ISO 13849-1:2015
(Main)Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
ISO 13849-1:2015 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS for high demand and continuous mode, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used. NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856‑1 and ISO 13856‑2. NOTE 2 For the definition of required performance level, see 3.1.24. NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are compatible with the methodology for the design and development of safety-related electrical, electronic and programmable electronic control systems for machinery given in IEC 62061. NOTE 4 For safety-related embedded software for components with PLr = e, see IEC 61508?3:1998, Clause 7.
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception
La présente partie de l'ISO 13849 fournit des exigences de sécurité et des conseils relatifs aux principes de conception et d'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau de performance requis, pour réaliser ces fonctions de sécurité. Elle s'applique aux SRP/CS pour le mode de demande élevée et le mode continu, indépendamment du type de technologie et d'énergie utilisé (électrique, hydraulique, pneumatique mécanique, etc.), quelques soient les machines. Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés dans un cas particulier. La présente partie de l'ISO 13849 fournit des exigences spécifiques pour les SRP/CS utilisant un (des) système(s) électronique(s) programmable(s). Elle ne donne pas d'exigences spécifiques pour la conception de composants intégrés dans les SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance, peuvent être utilisés. NOTE 1 Exemples de composants intégrés dans les SRP/CS: relais, distributeur solénoïde, interrupteur de position, PLC, unité de commande de moteurs, dispositifs de commande bimanuelle, dispositifs de protection électrosensibles. Pour la conception de tels composants, il est recommandé de se référer aux normes spécifiques, par exemple l'ISO 13851, l'ISO 13856‑1 et l'ISO 13856‑2. NOTE 2 Pour la définition du niveau de performance requis, voir 3.1.24. NOTE 3 Les exigences fournies dans la présente partie de l'ISO 13849 pour les systèmes électroniques programmables sont compatibles avec la méthodologie pour la conception et le développement des systèmes, pour les machines, de commande électriques, électroniques et électroniques programmables relatifs à la sécurité donnés dans la IEC 61061. NOTE 4 Pour le logiciel embarqué relatif à la sécurité pour des composants de PLr = e, voir la IEC 61508-3:1998, Article 7.
General Information
Relations
Buy Standard
Related Packages
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13849-1
Third edition
2015-12-15
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
ISO 13849-1:2015(E)
©
ISO 2015
---------------------- Page: 1 ----------------------
ISO 13849-1:2015(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2015, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2015 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 13849-1:2015(E)
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms. 7
4 Design considerations . 9
4.1 Safety objectives in design . 9
4.2 Strategy for risk reduction .11
4.2.1 General.11
4.2.2 Contribution to the risk reduction by the control system .11
4.3 Determination of required performance level (PL ) .13
r
4.4 Design of SRP/CS.14
4.5 Evaluation of the achieved performance level PL and relationship with SIL .15
4.5.1 Performance level PL .15
4.5.2 Mean time to dangerous failure of each channel (MTTF ) .16
D
4.5.3 Diagnostic coverage (DC) .17
4.5.4 Simplified procedure for estimating the quantifiable aspects of PL .17
4.5.5 Description of the output part of the SRP/CS by category .19
4.6 Software safety requirements .20
4.6.1 General.20
4.6.2 Safety-related embedded software (SRESW) .21
4.6.3 Safety-related application software (SRASW) .22
4.6.4 Software-based parameterization .24
4.7 Verification that achieved PL meets PL .
r 25
4.8 Ergonomic aspects of design .26
5 Safety functions .26
5.1 Specification of safety functions .26
5.2 Details of safety functions .28
5.2.1 Safety-related stop function .28
5.2.2 Manual reset function .29
5.2.3 Start/restart function .29
5.2.4 Local control function.30
5.2.5 Muting function . .30
5.2.6 Response time .30
5.2.7 Safety–related parameters .30
5.2.8 Fluctuations, loss and restoration of power sources .30
6 Categories and their relation to MTTF of each channel, DC and CCF .31
D avg
6.1 General .31
6.2 Specifications of categories .31
6.2.1 General.31
6.2.2 Designated architectures .32
6.2.3 Category B.32
6.2.4 Category 1 .33
6.2.5 Category 2 .34
6.2.6 Category 3 .35
6.2.7 Category 4 .36
6.3 Combination of SRP/CS to achieve overall PL .38
7 Fault consideration, fault exclusion.40
7.1 General .40
7.2 Fault consideration .40
© ISO 2015 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 13849-1:2015(E)
7.3 Fault exclusion .40
8 Validation .40
9 Maintenance .40
10 Technical documentation .41
11 Information for use .41
Annex A (informative) Determination of required performance level (PL ) .43
r
Annex B (informative) Block method and safety-related block diagram .47
Annex C (informative) Calculating or evaluating MTTF values for single components .49
D
Annex D (informative) Simplified method for estimating MTTF for each channel .56
D
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and modules .58
Annex F (informative) Estimates for common cause failure (CCF) .61
Annex G (informative) Systematic failure.63
Annex H (informative) Example of combination of several safety-related partsof the
control system .66
Annex I (informative) Examples .69
Annex J (informative) Software .76
Annex K (informative) Numerical representation of Figure 5 .79
Bibliography .84
iv © ISO 2015 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 13849-1:2015(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical
Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 199, Safety of machinery.
This third edition cancels and replaces the second edition (ISO 13849-1:2006), which has been
technically revised. It also incorporates Technical Corrigendum ISO 13849-1:2006/Cor 1:2009. Changes
from the previous edition include
— deletion of the former Table 1 from the Introduction,
— updating and addition of normative references,
— modification of the definitions of terms hazardous situation and high demand or continuous mode,
— addition of a new term and definition, proven in use,
— editorial, but not technical, modification of Figure 1,
— a new subclause, 4.5.5, as well as modifications to existing sections including the annexes, substantial
modification of Annex C and an entirely new Annex I.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related
parts of control systems:
— Part 1: General principles for design
— Part 2: Validation
© ISO 2015 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 13849-1:2015(E)
Introduction
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects
that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This part of ISO 13849 is a type-B-1 standard as stated in ISO 12100.
This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.).
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e. g. for maintenance (small, medium and large enterprises);
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed
and built according to the requirements of that standard, the requirements of that type-C standard
take precedence.
When provisions of a type-C standard are different from those which are stated in type-A or type-B
standards, the provisions of the type-C standard take precedence over the provisions of the other
standards for machines that have been designed and built according to the provisions of the type-C
standard.
This part of ISO 13849 is intended to give guidance to those involved in the design and assessment
of control systems, and to Technical Committees preparing type-B2 or type-C standards which are
presumed to comply with the Essential Safety Requirements of Annex I of the Directive 2006/42/EC on
machinery. It does not give specific guidance for compliance with other EC directives.
As part of the overall risk reduction strategy at a machine, a designer will often choose to achieve some
measure of risk reduction through the application of safeguards employing one or more safety functions.
vi © ISO 2015 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 13849-1:2015(E)
Parts of machinery control systems that are assigned to provide safety functions are called safety-
related parts of control systems (SRP/CS) and these can consist of hardware and software and can
either be separate from the machine control system or an integral part of it. In addition to providing
safety functions, SRP/CS can also provide operational functions (e.g. two-handed controls as a means of
process initiation).
The ability of safety-related parts of control systems to perform a safety function under foreseeable
conditions is allocated one of five levels, called performance levels (PL). These performance levels are
defined in terms of probability of dangerous failure per hour (see Table 2).
The probability of dangerous failure of the safety function depends on several factors, including
hardware and software structure, the extent of fault detection mechanisms [diagnostic coverage (DC)],
reliability of components [mean time to dangerous failure (MTTF ), common cause failure (CCF)],
D
design process, operating stress, environmental conditions and operation procedures.
In order to assist the designer and facilitate the assessment of achieved PL, this document employs
a methodology based on the categorization of structures according to specific design criteria and
specified behaviours under fault conditions. These categories are allocated one of five levels, termed
Categories B, 1, 2, 3 and 4.
The performance levels and categories can be applied to safety-related parts of control systems, such as
— protective devices (e.g. two-hand control devices, interlocking devices), electro-sensitive protective
devices (e.g. photoelectric barriers), pressure sensitive devices,
— control units (e.g. a logic unit for control functions, data processing, monitoring, etc.), and
— power control elements (e.g. relays, valves, etc.),
as well as to control systems carrying out safety functions at all kinds of machinery — from simple (e.g.
small kitchen machines, or automatic doors and gates) to manufacturing installations (e.g. packaging
machines, printing machines, presses).
This part of ISO 13849 is intended to provide a clear basis upon which the design and performance of
any application of the SRP/CS (and the machine) can be assessed, for example, by a third party, in-house
or by an independent test house.
Information on the recommended application of IEC 62061 and this part of ISO 13849
IEC 62061 and this part of ISO 13849 specify requirements for the design and implementation of safety-
related control systems of machinery. The use of either of these International Standards, in accordance
with their scopes, can be presumed to fulfil the relevant essential safety requirements. ISO/TR 23849
gives guidance on the application of this part of ISO 13849 and IEC 62061 in the design of safety-related
control systems for machinery.
As with ISO/TR 23849, ISO/TR 22100-2 has been added to the list of normative references given in
Clause 2 — the latter owing to its importance for an understanding of the relationship between this
part of ISO 13849 and ISO 12100.
© ISO 2015 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO 13849-1:2015(E)
Safety of machinery — Safety-related parts of control
systems —
Part 1:
General principles for design
1 Scope
This part of ISO 13849 provides safety requirements and guidance on the principles for the design
and integration of safety-related parts of control systems (SRP/CS), including the design of software.
For these parts of SRP/CS, it specifies characteristics that include the performance level required for
carrying out safety functions. It applies to SRP/CS for high demand and continuous mode, regardless of
the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds
of machinery.
It does not specify the safety functions or performance levels that are to be used in a particular case.
This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic
system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless,
the principles given, such as categories or performance levels, can be used.
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs,
motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products,
it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856-1 and
ISO 13856-2.
NOTE 2 For the definition of required performance level, see 3.1.24.
NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are
compatible with the methodology for the design and development of safety-related electrical, electronic and
programmable electronic control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PL = e, see IEC 61508–3:1998, Clause 7.
r
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-2:2012, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
IEC 60050-191:1990, International electrotechnical vocabulary — Chapter 191: Dependability and quality
of service. Amended by IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999
IEC 61508-3:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 3: Software requirements. Corrected by IEC 61508-3/Cor.1:1999
IEC 61508-4:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations. Corrected by IEC 61508-4/Cor.1:1999
© ISO 2015 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO 13849-1:2015(E)
IEC 62061:2012, Safety of machinery — Functional safety of safety–related electrical, electronic and
programmable electronic control systems
ISO/TR 22100-2:2013, Safety of machinery — Relationship with ISO 12100 — Part 2: How ISO 12100
relates to ISO 13849-1
ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related
control systems for machinery
3 Terms, definitions, symbols and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100 and IEC 60050-191 and
the following apply.
3.1.1
safety–related part of a control system
SRP/CS
part of a control system that responds to safety-related input signals and generates safety-related
output signals
Note 1 to entry: The combined safety-related parts of a control system start at the point where the safety-related
input signals are initiated (including, for example, the actuating cam and the roller of the position switch) and
end at the output of the power control elements (including, for example, the main contacts of a contactor).
Note 2 to entry: If monitoring systems are used for diagnostics, they are also considered as SRP/CS.
3.1.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and
their subsequent behaviour in the fault condition, and which is achieved by the structural arrangement
of the parts, fault detection and/or by their reliability
3.1.3
fault
state of an item characterized by the inability to perform a required function, excluding the inability
during preventive maintenance or other planned actions, or due to lack of external resources
Note 1 to entry: A fault is often the result of a failure of the item itself, but may exist without prior failure.
Note 2 to entry: In this part of ISO 13849, “fault” means random fault.
[SOURCE: IEC 60050-191:1990, 05-01.]
3.1.4
failure
termination of the ability of an item to perform a required function
Note 1 to entry: After a failure, the item has a fault.
Note 2 to entry: “Failure” is an event, as distinguished from “fault”, which is a state.
Note 3 to entry: The concept as defined does not apply to items consisting of software only.
Note 4 to entry: Failures which only affect the availability of the process under control are outside of the scope of
this part of ISO 13849.
[SOURCE: IEC 60050–191:1990, 04-01.]
2 © ISO 2015 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 13849-1:2015(E)
3.1.5
dangerous failure
failure which has the potential to put the SRP/CS in a hazardous or fail-to-function state
Note 1 to entry: Whether or not the potential is realized can depend on the channel architecture of the system;
in redundant systems a dangerous hardware failure is less likely to lead to the overall dangerous or fail-to-
function state.
Note 2 to entry: [SOURCE: IEC 61508–4, 3.6.7, modified.]
3.1.6
common cause failure
CCF
failures of different items, resulting from a single event, where these failures are not consequences
of each other
Note 1 to entry: Common cause failures should not be confused with common mode failures (see
ISO 12100:2010, 3.36).
[SOURCE: IEC 60050-191-am1:1999, 04-23.]
3.1.7
systematic failure
failure related in a deterministic way to a certain cause, which can only be eliminated by a modification
of the design or of the manufacturing process, operational procedures, documentation or other
relevant factors
Note 1 to entry: Corrective maintenance without modification will usually not eliminate the failure cause.
Note 2 to entry: A systematic failure can be induced by simulating the failure cause.
Note 3 to entry: Examples of causes of systematic failures include human error in
— the safety requirements specification,
— the design, manufacture, installation, operation of the hardwar
...
NORME ISO
INTERNATIONALE 13849-1
Troisième édition
2015-12-15
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
ISO 13849-1:2015(F)
©
ISO 2015
---------------------- Page: 1 ----------------------
ISO 13849-1:2015(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2015, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2015 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 13849-1:2015(F)
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations . 8
4 Considérations relatives à la conception . 9
4.1 Objectifs de sécurité lors de la conception . 9
4.2 Stratégie de réduction du risque .11
4.2.1 Généralités .11
4.2.2 Contribution à la réduction du risque par le système de commande .11
4.3 Détermination du niveau de performance requis (PL ) .14
r
4.4 Conception des SRP/CS .15
4.5 Évaluation du niveau de performance PL atteint et relation avec le SIL .16
4.5.1 Niveau de performance PL .16
4.5.2 Temps moyen avant défaillance dangereuse pour chaque canal (MTTF ) .18
D
4.5.3 Couverture du diagnostic (DC) .19
4.5.4 Procédure simplifiée pour l’estimation des aspects quantifiables d’un PL .19
4.5.5 Description du dispositif de sortie du SRP/CS par catégorie .21
4.6 Exigences pour le logiciel de sécurité .22
4.6.1 Généralités .22
4.6.2 Logiciel intégré relatif à la sécurité (SRESW) .23
4.6.3 Logiciel applicatif relatif à la sécurité (SRASW) .24
4.6.4 Paramétrage lié au logiciel .27
4.7 Vérification de l’atteinte du PL requis .28
4.8 Aspects ergonomiques de la conception .28
5 Caractéristiques des fonctions de sécurité .28
5.1 Spécification des fonctions de sécurité .28
5.2 Détails des fonctions de sécurité .31
5.2.1 Fonction d’arrêt liée à la sécurité .31
5.2.2 Fonction réarmement manuel .31
5.2.3 Fonction mise en marche et remise en marche .32
5.2.4 Fonction commande locale .32
5.2.5 Fonction d’inhibition .33
5.2.6 Temps de réponse .33
5.2.7 Paramètres relatifs à la sécurité .33
5.2.8 Variations, perte et rétablissement des sources d’énergie .33
6 Catégories et leur relation aux MTTF de chaque canal, DC et CCF .33
D avg
6.1 Généralités .33
6.2 Spécifications des catégories .34
6.2.1 Généralités .34
6.2.2 Architectures désignées .34
6.2.3 Catégorie B .35
6.2.4 Catégorie 1 .36
6.2.5 Catégorie 2 .37
6.2.6 Catégorie 3 .38
6.2.7 Catégorie 4 .39
6.3 Combinaison des SRP/CS pour atteindre un PL global .42
7 Prise en compte des défauts, exclusion de défauts .43
7.1 Généralités .43
7.2 Prise en compte des défauts .43
© ISO 2015 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 13849-1:2015(F)
7.3 Exclusion de défauts .44
8 Validation .44
9 Maintenance .44
10 Documentation technique .44
11 Informations pour l’utilisation .45
Annexe A (informative) Détermination du niveau de performance requis (PL ) .47
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité .51
Annexe C (informative) Calcul ou évaluation du MTTF pour des composants uniques .53
D
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal .61
D
Annexe E (informative) Estimations pour la couverture du diagnostic (DC)pour les
fonctions et les modules .63
Annexe F (informative) Estimations pour les défaillances de cause commune (CCF) .67
Annexe G (informative) Défaillance systématique .69
Annexe H (informative) Combinaison de plusieurs parties du système de
commanderelatives à la sécurité (SRP/CS) .72
Annexe I (informative) Exemples .75
Annexe J (informative) Logiciel .83
Annexe K (informative) Représentation numérique de la Figure 5 .87
Bibliographie .92
iv © ISO 2015 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 13849-1:2015(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou sur la liste ISO des déclarations de
brevets reçues (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’intention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, aussi bien que pour des informations au-sujet de l’adhésion de l’ISO aux principes de
l’OMC concernant les obstacles techniques au commerce (OTC) voir le lien URL suivant: Foreword -
Supplementary information
Le comité chargé de l’élaboration du présent document est l’ISO/TC 199, Sécurité des machines.
Cette troisième édition annule et remplace la deuxième édition (ISO 13849-1:2006), dont elle constitue
une révision technique. Elle comprend également le Rectificatif Technique ISO 13849‑1:1/Cor 1:2009.
Les modifications par rapport à l’édition précédentes incluent
— suppression de l’ancien Tableau 1 contenu dans l’Introduction,
— mise à jour et ajout de références normatives,
— modification de la définition des termes situation dangereuse et mode de demande élevée ou mode
continu,
— ajout d’un nouveau terme et définition, utilisation éprouvée,
— modification éditoriale, mais pas technique, de la Figure 1,
— un nouveau paragraphe, 4.5.5, mais également des modifications aux sections existantes dont les
annexes, notamment des modifications substantielles de l’Annexe C et une nouvelle Annexe I.
L’ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines —
Parties des systèmes de commande relatives à la sécurité:
— Partie 1: Principes généraux de conception
— Partie 2: Validation
© ISO 2015 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 13849-1:2015(F)
Introduction
Dans le domaine de la sécurité des machines, les normes sont structurées de la manière suivante:
a) normes de type A (normes fondamentales de sécurité), précisant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines;
b) normes de type B (normes génériques de sécurité), traitant d’un aspect de la sécurité ou d’un
type de dispositif conditionnant la sécurité valable pour toutes les machines ou pour une large
gamme de machines:
— normes de type B1 traitant d’aspects particuliers de la sécurité (par exemple distances de
sécurité, température de surface, bruit),
— normes de type B2 traitant de dispositifs conditionnant la sécurité (par exemple commandes
bimanuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de
sécurité détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
La présente partie de l’ISO 13849 est une norme de type B1 telle que définie dans l’ISO 12100.
Lorsque des dispositions de la norme de type C diffèrent de celles indiquées dans une norme de type A
ou B, ces dispositions prévalent sur celles des autres normes, et ce pour les machines conçues et
fabriquées conformément aux spécifications de la norme de type C.
La présente partie de l’ISO 13849 est destinée à donner des conseils au cours de la conception et de
l’évaluation des systèmes de commande ainsi qu’aux Comités Techniques élaborant des normes
de type B2 ou de type C présumées conformes aux exigences essentielles de sécurité de l’Annexe I
de la Directive 2006/42/CE relative aux machines. Elle ne donne pas de conseils spécifiques pour la
conformité à d’autres Directives CE.
En tant que partie de la stratégie globale de réduction des risques pour une machine, un concepteur
voudra souvent choisir de réaliser certaines mesures de réduction des risques par l’application de
mesures de protection employant une ou plusieurs fonctions de sécurité.
Les parties des systèmes de commande de machines affectées à la réalisation des fonctions de
sécurité sont appelées parties d’un système de commande relatives à la sécurité (SRP/CS), et peuvent
être constituées de matériels et de logiciels et peuvent être séparées ou intégrées au système de
commande. En plus de fournir des fonctions de sécurité, les SRP/CS peuvent faire partie d’une fonction
opérationnelle (par exemple commandes bimanuelles comme moyen de mise en marche d’un cycle ou
d’un processus).
L’aptitude des parties relatives à la sécurité à exécuter une fonction de sécurité dans des conditions
prévisibles est classée en cinq niveaux appelés niveaux de performance (PL). Ces niveaux de performance
sont définis en termes de probabilité de défaillance dangereuse du système (voir Tableau 2).
La probabilité de défaillance dangereuse des fonctions de sécurité dépend de plusieurs facteurs, tels
que structure matérielle et logicielle du système, étendue des mécanismes de détection des défauts
[couverture du diagnostic (DC)], fiabilité des composants [temps moyen avant défaillance dangereuse
(MTTF ), défaillance de cause commune (CCF)], processus de conception, contrainte de fonctionnement,
D
conditions environnementales et méthodes de fonctionnement.
Afin d’aider le concepteur et l’estimation du PL atteint, la présente partie de l’ISO 13849 définit une
approche reposant sur la classification des structures selon des critères de conception spécifiques
et un comportement spécifiés en cas de défaut. Ces catégories sont classées en cinq niveaux, appelés
Catégories B, 1, 2, 3 et 4.
vi © ISO 2015 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 13849-1:2015(F)
Les niveaux de performance et les catégories peuvent s’appliquer aux parties d’un système de commande
relatives à la sécurité telles que
— les équipements de protection (par exemple dispositifs de commande bimanuelle, dispositifs de
verrouillage), dispositifs de protection électrosensibles (par exemple barrières photoélectriques),
dispositifs sensibles à la pression,
— les unités de commande (par exemple unité logique pour les fonctions de commande, traitement des
données, surveillance, etc.), et
— les dispositifs de commande de l’énergie (par exemple relais, distributeurs, etc.),
ainsi qu’aux systèmes de commande exécutant des fonctions de sécurité pour tout type de machines, de
la plus simple (par exemple matériel de cuisine ou portes et barrières automatiques) aux installations
manufacturières (par exemple machines d’emballage, machines d’impression, presses).
L’objectif de la présente partie de l’ISO 13849 est de fournir une base claire permettant l’évaluation
de la conception et des performances de toute application de SRP/CS (et de la machine) par une tierce
partie ou en interne ou par un laboratoire d’essai indépendant, par exemple.
Information sur l’utilisation recommandée de la IEC 62061 et la présente partie de l’ISO 13849
L’IEC 62061 et la présente partie de l’ISO 13849 spécifient les exigences pour la conception et la mise en
œuvre des systèmes de commande relatifs à la sécurité des machines. L’utilisation de l’une de ces deux
Normes internationales, en accord avec leurs domaines d’application, peut présumer de satisfaire aux
exigences essentielles de sécurité appropriées. L’ISO/TR 23849 donne les lignes directrices relatives
à l’application de l’ISO 13849-1 et de l’IEC 62061 pour la conception des systèmes de commande des
machines relatifs à la sécurité.
© ISO 2015 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 13849-1:2015(F)
Sécurité des machines — Parties des systèmes de
commande relatives à la sécurité —
Partie 1:
Principes généraux de conception
1 Domaine d’application
La présente partie de l’ISO 13849 fournit des exigences de sécurité et des conseils relatifs aux principes
de conception et d’intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS)
incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau
de performance requis, pour réaliser ces fonctions de sécurité. Elle s’applique aux SRP/CS pour le mode
de demande élevée et le mode continu, indépendamment du type de technologie et d’énergie utilisé
(électrique, hydraulique, pneumatique mécanique, etc.), quelques soient les machines.
Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés
dans un cas particulier.
La présente partie de l’ISO 13849 fournit des exigences spécifiques pour les SRP/CS utilisant un (des)
système(s) électronique(s) programmable(s).
Elle ne donne pas d’exigences spécifiques pour la conception de composants intégrés dans les
SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance,
peuvent être utilisés.
NOTE 1 Exemples de composants intégrés dans les SRP/CS: relais, distributeur solénoïde, interrupteur de
position, PLC, unité de commande de moteurs, dispositifs de commande bimanuelle, dispositifs de protection
électrosensibles. Pour la conception de tels composants, il est recommandé de se référer aux normes spécifiques,
par exemple l’ISO 13851, l’ISO 13856-1 et l’ISO 13856-2.
NOTE 2 Pour la définition du niveau de performance requis, voir 3.1.24.
NOTE 3 Les exigences fournies dans la présente partie de l’ISO 13849 pour les systèmes électroniques
programmables sont compatibles avec la méthodologie pour la conception et le développement des systèmes,
pour les machines, de commande électriques, électroniques et électroniques programmables relatifs à la sécurité
donnés dans la IEC 61061.
NOTE 4 Pour le logiciel embarqué relatif à la sécurité pour des composants de PL = e, voir la IEC 61508-
r
3:1998, Article 7.
2 Références normatives
Les documents de références suivants sont indispensables pour l’application du présent document.
Pour les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière
édition de la publication à laquelle il est fait référence s’applique (y compris les amendements).
ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-2:2012, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 2: Validation
IEC 60050-191:1990, Vocabulaire Électrotechnique International — Chapitre 191: Sûreté de fonctionnement
et qualité de service. Amendé par IEC 60050-191-am1:1999 et IEC 60050-191-am2:2002:1999.
© ISO 2015 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO 13849-1:2015(F)
IEC 61508-3:2010, Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques
programmables relatifs à la sécurité — Partie 3:Prescriptions concernant les logiciels. Corrigée par
IEC 61508-3/Cor.1:1999
IEC 61508-4:2010, Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques
programmables relatifs à la sécurité — Partie 4: Définitions et abréviations. Corrigé par
IEC 61508-4/Cor.1:1999
IEC 62061:2012, Sécurité des machines — Sécurité fonctionnelle des systèmes de commande électriques,
électroniques et électroniques programmables relatifs à la sécurité
ISO/TR 22100-2:2013, Sécurité des machines — Relation avec l’ISO 12100 — Partie 2: Relation entre
l’ISO 12100 et l’ISO 13849-1
ISO/TR 23849, Lignes directrices relatives à l’application de l’ISO 13849-1 et de la CEI 62061 dans la
conception des systèmes de commande des machines relatifs à la sécurité
3 Termes, définitions, symboles et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 12100 et la
IEC 60050-191 ainsi que les suivants s’appliquent.
3.1.1
partie d’un système de commande relative à la sécurité
SRP/CS
partie d’un système de commande qui répond à des signaux d’entrée et génère des signaux de sortie
relatifs à la sécurité
Note 1 à l’article: Les parties combinées d’un système de commande relatives à la sécurité commencent aux
points où sont générés les signaux relatifs à la sécurité (y compris, par exemple, la came de commande et le galet
de l’interrupteur de position) et se terminent à la sortie des pré-actionneurs (y compris, par exemple, les contacts
principaux du contacteur).
Note 2 à l’article: Si un système de surveillance est utilisé pour les diagnostics, ceux‑ci sont considérés
comme des SRP/CS.
3.1.2
catégorie
classification des parties relatives à la sécurité d’un système de commande liée à leur résistance aux
défauts et à leur comportement consécutif à des défauts et qui est obtenue par l’architecture des parties,
la détection des défauts et/ou leur fiabilité
3.1.3
défaut
état d’une entité caractérisée par son inaptitude à accomplir une fonction requise, non comprise
l’inaptitude due à la maintenance préventive ou à d’autres actions programmées, ou due à un manque
de moyens extérieurs
Note 1 à l’article: Un défaut est souvent le résultat d’une défaillance de l’entité elle-même, mais il peut exister sans
défaillance préalable.
Note 2 à l’article: Dans la présente partie de l’ISO 13849, le terme «défaut» signifie «défaut aléatoire».
[SOURCE: IEC 60050‑191:1990, 05‑01.]
2 © ISO 2015 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 13849-1:2015(F)
3.1.4
défaillance
cessation de l’aptitude d’une entité à accomplir une fonction requise
Note 1 à l’article: Après défaillance d’une entité, cette entité a un défaut.
Note 2 à l’article: Une défaillance est un passage d’un état à un autre, par opposition à un défaut qui est un état.
Note 3 à l’article: La notion de défaillance, telle qu’elle est définie, ne s’applique pas à une entité constituée
seulement de logiciel.
Note 4 à l’article: Les défaillances n’affectant que la disponibilité du processus commandé ne sont pas couvertes
par le domaine d’application de la présente partie de l’ISO 13849.
[SOURCE: IEC 60050‑191:1990, 04‑01.]
3.1.5
défaillance dangereuse
défaillance qui peut potentiellement mettre une SRP/CS dans un état dangereux ou défectueux
Note 1 à l’article: La réalisation ou non du «potentiellement» peut dépendre de l’architecture de canal du système;
dans des systèmes redondants, une défaillance dangereuse du système matériel présente moins de risque
d’aboutir à un état global dangereux ou défectueux.
[SOURCE: IEC 61508‑4:1998, 3.6.7, modifiée.]
3.1.6
défaillance de cause commune
CCF
défaillances qui affectent plusieurs entités à partir d’un même événement et qui ne résultent pas les
unes des autres
Note 1 à l’article: Il convient de ne pas confondre les défaillances de cause commune et les défaillances de mode
commun (voir l’ISO 12100:2010, 3.36).
[SOURCE: IEC 60050‑191:1990‑am1:1999, 04‑23.]
3.1.7
défaillance systématique
défaillance associée de façon déterministe à une certaine cause, ne pouvant être éliminée que par
une modification de l
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.