Earth-moving machinery -- Machine-control systems (MCS) using electronic components -- Performance criteria and tests for functional safety

ISO 15998:2008 specifies performance criteria and tests for functional safety of safety-related machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment, as defined in ISO 6165.

Engins de terrassement -- Systèmes de contrôle-commande utilisant des composants électroniques -- Critères et essais de performances de sécurité fonctionnelle

L'ISO 15998:2008 spécifie les critčres et les essais de performances de sécurité fonctionnelle, relatifs au développement des systčmes de contrôle-commande de sécurité, utilisant des composants électroniques dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165.

General Information

Status
Published
Publication Date
01-Apr-2008
Current Stage
6060 - International Standard published
Start Date
19-Mar-2008
Completion Date
02-Apr-2008
Ref Project

RELATIONS

Buy Standard

Standard
ISO 15998:2008 - Earth-moving machinery -- Machine-control systems (MCS) using electronic components -- Performance criteria and tests for functional safety
English language
33 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 15998:2008 - Engins de terrassement -- Systemes de contrôle-commande utilisant des composants électroniques -- Criteres et essais de performances de sécurité fonctionnelle
French language
35 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO
STANDARD 15998
First edition
2008-04-15
Earth-moving machinery — Machine-
control systems (MCS) using electronic
components — Performance criteria and
tests for functional safety
Engins de terrassement — Systèmes de contrôle-commande utilisant
des composants électroniques — Critères et essais de performances
de sécurité fonctionnelle
Reference number
ISO 15998:2008(E)
ISO 2008
---------------------- Page: 1 ----------------------
ISO 15998:2008(E)
PDF disclaimer

This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but

shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In

downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat

accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.

Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation

parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In

the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

COPYRIGHT PROTECTED DOCUMENT
© ISO 2008

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,

electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or

ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2008 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 15998:2008(E)
Contents Page

Foreword............................................................................................................................................................ iv

Introduction ........................................................................................................................................................ v

1 Scope ..................................................................................................................................................... 1

2 Normative references ........................................................................................................................... 1

3 Terms, definitions and abbreviated terms ......................................................................................... 1

4 General safety requirements ............................................................................................................... 4

5 Additional requirements for safety-related machine-control systems ........................................... 6

6 Documentation...................................................................................................................................... 8

7 Tests for safety-related MCS ............................................................................................................... 9

Annex A (informative) Guidance for risk assessment.................................................................................. 12

Annex B (informative) Example of schematic breakdown of systems specification ................................ 17

Annex C (informative) List of well-tried components ................................................................................... 18

Annex D (informative) Recommendations for bus-systems for transmission of safety-related

messages............................................................................................................................................. 21

Bibliography ..................................................................................................................................................... 32

© ISO 2008 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 15998:2008(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies

(ISO member bodies). The work of preparing International Standards is normally carried out through ISO

technical committees. Each member body interested in a subject for which a technical committee has been

established has the right to be represented on that committee. International organizations, governmental and

non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the

International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.

International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.

The main task of technical committees is to prepare International Standards. Draft International Standards

adopted by the technical committees are circulated to the member bodies for voting. Publication as an

International Standard requires approval by at least 75 % of the member bodies casting a vote.

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent

rights. ISO shall not be held responsible for identifying any or all such patent rights.

ISO 15998 was prepared by Technical Committee ISO/TC 127, Earth-moving machinery, Subcommittee SC 3,

Operation and maintenance.
iv © ISO 2008 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 15998:2008(E)
Introduction

Systems consisting of electrical and/or electronic components have been used for many years to perform

safety functions in most application sectors. Computer-based systems, generically referred to as

programmable electronic systems (PES), are at present being used in all application sectors to perform non-

safety-related and, increasingly, safety-related functions. If computer system technology is to be effectively

and safely exploited, it is essential that those responsible for making decisions have sufficient guidance on the

safety aspects on which to base these decisions.

This International Standard addresses systems comprising electrical and/or electronic and/or programmable

electronic components [electrical/electronic/programmable electronic systems (E/E/PES)] used for functional

safety in earth-moving machinery.

In most situations, safety is achieved by a number of protective systems which rely on many technologies (e.g.

mechanical, hydraulic, pneumatic, electrical, electronic, programmable electronic). Any safety strategy must

therefore consider not only all the elements within an individual system, such as sensors, controlling devices

and actuators, but also all the safety-related systems. Therefore, while this International Standard is

concerned with safety-related E/E/PES, it could also provide guidance for safety-related systems based on

other technologies.
This International Standard

⎯ has been conceived with a rapidly developing technology in mind, with a framework sufficiently robust

and comprehensive to meet the demands of that technology,

⎯ provides a method for the development of safety requirement specifications necessary to define the

required functional safety for E/E/PES, and

⎯ presents a methodology for specifying the target level of safety integrity for the safety functions to be

implemented by the E/E/PES, using a risk-based approach.
© ISO 2008 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 15998:2008(E)
Earth-moving machinery — Machine-control systems (MCS)
using electronic components — Performance criteria and tests
for functional safety
1 Scope

This International Standard specifies performance criteria and tests for functional safety of safety-related

machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment,

as defined in ISO 6165. The procedures of ECE R79, Annex 6, ISO 13849-1 or IEC 62061 can be used as an

alternative, provided verification and testing is carried out by the manufacturer using Clause 7 of this

International Standard.
2 Normative references

The following referenced documents are indispensable for the application of this document. For dated

references, only the edition cited applies. For undated references, the latest edition of the referenced

document (including any amendments) applies.

ISO 6165:2006, Earth-moving machinery — Basic types — Identification and terms and definitions

ISO 13766, Earth-moving machinery — Electromagnetic compatibility
IEC 60529, Degrees of protection provided by enclosures (IP Code)

IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related

systems — Part 4: Definitions and abbreviations
3 Terms, definitions and abbreviated terms

For the purposes of this document, the terms, definitions and abbreviations given in IEC 61508-4 and the

following apply.
3.1 Terms and definitions
3.1.1
earth-moving machinery

self-propelled or towed machine on wheels, crawlers or legs, having equipment or attachment (working tool),

or both, primarily designed to perform excavation, loading, transportation, drilling, spreading, compacting or

trenching of earth, rock and other materials
[ISO 6165:2006]
© ISO 2008 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 15998:2008(E)
3.1.2
machine-control system
MCS

system consisting of the components needed to fulfil the function of the system, including sensors, signal

processing unit, monitor, controls and actuators or several of these

NOTE The extent of the system is not limited to the electronic controls, but is defined by the machine-related function

of the complete system. It therefore consists generally of electronic, non-electronic and connection devices. This can

include mechanical, hydraulic, optical or pneumatic components/systems.
3.1.3
system unit

part of a machine-control system that contains any given number of components and/or parts integrated in

one or more units
EXAMPLE Control unit of the power shift transmission.

NOTE Generally, components and/or parts are installed in a common enclosure, but the system unit can also be built

as a mechanical composite with several functional elements.
3.1.4
connection devices
devices used for power supply and for the transmission of signals and data
3.1.5
basic function
〈machine-control system〉 controlling task
3.1.6
basic function
〈system unit〉 receiving of signals and data, processing and/or actuation
3.1.7
system function
any function that has to be processed by a machine-control system or system unit

NOTE In addition to the basic function, system functions include diagnostics, self-monitoring, signal processing and

data transmission to other systems.
3.1.8
safety concept

concept contained in a description of the methods designed into the system to address system performance

and safe operation in the event of a failure
3.1.9
safety-related machine-control systems
machine-control systems that control the safety-related functions of the machine
3.1.10
safe state

state automatically or manually applied after a malfunction of the machine-control system, where the

controlled equipment, process or system is stopped or switched to a safe mode to prevent unexpected

movements or the potentially hazardous build-up of stored energy (e.g. high-voltage electricity, hydraulic

pressures or compressed springs)
2 © ISO 2008 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 15998:2008(E)
3.1.11
well-tried component

component for a safety-related application which has been widely used in the past with successful results in

similar applications, and which has been made and verified using principles which demonstrate its suitability

and reliability for safety-related applications

NOTE 1 In some well-tried components, certain faults can also be excluded because the fault rate is known to be very

low.

NOTE 2 The decision to accept a particular component as well-tried depends on the application.

3.1.12
substitute function

function which allows a continuous process in the case of a malfunction or failure of the system

3.1.13
emergency motion function

function to be adopted in the case of a malfunction or failure of the system to allow the operator an emergency

motion
EXAMPLE Moving a machine off a public road.
3.1.14
programmable electronic system
PES

system for control, protection or monitoring based on one or more programmable electronic devices, including

all elements of the system, such as power supplies, sensors and other input devices, data busses and other

communication paths, and actuators and other output devices
3.2 Abbreviated terms
PES programmable electronic system
MCS machine-control systems
FMEA failure modes and effects analysis
FTA fault tree analysis
ETA event tree analysis
SIL safety integrity level (see IEC 61508-4:1998, 3.5.6)
IP Code international protection code
EMC electromagnetic compatibility (see ISO 13766:2006, 3.1)
OSI open systems interconnection
ASIC application-specific integrated circuit
RF radio-frequency
© ISO 2008 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 15998:2008(E)
4 General safety requirements
4.1 Application

The following performance criteria are valid for all safety-related machine-control systems using electronic

components. These performance criteria are applicable to any type of MCS.
4.2 Description of machine-control system
The system description and overview shall contain
⎯ a list of all system units used by the safety-related functions, and

⎯ a schematic layout of the connection devices and system units, representing the safety-related functions

of the machine-control system.

An example of the structure and content of the system description is given in Annex B.

The basic functions and their interfaces to other system units shall be specified for each system unit. This may

be done in schematic form or through a block diagram.

The connection shall be illustrated in a suitable way; for the electrical system, a circuit diagram is suitable.

The illustration shall unambiguously classify each connection device (e.g. wires) in relation to the system units

(e.g. by terminal identification).

The system units shall be marked by an identification code (e.g. numbers, symbols, characters), so that the

correlation between the illustration of the system and the MCS installed in the machine can be verified.

By using the identification code, the manufacturer proves that the system units are in agreement with the

documentation with regard to the basic function, safety concept and interfaces. The structure of the

identification code (e.g. alphanumerical) may be specified by the manufacturer, but shall be unambiguous.

The system description shall also include requirements for the environmental conditions during the intended

operation of the machine:
⎯ climatic conditions (temperature, humidity);
⎯ mechanical conditions (vibration, shock);
⎯ corrosion conditions (salt spray, gas pollution);
⎯ electrical conditions (over- and under-voltage);
⎯ electromagnetic conditions;
⎯ power-source-voltage fluctuation.
4.3 Description of basic function

The basic function of the machine-control system shall be specified in a short description, which may be

supported by graphical tools, such as functional schematic or block diagrams. The description shall contain

⎯ an enumeration of the input types and values of the MCS,
⎯ an enumeration of the controlled output types and values of the MCS,
4 © ISO 2008 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 15998:2008(E)
⎯ the open-loop- and closed-loop-control objectives and data/sensors used, and
⎯ the permissible operating and adjusting ranges.
4.4 Risk analysis and assessment

A risk analysis and assessment of the MCS shall be carried out using the systems description in accordance

with 4.2 to evaluate the hazards. This may be made in accordance with risk assessment methodologies such

as ISO 14121-1 or IEC 61508-5:1998, Annex D. An example is given in Annex A of this International Standard.

4.5 Performance criteria for the safety concept

The basic concept and system functions specified by the manufacturer for the safety concept of the machine

shall be taken into account during development and production of the machine-control system. The safety

concept includes all measures which provide for safe operation beyond the standard operation (for guidance,

see IEC 61508-2:2000, 7.2.3.1). These shall be listed in a generally understandable way, such as in the

following examples:
⎯ redundancy;
⎯ fault-detection procedures;

⎯ “safe state”, a safe state may initiate, for example, an emergency motion function (see 5.4).

A documented analysis shall be included, indicating the realization of the safety concept as described. This

may be done by an analysis (e.g. FMEA, FTA, ETA) or using equivalent methods suitable for the safety

concept of the MCS.

The manufacturer shall document the manner in which the validation of the systems logic has been made

during the development stage.

The transition from standard operation mode to safe state shall take into account the stability of the machine

and the minimization of the risk of injury to people.

The movement (active or passive) of the machine or its working equipment/attachment out of the hazardous

area or position in the case of a malfunction of the MCS should be possible.
4.6 Physical environment and operating conditions
4.6.1 General

The environmental conditions in which the machines are used shall be the basis for the specification of the

MCS.
4.6.2 Environment temperature and humidity

The machine-control system shall operate safely under the conditions described in 7.2.2.

Restrictions not having any influence on the safe functioning of the MCS are acceptable.

For special operating conditions of the machine and installation conditions of the electronic parts, other

environmental conditions may be specified by the manufacturer.
© ISO 2008 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO 15998:2008(E)
4.6.3 Degree of protection (IP Code)

Based on the installation conditions, the parts of the MCS carrying out the functional safety shall meet at least

the following degrees of protection, in accordance with IEC 60529:

⎯ IP 66 for all electronic parts, which are fitted outside the machine or are exposed directly to

environmental influences.

For special operating conditions of the machine and installation conditions of the electronic parts, other

environmental conditions may be specified by the manufacturer.
4.6.4 Electromagnetic compatibility (EMC)
The machine-control system shall fulfil the requirements of ISO 13766.
4.6.5 Mechanical vibration and shock

The system units, components and parts of the MCS shall be designed and fitted so that their safe function is

maintained for vibration and shock loads during the typical operation of the machine.

See 7.2.3 and 7.2.4 for test conditions.

For special operating conditions of the machine and installation conditions of the electronic parts, other

environmental conditions may be specified by the manufacturer.
4.7 Emergency stop function

An emergency stop function shall be provided if the safety concept requires it. The emergency stop shall shift

the MCS or the system unit or the machine into a defined safe state, in the case of failure that could lead to a

hazardous motion or condition of the machine.
5 Additional requirements for safety-related machine-control systems
5.1 General

This clause applies to machine-control systems with safety-related functions that have a minimum SIL-Level 1

or equivalent (see A.3.2).

Machine-control systems with safety-related functions shall fulfil the following additional requirements in

accordance with the risk assessment.
5.2 Fault avoidance and fault control

5.2.1 IEC 61508-2:2000, Annexes A and B, or other comparable methods, shall be used as a guide to

measures and the techniques for the avoidance and control of faults.

5.2.2 Failures in a safety-related system vary essentially according to the time of their origin:

a) failures caused by faults originating before or during system installation, for example, software faults

include specification and program faults, hardware faults include manufacturing faults and incorrect

selection of components;

1) For special installation conditions, other degrees of protection may be selected, e.g. in the case of higher voltage,

malfunction by moisture, dirt or foreign-conductor particles which could lead to an unacceptable situation (risk).

6 © ISO 2008 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 15998:2008(E)

b) failures caused by faults or human errors originating during machine life/operation and, in general, after

system installation (e.g. random hardware failures, failures caused by incorrect use).

Failures of the type mentioned in a) can be detected, corrected and avoided by measures made during the

different phases of the life-cycle (see IEC 61508-2:2000, Annex B). The measures for failure avoidance are

primarily design and analytical procedures.

Failures of the type mentioned in b) can only be controlled during normal operation (see IEC 61508-2:2000,

Annex A). The measures for the control of those failures shall be integrated in the safety concept.

Some of the measures and techniques given in IEC 61508-2 are of basic importance (see Annexes A and B),

thus they should be used independently from the safety integrity level. Others should also be used

independently of this level. The effort required to realize these measures should be chosen such that the

effectiveness demanded by IEC 61508-2:2000, Tables B.1 to B.5 (low/medium/high), is achieved. All other

measures are replaceable in principle. They can be replaced individually or in connection with other measures.

5.3 Requirements for programmable electronic systems (PES)

The software shall be developed and validated according to appropriate measures (see, for example,

IEC 61508-3:1998, Annex A or ISO 13849-1:2006).

The concepts and the development methods and tools for programmable electronic systems (PES) used in

machine-control systems shall be documented.

5.4 Malfunction or failure of the electronic components used in machine-control systems

The entering of a safe state shall be achieved in the case of a malfunction or failure of the electronic

components used on machine-control systems, in accordance with risk assessment. Reduced system

performance or (a) substitute function(s) may be used to achieve a safe state as a part of the safety concept.

The safe state may be achieved by an automatic shift into a substituting function (see Figure 1). If this

transition is automatically applied by the MCS, then there shall be some form of indication to the operator,

such as alarms, indicators or derated performance (e.g. slow motion).
© ISO 2008 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO 15998:2008(E)
Figure 1 — Example for entering a safe state
5.5 Restart-up procedure

An automatic restart-up, in the case of a fault that disappears (de-validated by the MCS), shall not be allowed,

unless the evaluation of the risk assessment demonstrates that the safe operation can be maintained.

6 Documentation

The manufacturer shall retain, according to the manufacturer's record retention policy, all relevant documents

for the general safety requirements of the machine-control system in accordance with Clause 4. The

documentation shall include at least the following:
⎯ a description of the machine-control system in accordance with 4.2;
⎯ a description of the basic function in accordance with 4.3;
⎯ risk analysis and assessment in accordance with 4.4;

⎯ requirements for the safety concept in accordance with 4.5 (including block diagram with functional

description of each block, circuit diagram for external connection, description of external signals);

⎯ the test case and test results, in order to prove the complete fault-coverage test.

The documentation showing how the validation of the systems logic has been made during the development

stage (see 4.5) shall include
⎯ a block diagram with a functional description of each block, and

⎯ a circuit diagram for external connection, and description of external signals.

8 © ISO 2008 – All rights reserved
---------------------- Page: 13 ----------------------
ISO 15998:2008(E)

A verification of the safety concept for safety-related machine-control systems in accordance with Clause 5 is

based on a detailed documentation of the safety-related part of the system. This may be in the form of

⎯ circuit diagrams for internal electronic circuits with a description of the individual blocks and components,

⎯ a functional description of the circuit diagrams,

⎯ parts lists, including parts identification and names of the individual positions, rating values and

tolerances,

⎯ a description of the relevant loads, type nomination and manufacturer of the components, data sheets for

special and critical components, and
⎯ a failure mode and effects analysis of the fault conditions.
7 Tests for safety-related MCS
7.1 General

The tests given in 7.2, which are intended to meet the general requirements in accordance with Clause 4, are

recommended for MCS; however, alternative means for verification are also permitted. Tests may be

performed at the system unit level (e.g. sub-assembly) of the MCS and sequentially. The verification shall

demonstrate that the MCS operates as intended under the machine's specified operating conditions (design

specifications).
7.2 Tests of machine-control systems
7.2.1 Test content
The tests are as follows:

a) test of basic functions (see function and system description in accordance with 4.2 and description of the

basic function in accordance with 4.3);
b) entering of safe-state test (see 5.4);

c) functional test at operating temperature and humidity in accordance with 4.6.2 and 7.2.2;

d) EMC test in accordance with 4.6.4;
e) shock and vibration tests in accordance with 4.6.5, 7.2.3 and 7.2.4.
7.2.2 Test of the function at environmental temperature and humidity

The complete functionality of the components of the safety-related machine-control system shall be tested to

meet the performance requirements of 4.6.2, in accordance with either the manufacturer's specifications or

with guidance from IEC 60068-2-14, for the following environmental conditions:
⎯ environmental temperature of − 25 °C;
⎯ environmental temperature of + 70 °C;
⎯ relative humidity of 30 %;
⎯ relative humidity of 95 %.
© ISO 2008 – All rights reserved 9
---------------------- Page: 14 ----------------------
ISO 15998:2008(E)

The temperature change should be 1 °C per 3 min. Two temperature-test cycles are required.

The maximum nominal voltage should be chosen during the heat-up and at the maximum environmental

temperature, and the minimum nominal voltage should be chosen at the lowest environmental temperature.

The test load at the maximum environmental temperature should be 3/4 and at the maximum value of the

maximum operating load for each 1 h cycle. The function should also be checked during these tests.

7.2.3 Vibration test

7.2.3.1 The components of the MCS should be tested in the same position and with the same mountings

as those fitted on the machine.

7.2.3.2 The tests should be performed in accordance with IEC 60068-2-6 at the following sine-shaped

sweep or in accordance with the manufacturer's specifications, such that they meet the special conditions of

4.6.2, 4.6.3 and 4.6.5:
Frequency range (f): 5 Hz to 200 Hz
The relation between amplitude and acceleration is given in Table 1.
Table 1
Frequency Engine compartment All other locations
f < f amplitude ± 21 mm amplitude ± 15 mm
2 2
f W f acceleration = 70 m/s (7g) acceleration = 50 m/s (5g)
amplitude < ± 21 mm amplitude < ± 15 mm
Transition frequency (f ): 8 Hz to 9 Hz
Number of frequency cycles: 20
Sweep rate: 1 octave/min
An interruption of the frequency cycles is allowed.

The test should be performed in axes perpendicular to each other, such that one of the axes is the same as

the longitudinal axis of the machine.

7.2.3.3 The test specimen shall be supplied with the nominal voltage and a defined functional test shall

be made during the test procedure. There shall be no loss of the safety function.

7.2.3.4 There shall be no cracks or deformations and the whole MCS shall be functional after the test.

7.2.4 Shock test

Shock testing should be performed either in accordance with the manufacturer's specifications or under the

guidance of IEC 60068-2-27.

The test specimen should be fixed to the test equipment with the same mountings as fitted at the machine. It

should be tightened as specified by the machine manufacturer. The minimum shock load shall be in

accordance with the manufacturer's specifications (e.g. an acceleration of 150 m/s (15 g) with an 11 ms pulse

duration, or preferably 300 m/s (30 g) with an 18 ms pulse duration).
10 © ISO 2008 – All rights reserved
---------------------- Pag
...

NORME ISO
INTERNATIONALE 15998
Première édition
2008-04-15
Engins de terrassement — Systèmes de
contrôle-commande utilisant des
composants électroniques — Critères et
essais de performances de sécurité
fonctionnelle
Earth-moving machinery — Machine-control systems (MCS) using
electronic components — Performance criteria and tests for functional
safety
Numéro de référence
ISO 15998:2008(F)
ISO 2008
---------------------- Page: 1 ----------------------
ISO 15998:2008(F)
PDF – Exonération de responsabilité

Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier

peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence

autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées

acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute

responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.

Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info

du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir

l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,

veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2008

Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous

quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit

de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.

ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2008 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 15998:2008(F)
Sommaire Page

Avant-propos..................................................................................................................................................... iv

Introduction ........................................................................................................................................................ v

1 Domaine d'application.......................................................................................................................... 1

2 Références normatives ........................................................................................................................ 1

3 Termes, définitions et abréviations .................................................................................................... 1

4 Exigences générales de sécurité ........................................................................................................ 4

5 Exigences supplémentaires relatives aux systèmes de contrôle-commande relatifs à la

sécurité .................................................................................................................................................. 6

6 Documentation...................................................................................................................................... 8

7 Essais pour les MCS relatifs à la sécurité.......................................................................................... 9

Annexe A (informative) Recommandations pour l'estimation du risque.................................................... 12

Annexe B (informative) Exemple d'un schéma de défaillance d'une spécification du système.............. 18

Annexe C (informative) Liste des composants éprouvés ............................................................................ 19

Annexe D (informative) Recommandations pour systèmes bus pour la transmission de messages

relatifs à la sécurité ............................................................................................................................ 22

Bibliographie .................................................................................................................................................... 34

© ISO 2008 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 15998:2008(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de

normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée

aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du

comité technique créé à cet effet. Les organisations internationales, gouvernementales et non

gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec

la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.

Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,

Partie 2.

La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes

internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur

publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres

votants.

L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de

droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne

pas avoir identifié de tels droits de propriété et averti de leur existence.

L'ISO 15998 a été élaborée par le comité technique ISO/TC 127, Engins de terrassement, sous-comité SC 3,

Emploi et entretien.
iv © ISO 2008 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 15998:2008(F)
Introduction

Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des fonctions liées à la

sécurité dans la plupart des secteurs d'application. Des systèmes à base d'informatique [que l'on nommera de

façon générique systèmes électroniques programmables (PES)] sont actuellement utilisés dans tous les

secteurs d'application pour exécuter des fonctions non liées à la sécurité, mais aussi de plus en plus souvent,

liées à la sécurité. Si l'on veut exploiter efficacement et en toute sécurité la technologie des systèmes

informatiques, il est indispensable de fournir à tous les responsables suffisamment d'éléments liés à la

sécurité pour les guider dans leurs prises de décisions.

La présente Norme internationale établit des recommandations pour les systèmes électriques et/ou

électroniques et/ou avec des organes constitutifs électroniques programmables [systèmes

électriques/électroniques/électroniques programmables (E/E/PES)] qui sont utilisés pour la sécurité

fonctionnelle avec les engins de terrassement.

Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de protection fondés sur

diverses technologies (par exemple mécanique, hydraulique, pneumatique, électrique, électronique,

électronique programmable). En conséquence, toute stratégie de sécurité doit non seulement prendre en

compte tous les éléments d'un système individuel (par exemple les capteurs, les appareils de commande et

les actionneurs), mais également tous les systèmes relatifs à la sécurité. C'est pourquoi la présente Norme

internationale, bien que traitant essentiellement des systèmes électriques/électroniques/électroniques

programmables (E/E/PES) relatifs à la sécurité, fournit néanmoins des orientations de sécurité susceptible de

concerner les systèmes relatifs à la sécurité basés sur d'autres technologies.
La présente Norme internationale

⎯ a été élaborée dans le souci de l'évolution rapide des technologies; le cadre fourni par la présente Norme

internationale est suffisamment solide et étendu pour cette situation,

⎯ fournit une méthode de développement des exigences de sécurité nécessaires pour définir la sécurité

fonctionnelle requise des systèmes E/E/PE,

⎯ donne la méthodologie afin de spécifier le niveau cible d'intégrité de sécurité des fonctions de sécurité

devant être réalisées par les systèmes E/E/PE, en utilisant l'approche fondée sur le risque.

© ISO 2008 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO 15998:2008(F)
Engins de terrassement — Systèmes de contrôle-commande
utilisant des composants électroniques — Critères et essais de
performances de sécurité fonctionnelle
1 Domaine d'application

La présente Norme internationale spécifie les critères et les essais de performances de sécurité fonctionnelle,

relatifs au développement des systèmes de contrôle-commande de sécurité, utilisant des composants

électroniques dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165. Les

modes opératoires de l'ECE R79, Annexe 6, de l'ISO 13849-1 ou de la CEI 62061 peuvent être utilisées en

alternative pour peu qu'une vérification et un essai soient menés par le constructeur en utilisant l'Article 7 de

la présente Norme internationale.
2 Références normatives

Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les

références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du

document de référence s'applique (y compris les éventuels amendements).

ISO 6165:2006, Engins de terrassement — Principaux types — Identification et termes et définitions

ISO 13766, Engins de terrassement — Compatibilité électromagnétique

ISO 14121-1, Sécurité des machines — Appréciation du risque — Partie 1: Principes

CEI 60529, Degrés de protection procurés par les enveloppes (code IP)

CEI 61508-4:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques

programmables relatifs à la sécurité — Partie 4: Définitions et abréviations

CEI 61508-5:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques

programmables relatifs à la sécurité — Partie 5: Exemples de méthodes de détermination des niveaux

d'intégrité de sécurité

CEI 61508-7:2000, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques

programmables relatifs à la sécurité — Partie 7: Présentation de techniques et mesures

3 Termes, définitions et abréviations

Pour les besoins du présent document, les termes, les définitions et les abréviations donnés dans la

CEI 61508-4 ainsi que les suivants s'appliquent.
© ISO 2008 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO 15998:2008(F)
3.1 Termes et définitions
3.1.1
engin de terrassement

engin automoteur ou tracté, à roues, à chenilles ou à jambes, ayant un équipement, des accessoires (outil) ou

les deux, principalement conçu pour assurer des opérations de creusement, de chargement, de transport, de

forage, d'épandage, de compactage ou de tranchage de terre, de roche et d'autres matériaux

NOTE Adapté de ISO 6165:2006, définition 3.1.
3.1.2
systèmes de contrôle-commande
MCS

systèmes de contrôle-commande comprenant plusieurs composants nécessaires à l'exécution de la fonction

du système comprenant généralement des capteurs, une unité de traitement des signaux, des commandes et

des actionneurs

NOTE L'étendue du système ne se limite pas aux commandes électroniques, mais est définie par la fonction relative

à la machine du système complet. Elle comprend par conséquent généralement des dispositifs électroniques, non

électroniques et de connexion. Elle peut comprendre des composants/des systèmes qui peuvent être électroniques,

mécaniques, hydrauliques, optiques ou pneumatiques.
3.1.3
unité système

partie d'un système de contrôle-commande comprenant tout nombre donné de composants et/ou de pièces

intégrés en une ou plusieurs unités
EXEMPLE Unité de commande de la boîte automatique.

NOTE Les composants et/ou les pièces sont généralement disposés dans une enceinte commune, mais l'unité

système peut également être constituée sous forme de composite mécanique avec plusieurs éléments fonctionnels.

3.1.4
dispositifs de connexion

dispositifs utilisés pour l'alimentation électrique et pour la transmission des signaux et des données

3.1.5
fonction de base
〈système de contrôle-commande〉 commande de la (des) tâche(s)
3.1.6
fonction de base

〈unité système〉 recevant les signaux et les données, les traitant et/ou les actionnant

3.1.7
fonction système

toute fonction devant être traitée par un système de contrôle-commande ou une unité système

NOTE Outre la fonction de base, les fonctions système comprennent le diagnostic, l'autosurveillance, le traitement

des signaux et la transmission des données à d'autres systèmes.
3.1.8
concept de sécurité

concept contenu dans la description des méthodes intrinsèques au système traitant des performances de ce

dernier et du fonctionnement en toute sécurité dudit système en cas de panne
3.1.9
systèmes de contrôle-commande relatifs à la sécurité

〈systèmes de contrôle-commande〉 régulant les fonctions de la machine relatives à la sécurité

2 © ISO 2008 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 15998:2008(F)
3.1.10
état de sécurité

état appliqué automatiquement ou manuellement après un dysfonctionnement du système de contrôle-

commande lorsque l'équipement, le procédé ou le système commandé est interrompu ou commuté en mode

sécurité afin de prévenir tout mouvement intempestif ou d'éviter l'accumulation d'énergie potentiellement

dangereuse (par exemple électricité sous haute tension, pressions hydrauliques ou ressorts comprimés)

3.1.11
composant éprouvé

composant pour utilisation relative à la sécurité qui a été largement utilisé dans le passé avec des résultats

satisfaisants pour des utilisations similaires et qui a été fabriqué et vérifié en utilisant les principes qui

démontrent qu'il est adapté et fiable pour les utilisations relatives à la sécurité

NOTE 1 Pour quelques composants éprouvés, certains défauts peuvent également être exclus car le taux de

défaillance est connu pour être très faible.

NOTE 2 La décision d'accepter un composant particulier comme composant éprouvé dépend de son utilisation.

3.1.12
fonction de remplacement

fonction permettant l'existence d'un procédé continu en cas de dysfonctionnement ou de défaillance du

système
3.1.13
fonction de mouvement d'urgence

fonction à adopter en cas de dysfonctionnement ou de défaillance du système afin de permettre à l'opérateur

d'exécuter un mouvement d'urgence (de l'engin)
EXEMPLE Dégager un engin de la voie publique.
3.1.14
système programmable électronique
PES

système de commande, de protection ou de surveillance basé sur un ou plusieurs dispositifs électroniques

programmables, y compris tous les éléments du système tels que les alimentations en énergie, les capteurs

et autres périphériques d'entrée, les bus de données et autres circuits de communication, et les actionneurs

et autres dispositifs de sortie
3.2 Abréviations
PES système programmable électronique
MCS systèmes de contrôle-commande
FMEA analyse des modes de défaillance et leurs effets
FTA arbre des défaillances
ETA arbre des événements
SIL niveau d'intégrité de sécurité (voir la CEI 61508-4:1998, 3.5.6)
Code IP degré de protection IP
CEM compatibilité électromagnétique (voir l'ISO 13766:2006, 3.1)
OSI dispositifs de connexion ouverts
ASIC circuit intégré à application spécifique
RF radiofréquence
© ISO 2008 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO 15998:2008(F)
4 Exigences générales de sécurité
4.1 Application

Les critères de performances suivants sont valables pour tous les systèmes de contrôle-commande, utilisant

des composants électroniques, relatifs à la sécurité. Ces critères de performance peuvent être appliqués à

tout type de MCS.
4.2 Description du système de contrôle-commande
La description et la définition générale du système doivent comprendre

⎯ une liste de toutes les unités système qui sont utilisées pour des fonctions relatives à la sécurité, et

⎯ un schéma des dispositifs de connexion et des unités système, représentatif des fonctions relatives à la

sécurité du système de contrôle-commande.

Un exemple de la structure et du contenu de la description du système est donné dans l'Annexe B.

Les fonctions de base et leurs interfaces avec d'autres unités système doivent être spécifiées pour chaque

unité système. Cette spécification peut se présenter sous la forme d'un schéma ou d'un organigramme.

La connexion doit être illustrée de manière appropriée; un schéma de circuits convient dans le cas du

système électrique.

Le schéma doit classer sans aucune ambiguïté chaque dispositif de connexion (par exemple câbles) aux

unités système (par exemple par l'identification des bornes).

Les unités système doivent être marquées par des codes d'identification (par exemple numéros, symboles,

caractères) de manière à pouvoir vérifier la corrélation entre l'illustration des systèmes et le MCS installé sur

la machine.

Le constructeur démontre, en utilisant les codes d'identification, que les unités système sont conformes à la

documentation concernant la fonction de base, le concept de sécurité et les interfaces. La structure des codes

d'identification (par exemple alphanumérique) peut être spécifiée par le constructeur mais doit être dépourvue

de toute ambiguïté.

La description du système doit également comprendre les exigences relatives aux conditions ambiantes en

cours d'exploitation prévue de la machine:
⎯ conditions climatiques (température, humidité);
⎯ conditions mécaniques (vibrations, choc);
⎯ conditions de corrosion (brouillard salin, gaz polluant);
⎯ conditions électriques (sur et sous-tension);
⎯ conditions électromagnétiques;
⎯ fluctuation de tension de la source d'alimentation.
4 © ISO 2008 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 15998:2008(F)
4.3 Description de la fonction de base

La fonction de base du système de contrôle-commande doit être spécifiée dans une description succincte,

pouvant être appuyée par des outils graphiques tels que des schémas fonctionnels ou des organigrammes.

La description doit comprendre
⎯ le recensement des types et valeurs d'entrée du MCS;
⎯ le recensement des types et valeurs de sortie contrôlées du MCS;

⎯ les objectifs de commande en boucle ouverte et en boucle fermée et données/capteurs utilisés;

⎯ les plages de fonctionnement et de réglage admissibles.
4.4 Analyse et estimation du risque

Le MCS doit faire l'objet d'une analyse et d'une estimation du risque en utilisant la description du système

conformément à 4.2 afin d'évaluer les phénomènes dangereux. Ces dernières peuvent être effectuées

conformément à des méthodes d'estimation du risque telles que celles données dans l'ISO 14121-1 ou dans

la CEI 61508-5:1998, Annexe D. Un exemple est donné dans l'Annexe A de la présente Norme internationale.

4.5 Critères de performances applicables au concept de sécurité

Le développement et la production du système de contrôle-commande doivent tenir compte du concept et des

fonctions système de base spécifiés par le constructeur pour le concept de sécurité de la machine. Ledit

concept comprend toutes les mesures qui permettent un fonctionnement en toute sécurité au-delà d'une

exploitation normale (pour des conseils se reporter à la CEI 61508-2:2000, 7.2.3.1). Ces mesures doivent être

énumérées d'une manière générale et compréhensible comme les exemples suivants:
⎯ redondance;
⎯ procédures de détection des anomalies;

⎯ «état de sécurité», un état de sécurité peut par exemple déclencher une fonction de mouvement

d'urgence (voir 5.4).

Ceci comprend une analyse documentée indiquant la réalisation effective du concept de sécurité tel que décrit.

Cette analyse peut prendre la forme d'une analyse (par exemple FMEA, FTA, ETA) ou des méthodes

similaires, qui sont appropriées au concept de sécurité du MCS.

Le constructeur doit documenter la méthode de validation de la logique du système au cours de la phase de

développement.

La transition du mode de fonctionnement normal à un état de sécurité doit prendre en considération la stabilité

de la machine et réduire au minimum le risque de blessure des personnes.

Il convient que le mouvement (actif ou passif) de la machine ou de son matériel/ses accessoires de service en

dehors de la zone ou de la position dangereuse dans le cas d'un dysfonctionnement du MCS soit possible.

4.6 Environnement physique et conditions d'exploitation
4.6.1 Généralités

Il convient que les conditions environnementales dans lesquelles les engins sont utilisés soient la base de la

spécification du MCS.
© ISO 2008 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO 15998:2008(F)
4.6.2 Température et humidité ambiantes

Le système de contrôle-commande des engins de terrassement doit fonctionner en toute sécurité dans les

conditions décrites en 7.2.2.

Des restrictions, n'exerçant aucune influence sur la fonction de sécurité du MCS, peuvent être acceptées.

Pour des conditions de fonctionnement spéciales de l'engin et des conditions d'installation des pièces

électroniques, d'autres conditions environnementales peuvent être spécifiées par le constructeur.

4.6.3 Degré de protection (Code IP)

Les pièces du MCS réalisant la sécurité fonctionnelle, sur la base des conditions d'installation, doivent

satisfaire au moins aux degrés de protection suivants, conformément à la CEI 60529:

⎯ IP 66 pour toutes les pièces électroniques, installées à l'extérieur de la machine ou directement

exposées aux influences de l'environnement.

Pour des conditions de fonctionnement de l'engin et des conditions d'installation des pièces électroniques,

d'autres conditions environnementales peuvent être spécifiées par le constructeur.

4.6.4 Compatibilité électromagnétique (CEM)
Le système de contrôle-commande doit satisfaire aux exigences de l'ISO 13766.
4.6.5 Vibrations et chocs mécaniques

Les unités système, les composants et pièces du MCS utilisés sur les engins de terrassement doivent être

conçus et installés de sorte que leur fonction de sécurité soit maintenue pour les charges dues aux vibrations

et chocs pendant l'exploitation type de l'engin.
Voir 7.2.3 et 7.2.4 pour les conditions d'essai.

Pour des conditions de fonctionnement spéciales de l'engin et des conditions d'installation des pièces

électroniques, d'autres conditions environnementales peuvent être spécifiées par le constructeur.

4.7 Fonction d'arrêt d'urgence

Une fonction d'arrêt d'urgence doit être prévue lorsque le concept de sécurité le requiert. L'arrêt d'urgence doit

commuter le MCS, l'unité système ou la machine en un état de sécurité défini en cas de défaillance pouvant

entraîner un mouvement ou un état dangereux de la machine.
5 Exigences supplémentaires relatives aux systèmes de contrôle-commande
relatifs à la sécurité
5.1 Généralités

Le présent article s'applique aux systèmes de contrôle-commande avec des fonctions de sécurité ayant un

niveau SIL = 1 ou équivalent (voir A.3.2).

Les systèmes de contrôle-commande avec fonctions relatives à la sécurité doivent satisfaire les exigences

supplémentaires suivantes selon l'estimation des risques.

1) Pour des conditions spéciales d'installation, d'autres degrés de protection peuvent être sélectionnés, par exemple en

cas de plus haute tension, disfonctionnement dû à l'humidité, saletés ou particules extérieures conductrices qui pourraient

entraîner une situation inacceptable (risque).
6 © ISO 2008 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO 15998:2008(F)
5.2 Évitement et maîtrise des anomalies

5.2.1 Les Annexes A et B de la CEI 61508-2:2000 ou d'autres méthodes comparables, doivent être utilisées

comme un guide applicable aux mesures et aux techniques relatives à l'évitement et à la maîtrise des

anomalies.

5.2.2 Les défaillances observées au niveau d'un système relatif à la sécurité varient essentiellement en

fonction du moment de leur apparition (origine):

a) défaillances dues à des anomalies apparaissant avant ou pendant l'installation du système (par exemple

les anomalies logicielles comprennent des anomalies de spécification et de programme, les anomalies

matérielles comprennent des anomalies de fabrication et une sélection de composants incorrecte);

b) défaillances dues à des anomalies ou à des erreurs humaines apparaissant pendant la vie/l'exploitation

de l'engin et généralement après l'installation du système (par exemple des défaillances aléatoires du

matériel ou des défaillances dues à une utilisation incorrecte).

Les défaillances du type décrit en a) peuvent être décelées, corrigées et évitées par l'adoption de mesures

lors des différentes phases du cycle de vie (voir la CEI 61508-2:2000, Annexe B). Les mesures applicables à

l'évitement des défaillances sont des procédures essentiellement de conception et analytiques.

Les défaillances du type décrit en b) peuvent être maîtrisées uniquement lors d'une exploitation normale (voir

CEI 61508-2:2000, Annexe A). Les mesures applicables à la maîtrise de ces défaillances doivent être

intégrées au concept de sécurité.

Certaines mesures et techniques décrites dans la CEI 61508-2 sont d'une importance essentielle (voir les

Annexes A et B), il convient qu'elles soient ainsi employées indépendamment du niveau d'intégrité de sécurité.

Il convient d'employer d'autres mesures et techniques indépendamment du niveau d'intégrité de sécurité. Il

convient que l'effort requis pour la réalisation effective de ces mesures permette d'obtenir l'efficacité exigée

dans la CEI 61508-2:2000, Tableaux B.1 à B.5 (faible/moyenne/élevée). Toutes les autres mesures peuvent

être remplacées en principe, soit de manière individuelle, soit associées à d'autres mesures.

5.3 Exigences relatives aux systèmes électroniques programmables (PES)

Le logiciel doit être développé et validé suivant les mesures appropriées (voir, par exemple, la

CEI 61508-3:1998, Annexe A ou l'ISO 13849-1).

Les concepts et les méthodes, et les outils de développement applicables aux systèmes électroniques

programmables (PES) utilisés dans les systèmes de contrôle-commande doivent être documentés.

5.4 Dysfonctionnement ou défaillance des composants électroniques utilisés avec les

systèmes de contrôle-commande

L'adoption d'un état de sécurité doit être réalisée en cas de dysfonctionnement ou de défaillance des

composants électroniques utilisés avec le système de contrôle-commande suivant l'estimation du risque. Une

performance réduite du système ou l'utilisation de fonction(s) de substitution peuvent être utilisées pour

parvenir à un état sûr en tant que partie du concept de sécurité.

L'état de sécurité peut être atteint par une permutation automatique vers une fonction de remplacement (voir

la Figure 1). Si cette transition est appliquée par le MCS alors, il doit y avoir une forme quelconque

d'indication pour l'opérateur telle que alarmes, indicateurs ou performance réduite (par exemple vitesse lente).

© ISO 2008 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
ISO 15998:2008(F)
Figure 1 — Exemple d'adoption d'un état de sécurité
5.5 Procédure de redémarrage

Une procédure de redémarrage, en cas de disparition d'un défaut (invalidé par le MCS) ne doit pas être

autorisé à moins que l'estimation du risque démontre que le fonctionnement sûr peut être maintenu.

6 Documentation

Le constructeur doit conserver, selon sa politique de préservation des enregistrements, tous les documents

applicables pour les exigences générales de sécurité du système de contrôle-commande conformément à

l'Article 4. La documentation doit comprendre au moins les documents suivants:
⎯ description du système de contrôle-commande conformément à 4.2;
⎯ description de la fonction de base conformément à 4.3;
⎯ analyse du risque et estimation du risque conformément à 4.4;

⎯ exigences pour le concept de sécurité conformément à 4.5 (y compris un organigramme avec une

description fonctionnelle de chaque bloc et un schéma de circuits pour une connexion externe, la

description des signaux externes);

⎯ conditions et résultat d'essai de façon à prouver la complétude de l'essai concernant les défauts.

La documentation sur la façon dont la validation des systèmes logiques ont été réalisés pendant l'étape de

développement (voir 4.5) doit comprendre ce qui suit:
⎯ un organigramme avec une description fonctionnelle de chaque bloc;

⎯ un schéma de circuits pour une connexion externe, la description des signaux externes.

8 © ISO 2008 – Tous droits réservés
---------------------- Page: 13 ----------------------
ISO 15998:2008(F)

La vérification du concept de sécurité applicable aux systèmes de contrôle-commande relatifs à la sécurité

conformément à l'Article 5 est fondée sur une documentation détaillée de la pièce du système relative à la

sécurité. Cela peut se présenter sous la forme

⎯ de schémas de circuits applicables aux circuits électroniques internes avec une description des blocs et

des composants individuels;
⎯ d'une de
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.