ISO/FDIS 19014-2

PROJET
Norme
internationale
ISO/DIS 19014-2.2
ISO/TC 127/SC 2
Engins de terrassement — Sécurité
Secrétariat: ANSI
fonctionnelle —
Début de vote:
Partie 2: 2025-07-25
Conception et évaluation
Vote clos le:
2025-09-19
des exigences de matériel et
d’architecture pour les parties du
système de commande relatives à la
sécurité
Earth-moving machinery — Functional safety —
Part 2: Design and evaluation of hardware and architecture
requirements for safety-related parts of the control system
ICS: 53.100
CE DOCUMENT EST UN PROJET DIFFUSÉ
POUR OBSERVATIONS ET APPROBATION. IL
EST DONC SUSCEPTIBLE DE MODIFICATION
ET NE PEUT ÊTRE CITÉ COMME NORME
INTERNATIONALE AVANT SA PUBLICATION EN
TANT QUE TELLE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
Ce document n’a pas été rédigé par le Secrétariat central de l’ISO.
ÉTABLIR S’ILS SONT ACCEPTABLES À DES
FINS INDUSTRIELLES, TECHNOLOGIQUES ET
COMMERCIALES, AINSI QUE DU POINT DE VUE
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
TRAITEMENT PARALLÈLE ISO/CEN
CONSIDÉRÉS DU POINT DE VUE DE LEUR
POSSIBILITÉ DE DEVENIR DES NORMES
POUVANT SERVIR DE RÉFÉRENCE DANS LA
RÉGLEMENTATION NATIONALE.
LES DESTINATAIRES DU PRÉSENT PROJET
SONT INVITÉS À PRÉSENTER, AVEC LEURS
OBSERVATIONS, NOTIFICATION DES DROITS
DE PROPRIÉTÉ DONT ILS AURAIENT
ÉVENTUELLEMENT CONNAISSANCE
ET À FOURNIR UNE DOCUMENTATION
EXPLICATIVE.
Numéro de référence
ISO/DIS 19014-2.2:2025(fr)
ISO 19014-1:2025(fr)
ISO TC 127/SC 2
ISO/DIS 19014-2.2:2025(fr)
Date : 2025-07-10
Engins de terrassement — Sécurité fonctionnelle — Partie 2 :
Conception et évaluation des exigences de matériel et d’architecture
pour les parties du système de commande relatives à la sécurité

Étape DIS
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
Type de document :  Erreur ! Source du renvoi introuvable.
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
Sous-type de document :  Erreur ! Source du renvoi introuvable.
ISO copyright office
Stade du document :  Erreur ! Source du renvoi introuvable.
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève Langue du document :  Erreur ! Source du renvoi introuvable.
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Erreur ! Source du renvoi introuvable.
Web: www.iso.org
Publié en Suisse
ii
ISO 19014-2:2025(fr)
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de
cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé,
électronique ou mécanique, y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans
autorisation écrite préalable. Une autorisation peut être demandée à l’ISO à l’adresse ci-après ou au comité
membre de l’ISO dans le pays du demandeur.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone : +41 22 749 01 11
E-mail : copyright@iso.org
Website : www.iso.org
Publié en Suisse
iii
ISO 19014-2:2025(fr)
Sommaire
Page
Avant-propos . vi
Introduction . viii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 2
4 Symboles et abréviations . 3
5 Exigences générales . 4
5.1 Application. 4
5.2 SCS existant . 5
5.3 Prescriptions de sécurité et/ou mesures de prévention/réduction du risque . 5
6 Conception du système. 6
6.1 Présentation . 6
6.2 Exigences générales . 6
6.3 Conception du matériel . 7
7 Évaluation des performances de sécurité du système . 8
7.1 Niveau de performance de machine obtenu (MPL ) . 8
a
7.2 Évaluation de la sécurité du matériel . 8
7.2.1 Généralités . 8
7.2.2 Prise en compte des défauts . 9
7.2.3 Exclusion de défauts . 9
7.2.4 Temps moyen avant une défaillance dangereuse (MTTF ) . 9
d
7.3 Couverture de diagnostic (DC) . 9
7.3.1 DC de l’ESCS . 9
7.3.2 DC du N/ESCS . 10
7.4 Exigences pour MPL = d pour les systèmes de direction et de freinage hydrauliques
a
................................................................................................................................................................. 10
7.4.1 Généralités . 10
7.5 Classifications par catégories . 11
7.5.1 Généralités . 11
7.5.2 Catégorie B/Catégorie 1 . 16
7.5.3 Catégorie 2 . 18
7.5.4 Fonctions de sécurité en conflit . 18
7.5.5 Considérations relatives aux SRP/CS des systèmes opérationnels après défaillance
................................................................................................................................................................. 18
7.6 Combinaison de SCS pour obtenir un MPL global . 19
a
8 Informations pour l’utilisation et la maintenance . 21
8.1 Généralités . 21
8.2 Manuel de l’opérateur . 21
(informative) Exemples de systèmes et d’évaluations . 22
A.1 Généralités . 22
A.2 Exemple 1 — Direction électrohydraulique, catégorie B . 22
A.3 Exemple 2 — Direction hydraulique/hydraulique, catégorie 1 . 24
A.4 Exemple 3 — Frein de stationnement électrique/hydraulique, catégorie 1 . 26
© ISO #### – All rights reserved
iv
ISO 19014-2:2025(fr)
A.5 Exemple 4 — Direction électrohydraulique avec frein de stationnement
automatique, catégorie 2 . 27
A.6 Exemple 5 — Système de direction hydraulique, catégorie 1, conçu pour satisfaire à
MPLa = d. 33
A.7 Exemple 6 — Frein de service électrohydraulique, catégorie 3 . 35
(normative) Compatibilité avec d’autres normes de sécurité fonctionnelle . 39
(informative) Évaluation de la fonction de sécurité . 40
(normative) Exceptions, exclusions, ajouts à l’ISO 13849-1:2023 et l’ISO 13849-
2:2012 . 41
Annexe ZA (informative) Relation entre la présente Norme européenne et les exigences
essentielles concernées du Règlement (UE) 2023/1230 . 45
Bibliographie. 46

v
ISO 19014-2:2025(fr)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le
droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO, participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à
l’applicabilité de tout droit de propriété revendiqué à cet égard. À la date de publication du présent
document, l’ISO [avait/n’avait pas] reçu notification qu’un ou plusieurs brevets pouvaient être
nécessaires à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en
application du présent document que des informations plus récentes sont susceptibles de figurer dans
la base de données de brevets, disponible à l’adresse www.iso.org/brevets. L’ISO ne saurait être tenue
pour responsable de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité ISO/TC 127, Engins de terrassement, sous-comité SC 2,
Sécurité, ergonomie et exigences générales, en collaboration avec le comité technique CEN/TC 151,
Machines de génie civil et de production de matériaux de construction — Sécurité, du Comité européen de
normalisation (CEN), conformément à l’Accord de coopération technique entre l’ISO et le CEN (Accord
de Vienne).
Cette deuxième édition annule et remplace la première édition (ISO 19014-2:2022), qui a fait l’objet
d’une révision technique.
Les principales modifications sont les suivantes :
— les normes de référence ont été datées ;
— correction de l’erreur de MPL dans l’Annexe D et correction des erreurs typographiques « MPL » et
a
« MPL. » à la Figure D.1 ;
—
Une liste de toutes les parties de la série ISO 19014 se trouve sur le site Web de l’ISO.
© ISO #### – All rights reserved
vi
ISO 19014-2:2025(fr)
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
vii
ISO 19014-2:2025(fr)
Introduction
Le présent document traite des systèmes de tout type d’énergie utilisés pour assurer la sécurité
fonctionnelle des engins de terrassement.
Dans le domaine de la sécurité des machines, les normes sont articulées de la façon suivante :
— normes de type A (normes fondamentales de sécurité), contenant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines ;
— normes de type B (normes génériques de sécurité), traitant d’un ou de plusieurs aspects de la
sécurité ou d’un ou de plusieurs types de moyens de protection qui peuvent être utilisés pour une
large gamme de machines :
⎯ — normes de type B1, traitant d’aspects particuliers de la sécurité (par exemple, distances de
sécurité, température superficielle, bruit) ;
⎯ — normes de type B2, traitant de moyens de protection (par exemple, commandes
bimanuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs) ;
— normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité
détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type C telle que définie dans l’ISO 12100:2010.
Le présent document concerne, en particulier, les groupes de parties prenantes suivants représentant
les acteurs du marché en ce qui concerne la sécurité des machines :
— fabricants de machines (petites, moyennes et grandes entreprises) ;
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché, etc.).
D’autres partenaires peuvent être concernés par le niveau de sécurité des machines atteint à l’aide du
document par les groupes de parties prenantes mentionnés ci-dessus :
— utilisateurs de machines / employeurs (petites, moyennes et grandes entreprises) ;
— utilisateurs de machines / employés (par exemple, syndicats, organisations pour les personnes
ayant des besoins spéciaux) ;
— prestataires de services, par exemple, pour la maintenance (petites, moyennes et grandes
entreprises) ;
— consommateurs (dans le cas de machines destinées à l’utilisation par les consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer à l’élaboration
du présent document.
Les machines concernées et l’étendue des phénomènes, situations ou événements dangereux couverts
sont indiquées dans le domaine d’application du présent document.
Lorsque les prescriptions de la présente norme de type C diffèrent de celles spécifiées dans les normes
de type A ou B, les exigences de la présente norme de type C prévalent sur celles des autres normes pour
© ISO #### – All rights reserved
viii
ISO 19014-2:2025(fr)
les machines qui ont été conçues et construites conformément aux exigences de la présente norme de
type C.
ix
ISO 19014-2:2025(fr)
Engins de terrassement — Sécurité fonctionnelle — Partie 2 :
Conception et évaluation des exigences de matériel et
d’architecture pour les parties du système de commande
relatives à la sécurité
1 Domaine d’application
Le présent document spécifie les principes généraux d’élaboration et d’évaluation du niveau de
performance de machine obtenu (MPL ) des systèmes de commande de sécurité (SCS) utilisant des
a
composants alimentés par toutes les sources d’énergie (par exemple, électrique, hydraulique,
mécanique) utilisées dans les engins de terrassement et leur équipement, comme défini dans
l’ISO 6165:2022.
Les principes du présent document s’appliquent aux systèmes de commande de la machine (MCS) qui
commandent le mouvement d’une machine ou atténuent un phénomène dangereux ; ces systèmes sont
évalués pour vérifier que les exigences de niveau de performance de machine requis (MPL ) sont
r
conformes à l’ISO 19014-1:202X ou l’ISO 19014-5:202X. Les exigences relatives à l’application de la
sécurité fonctionnelle tout au long du cycle de développement d’un logiciel sont traitées dans
l’ISO 19014-4:202X.
Le présent document exclut les systèmes suivants :
— systèmes de connaissance n’ayant aucun impact sur le mouvement de la machine (par exemple,
caméras et détecteurs radar) ;
— systèmes de lutte contre l’incendie, excepté si l’activation du système interfère ou active un autre
SCS.
Le présent document exclut également les autres systèmes ou composants pour lesquels des défaillances
pourraient être constatées par l’opérateur (par exemple, les essuie-glaces, les phares, l’éclairage de la
cabine) ou ceux qui servent essentiellement à protéger la propriété. Les avertisseurs sonores sont exclus
des exigences de la couverture de diagnostic.
De plus, le présent document traite des phénomènes dangereux significatifs tels que définis dans l’ISO
12100:2010 atténués par les composants matériels dans le SCS.
Le présent document n’est pas applicable aux engins de terrassement fabriqués avant la date de sa
publication.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-1:2023, Parties des systèmes de commande relatives à la sécurité — Partie 1 : Principes
généraux de conception
ISO 19014-2:2025(fr)
ISO 13849-2:2012, Parties des systèmes de commande relatives à la sécurité — Partie 2 : Validation
ISO 19014-1:202X, Engins de terrassement — Sécurité fonctionnelle — Partie 1 : Méthodologie pour la
détermination des parties du système de commande relatives à la sécurité et les exigences de performance
ISO 19014-3:202X, Engins de terrassement — Sécurité fonctionnelle — Partie 3 : Exigences pour la
performance environnementale et l’essai des composants électroniques et électriques utilisés dans les parties
du système de commande relatives à la sécurité
ISO 19014-4:202X, Engins de terrassement — Sécurité fonctionnelle — Partie 4 : Conception et évaluation
du logiciel et de la transmission des données pour les parties du système de commande relatives à la sécurité
ISO 19014-5:202X, Engins de terrassement — Sécurité fonctionnelle — Partie 5 : Tableau des niveaux de
performance
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 12100:2010, l’ISO 13849-
1:2023 et l’ISO 19014-1:202X ainsi que les suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
— ISO Online browsing platform : disponible à l’adresse https://www.iso.org/obp
— IEC Electropedia : disponible à l’adresse https://www.electropedia.org/
3.1
système de commande électronique de sécurité (ESCS)
système de commande de sécurité constitué de composants électroniques, du dispositif d’entrée au
dispositif de sortie
3.2
fonction
comportement défini d’un ou de plusieurs MCS
Note 1 à l’article : Une unité de commande (par exemple, unité de commande électronique) peut exécuter plusieurs
fonctions. Lorsque plusieurs fonctions de sécurité sont contenues dans une unité de commande, chaque fonction de
sécurité et le circuit associé sont analysés de façon séparée.
3.3
système de commande non électronique de sécurité (N/ESCS)
système de commande de sécurité constitué de composants non électroniques, du dispositif d’entrée au
dispositif de sortie
3.4
état de sécurité
état dans lequel l’équipement, le processus ou le système commandé est automatiquement ou
manuellement arrêté ou basculé dans un mode permettant d’empêcher un comportement inattendu ou
le dégagement potentiellement dangereux d’énergie accumulée à la suite d’un défaut du système de
contrôle-commande de l’engin
Note 1 à l’article : Un état de sécurité peut inclure également le maintien de la fonction (3.2) du système de
commande de sécurité (par exemple, la direction) en cas de défaut unique, selon le type de danger devant être
réduit.
ISO 19014-2:2025(fr)
[SOURCE : ISO 3450:2011, 3.15, modifié — « dysfonctionnement » a été remplacé par « défaut »,
« fonctionnement » a été remplacé par « comportement » et la Note 1 à l’article a été ajoutée.]
3.5
composant éprouvé
composant pour utilisation relative à la sécurité qui a été largement utilisé dans le passé avec des
résultats satisfaisants pour les mêmes utilisations ou des utilisations similaires, et qui a été fabriqué et
vérifié en utilisant les principes qui démontrent qu’il est adapté et fiable pour les utilisations relatives à
la sécurité
3.6
tolérance aux anomalies du matériel
HFT
aptitude d’un sous-système à la perte potentielle de la fonction de sécurité en cas de N+1 anomalies au
moins
Note 1 à l’article : Une tolérance aux anomalies du matériel N signifie que N+1 anomalies d’un sous-système peuvent
provoquer la perte de la fonction de sécurité.
[SOURCE : IEC 62061:2021, 3.2.35]
3.7
système opérationnel après défaillance
système capable de fonctionner après une défaillance
3.8
à sécurité intégrée
conçu pour retrouver une condition de sécurité en cas de défaillance ou de dysfonctionnement, etc.
[SOURCE : ISO 21927-1:2008(en), 3.6]

4 Symboles et abréviations
Pour les besoins du présent document, les symboles et abréviations suivants s’appliquent.
a, b, c, d, e niveaux de performance requis de la machine
ASIC circuit intégré spécifique à l’application
B, 1, 2, 3, 4 dénomination des catégories
CCF défaillance de cause commune
DC couverture du diagnostic
DC couverture du diagnostic moyenne
moy
ECU unité de commande électronique
EMM engin de terrassement
ISO 19014-2:2025(fr)
ESCS système de commande électronique de sécurité
AMDE analyse des modes de défaillance et de leurs effets
AMDED analyse des modes de défaillance, de leurs effets et de leurs diagnostics
FPGA circuit logique programmable
HFT tolérance aux anomalies du matériel
MCS système de commande de la machine
MPL niveau de performance de machine
MPLa niveau de performance de machine obtenu
MPL niveau de performance de machine requis
r
MTTF temps moyen avant défaillance
MTTF temps moyen avant une défaillance dangereuse
d
N/ESCS système de commande non électronique de sécurité
OTE sortie de l’équipement d’essai
PL niveau de performance
A/P ajout parallèle
SCS système de commande de sécurité
SRP/CS partie d’un système de commande relative à la sécurité
TE équipement d’essai
5 Exigences générales
5.1 Application
La série ISO 19014 doit être utilisée conjointement avec la série ISO 13849 lorsqu’elle s’applique aux
engins de terrassement (EMM). Lorsque des exigences spécifiques sont données dans le présent
document, celles-ci l’emportent sur celles de la série ISO 13849 ; cependant, lorsqu’aucune exigence
spécifique n’est donnée dans le présent document, la série ISO 13849 doit s’appliquer, en utilisant PL à la
place de MPL (par exemple, MPL = b est analogue à PL = b). Pour un résumé des articles applicables dans
la série ISO 13849 ou le présent document, voir Tableaux D.1 et D.2 à l’Annexe D.
Les principes du présent document doivent être appliqués aux MCS considérés comme des SCS dans
l’ISO 19014-1:202X ou l’ISO 19014-5:202X. Les autres systèmes de commande de la machine qui
ISO 19014-2:2025(fr)
perturbent ou inhibent une fonction de sécurité du système de commande de sécurité doivent se voir
attribuer le même niveau de performance de machine que le système qu’ils perturbent ou inhibent.
Les logiciels liés à la sécurité dans tous les composants du SCS doivent répondre aux exigences de
l’ISO 19014-4:202X.
5.2 SCS existant
Lorsqu’un SCS existant a été élaboré conformément à une norme précédente et qu’il a été démontré à
travers l’utilisation et la validation de l’application qu’il réduisait la probabilité d’un phénomène
dangereux au niveau le plus bas pouvant raisonnablement être atteint, il n’est pas nécessaire de mettre à
jour la documentation du cycle de vie. Lorsque le SCS utilisé précédemment est modifié, une analyse
d’impact (voir ISO 19014-4:202X, 3.27) des modifications doit être effectuée et un plan d’action doit être
élaboré et mis en œuvre pour vérifier que les exigences de sécurité sont satisfaites.
5.3 Prescriptions de sécurité et/ou mesures de prévention/réduction du risque
Les machines doivent être conformes aux exigences de sécurité et/ou aux mesures de
prévention/réduction des risques du présent article. De plus, la machine doit être conçue selon les
principes de l’ISO 12100:2010 pour les phénomènes dangereux pertinents mais non significatifs qui ne
sont pas traités dans le présent document.

ISO 19014-2:2025(fr)
6 Conception du système
6.1 Présentation
De nombreuses fonctions de sécurité des machines mobiles ne sont pas équipées de sorties de marche et
arrêt comme pour les fonctions de sécurité des machines non mobiles et ces sorties ne sont pas toujours
ajoutées sur une machine uniquement pour atténuer les phénomènes dangereux. Par exemple, les
commandes de direction, de freins de service, d’orientation et des accessoires peuvent avoir des sorties
modulées ou variables dans certaines limites. Même si ce type de systèmes peut s’intégrer dans les
architectures de la série ISO 13849, les concepteurs doivent tenir compte de la manière dont les
caractéristiques des fonctions de sécurité peuvent différer sur une machine mobile. Les considérations
en la matière incluent, par exemple, des questions telles que :
a) Le système a-t-il besoin d’une commande en boucle fermée ou en boucle ouverte pour traiter les taux
d’applications incorrectes ?
b) Le système doit-il traiter les phénomènes dangereux associés à une activation non commandée ainsi
que les pannes sur demande ?
Une fonction de sécurité qui repose sur un système de commande visant à fournir l’atténuation des
phénomènes dangereux nécessaire pour la machine peut être mise en œuvre par un SCS dans le cadre du
présent document. Un SCS peut contenir une ou plusieurs SRP/CS, et plusieurs SCS peuvent partager une
ou plusieurs SRP/CS (par exemple, une unité logique, des pré-actionneurs). Une SRP/CS peut aussi mettre
en œuvre à la fois des fonctions de sécurité et des fonctions non liées à la sécurité.
NOTE Pour les indicateurs d’avertissement d’action immédiate, voir ISO 19014-1:202X, Annexe B.
Certains systèmes sur les machines mobiles doivent maintenir un état de fonctionnement même en cas
de panne. Même si l’ISO 13849-1:2023 le permet, des mesures supplémentaires sont nécessaires pour
s’assurer que cela puisse se produire en toute sécurité et que les canaux parallèles ne sont pas en conflit
les uns avec les autres et que les systèmes fonctionnent conformément aux exigences de l’architecture
déclarée.
L’Annexe B définit les exigences minimales devant être respectées pour utiliser des systèmes, sous-
systèmes et SRP/CS développés et évalués par des méthodes autres que celles de la série ISO 19014.
6.2 Exigences générales
Une fois les fonctions de sécurité du SCS identifiées, les exigences correspondant à chaque SCS doivent
être documentées. Pendant le cycle de vie de sécurité, les exigences de sécurité sont détaillées et
spécifiées de manière plus approfondie selon des niveaux hiérarchiques. Toutes les exigences de sécurité
doivent être écrites de manière à ne pas présenter d’ambiguïtés, à être cohérentes avec les autres
exigences et à pouvoir être mises en œuvre.
Les aspects de conception suivants doivent être pris en compte :
— les signaux d’entrée ou de sortie contradictoires ;
— la perte de signaux et d’énergie d’actionnement pour l’un ou l’autre système (par exemple,
alimentation en huile séparée pour chaque canal, alimentation redondante pour les ECU) ;
— les états de sécurité conflictuels requis par les multiples types de défaillance traités par le système ;
— les systèmes qui exigent un concept de fonctionnement opérationnel après défaillance ;
ISO 19014-2:2025(fr)
— les processus d’évaluation sont indépendants du processus de conception ;
— lorsque les SCS sont conçus pour être utilisés de manière synchronisée (par exemple, dans le cadre
de l’automatisation d’une tâche), le système de commande doit être conçu de manière à pouvoir
atténuer les phénomènes dangereux dus à un manque de synchronisation.
NOTE Un exemple EMM de cette synchronisation est une flèche, un bras et un godet d’une pelle hydraulique qui
sont commandés simultanément par un système de commande de nivellement.
6.3 Conception du matériel
La structure du matériel des SCS peut fournir des mesures (par exemple, redondance, diversité et
surveillance) permettant d’éviter, de détecter ou de tolérer les défauts. Les mesures pratiques peuvent
inclure la redondance, la diversité et la surveillance.
Le processus de développement matériel doit se conformer à l’ISO 13849-1:2023, tel que mentionné à
l’Annexe E. Il convient que le concepteur commence au niveau du système où les fonctions de sécurité et
les exigences associées sont identifiées. Le système peut être décomposé en sous-systèmes pour faciliter
le développement.
Le cas échéant, chaque phase du cycle de développement doit être vérifiée.
La Figure 1 décrit le processus de développement matériel en forme de modèle en V. Tout processus
éprouvé organisé qui satisfait aux exigences de la série ISO 19014 peut être utilisé pour compléter le
processus de conception.
Figure 1 — Développement matériel — Modèle en V
ISO 19014-2:2025(fr)
7 Évaluation des performances de sécurité du système
7.1 Niveau de performance de machine obtenu (MPL )
a
L’intégrité obtenue des parties relatives à la sécurité à réaliser une fonction de sécurité est exprimée par
la détermination du MPL .
a
L’aptitude à réaliser une fonction de sécurité dans les conditions environnementales escomptées comme
le prévoit l’ISO 19014-3:202X doit être démontrée et documentée.
La procédure d’évaluation de MPL est la suivante :
a
a) identifier l’environnement de fonctionnement du composant et le niveau de contrainte ;
b) choisir les composants ;
c) identifier et documenter les exclusions de défauts (7.2) ou utiliser l’analyse du système appropriée
(par exemple, AMDE, analyse par arbre de défaillances) ;
d) calculer le MTTF (voir ISO 13849-1:2023, Annexe D) et vérifier que le MTTF satisfait aux niveaux
d d
requis (voir ISO 13849-1:2023) ;
e) déterminer si le matériel peut fournir le niveau de DC requis (ISO 13849-1:2023, Annexe E). Pour les
systèmes reposant sur une interaction logicielle pour déterminer une couverture de diagnostic, cette
analyse vise à déterminer uniquement si le matériel est en mesure de supporter la DC et non pas à
vérifier que les exigences de DC du système sont satisfaites ;
f) si nécessaire, prendre en compte la CCF (voir ISO 13849-1:2023, Annexe F) ;
g) prendre en compte la défaillance systématique (ISO 13849-1:2023, Annexe G) ;
h) prendre en compte une éventuelle interaction avec d’autres fonctions de sécurité ;
i) pour une conception de FPGA et d’ASIC, voir IEC 61508-2:2010, Annexes E ou F.
Les systèmes auxquels est attribuée une QM sont traités par un système de management de la qualité
(par exemple ISO 9001 ou équivalent).
Voir Annexe C pour des informations supplémentaires concernant l’évaluation de la fonction de sécurité.
7.2 Évaluation de la sécurité du matériel
7.2.1 Généralités
L’ISO 13849-2:2012, Annexes A à D, énumère les défauts, les exclusions de défauts et les défaillances pour
plusieurs types de composants, mais n’est pas exhaustive. Tous autres défauts, exclusions de défauts et
défaillances pris en compte doivent être énumérés et il convient d’expliquer clairement la méthode
d’évaluation.
Une analyse des modes de défaillance et de leurs effets (AMDE), une analyse par arbre de défaillances ou
une analyse du système équivalente doit être réalisée pour établir les défauts et les exclusions de défauts.

ISO 19014-2:2025(fr)
7.2.2 Prise en compte des défauts
Si, en conséquence d’un défaut, des composants supplémentaires sont défectueux, le premier défaut et
tous les suivants sont considérés comme constituant un défaut unique. Deux défauts ou plus ayant une
cause commune sont considérés comme constituant un seul défaut (désigné « défaillance de cause
commune » (CCF)). L’occurrence simultanée d’au moins deux défauts indépendants est très peu probable
et n’a donc pas à être prise en considération.
7.2.3 Exclusion de défauts
Les exclusions de défauts sont utilisées dans le développement matériel comme moyen d’atténuer les
mécanismes de défaillance entraînant des phénomènes dangereux connus conformément aux meilleures
pratiques de l’industrie. Une exclusion de défauts constitue un compromis entre des exigences techniques
de sécurité et la possibilité théorique d’occurrence d’un défaut.
L’exclusion de défauts peut reposer sur les critères suivants :
— l’improbabilité technique de l’occurrence de certains défauts ;
— l’expérience technique généralement admise qui peut s’appliquer indépendamment de l’application
considérée ;
— des exigences techniques relatives à l’application et au phénomène dangereux spécifique.
La documentation technique doit justifier de manière détaillée tous les défauts exclus.
Les exclusions de défauts peuvent s’appliquer à travers la hiérarchie suivante :
1. sur la base de chaque défaut examiné l’un après l’autre : une fois tous les défauts identifiés, certains
peuvent être exclus sur la base des critères ci-dessus. Les autres peuvent être gérés par diagnostic
au sein du système de commande ;
2. au niveau du composant : si tous les défauts de SCS connus peuvent être exclus au niveau du
composant, l’exclusion du défaut peut s’appliquer à la totalité du composant ;
3. au niveau du système : si tous les défauts dans tous les composants ont été traités par exclusions de
défauts, une analyse des systèmes hydrauliques peut être réalisée en utilisant le processus en 7.4.
Des systèmes purement mécaniques peuvent faire l’objet d’une exclusion de défauts au niveau du
système si des composants sont conçus selon un coefficient de sécurité approprié et que des
exigences de maintenance pour conserver la fonctionnalité correcte du système sont incluses dans
la documentation d’entretien conformément à l’Article 8.
7.2.4 Temps moyen avant une défaillance dangereuse (MTTF )
d
Le processus de détermination du MTTF est mentionné dans l’ISO 13849-1:2023, 6.1.4. Tandis que
d
l’ISO 13849-1 recommande l’hypothèse de principe de 50 % de défaillance dangereuse (par exemple, B
10d
= 2 × B ), des taux de défaillance inférieurs peuvent être utilisés s’ils sont pris en charge par des analyses
(par exemple, données empiriques, AMDE).
7.3 Couverture de diagnostic (DC)
7.3.1 DC de l’ESCS
Voir ISO 13849-1:2023, 6.1.5.
ISO 19014-2:2025(fr)
7.3.2 DC du N/ESCS
La DC des systèmes non électriques est déterminée de la ou des façons suivantes.
a) Sélection du type analogue le plus applicable de la note de couverture de diagnostic dans l’ISO 13849-
1:2023, Annexe E. Par exemple, une vanne sélecteur de circuit qui compare les pressions d’huile et
exécute une action sur la base de ces pressions est comparable à une surveillance continue. Dans ce
cas, une note de 99 % peut lui être attribuée.
b) Calcul du pourcentage de la DC au moyen d’une AMDED.
c) L’exclusion de défauts peut être appliquée à toutes les défaillances ou seulement à certaines d’entre
elles. Si seules certaines défaillances sont exclues, la DC appropriée doit alors être calculée.
d) Le couplage mécanique direct de composants peut être considéré comme constituant une DC de
99 %.
7.4 Exigences pour MPL = d pour les systèmes de direction et de freinage hydrauliques
a
7.4.1 Généralités
Les systèmes de direction et de freinage hydrauliques (hydromécaniques et électrohydrauliques) évalués
à MPL = d doivent avoir une alimentation en huile secondaire et une surveillance de la pression avec un
r
avertissement lorsque la pression d’huile fournie au système est faible (voir ISO 5010:2019 et
ISO 3450:2011 pour les exigences).
Les systèmes suivants satisfont aux exigences d’alimentation en huile secondaire :
— les systèmes de direction hydrauliques qui continuent à diriger en cas de défaillance de l’alimentation
en huile primaire ;
— les systèmes de freinage qui actionnent le frein par ressort en cas de faible pression d’huile.
Les freins actionnés par ressort et la direction à clapet de répartition de débit capables de fournir une
direction sans pression de pompe ne nécessitent pas d’avertissement car ils peuvent maintenir l’état de
sécurité sans action supplémentaire de l’opérateur.
En outre, les systèmes de commande de direction et de freinage hydromécaniques doivent être conçus
conformément à l’une des options suivantes :
— pour satisfaire aux exigences architecturales et de catégorie correspondantes conformément à 7.5 du
présent document ;
ou
— pour satisfaire aux exigences de la catégorie 1 et être admissibles à une exclusion de défauts
spécifiques aux engins de terrassement en satisfaisant aux exigences suivantes :
⎯ instructions, dans le manuel de l’opérateur ou dans toute autre documentation d’entretien (voir
Article 8), sur la manière d’entretenir le système tout au long du cycle de vie de la machine, y
compris, sans toutefois s’y limiter :
⎯ fonctionnement du système dans les limites spécifiées ;
ISO 19014-2:2025(fr)
⎯ procédures pour chauffer l’huile hydraulique jusqu’à son état de fonctionnement ;
⎯ types d’huile compatibles ;
⎯ intervalles et activités de maintenance ;
⎯ exigences de propreté de l’huile ;
— les exigences de sécurité ont été partagées avec le fournisseur ;
— principes de sécurité de base et éprouvés qui s’appliquent au système hydraulique (voir ISO 13849-
2, Annexe C) ;
— démontrer, par le biais d’exigences de performance établies, que le système a des performances
adéquates pour l’application ;
— il est nécessaire de qualifier les composants en fonction de leur destination ;
— il convient de placer les composants de manière à réduire le plus possible l’impact de l’eau, de la boue
ou d’autres contaminants environnementaux sur le fonctionnement fiable des composants ;
— la performance vibratoire des composants doit être vérifiée pour être compatible avec le profil
vibratoire de la machine ;
— le système de filtration fourni doit être capable de maintenir le niveau de propreté requis lors des
changements de filtre, conformément aux instructions des manuels d’utilisation et de maintenance
ou d’entretien.
Le fabricant d’équipement d’origine doit fournir des preuves dans la documentation de sécurité
fonctionnelle à l’appui de la demande d’exclusion de défauts.
7.5 Classifications par catégories
7.5.1 Généralités
L’architecture appropriée doit être sélectionnée pour satisfaire aux exigences du système. Même s’il
existe une grande variété de structures possibles, les concepts de base sont souvent similaires. Ainsi, les
structures présentes peuvent être mises en correspondance avec l’une des catégories décrites dans
l’ISO 13849-1:2023, 6.1.3. Une représentation type sous forme de diagramme relatif à la sécurité est
fournie pour chaque catégorie. Ces réalisations typiques sont appelées « architectures désignées » et sont
énumérées dans le contexte de chacune des catégories suivantes.
ISO 19014-2:2025(fr)
Certains SCS sont très complexes et ne correspondent pas toujours exactement à l’une des architectures
désignées. Les conceptions qui satisfont les propriétés de la catégorie respective sont généralement
équivalentes à l’architecture désignée correspondante de la catégorie. Les Figures 2 et 3 représentent des
architectures générales, non des exemples spécifiques. Un écart par rapport à ces architectures est
possible, mais doit être justifié au moyen d’outils analytiques appropriés pouvant démontrer que le
système satisfait au niveau de performance requis. Pour les architectures alternatives, la tolérance aux
anomalies du matériel (HFT) et toute autre exigence doivent rester équivalentes à la catégorie concernée.
Les architectures désignées doivent être considérées comme des diagra
...