ISO 13849-1:2015 - Safety of machinery - Safety-related parts of

Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

ISO 13849-1:2015 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS for high demand and continuous mode, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used. NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856‑1 and ISO 13856‑2. NOTE 2 For the definition of required performance level, see 3.1.24. NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are compatible with the methodology for the design and development of safety-related electrical, electronic and programmable electronic control systems for machinery given in IEC 62061. NOTE 4 For safety-related embedded software for components with PLr = e, see IEC 61508?3:1998, Clause 7.

Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception

La présente partie de l'ISO 13849 fournit des exigences de sécurité et des conseils relatifs aux principes de conception et d'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau de performance requis, pour réaliser ces fonctions de sécurité. Elle s'applique aux SRP/CS pour le mode de demande élevée et le mode continu, indépendamment du type de technologie et d'énergie utilisé (électrique, hydraulique, pneumatique mécanique, etc.), quelques soient les machines. Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés dans un cas particulier. La présente partie de l'ISO 13849 fournit des exigences spécifiques pour les SRP/CS utilisant un (des) système(s) électronique(s) programmable(s). Elle ne donne pas d'exigences spécifiques pour la conception de composants intégrés dans les SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance, peuvent être utilisés. NOTE 1 Exemples de composants intégrés dans les SRP/CS: relais, distributeur solénoïde, interrupteur de position, PLC, unité de commande de moteurs, dispositifs de commande bimanuelle, dispositifs de protection électrosensibles. Pour la conception de tels composants, il est recommandé de se référer aux normes spécifiques, par exemple l'ISO 13851, l'ISO 13856‑1 et l'ISO 13856‑2. NOTE 2 Pour la définition du niveau de performance requis, voir 3.1.24. NOTE 3 Les exigences fournies dans la présente partie de l'ISO 13849 pour les systèmes électroniques programmables sont compatibles avec la méthodologie pour la conception et le développement des systèmes, pour les machines, de commande électriques, électroniques et électroniques programmables relatifs à la sécurité donnés dans la IEC 61061. NOTE 4 Pour le logiciel embarqué relatif à la sécurité pour des composants de PLr = e, voir la IEC 61508-3:1998, Article 7.

General Information

Status

Withdrawn

Publication Date

03-Dec-2015

ICS

13.110 - Safety of machinery

Technical Committee

ISO/TC 199 - Safety of machinery

Drafting Committee

ISO/TC 199 - Safety of machinery

Current Stage

9599 - Withdrawal of International Standard

Start Date

26-Apr-2023

Completion Date

13-Dec-2025

Ref Project

Relations

Consolidates

ISO 12742:2007 - Copper, lead, and zinc sulfide concentrates - Determination of transportable moisture limits - Flow-table method

Effective Date

06-Jun-2022

Revised

ISO 13849-1:2023 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

Effective Date

25-Mar-2017

Revises

ISO 13849-1:2006/FDAmd 1 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design - Amendment 1

Effective Date

05-Nov-2015

Revises

ISO 13849-1:2006 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

Effective Date

04-Nov-2015

ISO 13849-1:2015 - Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Released:12/4/2015

Standard

ISO 13849-1:2015 - Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design Released:12/4/2015

English language

86 pages

sale 15% off

Preview

sale 15% off

Preview

ISO 13849-1:2015 - Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception
Released:12/4/2015

Standard

ISO 13849-1:2015 - Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception Released:12/4/2015

French language

94 pages

sale 15% off

Preview

sale 15% off

Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 13849-1
Third edition
2015-12-15
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
©
ISO 2015
© ISO 2015, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2015 – All rights reserved

Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms. 7
4 Design considerations . 9
4.1 Safety objectives in design . 9
4.2 Strategy for risk reduction .11
4.2.1 General.11
4.2.2 Contribution to the risk reduction by the control system .11
4.3 Determination of required performance level (PL ) .13
r
4.4 Design of SRP/CS.14
4.5 Evaluation of the achieved performance level PL and relationship with SIL .15
4.5.1 Performance level PL .15
4.5.2 Mean time to dangerous failure of each channel (MTTF ) .16
D
4.5.3 Diagnostic coverage (DC) .17
4.5.4 Simplified procedure for estimating the quantifiable aspects of PL .17
4.5.5 Description of the output part of the SRP/CS by category .19
4.6 Software safety requirements .20
4.6.1 General.20
4.6.2 Safety-related embedded software (SRESW) .21
4.6.3 Safety-related application software (SRASW) .22
4.6.4 Software-based parameterization .24
4.7 Verification that achieved PL meets PL .
r 25
4.8 Ergonomic aspects of design .26
5 Safety functions .26
5.1 Specification of safety functions .26
5.2 Details of safety functions .28
5.2.1 Safety-related stop function .28
5.2.2 Manual reset function .29
5.2.3 Start/restart function .29
5.2.4 Local control function.30
5.2.5 Muting function . .30
5.2.6 Response time .30
5.2.7 Safety–related parameters .30
5.2.8 Fluctuations, loss and restoration of power sources .30
6 Categories and their relation to MTTF of each channel, DC and CCF .31
D avg
6.1 General .31
6.2 Specifications of categories .31
6.2.1 General.31
6.2.2 Designated architectures .32
6.2.3 Category B.32
6.2.4 Category 1 .33
6.2.5 Category 2 .34
6.2.6 Category 3 .35
6.2.7 Category 4 .36
6.3 Combination of SRP/CS to achieve overall PL .38
7 Fault consideration, fault exclusion.40
7.1 General .40
7.2 Fault consideration .40
7.3 Fault exclusion .40
8 Validation .40
9 Maintenance .40
10 Technical documentation .41
11 Information for use .41
Annex A (informative) Determination of required performance level (PL ) .43
r
Annex B (informative) Block method and safety-related block diagram .47
Annex C (informative) Calculating or evaluating MTTF values for single components .49
D
Annex D (informative) Simplified method for estimating MTTF for each channel .56
D
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and modules .58
Annex F (informative) Estimates for common cause failure (CCF) .61
Annex G (informative) Systematic failure.63
Annex H (informative) Example of combination of several safety-related partsof the
control system .66
Annex I (informative) Examples .69
Annex J (informative) Software .76
Annex K (informative) Numerical representation of Figure 5 .79
Bibliography .84
iv © ISO 2015 – All rights reserved

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical
Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 199, Safety of machinery.
This third edition cancels and replaces the second edition (ISO 13849-1:2006), which has been
technically revised. It also incorporates Technical Corrigendum ISO 13849-1:2006/Cor 1:2009. Changes
from the previous edition include
— deletion of the former Table 1 from the Introduction,
— updating and addition of normative references,
— modification of the definitions of terms hazardous situation and high demand or continuous mode,
— addition of a new term and definition, proven in use,
— editorial, but not technical, modification of Figure 1,
— a new subclause, 4.5.5, as well as modifications to existing sections including the annexes, substantial
modification of Annex C and an entirely new Annex I.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related
parts of control systems:
— Part 1: General principles for design
— Part 2: Validation
Introduction
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects
that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This part of ISO 13849 is a type-B-1 standard as stated in ISO 12100.
This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.).
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e. g. for maintenance (small, medium and large enterprises);
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed
and built according to the requirements of that standard, the requirements of that type-C standard
take precedence.
When provisions of a type-C standard are different from those which are stated in type-A or type-B
standards, the provisions of the type-C standard take precedence over the provisions of the other
standards for machines that have been designed and built according to the provisions of the type-C
standard.
This part of ISO 13849 is intended to give guidance to those involved in the design and assessment
of control systems, and to Technical Committees preparing type-B2 or type-C standards which are
presumed to comply with the Essential Safety Requirements of Annex I of the Directive 2006/42/EC on
machinery. It does not give specific guidance for compliance with other EC directives.
As part of the overall risk reduction strategy at a machine, a designer will often choose to achieve some
measure of risk reduction through the application of safeguards employing one or more safety functions.
vi © ISO 2015 – All rights reserved

Parts of machinery control systems that are assigned to provide safety functions are called safety-
related parts of control systems (SRP/CS) and these can consist of hardware and software and can
either be separate from the machine control system or an integral part of it. In addition to providing
safety functions, SRP/CS can also provide operational functions (e.g. two-handed controls as a means of
process initiation).
The ability of safety-related parts of control systems to perform a safety function under foreseeable
conditions is allocated one of five levels, called performance levels (PL). These performance levels are
defined in terms of probability of dangerous failure per hour (see Table 2).
The probability of dangerous failure of the safety function depends on several factors, including
hardware and software structure, the extent of fault detection mechanisms [diagnostic coverage (DC)],
reliability of components [mean time to dangerous failure (MTTF ), common cause failure (CCF)],
D
design process, operating stress, environmental conditions and operation procedures.
In order to assist the designer and facilitate the assessment of achieved PL, this document employs
a methodology based on the categorization of structures according to specific design criteria and
specified behaviours under fault conditions. These categories are allocated one of five levels, termed
Categories B, 1, 2, 3 and 4.
The performance levels and categories can be applied to safety-related parts of control systems, such as
— protective devices (e.g. two-hand control devices, interlocking devices), electro-sensitive protective
devices (e.g. photoelectric barriers), pressure sensitive devices,
— control units (e.g. a logic unit for control functions, data processing, monitoring, etc.), and
— power control elements (e.g. relays, valves, etc.),
as well as to control systems carrying out safety functions at all kinds of machinery — from simple (e.g.
small kitchen machines, or automatic doors and gates) to manufacturing installations (e.g. packaging
machines, printing machines, presses).
This part of ISO 13849 is intended to provide a clear basis upon which the design and performance of
any application of the SRP/CS (and the machine) can be assessed, for example, by a third party, in-house
or by an independent test house.
Information on the recommended application of IEC 62061 and this part of ISO 13849
IEC 62061 and this part of ISO 13849 specify requirements for the design and implementation of safety-
related control systems of machinery. The use of either of these International Standards, in accordance
with their scopes, can be presumed to fulfil the relevant essential safety requirements. ISO/TR 23849
gives guidance on the application of this part of ISO 13849 and IEC 62061 in the design of safety-related
control systems for machinery.
As with ISO/TR 23849, ISO/TR 22100-2 has been added to the list of normative references given in
Clause 2 — the latter owing to its importance for an understanding of the relationship between this
part of ISO 13849 and ISO 12100.
INTERNATIONAL STANDARD ISO 13849-1:2015(E)
Safety of machinery — Safety-related parts of control
systems —
Part 1:
General principles for design
1 Scope
This part of ISO 13849 provides safety requirements and guidance on the principles for the design
and integration of safety-related parts of control systems (SRP/CS), including the design of software.
For these parts of SRP/CS, it specifies characteristics that include the performance level required for
carrying out safety functions. It applies to SRP/CS for high demand and continuous mode, regardless of
the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds
of machinery.
It does not specify the safety functions or performance levels that are to be used in a particular case.
This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic
system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless,
the principles given, such as categories or performance levels, can be used.
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs,
motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products,
it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856-1 and
ISO 13856-2.
NOTE 2 For the definition of required performance level, see 3.1.24.
NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are
compatible with the methodology for the design and development of safety-related electrical, electronic and
programmable electronic control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PL = e, see IEC 61508–3:1998, Clause 7.
r
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-2:2012, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
IEC 60050-191:1990, International electrotechnical vocabulary — Chapter 191: Dependability and quality
of service. Amended by IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999
IEC 61508-3:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 3: Software requirements. Corrected by IEC 61508-3/Cor.1:1999
IEC 61508-4:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations. Corrected by IEC 61508-4/Cor.1:1999
IEC 62061:2012, Safety of machinery — Functional safety of safety–related electrical, electronic and
programmable electronic control systems
ISO/TR 22100-2:2013, Safety of machinery — Relationship with ISO 12100 — Part 2: How ISO 12100
relates to ISO 13849-1
ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related
control systems for machinery
3 Terms, definitions, symbols and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100 and IEC 60050-191 and
the following apply.
3.1.1
safety–related part of a control system
SRP/CS
part of a control system that responds to safety-related input signals and generates safety-related
output signals
Note 1 to entry: The combined safety-related parts of a control system start at the point where the safety-related
input signals are initiated (including, for example, the actuating cam and the roller of the position switch) and
end at the output of the power control elements (including, for example, the main contacts of a contactor).
Note 2 to entry: If monitoring systems are used for diagnostics, they are also considered as SRP/CS.
3.1.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and
their subsequent behaviour in the fault condition, and which is achieved by the structural arrangement
of the parts, fault detection and/or by their reliability
3.1.3
fault
state of an item characterized by the inability to perform a required function, excluding the inability
during preventive maintenance or other planned actions, or due to lack of external resources
Note 1 to entry: A fault is often the result of a failure of the item itself, but may exist without prior failure.
Note 2 to entry: In this part of ISO 13849, “fault” means random fault.
[SOURCE: IEC 60050-191:1990, 05-01.]
3.1.4
failure
termination of the ability of an item to perform a required function
Note 1 to entry: After a failure, the item has a fault.
Note 2 to entry: “Failure” is an event, as distinguished from “fault”, which is a state.
Note 3 to entry: The concept as defined does not apply to items consisting of software only.
Note 4 to entry: Failures which only affect the availability of the process under control are outside of the scope of
this part of ISO 13849.
[SOURCE: IEC 60050–191:1990, 04-01.]
2 © ISO 2015 – All rights reserved

3.1.5
dangerous failure
failure which has the potential to put the SRP/CS in a hazardous or fail-to-function state
Note 1 to entry: Whether or not the potential is realized can depend on the channel architecture of the system;
in redundant systems a dangerous hardware failure is less likely to lead to the overall dangerous or fail-to-
function state.
Note 2 to entry: [SOURCE: IEC 61508–4, 3.6.7, modified.]
3.1.6
common cause failure
CCF
failures of different items, resulting from a single event, where these failures are not consequences
of each other
Note 1 to entry: Common cause failures should not be confused with common mode failures (see
ISO 12100:2010, 3.36).
[SOURCE: IEC 60050-191-am1:1999, 04-23.]
3.1.7
systematic failure
failure related in a deterministic way to a certain cause, which can only be eliminated by a modification
of the design or of the manufacturing process, operational procedures, documentation or other
relevant factors
Note 1 to entry: Corrective maintenance without modification will usually not eliminate the failure cause.
Note 2 to entry: A systematic failure can be induced by simulating the failure cause.
Note 3 to entry: Examples of causes of systematic failures include human error in
—  the safety requirements specification,
—  the design, manufacture, installation, operation of the hardware, and
—  the design, implementation, etc., of the software.
[SOURCE: IEC 60050-191:1990, 04-19.]
3.1.8
muting
temporary automatic suspension of a safety function(s) by the SRP/CS
3.1.9
manual reset
function within the SRP/CS used to restore manually one or more safety functions before re-
starting a machine
3.1.10
harm
physical injury or damage to health
[SOURCE: ISO 12100:2010, 3.5.]
3.1.11
hazard
potential source of harm
Note 1 to entry: A hazard can be qualified in order to define its origin (e.g. mechanical hazard, electrical hazard)
or the nature of the potential harm (e.g. electric shock hazard, cutting hazard, toxic hazard, fire hazard).
Note 2 to entry: The hazard envisaged in this definition:
—  either is permanently present during the intended use of the machine (e.g. motion of hazardous moving
elements, electric arc during a welding phase, unhealthy posture, noise emission, high temperature);
—  or may appear unexpectedly (e.g. explosion, crushing hazard as a consequence of an unintended/unexpected
start-up, ejection as a consequence of a breakage, fall as a consequence of acceleration/deceleration).
[SOURCE: ISO 12100:2010, 3.6, modified.]
3.1.12
hazardous situation
circumstance in which a person is exposed to at least one hazard
Note 1 to entry: The exposure can result in harm immediately or over a period of time.
[SOURCE: ISO 12100:2010, 3.10.]
3.1.13
risk
combination of the probability of occurrence of harm and the severity of that harm
[SOURCE: ISO 12100:2010, 3.12.]
3.1.14
residual risk
risk remaining after protective measures have been taken
Note 1 to entry: See Figure 2.
[SOURCE: ISO 12100:2010, 3.13, modified.]
3.1.15
risk assessment
overall process comprising risk analysis and risk evaluation
[SOURCE: ISO 12100:2010, 3.17.]
3.1.16
risk analysis
combination of the specification of the limits of the machine, hazard identification and risk estimation
[SOURCE: ISO 12100:2010, 3.15.]
3.1.17
risk evaluation
judgement, on the basis of risk analysis, of whether risk reduction objectives have been achieved
[SOURCE: ISO 12100:2010, 3.16.]
3.1.18
intended use of a machine
use of the machine in accordance with the information provided in the instructions for use
[SOURCE: ISO 12100:2010, 3.23.]
3.1.19
reasonably foreseeable misuse
use of a machine in a way not intended by the designer, but which may result from readily predictable
human behaviour
[SOURCE: ISO 12100:2010, 3.24.]
4 © ISO 2015 – All rights reserved

3.1.20
safety function
function of the machine whose failure can result in an immediate increase of the risk(s)
[SOURCE: ISO 12100:2010, 3.30.]
3.1.21
monitoring
safety function which ensures that a protective measure is initiated if the ability of a component or an
element to perform its function is diminished or if the process conditions are changed in such a way
that a decrease of the amount of risk reduction is generated
3.1.22
programmable electronic system
PES
system for control, protection or monitoring dependent for its operation on one or more programmable
electronic devices, including all elements of the system such as power supplies, sensors and other input
devices, contactors and other output devices
[SOURCE: IEC 61508-4:1998, 3.3.2, modified.]
3.1.23
performance level
PL
discrete level used to specify the ability of safety-related parts of control systems to perform a safety
function under foreseeable conditions
Note 1 to entry: See 4.5.1.
3.1.24
required performance level
PL
r
performance level (PL) applied in order to achieve the required risk reduction for each safety function
Note 1 to entry: See Figures 2 and A.1.
3.1.25
mean time to dangerous failure
MTTF
D
expectation of the mean time to dangerous failure
[SOURCE: IEC 62061:2005, 3.2.34, modified.]
3.1.26
diagnostic coverage
DC
measure of the effectiveness of diagnostics, which may be determined as the ratio between the failure
rate of detected dangerous failures and the failure rate of total dangerous failures
Note 1 to entry: Diagnostic coverage can exist for the whole or parts of a safety-related system. For example,
diagnostic coverage could exist for sensors and/or logic system and/or final elements.
[SOURCE: IEC 61508-4:1998, 3.8.6, modified.]
3.1.27
protective measure
measure intended to achieve risk reduction
EXAMPLE 1 Implemented by the designer: inherent design, safeguarding and complementary protective
measures, information for use.
EXAMPLE 2 Implemented by the user: organization (safe working procedures, supervision, permit-to-work
systems), provision and use of additional safeguards, personal protective equipment, training.
[SOURCE: ISO 12100:2010, 3.19, modified.]
3.1.28
mission time
T
M
period of time covering the intended use of an SRP/CS
3.1.29
test rate
r
t
frequency of automatic tests to detect faults in a SRP/CS, reciprocal value of diagnostic test interval
3.1.30
demand rate
r
D
frequency of demands for a safety-related action of the SRP/CS
3.1.31
repair rate
r
r
reciprocal value of the period of time between detection of a dangerous failure by either an
online test or obvious malfunction of the system and the restart of operation after repair or
system/component replacement
Note 1 to entry: The repair time does not include the span of time needed for failure-detection.
3.1.32
machine control system
system which responds to input signals from parts of machine elements, operators, external control
equipment or any combination of these and generates output signals causing the machine to behave in
the intended manner
Note 1 to entry: The machine control system can use any technology or any combination of different technologies
(e.g. electrical/electronic, hydraulic, pneumatic, mechanical).
3.1.33
safety integrity level
SIL
discrete level (one out of a possible four) for specifying the safety integrity requirements of the safety
functions to be allocated to the E/E/PE safety-related systems, where safety integrity level 4 has the
highest level of safety integrity and safety integrity level 1 has the lowest
[SOURCE: IEC 61508-4:1998, 3.5.6.]
3.1.34
limited variability language
LVL
type of language that provides the capability of combining predefined, application-specific library
functions to implement the safety requirements specifications
Note 1 to entry: Typical examples of LVL (ladder logic, function block diagram) are given in IEC 61131–3.
Note 2 to entry: A typical example of a system using LVL: PLC.
[SOURCE: IEC 61511-1:2003, 3.2.80.1.2, modified.]
6 © ISO 2015 – All rights reserved

3.1.35
full variability language
FVL
type of language that provides the capability of implementing a wide variety of functions and applications
EXAMPLE C, C++, Assembler.
Note 1 to entry: A typical example of systems using FVL: embedded systems.
Note 2 to entry: In the field of machinery, FVL is found in embedded software and rarely in application software.
[SOURCE: IEC 61511-1:2003, 3.2.80.1.3, modified.]
3.1.36
application software
software specific to the application, implemented by the machine manufacturer, and generally
containing logic sequences, limits and expressions that control the appropriate inputs, outputs,
calculations and decisions necessary to meet the SRP/CS requirements
3.1.37
embedded software
firmware
system software
software that is part of the system supplied by the control manufacturer and which is not accessible for
modification by the user of the machinery
Note 1 to entry: Embedded software is usually written in FVL.
3.1.38
high demand or continuous mode
mode of operation in which the frequency of demands on a SRP/CS is greater than one per year or the
safety related control function retains the machine in a safe state as part of normal operation
[SOURCE: IEC 62061:2012, 3.2.27, modified.]
3.1.39
proven in use
demonstration, based on an analysis of operational experience for a specific configuration of an
element, that the likelihood of dangerous systematic faults is low enough so that every safety function
that uses the element achieves its required performance level (PL )
r
[SOURCE: IEC 61508-4:2010, 3.8.18, modified.]
3.2 Symbols and abbreviated terms
See Table 1.
Table 1 — Symbols and abbreviated terms
Symbol or ab- Definition or occur-
Description
breviation rence
a, b, c, d, e Denotation of performance levels Table 3
AOPD Active optoelectronic protective device (e.g. light barrier) Annex H
B, 1, 2, 3, 4 Denotation of categories Table 7
B Number of cycles until 10 % of the components fail dangerously (for Annex C
10D
pneumatic and electromechanical components)
Cat. Category 3.1.2
CC Current converter Annex I
CCF Common cause failure 3.1.6
DC Diagnostic coverage 3.1.26
DC Average diagnostic coverage E.2
avg
F, F1, F2 Frequency and/or time of exposure to the hazard A.2.2
FB Function block 4.6.3
FVL Full variability language 3.1.35
FMEA Failure modes and effects analysis 7.2
I, I1, I2 Input device, e.g. sensor 6.2
i, j Index for counting Annex D
I/O Inputs/outputs Table E.1
i , i Interconnecting means Figure 4
ab bc
K1A, K1B Contactors Annex I
L, L1, L2 Logic 6.2
LVL Limited variability language 3.1.34
M Motor Annex I
MTTF Mean time to failure Annex C
MTTF Mean time to dangerous failure 3.1.25
D
Number of items 6.3, D.1

n, N, N
N Number of SRP/CS with PL in a combination of SRP/CS 6.3
low low
n Mean number of annual operations Annex C
op
O, O1, O , OTE Output device, e.g. actuator 6.2
P, P1, P2 Possibility of avoiding the hazard A.2.3
PES Programmable electronic system 3.1.22
PFH average probability of dangerous failure per hour Table 3 and Table K.1
D
PL Performance level 3.1.23
PLC Programmable logic controller Annex I
PL Lowest performance level of a SRP/CS in a combination of SRP/CS 6.3
low
PL Required performance level 3.1.24
r
r Demand rate 3.1.30
D
r Test rate 3.1.29
t
RS Rotation sensor Annex I
S, S1, S2 Severity of injury A.2.1
SW1A, SW1B, SW2 Position switches Annex I
8 © ISO 2015 – All rights reserved

Table 1 (continued)
Symbol or ab- Definition or occur-
Description
breviation rence
SIL Safety integrity level Table 4
SRASW Safety-related application software 4.6.3
SRESW Safety-related embedded software 4.6.2
SRP Safety-related part General
SRP/CS Safety-related part of a control system 3.1.1
TE Test equipment 6.2
T Mission time 3.1.28
M
T Mean time until 10 % of the components fail dangerously Annex C
10D
4 Design considerations
4.1 Safety objectives in design
The SRP/CS shall be designed and constructed so that the principles of ISO 12100 are fully taken into
account (see Figures 1 and 3). All intended use and reasonable foreseeable misuse shall be considered.
a
Refers to ISO 12100:2010
b
Refers to this part of ISO 13849
Figure 1 — Overview of risk assessment/risk reduction
10 © ISO 2015 – All rights reserved

4.2 Strategy for risk reduction
4.2.1 General
The strategy for risk reduction at the machine is given in ISO 12100:2010, 6.1, and further guidance is
given in ISO 12100:2010, 6.2 (inherent design measures) and 6.3 (safeguarding and complementary
protective measures). This strategy covers the whole life cycle of the machine.
The hazard analysis and risk reduction process for a machine requires that hazards are eliminated or
reduced through a hierarchy of measures:
— hazard elimination or risk reduction by design (see ISO 12100:2010, 6.2);
— risk reduction by safeguarding and possibly complementary protective measures (see
ISO 12100:2010, 6.3);
— risk reduction by the provision of information for use about the residual risk (see ISO 12100:2010, 6.4).
4.2.2 Contribution to the risk reduction by the control system
The purpose in following the overall design procedure for the machine is to achieve the safety objectives
(see 4.1). The design of the SRP/CS to provide the required risk reduction is an integral subset of
the overall design procedure for the machine. The SRP/CS provides safety function(s) at a PL which
achieves the required risk reduction. In providing safety function(s), either as an inherently safe part
of the design or as a control for an interlocking guard or protective device, the design of the SRP/CS is a
part of the strategy for risk reduction. This is an iterative process and is illustrated in Figures 1 and 3.
NOTE There is no need to apply this strategy of risk reduction on non-safety related parts of control systems
or purely functional elements of a machine (see ISO/TR 22100-2:2013, Clause 3).
For each safety function, the characteristics (see Clause 5) and the required performance level shall be
specified and documented in the safety requirements specification.
In this part of ISO 13849 the performance levels are defined in terms of probability of dangerous failure
per hour. Five performance levels are set out, from the lowest PL a to the highest PL e with defined
ranges of probability of a dangerous failure per hour (see Table 2).
In order to achieve a PL, beside quantifiable aspects, it is also necessary to satisfy requirements related
to qualitative aspects of PL (see 4.5).
Table 2 — Performance levels (PL)
Average probability of dangerous failure per hour (PFH )
D
PL
1/h
−5 −4
a ≥ 10 to < 10
−6 −5
b ≥ 3 × 10 to < 10
−6 −6
c ≥ 10 to < 3 × 10
−7 −6
d ≥ 10 to < 10
−8 −7
e ≥ 10 to < 10
From the risk assessment (see ISO 12100) at the machine, the designer shall decide the contribution
to the reduction of risk which needs to be provided by each relevant safety function which is carried
out by the SRP/CS(s). This contribution does not cover the overall risk of the machinery under control,
e.g. not the overall risk of a mechanical press, or washing machine is considered, but that part of risk
reduced by the application of particular safety functions. Examples of such functions are the stopping
function initiated by using an electro-sensitive protective device on a press or the door-locking function
of a washing machine.
Risk reduction can be achieved by applying various protective measures (both SRP/CS and non SRP/CS)
with the end result of achieving a safe condition (see Figure 2).
Key
R for a specific haza
...

NORME ISO
INTERNATIONALE 13849-1
Troisième édition
2015-12-15
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
©
ISO 2015
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2015, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2015 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations . 8
4 Considérations relatives à la conception . 9
4.1 Objectifs de sécurité lors de la conception . 9
4.2 Stratégie de réduction du risque .11
4.2.1 Généralités .11
4.2.2 Contribution à la réduction du risque par le système de commande .11
4.3 Détermination du niveau de performance requis (PL ) .14
r
4.4 Conception des SRP/CS .15
4.5 Évaluation du niveau de performance PL atteint et relation avec le SIL .16
4.5.1 Niveau de performance PL .16
4.5.2 Temps moyen avant défaillance dangereuse pour chaque canal (MTTF ) .18
D
4.5.3 Couverture du diagnostic (DC) .19
4.5.4 Procédure simplifiée pour l’estimation des aspects quantifiables d’un PL .19
4.5.5 Description du dispositif de sortie du SRP/CS par catégorie .21
4.6 Exigences pour le logiciel de sécurité .22
4.6.1 Généralités .22
4.6.2 Logiciel intégré relatif à la sécurité (SRESW) .23
4.6.3 Logiciel applicatif relatif à la sécurité (SRASW) .24
4.6.4 Paramétrage lié au logiciel .27
4.7 Vérification de l’atteinte du PL requis .28
4.8 Aspects ergonomiques de la conception .28
5 Caractéristiques des fonctions de sécurité .28
5.1 Spécification des fonctions de sécurité .28
5.2 Détails des fonctions de sécurité .31
5.2.1 Fonction d’arrêt liée à la sécurité .31
5.2.2 Fonction réarmement manuel .31
5.2.3 Fonction mise en marche et remise en marche .32
5.2.4 Fonction commande locale .32
5.2.5 Fonction d’inhibition .33
5.2.6 Temps de réponse .33
5.2.7 Paramètres relatifs à la sécurité .33
5.2.8 Variations, perte et rétablissement des sources d’énergie .33
6 Catégories et leur relation aux MTTF de chaque canal, DC et CCF .33
D avg
6.1 Généralités .33
6.2 Spécifications des catégories .34
6.2.1 Généralités .34
6.2.2 Architectures désignées .34
6.2.3 Catégorie B .35
6.2.4 Catégorie 1 .36
6.2.5 Catégorie 2 .37
6.2.6 Catégorie 3 .38
6.2.7 Catégorie 4 .39
6.3 Combinaison des SRP/CS pour atteindre un PL global .42
7 Prise en compte des défauts, exclusion de défauts .43
7.1 Généralités .43
7.2 Prise en compte des défauts .43
7.3 Exclusion de défauts .44
8 Validation .44
9 Maintenance .44
10 Documentation technique .44
11 Informations pour l’utilisation .45
Annexe A (informative) Détermination du niveau de performance requis (PL ) .47
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité .51
Annexe C (informative) Calcul ou évaluation du MTTF pour des composants uniques .53
D
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal .61
D
Annexe E (informative) Estimations pour la couverture du diagnostic (DC)pour les
fonctions et les modules .63
Annexe F (informative) Estimations pour les défaillances de cause commune (CCF) .67
Annexe G (informative) Défaillance systématique .69
Annexe H (informative) Combinaison de plusieurs parties du système de
commanderelatives à la sécurité (SRP/CS) .72
Annexe I (informative) Exemples .75
Annexe J (informative) Logiciel .83
Annexe K (informative) Représentation numérique de la Figure 5 .87
Bibliographie .92
iv © ISO 2015 – Tous droits réservés

Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou sur la liste ISO des déclarations de
brevets reçues (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’intention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, aussi bien que pour des informations au-sujet de l’adhésion de l’ISO aux principes de
l’OMC concernant les obstacles techniques au commerce (OTC) voir le lien URL suivant: Foreword -
Supplementary information
Le comité chargé de l’élaboration du présent document est l’ISO/TC 199, Sécurité des machines.
Cette troisième édition annule et remplace la deuxième édition (ISO 13849-1:2006), dont elle constitue
une révision technique. Elle comprend également le Rectificatif Technique ISO 13849‑1:1/Cor 1:2009.
Les modifications par rapport à l’édition précédentes incluent
— suppression de l’ancien Tableau 1 contenu dans l’Introduction,
— mise à jour et ajout de références normatives,
— modification de la définition des termes situation dangereuse et mode de demande élevée ou mode
continu,
— ajout d’un nouveau terme et définition, utilisation éprouvée,
— modification éditoriale, mais pas technique, de la Figure 1,
— un nouveau paragraphe, 4.5.5, mais également des modifications aux sections existantes dont les
annexes, notamment des modifications substantielles de l’Annexe C et une nouvelle Annexe I.
L’ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines —
Parties des systèmes de commande relatives à la sécurité:
— Partie 1: Principes généraux de conception
— Partie 2: Validation
Introduction
Dans le domaine de la sécurité des machines, les normes sont structurées de la manière suivante:
a) normes de type A (normes fondamentales de sécurité), précisant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines;
b) normes de type B (normes génériques de sécurité), traitant d’un aspect de la sécurité ou d’un
type de dispositif conditionnant la sécurité valable pour toutes les machines ou pour une large
gamme de machines:
— normes de type B1 traitant d’aspects particuliers de la sécurité (par exemple distances de
sécurité, température de surface, bruit),
— normes de type B2 traitant de dispositifs conditionnant la sécurité (par exemple commandes
bimanuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de
sécurité détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
La présente partie de l’ISO 13849 est une norme de type B1 telle que définie dans l’ISO 12100.
Lorsque des dispositions de la norme de type C diffèrent de celles indiquées dans une norme de type A
ou B, ces dispositions prévalent sur celles des autres normes, et ce pour les machines conçues et
fabriquées conformément aux spécifications de la norme de type C.
La présente partie de l’ISO 13849 est destinée à donner des conseils au cours de la conception et de
l’évaluation des systèmes de commande ainsi qu’aux Comités Techniques élaborant des normes
de type B2 ou de type C présumées conformes aux exigences essentielles de sécurité de l’Annexe I
de la Directive 2006/42/CE relative aux machines. Elle ne donne pas de conseils spécifiques pour la
conformité à d’autres Directives CE.
En tant que partie de la stratégie globale de réduction des risques pour une machine, un concepteur
voudra souvent choisir de réaliser certaines mesures de réduction des risques par l’application de
mesures de protection employant une ou plusieurs fonctions de sécurité.
Les parties des systèmes de commande de machines affectées à la réalisation des fonctions de
sécurité sont appelées parties d’un système de commande relatives à la sécurité (SRP/CS), et peuvent
être constituées de matériels et de logiciels et peuvent être séparées ou intégrées au système de
commande. En plus de fournir des fonctions de sécurité, les SRP/CS peuvent faire partie d’une fonction
opérationnelle (par exemple commandes bimanuelles comme moyen de mise en marche d’un cycle ou
d’un processus).
L’aptitude des parties relatives à la sécurité à exécuter une fonction de sécurité dans des conditions
prévisibles est classée en cinq niveaux appelés niveaux de performance (PL). Ces niveaux de performance
sont définis en termes de probabilité de défaillance dangereuse du système (voir Tableau 2).
La probabilité de défaillance dangereuse des fonctions de sécurité dépend de plusieurs facteurs, tels
que structure matérielle et logicielle du système, étendue des mécanismes de détection des défauts
[couverture du diagnostic (DC)], fiabilité des composants [temps moyen avant défaillance dangereuse
(MTTF ), défaillance de cause commune (CCF)], processus de conception, contrainte de fonctionnement,
D
conditions environnementales et méthodes de fonctionnement.
Afin d’aider le concepteur et l’estimation du PL atteint, la présente partie de l’ISO 13849 définit une
approche reposant sur la classification des structures selon des critères de conception spécifiques
et un comportement spécifiés en cas de défaut. Ces catégories sont classées en cinq niveaux, appelés
Catégories B, 1, 2, 3 et 4.
vi © ISO 2015 – Tous droits réservés

Les niveaux de performance et les catégories peuvent s’appliquer aux parties d’un système de commande
relatives à la sécurité telles que
— les équipements de protection (par exemple dispositifs de commande bimanuelle, dispositifs de
verrouillage), dispositifs de protection électrosensibles (par exemple barrières photoélectriques),
dispositifs sensibles à la pression,
— les unités de commande (par exemple unité logique pour les fonctions de commande, traitement des
données, surveillance, etc.), et
— les dispositifs de commande de l’énergie (par exemple relais, distributeurs, etc.),
ainsi qu’aux systèmes de commande exécutant des fonctions de sécurité pour tout type de machines, de
la plus simple (par exemple matériel de cuisine ou portes et barrières automatiques) aux installations
manufacturières (par exemple machines d’emballage, machines d’impression, presses).
L’objectif de la présente partie de l’ISO 13849 est de fournir une base claire permettant l’évaluation
de la conception et des performances de toute application de SRP/CS (et de la machine) par une tierce
partie ou en interne ou par un laboratoire d’essai indépendant, par exemple.
Information sur l’utilisation recommandée de la IEC 62061 et la présente partie de l’ISO 13849
L’IEC 62061 et la présente partie de l’ISO 13849 spécifient les exigences pour la conception et la mise en
œuvre des systèmes de commande relatifs à la sécurité des machines. L’utilisation de l’une de ces deux
Normes internationales, en accord avec leurs domaines d’application, peut présumer de satisfaire aux
exigences essentielles de sécurité appropriées. L’ISO/TR 23849 donne les lignes directrices relatives
à l’application de l’ISO 13849-1 et de l’IEC 62061 pour la conception des systèmes de commande des
machines relatifs à la sécurité.
NORME INTERNATIONALE ISO 13849-1:2015(F)
Sécurité des machines — Parties des systèmes de
commande relatives à la sécurité —
Partie 1:
Principes généraux de conception
1 Domaine d’application
La présente partie de l’ISO 13849 fournit des exigences de sécurité et des conseils relatifs aux principes
de conception et d’intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS)
incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau
de performance requis, pour réaliser ces fonctions de sécurité. Elle s’applique aux SRP/CS pour le mode
de demande élevée et le mode continu, indépendamment du type de technologie et d’énergie utilisé
(électrique, hydraulique, pneumatique mécanique, etc.), quelques soient les machines.
Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés
dans un cas particulier.
La présente partie de l’ISO 13849 fournit des exigences spécifiques pour les SRP/CS utilisant un (des)
système(s) électronique(s) programmable(s).
Elle ne donne pas d’exigences spécifiques pour la conception de composants intégrés dans les
SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance,
peuvent être utilisés.
NOTE 1 Exemples de composants intégrés dans les SRP/CS: relais, distributeur solénoïde, interrupteur de
position, PLC, unité de commande de moteurs, dispositifs de commande bimanuelle, dispositifs de protection
électrosensibles. Pour la conception de tels composants, il est recommandé de se référer aux normes spécifiques,
par exemple l’ISO 13851, l’ISO 13856-1 et l’ISO 13856-2.
NOTE 2 Pour la définition du niveau de performance requis, voir 3.1.24.
NOTE 3 Les exigences fournies dans la présente partie de l’ISO 13849 pour les systèmes électroniques
programmables sont compatibles avec la méthodologie pour la conception et le développement des systèmes,
pour les machines, de commande électriques, électroniques et électroniques programmables relatifs à la sécurité
donnés dans la IEC 61061.
NOTE 4 Pour le logiciel embarqué relatif à la sécurité pour des composants de PL = e, voir la IEC 61508-
r
3:1998, Article 7.
2 Références normatives
Les documents de références suivants sont indispensables pour l’application du présent document.
Pour les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière
édition de la publication à laquelle il est fait référence s’applique (y compris les amendements).
ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-2:2012, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 2: Validation
IEC 60050-191:1990, Vocabulaire Électrotechnique International — Chapitre 191: Sûreté de fonctionnement
et qualité de service. Amendé par IEC 60050-191-am1:1999 et IEC 60050-191-am2:2002:1999.
IEC 61508-3:2010, Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques
programmables relatifs à la sécurité — Partie 3:Prescriptions concernant les logiciels. Corrigée par
IEC 61508-3/Cor.1:1999
IEC 61508-4:2010, Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques
programmables relatifs à la sécurité — Partie 4: Définitions et abréviations. Corrigé par
IEC 61508-4/Cor.1:1999
IEC 62061:2012, Sécurité des machines — Sécurité fonctionnelle des systèmes de commande électriques,
électroniques et électroniques programmables relatifs à la sécurité
ISO/TR 22100-2:2013, Sécurité des machines — Relation avec l’ISO 12100 — Partie 2: Relation entre
l’ISO 12100 et l’ISO 13849-1
ISO/TR 23849, Lignes directrices relatives à l’application de l’ISO 13849-1 et de la CEI 62061 dans la
conception des systèmes de commande des machines relatifs à la sécurité
3 Termes, définitions, symboles et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 12100 et la
IEC 60050-191 ainsi que les suivants s’appliquent.
3.1.1
partie d’un système de commande relative à la sécurité
SRP/CS
partie d’un système de commande qui répond à des signaux d’entrée et génère des signaux de sortie
relatifs à la sécurité
Note 1 à l’article: Les parties combinées d’un système de commande relatives à la sécurité commencent aux
points où sont générés les signaux relatifs à la sécurité (y compris, par exemple, la came de commande et le galet
de l’interrupteur de position) et se terminent à la sortie des pré-actionneurs (y compris, par exemple, les contacts
principaux du contacteur).
Note 2 à l’article: Si un système de surveillance est utilisé pour les diagnostics, ceux‑ci sont considérés
comme des SRP/CS.
3.1.2
catégorie
classification des parties relatives à la sécurité d’un système de commande liée à leur résistance aux
défauts et à leur comportement consécutif à des défauts et qui est obtenue par l’architecture des parties,
la détection des défauts et/ou leur fiabilité
3.1.3
défaut
état d’une entité caractérisée par son inaptitude à accomplir une fonction requise, non comprise
l’inaptitude due à la maintenance préventive ou à d’autres actions programmées, ou due à un manque
de moyens extérieurs
Note 1 à l’article: Un défaut est souvent le résultat d’une défaillance de l’entité elle-même, mais il peut exister sans
défaillance préalable.
Note 2 à l’article: Dans la présente partie de l’ISO 13849, le terme «défaut» signifie «défaut aléatoire».
[SOURCE: IEC 60050‑191:1990, 05‑01.]
2 © ISO 2015 – Tous droits réservés

3.1.4
défaillance
cessation de l’aptitude d’une entité à accomplir une fonction requise
Note 1 à l’article: Après défaillance d’une entité, cette entité a un défaut.
Note 2 à l’article: Une défaillance est un passage d’un état à un autre, par opposition à un défaut qui est un état.
Note 3 à l’article: La notion de défaillance, telle qu’elle est définie, ne s’applique pas à une entité constituée
seulement de logiciel.
Note 4 à l’article: Les défaillances n’affectant que la disponibilité du processus commandé ne sont pas couvertes
par le domaine d’application de la présente partie de l’ISO 13849.
[SOURCE: IEC 60050‑191:1990, 04‑01.]
3.1.5
défaillance dangereuse
défaillance qui peut potentiellement mettre une SRP/CS dans un état dangereux ou défectueux
Note 1 à l’article: La réalisation ou non du «potentiellement» peut dépendre de l’architecture de canal du système;
dans des systèmes redondants, une défaillance dangereuse du système matériel présente moins de risque
d’aboutir à un état global dangereux ou défectueux.
[SOURCE: IEC 61508‑4:1998, 3.6.7, modifiée.]
3.1.6
défaillance de cause commune
CCF
défaillances qui affectent plusieurs entités à partir d’un même événement et qui ne résultent pas les
unes des autres
Note 1 à l’article: Il convient de ne pas confondre les défaillances de cause commune et les défaillances de mode
commun (voir l’ISO 12100:2010, 3.36).
[SOURCE: IEC 60050‑191:1990‑am1:1999, 04‑23.]
3.1.7
défaillance systématique
défaillance associée de façon déterministe à une certaine cause, ne pouvant être éliminée que par
une modification de la conception ou du processus de fabrication, des procédures d’exploitation, de la
documentation ou d’autres facteurs appropriés
Note 1 à l’article: La maintenance corrective sans modification n’élimine pas, habituellement, la cause de la
défaillance.
Note 2 à l’article: Une défaillance systématique peut être induite en simulant la cause de la défaillance.
Note 3 à l’article: Exemples de causes de défaillances systématiques incluant les erreurs humaines dans
— la spécification des exigences de sécurité;
— la conception, la fabrication, l’installation et l’exploitation du matériel;
— la conception, la mise en œuvre, etc., du logiciel.
[SOURCE: IEC 60050‑191:1990, 04‑19]
3.1.8
inhibition
interruption automatique et temporaire de fonction(s) de sécurité par les SRP/CS
3.1.9
réarmement manuel
fonction interne aux SRP/CS permettant de rétablir manuellement des fonctions de sécurité données
avant la remise en marche d’une machine
3.1.10
dommage
blessure physique ou atteinte à la santé
[SOURCE: ISO 12100:2010, 3.5]
3.1.11
phénomène dangereux
source potentielle de dommage
Note 1 à l’article: L’expression «phénomène dangereux» peut être qualifiée de manière à faire apparaître l’origine
(par exemple phénomène dangereux mécanique, phénomène dangereux électrique) ou la nature du dommage
potentiel (par exemple risque de choc électrique, de coupure, d’intoxication, d’incendie).
Note 2 à l’article: Le phénomène dangereux envisagé dans cette définition
— est présent en permanence pendant l’utilisation normale de la machine (par exemple déplacement
d’éléments mobiles dangereux, arc électrique pendant une phase de soudage, mauvaise posture, émission de
bruit, température élevée), ou
— peut apparaître de manière inattendue (par exemple explosion, risque d’écrasement résultant d’une
mise en marche intempestive/inattendue, projection résultant d’une rupture, chute résultant d’une accélération
ou d’une décélération).
[SOURCE: ISO 12100:2010, 3.6, modifiée.]
3.1.12
situation dangereuse
situation dans laquelle une personne est exposée à au moins un phénomène dangereux
Note 1 à l’article: L’exposition peut entraîner un dommage, immédiatement ou à long terme.
[SOURCE: ISO 12100:2010, 3.10]
3.1.13
risque
combinaison de la probabilité d’un dommage et de la gravité de ce dommage
[SOURCE: ISO 12100:2010, 3.12]
3.1.14
risque résiduel
risque subsistant après que des mesures de prévention ont été prises
Note 1 à l’article: Voir Figure 2.
[SOURCE: ISO 12100:2010, 3.17, modifiée.]
3.1.15
appréciation du risque
processus global d’analyse et d’évaluation du risque
[SOURCE: ISO 12100:2010, 3.17]
4 © ISO 2015 – Tous droits réservés

3.1.16
analyse du risque
combinaison de la détermination des limites de la machine, de l’identification des phénomènes
dangereux et de l’estimation du risque
[SOURCE: ISO 12100:2010, 3.15]
3.1.17
évaluation du risque
jugement destiné à établir, à partir de l’analyse du risque, si les objectifs de réduction du risque ont été
atteints
[SOURCE: ISO 12100:2010, 3.16]
3.1.18
utilisation normale d’une machine
utilisation d’une machine conformément aux indications données dans les instructions pour l’utilisation
[SOURCE: ISO 12100:2010, 3.23]
3.1.19
mauvais usage raisonnablement prévisible
utilisation d’une machine d’une manière ne correspondant pas aux intentions du concepteur, mais
pouvant résulter d’un comportement humain aisément prévisible
[SOURCE: ISO 12100:2010, 3.24]
3.1.20
fonction de sécurité
fonction d’une machine dont la défaillance peut provoquer un accroissement immédiat du (des) risque(s)
[SOURCE: ISO 12100:2010, 3.30]
3.1.21
surveillance continue
fonction de sécurité assurant qu’une mesure de prévention est initiée si l’aptitude d’un composant ou
d’un élément à exécuter sa fonction diminue ou si les conditions de fonctionnement sont modifiées de
telle façon qu’il en résulte une diminution de la réduction du risque
3.1.22
système électronique programmable
PES
système de commande, de protection ou de surveillance reposant sur un ou plusieurs dispositifs
électroniques programmables, y compris tous les éléments du système tels que les alimentations en
énergie, les capteurs et autres dispositifs d’entrée, jusqu’aux actionneurs et autres dispositifs de sortie
[SOURCE: IEC 61508‑4:1998, définition 3.3.2, modifiée.]
3.1.23
niveau de performance
PL
niveau discret d’aptitude de parties relatives à la sécurité à réaliser une fonction de sécurité dans des
conditions prévisibles
Note 1 à l’article: Voir 4.5.1.
3.1.24
niveau de performance requis
PL
r
niveau de performance (PL) permettant d’atteindre la réduction du risque requise pour chaque
fonction de sécurité
Note 1 à l’article: Voir Figures 2 et A.1.
3.1.25
temps moyen avant défaillance dangereuse
MTTF
D
valeur probable de la durée moyenne avant défaillance dangereuse
[SOURCE: IEC 62061:2005, 3.2.34, modifiée.]
3.1.26
couverture du diagnostic
DC
mesure de l’efficacité du diagnostic, peut être définie comme la fraction de la probabilité de défaillances
dangereuses détectées sur la probabilité de toutes les défaillances dangereuses
Note 1 à l’article: La couverture du diagnostic peut se rapporter à tout ou partie d’un système relatif à la sécurité.
Elle peut, par exemple, concerner des capteurs et/ou un système logique et/ou des éléments terminaux.
[SOURCE: IEC 61508‑4:1998, 3.8.6, modifiée.]
3.1.27
mesure de prévention
mesure destinée à réduire le risque
EXEMPLE 1 Mise en œuvre par le concepteur: prévention intrinsèque, protection et mesures de prévention
complémentaires, informations pour l’utilisation.
EXEMPLE 2 Mise en œuvre par l’utilisateur: organisation (méthodes de travail sûres, surveillance, système
du permis de travailler), fourniture et utilisation de moyens de protection supplémentaires, équipement de
protection individuelle, formation.
[SOURCE: ISO 12100:2010, 3.30, modifiée.]
3.1.28
durée de mission
T
M
laps de temps couvrant l’utilisation normale d’une SRP/CS
3.1.29
taux d’essais
r
t
fréquence des essais en ligne permettant de détecter les défauts d’un SRP/CS, valeur inverse de
l’intervalle entre essais de diagnostic
3.1.30
taux de demande
r
D
fréquence de sollicitation d’une action relative à la sécurité d’une SRP/CS
6 © ISO 2015 – Tous droits réservés

3.1.31
taux de réparation
r
r
valeur inverse de l’intervalle de temps entre la détection d’une défaillance dangereuse par un essai
en ligne ou un dysfonctionnement évident du système et la remise en marche après réparation du
système/remplacement du composant
Note 1 à l’article: Le temps de réparation ne comprend pas le temps nécessaire à la détection de la défaillance.
3.1.32
système de commande de la machine
système qui répond aux signaux d’entrée de parties de machines, des opérateurs, des équipements de
commande externes ou de toute combinaison de ceux‑ci et qui génère des signaux de sorties imposant à
la machine un comportement attendu
Note 1 à l’article: Le système de commande de la machine peut utiliser toute technologie ou combinaison de
différentes technologies (exemple électrique/électronique, hydraulique, pneumatique, mécanique).
3.1.33
Niveau d’intégrité de sécurité
SIL
niveau discret (parmi trois possibles) permettant de spécifier les exigences concernant l’intégrité
de sécurité des fonctions de commandes relatives à la sécurité à allouer aux systèmes électriques,
électroniques et électroniques programmables relatifs à la sécurité, le niveau 4 d’intégrité de sécurité
possédant le plus haut degré d’intégrité et le niveau 1 possédant le plus bas
[SOURCE: IEC 61508‑4:1998, 3.5.6]
3.1.34
langage de variabilité limitée
LVL
type de langage qui fournit la possibilité de combiner des fonctions de bibliothèques, prédéfinies,
spécifiques à une application, pour mettre en œuvre les spécifications des exigences concernant la sécurité
Note 1 à l’article: Des exemples typiques de LVL sont donnés dans la IEC 61131‑3. Ils incluent: échelle logique,
schéma bloc fonctionnel.
Note 2 à l’article: Un exemple typique de système utilisant le LVL: PLC.
[SOURCE: IEC 61511‑1:2003, définition 3.2.80.1.2, modifiée.]
3.1.35
langage de variabilité totale
FVL
type de langage qui fournit la possibilité de mettre en œuvre une gamme étendue de fonctions et
d’applications
EXEMPLE C, C++, assembleur.
Note 1 à l’article: Un exemple typique de système utilisant le FVL: ordinateur d’usage général.
Note 2 à l’article: Le FVL se trouve normalement dans les logiciels intégrés et rarement dans les logiciels
d’application.
[SOURCE: IEC 61511‑1:2003, 3.2.80.1.3, modifiée.]
3.1.36
logiciel d’application
logiciel spécifique d’application qui a été implémenté par le concepteur de la machine et qui contient
généralement des séquences logiques, des limites et des expressions qui commandent l’entrée, la sortie,
les calculs appropriés et les décisions nécessaires pour satisfaire aux exigences des SRP/CS
3.1.37
logiciel intégré
micrologiciel
logiciel système
logiciel faisant partie du système fourni par le constructeur et non accessible par l’utilisateur en vue
d’une modification
Note 1 à l’article: Le logiciel intégré est généralement écrit en FVL.
3.1.38
mode de demande élevée ou mode continu
mode de fonctionnement dans lequel la fréquence de sollicitation d’une SRP/CS est supérieure à une par
an ou dans lequel la fonction de commande relative à la sécurité maintient la machine en état sûr dans
le cadre du fonctionnement normal
[SOURCE: IEC 62061:2012, 3.2.27, modifiée.]
3.1.39
utilisation éprouvée
démonstration, basée sur une analyse de l’expérience opérationnelle pour une configuration spécifique
d’un élément, que la probabilité d’un défaut systématique dangereux est assez faible pour que chaque
fonction de sécurité utilisant l’élément atteigne son niveau de performance requis (PL )
r
[SOURCE: IEC 61508‑4:2010, 3.8.18, modifiée.]
3.2 Symboles et abréviations
Voir Tableau 1.
Tableau 1 — Symboles et abréviations
Symbole et Définition ou occur-
Description
abréviation rence
a, b, c, d, e Dénomination des niveaux de performance Tableau 2
AMDE Analyse des modes de défaillance et de leurs effets 7.2
AOPD Dispositif actif de protection optoélectronique (exemple barrière Annexe H
infra‑rouge)
B, 1, 2, 3, 4 Dénomination des catégories Tableau 6
B Nombre de cycles jusqu’à ce que 10 % des composants échouent dange- Annexe C
10D
reusement (pour des composants pneumatiques et électromécaniques)
Cat. Catégorie 3.1.2
CC Convertisseur de courant Annexe I
CCF Défaillance de cause commune 3.1.6
DC Couverture du diagnostic 3.1.26
DC Couverture du diagnostic moyenne E.2
avg
F, F1, F2 Fréquence et/ou durée d’exposition au phénomène dangereux A.2.2
FB Bloc fonction 4.6.3
FVL Langages de variabilité 3.1.35
I, I1, I2 Dispositif d’entrée, par exemple capteur 6.2
i, j Indice de comptage Annexe D
I/O Entrées/sorties Tableau E.1
i , i Moyens d’interconnexion Figure 4
ab bc
K1A, K1B Contacteurs Annexe I
8 © ISO 2015 – Tous droits réservés

Tableau 1 (suite)
Symbole et Définition ou occur-
Description
abréviation rence
L, L1, L2 Logique 6.2
M Moteur Annexe I
MTTF Temps moyen avant défaillance Annexe C
MTTF Temps moyen avant défaillance dangereuse 3.1.25
D
Nombre d’éléments 6.3, D.1

n, N, N
N Nombre de SRP/CS de niveau pl dans une combinaison de SRP/CS 6.3
low low
n Nombre moyen annuel d’utilisations Annexe C
op
O, O1, O2, OTE Dispositif de sortie, par exemple actionneur 6.2
P, P1, P2 Possibilité d’évitement du phénomène dangereux A.2.3
PES Système électronique programmable 3.1.22
PFH Probabilité moyenne de défaillance dangereuse par heure Tableau 2 et Tableau K.1
D
PL Niveau de performance 3.1.23
PLC Automate programmable industriel (API en français) Annexe I
PL Plus faible niveau de performance d’une SRP/CS dans une combinaison 6.3
low
de SRP/CS
PL Niveau de performance requis 3.1.24
r
r Taux de demande 3.1.30
D
r Taux d’essais 3.1.29
t
RS Détecteur de rotation Annexe I
S, S1, S2 Gravité de la blessure A.2.1
SW1A, SW1B, Capteur de position Annexe I
SW2
SIL Niveau d’intégrité de sécurité Tableau 3
SRASW Logiciel relatif à la sécurité d’application 4.6.3
SRESW Logiciel incorporé relatif à la sécurité 4.6.2
SRP Partie relative à la sécurité général
SRP/CS Partie d’un système de commande relative à la sécurité 3.1.1
TE Equipement d’essai 6.2
T Durée de mission 3.1.28
M
T Temps moyen jusqu’à ce que 10 % des composants défaillent de façon Annexe C
10D
dangereuse
4 Considérations relatives à la conception
4.1 Objectifs de sécurité lors de la conception
Les SRP/CS doivent être conçues et construites de sorte que les principes de l’ISO 12100 soient
pleinement pris en compte (voir Figures 1 et 3). Toute utilisation prévue et tout mauvais usage
raisonnablement prévisible doivent être considérés.
a
Référence à ISO 12100:2010.
10 © ISO 2015 – Tous droits réservés

b
Référence à la présente partie de ISO 13849.
Figure 1 — Présentation de l’appréciation/réduction du risque
4.2 Stratégie de réduction du risque
4.2.1 Généralités
La stratégie de réduction du risque au niveau de la machine est donnée dans l’ISO 12100:2010, Article 6.1,
et d’autres conseils sont donnés dans l’ISO 12100:2010, 6.2 (mesures de prévention intrinsèques) et 6.3
(protection et mesures de prévention complémentaires). Cette stratégie couvre l’ensemble du cycle de
vie de la machine.
L’analyse du risque et le processus de réduction du risque pour une machine imposent que les
phénomènes dangereux soient éliminés ou réduits selon la hiérarchie de mesures:
— élimination du phénomène dangereux et réduction du risque par conception (voir
l’ISO 12100:2010, 6.2);
— réduction du risque par protection et possibles mesures de prévention complémentaires (voir
l’ISO 12100:2010, 6.3);
— réduction du risque par la fourniture d’informations d’utilisation à propos du risque résiduel (voir
l’ISO 12100:2010, 6.4).
4.2.2 Contribution à la réduction du risque par le système de commande
L’objectif de la procédure générale de conception de la machine suivante vise à atteindre les objectifs
de sécurité (voir 4.1). La conception de la SRP/CS pour obtenir la réduction du risque requise fait partie
intégrante de la procédure générale de conception de la machine. La SRP/CS assure une (des) fonction(s)
de
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Frequently Asked Questions

What is ISO 13849-1:2015?

ISO 13849-1:2015 is a standard published by the International Organization for Standardization (ISO). Its full title is "Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design". This standard covers: ISO 13849-1:2015 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS for high demand and continuous mode, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used. NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856‑1 and ISO 13856‑2. NOTE 2 For the definition of required performance level, see 3.1.24. NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are compatible with the methodology for the design and development of safety-related electrical, electronic and programmable electronic control systems for machinery given in IEC 62061. NOTE 4 For safety-related embedded software for components with PLr = e, see IEC 61508?3:1998, Clause 7.

What is the scope of ISO 13849-1:2015?

What ICS categories does ISO 13849-1:2015 belong to?

ISO 13849-1:2015 is classified under the following ICS (International Classification for Standards) categories: 13.110 - Safety of machinery. The ICS classification helps identify the subject area and facilitates finding related standards.

What standards are related to ISO 13849-1:2015?

ISO 13849-1:2015 has the following relationships with other standards: It is inter standard links to ISO 12742:2007, ISO 13849-1:2023, ISO 13849-1:2006/FDAmd 1, ISO 13849-1:2006. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I purchase ISO 13849-1:2015?

You can purchase ISO 13849-1:2015 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

ISO 13849-1:2015는 기계의 안전성과 관련된 제어 시스템의 안전 관련 부품(SRP/CS)의 설계 및 통합에 관한 안전 요구 사항과 지침을 제공합니다. 이 표준은 특히 높은 수요와 지속적인 모드에서 작동하는 모든 종류의 기계에 적용되며, 전기, 유압, 공압, 기계적 에너지 등 모든 기술 유형에 관계없이 적용할 수 있는 범위를 가집니다. ISO 13849-1:2015는 안전 기능을 수행하는 데 필요한 성능 수준을 포함하여 SRP/CS의 특성을 명확하게 규정하고 있습니다. 이 표준의 강점 중 하나는 프로그래머블 전자 시스템을 사용하는 SRP/CS에 대한 특정 요구 사항을 제공한다는 점입니다. 이는 다양한 산업 현장에서 안전성을 확보하기 위해 필수적입니다. 또한 이 표준은 제품의 설계에 대한 구체적인 요구 사항은 명시하지 않지만, 카테고리 및 성능 수준과 같은 제공된 원칙들은 유용하게 활용될 수 있습니다. 예를 들어, 릴레이, 솔레노이드 밸브, 위치 스위치, PLC, 모터 제어 장치 등과 같은 SRP/CS의 일부 제품에 대해서는 관련 국제 표준을 참조하는 것이 중요합니다. ISO 13849-1:2015는 IEC 62061에서 제공하는 안전 관련 전기, 전자 및 프로그래머블 전자 제어 시스템의 설계 및 개발 방법론과 호환되며, 이는 사용자에게 보다 안전하고 신뢰할 수 있는 설계 과정을 지원합니다. 특히, 안전 관련 내장 소프트웨어에 대한 특정 요구 사항을 규정한 IEC 61508에 대한 참조는 이 표준의 중요성을 더합니다. 결론적으로, ISO 13849-1:2015는 기계의 안전성을 확보하기 위한 필수 기준을 제시하며, 다양한 기술과 기계에 적용될 수 있는 포괄적인 지침을 제공합니다. 이러한 표준은 기계 안전 분야에서의 중요한 역할을 하며, 기계의 설계 및 통합 시 안전성을 보장하는 데 있어 필수적인 도구입니다.

Die Norm ISO 13849-1:2015 behandelt die Sicherheit von Maschinen, speziell die sicherheitsrelevanten Teile von Steuerungssystemen (SRP/CS) und legt grundlegende Prinzipien für deren Gestaltung fest. Ihr Anwendungsbereich ist weitreichend und umfasst sicherheitsbezogene Anforderungen sowie Leitlinien für die Gestaltung und Integration von SRP/CS, einschließlich der Softwareentwicklung. Diese Norm ist für alle Arten von Maschinen und unabhängig von der verwendeten Technologie oder Energiequelle anwendbar, sei es elektrisch, hydraulisch, pneumatisch oder mechanisch. Ein wesentlicher Stärke dieser Norm liegt in der Definition der erforderlichen Leistungsstufen, die für sicherheitsrelevante Funktionen nötig sind. ISO 13849-1:2015 stellt spezifische Anforderungen an SRP/CS, die programmierbare elektronische Systeme nutzen, und gewährleistet, dass die Sicherheitseigenschaften hinsichtlich der Leistungsstufe präzise festgelegt werden. Dies ist besonders relevant für Anwendungen mit hohen Anforderungen an die Sicherheit, da die Norm dabei hilft, potenzielle Gefahren zu identifizieren und zu minimieren. Darüber hinaus sind die in dieser Norm festgelegten Kategorien und Leistungsstufen von großer Bedeutung für die Entwicklung sicherer Steuerungssysteme. Obwohl ISO 13849-1:2015 keine spezifischen Sicherheitsfunktionen angibt, bietet sie dennoch qualitativ hochwertige Rahmenbedingungen, die bei der Gestaltung sicherheitsrelevanter Produkte wie Relais, Positionsschalter und Steuergeräte berücksichtigt werden sollten. Indem sie diesen konzeptionellen Rahmen bereitstellt, ermöglicht sie es Entwicklern, zukunftssichere Lösungen zu schaffen, die den neuesten Sicherheitsstandards entsprechen. Die Vereinbarkeit der in ISO 13849-1:2015 geforderten Anforderungen mit der Methodik für das Design und die Entwicklung sicherheitsbezogener elektrischer, elektronischer und programmierbarer Systeme gemäß IEC 62061 betont die Relevanz und Durchführbarkeit der Norm. Diese Synergie trägt dazu bei, dass Unternehmen effektive und konforme Lösungen implementieren können, wodurch das Risiko von Unfällen und Fehlfunktionen signifikant reduziert wird. Insgesamt stellt ISO 13849-1:2015 eine essentielle Ressource für die Entwicklung und Integration von sicherheitsrelevanten Steuerungssystemen dar, indem sie klare Richtlinien und Anforderungen definiert, die für die Praxis von hoher Bedeutung sind.

Le document ISO 13849-1:2015, intitulé « Sécurité des machines - Parties de contrôle liées à la sécurité - Partie 1 : Principes généraux de conception », établit des exigences de sécurité cruciales et des conseils pertinents pour la conception et l'intégration des parties de contrôle liées à la sécurité (SRP/CS). Ce standard couvre une large gamme de systèmes de contrôle pour des machines, en précisant des caractéristiques essentielles, notamment le niveau de performance requis pour l'exécution des fonctions de sécurité. L'un des points forts de l'ISO 13849-1:2015 est son approche exhaustive qui s'applique à une variété de technologies et de modes d'exploitation. Qu'il s'agisse de systèmes électriques, hydrauliques, pneumatiques ou mécaniques, ce standard s'assure que les exigences en matière de sécurité s’appliquent dans les modes à forte demande et en continu. Cela en fait une référence incontournable pour les concepteurs et les fabricants de machines. Par ailleurs, le standard ne se contente pas de définir des exigences générales ; il fournit des principes qui peuvent être adaptés à différents contextes. Bien qu'il ne définisse pas les fonctions de sécurité ou les niveaux de performance appropriés pour des cas particuliers, il offre des directives sur les catégories et les niveaux de performance, permettant aux entreprises de s'adapter aux besoins spécifiques de leur production. La compatibilité de l’ISO 13849-1:2015 avec d'autres normes internationales, telles que l’IEC 62061, renforce encore davantage sa pertinence dans le cadre du développement de systèmes de contrôle. Cette interopérabilité est essentielle pour garantir que les systèmes programmables électroniques répondent aux exigences de sécurité nécessaires dans la conception de machines modernes. Enfin, l'inclusion de références à des normes spécifiques pour les produits qui font partie des SRP/CS, comme les relais et les dispositifs de commande manuelle, donne une dimension pratique à l'application de l'ISO 13849-1:2015. Cela permet aux concepteurs de produits de naviguer facilement vers les normes applicables, assurant ainsi une conception sécurisée et conforme. En somme, le standard ISO 13849-1:2015 représente une ressource précieuse pour assurer la sécurité des systèmes de contrôle dans la machine industrielle, offrant des principes et des lignes directrices qui favorisent un design sûr et efficace du point de vue sécurité.

ISO 13849-1:2015 is a comprehensive standard that outlines the safety of machinery with a focus on safety-related parts of control systems (SRP/CS). This standard serves as a crucial framework for the design and integration of SRP/CS in various industrial applications, which makes it highly relevant across multiple sectors. One of the key strengths of ISO 13849-1:2015 is its broad applicability. The standard encompasses a variety of technologies, including electrical, hydraulic, pneumatic, and mechanical systems. This versatility ensures that it can be employed for a wide range of machinery, addressing the diverse needs of manufacturers and operators while maintaining high safety standards. Another notable strength is the focus on performance levels required for safety functions. The standard specifies essential characteristics and performance levels necessary for the effective functioning of safety-related parts of control systems. This aspect is crucial for ensuring that machinery can operate safely under high demand or continuous conditions, which is often a requirement in modern manufacturing environments. Additionally, ISO 13849-1:2015 addresses the integration of programmable electronic systems in safety-related control systems, aligning with other established frameworks, such as IEC 62061. This compatibility enhances its usability and reinforces the standard's significance for ensuring effective safety management in electronic control systems. The inclusion of guidance on software design further amplifies its comprehensive nature, facilitating the safe implementation of complex control systems. Moreover, the standard provides a set of principles, including categories and performance levels, which can be applied to safety-related parts even if it does not specify certain safety functions for specific applications. This flexibility allows organizations to tailor safety solutions according to their particular machinery and operational contexts, promoting a more customized approach to safety. In summary, ISO 13849-1:2015 stands out as an essential standard for the safety of machinery, offering robust guidelines for the design and integration of safety-related parts of control systems. Its vast scope, focus on performance levels, compatibility with other safety standards, and adaptability to various technologies underscore its relevance in facilitating safe machinery operation across industries.

ISO 13849-1:2015は、機械の安全性に関する国際規格であり、制御システムの安全関連部品（SRP/CS）の設計に関する一般原則を示しています。この規格の主な範囲は、SRP/CSの設計と統合における安全要件とガイダンスを提供することであり、高い需要と連続運転のモードに適用されます。電気、油圧、空圧、機械等、技術やエネルギーの種類に関わらず、すべての機械に適用可能で、多様な産業での利用が期待されます。この標準の強みは、SRP/CSに対する必要な性能レベルを明確に定義し、設計原則を提示することにあります。SRP/CSを使用したプログラム可能な電子システムに特化した要求事項を提供することで、設計者に対して高い安全基準を遵守するための指導を行っています。しかしながら、特定のケースで使用される安全機能や性能レベルについては指定していないため、設計者は他の国際規格と併せて適切な基準を参照することが求められます。さらに、ISO 13849-1:2015は、すべての技術に関する包括的なアプローチを提供し、リレーやソレノイドバルブ、位置スイッチ、PLC、モーター制御ユニット、二手操作装置、圧力感知機器など、多種多様な機器がSRP/CSの一部として機能することができることを明示しています。この規格は、IEC 62061による機械のための安全関連電気、電子及びプログラム可能電子制御システムの設計方法論とも互換性があります。総じて、ISO 13849-1:2015は、機械の安全に関する基本的な原則を提供し、様々な産業界における資機材の安全性を向上させるための重要な基準であるといえます。そのため、関係者はこの標準を基に、より安全で信頼性の高い制御システムの設計を進めるべきです。

Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception

General Information

Relations

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Frequently Asked Questions

Customer Reviews (5)

This May Also Interest You