ISO 10218-1:2011
(Main)Robots and robotic devices — Safety requirements for industrial robots — Part 1: Robots
Robots and robotic devices — Safety requirements for industrial robots — Part 1: Robots
ISO 10218-1:2011 specifies requirements and guidelines for the inherent safe design, protective measures and information for use of industrial robots. It describes basic hazards associated with robots and provides requirements to eliminate, or adequately reduce, the risks associated with these hazards. ISO 10218-1:2011 does not address the robot as a complete machine. Noise emission is generally not considered a significant hazard of the robot alone, and consequently noise is excluded from the scope of ISO 10218-1:2011. ISO 10218-1:2011 does not apply to non‑industrial robots, although the safety principles established in ISO 10218 can be utilized for these other robots.
Robots et dispositifs robotiques — Exigences de sécurité pour les robots industriels — Partie 1: Robots
L'ISO 10218-1:2011 spécifie les exigences et les recommandations pour la prévention intrinsèque, les mesures de protection et les informations pour l'utilisation des robots industriels. Elle décrit les phénomènes dangereux de base associés aux robots et fournit des exigences pour éliminer ou réduire de manière appropriée les risques associés à ces phénomènes dangereux. L'ISO 10218-1:2011 ne traite pas le robot comme une machine complète. L'émission sonore n'est généralement pas considérée comme un phénomène dangereux significatif du robot lui-même et par conséquent, le bruit est exclu du domaine d'application de l'ISO 10218-1:2011. L'ISO 10218-1:2011 ne s'applique pas aux robots non industriels, bien que les principes de sécurité établis dans l'ISO 10218 puissent être utilisés pour ces autres robots.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 10218-1
Second edition
2011-07-01
Robots and robotic devices — Safety
requirements for industrial robots —
Part 1:
Robots
Robots et dispositifs robotiques — Exigences de sécurité pour
les robots industriels —
Partie 1: Robots
Reference number
©
ISO 2011
© ISO 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2011 – All rights reserved
Contents Page
Foreword .iv
Introduction.v
1 Scope.1
2 Normative references.1
3 Terms and definitions .2
4 Hazard identification and risk assessment.6
5 Design requirements and protective measures .7
5.1 General .7
5.2 General requirements .7
5.3 Actuating controls.8
5.4 Safety-related control system performance (hardware/software).8
5.5 Robot stopping functions.9
5.6 Speed control.11
5.7 Operational modes .11
5.8 Pendant controls .13
5.9 Control of simultaneous motion .15
5.10 Collaborative operation requirements .15
5.11 Singularity protection .16
5.12 Axis limiting .16
5.13 Movement without drive power.18
5.14 Provisions for lifting.18
5.15 Electrical connectors .18
6 Verification and validation of safety requirements and protective measures .19
6.1 General .19
6.2 Verification and validation methods.19
6.3 Required verification and validation .19
7 Information for use.20
7.1 General .20
7.2 Instruction handbook.20
7.3 Marking.21
Annex A (informative) List of significant hazards .23
Annex B (normative) Stopping time and distance metric.28
Annex C (informative) Functional characteristics of three-position enabling device .30
Annex D (informative) Optional features .31
Annex E (informative) Labelling .33
Annex F (normative) Means of verification of the safety requirements and measures.34
Bibliography.43
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 10218-1 was prepared by Technical Committee ISO/TC 184, Automation systems and integration,
Subcommittee SC 2, Robots and robotic devices.
This second edition cancels and replaces the first edition (ISO 10218-1:2006), which has been technically
revised. It also incorporates Technical Corrigendum ISO 10218-1:2006/Cor.1:2007.
ISO 10218 consists of the following parts, under the general title Robots and robotic devices — Safety
requirements for industrial robots:
⎯ Part 1: Robots
⎯ Part 2: Robot systems and integration
iv © ISO 2011 – All rights reserved
Introduction
ISO 10218 has been created in recognition of the particular hazards that are presented by industrial robots
and industrial robot systems.
This part of ISO 10218 is a type-C standard as outlined in ISO 12100.
When provisions of a type-C standard are different from those which are stated in type-A or type-B standards,
the provisions of the type-C standard take precedence over the provisions of the other standards for machines
that have been designed and built in accordance with the provisions of the type-C standard.
The machinery concerned and the extent to which hazards, hazardous situations and events are covered are
indicated in the Scope of this part of ISO 10218.
Hazards associated with robots are well recognized, but the sources of the hazards are frequently unique to a
particular robot system. The number and type(s) of hazard(s) are directly related to the nature of the
automation process and the complexity of the installation. The risks associated with these hazards vary with
the type of robot used and its purpose, and the way in which it is installed, programmed, operated and
maintained.
NOTE Not all of the hazards identified by ISO 10218 apply to every robot, nor will the level of risk associated with a
given hazardous situation be the same from robot to robot. Consequently, the safety requirements, or the protective
measures, or both, can vary from what is specified in ISO 10218. A risk assessment can be conducted to determine what
the protective measures should be.
In recognition of the variable nature of hazards with different uses of industrial robots, ISO 10218 is divided
into two parts. This part of ISO 10218 provides guidance for the assurance of safety in the design and
construction of the robot. Since safety in the application of industrial robots is influenced by the design and
application of the particular robot system integration, ISO 10218-2 provides guidelines for the safeguarding of
personnel during robot integration, installation, functional testing, programming, operation, maintenance and
repair.
This part of ISO 10218 has been updated based on experience gained in developing the ISO 10218-2
guidance on system and integration requirements, in order to ensure it remains in line with minimum
requirements of a harmonized type-C standard for industrial robots. Revised technical requirements include,
but are not limited to, definition and requirements for singularity, safeguarding of transmission hazards, power
loss requirements, safety-related control circuit performance, addition of a category 2 stopping function, mode
selection, power and force limiting requirements, marking, and updated stopping time and distance metric and
features.
This part of ISO 10218 is not applicable to robots that were manufactured prior to its publication date.
INTERNATIONAL STANDARD ISO 10218-1:2011(E)
Robots and robotic devices — Safety requirements for
industrial robots —
Part 1:
Robots
1 Scope
This part of ISO 10218 specifies requirements and guidelines for the inherent safe design, protective
measures and information for use of industrial robots. It describes basic hazards associated with robots and
provides requirements to eliminate, or adequately reduce, the risks associated with these hazards.
This part of ISO 10218 does not address the robot as a complete machine. Noise emission is generally not
considered a significant hazard of the robot alone, and consequently noise is excluded from the scope of this
part of ISO 10218.
This part of ISO 10218 does not apply to non-industrial robots, although the safety principles established in
ISO 10218 can be utilized for these other robots.
NOTE 1 Examples of non-industrial robot applications include, but are not limited to, undersea, military and space
robots, tele-operated manipulators, prosthetics and other aids for the physically impaired, micro-robots (displacement less
than 1 mm), surgery or healthcare, and service or consumer products.
NOTE 2 Requirements for robot systems, integration, and installation are covered in ISO 10218-2.
NOTE 3 Additional hazards can be created by specific applications (e.g. welding, laser cutting, machining). These
system-related hazards need to be considered during robot design.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 9283:1998, Manipulating industrial robots — Performance criteria and related test methods
ISO 10218-2, Robots and robotic devices — Safety requirements for industrial robots — Part 2: Robot
systems and integration
ISO 12100, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-1:2006, Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
ISO 13850, Safety of machinery — Emergency stop — Principles for design
IEC 60204-1, Safety of machinery — Electrical equipment of machines — Part 1: General requirements
IEC 62061:2005, Safety of machinery — Functional safety of safety-related electrical, electronic and
programmable electronic control systems
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100 and the following apply.
3.1
actuating control
mechanical mechanism within a control device
EXAMPLE A rod which opens contacts.
3.2
automatic mode
operating mode in which the robot control system operates in accordance with the task programme
[ISO 8373:1994, definition 5.3.8.1]
3.3
automatic operation
state in which the robot is executing its programmed task as intended
NOTE Adapted from ISO 8373:1994, definition 5.5.
3.4
collaborative operation
state in which purposely designed robots work in direct cooperation with a human within a defined workspace
3.5
collaborative workspace
workspace within the safeguarded space where the robot and a human can perform tasks simultaneously
during production operation
3.6
drive power
energy source or sources for the robot actuators
3.7
end-effector
device specifically designed for attachment to the mechanical interface to enable the robot to perform its task
EXAMPLE Gripper, nutrunner, welding gun, spray gun.
[ISO 8373:1994, definition 3.11]
3.8
energy source
electrical, mechanical, hydraulic, pneumatic, chemical, thermal, potential, kinetic or other source of power
3.9
hazardous motion
motion that is likely to cause personal physical injury or damage to health
3.10
industrial robot
automatically controlled, reprogrammable multipurpose manipulator, programmable in three or more axes,
which can be either fixed in place or mobile for use in industrial automation applications
NOTE 1 The industrial robot includes:
⎯ the manipulator, including actuators;
⎯ the controller, including teach pendant and any communication interface (hardware and software).
2 © ISO 2011 – All rights reserved
NOTE 2 This includes any integrated additional axes.
NOTE 3 The following devices are considered industrial robots for the purpose of this part of ISO 10218:
⎯ hand-guided robots;
⎯ the manipulating portions of mobile robots;
⎯ collaborating robots.
NOTE 4 Adapted from ISO 8373:1994, definition 2.6.
3.11
industrial robot system
system comprising:
⎯ industrial robot;
⎯ end-effector(s);
⎯ any machinery, equipment, devices, external auxiliary axes or sensors supporting the robot performing its
task
NOTE 1 The robot system requirements, including those for controlling hazards, are contained in ISO 10218-2.
NOTE 2 Adapted from ISO 8373:1994, definition 2.14.
3.12
limiting device
means that restricts the maximum space by stopping or causing to stop all robot motion
3.13
local control
state of the system or portions of the system in which the system is operated from the control panel or
pendant of the individual machines only
3.14
manual mode
control state that allows for the direct control by an operator
NOTE 1 Sometimes referred to as teach mode where programme points are set.
NOTE 2 Adapted from ISO 8373:1994, definition 5.3.8.2.
3.15
pendant
teach pendant
hand-held unit linked to the control system with which a robot can be programmed or moved
[ISO 8373:1994, definition 5.8]
3.16 Programme
3.16.1
control programme
inherent set of instructions which defines the capabilities, actions, and responses of a robot
NOTE This type of programme is fixed and usually not modified by the user.
[ISO 8373:1994, definition 5.1.2]
3.16.2
task programme
set of instructions for motion and auxiliary functions that define the specific intended task of the robot system
NOTE 1 This type of programme is normally generated by the user.
NOTE 2 An application is a general area of work; a task is specific within the application.
[ISO 8373:1994, definition 5.1.1]
3.16.3
programme verification
execution of a task programme for the purpose of confirming the robot path and process performance
NOTE Verification can include the total path traced by the tool centre point during the execution of a task programme
or a segment of the path. The instructions can be executed in a single instruction or continuous instruction sequence.
Verification is used in new applications and in fine tuning/editing of existing ones.
3.17
protective stop
type of interruption of operation that allows a cessation of motion for safeguarding purposes and which retains
the programme logic to facilitate a restart
3.18
robot actuator
powered mechanism that converts electrical, hydraulic, or pneumatic energy to effect motion
3.19
safety-rated
characterized by having a prescribed safety function with a specified safety-related performance
3.19.1
safety-rated monitored speed
safety-rated function that causes a protective stop when either the Cartesian speed of a point relative to the
robot flange (e.g. the TCP), or the speed of one or more axes exceeds a specified limit value
3.19.2
safety-rated reduced speed
safety-rated monitored speed function that limits the robot speed to 250 mm/s or less
NOTE 1 The safety-rated reduced speed limit value is not necessarily the value set in the reduced speed control
function.
NOTE 2 The difference between safety-rated monitored speed and safety-rated reduced speed is that safety-rated
monitored speed limit can be set to speeds greater than 250 mm/s.
3.19.3
safety-rated soft axis and space limiting
safety-rated soft limit
limit placed on the range of motion of the robot by a software- or firmware-based system having a specified
sufficient safety-related performance
NOTE The safety-rated soft limit might be the point where a stop is initiated, or it might ensure that the robot does not
move beyond the limit.
3.19.4
safety-rated output
output signal having a specified sufficient safety-related performance
4 © ISO 2011 – All rights reserved
3.19.5
safety-rated zone output
safety-rated output indicating the state of the robot position relative to a safety-rated soft limit
NOTE For example, the robot position can be inside the zone or outside the zone.
3.19.6
safety-rated monitored stop
condition where the robot is stopped with drive power active, while a monitoring system with a specified
sufficient safety performance ensures that the robot does not move
3.20
simultaneous motion
motion of two or more robots at the same time under the control of a single control station, and which may be
coordinated or may be synchronous using common mathematical correlation
NOTE 1 A teach pendant is an example of a single control station.
NOTE 2 Coordination can be done as master/slave.
3.21
single point of control
ability to operate the robot such that initiation of robot motion is only possible from one source of control and
cannot be overridden from another initiation source
3.22
singularity
occurrence whenever the rank of the Jacobian matrix becomes less than full rank
NOTE Mathematically, in a singular configuration, the joint velocity in joint space can become infinite to maintain
Cartesian velocity. In actual operation, motions defined in Cartesian space that pass near singularities can produce high
axis speeds. These high speeds can be unexpected to an operator.
3.23
reduced speed control
slow speed control
mode of robot motion control where the speed is limited to 250 mm/s or less
NOTE Reduced speed is intended to allow persons sufficient time to either withdraw from the hazardous motion or
stop the robot.
3.24
space
three-dimensional volume
3.24.1
maximum space
space which can be swept by the moving parts of the robot as defined by the manufacturer plus the space
which can be swept by the end-effector and the workpiece
[ISO 8373:1994, definition 4.8.1]
3.24.2
restricted space
portion of the maximum space restricted by limiting devices that establish limits which will not be exceeded
NOTE Adapted from ISO 8373:1994, definition 4.8.2.
3.24.3
safeguarded space
space defined by the perimeter safeguarding
3.25
teach
teach programming
task programming
programming of the task performed by
a) manually leading the robot end-effector; or
b) manually leading a mechanical simulating device; or
c) using a teach pendant to step the robot through the desired positions
NOTE Adapted from ISO 8373:1994, definition 5.2.3.
3.26
tool centre point
TCP
point defined for a given application with regard to the mechanical interface coordinate system
[ISO 8373:1994, definition 4.9]
3.27
user
entity that uses robots and is responsible for the personnel associated with the robot operation
4 Hazard identification and risk assessment
Annex A contains a list of hazards that can be present with robots. A hazard analysis shall be carried out to
identify any further hazards that may be present.
A risk assessment shall be carried out on those hazards identified in the hazard identification. This risk
assessment shall give particular consideration to:
a) the intended operations of the robot, including teaching, maintenance, setting and cleaning;
b) unexpected start-up;
c) access by personnel from all directions;
d) reasonably foreseeable misuse of the robot;
e) the effect of failure in the control system; and
f) where necessary, the hazards associated with the specific robot application.
Risks shall be eliminated or reduced first by design or by substitution, then by safeguarding and other
complementary measures. Any residual risks shall then be reduced by other measures (e.g. warnings, signs,
training).
The requirements contained in Clause 5 derive from the iterative process consisting of applying safeguarding
measures that are described in ISO 12100 to the hazards identified in Annex A.
NOTE 1 ISO 12100 provides requirements and guidance in performing hazard identification and risk reduction.
NOTE 2 Hazard identification and risk assessment requirements for robot systems, integration, and installation are
covered in ISO 10218-2.
6 © ISO 2011 – All rights reserved
5 Design requirements and protective measures
5.1 General
The robot shall be designed in accordance with the principles of ISO 12100 for relevant hazards. Significant
hazards, such as sharp edges, are not dealt with by this part of ISO 10218.
Robots shall be designed and constructed to comply with the requirements in 5.2 to 5.15.
5.2 General requirements
5.2.1 Power transmission components
Exposure to hazards caused by components such as motor shafts, gears, drive belts, or linkages which are
not protected by integral covers (e.g. panel over a gear box) shall be prevented either by fixed guards or
movable guards. The fixing systems of the fixed guards which are intended to be removed for routine service
actions shall remain attached to the machine or the guard. Movable guards shall be interlocked with the
hazardous movements in such a way that the hazardous machine functions cease before they can be reached.
The safety-related control system performance of an interlocking system shall conform to the requirements
of 5.4.
5.2.2 Power loss or change
Loss of, or variations in power shall not result in a hazard.
Re-initiation of power shall not lead to any motion.
Robots shall be designed and constructed so that loss or change of electrical, hydraulic, pneumatic or vacuum
power does not result in a hazard. If hazards exist that are not protected by design, then other protective
measures shall be taken to protect against those hazards. Unprotected hazards of the expected use shall be
identified in the information for use.
NOTE See IEC 60204-1 for electrical power supply requirements.
5.2.3 Component malfunction
Robot components shall be designed, constructed, secured, or contained so that hazards caused by breaking
or loosening, or releasing stored energy are minimized.
5.2.4 Sources of energy
A means of isolating any hazardous energy source to the robot shall be provided. This means shall be
provided with capability of locking or otherwise securing in the de-energized position.
5.2.5 Stored energy
A means shall be provided for the controlled release of stored hazardous energy. A label shall be affixed to
identify the stored energy hazard.
NOTE Stored energy can occur in air and hydraulic pressure accumulators, capacitors, batteries, springs,
counterbalances, flywheels, etc.
5.2.6 Electromagnetic compatibility (EMC)
The design and construction of the robot shall prevent hazardous motion or situations due to the expected effects
of electromagnetic interference (EMI), radio frequency interference (RFI) and electrostatic discharge (ESD).
NOTE See IEC 61000 for design information.
5.2.7 Electrical equipment
The robot electrical equipment shall be designed and constructed in accordance with the relevant
requirements of IEC 60204-1.
5.3 Actuating controls
5.3.1 General
Actuating controls that initiate power or motion shall be designed and constructed to meet the performance
criteria mentioned in 5.3.2 to 5.3.5.
5.3.2 Protection from unintended operation
Actuating controls shall be constructed or located so as to prevent unintended operation. For example,
appropriately designed push-buttons or key selector switches in appropriate locations can be used.
5.3.3 Status indication
The status of the actuating controls shall be clearly indicated, e.g. power on, fault detected, automatic
operation.
If an indicator light is used, it shall be suitable for its installed location and its colour shall meet the
requirements of IEC 60204-1.
5.3.4 Labelling
Actuating controls shall be labelled to clearly indicate their function.
5.3.5 Single point of control
The robot control system shall be designed and constructed so that when the robot is placed under local
pendant control or other teaching device control, initiation of robot motion or change of local control selection
from any other source is prevented.
5.4 Safety-related control system performance (hardware/software)
5.4.1 General
Safety-related control systems (electric, hydraulic, pneumatic and software) shall comply with 5.4.2, unless the
results of the risk assessment determine that an alternative performance criterion as described in 5.4.3 is
appropriate. The safety-related control system performance of the robot and any furnished equipment shall be
clearly stated in the information for use.
NOTE 1 Safety-related control systems can also be called SRP/CS (safety-related parts of control systems).
For the purposes of this part of ISO 10218, safety-related control system performance is stated as:
⎯ Performance Levels (PL) and categories as described in ISO 13849-1:2006, 4.5.1;
⎯ Safety Integrity Levels (SIL) and hardware fault tolerance requirements as described in IEC 62061:2005,
5.2.4.
Those two standards address functional safety using similar but different methods. Requirements in those
standards should be used for the respective safety-related control systems for which they are intended. The
designer may choose to use either of the two standards. The data and criteria necessary to determine the
safety-related control system performance shall be included in the information for use.
8 © ISO 2011 – All rights reserved
NOTE 2 The comparison with ISO 13849-1 and IEC 62061 is described in ISO/TR 23849.
Other standards offering alternative performance requirements, such as the term “control reliability” used in
North America, may also be used. When using these alternative standards to design safety-related control
systems, an equivalent level of risk reduction shall be achieved.
Any failure of the safety-related control system shall result in a stop category 0 or 1 in accordance with
IEC 60204-1.
5.4.2 Performance requirement
Safety-related parts of control systems shall be designed so that they comply with PL=d with structure
category 3 as described in ISO 13849-1:2006, or so that they comply with SIL 2 with a hardware fault
tolerance of 1 with a proof test interval of not less than 20 years, as described in IEC 62061:2005.
This means in particular:
a) a single fault in any of these parts does not lead to the loss of the safety function;
b) whenever reasonably practicable, the single fault shall be detected at or before the next demand upon
the safety function;
c) when the single fault occurs, the safety function is always performed and a safe state shall be maintained
until the detected fault is corrected; and
d) all reasonably foreseeable faults shall be detected.
The requirements a) to d) are considered to be equivalent to structure category 3 as described in
ISO 13849-1:2006.
NOTE The requirement of single fault detection does not mean that all faults will be detected. Consequently, the
accumulation of undetected faults can lead to an unintended output and a hazardous situation at the machine.
5.4.3 Other control system performance criteria
The results of a comprehensive risk assessment performed on the robot and its intended application may
determine that a safety-related control system performance other than that stated in 5.4.2 is warranted for the
application.
Selection of one of these other safety-related performance criteria shall be specifically identified, and
appropriate limitations and cautions shall be included in the information for use provided with the affected
equipment.
5.5 Robot stopping functions
5.5.1 General
Every robot shall have a protective stop function and an independent emergency stop function. These
functions shall have provision for the connection of external protective devices. Optionally, an emergency stop
output signal may be provided. Table 1 shows a comparison of the emergency stop and protective stop
functions.
Table 1 — Comparison of emergency and protective stops
Parameter Emergency stop Protective stop
Location of initiation Operator has quick, unobstructed access For protective devices, the location is determined
means by the minimum (safe) distance formulas described
in ISO 13855
Initiation Manual Manual, automatic or may be automatically initiated
by a safety-related function
Safety-related control Shall meet performance requirement in 5.4 Shall meet performance requirement in 5.4
system performance
Reset Manual only Manual or automatic
Use frequency Infrequent Variable; from every operation to infrequent
Purpose Emergency Safeguarding or risk reduction
Effect Remove energy sources to all hazards Safely control the safeguarded hazard(s)
5.5.2 Emergency stop
The robot shall have one or more emergency stop functions (stop category 0 or 1, in accordance with
IEC 60204-1).
Each control station capable of initiating robot motion or other hazardous situation shall have a manually
initiated emergency stop function that:
a) complies with the requirements of 5.4 and IEC 60204-1;
b) takes precedence over all other robot controls;
c) causes all controlled hazards to stop;
d) removes drive power from the robot actuators;
e) provides capability for controlling hazards controlled by the robot system;
f) remains active until it is reset; and
g) shall only be reset by manual action that does not cause a restart after resetting, but shall only permit a
restart to occur.
Selection of a category 0 or category 1 stop (in accordance with IEC 60204-1) function shall be determined
from the risk assessment.
When an emergency stop output signal is provided:
⎯ the output shall continue to function when the robot power is removed; or
⎯ if the output does not continue to function when the robot power supply is removed, an emergency stop
signal shall be generated.
The emergency stop device shall be in accordance with IEC 60204-1 and ISO 13850.
5.5.3 Protective stop
The robot shall have one or more protective stop functions designed for the connection of external protective
devices. The protective stop function performance shall comply with the requirements of 5.4.
10 © ISO 2011 – All rights reserved
This stop function shall cause a stop of all robot motion, remove or control power to the robot drive actuators,
and allow for the control of any other hazard controlled by the robot. This stop may be initiated manually or by
control logic.
At least one protective stop function shall be a stop category 0 or 1, as described in IEC 60204-1. The robot
may have an additional protective stop function using stop category 2 as described in IEC 60204-1 that does
not result in drive power being removed but does require monitoring of the standstill condition after the robot
stops. Any unintended motion of the robot in the monitored standstill condition or detected failure of the
protective stop function shall result in a category 0 stop in accordance with IEC 60204-1. The monitored
standstill function performance shall comply with 5.4. This function may also be initiated from external devices
(input stop signal from protective devices).
NOTE A monitored category 2 stop function in accordance with IEC 60204-1 can be provided by an electric power
drive system which corresponds to a safe operational stop (SOS) in accordance with IEC 61800-5-2.
The manufacturer shall include the stop category of every protective stop circuit input in the information for use.
5.6 Speed control
5.6.1 General
The speed of the robot end-effector mounting flange and of the tool centre point (TCP) shall be controllable at
selectable speeds. An off-set feature (defining the location of the TCP relative to the mounting flange) shall be
provided to enable the TCP speed to be controlled.
5.6.2 Reduced speed control operation
When operating under reduced speed control, the speed of the TCP shall not exceed 250 mm/s. It should be
possible to select speeds lower than 250 mm/s as the assigned limit.
5.6.3 Safety-rated reduced speed control
When provided, safety-rated reduced speed control shall be designed and constructed in accordance with
5.4.2 so that in the event of a fault, the speed of the TCP does not exceed the limit for reduced speed (see
5.6.2) and a protective stop is issued when a fault occurs.
5.6.4 Safety-rated monitored speed
When provided, the speed of the TCP or of an axis shall be monitored in accordance with 5.4.2. If the speed
exceeds the limit selected, a protective stop shall be issued.
5.7 Operational modes
5.7.1 Selection
Operational modes shall be selectable with a mode selector which can be locked in each position (e.g. a key
operated switch which can be inserted and extracted in each position). Each position of the selector shall be
clearly identifiable and shall exclusively allow one control or operating mode.
The selector can be replaced by another selection means which restricts the use of certain functions of the
robot (e.g. access codes).
These means shall:
a) unambiguously indicate the selected operating mode; and
b) by themselves not initiate robot motion or other hazards.
An optional output(s) may be provided to indicate the mode selected. When provided for safety-related
purposes, the output(s) shall comply with the requirements of 5.4 (see Annex D).
NOTE Methods for mode labelling are illustrated in Annex E.
5.7.2 Automatic
In automatic mode, the robot shall execute the task programme and the safeguarding measures shall be
functioning.
Automatic operation shall be prevented if any stop condition is detected.
Switching from this mode shall result in a stop.
5.7.3 Manual reduced speed
Manual reduced-speed mode shall meet the requirements of 5.3.4 and 5.6 and shall allow a robot to be
operated by human intervention. Automatic operation is prohibited in this mode. This mode is used for jogging,
teaching, programming and programme verification of the robot; it may be the mode selected when performing
some maintenance tasks.
Manual control of the robot from inside the safeguarded space shall be performed with a reduced speed in
conjunction with either of the following:
a) hold-to-run controls in conjunction with an enabling device in accordance with 5.8, or
b) for programme verification only, a start/stop control in conjunction with an enabling device in accordance
with 5.8.
Information for use shall contain appropriate instructions and warnings that, wherever possible, the manual
mode of operation shall be performed with all persons outside the safeguarded space. Information for use
shall also instruct that prior to selecting automatic mode, any suspended safeguards shall be returned to their
full functionality.
NOTE Previously, this mode was also known as T1, or teach.
5.7.4 Manual high speed
If this mode is provided, speeds greater than 250 mm/s can be achieved. This mode is used for programme
verification only. In this case, the robot shall:
a) have a means to select manual high-speed mode which requires a deliberate action (e.g. a key switch on
the robot control panel) and an additional confirming action;
b) provide a pendant conforming to 5.8 with a hold-to-run function in addition to the enabling device that
permits robot motion to continue;
c) set an initial speed limit of up to, but not exceeding, 250 mm/s upon selection of manual high-speed
mode;
d) provide on the pendant a means for the operator to incrementally adjust the speed from the initial value to
the full programmed value in multiple steps;
e) provide on the pendant an indication of the adjusted speed;
12 © ISO 2011 – All rights reserved
f) ensure that:
⎯ its speed is limited to the initial speed limit when the enabling device is re-initiated by placing the
switch in the centre-enabled position after either having been released or fully compressed, and
⎯ a separate deliberate action is required to return to the higher speed that was selected before the
enabling device switch was released or compressed, and
⎯ the option to resume the higher speed using the separate action shall become inoperative after no
more than five minutes after the release of the enabling device.
The option to resume the higher speed and the time-out is not safety-rated. Information for use shall contain
appropriate instructions and warning that, wherever possible, the manual mode of operation shall be
performed with all persons outside the safeguarded space. Information for use shall also instruct that prior to
selecting automatic mode, any suspended safeguards shall be returned to their full functionality.
NOTE This optional manual mode has previously been known as T2, or high-speed attended programme verification.
5.8 Pendant controls
5.8.1 General
Where a pendant control or other teaching control device has the capability to control the robot from within the
safeguarded space, the requirements in 5.3.5 and 5.8.2 to 5.8.7 shall apply.
NOTE This applies to any device used in the manual mode to control a robot from within the safeguarded space
while drive power is applied to any of the robot axes. This includes robots with powered lead-through teach, whether using
robot-mounted manual controls or main/secondary teaching controls.
5.8.2 Motion control
Motion of the robot initiated from the pendant or teaching control device shall be under reduced speed control
as described in 5.6. When the controls contain provisions for selecting manual high speed, the robot shall
meet the requirements in 5.7.4.
5.8.3 Enabling device
The pendant or teaching control device shall have a three-position enabling device in accordance with
IEC 60204-1. When continuously held in a centre-enabled position, the enabling device shall permit robot
motion and any other hazards controlled by the robot. The enabling device shall have the performance
characteristics outlined below.
NOTE 1 It is important to consider the ergonomic issues of sustained activation in the design and installation of the
enabling device.
NOTE 2 Additional information on enabling is contained in Annex C.
a) The enabling device may be integral with, or physically separate from (e.g. a grip-type enabling device),
the pendant control and shall operate independently from any other motion control function or device.
b) Release of or compression past the centre-enabled position of the device shall stop hazards (e.g. robot
motion) in accordance with 5.4 and 5.5.3.
c) After compression past the centre-enabled position of the enabling device, the enabling device needs to
be fully released. Going from fully compressed to the centre position shall not permit robot motion.
d) When two or more enabling switches are provided on a single enabling device/pendant to allow
alternating left- or right-handed operation, any or all switches can be in the centre-enabled position:
1) when only one of the switches is being used and is in the centre-enabled position it shall function as
described in b);
2) when the enabling device design allows both switches to be held in the centre-enabled position to
allow changing from left- to right-hand operation, releasing one switch shall not cause a protective
stop but fully depressing either switch shall override the control of the other switches and cause a
protective stop.
Information for use shall contain a description of this functional operation and a warning that a potential
hazard could exist.
NOTE 3 If multiple switches are being held in the centre-enabled position, it cannot be distinguished if one of them
is intentionally released or it is unconsciously released as a result of an accident.
e) When more than one enabling device is in operation (i.e. more than one person is in the safeguarded
space with an enabling device), motion shall only be possible when each device is held in the centre
(enabled) position at the same time.
f) Dropping the enabling device shall not result in a failure that would allow motion to be enabled.
...
NORME ISO
INTERNATIONALE 10218-1
Deuxième édition
2011-07-01
Robots et dispositifs robotiques —
Exigences de sécurité pour les robots
industriels —
Partie 1:
Robots
Robots and robotic devices — Safety requirements for industrial
robots —
Part 1: Robots
Numéro de référence
©
ISO 2011
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2011 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction.v
1 Domaine d'application .1
2 Références normatives.1
3 Termes et définitions .2
4 Identification des phénomènes dangereux et appréciation du risque .7
5 Exigences de conception et mesures de protection .7
5.1 Généralités .7
5.2 Exigences générales.7
5.3 Organes de commande.8
5.4 Performances du système de commande relatif à la sécurité (matériel/logiciel).9
5.5 Fonctions d'arrêt du robot.10
5.6 Commande de vitesse.12
5.7 Modes de fonctionnement.13
5.8 Commandes du pendant.14
5.9 Commande de mouvements simultanés.16
5.10 Exigences relatives au fonctionnement coopératif .17
5.11 Protection contre la singularité .18
5.12 Limitation d'axe .18
5.13 Mouvement hors puissance .20
5.14 Dispositions pour le levage.20
5.15 Connecteurs électriques.20
6 Vérification et validation des exigences de sécurité et des mesures de protection.21
6.1 Généralités .21
6.2 Méthodes de vérification et de validation.21
6.3 Vérification et validation exigées.21
7 Informations d'utilisation.22
7.1 Généralités .22
7.2 Notice d'instructions.22
7.3 Marquage.23
Annexe A (informative) Liste des phénomènes dangereux significatifs .25
Annexe B (normative) Méthode de mesure du temps et de la distance d'arrêt .30
Annexe C (informative) Caractéristiques fonctionnelles d'un dispositif de validation à 3 positions .32
Annexe D (informative) Caractéristiques optionnelles .33
Annexe E (informative) Méthodes de symbolisation.35
Annexe F (normative) Moyens de vérification des exigences et mesures de sécurité .36
Bibliographie.45
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 10218-1 a été élaborée par le comité technique ISO/TC 184, Systèmes d'automatisation et intégration,
sous-comité SC 2, Robots et composants robotiques.
Cette deuxième édition annule et remplace la première édition (ISO 10218-1:2006), qui a fait l'objet d'une
révision technique. Elle incorpore également le Rectificatif technique ISO 10218-1:2006/Cor.1:2007.
L'ISO 10218 comprend les parties suivantes, présentées sous le titre général Robots et dispositifs
robotiques — Exigences de sécurité pour les robots industriels:
⎯ Partie 1: Robots
⎯ Partie 2: Systèmes robots et intégration
iv © ISO 2011 – Tous droits réservés
Introduction
L'ISO 10218 a été élaborée en tenant compte des phénomènes dangereux particuliers présentés par les
robots industriels et les systèmes de robots industriels.
La présente partie de l'ISO 10218 est une norme de type C comme stipulé dans l'ISO 12100.
Lorsque les dispositions de la présente norme de type C diffèrent de celles indiquées dans les normes de
type A ou de type B, les dispositions de la présente norme de type C prévalent sur les dispositions des autres
normes applicables aux machines conçues et construites conformément aux dispositions de la présente
norme de type C.
Les machines concernées et l'étendue des phénomènes, des situations et des événements dangereux
couverts sont indiquées dans le domaine d'application de la présente partie de l'ISO 10218.
Si les phénomènes dangereux associés aux robots sont bien connus, les sources de ces phénomènes
dangereux sont souvent spécifiques à un système de robot donné. Le nombre et les types de phénomènes
dangereux sont directement liés à la nature du procédé d'automatisation et à la complexité de l'installation.
Les risques associés à ces phénomènes dangereux varient en fonction du type de robot utilisé, de son rôle et
de la façon dont il est installé, programmé, utilisé et entretenu.
NOTE Les phénomènes dangereux identifiés par l'ISO 10218 ne s'appliquent pas tous à chaque robot et le niveau
de risque associé à une situation dangereuse donnée varie d'un robot à l'autre. En conséquence, les exigences de
sécurité ou les mesures de prévention, ou les deux, peuvent varier par rapport à celles spécifiées dans l'ISO 10218. Une
appréciation du risque peut être réalisée afin de déterminer les mesures de prévention qu'il convient de prendre.
Les phénomènes dangereux liés à l'utilisation des robots industriels étant de nature variable, l'ISO 10218 est
divisée en deux parties. La présente partie de l'ISO 10218 fournit des recommandations pour garantir la
sécurité lors de la conception et de la construction des robots. La sécurité dans les applications robotisées
étant influencée par la conception et l'application de l'intégration du système de robot considéré,
l'ISO 10218-2 donne des recommandations pour la protection du personnel pendant l'intégration, l'installation,
les essais de fonctionnement, la programmation, l'exploitation, la maintenance et la réparation des robots.
La présente partie de l'ISO 10218 a été actualisée en se fondant sur l'expérience acquise lors de l'élaboration
des recommandations de l'ISO 10218-2 concernant les exigences relatives au système et à l'intégration, pour
s'assurer qu'elle reste cohérente avec les exigences minimales d'une norme harmonisée de type C relative
aux robots industriels. Les exigences techniques révisées comportent, de façon non limitative, la définition et
les exigences relatives à la singularité, la protection contre les phénomènes dangereux engendrés par la
transmission, les exigences en cas de perte de puissance, les performances des circuits de commande de
sécurité, l'ajout d'une fonction d'arrêt de catégorie 2, les exigences relatives à la sélection du mode et à la
limitation de puissance et de force, le marquage et les caractéristiques et principes de mesure actualisés pour
le temps et la distance d'arrêt.
La présente partie de l'ISO 10218 ne s'applique pas aux robots fabriqués avant la date de sa publication.
NORME INTERNATIONALE ISO 10218-1:2011(F)
Robots et dispositifs robotiques — Exigences de sécurité pour
les robots industriels —
Partie 1:
Robots
1 Domaine d'application
La présente partie de l'ISO 10218 spécifie les exigences et les recommandations pour la prévention
intrinsèque, les mesures de protection et les informations pour l'utilisation des robots industriels. Elle décrit les
phénomènes dangereux de base associés aux robots et fournit des exigences pour éliminer ou réduire de
manière appropriée les risques associés à ces phénomènes dangereux.
La présente partie de l'ISO 10218 ne traite pas le robot comme une machine complète. L'émission sonore
n'est généralement pas considérée comme un phénomène dangereux significatif du robot lui-même et par
conséquent, le bruit est exclu du domaine d'application de la présente partie de l'ISO 10218.
La présente partie de l'ISO 10218 ne s'applique pas aux robots non industriels, bien que les principes de
sécurité établis dans l'ISO 10218 puissent être utilisés pour ces autres robots.
NOTE 1 Des exemples d'applications robotisées non industrielles comprennent de façon non limitative: les robots
sous-marins, militaires ou spatiaux, les manipulateurs commandés à distance, les prothèses et les autres aides aux
personnes ayant une déficience physique, les microrobots (déplacement inférieur à 1 mm), la chirurgie ou les soins de
santé, et les services ou les produits de consommation.
NOTE 2 Les exigences relatives aux systèmes de robots, à l'intégration et à l'installation sont couvertes par
l'ISO 10218-2.
NOTE 3 Des phénomènes dangereux supplémentaires peuvent être générés par des applications spécifiques (par
exemple soudage, découpe au laser, usinage). Ces phénomènes dangereux relatifs au système sont à prendre en
compte lors de la conception du robot.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 9283:1998, Robots manipulateurs industriels — Critères de performance et méthodes d'essai
correspondantes
ISO 10218-2, Robots et dispositifs robotiques — Exigences de sécurité pour les robots industriels — Partie 2:
Systèmes robots et intégration
ISO 12100, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-1:2006, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 1: Principes généraux de conception
ISO 13850, Sécurité des machines — Arrêt d'urgence — Principes de conception
CEI 60204-1, Sécurité des machines — Équipement électrique des machines — Partie 1: Règles générales
CEI 62061:2005, Sécurité des machines — Sécurité fonctionnelle des systèmes de commande électriques,
électroniques et électroniques programmables relatifs à la sécurité
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 12100 ainsi que les
suivants s'appliquent.
3.1
organe de commande
mécanisme mécanique à l'intérieur d'un dispositif de commande
EXEMPLE Une barre qui ouvre des contacts.
3.2
mode automatique
mode opératoire dans lequel le système de commande du robot peut fonctionner conformément au
programme d'une tâche
[ISO 8373:1994, définition 5.3.8.1]
3.3
fonctionnement automatique
état dans lequel le robot exécute comme prévu le programme d'une tâche
NOTE Adapté de l'ISO 8373:1994, définition 5.5.
3.4
fonctionnement coopératif
état dans lequel un robot conçu de façon spécifique travaille en coopération directe avec l'humain dans un
espace de travail défini
3.5
espace de travail coopératif
espace de travail à l'intérieur de l'espace contrôlé où le robot et un humain peuvent accomplir des tâches
simultanément pendant le fonctionnement en production
3.6
puissance d'entraînement
source(s) d'énergie pour les actionneurs de robot
3.7
terminal
dispositif spécifiquement conçu pour être fixé à l'interface mécanique permettant au robot d'accomplir sa
tâche
EXEMPLE Préhenseur, visseuse, pince à souder, pistolet de peinture.
[ISO 8373:1994, définition 3.11]
3.8
source d'énergie
source de puissance électrique, mécanique, hydraulique, pneumatique, chimique, thermique, potentielle,
cinétique ou autres sources de puissance
2 © ISO 2011 – Tous droits réservés
3.9
mouvement dangereux
mouvement susceptible de causer une blessure physique ou de porter atteinte à la santé des personnes
3.10
robot industriel
robot
manipulateur à commande automatique, reprogrammable, multi-applications, pouvant être programmé suivant
trois axes ou plus, qui peut être fixe ou mobile, destiné à être utilisé dans les applications d'automatisation
industrielle
NOTE 1 Le robot industriel inclut
⎯ le manipulateur, y compris les actionneurs,
⎯ le système de commande, y compris le pendant d'apprentissage et toute interface de communication (matériel et
logiciel).
NOTE 2 Cela inclut tout axe supplémentaire intégré.
NOTE 3 Pour les besoins de la présente partie de l'ISO 10218, les dispositifs suivants sont considérés comme des
robots industriels:
⎯ les robots guidés à la main;
⎯ les parties des robots mobiles assurant des fonctions de manipulation;
⎯ les robots coopératifs.
NOTE 4 Adapté de l'ISO 8373:1994, définition 2.6.
3.11
système de robot industriel
système de robot
système comprenant
⎯ le robot industriel,
⎯ le(s) terminal(aux),
⎯ toute machine, équipement, dispositif, axes auxiliaires externes ou capteur permettant au robot
d'accomplir sa tâche
NOTE 1 Les exigences relatives au système de robot, y compris celles relatives au contrôle des phénomènes
dangereux, sont données dans l'ISO 10218-2.
NOTE 2 Adapté de l'ISO 8373:1994, définition 2.14.
3.12
dispositif de limitation
moyen qui limite l'espace maximal en arrêtant ou en provoquant l'arrêt de tous les mouvements du robot
3.13
commande locale
état du système ou de parties du système dans lequel le système est mis en fonctionnement uniquement à
partir de l'armoire de commande ou du pendant de chaque machine individuelle
3.14
mode manuel
état de la commande qui permet le contrôle direct par un opérateur
NOTE 1 Parfois cité comme mode apprentissage lorsque les points du programme sont établis.
NOTE 2 Adapté de l'ISO 8373:1994, définition 5.3.8.2.
3.15
pendant
pendant d'apprentissage
élément tenu à la main et relié au système de commande, avec lequel un robot peut être programmé ou
déplacé
[ISO 8373:1994, définition 5.8]
3.16 Programme
3.16.1
programme de commande
ensemble des instructions de commande, interne au robot, qui définit les possibilités, les actions et les
réponses du robot
NOTE Ce programme est figé et n'est généralement pas modifiable par l'utilisateur.
[ISO 8373:1994, définition 5.1.2]
3.16.2
programme d'une tâche
ensemble des instructions de mouvement et fonctions auxiliaires qui définit la tâche spécifique prévue du
système de robot
NOTE 1 Ce type de programme est normalement écrit par l'utilisateur.
NOTE 2 Une application est un domaine général de travail, une tâche est une partie spécifique de l'application.
[ISO 8373:1994, définition 5.1.1]
3.16.3
vérification du programme
exécution du programme d'une tâche afin de confirmer la trajectoire du robot et les performances du
processus
NOTE La vérification peut comprendre l'intégralité ou un segment de la trajectoire programmée par le centre d'outil
durant le programme d'une tâche. Les instructions peuvent être exécutées sous forme d'une instruction unique ou d'une
séquence continue d'instructions. La vérification est utilisée dans de nouvelles applications et lors de la mise au
point/l'édition d'applications existantes.
3.17
arrêt de protection
type d'interruption du fonctionnement qui permet un arrêt du mouvement pour des besoins de protection et qui
conserve la logique de programme pour faciliter la remise en marche
3.18
actionneur du robot
mécanisme motorisé qui convertit l'énergie électrique, hydraulique ou pneumatique en mouvement
3.19
valeur nominale de sécurité
valeur ayant une fonction de sécurité prescrite avec des performances spécifiées relatives à la sécurité
3.19.1
vitesse nominale de sécurité contrôlée
fonction nominale de sécurité qui cause un arrêt de protection soit quand la vitesse cartésienne d'un point par
rapport au plateau terminal du robot (par exemple CDO), soit quand la vitesse d'un ou plusieurs axes,
dépasse une valeur limite spécifiée
4 © ISO 2011 – Tous droits réservés
3.19.2
vitesse nominale de sécurité réduite
fonction de la vitesse nominale de sécurité qui limite la vitesse du robot à 250 mm/s ou moins
NOTE 1 La valeur limite de la vitesse nominale de sécurité réduite n'est pas nécessairement la valeur fixée dans la
fonction de commande de vitesse réduite.
NOTE 2 La différence entre la vitesse nominale de sécurité contrôlée et la vitesse nominale de sécurité réduite est que
la limite de vitesse nominale de sécurité contrôlée peut être établie à des vitesses supérieures à 250 mm/s.
3.19.3
butées logicielles nominales de sécurité d'espace et d'axes
butée logicielle nominale de sécurité
limite imposée au débattement du robot par un système fondé sur un logiciel ou un microprogramme ayant
des performances spécifiées relatives à la sécurité suffisantes
NOTE La butée logicielle nominale de sécurité pourrait être le point de déclenchement d'un arrêt ou pourrait garantir
que le robot ne se déplace pas au-delà de la limite.
3.19.4
sortie nominale de sécurité
signal de sortie ayant des performances de sécurité spécifiées suffisantes
3.19.5
sortie de zone nominale de sécurité
sortie nominale de sécurité indiquant l'état de la position du robot par rapport à la butée logicielle nominale de
sécurité
NOTE Par exemple, la position du robot peut se situer à l'intérieur de la zone ou à l'extérieur de la zone.
3.19.6
arrêt nominal de sécurité contrôlé
condition dans laquelle le robot est stoppé avec sa puissance d'alimentation active, pendant qu'un système de
contrôle avec des performances de sécurité spécifiées suffisantes assure que le robot ne bouge pas
3.20
mouvement simultané
mouvement d'au moins deux robots en même temps sous le contrôle d'un seul poste de commande qui peut
être coordonné ou synchronisé en utilisant une corrélation mathématique commune
NOTE 1 Un pendant d'apprentissage est un exemple de poste de commande unique.
NOTE 2 La coordination peut être du type maître/esclave.
3.21
point de commande unique
aptitude à mettre en œuvre le robot de sorte que le déclenchement du mouvement du robot ne soit possible
qu'à partir d'une seule source de commande et ne puisse pas être neutralisé depuis une autre source
3.22
singularité
occurrence lorsque la rangée de la matrice jacobienne devient inférieure au degrés de liberté
NOTE Mathématiquement, dans une configuration singulière, la vitesse conjointe dans l'espace commun peut
devenir infinie pour maintenir la vitesse cartésienne. Dans les opérations actuelles, les mouvements définis dans un
espace cartésien qui s'approchent des singularités peuvent produire des vitesses d'axes élevées. Ces vitesses élevées
peuvent être inattendues pour l'opérateur.
3.23
commande en vitesse réduite
commande en vitesse lente
mode de commande du mouvement du robot dans lequel la vitesse est limitée à 250 mm/s ou moins
NOTE Une vitesse réduite est destinée à donner aux personnes un temps suffisant soit pour s'éloigner des
mouvements dangereux, soit pour arrêter le robot.
3.24
espace
enveloppe
volume tridimensionnel
3.24.1
espace maximal
espace qui peut être balayé par les parties en mouvement du robot, tel que défini par le fabricant, plus
l'espace qui peut être balayé par le terminal et la pièce
[ISO 8373:1994, définition 4.8.1]
3.24.2
espace restreint
partie de l'espace maximal réduit par des dispositifs de limitation qui fixent des limites qui ne seront pas
dépassées
NOTE Adapté de l'ISO 8373:1994, définition 4.8.2.
3.24.3
espace contrôlé
espace défini par les protections périmétriques
3.25
apprentissage
programmation par apprentissage
programmation réalisée
a) par conduite manuelle du terminal du robot; ou
b) par conduite manuelle d'un dispositif mécanique de simulation; ou
c) au moyen d'un pendant d'apprentissage en faisant effectuer au robot les actions souhaitées
NOTE Adapté de l'ISO 8373:1994, définition 5.2.3.
3.26
centre d'outil
CDO
point défini pour une application donnée par rapport au système de coordonnées de l'interface mécanique
NOTE Adapté de l'ISO 8373:1994, définition 4.9.
3.27
utilisateur
entité qui utilise les robots et qui est responsable du personnel associé au fonctionnement du robot
6 © ISO 2011 – Tous droits réservés
4 Identification des phénomènes dangereux et appréciation du risque
L'Annexe A contient une liste des phénomènes dangereux qui peuvent être présents dans l'environnement du
robot. Une analyse des phénomènes dangereux doit être réalisée pour identifier tout autre phénomène
dangereux pouvant être présent.
Une appréciation du risque doit être réalisée pour les phénomènes dangereux identifiés lors de l'analyse des
phénomènes dangereux. Cette appréciation du risque doit notamment porter sur
a) les opérations prévues du robot, y compris l'apprentissage, la maintenance, le réglage et le nettoyage,
b) la mise en marche inattendue,
c) l'accès du personnel venant de toutes les directions,
d) les mauvaises utilisations raisonnablement prévisibles du robot,
e) l'effet des défaillances du système de commande, et
f) si nécessaire, les phénomènes dangereux associés à l'application robotisée spécifique.
Les risques doivent être éliminés ou réduits dans un premier temps par la conception ou la substitution, puis
par des mesures de protection et d'autres mesures complémentaires. Tout risque résiduel doit ensuite être
réduit par d'autres mesures (par exemple des avertissements, des signaux, une formation).
Les exigences décrites dans l'Article 5 résultent du processus itératif consistant à appliquer des mesures de
protection qui sont décrites dans l'ISO 12100 aux phénomènes dangereux identifiés dans l'Annexe A.
NOTE 1 L'ISO 12100 fournit des exigences et des recommandations relatives à la réalisation de l'identification des
phénomènes dangereux et à la réduction du risque.
NOTE 2 Les exigences relatives à l'identification des phénomènes dangereux et à l'appréciation du risque pour les
systèmes de robots, l'intégration et l'installation sont traitées dans l'ISO 10218-2.
5 Exigences de conception et mesures de protection
5.1 Généralités
Le robot doit être conçu conformément aux principes de l'ISO 12100 pour les phénomènes dangereux
pertinents. Les phénomènes dangereux significatifs, tels que les arêtes vives, ne sont pas traités dans la
présente partie de l'ISO 12018.
Les robots doivent être conçus et construits pour satisfaire aux exigences de 5.2 à 5.15.
5.2 Exigences générales
5.2.1 Éléments de transmission de puissance
L'exposition aux phénomènes dangereux engendrés par des composants tels que des arbres moteurs, des
engrenages, des courroies d'entraînement ou des trains d'engrenages non protégés par des capots intégraux
(par exemple un panneau au-dessus d'une boîte de transmission) doit être empêchée par des protecteurs
fixes ou des protecteurs mobiles. Les systèmes de fixation des protecteurs fixes devant être déposés pour les
opérations d'entretien courant doivent rester solidaires de la machine ou du protecteur. Les protecteurs
mobiles doivent être asservis aux mouvements dangereux, de sorte que les fonctions dangereuses de la
machine s'arrêtent avant qu'elles ne puissent être atteintes. La performance relative à la sécurité du système
de commande associé au verrouillage doit être conforme aux exigences de 5.4.
5.2.2 Perte ou variation de puissance
La perte ou les variations de la puissance motrice ne doivent pas générer de phénomène dangereux.
Le rétablissement de la puissance motrice ne doit entraîner aucun mouvement.
Les robots doivent être conçus et construits de sorte que la perte ou la variation de la puissance électrique,
hydraulique, pneumatique ou par dépression, n'entraîne pas de phénomène dangereux. Si la conception ne
protège pas contre certains phénomènes dangereux, d'autres mesures de prévention doivent être prises pour
assurer une protection contre ces phénomènes dangereux. Les phénomènes dangereux non protégés lors de
l'utilisation prévue doivent être identifiés dans les informations pour l'utilisation.
NOTE Voir la CEI 60204-1 pour les exigences relatives à l'alimentation en énergie électrique.
5.2.3 Dysfonctionnement de composant
Les composants du robot doivent être conçus, fabriqués, fixés ou intégrés, de manière à réduire au minimum
les phénomènes dangereux provoqués par la rupture, le desserrage ou la décharge d'énergie accumulée.
5.2.4 Sources d'énergie
Des moyens pour isoler le robot des sources d'énergie dangereuses doivent être fournis. Ces moyens doivent
comporter une possibilité de verrouillage ou doivent garantir que la position sans énergie est sûre.
5.2.5 Énergie accumulée
Des moyens doivent être fournis pour commander la libération de l'énergie accumulée. Une étiquette doit être
apposée au niveau de la source d'énergie accumulée pour identifier le phénomène dangereux.
NOTE Cette énergie peut se présenter sous forme d'accumulateurs de pression d'air et de pression hydraulique, de
condensateurs, de batteries, de ressorts, de contrepoids, de volants d'entraînement, etc.
5.2.6 Compatibilité électromagnétique (CEM)
La conception et la construction du robot doivent empêcher tout mouvement ou situations dangereux dus aux
effets attendus des perturbations électromagnétiques (EMI), des perturbations radioélectriques (RFI) et de la
décharge électrostatique (ESD).
NOTE Voir la CEI 61000 pour des informations relatives à la conception.
5.2.7 Équipement électrique
L'équipement électrique du robot doit être conçu et construit conformément aux exigences pertinentes de la
CEI 60204-1.
5.3 Organes de commande
5.3.1 Généralités
Les organes de commande qui déclenchent la puissance ou le mouvement doivent être conçus et construits
de manière à répondre aux critères de performance de 5.3.2 à 5.3.5.
5.3.2 Protection contre le fonctionnement involontaire
Les organes de commande doivent être construits ou positionnés de manière à empêcher tout
fonctionnement par inadvertance. Par exemple, des boutons-poussoirs correctement conçus ou des
interrupteurs à clé placés de façon appropriée peuvent être utilisés.
8 © ISO 2011 – Tous droits réservés
5.3.3 Indication d'état
L'état des organes de commande doit être clairement indiqué, par exemple sous tension, défaut détecté,
fonctionnement automatique.
Si un voyant lumineux est utilisé, il doit être adapté à son emplacement d'installation et ses couleurs doivent
être conformes aux exigences de la CEI 60204-1.
5.3.4 Étiquetage
Les organes de commande doivent porter un étiquetage indiquant clairement leur fonction.
5.3.5 Point de commande unique
Le système de commande du robot doit être conçu et construit de telle sorte que, lorsque le robot est placé
sous le contrôle local du pendant ou de tout autre dispositif de commande d'apprentissage, toute initiation
d'un mouvement du robot ou toute modification de la sélection de commande locale à partir de toute autre
source doit être empêchée.
5.4 Performances du système de commande relatif à la sécurité (matériel/logiciel)
5.4.1 Généralités
Les systèmes de commande relatifs à la sécurité (électriques, hydrauliques, pneumatiques et logiciels)
doivent être conformes à 5.4.2, à moins que les résultats d'une appréciation du risque ne déterminent qu'un
autre critère de performance tel que décrit en 5.4.3 est approprié. Les performances du système de
commande relatif à la sécurité du robot et de tout équipement fourni doivent être clairement indiquées dans
les informations pour l'utilisation.
NOTE 1 Les systèmes de commande relatifs à la sécurité peuvent également être appelés SRP/CS (parties relatives à
la sécurité des systèmes de commande).
Pour les besoins de la présente partie de l'ISO 10218, les performances du système de commande relatif à la
sécurité sont indiquées sous forme de
⎯ niveaux de performance (PL) et catégories tels que décrits dans l'ISO 13849-1:2006, 4.5.1, et
⎯ niveaux d'intégrité de sécurité (SIL) et exigences relatives à la tolérance aux pannes matérielles tels que
décrits dans la CEI 62061:2005, 5.2.4.
Ces deux normes traitent de la sécurité fonctionnelle de façon similaire, mais par des méthodes différentes. Il
convient d'utiliser les exigences spécifiées dans ces normes pour les systèmes de commande relatifs à la
sécurité correspondants auxquels elles sont destinées. Le concepteur peut choisir d'utiliser l'une ou l'autre
norme. Les données et les critères nécessaires pour déterminer les performances du système de commande
relatif à la sécurité doivent être inclus dans les informations pour l'utilisation.
NOTE 2 La comparaison avec l'ISO 13849-1 et la CEI 62061 est décrite dans l'ISO/TR 23849.
D'autres normes proposant d'autres exigences de performance, tel que le terme «fiabilité des commandes»,
utilisé en Amérique du nord, peuvent être utilisées. Dans le cas où ces autres normes sont utilisées pour la
conception des systèmes de commande relatifs à la sécurité, un niveau équivalent de réduction du risque doit
être atteint.
Toute défaillance du système de commande relatif à la sécurité doit résulter en un arrêt de catégorie 0 ou 1
conformément à la CEI 60204-1.
5.4.2 Exigence de performance
Des systèmes de commande relatifs à la sécurité doivent être conçus de façon à être conformes à un PL=d
avec une catégorie de structure 3, tel que décrit dans l'ISO 13849-1:2006, ou à un SIL 2 avec une tolérance
aux pannes matérielles de 1, avec un intervalle d'essai d'épreuve n'étant pas inférieur à 20 ans, comme décrit
dans la CEI 62061:2005.
Cela signifie en particulier que:
a) un défaut unique dans n'importe laquelle de ces parties n'entraîne pas la perte de la fonction de sécurité;
b) chaque fois que cela est raisonnablement applicable, le défaut unique doit être détecté dès la sollicitation
suivante de la fonction de sécurité ou avant celle-ci;
c) lorsqu'un défaut unique apparaît, la fonction de sécurité est toujours assurée et l'état de sécurité doit être
maintenu jusqu'à ce que le défaut soit corrigé;
d) tous les défauts raisonnablement prévisibles doivent être détectés.
Ces exigences de a) à d) sont considérées comme étant équivalentes à une catégorie de structure 3 telle que
décrite dans l'ISO 13849-1:2006.
NOTE L'exigence de détection du défaut unique ne signifie pas que tous les défauts seront détectés. En
conséquence, l'accumulation de défauts non détectés peut entraîner un signal de sortie imprévu et une situation
dangereuse sur la machine.
5.4.3 Autres critères de performance du système de commande
Les résultats d'une appréciation du risque globale réalisée sur le robot et son application prévue peuvent
justifier l'application d'une performance du système de commande relatif à la sécurité autre que celle spécifiée
en 5.4.2.
La sélection de l'un de ces autres critères de performance relatifs à la sécurité doit être spécifiquement
identifiée et des restrictions et des avertissements appropriés doivent être mentionnés dans les informations
pour l'utilisation fournies avec l'équipement concerné.
5.5 Fonctions d'arrêt du robot
5.5.1 Généralités
Chaque robot doit disposer d'une fonction d'arrêt de protection et d'une fonction d'arrêt d'urgence
indépendante. Ces fonctions doivent permettre la connexion de dispositifs de protection externes. Un signal
de sortie pour l'arrêt d'urgence peut éventuellement être fourni. Le Tableau 1 présente une comparaison des
fonctions d'arrêt d'urgence et d'arrêt de protection.
10 © ISO 2011 – Tous droits réservés
Tableau 1 — Comparaison de l'arrêt d'urgence et de l'arrêt de protection
Paramètre Arrêt d'urgence Arrêt de protection
Emplacement des moyens L'opérateur dispose d'un accès rapide et Pour les dispositifs de protection,
d'activation libre l'emplacement est déterminé par les formules
de distance (de sécurité) minimale décrites
dans l'ISO 13855
Activation Manuelle Manuelle, automatique ou peut être activée
automatiquement par une fonction relative
à la sécurité
Performances du système Doit satisfaire aux performances spécifiées Doit satisfaire aux performances spécifiées
de commande de sécurité en 5.4 en 5.4
Réinitialisation Uniquement manuelle Manuelle ou automatique
Fréquence d'utilisation Peu fréquente Variable; de chaque cycle à peu fréquente
Besoin Urgence Protection ou réduction du risque
Effet Suppression de la source d'énergie de tous Contrôle de façon sûre le phénomène
les phénomènes dangereux dangereux contrôlé
5.5.2 Fonction d'arrêt d'urgence
Le robot doit avoir une ou plusieurs fonctions d'arrêt d'urgence (catégorie d'arrêt 0 ou catégorie d'arrêt 1,
conformément à la CEI 60204-1).
Chaque poste de commande capable de générer un mouvement dangereux du robot ou toute autre situation
dangereuse doit comporter une fonction d'arrêt d'urgence à déclenchement manuel qui
a) est conforme aux exigences de 5.4 et de la CEI 60204-1,
b) prévaut sur toutes les autres commandes du robot,
c) stoppe tous les phénomènes dangereux contrôlés,
d) supprime la puissance d'entraînement des actionneurs du robot,
e) offre la possibilité de contrôler les phénomènes dangereux commandés par le système de robot,
f) reste active jusqu'à la remise à zéro, et
g) doit être remise à zéro seulement par une action manuelle qui ne cause pas de redémarrage après la
remise à zéro, mais qui doit seulement permettre un redémarrage.
La sélection d'une fonction d'arrêt de catégorie 0 ou de catégorie 1 (conformément à la CEI 60204-1) doit être
déterminée en fonction de l'appréciation du risque.
Lorsqu'un signal de sortie d'arrêt d'urgence est prévu,
⎯ la sortie doit continuer à fonctionner même lorsque le robot est hors tension, ou
⎯ si la sortie ne peut pas fonctionner lorsque le robot est hors tension, un signal d'arrêt d'urgence doit être
généré.
Le dispositif d'arrêt d'urgence doit être conforme à la CEI 60204-1 et à l'ISO 13850.
5.5.3 Arrêt de protection
Le robot doit disposer d'une ou de plusieurs fonctions d'arrêt de protection conçues pour la connexion de
dispositifs de protection externes. Les performances de la fonction d'arrêt de protection doivent satisfaire aux
exigences de 5.4.
Cette fonction d'arrêt doit provoquer l'arrêt de tous les mouvements du robot, en supprimant ou en contrôlant
la puissance des actionneurs motorisés du robot et en permettant le contrôle de tout autre phénomène
dangereux commandé par le système de robot. Cet arrêt peut être déclenché manuellement ou par une
logique de commande.
Au moins une fonction d'arrêt de protection doit être de catégorie d'arrêt 0 ou 1, tel que décrit dans la
CEI 60204-1. Le robot peut comporter une fonction d'arrêt de protection supplémentaire utilisant une
catégorie d'arrêt 2, tel que décrit dans la CEI 60204-1, qui n'entraîne pas la suppression de la puissance
d'entraînement, mais qui nécessite une surveillance de la condition d'immobilisation après l'arrêt du robot.
Tout mouvement intempestif du robot en condition d'immobilisation contrôlée ou toute défaillance de la
fonction d'arrêt de protection détectée doit entraîner un arrêt de catégorie 0 conformément à la CEI 60204-1.
Les performances de la fonction de surveillance et d'immobilisation contrôlée doivent être conformes à 5.4.
Cette fonction peut également être activée par des dispositifs externes (entrée d'un signal d'arrêt à partir des
dispositifs de protection).
NOTE Une fonction d'arrêt de catégorie 2 contrôlée conformément à la CEI 60204-1 peut être fournie par un système
d'entraînement électrique, qui correspond à un arrêt opérationnel sûr (SOS) conformément à la CEI 61800-5-2.
Le fabricant doit inclure la catégorie d'arrêt de chaque sortie de circuit d'arrêt de protection dans les
informations d'utilisation.
5.6 Commande de vitesse
5.6.1 Généralités
La vitesse de la bride de montage du plateau terminal du robot et du centre d'outil (CDO) doit être contrôlable
aux vitesses sélectionnées. Un moyen d'ajustement (définissant la position du CDO par rapport à la bride de
montage) doit être fourni pour permettre de contrôler la vitesse du CDO.
5.6.2 Fonctionnement de la commande en vitesse réduite
Lors du fonctionnement dans des conditions de commande en vitesse réduite, la vitesse du CDO ne doit pas
dépasser 250 mm/s. Il convient de permettre la sélection de vitesses inférieures à 250 mm/s comme limite
assignée.
5.6.3 Commande de vitesse nominale de sécurité réduite
Lorsqu'elle est fournie, la commande de vitesse nominale de sécurité réduite doit être conçue et construite
conformément à 5.4.2 de sorte que, en cas de dysfonctionnement, la vitesse du CDO ne dépasse pas la limite
de vitesse réduite (voir 5.6.2) et qu'un arrêt de protection soit généré lorsqu'un dysfonctionnement survient.
5.6.4 Vitesse nominale de sécurité contrôlée
Lorsqu'elle est fournie, la vitesse du CDO ou d'un axe doit être contrôlée conformément à 5.4.2. Si la vitesse
dépasse la limite sélectionnée, un arrêt de protection doit être généré.
12 © ISO 2011 – Tous droits réservés
5.7 Modes de fonctionnement
5.7.1 Sélection
Les modes de fonctionnement doivent pouvoir être sélectionnés par un sélecteur de mode pouvant être
verrouillé dans chaque position (par exemple un interrupteur à clé pouvant être inséré et retiré dans chaque
position). Chaque position du sélecteur doit être clairement identifiable et doit permettre exclusivement un
seul mode de commande ou de fonctionnement.
Le sélecteur peut être remplacé par un autre moyen de sélection qui limite l'utilisation de certaines fonctions
du robot (par exemple codes d'accès).
Ces moyens doivent
a) indiquer sans ambiguïté le mode de fonctionnement sélectionné, et
b) ne pas déclencher par eux-mêmes le mouvement du robot ou d'autres phénomènes dangereux.
Des sorties optionnelles peuvent être prévues pour indiquer le mode sélectionné. Si ces sorties sont prévues
pour des raisons relatives à la sécurité, elles doivent satisfaire aux exigences de 5.4 (voir Annexe D).
NOTE Des méthodes de symbolisation des modes sont données dans l'Annexe E.
5.7.2 Mode automatique
En mode automatique, le robot doit exécuter le programme des tâches et les mesures de protection doivent
être en fonctionnement.
Le fonctionnement automatique doit être empêché si une condition d'arrêt est détectée.
Le passage à un autre mode doit entraîner un arrêt.
5.7.3 Mode manuel en vitesse réduite
Le mode manuel en vitesse réduite doit satisfaire aux exigences de 5.3.4 et de 5.6 et doit permettre au robot
de fonctionner par intervention humaine. Le fonctionnement automatique est interdit dans ce mode. Ce mode
est utilisé pour le pilotage manuel, l'apprentissage, la programmation et la vérification de programme du robot;
ce mode peut être sélectionné pour accomplir certaines tâches de maintenance.
Le contrôle manuel du robot de l'intérieur de l'espace de protection doit être réalisé à une vitesse réduite
conjointement avec l'un des points suivants:
a)
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...