ISO 13849-1:2006/FDAmd 1
(Amendment)Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design - Amendment 1
Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design - Amendment 1
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception — Amendement 1
General Information
Relations
Frequently Asked Questions
ISO 13849-1:2006/FDAmd 1 is a draft published by the International Organization for Standardization (ISO). Its full title is "Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design - Amendment 1". This standard covers: Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design - Amendment 1
Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design - Amendment 1
ISO 13849-1:2006/FDAmd 1 is classified under the following ICS (International Classification for Standards) categories: 13.110 - Safety of machinery. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 13849-1:2006/FDAmd 1 has the following relationships with other standards: It is inter standard links to ISO 12742:2007, ISO 13849-1:2006, ISO 13849-1:2015. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO 13849-1:2006/FDAmd 1 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
FINAL ISO
AMENDMENT
DRAFT 13849-1:2006
FDAM 1
ISO/TC 199
Safety of machinery — Safety-related
Secretariat: DIN
parts of control systems —
Voting begins on:
2015-03-19
Part 1:
General principles for design
Voting terminates on:
2015-05-19
AMENDMENT 1
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
AMENDEMENT 1
Please see the administrative notes on page iii
RECIPIENTS OF THIS DRAFT ARE INVITED TO
SUBMIT, WITH THEIR COMMENTS, NOTIFICATION
OF ANY RELEVANT PATENT RIGHTS OF WHICH
THEY ARE AWARE AND TO PROVIDE SUPPORT-
ING DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
Reference number
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO-
ISO 13849-1:2006/FDAM 1:2015(E)
LOGICAL, COMMERCIAL AND USER PURPOSES,
DRAFT INTERNATIONAL STANDARDS MAY ON
OCCASION HAVE TO BE CONSIDERED IN THE
LIGHT OF THEIR POTENTIAL TO BECOME STAN-
DARDS TO WHICH REFERENCE MAY BE MADE IN
©
ISO 2015
NATIONAL REGULATIONS.
ISO 13849-1:2006/FDAM 1:2015(E)
© ISO 2015
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form or by any
means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior written permission.
Permission can be requested from either ISO at the address below or ISO’s member body in the country of the requester.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
ISO/CEN PARALLEL PROCESSING
This final draft has been developed within the European Committee for Standardization (CEN), and
processed under the CEN-lead mode of collaboration as defined in the Vienna Agreement. The final draft
was established on the basis of comments received during a parallel enquiry on the draft.
This final draft is hereby submitted to the ISO member bodies and to the CEN member bodies for a parallel
two-month approval vote in ISO and two-month formal vote in CEN.
Positive votes shall not be accompanied by comments.
Negative votes shall be accompanied by the relevant technical reasons.
ISO 13849-1:2006/FDAM 1:2015(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
Amendment 1 to ISO 13849-1:2006 was prepared by Technical Committee ISO/TC 199, Safety of machinery
and by Technical Committee CEN/TC 114, Safety of machinery in collaboration.
FINAL DRAFT AMENDMENT ISO 13849-1:2006/FDAM 1:2015(E)
Safety of machinery — Safety-related parts of control
systems — Part 1: General principles for design
AMENDMENT 1
Foreword
Last paragraph:
Delete reference to "ISO 13849-100" since Part 100 had been withdrawn
Introduction
Paragraph after listing:
Update reference "ISO 12100-1" to "ISO 12100"
th
4 paragraph:
Update reference "Council Directive 98/37/EC, The machinery Directive" to "Directive 2006/42/EC on
machinery"
th
9 paragraph:
Delete the word "help" in the first sentence.
Table 1 and paragraph before Table 1:
Replace Table 1 and the paragraph before Table 1 by the following paragraph:
"IEC 62061 and this part of ISO 13849 specify requirements for the design and implementation of safety-
related control systems of machinery. The use of either of these International Standards, in accordance with
their scopes, can be presumed to fulfil the relevant essential safety requirements. ISO/TR 23849 gives
guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for
machinery."
i © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
Add the following table headline after the new paragraph, in order to avoid the renumbering of all tables and
the respective references:
"Table 1 deleted"
Scope
Delete NOTE 5 and substitute the last sentence of the first paragraph by:
"It applies to SRP/CS for high demand and continuous mode, regardless of the type of technology and energy
used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery."
Normative references
Delete references:
"ISO 12100-1:2003, Safety of machinery — Basic concepts, general principles for design — Part 1: Basic
terminology, methodology
ISO 12100-2:2003, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles
ISO 14121, Safety of machinery — Principles of risk assessment"
Add references:
"ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO/TR 22100-2:2014, Safety of machinery — Relationship with ISO 12100 — Part 2: How ISO 12100 relates
to ISO 13849-1
ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related
control systems for machinery
IEC 62061:2012, Safety of machinery — Functional safety of safety–related electrical, electronic and
programmable electronic control systems"
3.1 Terms and definitions
Change definition 3.1.12 as follows:
"hazardous situation
circumstance in which a person is exposed to at least one hazard
NOTE 1 to entry: The exposure can result in harm immediately or over a period of time.
[SOURCE: ISO 12100:2010, 3.10.]"
2 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
Update reference by replacing "ISO 12100-1" by "ISO 12100":
3.1.6
Update source in NOTE 1 to entry by replacing "(see ISO 12100-1:2003, 3.34)" by "(see ISO 12100:2010,
3.36)"
3.1.10
Update source of definition by replacing "[ISO 12100-1:2003, 3.5]" by "[SOURCE: ISO 12100:2010, 3.5.]"
3.1.11
Update source of definition by replacing "[ISO 12100-1:2003, 3.6]" by "[SOURCE: ISO 12100:2010, 3.6,
modified.]"
3.1.13
Update source of definition by replacing "[ISO 12100-1:2003, 3.11]" by "[SOURCE: ISO 12100:2010, 3.12.]"
3.1.14
Update reference in NOTE 1 to entry by replacing "ISO 12100-1:2003, definition 3.12" by "ISO 12100:2010,
definition 3.13"
3.1.15
Update source of definition by replacing "[ISO 12100-1:2003, 3.13]" by "[SOURCE: ISO 12100:2010, 3.17.]"
3.1.16
Update source of definition by replacing "[ISO 12100-1:2003, 3.14]" by "[SOURCE: ISO 12100:2010, 3.15.]"
3.1.17
Update source of definition by replacing "[ISO 12100-1:2003, 3.16]" by "[SOURCE: ISO 12100:2010, 3.16.]"
3.1.18
Update source of definition by replacing "[ISO 12100-1:2003, 3.22]" by "[SOURCE: ISO 12100:2010, 3.23.]"
3.1.19
Update source of definition by replacing "[ISO 12100-1:2003, 3.23]" by "[SOURCE: ISO 12100:2010, 3.24.]"
3.1.20
Update source of definition by replacing "[ISO 12100-1:2003, 3.28]" by "[SOURCE: ISO 12100:2010, 3.30.]"
3.1.27
Update reference in NOTE 1 to entry by replacing "ISO 12100-1:2003, definition 3.18" by "ISO 12100:2010,
definition 3.19"
ISO 13849-1:2006/FDAM 1:2015(E)
Add new definition 3.1.38:
"3.1.38
high demand or continuous mode
mode of operation in which the frequency of demands on a SRP/CS is greater than one per
year or the safety related control function retains the machine in a safe state as part of normal operation
[SOURCE: IEC 62061:2012, 3.2.27, modified.]"
Add new definition 3.1.39:
"3.1.39
proven in use
demonstration, based on an analysis of operational experience for a specific configuration of an element, that
the likelihood of dangerous systematic faults is low enough so that every safety function that uses the element
achieves its required performance level (PL )
r
[SOURCE: IEC 61508-4:2010, 3.8.18, modified.]"
3.2 Symbols and abbreviated terms
Add in Table 2:
PFH average probability of dangerous failure per hour Table 3 and
D
Table K.1
r Testrate 3.1.29
t
4.1 Safety objectives in design
First paragraph:
Delete the reference "and ISO 14121" in the first sentence.
4 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
Replace Figure 1 with the following Figure (this new figure contains no technical modifications, but updates
references/wordings):
a
Refers to ISO 12100:2010.
b
Refers to this part of ISO 13849.
ISO 13849-1:2006/FDAM 1:2015(E)
4.2.1 General
First paragraph:
In order to update the references, replace first paragraph with:
"The strategy for risk reduction at the machine is given in ISO 12100:2010, 6.1, and further guidance is given
in ISO 12100:2010, 6.2 (inherent design measures) and 6.3 (safeguarding and complementary protective
measures). This strategy covers the whole life cycle of the machine."
Second paragraph:
In order to update the references, replace the three items with:
"
⎯ hazard elimination or risk reduction by design (see ISO 12100:2010, 6.2);
⎯ risk reduction by safeguarding and possibly complementary protective measures (see ISO 12100:2010,
6.3);
⎯ risk reduction by the provision of information for use about the residual risk (see ISO 12100:2010, 6.4).
"
4.2.2 Contribution to the risk reduction by the control system
th
First paragraph, 4 sentence:
Replace the word "safeguard" with "interlocking guard"
Add the following Note after the first paragraph:
"Note: There is no need to apply this strategy of risk reduction on non-safety related parts of control systems
or purely functional elements of a machine (see ISO TR 22100-2:2014, clause 3)."
nd
Third paragraph, 2 sentence:
Change the sentence into "Five performance levels are set out, from the lowest PL a to the highest PL e with
defined ranges of probability of a dangerous failure per hour (see Table 3)."
Add the following paragraph before table 3:
"In order to achieve a PL, beside quantifiable aspects, it is also necessary to satisfy requirements related to
qualitative aspects of PL (see 4.5).
Table 3:
Change the title of the second column into "Average probability of dangerous failure per hour (PFH ) 1/h".
D
6 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
Delete the Note in the table.
Fourth paragraph, below Table 3:
Replace "(see ISO 14121)" with "(see ISO 12100)"
ISO 13849-1:2006/FDAM 1:2015(E)
Figure 3:
Replace Figure 3 by the following Figure (some clarification of the big box in the middle):
a
ISO 13849-2 provides additional help for the validation.
8 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
Figure 4:
Change the key for figure 4 into:
"Key
I input (e.g. limit switch, sensor, AOPD)
L logic
O output (e.g. valve, contactor, current converter)
1 initiation event (e.g. manual actuation of a push button, opening of guard, interruption of beam of AOPD)
2 machine actuator (e.g. motor, cylinder)"
4.5.1 Performance level PL
Replace NOTE 2 by the following new NOTE 2:
"NOTE 2 For the design of complex control systems, such as PES designed to perform safety functions,
the application of other relevant standards can be appropriate (e.g. IEC 61508 or IEC 61496)."
Add the following new paragraph below Table 4:
"When a safety related control function is designed using one or more SRP/CS, each SRP/CS shall be
designed either according to ISO 13849-1 or according to IEC 62061/ IEC 61508 (see also ISO/TR 23849)
although there is correspondence between the PLs of this standard and the SILs of standards IEC 61508 and
IEC 62061. SRP/CSs can be combined according to 6.3."
4.5.2 Mean time to dangerous failure of each channel (MTTF )
D
Second paragraph:
Change the second paragraph as follows and add a new NOTE:
"For each SRP/CS (subsystem) according to table 5, the maximum value of MTTF for each channel is 100
D
years. For Category 4 SRP/CS (subsystems) the maximum value of MTTF for each channel is increased to
D
2500 years.
NOTE This higher value is justified because in Category 4 the other quantifiable aspects, structure and DC, are at
their maximum point and this allows the series combination of more than 3 subsystems (SRP/CS) with Category 4 and
achieve PL e in accordance to Clause 6.3."
4.5.3 Diagnostic coverage (DC)
nd
2 paragraph:
Change the second paragraph as follows:
"For the estimation of DC, in most cases, failure mode and effects analysis (FMEA, see IEC 60812) or similar
methods can be used. In this case, all relevant faults and/or failure modes should be considered. For a
simplified approach to estimating DC, see Annex E."
ISO 13849-1:2006/FDAM 1:2015(E)
Add a new NOTE below Table 6:
"NOTE Examples of estimation of the diagnostic coverage (DC) are given in Annex E."
4.5.4 Simplified procedure for estimating PL
Replace headline of clause 4.5.4 with:
"4.5.4 Simplified procedure for estimating the quantifiable aspects of PL"
nd
2 Paragraph:
Change the first sentence into:
"This clause describes a simplified procedure for estimating the quantifiable aspects of PL of a SRP/CS based
on designated architectures."
Fifth paragraph:
Update the reference by replacing "(see ISO 12100-1:2003, Annex A)" with "(see ISO 12100:2010, Annex A)"
rd
Replace the 3 indent by:
"— for category 2, demand rate ≤ 1/100 test rate (see also Note in Annex K); or testing occurs immediately
upon demand of the safety function and the overall time to detect the fault and to bring the machine to a
non-hazardous condition (usually to stop the machine) is shorter than the time to reach the hazard (see
also ISO 13855);"
th
Replace the 4 indent by:
"— for category 2, MTTF of the testing channel is greater than one half of MTTF of the functional channel."
D D
th
Delete the Note after the 4 indent.
th
9 paragraph:
Change the paragraph into:
"For SRP/CS with software, the requirements of 4.6 shall be applied."
10 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
th
12 paragraph:
Update the reference by replacing "(see also ISO 12100-2:2003, Clause 3 and IEC 60204-1:2000)" with "(see
also ISO 12100:2010, Clause 3 and IEC 60204-1:2005)"
Add the following new paragraph as 4.5.5:
"
4.5.5 Description of the output part of the SRP/CS by category
If for mechanical, hydraulic or pneumatic components (or components comprising a mixture of technologies)
no application–specific reliability data is available, the machine manufacturer may evaluate the quantifiable
aspects of the PL without any MTTF -calculation.
D
For such cases, the safety-related performance level (PL) is implemented by the architecture, the diagnostic
and the measures against CCF.
Table 8 shows the relationship between achievable PL (corresponding to Figure 5) and categories. PL a and
PL b can be implemented with Cat. B. PL c can be implemented with Cat. 1 or Cat. 2, if well-tried components
and well-tried safety principles are used.
When implementing an PL c safety function with Cat.1, the T values of safety-relevant components that are
10D
not monitored in the process, are determined. This T values can be determined based on proven in use
10D
data by machine manufacturer.
The MTTF of the test channel in Cat. 2 shall at least be 10 years.
D
PL d can be implemented with Cat. 3 ,if well-tried components and well-tried safety principles are used. PL e
can be implemented with Cat. 4, if well-tried components and well-tried safety principles are used.
Basically: In the implementation of the safety function with Cat. 2, Cat. 3 or Cat. 4 common-cause failures
(CCF) and a sufficient diagnostic coverage (DC) have to be considered (low, medium for Cat. 2 and 3, high for
Cat. 4).
In this case the calculation of the DC is reduced to the arithmetic mean value of all components individuals
avg
DCs in the functional channel.
Table 1 — PL and PFH as worst case estimation based on category, DC , and use of well-tried
D avg
components
PFH (1/h) Cat. B Cat. 1 Cat. 2 Cat. 3 Cat. 4
D
PL a 2*10-5
O O O O
●
PL b 5*10-6
O O O O
●
PL c 1,7*10-6
O O
- ●2* ●1*
2,9*10-7
O
PL d
- - - ●1*
4,7*10-8
PL e
- - - -
●1*
Applied category is recommended
●
Applied category is optional
O
Category is not allowed
-
ISO 13849-1:2006/FDAM 1:2015(E)
Proven in use (see 3.1.39) or well-tried (confirmed by the
component manufacturer to be suitable for the particular
1*
application) components and well-tried safety principles must be
used
Well-tried components and well-tried safety principles must be
used.
2* For safety-related components that are not monitored in the
process, the T value can be determined based on proven in use
10D
data by the machine manufacturer.
"
4.6.2 Safety-related embedded software (SRESW)
nd th
Change in listing on page 22 (2 listing in clause 4.6.2) in the 6 indent "separation in non-safety-related
software" to "separation from non-safety-related software"
Add at the end of clause 4.6.2, below NOTE 2, the following new paragraph:
"For components for which SRESW requirements are not fulfilled, e.g. PLCs without safety rating by the
manufacturer, these components may be used under the following alternative conditions:
⎯ the SRP/CS is limited to PL a or b and uses category B, 2 or 3;
⎯ the SRP/CS is limited to PL c or d and may use multiple components for two channels in category 2 or 3.
The components of these two channels use diverse technologies."
4.8 Ergonomics aspects of design
First paragraph:
Replace "ISO 12100-2" with "ISO 12100" and "IEC 60204-1:2000, Clause 10" with "IEC 60204-1:2005, Clause
10"
Third paragraph:
Update the reference by replacing "ISO 12100-2:2003, 4.8" with "ISO 12100:2010, 6.2.8"
12 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
5.1 Specification of safety functions
Update the references in Table 8 by replacing the existing table with:
Table 9 — Some International Standards applicable to typical machine safety functions
and certain of their characteristics
Requirement(s)
Safety function/ For additional information,
characteristic see:
This part of ISO 13849 ISO 12100:2010
5.2.1 3.28.8, 6.2.11.3 IEC 60204-1:2005, 9.2.2,
Safety-related stop
9.2.5.3, 9.2.5.5
function initiated by
ISO 14119
a
safeguard
ISO 13855
5.2.2 — IEC 60204-1:2005, 9.2.5.3,
Manual reset function
9.2.5.4
5.2.3 6.2.11.3, 6.2.11.4 IEC 60204-1:2005, 9.2.1,
Start/restart function
9.2.5.1, 9.2.5.2, 9.2.6
Local control function 5.2.4 6.2.11.8, 6.2.11.10 IEC 60204-1:2005, 10.1.5
Muting function 5.2.5 — IEC/TS 62046:2008, 5.5
Hold-to-run function 6.2.11.8 b) IEC 60204-1:2005, 9.2.6.1
Enabling device — IEC 60204-1:2005, 9.2.6.3,
function 10.9
Prevention of — 6.2.11.4 ISO14118
unexpected start-up IEC 60204-1:2005, 5.4
Escape and rescue of — 6.3.5.3
trapped persons
Isolation and energy — 6.3.5.4 ISO14118
dissipation function IEC 60204-1:2005, 5.3, 6.3.1
Control modes and — 6.2.11.8, 6.2.11.10 IEC 60204-1: 2005, 9.2.3,
mode selection 9.2.4
Interaction between — 6.2.11.1 IEC 60204-1:2005, 9.3.4
different safety-related (last sentence)
parts of control
systems
Monitoring of 4.6.4 — —
parameterization of
safety-related input
values
Emergency stop — 6.3.5.2 ISO13850
b
IEC 60204-1:2005, 9.2.5.4
function
a
Including interlocked guards and limiting devices (e.g. overspeed, overtemperature, overpressure).
b
Complementary protective measure, see ISO 12100:2010.
ISO 13849-1:2006/FDAM 1:2015(E)
Update the references in Table 9 by replacing the existing table with:
Table 10 — Some International Standards giving requirements for certain safety functions
and safety-related parameters
Requirement
Safety function/ For additional information,
safety-related parameter see:
This part of ISO 13849 ISO 12100:2010
Response time 5.2.6 — ISO 13855:2010, 3.2, A.3, A.4
Safety-related parameter 5.2.7 6.2.11.8 e) IEC 60204-1:2005, 7.1, 9.3.2, 9.3.4
such as speed, temperature
or pressure
Fluctuations, loss and 5.2.8 6.2.11.8 e) IEC 60204-1:2005, 4.3, 7.1, 7.5
restoration of power sources
Indications and alarms — 6.2.8 ISO 7731
ISO 11428
ISO 11429
IEC 61310-1
IEC 60204-1:2005, 10.3, 10.4
IEC 61131
IEC 62061
Add after listing e) a new listing f) with a new NOTE:
"f) the behaviour of the machine on the loss of power (see also 5.2.8);
NOTE In some cases it can be necessary to consider the behaviour of the machine on loss of power for example
when it is necessary to hold a vertical axis to prevent a fall under gravity. This can require two separate safety functions:
with power available and without power available."
Change the listings f) - h) into g) - i)
5.2.3 Start/restart function
nd
Update the reference in the 2 paragraph by replacing "ISO 12100-2:2003, 5.3.2.5" with "ISO 12100:2010,
6.3.3.2.5"
6.2.2 Designated architectures
nd
Delete the Note after the 2 paragraph.
14 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
6.2.3 Category B
First paragraph:
Correct the grammatical fault in the first sentence by replacing the first sentence by:
"The SRP/CS shall, as a minimum, be designed, constructed, selected, assembled and combined in
accordance with the relevant standards and use basic safety principles for the specific application to
withstand."
6.2.5 Category 2
nd
Change the 2 indent as follows:
"
⎯ prior to the initiation of any hazardous situation, e.g. start of a new cycle, start of other movements,
immediately upon on demand of the safety function and/or periodically during operation if the risk
assessment and the kind of operation shows that it is necessary.
"
th
Change the 4 indent as follows:
"
⎯ generate an output (OTE) which initiates appropriate control action, if a fault is detected.
"
Fourth paragraph:
th
Replace the 4 paragraph with the following text:
"For PLr=d the output (OTE) shall initiate a safe state which is maintained until the fault is cleared.
For PLr up to and including PLr=c, whenever practicable the output (OTE) shall initiate a safe state which is
maintained until the fault is cleared. When this is not practicable (e.g. welding of the contact in the final
switching device) it may be sufficient for the output of the test equipment OTE to provide a warning."
Sixth paragraph:
Replace the first sentence by:
"The diagnostic coverage (DC ) of the functional channel shall be at least low."
avg
ISO 13849-1:2006/FDAM 1:2015(E)
NOTE 2:
Replace in the first sentence "allows that" by "is characterized by"
Add a new NOTE 4 below NOTE 3 and above Figure 10:
"NOTE 4 For applying the simplified approach based on designated architectures, refer to the assumptions in 4.5.4."
6.2.6 Category 3
Third paragraph:
Replace the first sentence by:
"The diagnostic coverage (DC ) of the total SRP/CS shall be at least low."
avg
NOTE 3:
Replace Note 3 by the following text:
"NOTE 3 Category 3 system behaviour is characterised by
⎯ continued performance of the safety function in the presence of a single fault,
⎯ detection of some, but not all, faults,
⎯ possible loss of the safety function due to accumulation of undetected faults."
6.2.7 Category 4
NOTE 1:
Replace Note 1 by the following text:
"NOTE 1 Category 4 system behaviour is characterised by
⎯ continued performance of the safety function in the presence of a single fault,
⎯ detection of faults in time to prevent the loss of the safety function,
⎯ the accumulation of undetected faults is taken into account."
16 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
Figure 12:
Replace the drawing showing the designed architecture for category 4 with the following drawing. The
following drawing will also replace the figure 12 of ISO 13849-1:2006/Cor.1:2009. This corrects the arrowed
lines labelled "m" between L1 and O1, and L2 and O2, and the arrowed lines labelled "c" between L1 and L2
by changing them from dashed to solid lines, representing higher diagnostic coverage.
Table 10 (category 2, Summary of requirements):
Change the text into:
"Requirements of B and the use of well-tried safety principles shall apply. Safety function shall be checked at
suitable intervals by the machine control system (see 4.5.4)."
6.3 Combination of SRP/CS to achieve overall PL
First paragraph:
Replace the fourth sentence by the following, replacing the reference to Table 11:
"For the overall combination of these SRP/CS, an overall PL may be identified using the methods described in
this clause."
Second Paragraph:
Substitute "alignment" with "combination" in the last sentence.
Third paragraph, before Figure 13:
rd
Improve the wording of the 3 paragraph by replacing the paragraph with the following:
"It is assumed that there are N separate SRP/CS in a series combination, which as a whole performs a safety
i
function. For each SRP/CS, a PL has already been evaluated. This situation is illustrated in Figure 13 (see
i i
also Figure 4 and Figure H.2)."
ISO 13849-1:2006/FDAM 1:2015(E)
Add the following paragraph, including the listing and a new NOTE:
"If the PFH values of all SRP/CS are known, then the PFH of the combined SRP/CS is the sum of all PFH
D i D D
values of the N individual SRP/CS . The PL of the combined SRP/CS is limited by:
i
⎯ the lowest PL of any individual SRP/CS involved in performing the safety function (because the PL is
i
determined also by non-quantifiable aspects) and
⎯ the PL corresponding to the PFH of the combined SRP/CS according to Table 3.
D
NOTE See Annex H and ISO/TR 23849, 8.2.6 for an example of this method."
Figure 13:
Replace Figure 13 by:
SRP/CS
PL
PFH = PFH + PFH + … + PFH
D D1 D2 DN
Before listing on top of page 40:
Replace first sentence by:
"If the PFH values of all individual SRP/CS are not known, then as a worst case alternative to the above
D i
method the PL of the whole combined SRP/CS performing the safety function may be calculated using Table
12 as follows:"
7.2 Fault consideration
First paragraph:
nd nd
Replace in the 2 sentence the word "exclusive" with "exhaustive". The new 2 sentence would read
therefore as follows:
"The lists of faults are not exhaustive and, if necessary, additional faults shall be considered and listed."
9 Maintenance
Second paragraph:
nd
Update the reference in the 2 paragraph by replacing "ISO 12100-2:2003, 4.7" with "ISO 12100:2010, 6.2.7"
and "ISO 12100-2:2003, 6.5.1 e)" with "ISO 12100:2010, 6.4.5.1 e)"
18 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
11 Information for use
First paragraph:
Update the reference in the first paragraph by replacing "ISO 12100-2:2003, 6.5.2" with "ISO 12100:2010,
6.4.5.2"
A.1 Selection of PL
r
Change chapter A.1 into:
"This annex is concerned with the contribution to the reduction in risk made by the safety-related parts of the
control system being considered. The method given here provides only an estimation of the risk reduction
required and is intended only as guidance to the designer and standard maker in determining the PL for each
r
necessary safety function to be carried out by an SRP/CS.
NOTE This methodology to estimate the PL is not mandatory. It is a generic approach which assumes a worst case
r
probability of occurrence of a hazardous event (ie, the probability of occurrence is 100%). Other risk estimation methods
for specific types of machine can be used as appropriate and experience in successfully dealing with similar
machines/hazards should be taken into account when estimating PL . Therefore, the PL required by a type-C standard can
r
deviate from that indicated by the generic approach given at Figure A.1.
The graph at Figure A.1 is based on the situation prior to the provision of the intended safety function (see
also ISO/TR 22100-2:2014). Risk reduction by technical measures independent of the control system (e.g.
mechanical guards), or additional safety functions, are to be taken into account in determining the PLr of the
intended safety function; in which case, the starting point of Figure A.1 is selected after the implementation of
these measures (see also Figure 2).
The severity of injury (denoted by S) is roughly estimated only (e.g. laceration, amputation, fatality). For the
frequency of occurrence, auxiliary parameters are used to improve the estimation. These parameters are
⎯ frequency and time of exposure to the hazard (F), and
⎯ possibility of avoiding the hazard or limiting the harm (P).
Experience has shown that these parameters can be combined, as in Figure A.1, to give a gradation of risk
from low to high. It is emphasized that this is a qualitative process giving only an estimation of risk."
A.2.2 Frequency and/or exposure times to hazard, F1 and F2
th
4 paragraph:
Delete the last sentence.
th th
Delete the Note and add the following text as 5 and 6 paragraph:
"In case of no other justification, F2 should be chosen if the frequency is higher than once per 15 minutes.
F1 may be chosen if the accumulated exposure time does not exceed 1/20 of the overall operating time and
the frequency is not higher than once per 15 minutes."
ISO 13849-1:2006/FDAM 1:2015(E)
A.2.3 Possibility of avoiding the hazard P1 and P2
Last paragraph:
Change the last paragraph as follows and move it beneath Figure A.1:
"Figure A.1 provides guidance for the determination of the safety-related PL depending on the risk
r
assessment for the whole machine. The risk assessment method is based on ISO 12100 (see Figure 1 and
see ISO/TR 22100-2). The graph should be considered for each safety function."
Replace:
"A.2.3 Possibility of avoiding the hazard P1 and P2
It is important to know whether a hazardous situation can be recognized and avoided before leading to an
accident. For example, an important consideration is whether the hazard can be directly identified by its
physical characteristics, or recognized only by technical means, e.g. indicators. Other important aspects which
influence the selection of parameter P include, for example:
⎯ operation with or without supervision;
⎯ operation by experts or non-professionals;
⎯ speed with which the hazard arises (e.g. quickly or slowly);
⎯ possibilities for hazard avoidance (e.g. by escaping);
⎯ practical safety experiences relating to the process.
When a hazardous situation occurs, P1 should only be selected if there is a realistic chance of avoiding an
accident or of significantly reducing its effect; P2 should be selected if there is almost no chance of avoiding
the hazard."
by the following:
"A.2.3 Possibility of avoiding the hazardous event P1 and P2 and probability of occurrence
The probability of avoiding the hazard and the probability of occurrence of a hazardous event are both
combined in the parameter P. When a hazardous situation occurs, P1 should only be selected if there is a
realistic chance of avoiding a hazard or of significantly reducing its effect; otherwise P2 should be selected.
Where the probability of occurrence of a hazardous event can be justified as low, the PL may be reduced by
r
one level, see A.2.3.2.
A.2.3.1 Possibility of avoiding the hazard
It is important to know whether a hazardous situation can be recognized before it can cause harm and be
avoided. For example, can the exposure to a hazard be directly identified by its physical characteristics, or
recognized only by technical means, e.g. indicators. Other important aspects which Influence the selection of
parameter P include, for example:
⎯ speed with which the hazard arises (e.g. quickly or slowly);
⎯ possibilities for hazard avoidance (e.g. by escaping);
⎯ practical safety experiences relating to the process;
20 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
⎯ whether operated by trained and suitable operators;
⎯ operated with or without supervision.
A.2.3.2 Probability of occurrence of a hazardous event
The probability of occurrence of a hazardous event depends on either human behavior or technical failures. In
most cases, the appropriate probabilities are unknown or hard to identify. The estimation of the probability of
occurrence of a hazardous event should be based on factors including:
⎯ reliability data;
⎯ history of accidents on comparable machines.
NOTE A low number of accidents does not necessarily mean that the occurrence of hazardous situations is low, but
that the safety measures on the machines are sufficient.
Where comparable machines
⎯ include the same risk(s) that the relevant safety function is intended to reduce,
⎯ require the same process and operator action,
⎯ apply the same technology causing the hazard."
Figure A.1:
Delete the word "Risk" in the title of the figure.
Add new Clause A.3:
"A.3 Overlapping hazards
When using ISO 13849-1, all hazards are considered as a specific hazard or hazardous situation. For the
quantification of risk, each hazard can therefore be evaluated separately.
When it is obvious that there is a combination of directly linked hazards which always occur simultaneously
then they should be combined during risk estimation.
The determination of whether hazards should be considered separately or in combination should be
considered during the risk assessment of the machine.
EXAMPLE 1 A continuous welding robot may create various simultaneous hazardous situations, for example
crushing caused by movement and burning due to the welding process. This can be considered as a combination of
directly linked hazards.
EXAMPLE 2 For a robot cell in which separate robots are working, each robot is considered separately.
EXAMPLE 3 As a result of a risk assessment it can be sufficient to consider at rotary table with clamping devices
each clamping device separately."
ISO 13849-1:2006/FDAM 1:2015(E)
C.2 Good engineering practices method
Rewrite item b) as follows:
"b) The manufacturer of the component specifies the appropriate application and operating conditions for the
SRP/CS designer."
C.3 Hydraulic components
Rewrite the first sentence of item b) as follows:
"b) The manufacturer of the hydraulic component specifies the appropriate application and operating
conditions for the SRP/CS designer."
nd
2 sentence of item b):
Change "SRP/CS manufacturer" into "SRP/CS designer".
nd
Replace the 2 paragraph of C.3 (below item b)) with the following:
"If the criteria presented in C.4 are met, the MTTF value for a single hydraulic component, e.g. valve, can be
D
estimated at 150 years. If the mean number of annual operations (n ) is below 1 000 000, then the MTTF
op D
value can be estimated higher as shown in Table C.1
But if either a) or b) is not achieved, the MTTF value for the single hydraulic component has to be given by
D
the manufacturer. Instead of using a fixed value for the MTTF as described above it is permissible to use the
D
B -concept for MTTF of pneumatic, mechanical and electromechanical components also for hydraulic
10D D
components if the manufacturer can provide data."
Table C.1:
Replace Table C.1 with the following:
22 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
Table C.1 — International Standards dealing with MTTF or B for components
D
10D
Typical values:
Basic and well-tried safety
MTTF (years)
principles according to Relevant standards D
B (cycles)
ISO 13849-2:2012
10D
Mechanical components Tables A.1 and A.2 —
MTTF = 150
D
Hydraulic components Tables C.1 and C.2 ISO 4413
MTTF = 150
D
with n ≥ 1 000 000
op
Hydraulic components Tables C.1 and C.2 ISO 4413
MTTF = 300
D
with 1 000 000 > n ≥ 500
op
Hydraulic components Tables C.1 and C.2 ISO 4413
MTTF = 600
D
with 500 000 > n ≥ 250
op
Hydraulic components Tables C.1 and C.2 ISO 4413
MTTF = 1 200
D
with 250 000 > n
op
Pneumatic components Tables B.1 and B.2 ISO 4414
B = 20 000 000
10D
Relays and contactor Tables D.1 and D.2 EN 50205
B = 20 000 000
10D
relays with small load IEC 61810
IEC 60947
Relays and contactor Tables D.1 and D.2 EN 50205 B = 400 000
10D
relays with nominal load IEC 61810
IEC 60947
Proximity switches with Tables D.1 and D.2 IEC 60947 B = 20 000 000
10D
small load ISO 14119
Proximity switches with Tables D.1 and D.2 IEC 60947 B = 400 000
10D
nominal load ISO 14119
Contactors with small load Tables D.1 and D.2 IEC 60947
B = 20 000 000
10D
Contactors with nominal Tables D.1 and D.2 IEC 60947 B = 1 300 000 (see Note
10D
load
1)
a
Tables D.1 and D.2 IEC 60947 B = 20 000 000
Position switches
10D
ISO 14119
Position switches (with Tables D.1 and D.2 IEC 60947 B = 2 000 000
10D
separate actuator, ISO 14119
a
guard-locking)
a
Tables D.1 and D.2 IEC 60947 B = 100 000
Emergency stop devices
10D
ISO 13850
Push buttons Tables D.1 and D.2 IEC 60947 B = 100 000
10D
a
(e.g. enabling switches)
For the definition and use of B , see C.4.
10D
NOTE 1 B is estimated as two times B (50 % dangerous failure) if no other information (e.g. product standard) is available.
10D 10
NOTE 2 “Nominal load” or “small load” should take into account safety principles described in ISO 13849-2, like over-dimensioning
of the rated current value. “Small load” means, for example, 20 %.
NOTE 3 Emergency stop devices according to IEC 60947-5-5 and ISO 13850 and enabling switches according to IEC60947-5-8
can be estimated as a Category 1 or Category 3/4 subsystem depending on the number of electrical output contacts and on the fault
detection in the subsequent SRP/CS. Each contact element (including the mechanical actuation) can be considered as one channel with
a respective B value. For enabling switches according to IEC 60947-5-8 this implies the opening function by pushing through or by
10D
releasing. In some cases it may be possible, that the machine builder can apply a fault exclusion according to ISO 13849-2, Table D.8,
ISO 13849-1:2006/FDAM 1:2015(E)
considering the specific application and environmental conditions of the device.
a
If fault exclusion for direct opening action is possible.
C.4.1 General
nd
Change the 2 paragraph and item a) and b) into:
"If all the following criteria are met, the MTTF value for a single pneumatic, electromechanical or mechanical
D
component can be estimated according to C.4.2.
a) The components are designed and manufactured according to basic safety principles in accordance with
ISO 13849-2:2012, Table A.1, Table B.1 or Table D.1.
NOTE This information can be found in the data sheet of the component manufacturer.
b) The components to be used in category 1, 2, 3 or 4 are designed and manufactured according to well-
tried safety principles in accordance with ISO 13849-2:2012, Table A.2, Table B.2 or D.2.
NOTE This information can be found in the data sheet of the component manufacturer."
Rewrite the first sentence of item c) as follows:
"c) The manufacturer of the component specifies the appropriate application and operating conditions for the
SRP/CS designer."
nd
2 sentence of item c):
Change "SRP/CS manufacturer" into "SRP/CS designer".
C.4.2 Calculation of MTTF for components from B
D 10D
Change the footnote into:
"If the dangerous fraction of B is not given (e.g. by manufacturer), 50 % of B may be used, so B = 2 B
10 10 10D 10
is recommended."
Equation C.2:
Replace the explanation of "t " by:
cycle
"t is the mean operation time between the beginning of two successive cycles of the component.
cycle
(e.g. switching of a valve) in seconds per cycle."
24 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
Add the following new NOTE below equation C.7:
"NOTE All variables used in the equations are physical quantities expressed as the product of a numerical value and
a unit of measurement. The correct application e.g. of equations C.5, C.6 and MTTF = 1/λ can require the
D D
transformation of "years" to "hours" using 1 year = 8 760 hours."
C.5.1 General
First paragraph:
Correct the grammatical fault in the last sentence by replacing the sentence with:
"If the designer of an SRP/CS has other, reliable, specific data on the components used, then the use of that
specific data instead is highly recommended."
Third paragraph:
Delete the last sentence:
"For use where there is doubt, a worst case MTTF for components is given in the “worst case” MTTF
D D
column, where the safety margin is 10."
C.5.2 Semiconductors
Replace C.5.2 with the following C.5.2:
ISO 13849-1:2006/FDAM 1:2015(E)
C.5.2 Semiconductors
See Tables C.2 and C.3.
Table C.2 — Transistors (used as switches)
MTTF for components
D
MTTF for
years
Transistor Example components Remark
years
Typical
Bipolar TO18, TO92, 38 052 76 104 50 % dangerous failure
SOT23
Bipolar, low power TO5, TO39 5 708 11 416 50 % dangerous failure
Bipolar, power TO3, TO220, 1 903 3 806 50 % dangerous failure
D-Pack
FET Junction MOS 22 831 45 662 50 % dangerous failure
MOS, power TO3, TO220, 1 903 3 806 50 % dangerous failure
D-Pack
Table C.3 — Diodes, power semiconductors and integrated circuits
MTTF for components
D
MTTF for
years
Diode Example components Remark
years
Typical
General purpose — 114 155 228 311 50 % dangerous failure
Suppressor — 16 308 32 616 50 % dangerous failure
Zener diode P < 1 W — 114 155 228 311 50 % dangerous failure
tot
Rectifier diodes — 57 078 114 155 50 % dangerous failure
Rectifier bridges — 11 415 22 831 50 % dangerous failure
Thyristors — 2 283 4 566 50 % dangerous failure
Triacs, Diacs — 1 522 3 044 50 % dangerous failure
Integrated circuits
(programmable and Use manufacturer’s data 50 % dangerous failure
non-programmable)
C.6 Passive components
Replace C.6 with the following C.6:
26 © ISO 2015 – All rights reserved
ISO 13849-1:2006/FDAM 1:2015(E)
C.6 Passive components
See Tables C.4 to C.
...
PROJET ISO
AMENDEMENT
FINAL 13849-1:2006
FDAM 1
ISO/TC 199
Sécurité des machines — Parties des
Secrétariat: DIN
systèmes de commande relatives à la
Début de vote:
sécurité
2015-03-19
Partie 1:
Vote clos le:
2015-05-19
Principes généraux de conception
AMENDEMENT 1
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
AMENDMENT 1
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSER-
VATIONS, NOTIFICATION DES DROITS DE PRO-
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT
CONNAISSANCE ET À FOURNIR UNE DOCUMEN-
TATION EXPLICATIVE.
OUTRE LE FAIT D'ÊTRE EXAMINÉS POUR
ÉTABLIR S'ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE DES
ISO 13849-1:2006/FDAM 1:2015(F)
UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
©
ISO 2015
TION NATIONALE.
ISO 13849-1:2006/FDAM 1:2015(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2015
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur l’internet ou sur un
Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à l’adresse ci-après ou au comité
membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'Amendement 1 à l'ISO 13849-1:2006 a été élaboré par le comité technique ISO/TC 199, Sécurité des
machines, sous-comité SC , et par le comité technique CEN/TC 114, Sécurité des machines en collaboration.
PROJET FINAL D'AMENDEMENT ISO 13849-1:2006/FDAM 1:2015(F)
Sécurité des machines — Parties des systèmes de commande
relatives à la sécurité — Partie 1: Principes généraux de
conception
AMENDEMENT 1
Domaine d'application
Dernier alinéa :
Supprimer la référence à l'« ISO 13849-100 », la Partie 100 ayant été annulée
Introduction
Alinéa après la liste :
Mettre à jour la référence « ISO 12100-1 » en « ISO 12100 »
ème
4 alinéa :
Mettre à jour la référence « Directive du Conseil 98/37/CE » en « Directive 2006/42/CE relative aux
machines »
ème
9 alinéa :
Supprimer le terme "faciliter" dans la première phrase.
Tableau 1 et alinéa le précédant :
Remplacer le Tableau 1 et l'alinéa le précédant par l'alinéa suivant :
« L’IEC 62061 et la présente partie de l'ISO 13849 spécifient les exigences pour la conception et la mise en
œuvre des systèmes de commande relatifs à la sécurité des machines. L'utilisation de l'une de ces
deux Normes internationales, en accord avec leurs domaines d'application, peut présumer de satisfaire aux
exigences essentielles de sécurité appropriées. L'ISO/TR 23849 donne les lignes directrices relatives à
l'application de l'ISO 13849-1 et de l’IEC 62061 pour la conception des systèmes de commande des
machines relatifs à la sécurité. ».
Ajouter le titre de tableau ci-dessous après le nouvel alinéa afin d'éviter la renumérotation de tous les
tableaux et des références associées :
i © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
« Tableau 1 supprimé ».
Domaine d'application
Supprimer la NOTE 5 et remplacer la dernière phrase du premier alinéa par :
« Elle s'applique aux SRP/CS pour le mode de demande élevée et le mode continu, indépendamment du type
de technologie et d'énergie utilisé (électrique, hydraulique, pneumatique mécanique, etc.), quelques soient les
machines. ».
Références normatives
Supprimer les références :
« ISO 12100-1:2003, Sécurité des machines — Notions fondamentales, principes généraux de conception —
Partie 1 : Terminologie de base, méthodologie
ISO 12100-2:2003, Sécurité des machines — Notions fondamentales, principes généraux de conception —
Partie 2 : Principes techniques
ISO 14121, Sécurité des machines — Principes pour l'appréciation du risque ».
Ajouter les références :
« ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque ».
ISO/TR 22100-2:2014, Sécurité des machines — Relation avec l'ISO 12100 — Partie 2: Relation entre
l'ISO 12100 et l'ISO 13849-1
ISO/TR 23849, Guide relatif à l'application de l'ISO 13849-1 et de la IEC 62061 pour la conception des
systèmes de commande relatifs à la sécurité des machines
IEC 62061:2012, Sécurité des machines — Sécurité fonctionnelle des systèmes de commande électriques,
électroniques et électroniques programmables relatifs à la sécurité »
3.1 Termes et définitions
Modifier la définition 3.1.12 comme suit :
« situation dangereuse
situation dans laquelle une personne est exposée à au moins un phénomène dangereux
NOTE à l’article L'exposition peut entraîner un dommage, immédiatement ou à long terme
[ISO 12100-1:2010, 3.10] »
2 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
Mettre à jour la référence en remplaçant « ISO 12100-1 » par « ISO 12100 ».
3.1.6
Mettre à jour la source de la NOTE 1 à l'article en remplaçant « (voir l'ISO 12100-1:2003, 3.34) » par « (voir
l'ISO 12100:2010, 3.36) ».
3.1.10
Mettre à jour la source de la définition en remplaçant « [ISO 12100-1:2003, 3.5] » par « [SOURCE :
ISO 12100:2010, 3.5.] ».
3.1.11
Mettre à jour la source de la définition en remplaçant « [ISO 12100-1:2003, 3.6] » par « [SOURCE :
ISO 12100:2010, 3.6, modifiée.] ».
3.1.13
Mettre à jour la source de la définition en remplaçant « [ISO 12100-1:2003, 3.11] » par « [SOURCE :
ISO 12100:2010, 3.12.] ».
3.1.14
Mettre à jour la référence de la NOTE 1 à l'article en remplaçant « ISO 12100-1:2003, définition 3.12 » par
« ISO 12100:2010, définition 3.13 ».
3.1.15
Mettre à jour la source de la définition en remplaçant « [ISO 12100-1:2003, 3.13] » par « [SOURCE :
ISO 12100:2010, 3.17.] ».
3.1.16
Mettre à jour la source de la définition en remplaçant « [ISO 12100-1:2003, 3.14] » par « [SOURCE :
ISO 12100:2010, 3.15.] ».
3.1.17
Mettre à jour la source de la définition en remplaçant « [ISO 12100-1:2003, 3.16] » par « [SOURCE :
ISO 12100:2010, 3.16.] ».
3.1.18
Mettre à jour la source de la définition en remplaçant « (ISO 12100-1:2003, 3.22) » par « [SOURCE :
ISO 12100:2010, 3.23.] ».
3.1.19
Mettre à jour la source de la définition en remplaçant « [ISO 12100-1:2003, 3.23] » par « [SOURCE :
ISO 12100:2010, 3.24.] ».
3.1.20
Mettre à jour la source de la définition en remplaçant « [ISO 12100-1:2003, 3.28] » par « [SOURCE :
ISO 12100:2010, 3.30.] ».
3.1.27
ISO 13849-1:2006/FDAM 1:2015(F)
Mettre à jour la référence de la NOTE 1 à l'article en remplaçant « ISO 12100-1:2003, définition 3.18 » par
« ISO 12100:2010, définition 3.19 ».
Ajouter une nouvelle définition 3.1.38 :
« 3.1.38
mode de demande élevée ou mode continu
mode de fonctionnement dans lequel la fréquence de sollicitation d'une SRP/CS est supérieure à une par an
ou dans lequel la fonction de commande relative à la sécurité maintient la machine en état sûr dans le cadre
du fonctionnement normal ».
[SOURCE : IEC 62061:2012, 3.2.27, modifiée.]
Ajouter une nouvelle définition 3.1.39 :
« 3.1.39
utilisation éprouvée
démonstration, basée sur une analyse de l'expérience opérationnelle pour une configuration spécifique d'un
élément, que la probabilité d'un défaut systématique dangereux est assez faible pour que chaque fonction de
sécurité utilisant l'élément atteigne son niveau de performance requis (PL ) ».
r
[SOURCE : IEC 61508-4:2010, 3.8.18, modifiée.]
3.2 Symboles et abréviations
Ajouter dans le Tableau 2 :
PFH probabilité moyenne de défaillance dangereuse par heure Tableau 3 et
D
Tableau K.1
r Taux d’essais 3.1.29
t
4.1 Objectifs de sécurité lors de la conception
Premier alinéa :
Supprimer la référence « et de l'ISO 14121 » dans la première phrase.
Remplacer la Figure 1 par la Figure suivante (cette nouvelle figure ne contient aucune modification technique,
mais elle met à jour les références/formulations).
4 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
a
Référence à l'ISO 12100:2010.
b
Référence à la présente partie de l'ISO 13849.
ISO 13849-1:2006/FDAM 1:2015(F)
4.2.1 Généralités
Premier alinéa :
Pour mettre à jour les références, remplacer le premier alinéa par :
« La stratégie de réduction du risque au niveau de la machine est donnée dans l'ISO 12100:2010, Article 6.1,
et d’autres conseils sont donnés dans l’ISO 12100:2010, 6.2 (mesures de prévention intrinsèques) et 6.3
(protection et mesures de prévention complémentaires). Cette stratégie couvre l’ensemble du cycle de vie de
la machine. ».
Deuxième alinéa :
Pour mettre à jour les références, remplacer les trois tirets par :
«
élimination du phénomène dangereux et réduction du risque par conception (voir l'ISO 12100:2010, 6.2) ;
réduction du risque par protection et possibles mesures de prévention complémentaires (voir
l'ISO 12100:2010, 6.3) ;
réduction du risque par la fourniture d'informations d'utilisation à propos du risque résiduel (voir
l'ISO 12100:2010, 6.4).
»
4.2.2 Contribution à la réduction du risque par le système de commande
ème
Premier alinéa, 4 phrase :
Remplacer le terme « moyen de protection » par « protecteur avec dispositif de verrouillage ».
Ajouter la Note suivante après le premier alinéa :
« NOTE Il n’est pas nécessaire d’appliquer cette stratégie de réduction du risque aux parties des systèmes de
commande qui ne sont pas liés à la sécurité ou aux éléments purement fonctionnels de la machine (voir ISO TR 22100-
2:2014, article 3). »
ème
Troisième alinéa, 2 phrase :
Remplacer la phrase existante par « Il définit cinq niveaux, du plus faible « a » au plus élevé « e », basés sur
une gamme de probabilités de défaillance dangereuse par heure (voir Tableau 3). ».
Ajouter l’alinéa suivant avant le Tableau 3 :
« Afin d’atteindre un PL, il est également nécessaire de satisfaire, en plus des aspects quantifiables, aux
exigences relatives aux aspects qualitatifs du PL (voir 4.5).
6 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
Tableau 3 :
Modifier le titre de la seconde colonne par « Probabilité moyenne de défaillance dangereuse par heure
(PFH ) 1/h »
D
Supprimer la Note du tableau.
Quatrième alinéa, sous le Tableau 3 :
Remplacer « (voir l'ISO 14121) » par « (voir l'ISO 12100) ».
Figure 3 :
Remplacer la Figure 3 par la Figure suivante (incluant des modifications dans la cinquième case au milieu) :
ISO 13849-1:2006/FDAM 1:2015(F)
a
L'ISO 13849-2 apporte une aide complémentaire pour la validation.
8 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
Figure 4 :
Remplacer la légende de la Figure 4 par :
« Légende
I entrée (par exemple interrupteur de fin de course, capteur ou AOPD)
L logique
O sortie (par exemple distributeur, contacteur, convertisseur de courant)
1 moyen d’activation (par exemple actionnement manuel d'un bouton, ouverture d'un moyen de protection, interruption
du faisceau d'un AOPD)
2 actionneur de la machine (par exemple moteur, vérin)
4.5.1 Niveau de performance PL
Remplacer la NOTE 2 par la nouvelle NOTE 2 :
« NOTE 2 Pour la conception de systèmes de commande complexes, par exemple des PES conçus
pour exécuter des fonctions de sécurité, l'application d'autres normes pertinentes peut être appropriée (par
exemple, la IEC 61508 ou la IEC 61496). »
Ajouter le nouvel alinéa suivant sous le Tableau 4 :
« Lorsqu’une fonction de commande relative à la sécurité est conçue pour utiliser un ou plusieurs SRP/CS,
chaque SRP/CS doit être conçu conformément à l’ISO 13849-1 ou conformément à l’IEC 62061 et à
l’IEC 61508 (voir également ISO/TR 23849) malgré la correspondance entre les PL de la présente norme et
les SIL de la IEC 61508 et de la IEC 62061. Conformément au 6.3, les SRP/CS peuvent être combinés. »
4.5.2 Temps moyen avant défaillance dangereuse pour chaque canal (MTTF )
D
Deuxième alinéa :
Modifier le deuxième alinéa comme suit et ajouter une nouvelle NOTE :
« Conformément au Tableau 5, pour chaque SRP/CS (sous-système), la valeur maximale du MTTF pour
D
chaque canal est de 100 années. Pour les SRP/CS (sous-systèmes) de catégorie 4, la valeur maximale du
MTTF pour chaque canal est augmentée à 2500 années.
D
NOTE Cette valeur plus élevée est justifiée car dans la catégorie 4, les autres aspects quantifiables, la structure
et la DC, ont atteint leur valeur maximale, ce qui permet de combiner en série plus de trois sous-systèmes (SRP/CS) avec
la catégorie 4 et d'obtenir le niveau de performance « e » conformément au paragraphe 6.3. »
4.5.3 Couverture du diagnostic (DC)
ème
2 alinéa :
Modifier le deuxième alinéa comme suit :
« Pour l’estimation de la DC, dans la plupart des cas, une analyse des modes de défaillance et de leurs effets
(AMDE, voir la IEC 60812) ou des méthodes similaires peuvent être utilisées. Dans ce cas, il convient de
considérer l'ensemble des défauts pertinents et/ou des modes de défaillance. Pour une approche simplifiée
d'estimation de la DC, voir l’Annexe E. »
ISO 13849-1:2006/FDAM 1:2015(F)
Ajouter une nouvelle NOTE sous le Tableau 6 :
« NOTE Des exemples d'estimation de la couverture du diagnostic (DC) sont donnés à l'Annexe E. »
4.5.4 Procédure simplifiée pour l'estimation d'un PL
Remplacer le titre du paragraphe 4.5.4 par :
« 4.5.4 Procédure simplifiée pour l'estimation des aspects quantifiables d'un PL »
Deuxième alinéa :
Modifier la première phrase par :
« Ce paragraphe décrit une procédure simplifiée afin d'estimer les aspects quantifiables d’un PL d'une
SRP/CS basée sur des architectures désignées. »
Cinquième alinéa :
Mettre à jour la référence en remplaçant « (voir aussi l'ISO 12100-1:2003, Annexe A) » par « (voir
l'ISO 12100:2010, Annexe A) »
ème
Remplacer le 3 tiret par le suivant :
« – pour la catégorie 2 : taux de demande ≤ 1/100 du taux d'essais (voir également la Note en Annexe K) ; ou
bien les essais sont effectués dès la sollicitation de la fonction de sécurité, et le temps total avant détection
du défaut et mise en condition non dangereuse de la machine (en général, sa mise à l’arrêt) est inférieur
au temps nécessaire pour atteindre le phénomène dangereux (voir aussi l'ISO 13855) ; »
ème
Remplacer le 4 tiret par le suivant :
« – pour la catégorie 2 : le MTTF du canal d’essai est supérieur à la moitié du MTTF du canal fonctionnel. »
D D
ème
Supprimer la Note après le 4 tiret.
ème
9 alinéa :
Modifier l’alinéa comme suit :
« Pour les SRP/CS, les exigences du 4.6 s’appliquent. »
ème
12 alinéa :
Mettre à jour la référence en remplaçant « (voir aussi l'ISO 12100-2:2003, Article 3 et la IEC 60204-1:2000) »
par « (voir aussi l'ISO 12100:2010, Article 3 et la IEC 60204-1:2005) ».
10 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
Ajouter le nouvel alinéa suivant en tant que 4.5.5 :
4.5.5 Description du dispositif de sortie du SRP/CS par catégorie
Si, pour des composants mécaniques, hydrauliques ou pneumatiques (ou des composants constitués d’un
mélange de technologies), aucune application spécifique de données de fiabilité n’est disponible, le fabricant
de la machine peut évaluer les aspects quantifiables du PL sans aucun calcul du MTTF .
D
Dans de tels cas, le niveau de performance relatif à la sécurité (PL) est implémenté par l’architecture, le
diagnostic et les mesures contre les CCF.
Le Tableau 8 montre la relation entre le PL pouvant être atteint (correspondant à la Figure 5) et les
catégories. PL a et PL b peuvent être implémentés avec la catégorie B. PL c peut être implémenté avec la
catégorie 1 ou la catégorie 2, si des composants et des principes de sécurités éprouvés sont utilisés.
Lors de l’implantation d’une fonction de sécurité PL c avec une catégorie 1, les valeurs T des composants
10D
relatifs à la sécurité qui ne sont pas sous surveillance lors du procédé, sont déterminés. Ces valeurs T
10D
peuvent être déterminées sur la base de données résultant d’une utilisation éprouvée fournies par le fabricant
de machine.
En catégorie 2, le MTTF du canal d’essai doit au moins durer 10 ans.
D
Le PL d peut être implémenté avec une catégorie 3, si des composants et des principes de sécurités
éprouvés sont utilisés. Le PL e peut être implémenté avec une catégorie 4, si des composants et des
principes de sécurités éprouvés sont utilisés.
En principe : lors de l’implémentation de la fonction de sécurité avec une catégorie 2, catégorie 3 ou
catégorie 4, les défaillances de cause commune (CCF) et une couverture de diagnostic (DC) suffisante
doivent être prises en compte (faible, moyen pour les catégories 2 et 3, élevé pour la catégorie 4).
Dans ce cas, le calcul du DC est réduit à une valeur moyenne arithmétique de tous les DC individuels des
avg
composants dans le canal d’essai.
Tableau 1 —Estimation la plus défavorable du PL et PFH , basée sur la catégorie, le DC , et l'usage
D avg
de composants éprouvés
PFH (1/h) Cat. B Cat. 1 Cat. 2 Cat. 3 Cat 4
D
PL 2*10-5
a
PL 5*10-6
b
PL 1,7*10-6 -
2* 1*
c
PL 2,9*10-7 - - -
1*
d
PL 4,7-10-8 - - - -
1*
e
La catégorie appliquée est recommandée
La catégorie appliquée est optionnelle
- L’application de la catégorie n’est pas autorisée
1* Une utilisation éprouvée (voir 3.1.39) ou des composants éprouvés (confirmé par le fabricant du composant comme approprié
pour cette application particulière) et des principes de sécurité éprouvés doivent être utilisés
2* Des composants et des principes de sécurité éprouvés doivent être utilisés.
Pour les composants relatifs à la sécurité n’étant pas sous surveillance lors du procédé, la valeur T10D peut être déterminée sur
la base de données résultant d’une utilisation éprouvée fournies par le fabricant de machine.
ISO 13849-1:2006/FDAM 1:2015(F)
4.6.2 Logiciel intégré relatif à la sécurité (SRESW)
ème ème
Dans la liste de la page 22 (2 liste du paragraphe 4.6.2), 6 tiret, remplacer « séparation du logiciel non
dédié à la sécurité » par « séparation vis-à-vis du logiciel non dédié à la sécurité »
À la fin du paragraphe 4.6.2, sous la NOTE 2, ajouter l'alinéa suivant :
« Les composants qui ne satisfont pas aux exigences de SRESW, par exemple les PLC n’ayant pas faits
l’objet de critères de sécurités par le fabricant, peuvent être utilisés sous l’une des conditions suivantes :
la SRP/CS est limitée à un PL de « a » ou « b » et utilise la catégorie B, 2 ou 3 ;
la SRP/CS est limitée à un PL de « c » ou « d » et peut utiliser de multiples composants pour
deux canaux dans la catégorie 2 ou 3. Les composants de ces deux canaux utilisent des technologies
diverses. »
4.8 Aspects ergonomiques de la conception
Premier alinéa :
Remplacer « ISO 12100-2 » par « ISO 12100 » et « IEC 60204-1:2000, Article 10 » par « IEC 60204-1:2005,
Article 10 »
Troisième alinéa :
Mettre à jour la référence en remplaçant « ISO 12100-2:2003, 4.8 » par « ISO 12100:2010, 6.2.8 »
12 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
5.1 Spécification des fonctions de sécurité
Mettre à jour les références du Tableau 8 en remplaçant le tableau existant par le suivant :
Tableau 9 — Liste de Normes internationales donnant des exigences pour les fonctions de sécurité
et quelques-unes de leurs caractéristiques
Exigences
Fonctions de
Pour informations
sécurité/
Présente partie de
complémentaires, voir
ISO 12100:2010
caractéristique
l'ISO 13849
5.2.1 3.28.8, 6.2.11.3 IEC 60204-1:2005, 9.2.2,
Fonction d'arrêt
9.2.5.3, 9.2.5.5
relative à la sécurité
initiée par un moyen
ISO 14119
a
de protection
ISO 13855
5.2.2 – IEC 60204-1:2005, 9.2.5.3,
Réarmement manuel
9.2.5.4
Mise en marche et 5.2.3 6.2.11.3, 6.2.11.4 IEC 60204-1:2005, 9.2.1,
remise en marche 9.2.5.1, 9.2.5.2, 9.2.6
Fonction de 5.2.4 6.2.11.8, 6.2.11.10 IEC 60204-1:2005, 10.1.5
commande locale
Inhibition 5.2.5 – IEC/TS 62046:2008, 5.5
Fonction nécessitant 6.2.11.8 b) IEC 60204-1:2005, 9.2.6.1
une action maintenue
– IEC 60204-1:2005, 9.2.6.3,
Fonction de validation
10.9
Prévention de la mise – 6.2.11.4 ISO 14118
en marche IEC 60204-1:2005, 5.4
intempestive
Dégagement et – 6.3.5.3
sauvetage des
personnes
emprisonnées
Fonction d'isolation et – 6.3.5.4 ISO 14118
de dissipation de IEC 60204-1:2005, 5.3, 6.3.1
l'énergie
Modes de commande – 6.2.11.8, 6.2.11.10 IEC 60204-1:2005, 9.2.3,
et sélection de modes 9.2.4
Interaction entre – 6.2.11.1 IEC 60204-1:2005, 9.3.4
différentes parties des (dernière phrase)
systèmes de
commande relatives à
la sécurité
Surveillance du 4.6.4 – –
paramétrage des
valeurs d'entrées liées
à la sécurité
Fonction d'arrêt – 6.3.5.2 ISO 13850
b
IEC 60204-1:2005, 9.2.5.4
d'urgence
a
Comprenant les protecteurs avec dispositif de verrouillage et les dispositifs limiteurs (par exemple, de vitesse, de température, de
pression).
b
Fonction complémentaire, voir l'ISO 12100:2010.
ISO 13849-1:2006/FDAM 1:2015(F)
Mettre à jour les références du Tableau 9 en remplaçant le tableau existant par le suivant :
Tableau 10 — Liste de Normes internationales donnant des exigences pour quelques fonctions de
sécurité et paramètres relatifs à la sécurité
Exigences
Fonctions de sécurité/
Pour informations complémentaires,
paramètre relatif à la
Présente partie de
voir
ISO 12100:2010
sécurité
l'ISO 13849
Temps de réponse 5.2.6 – ISO 13855:2010, 3.2, A.3, A.4
Paramètres relatifs à la 5.2.7 6.2.11.8 e) IEC 60204-1:2005, 7.1, 9.3.2, 9.3.4
sécurité, tels que vitesse,
température ou pression
Variations, perte et 5.2.8 6.2.11.8 e) IEC 60204-1:2005, 4.3, 7.1, 7.5
rétablissement des sources
d'énergie
Indicateurs et signaux – 6.2.8 ISO 7731
d'avertissement ISO 11428
ISO 11429
IEC 61310-1
IEC 60204-1:2005, 10.3, 10.4
IEC 61131
IEC 62061
Après le point e), ajouter un nouveau point f) avec une nouvelle NOTE :
« f) le comportement de la machine en cas de coupure d'alimentation (voir aussi 5.2.8) ;
NOTE Dans certains cas, il peut être nécessaire de tenir compte du comportement de la machine en cas de coupure
d'alimentation, par exemple s'il est nécessaire de maintenir un axe vertical afin d’éviter une chute sous l’effet de la
pesenteur. Cela peut exiger deux fonctions de sécurité distinctes : avec alimentation disponible et sans alimentation
disponible. ».
Remplacer les points f) à h) par les points g) à i).
5.2.3 Fonction mise en marche et remise en marche
ème
Mettre à jour la référence du 2 alinéa en remplaçant « ISO 12100-2:2003, 5.3.2.5 » par « ISO 12100:2010,
6.3.3.2.5 »
6.2.2 Architectures désignées
ème
Supprimer la Note après le 2 alinéa.
14 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
6.2.3 Catégorie B
Premier alinéa :
Corriger la première phrase en la remplaçant par la phrase suivante :
« Les SRP/CS doivent au minimum être conçues, réalisées, sélectionnées, montées et combinées
conformément aux normes applicables, et s'appuyer sur les principes fondamentaux de sécurité pour
l'application considérée de manière qu'elles puissent résister. »
6.2.5 Catégorie 2
ème
Modifier le 2 tiret comme suit :
«
avant le déclenchement de toute situation dangereuse, par exemple le démarrage d’un nouveau cycle ou
d’autres mouvements, et/ou périodiquement pendant le fonctionnement si l'appréciation du risque et le
type de fonctionnement indiquent que cela est nécessaire.
»
ème
Modifier le 4 tiret comme suit :
«
générer un signal de sortie (OTE) déclenchant une action de commande appropriée si un défaut est
détecté
»
Quatrième alinéa :
ème
Remplacer le 4 alinéa par le texte suivant :
« Pour le PLr=d, le dispositif de sortie (OTE) doit conduire à un état sûr, maintenu jusqu’à ce que le défaut
soit corrigé. Lorsqu'il n'est pas possible de parvenir à un état sûr (par exemple, soudure du contact du
commutateur de sortie), il peut suffire que la sortie de l'équipement d'essai OTE ne donne un avertissement
que jusqu'à PLr = C. ».
Sixième alinéa :
Remplacer la première phrase par :
« La couverture du diagnostic (DC ) du canal d’essai doit être au moins faible. »
avg
NOTE 2
Remplacer, dans la première phrase, « permet que » par « se caractérise par le fait que »
Ajouter une nouvelle NOTE 4 sous la NOTE 3, au-dessus de la Figure 10 :
ISO 13849-1:2006/FDAM 1:2015(F)
« NOTE 4 Pour l'application de l'approche simplifiée reposant sur les architectures désignées, voir les
hypothèses formulées en 4.5.4. »
6.2.6 Catégorie 3
Troisième alinéa :
Remplacer la première phrase par la suivante :
« La couverture du diagnostic (DC ) de l'ensemble des SRP/CS, doit être au moins faible. »
avg
NOTE 3 :
Remplacer la Note 3 par le texte suivant :
« NOTE 3 Le comportement du système de catégorie 3 se caractérise par
la performance continue de la fonction de sécurité en présence d’un défaut unique,
la détection de quelques défauts, mais pas de tous,
la perte possible de la fonction de sécurité en raison d’une accumulation de défauts non détectés. »
6.2.7 Catégorie 4
NOTE 1 :
Remplacer la Note 1 par le texte suivant :
« NOTE 1 Le comporte du système de catégorie 4 se caractérise par :
la performance continue de la fonction de sécurité en présence d’un défaut unique,
la détection de défauts à temps pour empêcher la perte de la fonction de sécurité,
la prise en compte de l’accumulation de défauts non détectés. »
Figure 12 :
Remplacer le dessin illustrant l'architecture désignée pour la catégorie 4 par le dessin suivant. Le dessin ci-
dessous remplace également la Figure 12 de l'ISO 13849-1:2006/Cor.1:2009. Il s'agit de corriger les traits
fléchés « m » entre L1 et O1, et entre L2 et O2, ainsi que les traits fléchés « c » entre L1 et L2, en remplaçant
les traits pointillés par des traits continus représentant une couverture de diagnostic plus élevée.
16 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
Tableau 10 (catégorie 2, Résumé des exigences) :
Remplacer le texte de la case par :
« Les exigences de B et l'utilisation de principes de sécurité éprouvés doivent s'appliquer. La fonction de
sécurité doit être contrôlée à intervalles convenables ou sur sollicitation de la fonction par le système de
commande de la machine (voir 4.5.4). »
6.3 Combinaison des SRP/CS pour atteindre un PL global
Premier alinéa :
Remplacer la quatrième phrase par la suivante de sorte à supprimer la référence au Tableau 11 :
« Pour la combinaison globale de ces SRP/CS, un PL global peut être identifié à l'aide des méthodes décrites
dans le présent paragraphe. »
Deuxième alinéa :
Remplacer « alignement » par « combinaison » dans la dernière phrase.
Troisième alinéa, avant la Figure 13 :
ème
Améliorer la formulation du 3 alinéa en le remplaçant par :
« On considère qu'il existe N SRP/CS disctinctes dans une combinaison en série, qui réalisent ensemble une
i
fonction de sécurité. Pour chaque SRP/CS, un PL a déjà été évalué. Cette situation est illustrée à la
i i
Figure 13 (voir aussi la Figure 4 et la Figure H.2). »
Ajouter l'alinéa suivant, y compris la liste et la NOTE :
« Si les valeurs de PFH de toutes les SRP/CS sont connues, la PFH de la SRP/CS combinée est égale à la
D i D
somme de toutes les valeurs de PFH des N SRP/CS individuelles. Le PL de la SRP/CS combinée est limité
D i
par :
ISO 13849-1:2006/FDAM 1:2015(F)
le PL le plus faible des SRP/CS individuelles impliquées dans l'exécution de la fonction de sécurité,
i
puisque le PL est également déterminé par des aspects non quantifiables, et
de la SRP/CS combinée selon le Tableau 3.
le PL correspondant à la PFH
D
NOTE Voir l'Annexe H et l'ISO/TR 23849, 8.2.6 pour obtenir un exemple de cette méthode. »
Figure 13 :
Remplacer la Figure 13 par :
SRP/CS
PL
PFH = PFH + PFH + … + PFH
D D1 D2 DN
Avant la liste de la page 41 :
Remplacer la première phrase par la suivante :
« Si les valeurs de PFH de toutes les SRP/CS individuelles ne sont pas connues, on peut appliquer une
D i
autre solution moins favorable que la méthode ci-dessus et calculer le PL de l'ensemble de la SRP/CS
combinée exécutant la fonction de sécurité à l’aide du Tableau 11, de la façon suivante : »
7.2 Prise en compte des défauts
Premier alinéa :
ème ème
Dans la 2 phrase, remplacer « limitatives » par « exhaustives ». La nouvelle 2 phrase devient alors :
« Les listes de défauts ne sont pas exhaustives et, si nécessaire, des défauts supplémentaires doivent être
pris en compte et énumérés. »
9 Maintenance
Deuxième alinéa :
ème
Mettre à jour les références du 2 alinéa en remplaçant « ISO 12100-2:2003, 4.7 » par « ISO 12100:2010,
6.2.7 » et « ISO 12100-2:2003, 6.5.1 e) » par « ISO 12100:2010, 6.4.5.1 e) »
11 Informations pour l'utilisation
Premier alinéa :
18 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
Mettre à jour la référence du premier alinéa en remplaçant « ISO 12100-2:2003, 6.5.2 » par
« ISO 12100:2010, 6.4.5.2 »
ISO 13849-1:2006/FDAM 1:2015(F)
A.1 Sélection du PL
r
Modifier le chapitre A.1 comme suit :
« La présente annexe traite de la contribution à la réduction du risque de la partie relative à la sécurité du
système de commande considérée. Cette méthode fournit uniquement une estimation de la réduction du
risque exigée et s’attache uniquement à guider le concepteur et les experts en charge de l’élaboration des
normes afin de déterminer le PL pour chaque fonction de sécurité devant être réalisée par une SRP/CS.
r
NOTE Cette méthodologie d'estimation du PL n’est pas obligatoire. Il s'agit d'une approche générique qui s'appuie
r
sur une probabilité d'occurrence d’un événement dangereux correspondant au cas le plus défavorable (par exemple, la
probabilité d’occurrence est de 100%). D'autres méthodes appropriées d'estimation du risque pour des types de machines
spécifiques peuvent être utilisées selon les cas et l’expérience acquise en traitant avec succès des phénomènes
dangereux/machines similaires doit être prise en compte lors de l’estimation d’un PL . Le PL exigé par une norme de
r
type C peut donc s’écarter de l’approche générique donnée à la Figure A.1.
Le graphique de la Figure A.1 se base sur une situation antérieure à l’existence de la fonction de sécurité (voir
également ISO/TR 22100-2:2014). La réduction du risque par des dispositions techniques indépendantes du
système de commande (par exemple des protecteurs mécaniques), ou des fonctions de sécurité
supplémentaires, peut être prise en compte dans la détermination du PLr de ladite fonction de sécurité. Dans
ce cas, le point de départ de la Figure A.1 peut être choisi après l’implémentation de ces dispositions (voir
aussi la Figure 2).
La gravité du dommage (notée S) est globalement facile à estimer, par exemple lacération, amputation,
décès. Pour la probabilité d’occurrence, des paramètres annexes sont utilisés pour améliorer l’estimation. Ces
paramètres sont
la fréquence et la durée d'exposition au phénomène dangereux (F), et
la possibilité d'éviter le phénomène dangereux ou de limiter le dommage (P).
L'expérience a montré que ces paramètres peuvent être combinés comme à la Figure A.1 pour donner une
gradation du risque, de faible à élevé. Il faut souligner qu'il s'agit d'un procédé qualitatif qui ne donne qu'une
estimation du risque. »
A.2.2 Fréquence et/ou durée d'exposition aux phénomènes dangereux F1 et F2
ème
4 alinéa :
Supprimer la dernière phrase.
ème ème
Supprimer la Note et ajouter le texte suivant en tant que 5 et 6 alinéa :
« En l'absence d'autres justifications, il convient de choisir F2 si la fréquence est supérieure à un accès par 15
minutes.
Il est possible de choisir F2 si la durée d’exposition cumulée ne dépasse pas 1/20 du temps de
fonctionnement total et que la fréquence est inférieure à un accès par 15 minutes. »
20 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
A.2.3 Possibilité d'éviter le phénomène dangereux P1 et P2
Dernier alinéa :
Modifier le dernier alinéa comme suit et le déplacer sous la Figure A.1 :
« La Figure A.1 fournit une aide pour déterminer le PL relatif à la sécurité en fonction de l'appréciation du
risque pour la totalité de machine. La méthode d'appréciation du risque repose sur l'ISO 12100 (voir Figure 1
et voir ISO/TR 22100-2). Il convient de prendre en compte ce graphique pour chaque fonction de sécurité. »
Remplacer par ce qui suit :
« A.2.3 Possibilité d'éviter le phénomène dangereux P1 et P2
Lorsqu'un phénomène dangereux se produit, il est important de savoir s'il peut être reconnu et s'il peut être
évité avant qu'il ne provoque un accident. Par exemple, il est important de savoir s'il peut être identifié
directement par ses caractéristiques physiques ou s'il ne peut être reconnu que par des moyens techniques,
par exemple des indicateurs. D'autres aspects importants qui influent sur la sélection du paramètre P sont par
exemple les suivants :
fonctionnement avec ou sans surveillance ;
conduite par du personnel qualifié ou par des non-spécialistes ;
vitesse à laquelle le phénomène dangereux survient (par exemple rapidement ou lentement) ;
possibilités d'éviter le phénomène dangereux, par exemple en prenant la fuite ;
expériences pratiques de sécurité liées au procédé.
Lorsqu'une situation dangereuse se produit, il convient de ne sélectionner P1 que s'il existe une chance réelle
d'éviter un accident ou de réduire ses effets de manière significative. Il convient de sélectionner P2 s'il n'y a
pratiquement aucune chance d'éviter le phénomène dangereux. »
par :
« A.2.3 Possibilité d'éviter le phénomène dangereux P1 et P2 et probabilité d'occurrence
La probabilité d'éviter le phénomène dangereux et la probabilité d'occurrence d'un phénomène dangereux
sont combinées dans le paramètre P. Lorsqu'une situation dangereuse se produit, il convient de ne
sélectionner P1 que s'il existe une chance réelle d'éviter un phénomène dangereux ou de réduire ses effets
de manière significative. Sinon, il convient de sélectionner P2.
Si la probabilité d'occurrence d'un phénomène dangereux peut être justifiée comme faible, le PL peut être
r
réduit d'un niveau, voir A.2.3.2.
A.2.3.1 Possibilité d'éviter le phénomène dangereux
Lorsqu'un phénomène dangereux se produit, il est important de savoir s'il peut être reconnu avant qu'il ne
provoque un accident et s'il peut être évité. Par exemple, l’exposition à un phénomène dangereux peut-elle
être identifiée directement par ses caractéristiques physiques, ou si elle ne peut être reconnue que par des
moyens techniques, par exemple des indicateurs. D'autres aspects importants qui influent sur la sélection du
paramètre P sont par exemple les suivants :
vitesse à laquelle le phénomène dangereux survient (par exemple, rapidement ou lentement) ;
ISO 13849-1:2006/FDAM 1:2015(F)
possibilités d'éviter le phénomène dangereux (par exemple, en prenant la fuite) ;
expériences pratiques de sécurité liées au procédé.
A.2.3.2 Probabilité d'occurrence d'un phénomène dangereux
La probabilité d'occurrence d'un événement dangereux dépend soit du comportement humain, soit des
défaillances techniques. Dans la plupart des cas, les probabilités appropriées ne sont pas connues ou sont
difficiles à identifier. Il convient que l'estimation de la probabilité d'occurrence d'un événement dangereux
repose sur des facteurs tels que les suivants :
données de fiabilité ;
historique des accidents survenus sur des machines comparables.
NOTE un faible nombre d’accidents ne signifie pas nécessairement que l’occurrence de situations
dangereuses est faible, mais que les mesures de sécurité des machines sont suffisantes.
Si des machines comparables
comportent le(s) même(s) risque(s) que ceux que la fonction de sécurité considérée est censée réduire,
exigent le même procédé et la même action de la part de l'opérateur,
appliquer la technologie provoquant l’événement dangereux. »
Figure A.1 :
Supprimer le mot « Risque » dans le titre de la figure.
Ajouter un nouvel Article A.3 :
« A.3 Superposition de phénomènes dangereux
Lorsqu'on utilise l'ISO 13849-1, tous les phénomènes dangereux sont considérés comme un phénomène
dangereux ou une situation dangereuse spécifique. Pour quantifier le risque, chaque phénomène dangereux
peut donc être évalué séparément.
Lorsqu’il est évident qu’il existe une combinaison de phénomènes dangereux directement liés se produisant
toujours de manière simultanée, ceux-ci devraient être combinés lors de l’estimation du risque.
Il convient de déterminer si les phénomènes dangereux doivent être pris en compte séparément ou de
manière combinée lors de l’appréciation du risque de la machine.
EXEMPLE 1 Un robot de soudage continu peut engendrer diverses situations dangereuses simultanées, par
exemple un écrasement provoqué par le mouvement et des brûlures provoquées par le procédé de soudage. Cela peut
être considéré comme une combinaison de phénomènes dangereux directement liés.
EXEMPLE 2 Dans une cellule robotisée dans laquelle des robots séparés fonctionnent, chaque robot est considéré
séparément.
EXEMPLE 3 Suite à une appréciation du risque sur un carrousel portant plusieurs dispositifs de bridage, il peut
s'avérer suffisant de considérer chaque dispositif de bridage séparément. »
22 © ISO 2015 – Tous droits réservés
ISO 13849-1:2006/FDAM 1:2015(F)
C.2 Méthode des bonnes pratiques
Remplacer le point b) par le suivant :
« b) Le fabricant du composant spécifie l'application appropriée et les conditions d'utilisation pour le
concepteur de la SRP/CS. »
C.3 Composants hydrauliques
Remplacer la première phrase du point b) par la suivante :
« b) Le fabricant du composant hydraulique spécifie l'application appropriée et les conditions d'utilisation pour
le concepteur de la SRP/CS. »
ème
2 phrase du point b) :
Remplacer « fabricant du SRP/CS » par « concepteur du SRP/CS ».
ème
Remplacer le 2 alinéa du C.3 (sous le point b)) par ce qui suit :
« Si les exigences énoncées en C.4 sont satisfaites, le MTTF pour un composant hydraulique unique (un
D
distributeur, par exemple) peut être estimé à 150 années. Si le nombre moyen annuel d'utilisations (n ) est
op
inférieur à 1 000 000, on peut estimer que le MTTF est supérieur à celui indiqué dans le Tableau C.1
D
Si une des exigences a) et b) n'est pas respectée, le MTTF pour le composant hydraulique unique doit être
D
donné par le fabricant. Au lieu d'utiliser une valeur fixe pour le MTTF décrit ci-dessus, il est permis d'utiliser
D
le concept de B pour le MTTF de composants pneumatiques, mécaniques et électromécaniques pour les
10D D
composants hydrauliques si le fabricant peut fournir des données. »
Tableau C.1 :
Remplacer le Tableau C.1 par le suivant :
ISO 13849-1:2006/FDAM 1:2015(F)
Tableau C.1 — Normes internationales relatives aux MTTF ou aux B pour les composants
D 10D
Valeurs typiques :
Principes de sécurité de base
Normes
MTTF (années)
et éprouvés conformément à D
pertinentes
B (cycles)
l'ISO 13849-2:2012 D
Composants mécaniques Tableaux A.1 et A.2 –
MTTF 150
D
Composants hydrauliques avec Tableaux C.1 et C.2 ISO 4413
MTTF 150
D
n ≥ 1 000 000
op
Composants hydrauliques avec Tableaux C.1 et C.2 ISO 4413 MTTF 300
D
1 000 000 > n ≥ 500 000
op
Composants hydrauliques avec Tableaux C.1 et C.2 ISO 4413
MTTF 600
D
500 000 > n ≥ 250 000
op
Composants hydrauliques avec Tableaux C.1 et C.2 ISO 4413 MTTF 1 200
D
250 000 > n
op
Composants pneumatiques Tableaux B.1 et B.2 ISO 4414
B 20 000 000
10D
Relais et relais contacteurs avec Tableaux D.1 et D.2 EN 50205
B 20 000 000
10D
faible charge IEC 61810
IEC 60947
Relais et relais contacteurs avec Tableaux D.1 et D.2 EN 50205
B 400 000
10D
charge nominale IEC 61810
IEC 60947
Interrupteur de proximité avec Tableaux D.1 et D.2 IEC 60947
B 20 000 000
10D
faible charge ISO 14119
Interrupteur de proximité avec Tableaux D.1 et D.2 IEC 60947
B 400 000
10D
charge nominale ISO 14119
Contacteurs avec faible charge Tableaux D.1 et D.2 IEC 60947
B 20 000 000
10D
Contacteurs avec charge nominale Tableaux D.1 et D.2 IEC 60947
B 1 300 000 (voir Note 1)
10D
a
Tableaux D.1 et D.2 IEC 60947
Interrupteur de position B 20 000 000
10D
ISO 14119
Interrupteur de position (avec
Tableaux D.1 et D.2 IEC 60947 B 2 000 000
10D
actionneur séparé, protecteur ISO 14119
a
verrouillé)
a
Tableaux D.1 et D.2 IEC 60947
B 100 000
Dispositifs d'arrêt d'urgence
10D
ISO 13850
Boutons poussoirs (par exemple, Tableaux D.1 et D.2 IEC 60947 100 000
B
10D
a
commutateur de déclenchement)
Pour la définition et l'utilisation de B , voir C.4.
10D
NOTE 1 B est estimé à deux fois B (50 % de défaillances dangereuses) si aucune autre information n'est disponible (norme de produit,
10D 10
par exemple).
NOTE 2 Il convient que les notions de « charge nominale » ou de « faible charge » prennent en compte les principes de sécurité décrit
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...