ISO 15998:2008
(Main)Earth-moving machinery - Machine-control systems (MCS) using electronic components - Performance criteria and tests for functional safety
Earth-moving machinery - Machine-control systems (MCS) using electronic components - Performance criteria and tests for functional safety
ISO 15998:2008 specifies performance criteria and tests for functional safety of safety-related machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment, as defined in ISO 6165.
Engins de terrassement — Systèmes de contrôle-commande utilisant des composants électroniques — Critères et essais de performances de sécurité fonctionnelle
L'ISO 15998:2008 spécifie les critères et les essais de performances de sécurité fonctionnelle, relatifs au développement des systèmes de contrôle-commande de sécurité, utilisant des composants électroniques dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165.
General Information
- Status
- Withdrawn
- Publication Date
- 01-Apr-2008
- Current Stage
- 9599 - Withdrawal of International Standard
- Start Date
- 14-Jun-2022
- Completion Date
- 13-Dec-2025
Relations
- Effective Date
- 23-Apr-2020
- Effective Date
- 26-May-2018
- Effective Date
- 26-May-2018
- Effective Date
- 26-May-2018
- Effective Date
- 26-May-2018
- Effective Date
- 10-Aug-2012
ISO 15998:2008 - Earth-moving machinery -- Machine-control systems (MCS) using electronic components -- Performance criteria and tests for functional safety
ISO 15998:2008 - Engins de terrassement -- Systemes de contrôle-commande utilisant des composants électroniques -- Criteres et essais de performances de sécurité fonctionnelle
Frequently Asked Questions
ISO 15998:2008 is a standard published by the International Organization for Standardization (ISO). Its full title is "Earth-moving machinery - Machine-control systems (MCS) using electronic components - Performance criteria and tests for functional safety". This standard covers: ISO 15998:2008 specifies performance criteria and tests for functional safety of safety-related machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment, as defined in ISO 6165.
ISO 15998:2008 specifies performance criteria and tests for functional safety of safety-related machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment, as defined in ISO 6165.
ISO 15998:2008 is classified under the following ICS (International Classification for Standards) categories: 53.100 - Earth-moving machinery. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 15998:2008 has the following relationships with other standards: It is inter standard links to ISO/TS 19014-5:2021, ISO 19014-4:2020, ISO 19014-3:2018, ISO 19014-2:2022, ISO 19014-1:2018, ISO/TS 15998-2:2012. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO 15998:2008 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 15998
First edition
2008-04-15
Earth-moving machinery — Machine-
control systems (MCS) using electronic
components — Performance criteria and
tests for functional safety
Engins de terrassement — Systèmes de contrôle-commande utilisant
des composants électroniques — Critères et essais de performances
de sécurité fonctionnelle
Reference number
©
ISO 2008
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO 2008
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2008 – All rights reserved
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
4 General safety requirements . 4
5 Additional requirements for safety-related machine-control systems . 6
6 Documentation. 8
7 Tests for safety-related MCS . 9
Annex A (informative) Guidance for risk assessment. 12
Annex B (informative) Example of schematic breakdown of systems specification . 17
Annex C (informative) List of well-tried components . 18
Annex D (informative) Recommendations for bus-systems for transmission of safety-related
messages. 21
Bibliography . 32
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 15998 was prepared by Technical Committee ISO/TC 127, Earth-moving machinery, Subcommittee SC 3,
Operation and maintenance.
iv © ISO 2008 – All rights reserved
Introduction
Systems consisting of electrical and/or electronic components have been used for many years to perform
safety functions in most application sectors. Computer-based systems, generically referred to as
programmable electronic systems (PES), are at present being used in all application sectors to perform non-
safety-related and, increasingly, safety-related functions. If computer system technology is to be effectively
and safely exploited, it is essential that those responsible for making decisions have sufficient guidance on the
safety aspects on which to base these decisions.
This International Standard addresses systems comprising electrical and/or electronic and/or programmable
electronic components [electrical/electronic/programmable electronic systems (E/E/PES)] used for functional
safety in earth-moving machinery.
In most situations, safety is achieved by a number of protective systems which rely on many technologies (e.g.
mechanical, hydraulic, pneumatic, electrical, electronic, programmable electronic). Any safety strategy must
therefore consider not only all the elements within an individual system, such as sensors, controlling devices
and actuators, but also all the safety-related systems. Therefore, while this International Standard is
concerned with safety-related E/E/PES, it could also provide guidance for safety-related systems based on
other technologies.
This International Standard
⎯ has been conceived with a rapidly developing technology in mind, with a framework sufficiently robust
and comprehensive to meet the demands of that technology,
⎯ provides a method for the development of safety requirement specifications necessary to define the
required functional safety for E/E/PES, and
⎯ presents a methodology for specifying the target level of safety integrity for the safety functions to be
implemented by the E/E/PES, using a risk-based approach.
INTERNATIONAL STANDARD ISO 15998:2008(E)
Earth-moving machinery — Machine-control systems (MCS)
using electronic components — Performance criteria and tests
for functional safety
1 Scope
This International Standard specifies performance criteria and tests for functional safety of safety-related
machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment,
as defined in ISO 6165. The procedures of ECE R79, Annex 6, ISO 13849-1 or IEC 62061 can be used as an
alternative, provided verification and testing is carried out by the manufacturer using Clause 7 of this
International Standard.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 6165:2006, Earth-moving machinery — Basic types — Identification and terms and definitions
ISO 13766, Earth-moving machinery — Electromagnetic compatibility
IEC 60529, Degrees of protection provided by enclosures (IP Code)
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations
3 Terms, definitions and abbreviated terms
For the purposes of this document, the terms, definitions and abbreviations given in IEC 61508-4 and the
following apply.
3.1 Terms and definitions
3.1.1
earth-moving machinery
self-propelled or towed machine on wheels, crawlers or legs, having equipment or attachment (working tool),
or both, primarily designed to perform excavation, loading, transportation, drilling, spreading, compacting or
trenching of earth, rock and other materials
[ISO 6165:2006]
3.1.2
machine-control system
MCS
system consisting of the components needed to fulfil the function of the system, including sensors, signal
processing unit, monitor, controls and actuators or several of these
NOTE The extent of the system is not limited to the electronic controls, but is defined by the machine-related function
of the complete system. It therefore consists generally of electronic, non-electronic and connection devices. This can
include mechanical, hydraulic, optical or pneumatic components/systems.
3.1.3
system unit
part of a machine-control system that contains any given number of components and/or parts integrated in
one or more units
EXAMPLE Control unit of the power shift transmission.
NOTE Generally, components and/or parts are installed in a common enclosure, but the system unit can also be built
as a mechanical composite with several functional elements.
3.1.4
connection devices
devices used for power supply and for the transmission of signals and data
3.1.5
basic function
〈machine-control system〉 controlling task
3.1.6
basic function
〈system unit〉 receiving of signals and data, processing and/or actuation
3.1.7
system function
any function that has to be processed by a machine-control system or system unit
NOTE In addition to the basic function, system functions include diagnostics, self-monitoring, signal processing and
data transmission to other systems.
3.1.8
safety concept
concept contained in a description of the methods designed into the system to address system performance
and safe operation in the event of a failure
3.1.9
safety-related machine-control systems
machine-control systems that control the safety-related functions of the machine
3.1.10
safe state
state automatically or manually applied after a malfunction of the machine-control system, where the
controlled equipment, process or system is stopped or switched to a safe mode to prevent unexpected
movements or the potentially hazardous build-up of stored energy (e.g. high-voltage electricity, hydraulic
pressures or compressed springs)
2 © ISO 2008 – All rights reserved
3.1.11
well-tried component
component for a safety-related application which has been widely used in the past with successful results in
similar applications, and which has been made and verified using principles which demonstrate its suitability
and reliability for safety-related applications
NOTE 1 In some well-tried components, certain faults can also be excluded because the fault rate is known to be very
low.
NOTE 2 The decision to accept a particular component as well-tried depends on the application.
3.1.12
substitute function
function which allows a continuous process in the case of a malfunction or failure of the system
3.1.13
emergency motion function
function to be adopted in the case of a malfunction or failure of the system to allow the operator an emergency
motion
EXAMPLE Moving a machine off a public road.
3.1.14
programmable electronic system
PES
system for control, protection or monitoring based on one or more programmable electronic devices, including
all elements of the system, such as power supplies, sensors and other input devices, data busses and other
communication paths, and actuators and other output devices
3.2 Abbreviated terms
PES programmable electronic system
MCS machine-control systems
FMEA failure modes and effects analysis
FTA fault tree analysis
ETA event tree analysis
SIL safety integrity level (see IEC 61508-4:1998, 3.5.6)
IP Code international protection code
EMC electromagnetic compatibility (see ISO 13766:2006, 3.1)
OSI open systems interconnection
ASIC application-specific integrated circuit
RF radio-frequency
4 General safety requirements
4.1 Application
The following performance criteria are valid for all safety-related machine-control systems using electronic
components. These performance criteria are applicable to any type of MCS.
4.2 Description of machine-control system
The system description and overview shall contain
⎯ a list of all system units used by the safety-related functions, and
⎯ a schematic layout of the connection devices and system units, representing the safety-related functions
of the machine-control system.
An example of the structure and content of the system description is given in Annex B.
The basic functions and their interfaces to other system units shall be specified for each system unit. This may
be done in schematic form or through a block diagram.
The connection shall be illustrated in a suitable way; for the electrical system, a circuit diagram is suitable.
The illustration shall unambiguously classify each connection device (e.g. wires) in relation to the system units
(e.g. by terminal identification).
The system units shall be marked by an identification code (e.g. numbers, symbols, characters), so that the
correlation between the illustration of the system and the MCS installed in the machine can be verified.
By using the identification code, the manufacturer proves that the system units are in agreement with the
documentation with regard to the basic function, safety concept and interfaces. The structure of the
identification code (e.g. alphanumerical) may be specified by the manufacturer, but shall be unambiguous.
The system description shall also include requirements for the environmental conditions during the intended
operation of the machine:
⎯ climatic conditions (temperature, humidity);
⎯ mechanical conditions (vibration, shock);
⎯ corrosion conditions (salt spray, gas pollution);
⎯ electrical conditions (over- and under-voltage);
⎯ electromagnetic conditions;
⎯ power-source-voltage fluctuation.
4.3 Description of basic function
The basic function of the machine-control system shall be specified in a short description, which may be
supported by graphical tools, such as functional schematic or block diagrams. The description shall contain
⎯ an enumeration of the input types and values of the MCS,
⎯ an enumeration of the controlled output types and values of the MCS,
4 © ISO 2008 – All rights reserved
⎯ the open-loop- and closed-loop-control objectives and data/sensors used, and
⎯ the permissible operating and adjusting ranges.
4.4 Risk analysis and assessment
A risk analysis and assessment of the MCS shall be carried out using the systems description in accordance
with 4.2 to evaluate the hazards. This may be made in accordance with risk assessment methodologies such
as ISO 14121-1 or IEC 61508-5:1998, Annex D. An example is given in Annex A of this International Standard.
4.5 Performance criteria for the safety concept
The basic concept and system functions specified by the manufacturer for the safety concept of the machine
shall be taken into account during development and production of the machine-control system. The safety
concept includes all measures which provide for safe operation beyond the standard operation (for guidance,
see IEC 61508-2:2000, 7.2.3.1). These shall be listed in a generally understandable way, such as in the
following examples:
⎯ redundancy;
⎯ fault-detection procedures;
⎯ “safe state”, a safe state may initiate, for example, an emergency motion function (see 5.4).
A documented analysis shall be included, indicating the realization of the safety concept as described. This
may be done by an analysis (e.g. FMEA, FTA, ETA) or using equivalent methods suitable for the safety
concept of the MCS.
The manufacturer shall document the manner in which the validation of the systems logic has been made
during the development stage.
The transition from standard operation mode to safe state shall take into account the stability of the machine
and the minimization of the risk of injury to people.
The movement (active or passive) of the machine or its working equipment/attachment out of the hazardous
area or position in the case of a malfunction of the MCS should be possible.
4.6 Physical environment and operating conditions
4.6.1 General
The environmental conditions in which the machines are used shall be the basis for the specification of the
MCS.
4.6.2 Environment temperature and humidity
The machine-control system shall operate safely under the conditions described in 7.2.2.
Restrictions not having any influence on the safe functioning of the MCS are acceptable.
For special operating conditions of the machine and installation conditions of the electronic parts, other
environmental conditions may be specified by the manufacturer.
4.6.3 Degree of protection (IP Code)
Based on the installation conditions, the parts of the MCS carrying out the functional safety shall meet at least
the following degrees of protection, in accordance with IEC 60529:
1)
⎯ IP 66 for all electronic parts, which are fitted outside the machine or are exposed directly to
environmental influences.
For special operating conditions of the machine and installation conditions of the electronic parts, other
environmental conditions may be specified by the manufacturer.
4.6.4 Electromagnetic compatibility (EMC)
The machine-control system shall fulfil the requirements of ISO 13766.
4.6.5 Mechanical vibration and shock
The system units, components and parts of the MCS shall be designed and fitted so that their safe function is
maintained for vibration and shock loads during the typical operation of the machine.
See 7.2.3 and 7.2.4 for test conditions.
For special operating conditions of the machine and installation conditions of the electronic parts, other
environmental conditions may be specified by the manufacturer.
4.7 Emergency stop function
An emergency stop function shall be provided if the safety concept requires it. The emergency stop shall shift
the MCS or the system unit or the machine into a defined safe state, in the case of failure that could lead to a
hazardous motion or condition of the machine.
5 Additional requirements for safety-related machine-control systems
5.1 General
This clause applies to machine-control systems with safety-related functions that have a minimum SIL-Level 1
or equivalent (see A.3.2).
Machine-control systems with safety-related functions shall fulfil the following additional requirements in
accordance with the risk assessment.
5.2 Fault avoidance and fault control
5.2.1 IEC 61508-2:2000, Annexes A and B, or other comparable methods, shall be used as a guide to
measures and the techniques for the avoidance and control of faults.
5.2.2 Failures in a safety-related system vary essentially according to the time of their origin:
a) failures caused by faults originating before or during system installation, for example, software faults
include specification and program faults, hardware faults include manufacturing faults and incorrect
selection of components;
1) For special installation conditions, other degrees of protection may be selected, e.g. in the case of higher voltage,
malfunction by moisture, dirt or foreign-conductor particles which could lead to an unacceptable situation (risk).
6 © ISO 2008 – All rights reserved
b) failures caused by faults or human errors originating during machine life/operation and, in general, after
system installation (e.g. random hardware failures, failures caused by incorrect use).
Failures of the type mentioned in a) can be detected, corrected and avoided by measures made during the
different phases of the life-cycle (see IEC 61508-2:2000, Annex B). The measures for failure avoidance are
primarily design and analytical procedures.
Failures of the type mentioned in b) can only be controlled during normal operation (see IEC 61508-2:2000,
Annex A). The measures for the control of those failures shall be integrated in the safety concept.
Some of the measures and techniques given in IEC 61508-2 are of basic importance (see Annexes A and B),
thus they should be used independently from the safety integrity level. Others should also be used
independently of this level. The effort required to realize these measures should be chosen such that the
effectiveness demanded by IEC 61508-2:2000, Tables B.1 to B.5 (low/medium/high), is achieved. All other
measures are replaceable in principle. They can be replaced individually or in connection with other measures.
5.3 Requirements for programmable electronic systems (PES)
The software shall be developed and validated according to appropriate measures (see, for example,
IEC 61508-3:1998, Annex A or ISO 13849-1:2006).
The concepts and the development methods and tools for programmable electronic systems (PES) used in
machine-control systems shall be documented.
5.4 Malfunction or failure of the electronic components used in machine-control systems
The entering of a safe state shall be achieved in the case of a malfunction or failure of the electronic
components used on machine-control systems, in accordance with risk assessment. Reduced system
performance or (a) substitute function(s) may be used to achieve a safe state as a part of the safety concept.
The safe state may be achieved by an automatic shift into a substituting function (see Figure 1). If this
transition is automatically applied by the MCS, then there shall be some form of indication to the operator,
such as alarms, indicators or derated performance (e.g. slow motion).
Figure 1 — Example for entering a safe state
5.5 Restart-up procedure
An automatic restart-up, in the case of a fault that disappears (de-validated by the MCS), shall not be allowed,
unless the evaluation of the risk assessment demonstrates that the safe operation can be maintained.
6 Documentation
The manufacturer shall retain, according to the manufacturer's record retention policy, all relevant documents
for the general safety requirements of the machine-control system in accordance with Clause 4. The
documentation shall include at least the following:
⎯ a description of the machine-control system in accordance with 4.2;
⎯ a description of the basic function in accordance with 4.3;
⎯ risk analysis and assessment in accordance with 4.4;
⎯ requirements for the safety concept in accordance with 4.5 (including block diagram with functional
description of each block, circuit diagram for external connection, description of external signals);
⎯ the test case and test results, in order to prove the complete fault-coverage test.
The documentation showing how the validation of the systems logic has been made during the development
stage (see 4.5) shall include
⎯ a block diagram with a functional description of each block, and
⎯ a circuit diagram for external connection, and description of external signals.
8 © ISO 2008 – All rights reserved
A verification of the safety concept for safety-related machine-control systems in accordance with Clause 5 is
based on a detailed documentation of the safety-related part of the system. This may be in the form of
⎯ circuit diagrams for internal electronic circuits with a description of the individual blocks and components,
⎯ a functional description of the circuit diagrams,
⎯ parts lists, including parts identification and names of the individual positions, rating values and
tolerances,
⎯ a description of the relevant loads, type nomination and manufacturer of the components, data sheets for
special and critical components, and
⎯ a failure mode and effects analysis of the fault conditions.
7 Tests for safety-related MCS
7.1 General
The tests given in 7.2, which are intended to meet the general requirements in accordance with Clause 4, are
recommended for MCS; however, alternative means for verification are also permitted. Tests may be
performed at the system unit level (e.g. sub-assembly) of the MCS and sequentially. The verification shall
demonstrate that the MCS operates as intended under the machine's specified operating conditions (design
specifications).
7.2 Tests of machine-control systems
7.2.1 Test content
The tests are as follows:
a) test of basic functions (see function and system description in accordance with 4.2 and description of the
basic function in accordance with 4.3);
b) entering of safe-state test (see 5.4);
c) functional test at operating temperature and humidity in accordance with 4.6.2 and 7.2.2;
d) EMC test in accordance with 4.6.4;
e) shock and vibration tests in accordance with 4.6.5, 7.2.3 and 7.2.4.
7.2.2 Test of the function at environmental temperature and humidity
The complete functionality of the components of the safety-related machine-control system shall be tested to
meet the performance requirements of 4.6.2, in accordance with either the manufacturer's specifications or
with guidance from IEC 60068-2-14, for the following environmental conditions:
⎯ environmental temperature of − 25 °C;
⎯ environmental temperature of + 70 °C;
⎯ relative humidity of 30 %;
⎯ relative humidity of 95 %.
The temperature change should be 1 °C per 3 min. Two temperature-test cycles are required.
The maximum nominal voltage should be chosen during the heat-up and at the maximum environmental
temperature, and the minimum nominal voltage should be chosen at the lowest environmental temperature.
The test load at the maximum environmental temperature should be 3/4 and at the maximum value of the
maximum operating load for each 1 h cycle. The function should also be checked during these tests.
7.2.3 Vibration test
7.2.3.1 The components of the MCS should be tested in the same position and with the same mountings
as those fitted on the machine.
7.2.3.2 The tests should be performed in accordance with IEC 60068-2-6 at the following sine-shaped
sweep or in accordance with the manufacturer's specifications, such that they meet the special conditions of
4.6.2, 4.6.3 and 4.6.5:
Frequency range (f): 5 Hz to 200 Hz
The relation between amplitude and acceleration is given in Table 1.
Table 1
Frequency Engine compartment All other locations
f < f amplitude ± 21 mm amplitude ± 15 mm
T
2 2
f W f acceleration = 70 m/s (7g) acceleration = 50 m/s (5g)
T
amplitude < ± 21 mm amplitude < ± 15 mm
Transition frequency (f ): 8 Hz to 9 Hz
T
Number of frequency cycles: 20
Sweep rate: 1 octave/min
An interruption of the frequency cycles is allowed.
The test should be performed in axes perpendicular to each other, such that one of the axes is the same as
the longitudinal axis of the machine.
7.2.3.3 The test specimen shall be supplied with the nominal voltage and a defined functional test shall
be made during the test procedure. There shall be no loss of the safety function.
7.2.3.4 There shall be no cracks or deformations and the whole MCS shall be functional after the test.
7.2.4 Shock test
Shock testing should be performed either in accordance with the manufacturer's specifications or under the
guidance of IEC 60068-2-27.
The test specimen should be fixed to the test equipment with the same mountings as fitted at the machine. It
should be tightened as specified by the machine manufacturer. The minimum shock load shall be in
accordance with the manufacturer's specifications (e.g. an acceleration of 150 m/s (15 g) with an 11 ms pulse
duration, or preferably 300 m/s (30 g) with an 18 ms pulse duration).
10 © ISO 2008 – All rights reserved
7.2.5 Additional functional tests for safety-related machine-control systems
All safety-related machine-control systems shall be tested in accordance with Clause 5 with the following
addition.
A simple functional test, e.g. in accordance with IEC 61508-7:2000, B.5.1 and an expanded functional test, e.g.
in accordance with IEC 61508-7:2000, B.6.8, shall be made.
NOTE Alternative means for verification are also permitted besides those of the IEC 61508 standards cited in this
International Standard.
Annex A
(informative)
Guidance for risk assessment
A.1 General
Risk assessment deals with each hazardous situation of the machine application. It is recommended that a
small team of experts deal with all hazards from two points of view:
a) hazards to the machine operator;
b) hazards to people working in the environment of the machinery.
The method described in this annex supports the selection of safety integrity levels for the corresponding
safety function (see the risk graphs shown in Figures A.1 and A.2). For detailed information on risk
assessment, see ISO 14121-1, IEC 61508-5 or other equivalent risk assessment methodologies.
A.2 describes the risk graph method, a qualitative method that enables the safety integrity level of the MCS to
be determined from knowledge of the risk factors. This qualitative approach uses a number of parameters
which together describe the nature of the hazardous situation when the system fails or is not available. One
parameter is chosen from each of four sets (see Table A.1) and the selected parameters are then combined to
determine the safety integrity level allocated to the system.
A.2 Use of risk graphs
It is essential that the determination of the risk parameters be made without the consideration of any safety
feature integrated in the MCS. An explanation of the risk graphs shown in Figures A.1 and A.2 follows.
⎯ The use of risk parameters C, F and P as defined in Table A.1 leads to a number of outputs. Each of
these outputs is mapped onto one of three scales (W , W and W ). Each point on these scales is an
1 2 3
indication of the necessary safety integrity that has to be met by the MCS under consideration.
⎯ The mapping onto W , W or W , as defined in Table A.1, allows the contribution of other risk-reduction
1 2 3
measures to be made. The offset feature of the scales for W , W and W is to allow for three different
1 2 3
levels of risk reduction from other measures. That is, scale W provides the minimum risk reduction
contributed by other measures (i.e. the highest probability of the unwanted occurrence taking place),
scale W provides a medium contribution and scale W provides the maximum contribution. For a specific
intermediate output of the risk graph (after the use of risk parameters C, F and P) and for a specific W
scale (i.e. W , W or W ) the final output of the risk graph gives the safety integrity level of the MCS (i.e. 1,
1 2 3
2, 3 or 4) and is a measure of the required risk reduction for this system. This risk reduction, together with
the risk reductions achieved by other measures (e.g. by other technology safety-related systems and
external risk-reduction facilities) which are taken into account by the W scale mechanism, gives the
necessary risk reduction for the specific situation.
12 © ISO 2008 – All rights reserved
Table A.1 — Example data relating to risk graph (see Figures A.1 and A.2)
Risk parameter Classifications Comments
C Minor injury
Serious permanent injury
C to one or more persons;
For the interpretation of C , C , C and C , the consequences
1 2 3 4
death of one person
Consequence (C) of the accident and normal healing should be taken into
account.
C Death of several people
C A large number of people
killed
Rare-to-more-frequent
F exposure in the hazardous
Frequency and
zone
exposure time in
Frequent-to-permanent
hazardous zone (F)
F exposure in the hazardous
zone
Possible under certain This parameter takes into account
P
conditions
⎯ operation of a process (supervised [i.e. operated by
skilled or unskilled people] or unsupervised),
⎯ rate of development of the hazardous event (e.g.
suddenly, quickly or slowly),
⎯ ease of recognition of danger (e.g. seen immediately,
Possibility of avoiding
detected by technical measures or detected without
hazardous event (P)
P Almost impossible technical measures),
⎯ avoidance of hazardous event (e.g. escape routes
possible, not possible, or possible under certain
conditions), and
⎯ actual safety experience (such experience may exist with
an identical MCS or a similar MCS or may not exist).
Very slight probability that
the unwanted occurrences
W will come to pass and only
a few unwanted
occurrences are likely
The purpose of the W factor is to estimate the frequency of the
Slight probability that the
unwanted occurrence taking place without the addition of any
unwanted occurrences will
MCS but including any external risk-reduction facilities.
Probability of unwanted
W come to pass and few
If little or no experience exists of the MCS, or of a similar
occurrence (W) unwanted occurrences are
MCS, the estimation of the W factor may be made by
likely
calculation. In such an event, a worst-case prediction should
Relatively high probability
be made.
that the unwanted
occurrences will come to
W
pass and frequent
unwanted occurrences are
likely
A.3 Example of risk analysis of electronic powershift control
A.3.1 Hazard identification and allocation of risk parameters
It could be appropriate to list all considered hazards in a small document. Table A.2 presents an example of
hazard identification and allocation of risk parameters when an electronically controlled powershift
transmission is used.
Table A.2 — Example of hazard identification and risk parameter allocation
Risk parameter
Hazard to operator
C F P W
Unexpected gearing down C F P W
2 2 1 1
in the case of a
Operator could be Operator permanently Operator can use Experience shows
malfunction, e.g. from
seriously injured by exposed safety-belt that the probability of
fourth to first gear
sudden decrease in such incidents can be
speed estimated as W
Unexpected start-up (from C F P W
2 2 1 1
stationary) in the case of
In the worst case, Operator permanently Operator able to use Experience shows
malfunction
machinery will move exposed brakes that the probability of
into dangerous area such incidents can be
(collision or rollover) estimated as W
Hazard to other people
Unexpected gearing down — — — —
in the case of a
No hazards expected
malfunction, e.g. from
while travelling
fourth to first gear, on a
construction site
Unexpected gearing down C F P W
2 1 1 1
in the case of a
Possibility of collision Travelling on public Possible to use Experience shows
malfunction, e.g. from
with sudden stopping roads is limited brakes, or other that the probability of
fourth to first gear, when
of machine vehicles may be able such incidents can be
travelling on public roads
to swerve estimated as W
Unexpected start-up (from C F P W
2 1 1 1
stationary) in the case of
Possibility of serious In general, machinery People may be able Experience shows
malfunction on a
injury to other people is used for moving so to swerve (low speed) that the probability of
construction site
that other people are such incidents can be
not permanently estimated as W
within the operational
area
Unexpected start-up (from C F P W
2 1 1 1
stationary) in the case of
Possibility of serious Travelling on public People may be able Experience shows
malfunction when
injury to other people roads is limited to swerve (low speed) that the probability of
travelling on public roads
such incidents can be
estimated as W
NOTE This table represents an example only. The estimated risk parameters should be adapted to each individual MCS. The
hazards are not complete and it might be necessary to consider additional hazards and situations.
14 © ISO 2008 – All rights reserved
A.3.2 Risk analysis
The use of the estimated risk parameters as input data for the risk graphs shown in Figures A.1 and A.2 gives
a safety integrity level (SIL) of 1 in the example shown in Figure A.1, where the risk to the operator is analysed,
and no SIL in the example shown in Figure A.2, where the risk to other people is analysed.
Necessary minimum risk Performance Level (PL) in SIL
reduction accordance with ISO 13849-1
— — No safety requirements
a a No special safety requirements
b, c b, c 1
d d 2
e, f e 3
g 4
h An MCS is not sufficient
Key
1 starting point for risk estimation
C consequence risk parameter
F frequency and exposure risk time parameter
P possibility-of-failing-to-avoid-risk parameter
W probability of the unwanted occurrence
a to h estimates of required risk reduction for MCS
Consequence C (serious permanent injury to one or more persons; death of a person)
Frequency and exposure time F (frequent-to-permanent exposure in hazardous zone)
Possibility of avoiding the hazardous event P (possible under certain conditions)
Probability of the unwanted occurrence W (very slight probability of unwanted occurrence and few unwanted
occurrences likely)
Figure A.1 — Risk graph — Risk to operator
Necessary minimum risk SIL
reduction
— No safety requirements
a No special safety requirements
b, c 1
d 2
e, f 3
g 4
h An MCS is not sufficient
Key
1 starting point for risk estimation
C consequence risk parameter
F frequency and exposure risk time parameter
P possibility-of-failing-to-avoid-risk parameter
W probability of the unwanted occurrence
a to h estimates of required risk reduction for MCS
Consequence C (serious permanent injury to one or more persons; death of a person)
Frequency and exposure time F (rare-to-more-frequent exposure in hazardous zone)
Possibility of avoiding the hazardous event P (possible under certain conditions)
Probability of the unwanted occurrence W (very slight probability of unwanted occurrence and few unwanted
occurrences likely)
Figure A.2 — Risk graph — Risk to other people
A.3.3 Conclusion
Both risk analyses lead to the conclusion that the powershift transmission should be developed according to
safety integrity level 1.
16 © ISO 2008 – All rights reserved
Annex B
(informative)
Example of schematic breakdown of systems specification
No. Item
1 Functional specification
1.1 External interfaces
1.2 Man/machine interfaces
1.3 Operating mode
1.4 System functions
2 Requirements for safety technology
2.1 Safety guidelines and rules for the safety record
2.2 Faults and failures to be taken into consideration
2.3 Response to faults and failures (including time-related behaviour)
2.4 Re-start-up procedures
2.5 Limit values for safety and dependability
2.6 Special measures for assuring the required fault tolerance
2.7 Organizational measures for protection against external influences
3 Environmental conditions to be taken into consideration
3.1 Type of environmental conditions
3.2 Admissible limit values
3.3 Response of the system to certain environmental conditions
4 Design requirements
4.1 Special specifications for designing and implementation
4.2 Available components
4.3 Responsible personnel
4.4 Available means of operation, supplies
4.5 Available means of communication
5 Outlined conditions of operation and maintenance
5.1 Necessary devices and interfaces for testing and maintenance
5.2 General technical conditions for installation
5.3 General organizational conditions for operation and maintenance
5.4 Final test requirements and serial production control
Annex C
(informative)
List of well-tried components
C.1 General
Well-tried safety principles are, for example,
⎯ avoidance of certain faults, such as avoidance of short circuit by separation,
⎯ reducing the probability of faults, e.g. by over-dimensioning or underrating of components,
⎯ orientating the mode of fault, e.g. by ensuring an open circuit when it is vital to remove power in the event
of a fault,
⎯ early detection of faults, and
⎯ restricting the consequences of a fault, e.g. by grounding of equipment.
Newly developed components and safety principles may be considered as equivalent to “well-tried
components” if they fulfil the above-mentioned conditions.
A well-tried component for some applications can be inappropriate for other applications.
Tables C.1 and C.2 are examples and need to be checked by the designer for applicability.
C.2 Mechanical parts/components
Table C.1
Well-tried Condition for “well-tried” status Standard or specification
component
Screw All factors influencing the screw connection Mechanical jointing elements, such as
and the application are to be considered. screws, nuts, washers, rivets, pins, bolts, etc.
are standardized.
Spring See “use of a well-tried spring” descriptions Technical specifications for spring steels and
in ISO 13849-2:2003, Table A.2. other special applications are given in
ISO 4960.
Cam All factors influencing the cam arrangement See ISO 14119 (interlocking devices).
(e.g. part of an interlocking device) are to be
considered.
Break-pin All factors influencing the application are to
—
be considered.
Steering-rod All factors influencing the application are to
—
be considered.
Boom, lift arm All factors influencing the application are to
—
be considered.
18 © ISO 2008 – All rights reserved
C.3 Hydraulic parts/components
⎯ Hydraulic cylinders
⎯ Pipes, hoses
⎯ Main control valves
C.4 Electrical components
Table C.2
Well-tried component Condition for “well-tried” status Standard or specification
Switch with positive mode IEC 60947-5-1:2003, Annex K
actuation (direct opening
action), for example:
⎯ push-button;
—
⎯ position switch;
⎯ cam-operated selector
switch, e.g. for mode
operation.
Emergency stop device — ISO 13850
Fuse — IEC 60269-1
Circuit breaker — IEC 60947-2
Differential circuit breaker/ IEC 60947-2:2006, Annex B
RCD (residual current —
detection)
Main contactor Only we
...
NORME ISO
INTERNATIONALE 15998
Première édition
2008-04-15
Engins de terrassement — Systèmes de
contrôle-commande utilisant des
composants électroniques — Critères et
essais de performances de sécurité
fonctionnelle
Earth-moving machinery — Machine-control systems (MCS) using
electronic components — Performance criteria and tests for functional
safety
Numéro de référence
©
ISO 2008
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2008
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2008 – Tous droits réservés
Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application. 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
4 Exigences générales de sécurité . 4
5 Exigences supplémentaires relatives aux systèmes de contrôle-commande relatifs à la
sécurité . 6
6 Documentation. 8
7 Essais pour les MCS relatifs à la sécurité. 9
Annexe A (informative) Recommandations pour l'estimation du risque. 12
Annexe B (informative) Exemple d'un schéma de défaillance d'une spécification du système. 18
Annexe C (informative) Liste des composants éprouvés . 19
Annexe D (informative) Recommandations pour systèmes bus pour la transmission de messages
relatifs à la sécurité . 22
Bibliographie . 34
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 15998 a été élaborée par le comité technique ISO/TC 127, Engins de terrassement, sous-comité SC 3,
Emploi et entretien.
iv © ISO 2008 – Tous droits réservés
Introduction
Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des fonctions liées à la
sécurité dans la plupart des secteurs d'application. Des systèmes à base d'informatique [que l'on nommera de
façon générique systèmes électroniques programmables (PES)] sont actuellement utilisés dans tous les
secteurs d'application pour exécuter des fonctions non liées à la sécurité, mais aussi de plus en plus souvent,
liées à la sécurité. Si l'on veut exploiter efficacement et en toute sécurité la technologie des systèmes
informatiques, il est indispensable de fournir à tous les responsables suffisamment d'éléments liés à la
sécurité pour les guider dans leurs prises de décisions.
La présente Norme internationale établit des recommandations pour les systèmes électriques et/ou
électroniques et/ou avec des organes constitutifs électroniques programmables [systèmes
électriques/électroniques/électroniques programmables (E/E/PES)] qui sont utilisés pour la sécurité
fonctionnelle avec les engins de terrassement.
Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de protection fondés sur
diverses technologies (par exemple mécanique, hydraulique, pneumatique, électrique, électronique,
électronique programmable). En conséquence, toute stratégie de sécurité doit non seulement prendre en
compte tous les éléments d'un système individuel (par exemple les capteurs, les appareils de commande et
les actionneurs), mais également tous les systèmes relatifs à la sécurité. C'est pourquoi la présente Norme
internationale, bien que traitant essentiellement des systèmes électriques/électroniques/électroniques
programmables (E/E/PES) relatifs à la sécurité, fournit néanmoins des orientations de sécurité susceptible de
concerner les systèmes relatifs à la sécurité basés sur d'autres technologies.
La présente Norme internationale
⎯ a été élaborée dans le souci de l'évolution rapide des technologies; le cadre fourni par la présente Norme
internationale est suffisamment solide et étendu pour cette situation,
⎯ fournit une méthode de développement des exigences de sécurité nécessaires pour définir la sécurité
fonctionnelle requise des systèmes E/E/PE,
⎯ donne la méthodologie afin de spécifier le niveau cible d'intégrité de sécurité des fonctions de sécurité
devant être réalisées par les systèmes E/E/PE, en utilisant l'approche fondée sur le risque.
NORME INTERNATIONALE ISO 15998:2008(F)
Engins de terrassement — Systèmes de contrôle-commande
utilisant des composants électroniques — Critères et essais de
performances de sécurité fonctionnelle
1 Domaine d'application
La présente Norme internationale spécifie les critères et les essais de performances de sécurité fonctionnelle,
relatifs au développement des systèmes de contrôle-commande de sécurité, utilisant des composants
électroniques dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165. Les
modes opératoires de l'ECE R79, Annexe 6, de l'ISO 13849-1 ou de la CEI 62061 peuvent être utilisées en
alternative pour peu qu'une vérification et un essai soient menés par le constructeur en utilisant l'Article 7 de
la présente Norme internationale.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 6165:2006, Engins de terrassement — Principaux types — Identification et termes et définitions
ISO 13766, Engins de terrassement — Compatibilité électromagnétique
ISO 14121-1, Sécurité des machines — Appréciation du risque — Partie 1: Principes
CEI 60529, Degrés de protection procurés par les enveloppes (code IP)
CEI 61508-4:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 4: Définitions et abréviations
CEI 61508-5:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 5: Exemples de méthodes de détermination des niveaux
d'intégrité de sécurité
CEI 61508-7:2000, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 7: Présentation de techniques et mesures
3 Termes, définitions et abréviations
Pour les besoins du présent document, les termes, les définitions et les abréviations donnés dans la
CEI 61508-4 ainsi que les suivants s'appliquent.
3.1 Termes et définitions
3.1.1
engin de terrassement
engin automoteur ou tracté, à roues, à chenilles ou à jambes, ayant un équipement, des accessoires (outil) ou
les deux, principalement conçu pour assurer des opérations de creusement, de chargement, de transport, de
forage, d'épandage, de compactage ou de tranchage de terre, de roche et d'autres matériaux
NOTE Adapté de ISO 6165:2006, définition 3.1.
3.1.2
systèmes de contrôle-commande
MCS
systèmes de contrôle-commande comprenant plusieurs composants nécessaires à l'exécution de la fonction
du système comprenant généralement des capteurs, une unité de traitement des signaux, des commandes et
des actionneurs
NOTE L'étendue du système ne se limite pas aux commandes électroniques, mais est définie par la fonction relative
à la machine du système complet. Elle comprend par conséquent généralement des dispositifs électroniques, non
électroniques et de connexion. Elle peut comprendre des composants/des systèmes qui peuvent être électroniques,
mécaniques, hydrauliques, optiques ou pneumatiques.
3.1.3
unité système
partie d'un système de contrôle-commande comprenant tout nombre donné de composants et/ou de pièces
intégrés en une ou plusieurs unités
EXEMPLE Unité de commande de la boîte automatique.
NOTE Les composants et/ou les pièces sont généralement disposés dans une enceinte commune, mais l'unité
système peut également être constituée sous forme de composite mécanique avec plusieurs éléments fonctionnels.
3.1.4
dispositifs de connexion
dispositifs utilisés pour l'alimentation électrique et pour la transmission des signaux et des données
3.1.5
fonction de base
〈système de contrôle-commande〉 commande de la (des) tâche(s)
3.1.6
fonction de base
〈unité système〉 recevant les signaux et les données, les traitant et/ou les actionnant
3.1.7
fonction système
toute fonction devant être traitée par un système de contrôle-commande ou une unité système
NOTE Outre la fonction de base, les fonctions système comprennent le diagnostic, l'autosurveillance, le traitement
des signaux et la transmission des données à d'autres systèmes.
3.1.8
concept de sécurité
concept contenu dans la description des méthodes intrinsèques au système traitant des performances de ce
dernier et du fonctionnement en toute sécurité dudit système en cas de panne
3.1.9
systèmes de contrôle-commande relatifs à la sécurité
〈systèmes de contrôle-commande〉 régulant les fonctions de la machine relatives à la sécurité
2 © ISO 2008 – Tous droits réservés
3.1.10
état de sécurité
état appliqué automatiquement ou manuellement après un dysfonctionnement du système de contrôle-
commande lorsque l'équipement, le procédé ou le système commandé est interrompu ou commuté en mode
sécurité afin de prévenir tout mouvement intempestif ou d'éviter l'accumulation d'énergie potentiellement
dangereuse (par exemple électricité sous haute tension, pressions hydrauliques ou ressorts comprimés)
3.1.11
composant éprouvé
composant pour utilisation relative à la sécurité qui a été largement utilisé dans le passé avec des résultats
satisfaisants pour des utilisations similaires et qui a été fabriqué et vérifié en utilisant les principes qui
démontrent qu'il est adapté et fiable pour les utilisations relatives à la sécurité
NOTE 1 Pour quelques composants éprouvés, certains défauts peuvent également être exclus car le taux de
défaillance est connu pour être très faible.
NOTE 2 La décision d'accepter un composant particulier comme composant éprouvé dépend de son utilisation.
3.1.12
fonction de remplacement
fonction permettant l'existence d'un procédé continu en cas de dysfonctionnement ou de défaillance du
système
3.1.13
fonction de mouvement d'urgence
fonction à adopter en cas de dysfonctionnement ou de défaillance du système afin de permettre à l'opérateur
d'exécuter un mouvement d'urgence (de l'engin)
EXEMPLE Dégager un engin de la voie publique.
3.1.14
système programmable électronique
PES
système de commande, de protection ou de surveillance basé sur un ou plusieurs dispositifs électroniques
programmables, y compris tous les éléments du système tels que les alimentations en énergie, les capteurs
et autres périphériques d'entrée, les bus de données et autres circuits de communication, et les actionneurs
et autres dispositifs de sortie
3.2 Abréviations
PES système programmable électronique
MCS systèmes de contrôle-commande
FMEA analyse des modes de défaillance et leurs effets
FTA arbre des défaillances
ETA arbre des événements
SIL niveau d'intégrité de sécurité (voir la CEI 61508-4:1998, 3.5.6)
Code IP degré de protection IP
CEM compatibilité électromagnétique (voir l'ISO 13766:2006, 3.1)
OSI dispositifs de connexion ouverts
ASIC circuit intégré à application spécifique
RF radiofréquence
4 Exigences générales de sécurité
4.1 Application
Les critères de performances suivants sont valables pour tous les systèmes de contrôle-commande, utilisant
des composants électroniques, relatifs à la sécurité. Ces critères de performance peuvent être appliqués à
tout type de MCS.
4.2 Description du système de contrôle-commande
La description et la définition générale du système doivent comprendre
⎯ une liste de toutes les unités système qui sont utilisées pour des fonctions relatives à la sécurité, et
⎯ un schéma des dispositifs de connexion et des unités système, représentatif des fonctions relatives à la
sécurité du système de contrôle-commande.
Un exemple de la structure et du contenu de la description du système est donné dans l'Annexe B.
Les fonctions de base et leurs interfaces avec d'autres unités système doivent être spécifiées pour chaque
unité système. Cette spécification peut se présenter sous la forme d'un schéma ou d'un organigramme.
La connexion doit être illustrée de manière appropriée; un schéma de circuits convient dans le cas du
système électrique.
Le schéma doit classer sans aucune ambiguïté chaque dispositif de connexion (par exemple câbles) aux
unités système (par exemple par l'identification des bornes).
Les unités système doivent être marquées par des codes d'identification (par exemple numéros, symboles,
caractères) de manière à pouvoir vérifier la corrélation entre l'illustration des systèmes et le MCS installé sur
la machine.
Le constructeur démontre, en utilisant les codes d'identification, que les unités système sont conformes à la
documentation concernant la fonction de base, le concept de sécurité et les interfaces. La structure des codes
d'identification (par exemple alphanumérique) peut être spécifiée par le constructeur mais doit être dépourvue
de toute ambiguïté.
La description du système doit également comprendre les exigences relatives aux conditions ambiantes en
cours d'exploitation prévue de la machine:
⎯ conditions climatiques (température, humidité);
⎯ conditions mécaniques (vibrations, choc);
⎯ conditions de corrosion (brouillard salin, gaz polluant);
⎯ conditions électriques (sur et sous-tension);
⎯ conditions électromagnétiques;
⎯ fluctuation de tension de la source d'alimentation.
4 © ISO 2008 – Tous droits réservés
4.3 Description de la fonction de base
La fonction de base du système de contrôle-commande doit être spécifiée dans une description succincte,
pouvant être appuyée par des outils graphiques tels que des schémas fonctionnels ou des organigrammes.
La description doit comprendre
⎯ le recensement des types et valeurs d'entrée du MCS;
⎯ le recensement des types et valeurs de sortie contrôlées du MCS;
⎯ les objectifs de commande en boucle ouverte et en boucle fermée et données/capteurs utilisés;
⎯ les plages de fonctionnement et de réglage admissibles.
4.4 Analyse et estimation du risque
Le MCS doit faire l'objet d'une analyse et d'une estimation du risque en utilisant la description du système
conformément à 4.2 afin d'évaluer les phénomènes dangereux. Ces dernières peuvent être effectuées
conformément à des méthodes d'estimation du risque telles que celles données dans l'ISO 14121-1 ou dans
la CEI 61508-5:1998, Annexe D. Un exemple est donné dans l'Annexe A de la présente Norme internationale.
4.5 Critères de performances applicables au concept de sécurité
Le développement et la production du système de contrôle-commande doivent tenir compte du concept et des
fonctions système de base spécifiés par le constructeur pour le concept de sécurité de la machine. Ledit
concept comprend toutes les mesures qui permettent un fonctionnement en toute sécurité au-delà d'une
exploitation normale (pour des conseils se reporter à la CEI 61508-2:2000, 7.2.3.1). Ces mesures doivent être
énumérées d'une manière générale et compréhensible comme les exemples suivants:
⎯ redondance;
⎯ procédures de détection des anomalies;
⎯ «état de sécurité», un état de sécurité peut par exemple déclencher une fonction de mouvement
d'urgence (voir 5.4).
Ceci comprend une analyse documentée indiquant la réalisation effective du concept de sécurité tel que décrit.
Cette analyse peut prendre la forme d'une analyse (par exemple FMEA, FTA, ETA) ou des méthodes
similaires, qui sont appropriées au concept de sécurité du MCS.
Le constructeur doit documenter la méthode de validation de la logique du système au cours de la phase de
développement.
La transition du mode de fonctionnement normal à un état de sécurité doit prendre en considération la stabilité
de la machine et réduire au minimum le risque de blessure des personnes.
Il convient que le mouvement (actif ou passif) de la machine ou de son matériel/ses accessoires de service en
dehors de la zone ou de la position dangereuse dans le cas d'un dysfonctionnement du MCS soit possible.
4.6 Environnement physique et conditions d'exploitation
4.6.1 Généralités
Il convient que les conditions environnementales dans lesquelles les engins sont utilisés soient la base de la
spécification du MCS.
4.6.2 Température et humidité ambiantes
Le système de contrôle-commande des engins de terrassement doit fonctionner en toute sécurité dans les
conditions décrites en 7.2.2.
Des restrictions, n'exerçant aucune influence sur la fonction de sécurité du MCS, peuvent être acceptées.
Pour des conditions de fonctionnement spéciales de l'engin et des conditions d'installation des pièces
électroniques, d'autres conditions environnementales peuvent être spécifiées par le constructeur.
4.6.3 Degré de protection (Code IP)
Les pièces du MCS réalisant la sécurité fonctionnelle, sur la base des conditions d'installation, doivent
satisfaire au moins aux degrés de protection suivants, conformément à la CEI 60529:
1)
⎯ IP 66 pour toutes les pièces électroniques, installées à l'extérieur de la machine ou directement
exposées aux influences de l'environnement.
Pour des conditions de fonctionnement de l'engin et des conditions d'installation des pièces électroniques,
d'autres conditions environnementales peuvent être spécifiées par le constructeur.
4.6.4 Compatibilité électromagnétique (CEM)
Le système de contrôle-commande doit satisfaire aux exigences de l'ISO 13766.
4.6.5 Vibrations et chocs mécaniques
Les unités système, les composants et pièces du MCS utilisés sur les engins de terrassement doivent être
conçus et installés de sorte que leur fonction de sécurité soit maintenue pour les charges dues aux vibrations
et chocs pendant l'exploitation type de l'engin.
Voir 7.2.3 et 7.2.4 pour les conditions d'essai.
Pour des conditions de fonctionnement spéciales de l'engin et des conditions d'installation des pièces
électroniques, d'autres conditions environnementales peuvent être spécifiées par le constructeur.
4.7 Fonction d'arrêt d'urgence
Une fonction d'arrêt d'urgence doit être prévue lorsque le concept de sécurité le requiert. L'arrêt d'urgence doit
commuter le MCS, l'unité système ou la machine en un état de sécurité défini en cas de défaillance pouvant
entraîner un mouvement ou un état dangereux de la machine.
5 Exigences supplémentaires relatives aux systèmes de contrôle-commande
relatifs à la sécurité
5.1 Généralités
Le présent article s'applique aux systèmes de contrôle-commande avec des fonctions de sécurité ayant un
niveau SIL = 1 ou équivalent (voir A.3.2).
Les systèmes de contrôle-commande avec fonctions relatives à la sécurité doivent satisfaire les exigences
supplémentaires suivantes selon l'estimation des risques.
1) Pour des conditions spéciales d'installation, d'autres degrés de protection peuvent être sélectionnés, par exemple en
cas de plus haute tension, disfonctionnement dû à l'humidité, saletés ou particules extérieures conductrices qui pourraient
entraîner une situation inacceptable (risque).
6 © ISO 2008 – Tous droits réservés
5.2 Évitement et maîtrise des anomalies
5.2.1 Les Annexes A et B de la CEI 61508-2:2000 ou d'autres méthodes comparables, doivent être utilisées
comme un guide applicable aux mesures et aux techniques relatives à l'évitement et à la maîtrise des
anomalies.
5.2.2 Les défaillances observées au niveau d'un système relatif à la sécurité varient essentiellement en
fonction du moment de leur apparition (origine):
a) défaillances dues à des anomalies apparaissant avant ou pendant l'installation du système (par exemple
les anomalies logicielles comprennent des anomalies de spécification et de programme, les anomalies
matérielles comprennent des anomalies de fabrication et une sélection de composants incorrecte);
b) défaillances dues à des anomalies ou à des erreurs humaines apparaissant pendant la vie/l'exploitation
de l'engin et généralement après l'installation du système (par exemple des défaillances aléatoires du
matériel ou des défaillances dues à une utilisation incorrecte).
Les défaillances du type décrit en a) peuvent être décelées, corrigées et évitées par l'adoption de mesures
lors des différentes phases du cycle de vie (voir la CEI 61508-2:2000, Annexe B). Les mesures applicables à
l'évitement des défaillances sont des procédures essentiellement de conception et analytiques.
Les défaillances du type décrit en b) peuvent être maîtrisées uniquement lors d'une exploitation normale (voir
CEI 61508-2:2000, Annexe A). Les mesures applicables à la maîtrise de ces défaillances doivent être
intégrées au concept de sécurité.
Certaines mesures et techniques décrites dans la CEI 61508-2 sont d'une importance essentielle (voir les
Annexes A et B), il convient qu'elles soient ainsi employées indépendamment du niveau d'intégrité de sécurité.
Il convient d'employer d'autres mesures et techniques indépendamment du niveau d'intégrité de sécurité. Il
convient que l'effort requis pour la réalisation effective de ces mesures permette d'obtenir l'efficacité exigée
dans la CEI 61508-2:2000, Tableaux B.1 à B.5 (faible/moyenne/élevée). Toutes les autres mesures peuvent
être remplacées en principe, soit de manière individuelle, soit associées à d'autres mesures.
5.3 Exigences relatives aux systèmes électroniques programmables (PES)
Le logiciel doit être développé et validé suivant les mesures appropriées (voir, par exemple, la
CEI 61508-3:1998, Annexe A ou l'ISO 13849-1).
Les concepts et les méthodes, et les outils de développement applicables aux systèmes électroniques
programmables (PES) utilisés dans les systèmes de contrôle-commande doivent être documentés.
5.4 Dysfonctionnement ou défaillance des composants électroniques utilisés avec les
systèmes de contrôle-commande
L'adoption d'un état de sécurité doit être réalisée en cas de dysfonctionnement ou de défaillance des
composants électroniques utilisés avec le système de contrôle-commande suivant l'estimation du risque. Une
performance réduite du système ou l'utilisation de fonction(s) de substitution peuvent être utilisées pour
parvenir à un état sûr en tant que partie du concept de sécurité.
L'état de sécurité peut être atteint par une permutation automatique vers une fonction de remplacement (voir
la Figure 1). Si cette transition est appliquée par le MCS alors, il doit y avoir une forme quelconque
d'indication pour l'opérateur telle que alarmes, indicateurs ou performance réduite (par exemple vitesse lente).
Figure 1 — Exemple d'adoption d'un état de sécurité
5.5 Procédure de redémarrage
Une procédure de redémarrage, en cas de disparition d'un défaut (invalidé par le MCS) ne doit pas être
autorisé à moins que l'estimation du risque démontre que le fonctionnement sûr peut être maintenu.
6 Documentation
Le constructeur doit conserver, selon sa politique de préservation des enregistrements, tous les documents
applicables pour les exigences générales de sécurité du système de contrôle-commande conformément à
l'Article 4. La documentation doit comprendre au moins les documents suivants:
⎯ description du système de contrôle-commande conformément à 4.2;
⎯ description de la fonction de base conformément à 4.3;
⎯ analyse du risque et estimation du risque conformément à 4.4;
⎯ exigences pour le concept de sécurité conformément à 4.5 (y compris un organigramme avec une
description fonctionnelle de chaque bloc et un schéma de circuits pour une connexion externe, la
description des signaux externes);
⎯ conditions et résultat d'essai de façon à prouver la complétude de l'essai concernant les défauts.
La documentation sur la façon dont la validation des systèmes logiques ont été réalisés pendant l'étape de
développement (voir 4.5) doit comprendre ce qui suit:
⎯ un organigramme avec une description fonctionnelle de chaque bloc;
⎯ un schéma de circuits pour une connexion externe, la description des signaux externes.
8 © ISO 2008 – Tous droits réservés
La vérification du concept de sécurité applicable aux systèmes de contrôle-commande relatifs à la sécurité
conformément à l'Article 5 est fondée sur une documentation détaillée de la pièce du système relative à la
sécurité. Cela peut se présenter sous la forme
⎯ de schémas de circuits applicables aux circuits électroniques internes avec une description des blocs et
des composants individuels;
⎯ d'une description fonctionnelle des schémas de circuits;
⎯ d'une liste des pièces y compris leur identification et la désignation des positions individuelles, les valeurs
nominales, les tolérances;
⎯ les charges appropriées, la désignation du type et le fabricant des composants, les fiches techniques
pour les composants spéciaux et critiques;
⎯ de l'analyse des modes de défaillance et de leurs effets relative aux conditions d'anomalie.
7 Essais pour les MCS relatifs à la sécurité
7.1 Généralités
Les essais conformément à 7.2, censés satisfaire aux exigences générales conformément à l'Article 4, sont
recommandés pour les MCS, mais des moyens des substitution pour la vérification sont également permis.
Les essais peuvent être effectués au niveau de l'unité du système (par exemple sous-ensemble) du MCS et
peut être effectué de façon séquentielle. La vérification doit démontrer que le MCS agit comme prévu sous les
conditions spécifiées de fonctionnement (spécifications de conception) de l'engin.
7.2 Essais des systèmes de contrôle-commande
7.2.1 Teneur des essais
Les essais suivants doivent être réalisés:
a) essai des fonctions de base (voir description des fonctions et des systèmes conformément à 4.2 et
description de la fonction de base conformément à 4.3);
b) adoption d'un état de sécurité (voir 5.4);
c) essai de fonctionnement dans les conditions de température et d'humidité d'exploitation conformément à
4.6.2 et à 7.2.2;
d) CEM conformément à 4.6.4;
e) chocs et vibrations conformément à 4.6.5, à 7.2.3 et à 7.2.4.
7.2.2 Essai de la fonction à la température et à l'humidité ambiantes
La fonctionnalité complète des composants du système contrôle-commande relatif à la sécurité doit être
soumise à essai pour parvenir aux exigences de performance de 4.6.2 soit par les spécifications du fabricant
ou bien dans le cadre des recommandations de la CEI 60068-2-14 pour les conditions ambiantes suivantes:
⎯ température ambiante − 25 °C;
⎯ température ambiante + 70 °C;
⎯ humidité relative de 30 %;
⎯ humidité relative de 95 %.
Il convient que la variation de température soit de 1 °C pour 3 min. Deux cycles d'essai de température sont
requis.
Il convient de choisir la tension nominale maximale lors de la montée en température et à la température
ambiante maximale, et la tension nominale minimale à la température ambiante la moins élevée.
Il convient que la charge d'essai à la température ambiante maximale soit de 3/4 et à la valeur maximale de la
charge maximale d'utilisation pour chaque cycle d'une heure. Il convient que la fonction soit soumise à essai
au cours desdits essais.
7.2.3 Essai de vibrations
7.2.3.1 Il convient que les composants du MCS soient soumis à essai dans la même position et avec les
mêmes accessoires de fixation que ceux installés sur la machine.
7.2.3.2 Il convient que les essais soient réalisés conformément à la CEI 60068-2-6 avec le balayage
sinusoïdal suivant ou suivant les spécifications du fabricant pour réaliser les conditions spéciales de 4.6.2,
4.6.3 et 4.6.5:
Gamme de fréquences (f): de 5 Hz à 200 Hz;
La relation entre l'amplitude et l'accélération est donnée dans le Tableau 1.
Tableau 1 — Relation entre l'amplitude et l'accélération
Fréquence Compartiment moteur Tout autre emplacement
f < f amplitude ± 21 mm amplitude ± 15 mm
T
2 2
f W f accélération = 70 m/s (7g) accélération = 50 m/s (5g)
T
amplitude < ± 21 mm amplitude < ± 15 mm
Fréquence de transition (f ): de 8 Hz à 9 Hz;
T
Nombre de cycles de fréquences: 20;
Vitesse de balayage: 1 octave/min.
Une interruption des cycles de fréquences est admise.
Il convient d'effectuer l'essai sur des axes perpendiculaires l'un par rapport à l'autre, de façon que l'un des
axes soit le même que l'axe longitudinal de la machine.
7.2.3.3 L'éprouvette doit être fournie avec la tension nominale et un essai de fonctionnement défini doit
être effectué au cours de la procédure d'essai. La fonction ne doit subir aucune perte de fonction de sécurité.
7.2.3.4 Aucune fissure ou déformation ne doit apparaître et le MCS dans son ensemble doit être en état
de fonctionnement au terme de l'essai.
7.2.4 Essai de résistance aux chocs
Il convient que l'essai de résistance aux chocs soit exécuté selon soit les spécifications du fabricant ou
suivant les recommandations de la CEI 60068-2-27.
Il convient de fixer l'éprouvette sur l'appareillage d'essai avec les mêmes accessoires de fixation que ceux
installés sur la machine. Il convient de la serrer suivant les spécifications du constructeur de la machine. La
charge d'impact minimale doit être conforme aux spécifications du fabricant par exemple 150 m/s (15g) (avec
une durée d'impulsion de 11 ms), ou de préférence 300 m/s (30g) (avec une durée d'impulsion de 18 ms).
10 © ISO 2008 – Tous droits réservés
7.2.5 Essais fonctionnels supplémentaires applicables aux systèmes de contrôle-commande relatifs
à la sécurité
Tous les systèmes de contrôle-commande relatifs à la sécurité doivent être soumis à l'essai conformément à
l'Article 5 avec l'essai supplémentaire suivant.
Un essai de fonctionnement simple par exemple conformément à la CEI 61508-7:2000, B.5.1 et un essai de
fonctionnement étendu par exemple conformément à la CEI 61508-7:2000, B.6.8 doivent être effectués.
NOTE Des moyens de substitution pour la vérification sont également permis en dehors des normes CEI 61508
citées dans la présente Norme internationale.
Annexe A
(informative)
Recommandations pour l'estimation du risque
A.1 Généralités
L'estimation du risque traite de chaque situation dangereuse de l'application des machines. Il est
recommandé qu'une équipe composée de quelques experts traite de tous les phénomènes dangereux de
deux points de vue:
a) phénomènes dangereux pour l'opérateur de la machine;
b) phénomènes dangereux pour les personnes travaillant dans l'environnement des machines (engins).
La méthode décrite dans la présente annexe concerne le choix des niveaux d'intégrité de sécurité pour la
fonction de sécurité correspondante (voir graphique des risques aux Figures A.1 et A.2). Pour des
informations détaillées relatives à l'estimation du risque, voir l'ISO 14121-1, la CEI 61508-5 ou toute autre
méthodologie pour l'estimation du risque équivalente.
Le paragraphe A.2 décrit la méthode du graphique des risques qui est une méthode qualitative permettant de
déterminer le niveau d'intégrité de sécurité du MCS à partir de la connaissance des facteurs de risque. Cette
méthode qualitative utilise un certain nombre de paramètres qui, tous ensemble, décrivent la nature de la
situation dangereuse en cas de défaillance ou d'indisponibilité du système. Un paramètre est choisi parmi
chacun des quatre ensembles mentionnés (voir Tableau A.1) et les paramètres sélectionnés sont ensuite
combinés afin de déterminer le niveau d'intégrité de sécurité attribué au système.
A.2 Utilisation du graphique des risques
Il est essentiel de déterminer les paramètres de risque sans tenir compte d'aucune caractéristique intrinsèque
du MCS. Une explication des graphiques de risques présentés aux Figures A.1 et A.2 est donnée ci-après:
⎯ l'utilisation des paramètres de risques C, F et P tels que définis dans le Tableau A.1 entraîne un grand
nombre de résultats. Chacun de ces résultats est tracé sur l'une des trois échelles existantes (W , W et
1 2
W ). Chaque point situé sur ces échelles représente une indication de l'intégrité de sécurité nécessaire à
laquelle doit satisfaire le MCS concerné.
⎯ le tracé sur W , W ou W tel que défini dans le Tableau A.1 permet la contribution d'autres mesures de
1 2 3
réduction des risques. La caractéristique de décalage des échelles W , W et W doit permettre de
1 2 3
déterminer trois niveaux différents de réduction des risques à partir des autres mesures, à savoir que
l'échelle W fournit la réduction de risques minimale apportée par les autres mesures (c'est-à-dire la plus
grande probabilité d'apparition de l'occurrence non souhaitée), l'échelle W fournit une contribution
moyenne et l'échelle W fournit la contribution maximale. Pour un résultat intermédiaire spécifique du
graphique des risques (après l'utilisation des paramètres de risque C, F et P) et pour une échelle W
spécifique (à savoir W , W ou W ), le résultat définitif du graphique des risques donne le niveau
1 2 3
d'intégrité de sécurité du MCS (c'est-à-dire 1, 2, 3 ou 4) et constitue une mesure de la réduction du risque
requise applicable à ce système. Cette réduction du risque, ainsi que les réductions du risque obtenues
par d'autres mesures (par exemple par l'emploi d'autres systèmes techniques relatifs à la sécurité et
d'autres dispositifs externes de réduction du risque) prises en compte par le mécanisme des échelles W,
donne la réduction du risque nécessaire pour la situation spécifique concernée.
12 © ISO 2008 – Tous droits réservés
Tableau A.1 — Exemple de données relatives au graphique des risques (voir Figures A.1 et A.2)
Paramètre de risque Classifications Commentaires
C Blessure superficielle
Blessure permanente grave
d'une ou de plusieurs
C
2 Il convient de prendre en compte les conséquences de
personnes; décès d'une
Conséquence (C) l'accident et du rétablissement normal pour l'interprétation
personne
de C , C , C et C .
1 2 3 4
C Décès de plusieurs personnes
Décès d'un très grand nombre
C
de personnes
Exposition rare à plus
F courante à la zone
Fréquence et durée
dangereuse
d'exposition à la zone
Exposition fréquente à
dangereuse (F)
F permanente à la zone
dangereuse
Possible dans certaines Ce paramètre prend en compte
P
conditions
⎯ l'exploitation d'un procédé [surveillée (à savoir
procédé exploité par des personnes qualifiées ou non
qualifiées) ou non surveillée],
⎯ la vitesse de développement de l'événement
dangereux (par exemple subitement, rapidement ou
lentement),
Possibilité d'évitement
⎯ la facilité de reconnaissance du danger (par exemple
de l'événement
perception immédiate, détection par des mesures
dangereux (P)
P Presque impossible
techniques ou en l'absence desdites mesures),
⎯ évitement de l'événement dangereux (par exemple
voies d'évacuation possibles, non possibles ou
possibles dans certaines conditions),
⎯ l'expérience réelle en matière de sécurité (ladite
expérience peut être effective avec un MCS identique
ou un MCS similaire, ou peut ne pas exister).
Très faible probabilité
d'apparition effective des
occurrences non souhaitées et
W
probabilité d'apparition de
quelques occurrences non
Le facteur W a pour objet d'estimer la fréquence
souhaitées uniquement
d'apparition de l'occurrence non souhaitée sans adjoindre
de MCS mais en tenant compte des dispositifs externes de
Faible probabilité d'apparition
Probabilité
réduction du risque.
effective des occurrences non
d'apparition de
W souhaitées et probabilité
2 Lorsque l'expérience du MCS concerné ou d'un MCS
l'occurrence non
d'apparition de peu
similaire est peu importante, ou en l'absence de ladite
souhaitée (W)
d'occurrences non souhaitées
expérience, l'estimation du facteur W peut s'effectuer par
calcul. Dans ce type de situation, il convient qu'une
Probabilité relativement
prédiction du cas le plus défavorable soit effectuée.
élevée d'apparition des
occurrences non souhaitées et
W
probabilité d'apparition
d'occurrences non souhaitées
fréquentes
A.3 Exemple d'analyse du risque dans le cas d'une commande de boîte automatique
électronique
A.3.1 Identification des phénomènes dangereux et affectation des paramètres de risque
Il peut se révéler approprié d'énumérer tous les phénomènes dangereux pris en considération dans un petit
document. Le Tableau A.2 présente un exemple d'identification des phénomènes dangereux et d'affectation
des paramètres de risque dans le cas de l'utilisation d'une boîte automatique à commande électronique:
Tableau A.2 — Exemple d'identification des phénomènes dangereux et d'affectation
des paramètres de risque
Paramètre de risque
Phénomènes dangereux
pour l'opérateur
C F P W
Passage intempestif d'un C F P W
2 2 1 1
engrènement supérieur à un
L'opérateur pourrait Exposition L'opérateur peut Par expérience, la
engrènement inférieur dans
être gravement permanente de utiliser les ceintures probabilité
le cas d'un
blessé du fait d'une l'opérateur de sécurité d'occurrence d'un
dysfonctionnement, par
réduction soudaine incident de ce type
exemple du quatrième au
de la vitesse peut être estimée
premier rapport
égale à W
Démarrage intempestif C F P W
2 2 1 1
(de la position fixe) en cas
Dans le cas le plus Exposition L'opérateur est en Par expérience, la
de dysfonctionnement
défavorable, la permanente de mesure d'utiliser les probabilité
machine se déplace l'opérateur freins d'occurrence d'un
vers une zone incident de ce type
dangereuse (collision peut être estimée
ou renversement) égale à W
Phénomènes dangereux
pour les autres personnes
Passage intempestif d'un — — — —
engrènement supérieur à un
Aucun phénomène
engrènement inférieur dans
dangereux n'est
le cas d'un
prévu lors du
dysfonctionnement, par
déplacement (de
exemple du quatrième au
l'engin)
premier rapport, sur le
chantier de construction
Passage intempestif d'un C F P W
2 1 1 1
engrènement supérieur à un
Possibilité d'une Limitation du Possibilité Par expérience, la
engrènement inférieur dans
collision dans le cas déplacement sur des d'utilisation des freins probabilité
le cas d'un
de l'arrêt soudain de voies publiques ou écart des autres d'occurrence d'un
dysfonctionnement, par
la machine véhicules incident de ce type
exemple du quatrième au
peut être estimée
premier rapport, lors du
égale à W
déplacement (de l'engin) sur
des voies publiques
14 © ISO 2008 – Tous droits réservés
Tableau A.2 (suite)
Paramètre de risque
Phénomènes dangereux
pour l'opérateur
C F P W
Démarrage intempestif C F P W
2 1 1 1
(de la position fixe) en cas
Possibilité de La machine est Les personnes Par expérience, la
de dysfonctionnement sur le
blessures graves aux généralement utilisée peuvent être en probabilité
chantier de construction
autres personnes pour se déplacer de mesure de s'écarter d'occurrence d'un
sorte que les autres (vitesse réduite) incident de ce type
personnes ne se peut être estimée
trou
...
ISO 15998:2008 establishes a comprehensive framework for the performance criteria and tests related to the functional safety of machine-control systems (MCS) that utilize electronic components in earth-moving machinery. This standard is crucial as it addresses the increasing reliance on complex electronic systems to enhance operational efficiency while ensuring the safety of operators and machinery. One significant strength of ISO 15998:2008 is its focus on safety-related systems. By specifying clear performance criteria, the standard provides manufacturers and operators with a guideline to evaluate and improve the reliability of MCS in earth-moving machinery. This is particularly vital in an industry where machinery failures can lead to significant operational hazards. The standard outlines rigorous testing protocols for assessing whether MCS can consistently perform their intended safety functions. This aspect not only improves equipment safety but also promotes accountability among manufacturers, compelling them to adhere to defined benchmarks. As earth-moving machinery often operates in challenging environments, the testing procedures indicated in ISO 15998:2008 ensure that machine-control systems are equipped to handle various operational stresses while maintaining safety. Furthermore, the relevance of ISO 15998:2008 extends beyond compliance; it fosters innovation within the industry. By adhering to these performance criteria, manufacturers can develop new technologies that enhance machine-control systems, ultimately leading to improved safety measures and operational effectiveness on construction sites. In summary, ISO 15998:2008 is essential for enforcing high safety standards within the earth-moving machinery sector. Its defined performance criteria and testing requirements for electronic component-based machine-control systems make it a crucial resource for manufacturers aiming to ensure the functional safety of their machinery. This standard not only upholds the safety of workers but also contributes to the advancement of technology in the industry.
Die Norm ISO 15998:2008 ist ein bedeutendes Dokument im Bereich der Erdbewegungsmaschinen, das sich auf Maschinensteuerungssysteme (MCS) konzentriert, die elektronische Komponenten verwenden. Der spezifische Fokus dieser Norm liegt auf den Leistungskriterien und Tests für die funktionale Sicherheit solcher Systeme, wie sie in Erdbewegungsmaschinen und deren Ausrüstung definiert sind, und zwar gemäß ISO 6165. Der Anwendungsbereich der ISO 15998:2008 ist äußerst relevant, da er klare Vorgaben für die Sicherheit in der Konstruktion und dem Betrieb von Maschinensteuerungssystemen bietet. In einer Branche, die von technologischem Fortschritt geprägt ist, sorgen die spezifischen Anforderungen der Norm dafür, dass Hersteller und Betreiber die Sicherheit ihrer Maschinen auf ein hohes Niveau bringen können. Ein großer Vorteil der Norm liegt in den umfassenden Leistungskriterien, die eine konsistente Bewertung der Sicherheitsmerkmale ermöglichen. Diese Kriterien sind unerlässlich, um sicherzustellen, dass das MCS zuverlässig und fehlerfrei funktioniert, was in kritischen Anwendungen von entscheidender Bedeutung ist. Darüber hinaus bieten die festgelegten Testmethoden eine solide Grundlage für die Bewertung der funktionalen Sicherheit, indem sie praktische, realitätsnahe Szenarien berücksichtigen. Die Bedeutung der ISO 15998:2008 erstreckt sich auch auf die Rechtskonformität und die Marktakzeptanz. Hersteller, die die Norm einhalten, können sicherstellen, dass ihre Produkte den Sicherheitsanforderungen entsprechen, was nicht nur das Vertrauen der Kunden stärkt, sondern auch die Marktfähigkeit erhöht. Die Standardisierung bietet auch einen Rahmen, der es ermöglicht, technologische Innovationen in der Branche sicher zu integrieren, ohne die hohen Sicherheitsstandards zu gefährden. Zusammenfassend lässt sich sagen, dass die ISO 15998:2008 als umfassendes und aktuelles Dokument zur Standardisierung von Maschinensteuerungssystemen fungiert und wesentliche Kriterien für die Gewährleistung der funktionalen Sicherheit bietet. Dies macht die Norm für Hersteller und Anwender von Erdbewegungsmaschinen von hoher Bedeutung.
ISO 15998:2008は、電子部品を使用した安全関連の機械制御システム(MCS)の機能安全に関する性能基準とテストを規定しています。この標準は、土木機械とその装置におけるMCSの機能安全を確保するために不可欠であり、ISO 6165で定義された機械を対象としています。 この標準の強みは、実践的かつ明確な性能基準を提供している点です。これにより、機械制御システムの設計者や製造者は、安全性を向上させるための具体的なガイドラインを得ることができます。また、テスト方法が明記されていることで、性能評価が客観的かつ一貫して行われることが保証されます。 ISO 15998:2008の関連性は、特に土木機械業界において非常に高く、迅速に進化する技術環境においても変わらず求められています。機械制御システムの安全性を確保することは、労働者の安全を守るだけでなく、機械の稼働効率を高めることにも寄与します。この標準に従うことで、業界全体の信頼性と安全性が向上することが期待されます。
ISO 15998:2008은 전자 구성 요소를 사용하는 토목 기계의 안전 관련 기계 제어 시스템(MCS)의 기능적 안전성을 위한 성능 기준과 시험 방법을 규정하고 있습니다. 이 표준의 범위는 국내외 다양한 토목 기계 및 장비에 적용될 수 있으며, ISO 6165에서 정의된 대로의 기계 제어 시스템에 대한 명확한 기준을 제공합니다. 이 표준의 주요 강점 중 하나는 기능적 안전성에 대한 포괄적인 접근을 통해 전자 기계 제어 시스템의 신뢰성을 보장하는 데 기여한다는 점입니다. 또한, ISO 15998:2008는 각종 시험 중심으로 설계되어 있어 실제 운용 환경에서의 기계 제어 시스템 성능을 검증할 수 있는 명확한 방법론을 제공합니다. 이는 설계자와 사용자 모두에게 안전하고 효율적인 작업 환경을 조성하는 데 필수적입니다. ISO 15998:2008의 관련성은 특히 산업 안전과 관련하여 더욱 부각됩니다. 토목 기계의 사용이 증가함에 따라 이에 따른 안전 사고 예방이 더욱 중요해지고 있습니다. 이 표준이 제공하는 성능 기준과 테스트 방법은 기계 제어 시스템에서의 위험 요소를 식별하고 줄이는 데 중요한 역할을 합니다. 따라서 ISO 15998:2008은 현대 토목 산업에서 안전성과 신뢰성을 확보하기 위해 반드시 필요한 문서라고 할 수 있습니다. 결론적으로, ISO 15998:2008은 전자 구성 요소를 사용하는 토목 기계 제어 시스템(MCS)의 기능적 안전성을 평가하는 데 있어 필수적인 표준으로, 사용자의 안전을 보장하며 효율적이고 신뢰성 있는 기계 운영을 가능하게 합니다.
La norme ISO 15998:2008 établit des critères de performance et des tests pour la sécurité fonctionnelle des systèmes de contrôle des machines (MCS) utilisant des composants électroniques dans les machines de terrassement. Ce document est essentiel car il précise les exigences nécessaires pour garantir que ces systèmes, qui jouent un rôle crucial dans le fonctionnement des équipements de terrassement, présentent un niveau élevé de sécurité opérationnelle. L'étendue de la norme couvre tous les systèmes liés à la sécurité qui interviennent dans les machines de terrassement, conformément à la définition fournie dans la norme ISO 6165. Cela permet d'assurer une approche cohérente et standardisée pour évaluer la fiabilité et l'efficacité des systèmes de contrôle, ce qui est fondamental pour réduire les risques d'accidents et d'incidents dans des environnements souvent dangereux. Parmi les points forts de l’ISO 15998:2008, on note son approche systématique pour établir des critères de performance clairs et précis. Cela constitue un atout considérable pour les fabricants et les utilisateurs d'équipements de terrassement, car cela facilite la conformité aux exigences réglementaires dans le domaine de la sécurité des machines. De plus, les tests de sécurité fonctionnelle que la norme impose aident à identifier et à atténuer les défaillances potentielles avant la mise en service des équipements. La pertinence de cette norme ne peut être sous-estimée dans le contexte actuel où la technologie évolue rapidement et où la sécurité des machines est une priorité incontournable. En intégrant des éléments de sécurité fonctionnelle, l'ISO 15998:2008 permet non seulement de protéger les opérateurs et le personnel autour des machines, mais également d'améliorer la confiance des utilisateurs dans la technologie moderne appliquée au secteur de la construction et des travaux publics. En somme, la norme ISO 15998:2008 se démarque par sa capacité à combiner performance, sécurité et avancées technologiques, ce qui en fait un document de référence incontournable pour toute organisation opérant dans le domaine des machines de terrassement.
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...