ISO 15998:2008
(Main)Earth-moving machinery — Machine-control systems (MCS) using electronic components — Performance criteria and tests for functional safety
Earth-moving machinery — Machine-control systems (MCS) using electronic components — Performance criteria and tests for functional safety
ISO 15998:2008 specifies performance criteria and tests for functional safety of safety-related machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment, as defined in ISO 6165.
Engins de terrassement — Systèmes de contrôle-commande utilisant des composants électroniques — Critères et essais de performances de sécurité fonctionnelle
L'ISO 15998:2008 spécifie les critères et les essais de performances de sécurité fonctionnelle, relatifs au développement des systèmes de contrôle-commande de sécurité, utilisant des composants électroniques dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 15998
First edition
2008-04-15
Earth-moving machinery — Machine-
control systems (MCS) using electronic
components — Performance criteria and
tests for functional safety
Engins de terrassement — Systèmes de contrôle-commande utilisant
des composants électroniques — Critères et essais de performances
de sécurité fonctionnelle
Reference number
ISO 15998:2008(E)
©
ISO 2008
---------------------- Page: 1 ----------------------
ISO 15998:2008(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2008
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2008 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 15998:2008(E)
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
4 General safety requirements . 4
5 Additional requirements for safety-related machine-control systems . 6
6 Documentation. 8
7 Tests for safety-related MCS . 9
Annex A (informative) Guidance for risk assessment. 12
Annex B (informative) Example of schematic breakdown of systems specification . 17
Annex C (informative) List of well-tried components . 18
Annex D (informative) Recommendations for bus-systems for transmission of safety-related
messages. 21
Bibliography . 32
© ISO 2008 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 15998:2008(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 15998 was prepared by Technical Committee ISO/TC 127, Earth-moving machinery, Subcommittee SC 3,
Operation and maintenance.
iv © ISO 2008 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 15998:2008(E)
Introduction
Systems consisting of electrical and/or electronic components have been used for many years to perform
safety functions in most application sectors. Computer-based systems, generically referred to as
programmable electronic systems (PES), are at present being used in all application sectors to perform non-
safety-related and, increasingly, safety-related functions. If computer system technology is to be effectively
and safely exploited, it is essential that those responsible for making decisions have sufficient guidance on the
safety aspects on which to base these decisions.
This International Standard addresses systems comprising electrical and/or electronic and/or programmable
electronic components [electrical/electronic/programmable electronic systems (E/E/PES)] used for functional
safety in earth-moving machinery.
In most situations, safety is achieved by a number of protective systems which rely on many technologies (e.g.
mechanical, hydraulic, pneumatic, electrical, electronic, programmable electronic). Any safety strategy must
therefore consider not only all the elements within an individual system, such as sensors, controlling devices
and actuators, but also all the safety-related systems. Therefore, while this International Standard is
concerned with safety-related E/E/PES, it could also provide guidance for safety-related systems based on
other technologies.
This International Standard
⎯ has been conceived with a rapidly developing technology in mind, with a framework sufficiently robust
and comprehensive to meet the demands of that technology,
⎯ provides a method for the development of safety requirement specifications necessary to define the
required functional safety for E/E/PES, and
⎯ presents a methodology for specifying the target level of safety integrity for the safety functions to be
implemented by the E/E/PES, using a risk-based approach.
© ISO 2008 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 15998:2008(E)
Earth-moving machinery — Machine-control systems (MCS)
using electronic components — Performance criteria and tests
for functional safety
1 Scope
This International Standard specifies performance criteria and tests for functional safety of safety-related
machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment,
as defined in ISO 6165. The procedures of ECE R79, Annex 6, ISO 13849-1 or IEC 62061 can be used as an
alternative, provided verification and testing is carried out by the manufacturer using Clause 7 of this
International Standard.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 6165:2006, Earth-moving machinery — Basic types — Identification and terms and definitions
ISO 13766, Earth-moving machinery — Electromagnetic compatibility
IEC 60529, Degrees of protection provided by enclosures (IP Code)
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations
3 Terms, definitions and abbreviated terms
For the purposes of this document, the terms, definitions and abbreviations given in IEC 61508-4 and the
following apply.
3.1 Terms and definitions
3.1.1
earth-moving machinery
self-propelled or towed machine on wheels, crawlers or legs, having equipment or attachment (working tool),
or both, primarily designed to perform excavation, loading, transportation, drilling, spreading, compacting or
trenching of earth, rock and other materials
[ISO 6165:2006]
© ISO 2008 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 15998:2008(E)
3.1.2
machine-control system
MCS
system consisting of the components needed to fulfil the function of the system, including sensors, signal
processing unit, monitor, controls and actuators or several of these
NOTE The extent of the system is not limited to the electronic controls, but is defined by the machine-related function
of the complete system. It therefore consists generally of electronic, non-electronic and connection devices. This can
include mechanical, hydraulic, optical or pneumatic components/systems.
3.1.3
system unit
part of a machine-control system that contains any given number of components and/or parts integrated in
one or more units
EXAMPLE Control unit of the power shift transmission.
NOTE Generally, components and/or parts are installed in a common enclosure, but the system unit can also be built
as a mechanical composite with several functional elements.
3.1.4
connection devices
devices used for power supply and for the transmission of signals and data
3.1.5
basic function
〈machine-control system〉 controlling task
3.1.6
basic function
〈system unit〉 receiving of signals and data, processing and/or actuation
3.1.7
system function
any function that has to be processed by a machine-control system or system unit
NOTE In addition to the basic function, system functions include diagnostics, self-monitoring, signal processing and
data transmission to other systems.
3.1.8
safety concept
concept contained in a description of the methods designed into the system to address system performance
and safe operation in the event of a failure
3.1.9
safety-related machine-control systems
machine-control systems that control the safety-related functions of the machine
3.1.10
safe state
state automatically or manually applied after a malfunction of the machine-control system, where the
controlled equipment, process or system is stopped or switched to a safe mode to prevent unexpected
movements or the potentially hazardous build-up of stored energy (e.g. high-voltage electricity, hydraulic
pressures or compressed springs)
2 © ISO 2008 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 15998:2008(E)
3.1.11
well-tried component
component for a safety-related application which has been widely used in the past with successful results in
similar applications, and which has been made and verified using principles which demonstrate its suitability
and reliability for safety-related applications
NOTE 1 In some well-tried components, certain faults can also be excluded because the fault rate is known to be very
low.
NOTE 2 The decision to accept a particular component as well-tried depends on the application.
3.1.12
substitute function
function which allows a continuous process in the case of a malfunction or failure of the system
3.1.13
emergency motion function
function to be adopted in the case of a malfunction or failure of the system to allow the operator an emergency
motion
EXAMPLE Moving a machine off a public road.
3.1.14
programmable electronic system
PES
system for control, protection or monitoring based on one or more programmable electronic devices, including
all elements of the system, such as power supplies, sensors and other input devices, data busses and other
communication paths, and actuators and other output devices
3.2 Abbreviated terms
PES programmable electronic system
MCS machine-control systems
FMEA failure modes and effects analysis
FTA fault tree analysis
ETA event tree analysis
SIL safety integrity level (see IEC 61508-4:1998, 3.5.6)
IP Code international protection code
EMC electromagnetic compatibility (see ISO 13766:2006, 3.1)
OSI open systems interconnection
ASIC application-specific integrated circuit
RF radio-frequency
© ISO 2008 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 15998:2008(E)
4 General safety requirements
4.1 Application
The following performance criteria are valid for all safety-related machine-control systems using electronic
components. These performance criteria are applicable to any type of MCS.
4.2 Description of machine-control system
The system description and overview shall contain
⎯ a list of all system units used by the safety-related functions, and
⎯ a schematic layout of the connection devices and system units, representing the safety-related functions
of the machine-control system.
An example of the structure and content of the system description is given in Annex B.
The basic functions and their interfaces to other system units shall be specified for each system unit. This may
be done in schematic form or through a block diagram.
The connection shall be illustrated in a suitable way; for the electrical system, a circuit diagram is suitable.
The illustration shall unambiguously classify each connection device (e.g. wires) in relation to the system units
(e.g. by terminal identification).
The system units shall be marked by an identification code (e.g. numbers, symbols, characters), so that the
correlation between the illustration of the system and the MCS installed in the machine can be verified.
By using the identification code, the manufacturer proves that the system units are in agreement with the
documentation with regard to the basic function, safety concept and interfaces. The structure of the
identification code (e.g. alphanumerical) may be specified by the manufacturer, but shall be unambiguous.
The system description shall also include requirements for the environmental conditions during the intended
operation of the machine:
⎯ climatic conditions (temperature, humidity);
⎯ mechanical conditions (vibration, shock);
⎯ corrosion conditions (salt spray, gas pollution);
⎯ electrical conditions (over- and under-voltage);
⎯ electromagnetic conditions;
⎯ power-source-voltage fluctuation.
4.3 Description of basic function
The basic function of the machine-control system shall be specified in a short description, which may be
supported by graphical tools, such as functional schematic or block diagrams. The description shall contain
⎯ an enumeration of the input types and values of the MCS,
⎯ an enumeration of the controlled output types and values of the MCS,
4 © ISO 2008 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 15998:2008(E)
⎯ the open-loop- and closed-loop-control objectives and data/sensors used, and
⎯ the permissible operating and adjusting ranges.
4.4 Risk analysis and assessment
A risk analysis and assessment of the MCS shall be carried out using the systems description in accordance
with 4.2 to evaluate the hazards. This may be made in accordance with risk assessment methodologies such
as ISO 14121-1 or IEC 61508-5:1998, Annex D. An example is given in Annex A of this International Standard.
4.5 Performance criteria for the safety concept
The basic concept and system functions specified by the manufacturer for the safety concept of the machine
shall be taken into account during development and production of the machine-control system. The safety
concept includes all measures which provide for safe operation beyond the standard operation (for guidance,
see IEC 61508-2:2000, 7.2.3.1). These shall be listed in a generally understandable way, such as in the
following examples:
⎯ redundancy;
⎯ fault-detection procedures;
⎯ “safe state”, a safe state may initiate, for example, an emergency motion function (see 5.4).
A documented analysis shall be included, indicating the realization of the safety concept as described. This
may be done by an analysis (e.g. FMEA, FTA, ETA) or using equivalent methods suitable for the safety
concept of the MCS.
The manufacturer shall document the manner in which the validation of the systems logic has been made
during the development stage.
The transition from standard operation mode to safe state shall take into account the stability of the machine
and the minimization of the risk of injury to people.
The movement (active or passive) of the machine or its working equipment/attachment out of the hazardous
area or position in the case of a malfunction of the MCS should be possible.
4.6 Physical environment and operating conditions
4.6.1 General
The environmental conditions in which the machines are used shall be the basis for the specification of the
MCS.
4.6.2 Environment temperature and humidity
The machine-control system shall operate safely under the conditions described in 7.2.2.
Restrictions not having any influence on the safe functioning of the MCS are acceptable.
For special operating conditions of the machine and installation conditions of the electronic parts, other
environmental conditions may be specified by the manufacturer.
© ISO 2008 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO 15998:2008(E)
4.6.3 Degree of protection (IP Code)
Based on the installation conditions, the parts of the MCS carrying out the functional safety shall meet at least
the following degrees of protection, in accordance with IEC 60529:
1)
⎯ IP 66 for all electronic parts, which are fitted outside the machine or are exposed directly to
environmental influences.
For special operating conditions of the machine and installation conditions of the electronic parts, other
environmental conditions may be specified by the manufacturer.
4.6.4 Electromagnetic compatibility (EMC)
The machine-control system shall fulfil the requirements of ISO 13766.
4.6.5 Mechanical vibration and shock
The system units, components and parts of the MCS shall be designed and fitted so that their safe function is
maintained for vibration and shock loads during the typical operation of the machine.
See 7.2.3 and 7.2.4 for test conditions.
For special operating conditions of the machine and installation conditions of the electronic parts, other
environmental conditions may be specified by the manufacturer.
4.7 Emergency stop function
An emergency stop function shall be provided if the safety concept requires it. The emergency stop shall shift
the MCS or the system unit or the machine into a defined safe state, in the case of failure that could lead to a
hazardous motion or condition of the machine.
5 Additional requirements for safety-related machine-control systems
5.1 General
This clause applies to machine-control systems with safety-related functions that have a minimum SIL-Level 1
or equivalent (see A.3.2).
Machine-control systems with safety-related functions shall fulfil the following additional requirements in
accordance with the risk assessment.
5.2 Fault avoidance and fault control
5.2.1 IEC 61508-2:2000, Annexes A and B, or other comparable methods, shall be used as a guide to
measures and the techniques for the avoidance and control of faults.
5.2.2 Failures in a safety-related system vary essentially according to the time of their origin:
a) failures caused by faults originating before or during system installation, for example, software faults
include specification and program faults, hardware faults include manufacturing faults and incorrect
selection of components;
1) For special installation conditions, other degrees of protection may be selected, e.g. in the case of higher voltage,
malfunction by moisture, dirt or foreign-conductor particles which could lead to an unacceptable situation (risk).
6 © ISO 2008 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 15998:2008(E)
b) failures caused by faults or human errors originating during machine life/operation and, in general, after
system installation (e.g. random hardware failures, failures caused by incorrect use).
Failures of the type mentioned in a) can be detected, corrected and avoided by measures made during the
different phases of the life-cycle (see IEC 61508-2:2000, Annex B). The measures for failure avoidance are
primarily design and analytical procedures.
Failures of the type mentioned in b) can only be controlled during normal operation (see IEC 61508-2:2000,
Annex A). The measures for the control of those failures shall be integrated in the safety concept.
Some of the measures and techniques given in IEC 61508-2 are of basic importance (see Annexes A and B),
thus they should be used independently from the safety integrity level. Others should also be used
independently of this level. The effort required to realize these measures should be chosen such that the
effectiveness demanded by IEC 61508-2:2000, Tables B.1 to B.5 (low/medium/high), is achieved. All other
measures are replaceable in principle. They can be replaced individually or in connection with other measures.
5.3 Requirements for programmable electronic systems (PES)
The software shall be developed and validated according to appropriate measures (see, for example,
IEC 61508-3:1998, Annex A or ISO 13849-1:2006).
The concepts and the development methods and tools for programmable electronic systems (PES) used in
machine-control systems shall be documented.
5.4 Malfunction or failure of the electronic components used in machine-control systems
The entering of a safe state shall be achieved in the case of a malfunction or failure of the electronic
components used on machine-control systems, in accordance with risk assessment. Reduced system
performance or (a) substitute function(s) may be used to achieve a safe state as a part of the safety concept.
The safe state may be achieved by an automatic shift into a substituting function (see Figure 1). If this
transition is automatically applied by the MCS, then there shall be some form of indication to the operator,
such as alarms, indicators or derated performance (e.g. slow motion).
© ISO 2008 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO 15998:2008(E)
Figure 1 — Example for entering a safe state
5.5 Restart-up procedure
An automatic restart-up, in the case of a fault that disappears (de-validated by the MCS), shall not be allowed,
unless the evaluation of the risk assessment demonstrates that the safe operation can be maintained.
6 Documentation
The manufacturer shall retain, according to the manufacturer's record retention policy, all relevant documents
for the general safety requirements of the machine-control system in accordance with Clause 4. The
documentation shall include at least the following:
⎯ a description of the machine-control system in accordance with 4.2;
⎯ a description of the basic function in accordance with 4.3;
⎯ risk analysis and assessment in accordance with 4.4;
⎯ requirements for the safety concept in accordance with 4.5 (including block diagram with functional
description of each block, circuit diagram for external connection, description of external signals);
⎯ the test case and test results, in order to prove the complete fault-coverage test.
The documentation showing how the validation of the systems logic has been made during the development
stage (see 4.5) shall include
⎯ a block diagram with a functional description of each block, and
⎯ a circuit diagram for external connection, and description of external signals.
8 © ISO 2008 – All rights reserved
---------------------- Page: 13 ----------------------
ISO 15998:2008(E)
A verification of the safety concept for safety-related machine-control systems in accordance with Clause 5 is
based on a detailed documentation of the safety-related part of the system. This may be in the form of
⎯ circuit diagrams for internal electronic circuits with a description of the individual blocks and components,
⎯ a functional description of the circuit diagrams,
⎯ parts lists, including parts identification and names of the individual positions, rating values and
tolerances,
⎯ a description of the relevant loads, type nomination and manufacturer of the components, data sheets for
special and critical components, and
⎯ a failure mode and effects analysis of the fault conditions.
7 Tests for safety-related MCS
7.1 General
The tests given in 7.2, which are intended to meet the general requirements in accordance with Clause 4, are
recommended for MCS; however, alternative means for verification are also permitted. Tests may be
performed at the system unit level (e.g. sub-assembly) of the MCS and sequentially. The verification shall
demonstrate that the MCS operates as intended under the machine's specified operating conditions (design
specifications).
7.2 Tests of machine-control systems
7.2.1 Test content
The tests are as follows:
a) test of basic functions (see function and system description in accordance with 4.2 and description of the
basic function in accordance with 4.3);
b) entering of safe-state test (see 5.4);
c) functional test at operating temperature and humidity in accordance with 4.6.2 and 7.2.2;
d) EMC test in accordance with 4.6.4;
e) shock and vibration tests in accordance with 4.6.5, 7.2.3 and 7.2.4.
7.2.2 Test of the function at environmental temperature and humidity
The complete functionality of the components of the safety-related machine-control system shall be tested to
meet the performance requirements of 4.6.2, in accordance with either the manufacturer's specifications or
with guidance from IEC 60068-2-14, for the following environmental conditions:
⎯ environmental temperature of − 25 °C;
⎯ environmental temperature of + 70 °C;
⎯ relative humidity of 30 %;
⎯ relative humidity of 95 %.
© ISO 2008 – All rights reserved 9
---------------------- Page: 14 ----------------------
ISO 15998:2008(E)
The temperature change should be 1 °C per 3 min. Two temperature-test cycles are required.
The maximum nominal voltage should be chosen during the heat-up and at the maximum environmental
temperature, and the minimum nominal voltage should be chosen at the lowest environmental temperature.
The test load at the maximum environmental temperature should be 3/4 and at the maximum value of the
maximum operating load for each 1 h cycle. The function should also be checked during these tests.
7.2.3 Vibration test
7.2.3.1 The components of the MCS should be tested in the same position and with the same mountings
as those fitted on the machine.
7.2.3.2 The tests should be performed in accordance with IEC 60068-2-6 at the following sine-shaped
sweep or in accordance with the manufacturer's specifications, such that they meet the special conditions of
4.6.2, 4.6.3 and 4.6.5:
Frequency range (f): 5 Hz to 200 Hz
The relation between amplitude and acceleration is given in Table 1.
Table 1
Frequency Engine compartment All other locations
f < f amplitude ± 21 mm amplitude ± 15 mm
T
2 2
f W f acceleration = 70 m/s (7g) acceleration = 50 m/s (5g)
T
amplitude < ± 21 mm amplitude < ± 15 mm
Transition frequency (f ): 8 Hz to 9 Hz
T
Number of frequency cycles: 20
Sweep rate: 1 octave/min
An interruption of the frequency cycles is allowed.
The test should be performed in axes perpendicular to each other, such that one of the axes is the same as
the longitudinal axis of the machine.
7.2.3.3 The test specimen shall be supplied with the nominal voltage and a defined functional test shall
be made during the test procedure. There shall be no loss of the safety function.
7.2.3.4 There shall be no cracks or deformations and the whole MCS shall be functional after the test.
7.2.4 Shock test
Shock testing should be performed either in accordance with the manufacturer's specifications or under the
guidance of IEC 60068-2-27.
The test specimen should be fixed to the test equipment with the same mountings as fitted at the machine. It
should be tightened as specified by the machine manufacturer. The minimum shock load shall be in
2
accordance with the manufacturer's specifications (e.g. an acceleration of 150 m/s (15 g) with an 11 ms pulse
2
duration, or preferably 300 m/s (30 g) with an 18 ms pulse duration).
10 © ISO 2008 – All rights reserved
---------------------- Pag
...
NORME ISO
INTERNATIONALE 15998
Première édition
2008-04-15
Engins de terrassement — Systèmes de
contrôle-commande utilisant des
composants électroniques — Critères et
essais de performances de sécurité
fonctionnelle
Earth-moving machinery — Machine-control systems (MCS) using
electronic components — Performance criteria and tests for functional
safety
Numéro de référence
ISO 15998:2008(F)
©
ISO 2008
---------------------- Page: 1 ----------------------
ISO 15998:2008(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2008
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2008 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 15998:2008(F)
Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application. 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
4 Exigences générales de sécurité . 4
5 Exigences supplémentaires relatives aux systèmes de contrôle-commande relatifs à la
sécurité . 6
6 Documentation. 8
7 Essais pour les MCS relatifs à la sécurité. 9
Annexe A (informative) Recommandations pour l'estimation du risque. 12
Annexe B (informative) Exemple d'un schéma de défaillance d'une spécification du système. 18
Annexe C (informative) Liste des composants éprouvés . 19
Annexe D (informative) Recommandations pour systèmes bus pour la transmission de messages
relatifs à la sécurité . 22
Bibliographie . 34
© ISO 2008 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 15998:2008(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 15998 a été élaborée par le comité technique ISO/TC 127, Engins de terrassement, sous-comité SC 3,
Emploi et entretien.
iv © ISO 2008 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 15998:2008(F)
Introduction
Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des fonctions liées à la
sécurité dans la plupart des secteurs d'application. Des systèmes à base d'informatique [que l'on nommera de
façon générique systèmes électroniques programmables (PES)] sont actuellement utilisés dans tous les
secteurs d'application pour exécuter des fonctions non liées à la sécurité, mais aussi de plus en plus souvent,
liées à la sécurité. Si l'on veut exploiter efficacement et en toute sécurité la technologie des systèmes
informatiques, il est indispensable de fournir à tous les responsables suffisamment d'éléments liés à la
sécurité pour les guider dans leurs prises de décisions.
La présente Norme internationale établit des recommandations pour les systèmes électriques et/ou
électroniques et/ou avec des organes constitutifs électroniques programmables [systèmes
électriques/électroniques/électroniques programmables (E/E/PES)] qui sont utilisés pour la sécurité
fonctionnelle avec les engins de terrassement.
Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de protection fondés sur
diverses technologies (par exemple mécanique, hydraulique, pneumatique, électrique, électronique,
électronique programmable). En conséquence, toute stratégie de sécurité doit non seulement prendre en
compte tous les éléments d'un système individuel (par exemple les capteurs, les appareils de commande et
les actionneurs), mais également tous les systèmes relatifs à la sécurité. C'est pourquoi la présente Norme
internationale, bien que traitant essentiellement des systèmes électriques/électroniques/électroniques
programmables (E/E/PES) relatifs à la sécurité, fournit néanmoins des orientations de sécurité susceptible de
concerner les systèmes relatifs à la sécurité basés sur d'autres technologies.
La présente Norme internationale
⎯ a été élaborée dans le souci de l'évolution rapide des technologies; le cadre fourni par la présente Norme
internationale est suffisamment solide et étendu pour cette situation,
⎯ fournit une méthode de développement des exigences de sécurité nécessaires pour définir la sécurité
fonctionnelle requise des systèmes E/E/PE,
⎯ donne la méthodologie afin de spécifier le niveau cible d'intégrité de sécurité des fonctions de sécurité
devant être réalisées par les systèmes E/E/PE, en utilisant l'approche fondée sur le risque.
© ISO 2008 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO 15998:2008(F)
Engins de terrassement — Systèmes de contrôle-commande
utilisant des composants électroniques — Critères et essais de
performances de sécurité fonctionnelle
1 Domaine d'application
La présente Norme internationale spécifie les critères et les essais de performances de sécurité fonctionnelle,
relatifs au développement des systèmes de contrôle-commande de sécurité, utilisant des composants
électroniques dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165. Les
modes opératoires de l'ECE R79, Annexe 6, de l'ISO 13849-1 ou de la CEI 62061 peuvent être utilisées en
alternative pour peu qu'une vérification et un essai soient menés par le constructeur en utilisant l'Article 7 de
la présente Norme internationale.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 6165:2006, Engins de terrassement — Principaux types — Identification et termes et définitions
ISO 13766, Engins de terrassement — Compatibilité électromagnétique
ISO 14121-1, Sécurité des machines — Appréciation du risque — Partie 1: Principes
CEI 60529, Degrés de protection procurés par les enveloppes (code IP)
CEI 61508-4:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 4: Définitions et abréviations
CEI 61508-5:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 5: Exemples de méthodes de détermination des niveaux
d'intégrité de sécurité
CEI 61508-7:2000, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 7: Présentation de techniques et mesures
3 Termes, définitions et abréviations
Pour les besoins du présent document, les termes, les définitions et les abréviations donnés dans la
CEI 61508-4 ainsi que les suivants s'appliquent.
© ISO 2008 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO 15998:2008(F)
3.1 Termes et définitions
3.1.1
engin de terrassement
engin automoteur ou tracté, à roues, à chenilles ou à jambes, ayant un équipement, des accessoires (outil) ou
les deux, principalement conçu pour assurer des opérations de creusement, de chargement, de transport, de
forage, d'épandage, de compactage ou de tranchage de terre, de roche et d'autres matériaux
NOTE Adapté de ISO 6165:2006, définition 3.1.
3.1.2
systèmes de contrôle-commande
MCS
systèmes de contrôle-commande comprenant plusieurs composants nécessaires à l'exécution de la fonction
du système comprenant généralement des capteurs, une unité de traitement des signaux, des commandes et
des actionneurs
NOTE L'étendue du système ne se limite pas aux commandes électroniques, mais est définie par la fonction relative
à la machine du système complet. Elle comprend par conséquent généralement des dispositifs électroniques, non
électroniques et de connexion. Elle peut comprendre des composants/des systèmes qui peuvent être électroniques,
mécaniques, hydrauliques, optiques ou pneumatiques.
3.1.3
unité système
partie d'un système de contrôle-commande comprenant tout nombre donné de composants et/ou de pièces
intégrés en une ou plusieurs unités
EXEMPLE Unité de commande de la boîte automatique.
NOTE Les composants et/ou les pièces sont généralement disposés dans une enceinte commune, mais l'unité
système peut également être constituée sous forme de composite mécanique avec plusieurs éléments fonctionnels.
3.1.4
dispositifs de connexion
dispositifs utilisés pour l'alimentation électrique et pour la transmission des signaux et des données
3.1.5
fonction de base
〈système de contrôle-commande〉 commande de la (des) tâche(s)
3.1.6
fonction de base
〈unité système〉 recevant les signaux et les données, les traitant et/ou les actionnant
3.1.7
fonction système
toute fonction devant être traitée par un système de contrôle-commande ou une unité système
NOTE Outre la fonction de base, les fonctions système comprennent le diagnostic, l'autosurveillance, le traitement
des signaux et la transmission des données à d'autres systèmes.
3.1.8
concept de sécurité
concept contenu dans la description des méthodes intrinsèques au système traitant des performances de ce
dernier et du fonctionnement en toute sécurité dudit système en cas de panne
3.1.9
systèmes de contrôle-commande relatifs à la sécurité
〈systèmes de contrôle-commande〉 régulant les fonctions de la machine relatives à la sécurité
2 © ISO 2008 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 15998:2008(F)
3.1.10
état de sécurité
état appliqué automatiquement ou manuellement après un dysfonctionnement du système de contrôle-
commande lorsque l'équipement, le procédé ou le système commandé est interrompu ou commuté en mode
sécurité afin de prévenir tout mouvement intempestif ou d'éviter l'accumulation d'énergie potentiellement
dangereuse (par exemple électricité sous haute tension, pressions hydrauliques ou ressorts comprimés)
3.1.11
composant éprouvé
composant pour utilisation relative à la sécurité qui a été largement utilisé dans le passé avec des résultats
satisfaisants pour des utilisations similaires et qui a été fabriqué et vérifié en utilisant les principes qui
démontrent qu'il est adapté et fiable pour les utilisations relatives à la sécurité
NOTE 1 Pour quelques composants éprouvés, certains défauts peuvent également être exclus car le taux de
défaillance est connu pour être très faible.
NOTE 2 La décision d'accepter un composant particulier comme composant éprouvé dépend de son utilisation.
3.1.12
fonction de remplacement
fonction permettant l'existence d'un procédé continu en cas de dysfonctionnement ou de défaillance du
système
3.1.13
fonction de mouvement d'urgence
fonction à adopter en cas de dysfonctionnement ou de défaillance du système afin de permettre à l'opérateur
d'exécuter un mouvement d'urgence (de l'engin)
EXEMPLE Dégager un engin de la voie publique.
3.1.14
système programmable électronique
PES
système de commande, de protection ou de surveillance basé sur un ou plusieurs dispositifs électroniques
programmables, y compris tous les éléments du système tels que les alimentations en énergie, les capteurs
et autres périphériques d'entrée, les bus de données et autres circuits de communication, et les actionneurs
et autres dispositifs de sortie
3.2 Abréviations
PES système programmable électronique
MCS systèmes de contrôle-commande
FMEA analyse des modes de défaillance et leurs effets
FTA arbre des défaillances
ETA arbre des événements
SIL niveau d'intégrité de sécurité (voir la CEI 61508-4:1998, 3.5.6)
Code IP degré de protection IP
CEM compatibilité électromagnétique (voir l'ISO 13766:2006, 3.1)
OSI dispositifs de connexion ouverts
ASIC circuit intégré à application spécifique
RF radiofréquence
© ISO 2008 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO 15998:2008(F)
4 Exigences générales de sécurité
4.1 Application
Les critères de performances suivants sont valables pour tous les systèmes de contrôle-commande, utilisant
des composants électroniques, relatifs à la sécurité. Ces critères de performance peuvent être appliqués à
tout type de MCS.
4.2 Description du système de contrôle-commande
La description et la définition générale du système doivent comprendre
⎯ une liste de toutes les unités système qui sont utilisées pour des fonctions relatives à la sécurité, et
⎯ un schéma des dispositifs de connexion et des unités système, représentatif des fonctions relatives à la
sécurité du système de contrôle-commande.
Un exemple de la structure et du contenu de la description du système est donné dans l'Annexe B.
Les fonctions de base et leurs interfaces avec d'autres unités système doivent être spécifiées pour chaque
unité système. Cette spécification peut se présenter sous la forme d'un schéma ou d'un organigramme.
La connexion doit être illustrée de manière appropriée; un schéma de circuits convient dans le cas du
système électrique.
Le schéma doit classer sans aucune ambiguïté chaque dispositif de connexion (par exemple câbles) aux
unités système (par exemple par l'identification des bornes).
Les unités système doivent être marquées par des codes d'identification (par exemple numéros, symboles,
caractères) de manière à pouvoir vérifier la corrélation entre l'illustration des systèmes et le MCS installé sur
la machine.
Le constructeur démontre, en utilisant les codes d'identification, que les unités système sont conformes à la
documentation concernant la fonction de base, le concept de sécurité et les interfaces. La structure des codes
d'identification (par exemple alphanumérique) peut être spécifiée par le constructeur mais doit être dépourvue
de toute ambiguïté.
La description du système doit également comprendre les exigences relatives aux conditions ambiantes en
cours d'exploitation prévue de la machine:
⎯ conditions climatiques (température, humidité);
⎯ conditions mécaniques (vibrations, choc);
⎯ conditions de corrosion (brouillard salin, gaz polluant);
⎯ conditions électriques (sur et sous-tension);
⎯ conditions électromagnétiques;
⎯ fluctuation de tension de la source d'alimentation.
4 © ISO 2008 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 15998:2008(F)
4.3 Description de la fonction de base
La fonction de base du système de contrôle-commande doit être spécifiée dans une description succincte,
pouvant être appuyée par des outils graphiques tels que des schémas fonctionnels ou des organigrammes.
La description doit comprendre
⎯ le recensement des types et valeurs d'entrée du MCS;
⎯ le recensement des types et valeurs de sortie contrôlées du MCS;
⎯ les objectifs de commande en boucle ouverte et en boucle fermée et données/capteurs utilisés;
⎯ les plages de fonctionnement et de réglage admissibles.
4.4 Analyse et estimation du risque
Le MCS doit faire l'objet d'une analyse et d'une estimation du risque en utilisant la description du système
conformément à 4.2 afin d'évaluer les phénomènes dangereux. Ces dernières peuvent être effectuées
conformément à des méthodes d'estimation du risque telles que celles données dans l'ISO 14121-1 ou dans
la CEI 61508-5:1998, Annexe D. Un exemple est donné dans l'Annexe A de la présente Norme internationale.
4.5 Critères de performances applicables au concept de sécurité
Le développement et la production du système de contrôle-commande doivent tenir compte du concept et des
fonctions système de base spécifiés par le constructeur pour le concept de sécurité de la machine. Ledit
concept comprend toutes les mesures qui permettent un fonctionnement en toute sécurité au-delà d'une
exploitation normale (pour des conseils se reporter à la CEI 61508-2:2000, 7.2.3.1). Ces mesures doivent être
énumérées d'une manière générale et compréhensible comme les exemples suivants:
⎯ redondance;
⎯ procédures de détection des anomalies;
⎯ «état de sécurité», un état de sécurité peut par exemple déclencher une fonction de mouvement
d'urgence (voir 5.4).
Ceci comprend une analyse documentée indiquant la réalisation effective du concept de sécurité tel que décrit.
Cette analyse peut prendre la forme d'une analyse (par exemple FMEA, FTA, ETA) ou des méthodes
similaires, qui sont appropriées au concept de sécurité du MCS.
Le constructeur doit documenter la méthode de validation de la logique du système au cours de la phase de
développement.
La transition du mode de fonctionnement normal à un état de sécurité doit prendre en considération la stabilité
de la machine et réduire au minimum le risque de blessure des personnes.
Il convient que le mouvement (actif ou passif) de la machine ou de son matériel/ses accessoires de service en
dehors de la zone ou de la position dangereuse dans le cas d'un dysfonctionnement du MCS soit possible.
4.6 Environnement physique et conditions d'exploitation
4.6.1 Généralités
Il convient que les conditions environnementales dans lesquelles les engins sont utilisés soient la base de la
spécification du MCS.
© ISO 2008 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO 15998:2008(F)
4.6.2 Température et humidité ambiantes
Le système de contrôle-commande des engins de terrassement doit fonctionner en toute sécurité dans les
conditions décrites en 7.2.2.
Des restrictions, n'exerçant aucune influence sur la fonction de sécurité du MCS, peuvent être acceptées.
Pour des conditions de fonctionnement spéciales de l'engin et des conditions d'installation des pièces
électroniques, d'autres conditions environnementales peuvent être spécifiées par le constructeur.
4.6.3 Degré de protection (Code IP)
Les pièces du MCS réalisant la sécurité fonctionnelle, sur la base des conditions d'installation, doivent
satisfaire au moins aux degrés de protection suivants, conformément à la CEI 60529:
1)
⎯ IP 66 pour toutes les pièces électroniques, installées à l'extérieur de la machine ou directement
exposées aux influences de l'environnement.
Pour des conditions de fonctionnement de l'engin et des conditions d'installation des pièces électroniques,
d'autres conditions environnementales peuvent être spécifiées par le constructeur.
4.6.4 Compatibilité électromagnétique (CEM)
Le système de contrôle-commande doit satisfaire aux exigences de l'ISO 13766.
4.6.5 Vibrations et chocs mécaniques
Les unités système, les composants et pièces du MCS utilisés sur les engins de terrassement doivent être
conçus et installés de sorte que leur fonction de sécurité soit maintenue pour les charges dues aux vibrations
et chocs pendant l'exploitation type de l'engin.
Voir 7.2.3 et 7.2.4 pour les conditions d'essai.
Pour des conditions de fonctionnement spéciales de l'engin et des conditions d'installation des pièces
électroniques, d'autres conditions environnementales peuvent être spécifiées par le constructeur.
4.7 Fonction d'arrêt d'urgence
Une fonction d'arrêt d'urgence doit être prévue lorsque le concept de sécurité le requiert. L'arrêt d'urgence doit
commuter le MCS, l'unité système ou la machine en un état de sécurité défini en cas de défaillance pouvant
entraîner un mouvement ou un état dangereux de la machine.
5 Exigences supplémentaires relatives aux systèmes de contrôle-commande
relatifs à la sécurité
5.1 Généralités
Le présent article s'applique aux systèmes de contrôle-commande avec des fonctions de sécurité ayant un
niveau SIL = 1 ou équivalent (voir A.3.2).
Les systèmes de contrôle-commande avec fonctions relatives à la sécurité doivent satisfaire les exigences
supplémentaires suivantes selon l'estimation des risques.
1) Pour des conditions spéciales d'installation, d'autres degrés de protection peuvent être sélectionnés, par exemple en
cas de plus haute tension, disfonctionnement dû à l'humidité, saletés ou particules extérieures conductrices qui pourraient
entraîner une situation inacceptable (risque).
6 © ISO 2008 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO 15998:2008(F)
5.2 Évitement et maîtrise des anomalies
5.2.1 Les Annexes A et B de la CEI 61508-2:2000 ou d'autres méthodes comparables, doivent être utilisées
comme un guide applicable aux mesures et aux techniques relatives à l'évitement et à la maîtrise des
anomalies.
5.2.2 Les défaillances observées au niveau d'un système relatif à la sécurité varient essentiellement en
fonction du moment de leur apparition (origine):
a) défaillances dues à des anomalies apparaissant avant ou pendant l'installation du système (par exemple
les anomalies logicielles comprennent des anomalies de spécification et de programme, les anomalies
matérielles comprennent des anomalies de fabrication et une sélection de composants incorrecte);
b) défaillances dues à des anomalies ou à des erreurs humaines apparaissant pendant la vie/l'exploitation
de l'engin et généralement après l'installation du système (par exemple des défaillances aléatoires du
matériel ou des défaillances dues à une utilisation incorrecte).
Les défaillances du type décrit en a) peuvent être décelées, corrigées et évitées par l'adoption de mesures
lors des différentes phases du cycle de vie (voir la CEI 61508-2:2000, Annexe B). Les mesures applicables à
l'évitement des défaillances sont des procédures essentiellement de conception et analytiques.
Les défaillances du type décrit en b) peuvent être maîtrisées uniquement lors d'une exploitation normale (voir
CEI 61508-2:2000, Annexe A). Les mesures applicables à la maîtrise de ces défaillances doivent être
intégrées au concept de sécurité.
Certaines mesures et techniques décrites dans la CEI 61508-2 sont d'une importance essentielle (voir les
Annexes A et B), il convient qu'elles soient ainsi employées indépendamment du niveau d'intégrité de sécurité.
Il convient d'employer d'autres mesures et techniques indépendamment du niveau d'intégrité de sécurité. Il
convient que l'effort requis pour la réalisation effective de ces mesures permette d'obtenir l'efficacité exigée
dans la CEI 61508-2:2000, Tableaux B.1 à B.5 (faible/moyenne/élevée). Toutes les autres mesures peuvent
être remplacées en principe, soit de manière individuelle, soit associées à d'autres mesures.
5.3 Exigences relatives aux systèmes électroniques programmables (PES)
Le logiciel doit être développé et validé suivant les mesures appropriées (voir, par exemple, la
CEI 61508-3:1998, Annexe A ou l'ISO 13849-1).
Les concepts et les méthodes, et les outils de développement applicables aux systèmes électroniques
programmables (PES) utilisés dans les systèmes de contrôle-commande doivent être documentés.
5.4 Dysfonctionnement ou défaillance des composants électroniques utilisés avec les
systèmes de contrôle-commande
L'adoption d'un état de sécurité doit être réalisée en cas de dysfonctionnement ou de défaillance des
composants électroniques utilisés avec le système de contrôle-commande suivant l'estimation du risque. Une
performance réduite du système ou l'utilisation de fonction(s) de substitution peuvent être utilisées pour
parvenir à un état sûr en tant que partie du concept de sécurité.
L'état de sécurité peut être atteint par une permutation automatique vers une fonction de remplacement (voir
la Figure 1). Si cette transition est appliquée par le MCS alors, il doit y avoir une forme quelconque
d'indication pour l'opérateur telle que alarmes, indicateurs ou performance réduite (par exemple vitesse lente).
© ISO 2008 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
ISO 15998:2008(F)
Figure 1 — Exemple d'adoption d'un état de sécurité
5.5 Procédure de redémarrage
Une procédure de redémarrage, en cas de disparition d'un défaut (invalidé par le MCS) ne doit pas être
autorisé à moins que l'estimation du risque démontre que le fonctionnement sûr peut être maintenu.
6 Documentation
Le constructeur doit conserver, selon sa politique de préservation des enregistrements, tous les documents
applicables pour les exigences générales de sécurité du système de contrôle-commande conformément à
l'Article 4. La documentation doit comprendre au moins les documents suivants:
⎯ description du système de contrôle-commande conformément à 4.2;
⎯ description de la fonction de base conformément à 4.3;
⎯ analyse du risque et estimation du risque conformément à 4.4;
⎯ exigences pour le concept de sécurité conformément à 4.5 (y compris un organigramme avec une
description fonctionnelle de chaque bloc et un schéma de circuits pour une connexion externe, la
description des signaux externes);
⎯ conditions et résultat d'essai de façon à prouver la complétude de l'essai concernant les défauts.
La documentation sur la façon dont la validation des systèmes logiques ont été réalisés pendant l'étape de
développement (voir 4.5) doit comprendre ce qui suit:
⎯ un organigramme avec une description fonctionnelle de chaque bloc;
⎯ un schéma de circuits pour une connexion externe, la description des signaux externes.
8 © ISO 2008 – Tous droits réservés
---------------------- Page: 13 ----------------------
ISO 15998:2008(F)
La vérification du concept de sécurité applicable aux systèmes de contrôle-commande relatifs à la sécurité
conformément à l'Article 5 est fondée sur une documentation détaillée de la pièce du système relative à la
sécurité. Cela peut se présenter sous la forme
⎯ de schémas de circuits applicables aux circuits électroniques internes avec une description des blocs et
des composants individuels;
⎯ d'une de
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.