 Fault exclusion .89
7.4 Safety-related application software (SRASW) .89
8 Verification of the achieved performance level .92
9 Ergonomic aspects of design .92
iv
© ISO 2023 – All rights reserved
---------------------- Page: 4 ----------------------
ISO13849-1:redline:2023(E)
8 10 Validation .93
10.1 Validation principles. 93
10.1.1 General . 93
10.1.2 Validation plan. 95
10.1.3 Generic fault lists . . . 96
10.1.4 Specific fault lists . 96
10.1.5 Information for validation . 96
10.2 Validation of the safety requirements specification (SRS) . 97
10.3 Validation by analysis . 98
10.3.1 General . 98
10.3.2 Analysis techniques . 98
10.4 Validation by testing . 98
10.4.1 General . 98
10.4.2 Measurement accuracy . 99
10.4.3 Additional requirements for testing .100
10.4.4 Number of test samples .100
10.4.5 Testing methods .100
10.5 Validation of the safety functions .101
10.6 Validation of the safety integrity of the SRP/CS .101
10.6.1 Validation of subsystem(s) .101
10.6.2 Validation of measures against systematic failures .102
10.6.3 Validation of safety-related software .103
10.6.4 Validation of combination of subsystems .104
10.6.5 Overall validation of safety integrity .104
10.7 Validation of environmental requirements .104
10.8 Validation record .105
10.9 Validation maintenance requirements .105
9 Maintenance . 105
11 Maintainability of SRP/CS . 105
10 12 Technical documentation . 106
11 13 Information for use . 107
13.1 General .108
13.2 Information for SRP/CS integration .108
13.3 Information for user .108
Annex A (informative) Determination Guidance for the determination of required
performance level (PL ).110
r
Annex B (informative) Block method and safety-related block diagram .117
Annex C (informative) Calculating or evaluating MTTF values for single components .119
D
Annex D (informative) Simplified method for estimating MTTF for each channel . 131
D
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and modules
subsystems .134
Annex F (informative) Estimates for common cause failure (CCF) Method for quantification
of measures against common cause failures (CCF) . 138
Annex G (informative) Systematic failure . 143
Annex H (informative) Example of a combination of several safety-related partsof the
control system subsystems .147
Annex I (informative) Examples for the simplified procedure to estimate the PL of
subsystems . 151
Annex J (informative) Software Example of SRESW realisation . 163
Annex K (informative) Numerical representation of Figure 5 12 . 169
v
© ISO 2023 – All rights reserved
---------------------- Page: 5 ----------------------
ISO13849-1:redline:2023(E)
Annex L (informative) Electromagnetic interference (EMI) immunity .173
Annex M (informative) Additional information for safety requirements specification (SRS) .177
Annex N (informative) Avoiding systematic failure in software design .179
Annex O (informative) Safety-related values of components or parts of control systems . 199
Bibliography . 202
vi
© ISO 2023 – All rights reserved
---------------------- Page: 6 ----------------------
ISO13849-1:redline:2023(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directiveswww .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patentswww .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on theof the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO'sISO’s adherence to
the WT
...
INTERNATIONAL ISO
STANDARD 13849-1
Fourth edition
2023-04
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
ISO 13849-1:2023(E)
© ISO 2023
---------------------- Page: 1 ----------------------
ISO 13849-1:2023(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2023 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 13849-1:2023(E)
Contents Page
Foreword . vi
Introduction .viii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms . 10
4 Overview .12
4.1 Risk assessment and risk reduction process at the machine .12
4.2 Contribution to the risk reduction . 14
4.3 Design process of an SRP/CS . 14
4.4 Methodology . 15
4.5 Required information . 16
4.6 Safety function realization by using subsystems . 17
5 Specification of safety functions .17
5.1 Identification and general description of the safety function . 17
5.2 Safety requirements specification . 18
5.2.1 General requirements . 18
5.2.2 Requirements for specific safety functions . 21
5.2.3 Minimizing motivation to defeat safety functions . 24
5.2.4 Remote access . 25
5.3 Determination of required performance level (PL ) for each safety function . .25
r
5.4 Review of the safety requirements specification (SRS) . 26
5.5 Decomposition of SRP/CS into subsystems . 26
6 Design considerations .27
6.1 Evaluation of the achieved performance level . 27
6.1.1 General overview of performance level . 27
6.1.2 Correlation between performance level (PL) and safety integrity level (SIL) .29
6.1.3 Architecture — Categories and their relation to MTTF of each channel,
D
average diagnostic coverage and common cause failure (CCF).29
6.1.4 Mean time to dangerous failure (MTTF ) .36
D
6.1.5 Diagnostic coverage (DC) . 37
6.1.6 Common cause failures (CCFs) .38
6.1.7 Systematic failures .38
6.1.8 Simplified procedure for estimating the performance level for subsystems .39
6.1.9 Alternative procedure to determine the performance level and PFH
without MTTF .40
D
6.1.10 Fault consideration and fault exclusion . 42
6.1.11 Well-tried component . 43
6.2 Combination of subsystems to achieve an overall performance level of the safety
function . 43
6.2.1 General . 43
6.2.2 Known PFH values . 43
6.2.3 Unknown PFH values .44
6.3 Software based manual parameterization . .44
6.3.1 General .44
6.3.2 Influences on safety-related parameters . 45
6.3.3 Requirements for software based manual parameterization .46
6.3.4 Verification of the parameterization tool . 47
6.3.5 Documentation of software based manual parameterization . 47
7 Software safety requirements .47
7.1 General . 47
iii
© ISO 2023 – All rights reserved
---------------------- Page: 3 ----------------------
ISO 13849-1:2023(E)
7.2 Limited variability language (LVL) and full variability language (FVL) .49
7.2.1 Limited variability language (LVL) .49
7.2.2 Full variability language (FVL) .49
7.2.3 Decision for limited variability language (LVL) or full variability language
(FVL) .49
7.3 Safety-related embedded software (SRESW) . 51
7.3.1 Design of safety-related embedded software (SRESW) . 51
7.3.2 Alternative procedures for non-accessible embedded software . 52
7.4 Safety-related application software (SRASW) . 52
8 Verification of the achieved performance level .55
9 Ergonomic aspects of design .55
10 Validation . .55
10.1 Validation principles. 55
10.1.1 General . 55
10.1.2 Validation plan . 57
10.1.3 Generic fault lists .58
10.1.4 Specific fault lists .58
10.1.5 Information for validation .58
10.2 Validation of the safety requirements specification (SRS) . 59
10.3 Validation by analysis.60
10.3.1 General .60
10.3.2 Analysis techniques .60
10.4 Validation by testing .60
10.4.1 General .60
10.4.2 Measurement accuracy . 61
10.4.3 Additional requirements for testing . 62
10.4.4 Number of test samples . 62
10.4.5 Testing methods . . 62
10.5 Validation of the safety functions .63
10.6 Validation of the safety integrity of the SRP/CS .63
10.6.1 Validation of subsystem(s).63
10.6.2 Validation of measures against systematic failures .64
10.6.3 Validation of safety-related software .65
10.6.4 Validation of combination of subsystems.66
10.6.5 Overall validation of safety integrity .66
10.7 Validation of environmental requirements .66
10.8 Validation record . 67
10.9 Validation maintenance requirements . 67
11 Maintainability of SRP/CS .67
12 Technical documentation .68
13 Information for use .68
13.1 General .68
13.2 Information for SRP/CS integration.68
13.3 Information for user . 69
Annex A (informative) Guidance for the determination of required performance level (PL ) .71
r
Annex B (informative) Block method and safety-related block diagram .76
Annex C (informative) Calculating or evaluating MTTF values for single components .78
D
Annex D (informative) Simplified method for estimating MTTF for each channel .86
D
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and subsystems .88
Annex F (informative) Method for quantification of measures against common cause
failures (CCF) .92
Annex G (informative) Systematic failure .96
iv
© ISO 2023 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 13849-1:2023(E)
Annex H (informative) Example of a combination of several subsystems . 100
Annex I (informative) Examples for the simplified procedure to estimate the PL of
subsystems . 103
Annex J (informative) Example of SRESW realisation . 111
Annex K (informative) Numerical representation of Figure 12 . 115
Annex L (informative) Electromagnetic interference (EMI) immunity . 120
Annex M (informative) Additional information for safety requirements specification (SRS) .124
Annex N (informative) Avoiding systematic failure in software design . 126
Annex O (informative) Safety-related values of components or parts of control systems . 146
Bibliography . 149
v
© ISO 2023 – All rights reserved
---------------------- Page: 5 ----------------------
ISO 13849-1:2023(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 199, Safety of machinery, in collaboration
with the European Committee for Standardization (CEN) Technical Committee CEN/TC 114, Safety of
machinery, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This fourth edition cancels and replaces the third edition (ISO 13849-1:2015), which has been
technically revised.
The main changes are as follows:
— the whole document was reorganized to better follow the design and development process for
control systems;
— new Clause 4 on recommendation for risk assessment;
— specification of the safety functions (updated Clause 5);
— combination of several subsystems (updated in Clause 6);
— new Clause 7 on software safety requirements;
— new Clause 9 on ergonomic aspects of design;
— validation (updated Clause 8 and moved to Clause 10);
— new G.5 on management of the functional safety;
— new Annex L on electromagnetic interference (EMI) immunity;
— new Annex M with additional information for safety requirements specification;
— new Annex N on fault-avoiding measures for the design of safety related software;
— new Annex O with safety-related values of components or parts of the control systems.
vi
© ISO 2023 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 13849-1:2023(E)
A list of all parts in the ISO 13849 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
vii
© ISO 2023 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 13849-1:2023(E)
Introduction
The structure of safety standards in the field of machinery is as follows:
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects
that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature,
noise);
— type-B2 standards on safeguards (e.g. two-hand controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B1 standard as defined in ISO 12100:2010.
The first edition of this document was published in 1999 based on EN 954-1:1996 (withdrawn standard).
The second edition was revised in 2006 and the third edition was revised in 2015.
This document is of relevance, in particular for the following stakeholder groups with regard to
machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance).
Others can be affected by the level of machinery safety achieved with the means of the document:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions);
— service providers, e.g. for maintenance (small, medium and large enterprises);
— consumers (i.e. machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate in the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards, as
defined in ISO 12100:2010.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and
built according to the requirements of that standard, the requirements of that type-C standard take
precedence.
NOTE 1 The examples and basis for most content is based on stationary machines in factory applications.
However, other machines are not excluded. This document was written without considering if certain machinery
(e.g. mobile machinery) has specific requirements. However, this document is intended to be used across many
machinery industries and as a basis for type-C standards developers, as far as applicable.
This document is intended to give guidance to those involved in the design and assessment of control
systems, and those preparing type-B2 or type-C standards.
Risk reduction according to ISO 12100:2010, Clause 6, is accomplished by applying, in the following
sequence, inherently safe design measures, safeguarding and/or complementary risk reduction
viii
© ISO 2023 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 13849-1:2023(E)
measures and information for use. A designer can reduce risks by risk reduction measures that can
have safety functions. Parts of machinery control systems that are assigned to provide safety functions
are called safety-related parts of control systems (SRP/CS). These can consist of hardware or a
combination of hardware and software and can either be separate from the machine control system
or an integral part of it. In addition to implementing safety functions, SRP/CS can also implement
operational functions.
ISO 12100:2010 is used for risk assessment of the machine. Annex A of this document can be used for
the determination of the required performance level (PL ) of a safety function performed by the SRP/
r
CS, where its PL is not specified in the applicable type-C standard. This document is relevant for the
r
SRP/CS safety functions that are used to address risks for cases where a risk assessment conducted
according to ISO 12100:2010 determines that a risk reduction measure is needed that relies on a safety
function (e.g. interlocking guard). In those cases, the safety-related control system performs a safety
function. This document is intended to be used to design and evaluate the SRP/CS. Only the part of the
control system that is safety-related falls under the scope of this document.
Figure 1 illustrates the relationship between ISO 12100:2010 and this document. For a detailed
overview see Figure 2.
NOTE 2 See also ISO/TR 22100-2:2013 for further information.
NOTE Based on ISO/TR 22100-2:2013, Figure 2.
Figure 1 — Integration of this document (ISO 13849-1) within the risk reduction process of
ISO 12100:2010
NOTE 3 Figure 1 shows where the SRP/CS contributes to the risk reduction process of ISO 12100:2010: Step
2. The SRP/CS supports the combined risk reduction measures by the implementation of safety functions. The
ability of safety-related parts of control systems to perform a safety function under foreseeable conditions is
allocated one of five levels, called performance levels (PL). The required performance level (PL ) for a particular
r
safety function (depending on the required risk reduction) will be determined by risk estimation.
Informative Annex A of this document contains a method for risk estimation and can be used for the
determination of the PL of a safety function performed by the SRP/CS. Any risk estimation method will
r
show a variance because of the subjective nature of the evaluation criteria. In comparison to Annex A,
type-C standards can have more specific risk estimation methods for specific machine applications.
The frequency of dangerous failure of the safety function depends on several factors, including but
not limited to, hardware and software structure, the extent of fault detection mechanisms [diagnostic
ix
© ISO 2023 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 13849-1:2023(E)
coverage (DC)], reliability of components [mean time to dangerous failure (MTTF ), common cause
D
failure (CCF)], design process, operating stress, environmental
...
NORME ISO
INTERNATIONALE 13849-1
Redline version
compare la Quatrième
édition à la Troisième édition
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
ISO13849-1:redline:2023(F)
© ISO 2023
---------------------- Page: 1 ----------------------
ISO13849-1:redline:2023(F)
IMPORTANT — PLEASE NOTE
This is a provisional mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
— indicates removed text (in red)
Text example 2
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
All changes in this document have yet to reach concensus by vote and as such should only
be used internally for review purposes.
DISCLAIMER
This Redline version is not an official IEC Standard and is intended only to provide the
user with an indication of what changes have been made to the previous version. Only the
current version of the standard is to be considered the official document.
This Redline version provides you with a quick and easy way to compare all the changes
between this standard and its previous edition. A vertical bar appears in the margin
wherever a change has been made. Additions and deletions are displayed in red, with
deletions being struck through.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO 2023 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO13849-1:redline:2023(F)
Sommaire Page
Avant-propos .vii
Introduction .ix
1 Domaine d'application .1
2 Références normatives .2
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations .15
4 Présentation .16
4.1 Processus d'appréciation et de réduction du risque de la machine . 16
4.2 Contribution à la réduction du risque . 18
4.3 Processus de conception d'une SRP/CS . 19
4.4 Méthodologie . . 21
4.5 Informations requises . 21
4.6 Réalisation de la fonction de sécurité en utilisant les sous-systèmes .22
5 Spécification des fonctions de sécurité .22
5.1 Identification et description générale de la fonction de sécurité .22
5.2 Spécification des exigences de sécurité . 23
5.2.1 Exigences générales .23
5.2.2 Exigences relatives aux fonctions de sécurité spécifiques .26
5.2.3 Réduction le plus possible de l'incitation à neutraliser les fonctions de
sécurité .30
5.2.4 Accès à distance . 31
5.3 Détermination du niveau de performance requis (PL ) pour chaque fonction de
r
sécurité . 31
5.4 Examen de la spécification des exigences de sécurité (SRS) . 31
5.5 Décomposition de la SRP/CS en sous-systèmes . 32
4 6 .
Considérations relatives à la conception .34
4.1 Objectifs de sécurité lors de la conception .34
4.2 Stratégie de réduction du risque . 36
4.2.1 Généralités .36
4.2.2 Contribution à la réduction du risque par le système de commande .36
4.3 Détermination du niveau de performance requis (PL ) .39
r
4.4 Conception des SRP/CS .40
4.5 6.1 .
Évaluation du niveau de performance PL atteint et relation avec le SIL atteint . 41
4.5.1 6.1.1 .
Niveau Présentation générale du niveau de performance PL . 41
6.1.2 Corrélation entre le niveau de performance (PL) et le niveau d'intégrité de
sécurité (SIL) .44
6.1.3 Architecture — Catégories et leur relation aux MTTF de chaque canal,
D
couverture du diagnostic moyenne et défaillance de cause commune (CCF) . 45
4.5.2 6.1.4 .
Temps moyen avant défaillance dangereuse pour chaque canal (MTTF ) . 52
D
4.5.3 6.1.5 .
Couverture du diagnostic (DC). 53
6.1.6 Défaillances de cause commune (CCF) .54
6.1.7 Défaillances systématiques .54
4.5.4 6.1.8 .
Procédure simplifiée pour l'estimation des aspects quantifiables d'un PL .55
iii
© ISO 2023 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO13849-1:redline:2023(F)
4.5.4 6.1.8 .
Procédures simplifiées pour estimer le niveau de performance de sous-
systèmes .55
4.5.5 6.1.9 .
Description du dispositif de sortie du SRP/CS par catégorie.58
4.5.5 6.1.9 .
Autre procédure pour déterminer le niveau de performance et la PFH sans
MTTF . 59
D
6.1.10 Prise en compte et exclusion des défauts . 61
6.1.11 Composant éprouvé . 62
6.2 Combinaison des sous-systèmes pour atteindre un niveau de performance global
de la fonction de sécurité . 62
6.2.1 Généralités . 62
6.2.2 Valeurs PFH connues .63
6.2.3 Valeurs PFH inconnues .63
4.6 6.3 .
Exigences pour le logiciel de sécurité .64
4.6.1 Généralités .64
4.6.2 Logiciel intégré relatif à la sécurité (SRESW) .65
4.6 6.3 .
Paramétrage manuel lié au logiciel .66
4.6.3 6.3.1 .
Logiciel applicatif relatif à la sécurité (SRASW) .66
4.6.3 6.3.1 .
Généralités .68
6.3.2 Influences sur les paramètres relatifs à la sécurité .69
4.6.4 6.3.3 .
Paramétrage Exigences relatives au paramétrage manuel lié au logiciel .69
6.3.4 Vérification de l'outil de paramétrage.72
6.3.5 Documentation de paramétrage manuel lié au logiciel .72
4.7 Vérification de l'atteinte du PL requis .72
4.8 Aspects ergonomiques de la conception . .72
7 Exigences concernant les logiciels .73
7.1 Généralités .73
7.2 Langage de variabilité limitée (LVL) et langage de variabilité totale (FVL) .74
7.2.1 Langage de variabilité limitée (LVL) .74
7.2.2 Langage de variabilité totale (FVL) . 75
7.2.3 Décision pour le langage de variabilité limitée (LVL) ou le langage de
variabilité totale (FVL) .75
7.3 Logiciel intégré relatif à la sécurité (SRESW) .77
7.3.1 Conception du logiciel intégré relatif à la sécurité (SRESW) .77
7.3.2 Autres procédures pour le logiciel intégré non accessible .78
7.4 Logiciel applicatif relatif à la sécurité (SRASW) . 78
8 Vérification du niveau de performance atteint .81
5 Caractéristiques des fonctions de sécurité .82
5.1 Spécification des fonctions de sécurité .82
5.2 Détails des fonctions de sécurité .84
5.2.1 Fonction d'arrêt liée à la sécurité .84
5.2.2 Fonction réarmement manuel .84
5.2.3 Fonction mise en marche et remise en marche.85
5.2.4 Fonction commande locale .85
5.2.5 Fonction d'inhibition .86
5.2.6 Temps de réponse .86
5.2.7 Paramètres relatifs à la sécurité .86
5.2.8 Variations, perte et rétablissement des sources d’énergie .86
iv
© ISO 2023 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO13849-1:redline:2023(F)
5 9 .
Aspects ergonomiques de la conception .86
6 Catégories et leur relation aux MTTF de chaque canal, DC et CCF .87
D avg
6 10 .
Validation . .87
6.1 10.1 . .
Généralités .87
6.1 10.1 . .
Principes de validation .87
10.1.1 Généralités .87
10.1.2 Plan de validation .89
10.1.3 Listes des défauts génériques .90
10.1.4 Listes des défauts spécifiques .90
10.1.5 Informations pour la validation .90
10.2 Validation de la spécification des exigences de sécurité (SRS) . 91
10.3 Validation par analyse .92
10.3.1 Généralités . 92
10.3.2 Techniques d'analyse .92
10.4 Validation par essais .93
10.4.1 Généralités . 93
10.4.2 Exactitude des mesures . 93
10.4.3 Exigences supplémentaires relatives aux essais .94
10.4.4 Nombre d'échantillons .94
10.4.5 Méthodes d'essai .94
10.5 Validation des fonctions de sécurité . 95
6.2 10.6 .
Spécifications des catégories . 95
6.2.1 Généralités .95
6.2.2 Architectures désignées .96
6.2 10.6 .
Validation de l'intégrité de sécurité de la SRP/CS .96
6.2.3 10.6.1 .
Catégorie B .96
6.2.3 10.6.1 .
Validation du (des) sous-système(s) .96
10.6.2 Validation des mesures prises contre les défaillances systématiques .98
6.2.4 10.6.3 .
Catégorie 1 .99
6.2.4 10.6.3 .
Validation du logiciel relatif à la sécurité .99
6.2.5 Catégorie 2 . 101
6.2.6 Catégorie 3 . 102
6.2.7 10.6.4 .
Catégorie 4 .103
6.2.7 10.6.4 .
Validation de la combinaison des sous-systèmes .104
10.6.5 Validation globale de l'intégrité de sécurité .107
6.3 10.7 .
Combinaison des SRP/CS pour atteindre un PL global .107
6.3 10.7 .
Validation des exigences d'environnement .108
10.8 Rapport de validation .109
10.9 Validation des exigences de maintenance .109
7 Prise en compte des défauts, exclusion de défauts .110
7.1 Généralités . 110
7.2 Prise en compte des défauts . 110
7.3 Exclusion de défauts . 110
v
© ISO 2023 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO13849-1:redline:2023(F)
8 Validation . .110
9 Maintenance . 111
9 11 .
Maintenabilité des SRP/CS . . 111
10 12 .
Documentation technique .
...
NORME ISO
INTERNATIONALE 13849-1
Quatrième édition
2023-04
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
ISO 13849-1:2023(F)
© ISO 2023
---------------------- Page: 1 ----------------------
ISO 13849-1:2023(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO 2023 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 13849-1:2023(F)
Sommaire Page
Avant-propos . vi
Introduction .viii
1 Domaine d'application .1
2 Références normatives .1
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations . 11
4 Présentation .13
4.1 Processus d'appréciation et de réduction du risque de la machine .13
4.2 Contribution à la réduction du risque . 14
4.3 Processus de conception d'une SRP/CS . 15
4.4 Méthodologie . . 17
4.5 Informations requises . 17
4.6 Réalisation de la fonction de sécurité en utilisant les sous-systèmes . 18
5 Spécification des fonctions de sécurité .18
5.1 Identification et description générale de la fonction de sécurité . 18
5.2 Spécification des exigences de sécurité . 19
5.2.1 Exigences générales . 19
5.2.2 Exigences relatives aux fonctions de sécurité spécifiques .22
5.2.3 Réduction le plus possible de l'incitation à neutraliser les fonctions de
sécurité .26
5.2.4 Accès à distance . 27
5.3 Détermination du niveau de performance requis (PL ) pour chaque fonction de
r
sécurité . 27
5.4 Examen de la spécification des exigences de sécurité (SRS) .28
5.5 Décomposition de la SRP/CS en sous-systèmes .28
6 Considérations relatives à la conception .30
6.1 Évaluation du niveau de performance atteint .30
6.1.1 Présentation générale du niveau de performance .30
6.1.2 Corrélation entre le niveau de performance (PL) et le niveau d'intégrité de
sécurité (SIL) . 31
6.1.3 Architecture — Catégories et leur relation aux MTTF de chaque canal,
D
couverture du diagnostic moyenne et défaillance de cause commune (CCF) . 32
6.1.4 Temps moyen avant défaillance dangereuse (MTTF ) .39
D
6.1.5 Couverture du diagnostic (DC). 41
6.1.6 Défaillances de cause commune (CCF) . 41
6.1.7 Défaillances systématiques . 42
6.1.8 Procédures simplifiées pour estimer le niveau de performance de sous-
systèmes . 42
6.1.9 Autre procédure pour déterminer le niveau de performance et la PFH sans
MTTF .44
D
6.1.10 Prise en compte et exclusion des défauts .46
6.1.11 Composant éprouvé . 47
6.2 Combinaison des sous-systèmes pour atteindre un niveau de performance global
de la fonction de sécurité . 47
6.2.1 Généralités . 47
6.2.2 Valeurs PFH connues .48
6.2.3 Valeurs PFH inconnues .48
6.3 Paramétrage manuel lié au logiciel .49
6.3.1 Généralités .49
6.3.2 Influences sur les paramètres relatifs à la sécurité .49
6.3.3 Exigences relatives au paramétrage manuel lié au logiciel .50
iii
© ISO 2023 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO 13849-1:2023(F)
6.3.4 Vérification de l'outil de paramétrage. 51
6.3.5 Documentation de paramétrage manuel lié au logiciel . 51
7 Exigences concernant les logiciels .52
7.1 Généralités . 52
7.2 Langage de variabilité limitée (LVL) et langage de variabilité totale (FVL) .53
7.2.1 Langage de variabilité limitée (LVL) . 53
7.2.2 Langage de variabilité totale (FVL) .54
7.2.3 Décision pour le langage de variabilité limitée (LVL) ou le langage de
variabilité totale (FVL) .54
7.3 Logiciel intégré relatif à la sécurité (SRESW) .56
7.3.1 Conception du logiciel intégré relatif à la sécurité (SRESW) .56
7.3.2 Autres procédures pour le logiciel intégré non accessible . 57
7.4 Logiciel applicatif relatif à la sécurité (SRASW) . 57
8 Vérification du niveau de performance atteint .60
9 Aspects ergonomiques de la conception .61
10 Validation . .61
10.1 Principes de validation . 61
10.1.1 Généralités . 61
10.1.2 Plan de validation .63
10.1.3 Listes des défauts génériques .64
10.1.4 Listes des défauts spécifiques .64
10.1.5 Informations pour la validation .64
10.2 Validation de la spécification des exigences de sécurité (SRS) .65
10.3 Validation par analyse .66
10.3.1 Généralités .66
10.3.2 Techniques d'analyse .66
10.4 Validation par essais . 67
10.4.1 Généralités . 67
10.4.2 Exactitude des mesures . 67
10.4.3 Exigences supplémentaires relatives aux essais .68
10.4.4 Nombre d'échantillons .68
10.4.5 Méthodes d'essai .68
10.5 Validation des fonctions de sécurité . 69
10.6 Validation de l'intégrité de sécurité de la SRP/CS . 69
10.6.1 Validation du (des) sous-système(s) . 69
10.6.2 Validation des mesures prises contre les défaillances systématiques . 71
10.6.3 Validation du logiciel relatif à la sécurité . 71
10.6.4 Validation de la combinaison des sous-systèmes .72
10.6.5 Validation globale de l'intégrité de sécurité .72
10.7 Validation des exigences d'environnement .73
10.8 Rapport de validation .73
10.9 Validation des exigences de maintenance .73
11 Maintenabilité des SRP/CS . .74
12 Documentation technique .74
13 Informations pour l'utilisation .75
13.1 Généralités . 75
13.2 Informations relatives à l'intégration de SRP/CS . 75
13.3 Informations destinées à l'utilisateur . 76
Annexe A (informative) Lignes directrices pour la détermination du niveau de performance
requis (PL ) .78
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité .83
Annexe C (informative) Calcul ou évaluation des valeurs MTTF pour des composants
D
uniques .85
iv
© ISO 2023 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 13849-1:2023(F)
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal .94
D
Annexe E (informative) Estimations pour la couverture du diagnostic (DC) des fonctions et
des sous-systèmes .96
Annexe F (informative) Méthode de quantification des mesures contre les défaillances de
cause commune (CCF) . 100
Annexe G (informative) Défaillance systématique . 104
Annexe H (informative) Exemple d'une combinaison de plusieurs sous-systèmes . 108
Annexe I (informative) Exemples de procédure simplifiée pour estimer le PL de sous-
systèmes . 111
Annexe J (informative) Exemple d'élaboration de SRESW . 120
Annexe K (informative) Représentation numérique de la Figure 12 . 125
Annexe L (informative) Immunité aux interférences éléctromagnétiques (IEM) . 130
Annexe M (informative) Informations supplémentaires pour la spécification des exigences
de sécurité (SRS) .134
Annexe N (informative) Évitement des défaillances systématiques lors de la conception
logicielle . 137
Annexe O (informative) Valeurs relatives à la sécurité de composants ou de parties de
systèmes de commande . 158
Bibliographie .161
v
© ISO 2023 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO 13849-1:2023(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/avant-propos.html.
Le présent document a été élaboré par le Comité technique ISO/TC 199, Sécurité des machines, en
collaboration avec le Comité technique CEN/TC 114 du Comité européen de normalisation (CEN),
Sécurité des machines, conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord
de Vienne).
Cette quatrième édition annule et remplace la troisième édition (ISO 13849-1:2015), qui a fait l'objet
d'une révision technique.
Les principales modifications sont les suivantes:
— l'ensemble du document a été réorganisé pour mieux suivre le processus de conception et de
développement des systèmes de commande;
— nouvel Article 4 sur une recommandation d'appréciation du risque;
— spécification des fonctions de sécurité (Article 5 mis à jour);
— combinaison de plusieurs sous-systèmes (Article 6 mis à jour);
— nouvel Article 7 sur les exigences de sécurité logicielle;
— nouvel Article 9 sur les aspects ergonomiques de la conception;
— validation (Article 8 mis à jour et transfert à l'Article 10);
— nouveau G.5 sur la gestion de la sécurité fonctionnelle;
— nouvelle Annexe L sur l'immunité aux interférences électromagnétiques (IEM);
vi
© ISO 2023 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 13849-1:2023(F)
— nouvelle Annexe M contenant des informations complémentaires sur la spécification des exigences
de sécurité;
— nouvelle Annexe N sur les mesures de prévention des pannes pour la conception de logiciels relatifs
à la sécurité;
— nouvelle Annexe O avec valeurs relatives à la sécurité de composants ou de parties des systèmes de
commande.
Une liste de toutes les parties de la série ISO 13849 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www.iso.org/members.html.
vii
© ISO 2023 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 13849-1:2023(F)
Introduction
La structure des normes de sécurité dans le domaine des machines est la suivante:
a) Normes de type A (normes fondamentales de sécurité), précisant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines.
b) Normes de type B (normes génériques de sécurité), traitant d'un ou de plusieurs aspect(s) de la
sécurité, ou d'un ou de plusieurs type(s) de protection qui peut ou peuvent être utilisé(s) pour une
large gamme de machines:
— normes de type B1, traitant d'aspects particuliers de la sécurité (par exemple, distances de
sécurité, température de surface, bruit);
— normes de type B2, traitant de moyens de protection (par exemple, commandes bimanuelles,
dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).
c) normes de type C (normes de sécurité des machines), traitant des exigences de sécurité détaillées
pour une machine particulière ou un groupe de machines.
Le présent document est une norme de type B1 tel que défini dans l'ISO 12100:2010.
La première édition du présent document a été publiée en 1999 sur la base de l'EN 954-1:1996 (norme
annulée). La deuxième édition a été révisée en 2006, et la troisième édition a été révisée en 2015.
Le présent document est pertinent, en particulier, pour les groupes de parties prenantes suivants, dans
le domaine de la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché).
D'autres personnes peuvent être concernées par le niveau de sécurité des machines obtenu au moyen
du présent document:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/salariés (par exemple, syndicats);
— prestataires de services, par exemple, sociétés de maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (c'est-à-dire, dans le cas de machines destinées à être utilisées par des
consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer à l'élaboration
du présent document.
De plus, le présent document est destiné aux organismes de normalisation élaborant des normes de
type C, telles que définies dans l'ISO 12100:2010.
Les exigences du présent document peuvent être complétées ou modifiées par une norme de type C.
viii
© ISO 2023 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 13849-1:2023(F)
Pour les machines couvertes par le domaine d'application d'une norme de type C et qui ont été conçues
et construites suivant les exigences de cette norme, les exigences de ladite norme de type C sont
prioritaires.
NOTE 1 Les exemples et la base de la majeure partie du contenu reposent sur des machines fixes servant à
des applications industrielles. Cependant, d'autres machines ne sont pas exclues. Le présent document a été
rédigé sans tenir compte des exigences particulières de certaines machines (par exemple, machines mobiles).
Cependant, le présent document est destiné à être utilisé dans de nombreuses industries de machines et comme
base pour les développeurs de normes de type C, dans la mesure du possible.
Le présent document est destiné à donner des conseils au cours de la conception et de l'évaluation des
systèmes de commande ainsi qu'au cours de l'élaboration des normes de type B2 ou de type C.
La réduction du risque selon l'ISO 12100:2010, Article 6, s'effectue en appliquant, dans la séquence
suivante, les mesures de prévention intrinsèque, les mesures de sauvegarde et/ou de réduction du
risque complémentaires et les informations pour l'utilisation. Un concepteur peut réduire les risques
au moyen de mesures de réduction du risque qui peuvent avoir des fonctions de sécurité. Les parties
des systèmes de commande de machine qui sont assignées pour fournir des fonctions de sécurité sont
appelées parties des systèmes de commande relatives à la sécurité (SRP/CS). Celles-ci peuvent être
constituées de matériel ou d'une combinaison de matériel et de logiciel et peuvent être séparées du
système de commande d
...
Deleted:
ISO/FDIS 13849-1:2022(E)
Deleted: 07-19
2022-08
ISO TC 199/WG 8
Secretariat: DIN
Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie
1: Principes généraux de conception
---------------------- Page: 1 ----------------------
ISO/FDIS 13849-1:2022(E)
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation,
no part of this publication may be reproduced or utilized otherwise in any form or by any means,
electronic or mechanical, including photocopying, or posting on the internet or an intranet,
without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2022 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/FDIS 13849-1.2:2022(E)
Deleted:
Contents
Deleted: 8
Foreword . 8viii
Introduction. 10x Deleted: 10
1 Scope . 13
2 Normative references . 13
3 Terms, definitions, symbols and abbreviated terms . 14
3.1 Terms and definitions. 14
3.2 Symbols and abbreviated terms . 24
4 Overview . 26
4.1 Risk assessment and risk reduction process at the machine . 26
4.2 Contribution to the risk reduction . 28
4.3 Design process of an SRP/CS . 28
4.4 Methodology . 30
4.5 Required information . 30
4.6 Safety function realization by using subsystems . 31
5 Specification of safety functions . 31
5.1 Identification and general description of the safety function . 31
5.2 Safety requirements specification . 32
5.2.1 General requirements . 32
5.2.2 Requirements for specific safety functions . 35
5.2.3 Minimize motivation to defeat safety functions . 39
5.2.4 Remote access . 40
5.3 Determination of required performance level (PL ) for each safety function . 40
r
5.4 Review of the safety requirements specification (SRS) . 40
5.5 Decomposition of SRP/CS into subsystems . 40
6 Design considerations . 42
6.1 Evaluation of the achieved performance level . 42
6.1.1 General overview of performance level . 42
6.1.2 Correlation between performance level and safety integrity level (SIL) . 44
6.1.3 Architecture — Categories and their relation to MTTF of each channel, average
D
diagnostic coverage and common cause failure . 44
6.1.4 Mean time to dangerous failure . 52
6.1.5 Diagnostic coverage . 53
6.1.6 Common cause failures . 54
6.1.7 Systematic failures . 54
6.1.8 Simplified procedure for estimating the performance level for subsystems . 54
6.1.9 Alternative procedure to determine the performance level and PFH without MTTF . 56
D
© ISO 2022 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/FDIS 13849-1:2022(E)
6.1.10 Fault consideration and fault exclusion . 58
6.1.11 Well-tried component . 59
6.2 Combination of subsystems to achieve an overall performance level of the safety
function . 59
6.2.1 General . 59
6.2.2 Known PFH values . 60
6.2.3 Unknown PFH values . 60
6.3 Software-based manual parameterization . 61
6.3.1 General . 61
6.3.2 Influences on safety-related parameters . 61
6.3.3 Requirements for software based manual parameterization . 62
6.3.4 Verification of the parameterization tool . 63
6.3.5 Documentation of software based manual parameterization . 63
7 Software safety requirements . 64
7.1 General . 64
7.2 Limited variability language and full variability language . 66
7.2.1 Limited variability language . 66
7.2.2 Full variability language . 66
7.2.3 Decision for limited variability language or full variability language . 66
7.3 Safety-related embedded software . 68
7.3.1 Design of safety-related embedded software. 68
7.3.2 Alternative procedures for non-accessible embedded software . 69
7.4 Safety-related application software . 69
8 Verification of the achieved performance level . 72
9 Ergonomic aspects of design . 73
10 Validation . 73
10.1 Validation principles . 73
10.1.1 General . 73
10.1.2 Validation plan . 75
10.1.3 Generic fault lists . 76
10.1.4 Specific fault lists . 76
10.1.5 Information for validation . 76
10.2 Validation of the safety requirements specification (SRS) . 78
10.3 Validation by analysis . 78
10.3.1 General . 78
10.3.2 Analysis techniques . 78
10.4 Validation by testing . 79
10.4.1 General . 79
10.4.2 Measurement accuracy . 80
10.4.3 Additional requirements for testing . 80
10.4.4 Number of test samples . 80
10.4.5 Testing methods . 80
10.5 Validation of the safety functions . 81
10.6 Validation of the safety integrity of the SRP/CS . 81
10.6.1 Validation of subsystem(s) . 81
10.6.2 Validation of measures against systematic failures . 83
10.6.3 Validation of safety-related software . 83
10.6.4 Validation of combination of subsystems . 84
10.6.5 Overall validation of safety integrity. 85
10.7 Validation of environmental requirements . 85
10.8 Validation record . 85
iv © ISO 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/FDIS 13849-1.2:2022(E)
Deleted:
10.9 Validation maintenance requirements . 86
11 Maintainability of SRP/CS . 86
12 Technical documentation . 86
13 Information for use . 87
13.1 General . 87
13.2 Information for SRP/CS integration . 87
13.3 Information for user . 88
Annex A (informative) Guidance for the determination of required performance level (PL ) . 90
r
A.1 General . 90
A.2 Selection of required performance level (PL ) . 90
r
A.3 Guidance for selecting parameters S, F and P for the risk estimation . 91
A.3.1 Severity of injury S1 and S2 . 91
A.3.2 Frequency and/or exposure times to hazard, F1 and F2 . 91
A.3.3 Possibility of avoiding or limiting harm . 92
A.4 Overlapping hazards . 93
Annex B (informative) Block method and safety-related block diagram . 95
B.1 Block method . 95
B.2 Safety-related block diagram . 95
Annex C (informative) Calculating or evaluating MTTF values for single components . 97
D
C.1 General . 97
C.2 Good engineering practices method . 97
C.3 Hydraulic components . 99
C.4 MTTF of pneumatic, mechanical and electromechanical components . 99
D
C.4.1 General . 99
C.4.2 Calculation of MTTF for components from B . 100
D 10D
C.4.3 Explanation of the formulae . 101
C.4.4 Example . 101
C.5 MTTF data of electronic components . 102
D
C.5.1 General . 102
C.5.2 Semiconductors. 102
C.5.3 Passive components . 103
Annex D (informative) Simplified method for estimating MTTFD for each channel . 105
D.1 Parts count method . 105
D.2 MTTF for different channels, symmetrisation of MTTF for each channel . 106
D D
Annex E (informative) Estimates for diagnostic coverage for functions and subsystems . 107
E.1 Examples of diagnostic coverage . 107
E.2 Estimation of the average diagnostic coverage . 109
© ISO 2022 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO/FDIS 13849-1:2022(E)
Annex F (informative) Method for quantification of measures against common cause
failures (CCF). 111
F.1 General . 111
F.2 Estimation of effect of measures against CCF . 111
F.3 Description of the measures against common cause failure in Table F.1 . 112
F.3.1 Separation/segregation . 112
F.3.2 Diversity . 112
F.3.3 Design/application/experience . 113
F.3.4 Assessment/analysis . 113
F.3.5 Training . 113
F.3.6 Environmental . 113
F.3.6.1 Prevention of EMI or impurity of the pressure medium . 113
F.3.6.2 Other influences . 114
F.4 Measures against common cause failure and other relevant standards . 114
Annex G (informative) Systematic failure . 115
G.1 General . 115
G.2 Measures for the control of systematic failures . 115
G.3 Measures for avoidance of systematic failures during SRP/CS design . 116
G.4 Measures for avoidance of systematic failures during SRP/CS integration . 117
G.5 Management of functional safety . 117
Annex H (informative) Example of a combination of several subsystems . 119
Annex I (informative) Examples for the simplified procedure to estimate the PL of
subsystems. 122
I.1 General . 122
I.2 Safety function and required performance level (PL ) . 122
r
I.3 Example A — Single-channel system . 123
I.3.1 Identification of safety-related parts . 123
I.3.2 Quantification of MTTF , DC , measures against CCF, category and performance
D avg
level . 124
I.4 Example B — Redundant system . 125
I.4.1 Identification of safety-related parts . 125
I.4.2 Quantification of MTTFD for each channel, average diagnostic coverage, measures
against CCF, category and performance level . 126
Annex J (informative) Example of SRESW realisation . 131
J.1 Description of example . 131
J.2 Application of V-model of software safety lifecycle . 131
J.3 Verification of software specification at different levels (i.e. SDS, SSDS, MDS) . 133
vi © ISO 2022 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/FDIS 13849-1.2:2022(E)
Deleted:
J.4 Example of programming rules . 133
Annex K (informative) Numerical representation of Figure 12 . 135
Annex L (informative) EMI immunity . 140
Annex M (informative) Additional information for safety requirements specification (SRS) . 144
Annex N (informative) Avoiding systematic failure in software-design . 147
N.1 Selection of fault-avoiding measures for the design of safety-related software . 147
N.2 Example for software validation . 153
N.2.1 General . 153
N.2.2 Coding guidelines . 153
N.2.3 Specification of safety functions . 153
N.2.4 Input information from the specification of hardware design . 154
N.2.5 Application program . 155
N.2.6 Validation of the implemented SRASW . 156
N.2.6.1 General . 156
N.2.6.2 Evaluation of the interlocking safety guard . 156
N.2.6.3 Evaluation of the emergency stop . 159
N.2.6.4 Evaluation of the interlocking safety guard and the emergency stop with motor M1 . 161
N.2.6.5 Documentation . 163
Annex O (informative) Safety-related values of components or parts of control systems . 164
O.1 Definition of device types . 164
O.1.1 General . 164
O.1.2 Device type 1 . 165
O.1.3 Device type 2 . 165
O.1.4 Device type 3 . 165
O.1.5 Device type 4 . 166
O.2 Additional information . 166
O.2.1 Software . 166
O.2.2 Basic safety principles . 166
O.2.3 Well-tried safety principles . 166
Annex ZA (informative) Relationship between this European Standard and the essential
requirements of EU Directive 2006/42/EC aimed to be covered . 167
Bibliography . 169
© ISO 2022 – All rights reserved vii
-----
...
FINAL
INTERNATIONAL ISO/FDIS
DRAFT
STANDARD 13849-1
ISO/TC 199
Safety of machinery — Safety-related
Secretariat: DIN
parts of control systems —
Voting begins on:
2022-12-08
Part 1:
Voting terminates on:
General principles for design
2023-02-02
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
ISO/CEN PARALLEL PROCESSING
RECIPIENTS OF THIS DRAFT ARE INVITED TO
SUBMIT, WITH THEIR COMMENTS, NOTIFICATION
OF ANY RELEVANT PATENT RIGHTS OF WHICH
THEY ARE AWARE AND TO PROVIDE SUPPOR TING
DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
Reference number
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO-
ISO/FDIS 13849-1:2022(E)
LOGICAL, COMMERCIAL AND USER PURPOSES,
DRAFT INTERNATIONAL STANDARDS MAY ON
OCCASION HAVE TO BE CONSIDERED IN THE
LIGHT OF THEIR POTENTIAL TO BECOME STAN-
DARDS TO WHICH REFERENCE MAY BE MADE IN
NATIONAL REGULATIONS. © ISO 2022
---------------------- Page: 1 ----------------------
ISO/FDIS 13849-1:2022(E)
FINAL
INTERNATIONAL ISO/FDIS
DRAFT
STANDARD 13849-1
ISO/TC 199
Safety of machinery — Safety-related
Secretariat: DIN
parts of control systems —
Voting begins on:
Part 1:
Voting terminates on:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
COPYRIGHT PROTECTED DOCUMENT
© ISO 2022
ISO/CEN PARALLEL PROCESSING
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
RECIPIENTS OF THIS DRAFT ARE INVITED TO
ISO copyright office
SUBMIT, WITH THEIR COMMENTS, NOTIFICATION
OF ANY RELEVANT PATENT RIGHTS OF WHICH
CP 401 • Ch. de Blandonnet 8
THEY ARE AWARE AND TO PROVIDE SUPPOR TING
CH-1214 Vernier, Geneva
DOCUMENTATION.
Phone: +41 22 749 01 11
IN ADDITION TO THEIR EVALUATION AS
Reference number
Email: copyright@iso.org
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO-
ISO/FDIS 13849-1:2022(E)
Website: www.iso.org
LOGICAL, COMMERCIAL AND USER PURPOSES,
DRAFT INTERNATIONAL STANDARDS MAY ON
Published in Switzerland
OCCASION HAVE TO BE CONSIDERED IN THE
LIGHT OF THEIR POTENTIAL TO BECOME STAN-
DARDS TO WHICH REFERENCE MAY BE MADE IN
ii
© ISO 2022 – All rights reserved
NATIONAL REGULATIONS. © ISO 2022
---------------------- Page: 2 ----------------------
ISO/FDIS 13849-1:2022(E)
Contents Page
Foreword . vi
Introduction .viii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms . 10
4 Overview .12
4.1 Risk assessment and risk reduction process at the machine .12
4.2 Contribution to the risk reduction . 14
4.3 Design process of an SRP/CS . 14
4.4 Methodology . 15
4.5 Required information . 16
4.6 Safety function realization by using subsystems . 17
5 Specification of safety functions .17
5.1 Identification and general description of the safety function . 17
5.2 Safety requirements specification . 18
5.2.1 General requirements . 18
5.2.2 Requirements for specific safety functions . 21
5.2.3 Minimizing motivation to defeat safety functions . 24
5.2.4 Remote access . 25
5.3 Determination of required performance level (PL ) for each safety function . .25
r
5.4 Review of the safety requirements specification (SRS) . 26
5.5 Decomposition of SRP/CS into subsystems . 26
6 Design considerations .27
6.1 Evaluation of the achieved performance level . 27
6.1.1 General overview of performance level . 27
6.1.2 Correlation between performance level (PL) and safety integrity level (SIL) .29
6.1.3 Architecture — Categories and their relation to MTTF of each channel,
D
average diagnostic coverage and common cause failure (CCF).29
6.1.4 Mean time to dangerous failure (MTTF ) .36
D
6.1.5 Diagnostic coverage (DC) . 37
6.1.6 Common cause failures (CCFs) .38
6.1.7 Systematic failures .38
6.1.8 Simplified procedure for estimating the performance level for subsystems .39
6.1.9 Alternative procedure to determine the performance level and PFH
without MTTF .40
D
6.1.10 Fault consideration and fault exclusion . 42
6.1.11 Well-tried component . 43
6.2 Combination of subsystems to achieve an overall performance level of the safety
function . 43
6.2.1 General . 43
6.2.2 Known PFH values . 43
6.2.3 Unknown PFH values .44
6.3 Software-based manual parameterization .44
6.3.1 General .44
6.3.2 Influences on safety-related parameters . 45
6.3.3 Requirements for software based manual parameterization .46
6.3.4 Verification of the parameterization tool . 47
6.3.5 Documentation of software based manual parameterization . 47
7 Software safety requirements .47
7.1 General . 47
iii
© ISO 2022 – All rights reserved
---------------------- Page: 3 ----------------------
ISO/FDIS 13849-1:2022(E)
7.2 Limited variability language (LVL) and full variability language (FVL) .49
7.2.1 Limited variability language (LVL) .49
7.2.2 Full variability language (FVL) .49
7.2.3 Decision for limited variability language (LVL) or full variability language
(FVL) .49
7.3 Safety-related embedded software (SRESW) . 51
7.3.1 Design of safety-related embedded software (SRESW) . 51
7.3.2 Alternative procedures for non-accessible embedded software . 52
7.4 Safety-related application software (SRASW) . 52
8 Verification of the achieved performance level .55
9 Ergonomic aspects of design .55
10 Validation . .55
10.1 Validation principles. 55
10.1.1 General . 55
10.1.2 Validation plan . 57
10.1.3 Generic fault lists .58
10.1.4 Specific fault lists .58
10.1.5 Information for validation .58
10.2 Validation of the safety requirements specification (SRS) . 59
10.3 Validation by analysis.60
10.3.1 General .60
10.3.2 Analysis techniques .60
10.4 Validation by testing .60
10.4.1 General .60
10.4.2 Measurement accuracy . 61
10.4.3 Additional requirements for testing . 62
10.4.4 Number of test samples . 62
10.4.5 Testing methods . . 62
10.5 Validation of the safety functions .63
10.6 Validation of the safety integrity of the SRP/CS .63
10.6.1 Validation of subsystem(s).63
10.6.2 Validation of measures against systematic failures .64
10.6.3 Validation of safety-related software .65
10.6.4 Validation of combination of subsystems.66
10.6.5 Overall validation of safety integrity .66
10.7 Validation of environmental requirements .66
10.8 Validation record . 67
10.9 Validation maintenance requirements . 67
11 Maintainability of SRP/CS .67
12 Technical documentation .68
13 Information for use .68
13.1 General .68
13.2 Information for SRP/CS integration.68
13.3 Information for user . 69
Annex A (informative) Guidance for the determination of required performance level (PL ) .71
r
Annex B (informative) Block method and safety-related block diagram .76
Annex C (informative) Calculating or evaluating MTTF values for single components.78
D
Annex D (informative) Simplified method for estimating MTTF for each channel .86
D
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and subsystems .88
Annex F (informative) Method for quantification of measures against common cause
failures (CCF) .93
Annex G (informative) Systematic failure .97
iv
© ISO 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/FDIS 13849-1:2022(E)
Annex H (informative) Example of a combination of several subsystems . 101
Annex I (informative) Examples for the simplified procedure to estimate the PL of
subsystems . 104
Annex J (informative) Example of SRESW realisation . 112
Annex K (informative) Numerical representation of Figure 12 .116
Annex L (informative) Electromagnetic interference (EMI) immunity . 121
Annex M (informative) Additional information for safety requirements specification (SRS) . 125
Annex N (informative) Avoiding systematic failure in software design . 127
Annex O (informative) Safety-related values of components or parts of control systems . 146
Annex ZA (informative) Relationship between this European Standard and the essential
requirements of EU Directive 2006/42/EC aimed to be covered . 149
Bibliography . 151
v
© ISO 2022 – All rights reserved
---------------------- Page: 5 ----------------------
ISO/FDIS 13849-1:2022(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 199, Safety of machinery, in collaboration
with the European Committee for Standardization (CEN) Technical Committee CEN/TC 144, Safety of
machinery, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This fourth edition cancels and replaces the third edition (ISO 13849-1:2015), which has been
technically revised.
The main changes are as follows:
— the whole document was reorganized to better follow the design and development process for
control systems;
— new Clause 4 on recommendation for risk assessment;
— specification of the safety functions (updated Clause 5);
— combination of several subsystems (updated in Clause 6);
— new Clause 7 on software safety requirements;
— new Clause 9 on ergonomic aspects of design;
— validation (updated Clause 8 and moved to Clause 10);
— new G.5 on management of the functional safety;
— new Annex L on electromagnetic interference (EMI) immunity;
— new Annex M with additional information for safety requirements specification;
— new Annex N on fault-avoiding measures for the design of safety related software;
— new Annex O with safety-related values of components or parts of the control systems.
vi
© ISO 2022 – All rights reserved
---------------------- Page: 6 ----------------------
ISO/FDIS 13849-1:2022(E)
A list of all parts in the ISO 13849 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
vii
© ISO 2022 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/FDIS 13849-1:2022(E)
Introduction
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects
that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature,
noise);
— type-B2 standards on safeguards (e.g. two-hand controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B1 standard as defined in ISO 12100:2010.
The first edition of this document was published in 1999 based on EN 954-1:1996 (withdrawn standard).
The second edition was revised in 2006 and the third edition was revised in 2015.
This document is of relevance, in particular for the following stakeholder groups with regard to
machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance).
Others can be affected by the level of machinery safety achieved with the means of the document:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions);
— service providers, e.g. for maintenance (small, medium and large enterprises);
— consumers (i.e. machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate in the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards, as
defined in ISO 12100:2010.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and
built according to the requirements of that standard, the requirements of that type-C standard take
precedence.
NOTE 1 The examples and basis for most content is based on stationary machines in factory applications.
However, other machines are not excluded. This document was written without considering if certain machinery
(e.g. mobile machinery) has specific requirements. However, this document is intended to be used across many
machinery industries and as a basis for type-C standards developers, as far as applicable.
This document is intended to give guidance to those involved in the design and assessment of control
systems, and those preparing type-B2 or type-C standards.
Risk reduction according to ISO 12100:2010, Clause 6, is accomplished by applying, in the following
sequence, inherently safe design measures, safeguarding and/or complementary risk reduction
viii
© ISO 2022 – All rights reserved
---------------------- Page: 8 ----------------------
ISO/FDIS 13849-1:2022(E)
measures and information for use. A designer can reduce risks by risk reduction measures that can
have safety functions. Parts of machinery control systems that are assigned to provide safety functions
are called safety-related parts of control systems (SRP/CS). These can consist of hardware or a
combination of hardware and software and can either be separate from the machine control system
or an integral part of it. In addition to implementing safety functions, SRP/CS can also implement
operational functions.
ISO 12100:2010 is used for risk assessment of the machine. Annex A of this document can be used for
the determination of the required performance level (PL ) of a safety function performed by the SRP/
r
CS, where its PL is not specified in the applicable type-C standard. This document is relevant for the
r
SRP/CS safety functions that are used to address risks for cases where a risk assessment conducted
according to ISO 12100:2010 determines that a risk reduction measure is needed that relies on a safety
function (e.g. interlocking guard). In those cases, the safety-related control system performs a safety
function. This document is intended to be used to design and evaluate the SRP/CS. Only the part of the
control system that is safety-related falls under the scope of this
...
PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 13849-1
ISO/TC 199
Sécurité des machines — Parties des
Secrétariat: DIN
systèmes de commande relatives à la
Début de vote:
2022-12-08 sécurité —
Vote clos le:
Partie 1:
2023-02-02
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
TRAITEMENT PARALLÈLE ISO/CEN
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSER-
VATIONS, NOTIFICATION DES DROITS DE PRO-
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT
CONNAISSANCE ET À FOURNIR UNE DOCUMEN-
TATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE
ISO/FDIS 13849-1:2022(F)
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
TION NATIONALE. © ISO 2022
---------------------- Page: 1 ----------------------
ISO/FDIS 13849-1:2022(F)
PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 13849-1
ISO/TC 199
Sécurité des machines — Parties des
Secrétariat: DIN
systèmes de commande relatives à la
Début de vote:
2022-12-08 sécurité —
Vote clos le:
Partie 1:
2023-02-02
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
TRAITEMENT PARALLÈLE ISO/CEN
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
LES DESTINATAIRES DU PRÉSENT PROJET SONT
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
INVITÉS À PRÉSENTER, AVEC LEURS OBSER-
VATIONS, NOTIFICATION DES DROITS DE PRO-
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT
ISO copyright office
CONNAISSANCE ET À FOURNIR UNE DOCUMEN-
TATION EXPLICATIVE.
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
Tél.: +41 22 749 01 11
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
E-mail: copyright@iso.org
MERCIALES, AINSI QUE DU POINT DE VUE
ISO/FDIS 13849-1:2022(F)
Web: www.iso.org
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
Publié en Suisse
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
ii
© ISO 2022 – Tous droits réservés
TION NATIONALE. © ISO 2022
---------------------- Page: 2 ----------------------
ISO/FDIS 13849-1:2022(F)
Sommaire Page
Avant-propos . vi
Introduction .viii
1 Domaine d'application .1
2 Références normatives .1
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations . 11
4 Présentation .13
4.1 Processus d'appréciation et de réduction du risque de la machine .13
4.2 Contribution à la réduction du risque . 15
4.3 Processus de conception d'une SRP/CS . 15
4.4 Méthodologie . . 17
4.5 Informations requises . 17
4.6 Réalisation de la fonction de sécurité en utilisant les sous-systèmes . 18
5 Spécification des fonctions de sécurité .18
5.1 Identification et description générale de la fonction de sécurité . 18
5.2 Spécification des exigences de sécurité . 19
5.2.1 Exigences générales . 19
5.2.2 Exigences relatives aux fonctions de sécurité spécifiques .22
5.2.3 Réduction le plus possible de l'incitation à neutraliser les fonctions de
sécurité .26
5.2.4 Accès à distance . 27
5.3 Détermination du niveau de performance requis (PL ) pour chaque fonction de
r
sécurité . 27
5.4 Examen de la spécification des exigences de sécurité (SRS) .28
5.5 Décomposition de la SRP/CS en sous-systèmes .28
6 Considérations relatives à la conception .30
6.1 Évaluation du niveau de performance atteint .30
6.1.1 Présentation générale du niveau de performance .30
6.1.2 Corrélation entre le niveau de performance (PL) et le niveau d'intégrité de
sécurité (SIL) . 31
6.1.3 Architecture — Catégories et leur relation aux MTTF de chaque canal,
D
couverture du diagnostic moyenne et défaillance de cause commune (CCF) . 32
6.1.4 Temps moyen avant défaillance dangereuse (MTTF ) .39
D
6.1.5 Couverture du diagnostic (DC).40
6.1.6 Défaillances de cause commune (CCF) . 41
6.1.7 Défaillances systématiques . 41
6.1.8 Procédures simplifiées pour estimer le niveau de performance de sous-
systèmes . 41
6.1.9 Autre procédure pour déterminer le niveau de performance et la PFH sans
MTTF . 43
D
6.1.10 Prise en compte et exclusion des défauts . 45
6.1.11 Composant éprouvé .46
6.2 Combinaison des sous-systèmes pour atteindre un niveau de performance global
de la fonction de sécurité .46
6.2.1 Généralités .46
6.2.2 Valeurs PFH connues . 47
6.2.3 Valeurs PFH inconnues . 47
6.3 Paramétrage manuel lié au logiciel .48
6.3.1 Généralités .48
6.3.2 Influences sur les paramètres relatifs à la sécurité .48
6.3.3 Exigences relatives au paramétrage manuel lié au logiciel .49
iii
© ISO 2022 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO/FDIS 13849-1:2022(F)
6.3.4 Vérification de l'outil de paramétrage.50
6.3.5 Documentation de paramétrage manuel lié au logiciel .50
7 Exigences concernant les logiciels .51
7.1 Généralités . 51
7.2 Langage de variabilité limitée (LVL) et langage de variabilité totale (FVL) . 52
7.2.1 Langage de variabilité limitée (LVL) . 52
7.2.2 Langage de variabilité totale (FVL) . 52
7.2.3 Décision pour le langage de variabilité limitée (LVL) ou le langage de
variabilité totale (FVL) .53
7.3 Logiciel intégré relatif à la sécurité (SRESW) . 55
7.3.1 Conception du logiciel intégré relatif à la sécurité (SRESW) .55
7.3.2 Autres procédures pour le logiciel intégré non accessible .56
7.4 Logiciel applicatif relatif à la sécurité (SRASW) .56
8 Vérification du niveau de performance atteint .59
9 Aspects ergonomiques de la conception .60
10 Validation . .60
10.1 Principes de validation .60
10.1.1 Généralités .60
10.1.2 Plan de validation . 62
10.1.3 Listes des défauts génériques .63
10.1.4 Listes des défauts spécifiques .63
10.1.5 Informations pour la validation .63
10.2 Validation de la spécification des exigences de sécurité (SRS) .64
10.3 Validation par analyse .65
10.3.1 Généralités .65
10.3.2 Techniques d'analyse .65
10.4 Validation par essais .66
10.4.1 Généralités .66
10.4.2 Exactitude des mesures .66
10.4.3 Exigences supplémentaires relatives aux essais . 67
10.4.4 Nombre d'échantillons . 67
10.4.5 Méthodes d'essai . 67
10.5 Validation des fonctions de sécurité .68
10.6 Validation de l'intégrité de sécurité de la SRP/CS .68
10.6.1 Validation du (des) sous-système(s) .68
10.6.2 Validation des mesures prises contre les défaillances systématiques . 70
10.6.3 Validation du logiciel relatif à la sécurité . 70
10.6.4 Validation de la combinaison des sous-systèmes . 71
10.6.5 Validation globale de l'intégrité de sécurité . 71
10.7 Validation des exigences d'environnement .72
10.8 Rapport de validation .72
10.9 Validation des exigences de maintenance .72
11 Maintenabilité des SRP/CS . .73
12 Documentation technique .73
13 Informations pour l'utilisation .74
13.1 Généralités .74
13.2 Informations relatives à l'intégration de SRP/CS .74
13.3 Informations destinées à l'utilisateur . 75
Annexe A (informative) Lignes directrices pour la détermination du niveau de performance
requis (PL ) .77
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité .82
Annexe C (informative) Calcul ou évaluation des valeurs MTTF pour des composants
D
uniques .84
iv
© ISO 2022 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/FDIS 13849-1:2022(F)
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal .93
D
Annexe E (informative) Estimations pour la couverture du diagnostic (DC) des fonctions et
des sous-systèmes .95
Annexe F (informative) Méthode de quantification des mesures contre les défaillances de
cause commune (CCF) .99
Annexe G (informative) Défaillance systématique . 103
Annexe H (informative) Exemple d'une combinaison de plusieurs sous-systèmes. 107
Annexe I (informative) Exemples de procédure simplifiée pour estimer le PL de sous-
systèmes .110
Annexe J (informative) Exemple d'élaboration de SRESW .119
Annexe K (informative) Représentation numérique de la Figure 12.124
Annexe L (informative) Immunité IEM . 129
Annexe M (informative) Informations supplémentaires pour la spécification des exigences
de sécurité (SRS) . 133
Annexe N (informative) Évitement des défaillances systématiques lors de la conception
logicielle . 135
Annexe O (informative) Valeurs relatives à la sécurité de composants ou de parties de
systèmes de commande . 159
Annexe ZA (informative) Relation entre la présente Norme européenne et les exigences
essentielles de la Directive UE 2006/42/CE destinées à être couvertes . 162
Bibliographie . 164
v
© ISO 2022 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO/FDIS 13849-1:2022(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/avant-propos.html.
Le présent document a été élaboré par le Comité technique ISO/TC 199, Sécurité des machines, en
collaboration avec le Comité technique CEN/TC 144 du Comité européen de normalisation (CEN),
Sécurité des machines, conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord
de Vienne).
Cette quatrième édition annule et remplace la troisième édition (ISO 13849-1:2015), qui a fait l'objet
d'une révision technique.
Les principales modifications sont les suivantes:
— l'ensemble du document a été réorganisé pour mieux suivre le processus de conception et de
développement des systèmes de commande;
— nouvel Article 4 sur une recommandation d'appréciation du risque;
— spécification des fonctions de sécurité (Article 5 mis à jour);
— combinaison de plusieurs sous-systèmes (Article 6 mis à jour);
— nouvel Article 7 sur les exigences de sécurité logicielle;
— nouvel Article 9 sur les aspects ergonomiques de la conception;
— validation (Article 8 mis à jour et transfert à l'Article 10);
— nouveau G.5 sur la gestion de la sécurité fonctionnelle;
— nouvelle Annexe L sur l'immunité aux interférences électromagnétiques (IEM);
vi
© ISO 2022 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO/FDIS 13849-1:2022(F)
— nouvelle Annexe M contenant des informations complémentaires sur la spécification des exigences
de sécurité;
— nouvelle Annexe N sur les mesures de prévention des pannes pour la conception de logiciels relatifs
à la sécurité;
— nouvelle Annexe O avec valeurs relatives à la sécurité de composants ou de parties des systèmes de
commande.
Une liste de toutes les parties de la série ISO 13849 se trouve sur le site web de l'ISO.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www.iso.org/members.html.
vii
© ISO 2022 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/FDIS 13849-1:2022(F)
Introduction
La structure des normes de sécurité dans le domaine des machines est la suivante.
a) Normes de type A (normes fondamentales de sécurité), précisant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines.
b) Normes de type B (normes génériques de sécurité), traitant d'un ou de plusieurs aspect(s) de la
sécurité, ou d'un ou de plusieurs type(s) de protection qui peut ou peuvent être utilisé(s) pour une
large gamme de machines:
— normes de type B1, traitant d'aspects particuliers de la sécurité (par exemple, distances de
sécurité, température de surface, bruit);
— normes de type B2, traitant de moyens de protection (par exemple, commandes bimanuelles,
dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).
c) normes de type C (normes de sécurité des machines), traitant des exigences de sécurité détaillées
pour une machine particulière ou un groupe de machines.
Le présent document est une norme de type B1 tel que défini dans l'ISO 12100:2010.
La première édition du présent document a été publiée en 1999 sur la base de l'EN 954-1:1996 (norme
annulée). La deuxième édition a été révisée en 2006, et la troisième édition a été révisée en 2015.
Le présent document est pertinent, en particulier, pour les groupes de parties prenantes suivants, dans
le domaine de la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché).
D'autres personnes peuvent être concernées par le niveau de sécurité des machines obtenu au moyen
du présent document:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/salariés (par exemple, syndicats);
— prestataires de services, par exemple, sociétés de maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (c'est-à-dire, dans le cas de machines destinées à être utilisées par des
consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de parti
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.