iTeh Standards logo
EURUSD
Your shopping cart is empty.
ISO

ISO 13849-1:2006

(Main)

Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

ISO 13849-1:2006 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. ISO 13849-1:2006 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used.

Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception

L'ISO 13849-1:2006 fournit des exigences de sécurité et des conseils relatifs aux principes de conception et d'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau de performance requis, pour réaliser ces fonctions de sécurité. Elle s'applique aux SRP/CS de tous les types de machines, indépendamment de la technologie et du type d'énergie utilisés (électrique, hydraulique, pneumatique, mécanique, etc.). Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés dans un cas particulier. L'ISO 13849-1:2006 fournit des exigences spécifiques pour les SRP/CS utilisant un (des) système(s) électronique(s) programmable(s). Elle ne donne pas d'exigences spécifiques pour la conception de composants intégrés dans les SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance, peuvent être utilisés.

General Information

Status
Withdrawn
Publication Date
29-Oct-2006
Withdrawal Date
29-Oct-2006
ICS
13.110 - Safety of machinery
Technical Committee
ISO/TC 199 - Safety of machinery
Drafting Committee
ISO/TC 199 - Safety of machinery
Current Stage
9599 - Withdrawal of International Standard
Start Date
04-Dec-2015
Completion Date
13-Dec-2025
Ref Project

Relations

Consolidates
ISO 1496-3:1995 - Series 1 freight containers - Specification and testing - Part 3: Tank containers for liquids, gases and pressurized dry bulk
Effective Date
06-Jun-2022
Consolidated By
ISO 10140-5:2010/Amd 1:2014 - Acoustics - Laboratory measurement of sound insulation of building elements - Part 5: Requirements for test facilities and equipment - Amendment 1: Rainfall sound
Effective Date
06-Jun-2022
Amended By
ISO 13849-1:2006/FDAmd 1 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design - Amendment 1
Effective Date
09-May-2020
Revised
ISO 13849-1:2015 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
Effective Date
04-Nov-2015
Revises
ISO 13849-1:1999 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
Effective Date
15-Apr-2008
ISO 13849-1:2006 - Safety of machinery -- Safety-related parts of control systemsISO 13849-1:2006 - Safety of machinery -- Safety-related parts of control systems
PreviousNext
Standard
ISO 13849-1:2006 - Safety of machinery -- Safety-related parts of control systems
English language
85 pages
sale 15% off
Preview
sale 15% off
Preview
ISO 13849-1:2006 - Sécurité des machines -- Parties des systemes de commande relatives a la sécuritéISO 13849-1:2006 - Sécurité des machines -- Parties des systemes de commande relatives a la sécurité
PreviousNext
Standard
ISO 13849-1:2006 - Sécurité des machines -- Parties des systemes de commande relatives a la sécurité
French language
88 pages
sale 15% off
Preview
sale 15% off
Preview

Frequently Asked Questions

ISO 13849-1:2006 is a standard published by the International Organization for Standardization (ISO). Its full title is "Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design". This standard covers: ISO 13849-1:2006 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. ISO 13849-1:2006 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used.

ISO 13849-1:2006 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. ISO 13849-1:2006 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used.

ISO 13849-1:2006 is classified under the following ICS (International Classification for Standards) categories: 13.110 - Safety of machinery. The ICS classification helps identify the subject area and facilitates finding related standards.

ISO 13849-1:2006 has the following relationships with other standards: It is inter standard links to ISO 1496-3:1995, ISO 10140-5:2010/Amd 1:2014, ISO 13849-1:2006/FDAmd 1, ISO 13849-1:2015, ISO 13849-1:1999. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

You can purchase ISO 13849-1:2006 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

Standards Content (Sample)


INTERNATIONAL ISO
STANDARD 13849-1
Second edition
2006-11-01
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception

Reference number
©
ISO 2006
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO 2006
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2006 – All rights reserved

Contents Page
Foreword. v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms. 2
3.1 Terms and definitions. 2
3.2 Symbols and abbreviated terms . 8
4 Design considerations . 9
4.1 Safety objectives in design. 9
4.2 Strategy for risk reduction. 11
4.2.1 General. 11
4.2.2 Contribution to the risk reduction by the control system . 11
4.3 Determination of required performance level (PL ). 14
r
4.4 Design of SRP/CS . 14
4.5 Evaluation of the achieved performance level PL and relationship with SIL. 15
4.5.1 Performance level PL . 15
4.5.2 Mean time to dangerous failure of each channel (MTTF ) . 17
d
4.5.3 Diagnostic coverage (DC) . 18
4.5.4 Simplified procedure for estimating PL. 18
4.6 Software safety requirements . 21
4.6.1 General. 21
4.6.2 Safety-related embedded software (SRESW) . 21
4.6.3 Safety-related application software (SRASW) . 22
4.6.4 Software-based parameterization . 25
4.7 Verification that achieved PL meets PL . 26
r
4.8 Ergonomic aspects of design. 26
5 Safety functions . 26
5.1 Specification of safety functions . 26
5.2 Details of safety functions . 28
5.2.1 Safety-related stop function . 28
5.2.2 Manual reset function. 29
5.2.3 Start/restart function . 29
5.2.4 Local control function . 30
5.2.5 Muting function. 30
5.2.6 Response time . 30
5.2.7 Safety–related parameters. 30
5.2.8 Fluctuations, loss and restoration of power sources. 31
6 Categories and their relation to MTTF of each channel, DC and CCF. 31
d avg
6.1 General. 31
6.2 Specifications of categories . 32
6.2.1 General. 32
6.2.2 Designated architectures. 32
6.2.3 Category B. 32
6.2.4 Category 1 . 33
6.2.5 Category 2 . 34
6.2.6 Category 3 . 35
6.2.7 Category 4 . 36
6.3 Combination of SRP/CS to achieve overall PL . 39
7 Fault consideration, fault exclusion. 40
7.1 General . 40
7.2 Fault consideration . 40
7.3 Fault exclusion . 41
8 Validation . 41
9 Maintenance. 41
10 Technical documentation. 41
11 Information for use . 42
Annex A (informative) Determination of required performance level (PL ) . 44
r
Annex B (informative) Block method and safety-related block diagram . 47
Annex C (informative) Calculating or evaluating MTTF values for single components. 49
d
Annex D (informative) Simplified method for estimating MTTF for each channel . 57
d
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and modules. 59
Annex F (informative) Estimates for common cause failure (CCF). 62
Annex G (informative) Systematic failure . 64
Annex H (informative) Example of combination of several safety-related parts of the control
system . 67
Annex I (informative) Examples . 70
Annex J (informative) Software.77
Annex K (informative) Numerical representation of Figure 5 . 80
Bibliography . 83

iv © ISO 2006 – All rights reserved

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 13849-1 was prepared by the European Committee for Standardization (CEN) Technical Committee
CEN/TC 114, Safety of machinery, in collaboration with Technical Committee ISO/TC 199, Safety of
machinery, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO ISO 13849-1:1999), which has been technically
revised.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related parts
of control systems:
⎯ Part 1: General principles for design
⎯ Part 2: Validation
⎯ Part 100: Guidelines for the use and application of ISO 13849-1 [Technical Report]
Introduction
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects that
can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
⎯ type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
⎯ type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure sensitive
devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a particular
machine or group of machines.
This part of ISO 13849 is a type-B-1 standard as stated in ISO 12100-1.
When provisions of a type-C standard are different from those which are stated in type-A or type-B standards,
the provisions of the type-C standard take precedence over the provisions of the other standards for machines
that have been designed and built according to the provisions of the type-C standard.
This part of ISO 13849 is intended to give guidance to those involved in the design and assessment of control
systems, and to Technical Committees preparing Type-B2 or Type-C standards which are presumed to
comply with the Essential Safety Requirements of Annex I of the Council Directive 98/37/EC, The Machinery
Directive. It does not give specific guidance for compliance with other EC directives.
As part of the overall risk reduction strategy at a machine, a designer will often choose to achieve some
measure of risk reduction through the application of safeguards employing one or more safety functions.
Parts of machinery control systems that are assigned to provide safety functions are called safety-related
parts of control systems (SRP/CS) and these can consist of hardware and software and can either be
separate from the machine control system or an integral part of it. In addition to providing safety functions,
SRP/CS can also provide operational functions (e.g. two-handed controls as a means of process initiation).
The ability of safety-related parts of control systems to perform a safety function under foreseeable conditions
is allocated one of five levels, called performance levels (PL). These performance levels are defined in terms
of probability of dangerous failure per hour (see Table 3).
The probability of dangerous failure of the safety function depends on several factors, including hardware and
software structure, the extent of fault detection mechanisms [diagnostic coverage (DC)], reliability of
components [mean time to dangerous failure (MTTF ), common cause failure (CCF)], design process,
d
operating stress, environmental conditions and operation procedures.
In order to assist the designer and help facilitate the assessment of achieved PL, this document employs a
methodology based on the categorization of structures according to specific design criteria and specified
behaviours under fault conditions. These categories are allocated one of five levels, termed Categories B, 1, 2,
3 and 4.
vi © ISO 2006 – All rights reserved

The performance levels and categories can be applied to safety-related parts of control systems, such as
⎯ protective devices (e.g. two-hand control devices, interlocking devices), electro-sensitive protective
devices (e.g. photoelectric barriers), pressure sensitive devices,
⎯ control units (e.g. a logic unit for control functions, data processing, monitoring, etc.), and
⎯ power control elements (e.g. relays, valves, etc),
as well as to control systems carrying out safety functions at all kinds of machinery — from simple (e.g. small
kitchen machines, or automatic doors and gates) to manufacturing installations (e.g. packaging machines,
printing machines, presses).
This part of ISO 13849 is intended to provide a clear basis upon which the design and performance of any
application of the SRP/CS (and the machine) can be assessed, for example, by a third party, in-house or by
an independent test house.
Information on the recommended application of IEC 62061 and this part of ISO 13849
IEC 62061 and this part of ISO 13849 specify requirements for the design and implementation of safety-
related control systems of machinery. The use of either of these International Standards, in accordance with
their scopes, can be presumed to fulfil the relevant essential safety requirements. The following table
summarizes the scopes of IEC 62061 and this part of ISO 13849.
Table 1 — Recommended application of IEC 62061 and ISO 13849-1
Technology implementing the
ISO 13849-1 IEC 62061
safety-related control function(s)
A Non-electrical, e.g. hydraulics X Not covered
B Electromechanical, e.g. relays, Restricted to designated All architectures and up to SIL 3
a
and/or non complex electronics
architectures and up to PL = e
C Complex electronics, e.g. Restricted to designated All architectures and up to SIL 3
a
programmable
architectures and up to PL = d
D A combined with B Restricted to designated
c
X
a
architectures and up to PL = e
E C combined with B Restricted to designated All architectures and up to SIL 3
architectures (see Note 1) and up to
PL = d
F C combined with A, or C
b c
X X
combined with A and B
X indicates that this item is dealt with by the International Standard shown in the column heading.
a
Designated architectures are defined in 6.2 in order to give a simplified approach for quantification of performance level.
b
For complex electronics: use designated architectures according to this part of ISO 13849 up to PL = d or any architecture
according to IEC 62061.
c
For non-electrical technology, use parts in accordance with this part of ISO 13849 as subsystems.

INTERNATIONAL STANDARD ISO 13849-1:2006(E)

Safety of machinery — Safety-related parts of control
systems —
Part 1:
General principles for design
1 Scope
This part of ISO 13849 provides safety requirements and guidance on the principles for the design and
integration of safety-related parts of control systems (SRP/CS), including the design of software. For these
parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety
functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic,
pneumatic, mechanical, etc.), for all kinds of machinery.
It does not specify the safety functions or performance levels that are to be used in a particular case.
This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the
principles given, such as categories or performance levels, can be used.
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor
control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to
refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856-1 and ISO 13856-2.
NOTE 2 For the definition of required performance level, see 3.1.24.
NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are compatible with
the methodology for the design and development of safety-related electrical, electronic and programmable electronic
control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PL = e see IEC 61508-3:1998, Clause 7.
r
NOTE 5 See also Table 1.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 12100-1:2003, Safety of machinery — Basic concepts, general principles for design — Part 1: Basic
terminology, methodology
ISO 12100-2:2003, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles
ISO 13849-2:2003, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
1)
ISO 14121 , Safety of machinery — Principles of risk assessment
IEC 60050-191:1990, International electrotechnical vocabulary — Chapter 191: Dependability and quality of
service, and IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999, Amendment 1 and Amendment 2,
International Electrotechnical Vocabulary. Chapter 191: Dependability and quality of service
IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems -
Part 3: Software requirements, and IEC 61508-3 Corr.1:1999, Corrigendum 1 — Functional safety of
electrical/electronic/programmable electronic safety-related systems — Part 3: Software requirements
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations, and IEC 61508-4 Corr.1:1999, Corrigendum 1 — Functional
safety of electrical/electronic/programmable electronic safety-related systems — Part 4: Definitions and
abbreviations
3 Terms, definitions, symbols and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100-1 and IEC 60050-191 and
the following apply.
3.1.1
safety–related part of a control system
SRP/CS
part of a control system that responds to safety-related input signals and generates safety-related output
signals
NOTE 1 The combined safety-related parts of a control system start at the point where the safety-related input signals
are initiated (including, for example, the actuating cam and the roller of the position switch) and end at the output of the
power control elements (including, for example, the main contacts of a contactor).
NOTE 2 If monitoring systems are used for diagnostics, they are also considered as SRP/CS.
3.1.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and their
subsequent behaviour in the fault condition, and which is achieved by the structural arrangement of the parts,
fault detection and/or by their reliability
3.1.3
fault
state of an item characterized by the inability to perform a required function, excluding the inability during
preventive maintenance or other planned actions, or due to lack of external resources
NOTE 1 A fault is often the result of a failure of the item itself, but may exist without prior failure.
[IEC 60050-191:1990, 05-01]
NOTE 2 In this part of ISO 13849, “fault” means random fault.

1) To be published. (Revision of ISO 14121:1999)
2 © ISO 2006 – All rights reserved

3.1.4
failure
termination of the ability of an item to perform a required function
NOTE 1 After a failure, the item has a fault.
NOTE 2 “Failure” is an event, as distinguished from “fault”, which is a state.
NOTE 3 The concept as defined does not apply to items consisting of software only.
[IEC 60050–191:1990, 04-01]
NOTE 4 Failures which only affect the availability of the process under control are outside of the scope of this part of
ISO 13849.
3.1.5
dangerous failure
failure which has the potential to put the SRP/CS in a hazardous or fail-to-function state
NOTE 1 Whether or not the potential is realized can depend on the channel architecture of the system; in redundant
systems a dangerous hardware failure is less likely to lead to the overall dangerous or fail-to-function state.
NOTE 2 Adapted from IEC 61508-4:1998, definition 3.6.7.
3.1.6
common cause failure
CCF
failures of different items, resulting from a single event, where these failures are not consequences of each
other
[IEC 60050-191-am1:1999, 04-23]
NOTE Common cause failures should not be confused with common mode failures (see ISO 12100-1:2003, 3.34).
3.1.7
systematic failure
failure related in a deterministic way to a certain cause, which can only be eliminated by a modification of the
design or of the manufacturing process, operational procedures, documentation or other relevant factors
NOTE 1 Corrective maintenance without modification will usually not eliminate the failure cause.
NOTE 2 A systematic failure can be induced by simulating the failure cause.
[IEC 60050-191:1990, 04-19]
NOTE 3 Examples of causes of systematic failures include human error in
⎯ the safety requirements specification,
⎯ the design, manufacture, installation, operation of the hardware, and
⎯ the design, implementation, etc., of the software.
3.1.8
muting
temporary automatic suspension of a safety function(s) by the SRP/CS
3.1.9
manual reset
function within the SRP/CS used to restore manually one or more safety functions before re-starting a
machine
3.1.10
harm
physical injury or damage to health
[ISO 12100-1:2003, 3.5]
3.1.11
hazard
potential source of harm
NOTE 1 A hazard can be qualified in order to define its origin (e.g. mechanical hazard, electrical hazard) or the nature
of the potential harm (e.g. electric shock hazard, cutting hazard, toxic hazard, fire hazard).
NOTE 2 The hazard envisaged in this definition:
⎯ either is permanently present during the intended use of the machine (e.g. motion of hazardous moving elements,
electric arc during a welding phase, unhealthy posture, noise emission, high temperature);
⎯ or may appear unexpectedly (e.g. explosion, crushing hazard as a consequence of an unintended/unexpected start-
up, ejection as a consequence of a breakage, fall as a consequence of acceleration/deceleration).
[ISO 12100-1:2003, 3.6]
3.1.12
hazardous situation
circumstance in which a person is exposed to at least one hazard, the exposure having immediately or over a
long period of time the potential to result in harm
[ISO 12100-1:2003, 3.9]
3.1.13
risk
combination of the probability of occurrence of harm and the severity of that harm
[ISO 12100-1:2003, 3.11]
3.1.14
residual risk
risk remaining after protective measures have been taken
See Figure 2.
NOTE Adapted from ISO 12100-1:2003, definition 3.12.
3.1.15
risk assessment
overall process comprising risk analysis and risk evaluation
[ISO 12100-1:2003, 3.13]
3.1.16
risk analysis
combination of the specification of the limits of the machine, hazard identification and risk estimation
[ISO 12100-1:2003, 3.14]
4 © ISO 2006 – All rights reserved

3.1.17
risk evaluation
judgement, on the basis of risk analysis, of whether risk reduction objectives have been achieved
[ISO 12100-1:2003, 3.16]
3.1.18
intended use of a machine
use of the machine in accordance with the information provided in the instructions for use
[ISO 12100-1:2003, 3.22]
3.1.19
reasonably foreseeable misuse
use of a machine in a way not intended by the designer, but which may result from readily predictable human
behaviour
[ISO 12100-1:2003, 3.23]
3.1.20
safety function
function of the machine whose failure can result in an immediate increase of the risk(s)
[ISO 12100-1:2003, 3.28]
3.1.21
monitoring
safety function which ensures that a protective measure is initiated if the ability of a component or an element
to perform its function is diminished or if the process conditions are changed in such a way that a decrease of
the amount of risk reduction is generated
3.1.22
programmable electronic system
PES
system for control, protection or monitoring dependent for its operation on one or more programmable
electronic devices, including all elements of the system such as power supplies, sensors and other input
devices, contactors and other output devices
NOTE Adapted from IEC 61508-4:1998, definition 3.3.2.
3.1.23
performance level
PL
discrete level used to specify the ability of safety-related parts of control systems to perform a safety function
under foreseeable conditions
NOTE See 4.5.1.
3.1.24
required performance level
PL
r
performance level (PL) applied in order to achieve the required risk reduction for each safety function
See Figures 2 and A.1.
3.1.25
mean time to dangerous failure
MTTF
d
expectation of the mean time to dangerous failure
NOTE Adapted from IEC 62061:2005, definition 3.2.34.
3.1.26
diagnostic coverage
DC
measure of the effectiveness of diagnostics, which may be determined as the ratio between the failure rate of
detected dangerous failures and the failure rate of total dangerous failures
NOTE 1 Diagnostic coverage can exist for the whole or parts of a safety-related system. For example, diagnostic
coverage could exist for sensors and/or logic system and/or final elements.
NOTE 2 Adapted from IEC 61508-4:1998, definition 3.8.6.
3.1.27
protective measure
measure intended to achieve risk reduction
EXAMPLE 1 Implemented by the designer: inherent design, safeguarding and complementary protective measures,
information for use.
EXAMPLE 2 Implemented by the user: organization (safe working procedures, supervision, permit-to-work systems),
provision and use of additional safeguards, personal protective equipment, training.
NOTE Adapted from ISO 12100-1:2003, definition 3.18.
3.1.28
mission time
T
M
period of time covering the intended use of an SRP/CS
3.1.29
test rate
r
t
frequency of automatic tests to detect faults in a SRP/CS, reciprocal value of diagnostic test interval
3.1.30
demand rate
r
d
frequency of demands for a safety-related action of the SRP/CS
3.1.31
repair rate
r
r
reciprocal value of the period of time between detection of a dangerous failure by either an online test or
obvious malfunction of the system and the restart of operation after repair or system/component replacement
NOTE The repair time does not include the span of time needed for failure-detection.
3.1.32
machine control system
system which responds to input signals from parts of machine elements, operators, external control equipment
or any combination of these and generates output signals causing the machine to behave in the intended
manner
NOTE The machine control system can use any technology or any combination of different technologies (e.g.
electrical/electronic, hydraulic, pneumatic, mechanical).
6 © ISO 2006 – All rights reserved

3.1.33
safety integrity level
SIL
discrete level (one out of a possible four) for specifying the safety integrity requirements of the safety functions
to be allocated to the E/E/PE safety-related systems, where safety integrity level 4 has the highest level of
safety integrity and safety integrity level 1 has the lowest
[IEC 61508-4:1998, 3.5.6]
3.1.34
limited variability language
LVL
type of language that provides the capability of combining predefined, application-specific library functions to
implement the safety requirements specifications
NOTE 1 Adapted from IEC 61511-1:2003, definition 3.2.80.1.2.
NOTE 2 Typical examples of LVL (ladder logic, function block diagram) are given in IEC 61131-3.
NOTE 3 A typical example of a system using LVL: PLC.
3.1.35
full variability language
FVL
type of language that provides the capability of implementing a wide variety of functions and applications
EXAMPLE C, C++, Assembler.
NOTE 1 Adapted from IEC 61511-1:2003, definition 3.2.80.1.3.
NOTE 2 A typical example of systems using FVL: embedded systems.
NOTE 3 In the field of machinery, FVL is found in embedded software and rarely in application software.
3.1.36
application software
software specific to the application, implemented by the machine manufacturer, and generally containing logic
sequences, limits and expressions that control the appropriate inputs, outputs, calculations and decisions
necessary to meet the SRP/CS requirements
3.1.37
embedded software
firmware
system software
software that is part of the system supplied by the control manufacturer and which is not accessible for
modification by the user of the machinery.
NOTE Embedded software is usually written in FVL.
3.2 Symbols and abbreviated terms
See Table 2.
Table 2 — Symbols and abbreviated terms
Symbol or Definition or
Description
abbreviation occurrence
a, b, c, d, e Denotation of performance levels Table 3
AOPD Active optoelectronic protective device (e.g. light barrier) Annex H
B, 1, 2, 3, 4 Denotation of categories Table 7
B
Number of cycles until 10 % of the components fail dangerously (for Annex C
10d
pneumatic and electromechanical components)
Cat. Category 3.1.2
CC Current converter Annex I
CCF Common cause failure 3.1.6
DC Diagnostic coverage 3.1.26
DC Average diagnostic coverage E.2
avg
F, F1, F2 Frequency and/or time of exposure to the hazard A.2.2
FB Function block 4.6.3
FVL Full variability language 3.1.35
FMEA Failure modes and effects analysis 7.2
I, I1, I2 Input device, e.g. sensor 6.2
i, j Index for counting Annex D
I/O Inputs/outputs Table E.1
i , i Interconnecting means Figure 4
ab bc
K1A, K1B Contactors Annex I
L, L1, L2 Logic 6.2
LVL Limited variability language 3.1.34
M Motor Annex I
MTTF Mean time to failure Annex C
MTTF
Mean time to dangerous failure 3.1.25
d
 Number of items 6.3, D.1
n, N, N
N Number of SRP/CS with PL in a combination of SRP/CS 6.3
low low
O, O1, O2, OTE Output device, e.g. actuator 6.2
P, P1, P2 Possibility of avoiding the hazard A.2.3
PES Programmable electronic system 3.1.22
PL Performance level 3.1.23
8 © ISO 2006 – All rights reserved

Table 2 (continued)
Definition or
Abbreviation Description
occurrence
PLC Programmable logic controller Annex I
PL Lowest performance level of a SRP/CS in a combination of SRP/CS 6.3
low
PL Required performance level 3.1.24
r
r
Demand rate 3.1.30
d
RS Rotation sensor Annex I
S, S1, S2 Severity of injury A.2.1
SW1A, SW1B, SW2 Position switches Annex I
SIL Safety integrity level Table 4
SRASW Safety-related application software 4.6.3
SRESW Safety-related embedded software 4.6.2
SRP Safety-related part General
SRP/CS Safety-related part of a control system 3.1.1
TE Test equipment 6.2
T Mission time 3.1.28
M
4 Design considerations
4.1 Safety objectives in design
The SRP/CS shall be designed and constructed so that the principles of ISO 12100 and ISO 14121 are fully
taken into account (see Figures 1 and 3). All intended use and reasonable foreseeable misuse shall be
considered.
a
Refers to ISO 12100-1:2003.
b
Refers to this part of ISO 13849.
Figure 1 — Overview of risk assessment/risk reduction
10 © ISO 2006 – All rights reserved

4.2 Strategy for risk reduction
4.2.1 General
The strategy for risk reduction at the machine is given in ISO 12100-1:2003, Clause 5, and further guidance is
given in ISO 12100-2:2003, Clauses 4 (inherent design measures) and 5 (safeguarding and complementary
protective measures). This strategy covers the whole life cycle of the machine.
The hazard analysis and risk reduction process for a machine requires that hazards are eliminated or reduced
through a hierarchy of measures:
⎯ hazard elimination or risk reduction by design (see ISO 12100-2:2003, Clause 4);
⎯ risk reduction by safeguarding and possibly complementary protective measures (see ISO 12100-2:2003,
Clause 5);
⎯ risk reduction by the provision of information for use about the residual risk (see ISO 12100-2:2003,
Clause 6).
4.2.2 Contribution to the risk reduction by the control system
The purpose in following the overall design procedure for the machine is to achieve the safety objectives
(see 4.1). The design of the SRP/CS to provide the required risk reduction is an integral subset of the overall
design procedure for the machine. The SRP/CS provides safety function(s) at a PL which achieves the
required risk reduction. In providing safety function(s), either as an inherently safe part of the design or as a
control for a safeguard or protective device, the design of the SRP/CS is a part of the strategy for risk
reduction. This is an iterative process and is illustrated in Figures 1 and 3.
For each safety function, the characteristics (see Clause 5) and the required performance level shall be
specified and documented in the safety requirements specification.
In this part of ISO 13849 the performance levels are defined in terms of probability of dangerous failure per
hour. Five performance levels (a to e) are set out, with defined ranges of probability of a dangerous failure per
hour (see Table 3).
Table 3 — Performance levels (PL)
Average probability of dangerous failure per hour
PL
1/h
−5 −4
a W 10 to < 10
−6 −5
b W 3 × 10 to < 10
−6 −6
c W 10 to < 3 × 10
−7 −6
d W 10 to < 10
−8 −7
e W 10 to < 10
NOTE Besides the average probability of dangerous failure per hour other measures are also necessary to achieve the PL.

From the risk assessment (see ISO 14121) at the machine, the designer shall decide the contribution to the
reduction of risk which needs to be provided by each relevant safety function which is carried out by the
SRP/CS(s). This contribution does not cover the overall risk of the machinery under control, e.g. not the
overall risk of a mechanical press, or washing machine is considered, but that part of risk reduced by the
application of particular safety functions. Examples of such functions are the stopping function initiated by
using an electro-sensitive protective device on a press or the door-locking function of a washing machine.
Risk reduction can be achieved by applying various protective measures (both SRP/CS and non SRP/CS)
with the end result of achieving a safe condition (see Figure 2).

Key
R for a specific hazardous situation, the risk before protective measures are applied
h
R risk reduction required from protective measures
r
R actual risk reduction achieved with protective measures
a
1 solution 1 — important part of risk reduction due to protective measures other than SRP/CS (e.g. mechanical
measures), small part of risk reduction due to SRP/CS
2 solution 2 — important part of risk reduction due to the SRP/CS (e.g. light curtain), small part of risk reduction
due to protective measures other than SRP/CS (e.g. mechanical measures)
3 adequately reduced risk
4 inadequately reduced risk
R risk
a residual risk obtained by solutions 1 and 2
b adequately reduced risk
R1 R2 risk reduction from the safety function carried out by the SRP/CS
SRP/CS SRP/CS
R1 , R2 risk reduction from protective measures other than SRP/CS (e.g. mechanical measures)
M M
NOTE See ISO 12100 for further information on risk reduction.
Figure 2 — Overview of the risk reduction process for each hazardous situation
12 © ISO 2006 – All rights reserved

a
ISO 13849-2 provides additional help for the validation.
Figure 3 — Iterative process for design of safety-related parts of control systems (SRP/CS)
4.3 Determination of required performance level (PL )
r
For each selected safety function to be carried out by a SRP/CS, a required performance level (PL ) shall be
r
determined and documented (see Annex A for guidance on determining PL). The determination of the
r
required performance level is the result of the risk assessment and refers to the amount of the risk reduction
to be carried out by the safety-related parts of the control system (see Figure 2).
The greater the amount of risk reduction required to be provided by the SRP/CS, the higher the PL shall be.
r
4.4 Design of SRP/CS
Part of the risk reduction process is to determine the safety functions of the machine. This will include the
safety functions of the control system, e.g. prevention of unexpected start-up.
A safety function may be implemented by one or more SRP/CS, and several safety functions may share one
or more SRP/CS [e.g. a logic unit, power control element(s)]. It is also possible that one SRP/CS implements
safety functions and standard control functions. The designer may use any of the technologies available,
singly or in combination. SRP/CS may also provide an operational function (e.g. an AOPD as a means of
cycle initiation).
A typical safety function diagrammatic presentation is given in Figure 4 showing a combination of safety-
related parts of control systems (SRP/CS) for
⎯ input (SRP/CS ),
a
⎯ logic/processing (SRP/CS ),
b
⎯ output/power control elements (SRP/CS ), and
c
⎯ interconnecting means (i , i ) (e.g. electrical, optical).
ab bc
NOTE 1 Within the same machinery it is important to distinguish between different safety functions and their related
SRP/CS carrying out a certain safety function.
Having identified the safety functions of the control system, the designer shall identify the SRP/CS (see
Figures 1 and 3) and, where necessary, shall assign them to input, logic and output and, in the case of
redundancy, the individual channels, and then evaluate the performance level PL (see Figure 3).
NOTE 2 Designat
...


NORME ISO
INTERNATIONALE 13849-1
Deuxième édition
2006-11-01
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design

Numéro de référence
©
ISO 2006
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

©  ISO 2006
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2006 – Tous droits réservés

Sommaire Page
Avant-propos. v
Introduction . vi
1 Domaine d'application. 1
2 Références normatives . 1
3 Termes, définitions, symboles et abréviations. 2
3.1 Termes et définitions. 2
3.2 Symboles et abréviations . 8
4 Considérations relatives à la conception. 9
4.1 Objectifs de sécurité lors de la conception . 9
4.2 Stratégie de réduction du risque. 11
4.2.1 Généralités . 11
4.2.2 Contribution à la réduction du risque par le système de commande . 11
4.3 Détermination du niveau de performance requis (PL ). 14
r
4.4 Conception des SRP/CS . 14
4.5 Évaluation du niveau de performance PL atteint et relation avec le SIL . 15
4.5.1 Niveau de performance PL . 15
4.5.2 Temps moyen avant défaillance dangereuse pour chaque canal (MTTF ) . 17
d
4.5.3 Couverture du diagnostic (DC). 18
4.5.4 Procédure simplifiée pour l'estimation d'un PL . 18
4.6 Exigences pour le logiciel de sécurité. 21
4.6.1 Généralités . 21
4.6.2 Logiciel intégré relatif à la sécurité (SRESW).21
4.6.3 Logiciel applicatif relatif à la sécurité (SRASW). 22
4.6.4 Paramétrage lié au logiciel . 25
4.7 Vérification de l'atteinte du PL requis . 26
4.8 Aspects ergonomiques de la conception . 26
5 Caractéristiques des fonctions de sécurité . 27
5.1 Spécification des fonctions de sécurité. 27
5.2 Détails des fonctions de sécurité. 29
5.2.1 Fonction d'arrêt liée à la sécurité. 29
5.2.2 Fonction réarmement manuel . 29
5.2.3 Fonction mise en marche et remise en marche . 30
5.2.4 Fonction commande locale . 30
5.2.5 Fonction d'inhibition . 31
5.2.6 Temps de réponse . 31
5.2.7 Paramètres relatifs à la sécurité. 31
5.2.8 Variations, perte et rétablissement des sources d’énergie. 31
6 Catégories et leur relation aux MTTF de chaque canal, DC et CCF. 32
d avg
6.1 Généralités . 32
6.2 Spécifications des catégories . 32
6.2.1 Généralités . 32
6.2.2 Architectures désignées . 33
6.2.3 Catégorie B. 33
6.2.4 Catégorie 1 . 34
6.2.5 Catégorie 2 . 35
6.2.6 Catégorie 3 . 37
6.2.7 Catégorie 4 . 38
6.3 Combinaison des SRP/CS pour atteindre un PL global . 40
7 Prise en compte des défauts, exclusion de défauts . 41
7.1 Généralités. 41
7.2 Prise en compte des défauts . 41
7.3 Exclusion de défauts . 42
8 Validation . 42
9 Maintenance. 42
10 Documentation technique . 43
11 Informations pour l'utilisation . 44
Annexe A (informative) Détermination du niveau de performance requis (PL ) . 45
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité . 48
Annexe C (informative) Calcul ou évaluation du MTTF pour des composants uniques. 50
d
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal. 58
d
Annexe E (informative) Estimations pour la couverture du diagnostic (DC) pour les fonctions et
les modules. 60
Annexe F (informative) Estimations pour les défaillances de cause commune (CCF) . 63
Annexe G (informative) Défaillance systématique . 66
Annexe H (informative) Combinaison de plusieurs parties du système de commande relatives à la
sécurité (SRP/CS). 69
Annexe I (informative) Exemples . 72
Annexe J (informative) Logiciel.79
Annexe K (informative) Représentation numérique de la Figure 5 . 83
Bibliographie . 86

iv © ISO 2006 – Tous droits réservés

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 13849-1 a été élaborée par le comité technique CEN/TC 114, Sécurité des machines et appareils, du
Comité européen de normalisation (CEN) en collaboration avec le comité technique ISO/TC 199, Sécurité des
machines, conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de Vienne).
Cette deuxième édition annule et remplace la première édition (ISO 13849-1:1999), dont elle constitue une
révision technique.
L'ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines —
Parties des systèmes de commande relatives à la sécurité:
— Partie 1: Principes généraux de conception
— Partie 2: Validation
⎯ Partie 100: Lignes directrices pour l'utilisation et l'application de l'ISO 13849-1 [Rapport technique]
Introduction
Dans le domaine de la sécurité des machines, les normes sont structurées de la manière suivante:
a) normes de type A (normes fondamentales de sécurité), précisant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines;
b) normes de type B (normes génériques de sécurité), traitant d'un aspect de la sécurité ou d'un type de
dispositif conditionnant la sécurité valable pour toutes les machines ou pour une large gamme de
machines:
⎯ normes de type B1 traitant d'aspects particuliers de la sécurité (par exemple distances de sécurité,
température de surface, bruit),
⎯ normes de type B2 traitant de dispositifs conditionnant la sécurité (par exemple commandes
bimanuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité
détaillées s'appliquant à une machine particulière ou à un groupe de machines particulier.
La présente partie de l’ISO 13849 est une norme de type B1 telle que définie dans l’ISO 12100-1.
Lorsque des dispositions de la norme de type C diffèrent de celles indiquées dans une norme de type A ou B,
ces dispositions prévalent sur celles des autres normes, et ce pour les machines conçues et fabriquées
conformément aux spécifications de la norme de type C.
La présente partie de l’ISO 13849 est destinée à donner des conseils au cours de la conception et de
l'évaluation des systèmes de commande ainsi qu'aux Comités Techniques élaborant des normes de type B2
ou de type C présumées conformes aux exigences essentielles de sécurité de l'Annexe I de la Directive du
Conseil 98/37/CE. Elle ne donne pas de conseils spécifiques pour la conformité à d'autres Directives CE.
En tant que partie de la stratégie globale de réduction des risques pour une machine, un concepteur voudra
souvent choisir de réaliser certaines mesures de réduction des risques par l'application de mesures de
protection employant une ou plusieurs fonctions de sécurité.
Les parties des systèmes de commande de machines affectées à la réalisation des fonctions de sécurité sont
appelées parties d'un système de commande relatives à la sécurité (SRP/CS), et peuvent être constituées de
matériels et de logiciels et peuvent être séparées ou intégrées au système de commande. En plus de fournir
des fonctions de sécurité, les SRP/CS peuvent faire partie d'une fonction opérationnelle (par exemple
commandes bimanuelles comme moyen de mise en marche d'un cycle ou d'un processus).
L'aptitude des parties relatives à la sécurité à exécuter une fonction de sécurité dans des conditions
prévisibles est classée en cinq niveaux appelés niveaux de performance (PL). Ces niveaux de performance
sont définis en termes de probabilité de défaillance dangereuse du système (voir Tableau 3).
La probabilité de défaillance dangereuse des fonctions de sécurité dépend de plusieurs facteurs, tels que
structure matérielle et logicielle du système, étendue des mécanismes de détection des défauts [couverture
du diagnostic (DC)], fiabilité des composants [temps moyen avant défaillance dangereuse (MTTF ),
d
défaillance de cause commune (CCF)], processus de conception, contrainte de fonctionnement, conditions
environnementales et méthodes de fonctionnement.
Afin d’aider le concepteur et de faciliter l'estimation du PL atteint, la présente partie de l’ISO 13849 définit une
approche reposant sur la classification des structures selon des critères de conception spécifiques et un
comportement spécifiés en cas de défaut. Ces catégories sont classées en cinq niveaux, appelés Catégories
B, 1, 2, 3 et 4.
vi © ISO 2006 – Tous droits réservés

Les niveaux de performance et les catégories peuvent s'appliquer aux parties d'un système de commande
relatives à la sécurité telles que
⎯ les équipements de protection (par exemple dispositifs de commande bimanuelle, dispositifs de
verrouillage), dispositifs de protection électrosensibles (par exemple barrières photoélectriques),
dispositifs sensibles à la pression,
⎯ les unités de commande (par exemple unité logique pour les fonctions de commande, traitement des
données, surveillance, etc.), et
⎯ les dispositifs de commande de l’énergie (par exemple relais, distributeurs, etc.),
ainsi qu’aux systèmes de commande exécutant des fonctions de sécurité pour tout type de machines, de la
plus simple (par exemple matériel de cuisine ou portes et barrières automatiques) aux installations
manufacturières (par exemple machines d’emballage, machines d’impression, presses).
L'objectif de la présente partie de l’ISO 13849 est de fournir une base claire permettant l'évaluation de la
conception et des performances de toute application de SRP/CS (et de la machine) par une tierce partie ou
en interne ou par un laboratoire d'essai indépendant, par exemple.
Information sur l’utilisation recommandée de la CEI 62061 et la présente partie de l’ISO 13849
La CEI 62061 et la présente partie de l’ISO 13849 spécifient les exigences pour la conception et la mise en
œuvre des systèmes de commande électriques relatifs à la sécurité des machines. L’utiliser de l’une de ces
deux Normes internationales, en accord avec leurs domaines d’application, peut présumer de satisfaire aux
exigences essentielles de sécurité appropriées. Le Tableau 1 résume les domaines d’application de la
CEI 62061 et de la présente partie de l’ISO 13849.
Tableau 1 — Utilisation recommandée de la CEI 62061 et de la présente partie de l’ISO 13849
Technologie mettant en œuvre
la(les) fonction(s) de commande ISO 13849-1 CEI 62061
relative(s) à la sécurité
A Non électrique, par exemple X Non couvert
hydraulique
a
B Électromécanique, par exemple Toutes architectures et jusqu’à SIL 3
Limité aux architecture désignées et
relais, et/ou électronique non
jusqu’à PL = e
complexe
a
C Électronique complexe, par Toutes architectures et jusqu’à SIL 3
Limité aux architecture désignées et
exemple programmable
jusqu’à PL = d
a c
D A combiné avec B
Limité aux architecture désignées et X
jusqu’à PL = e
E C combiné avec B Limité aux architecture désignées et Toutes architectures et jusqu’à SIL 3
jusqu’à PL = d
b
F C combiné avec A, ou C X
X
combiné avec A et B
X indique que ce cas est traité par la Norme internationale indiquée en tête de colonne
a
Les architectures désignées sont définies en 6.2 afin de fournir une approche simplifiée de la quantification du niveau de
performance.
b
Pour l’électronique complexe: utilisation des architectures désignées conformes à la présente partie de l’ISO 13849 jusqu’à
PL = d ou toute architecture conforme à la CEI 62061.
c
Pour la technologie non électrique, utilisation des parties en tant que sous-systèmes conformes à la présente partie de
l’ISO 13849.
NORME INTERNATIONALE ISO 13849-1:2006(F)

Sécurité des machines — Parties des systèmes de commande
relatives à la sécurité —
Partie 1:
Principes généraux de conception
1 Domaine d'application
La présente partie de l’ISO 13849 fournit des exigences de sécurité et des conseils relatifs aux principes de
conception et d'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) incluant
la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau de performance
requis, pour réaliser ces fonctions de sécurité. Elle s'applique aux SRP/CS de tous les types de machines,
indépendamment de la technologie et du type d'énergie utilisés (électrique, hydraulique, pneumatique,
mécanique, etc.).
Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés dans
un cas particulier.
La présente partie de l’ISO 13849 fournit des exigences spécifiques pour les SRP/CS utilisant un (des)
système(s) électronique(s) programmable(s).
Elle ne donne pas d’exigences spécifiques pour la conception de composants intégrés dans les SRP/CS.
Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance, peuvent être utilisés.
NOTE 1 Exemples de composants intégrés dans les SRP/CS: relais, distributeur solénoïde, interrupteur de position,
PLC, unité de commande de moteurs, dispositifs de commande bimanuelle, dispositifs de protection électrosensibles.
Pour la conception de tels composants, il est recommandé de se référer aux normes spécifiques, par exemple
l’ISO 13851, l’ISO 13856-1 et l’ISO 13856-2.
NOTE 2 Pour la définition du niveau de performance requis, voir 3.1.24.
NOTE 3 Les exigences fournies dans la présente partie de l’ISO 13849 pour les systèmes électroniques
programmables sont compatibles avec la méthodologie pour la conception et le développement des systèmes, pour les
machines, de commande électriques, électroniques et électroniques programmables relatifs à la sécurité donnés dans la
CEI 61061.
NOTE 4 Pour le logiciel embarqué relatif à la sécurité pour des composants de PL = e, voir la CEI 61508-3:1998,
r
Article 7.
NOTE 5 Voir également le Tableau 1.
2 Références normatives
Les documents de références suivants sont indispensables pour l’application du présent document. Pour les
références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière édition de la
publication à laquelle il est fait référence s'applique (y compris les amendements).
ISO 12100-1:2003, Sécurité des machines — Notions fondamentales, principes généraux de conception —
Partie 1: Terminologie de base, méthodologie
ISO 12100-2:2003, Sécurité des machines — Notions fondamentales, principes généraux de conception —
Partie 2: Principes techniques
ISO 13849-2:2003, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 2: Validation
1)
ISO 14121:— , Sécurité des machines — Principes pour l'appréciation du risque
CEI 60050-191:1990, Vocabulaire Électrotechnique International — Chapitre 191: Sûreté de fonctionnement
et qualité de service
CEI 60050-191:1990-am1:1999-am2:2002, Vocabulaire Électrotechnique International — Chapitre 191:
Sûreté de fonctionnement et qualité de service
CEI 61508-3:1998 et corr.1:1999, Sécurité fonctionnelle des systèmes électriques / électroniques /
électroniques programmables relatifs à la sécurité — Partie 3: Prescriptions concernant les logiciels
CEI 61508-4:1998 et corr.1:1999, Sécurité fonctionnelle des systèmes électriques / électroniques /
électroniques programmables relatifs à la sécurité — Partie 4: Définitions et abréviations
3 Termes, définitions, symboles et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 12100-1 et la
CEI 60050-191 ainsi que les suivants s'appliquent.
3.1.1
partie d'un système de commande relative à la sécurité
SRP/CS
partie d'un système de commande qui répond à des signaux d'entrée et génère des signaux de sortie relatifs
à la sécurité
NOTE 1 Les parties combinées d'un système de commande relatives à la sécurité commencent aux points où sont
générés les signaux relatifs à la sécurité (y compris, par exemple, la came de commande et le galet de l'interrupteur de
position) et se terminent à la sortie des pré-actionneurs (y compris, par exemple, les contacts principaux du contacteur).
NOTE 2 Si un système de surveillance est utilisé pour les diagnostics, ceux-ci sont considérés comme des SRP/CS.
3.1.2
catégorie
classification des parties relatives à la sécurité d'un système de commande liée à leur résistance aux défauts
et à leur comportement consécutif à des défauts et qui est obtenue par l'architecture des parties, la détection
des défauts et/ou leur fiabilité
3.1.3
défaut
état d'une entité caractérisée par son inaptitude à accomplir une fonction requise, non comprise l’inaptitude
due à la maintenance préventive ou à d’autres actions programmées, ou due à un manque de moyens
extérieurs
NOTE 1 Un défaut est souvent le résultat d'une défaillance de l'entité elle-même, mais il peut exister sans défaillance
préalable.
[CEI 60050-191:1990, 05-01]
NOTE 2 Dans la présente partie de l’ISO 13849, le terme «défaut» signifie «défaut aléatoire».

1) À publier. (Révision de l'ISO 14121:1999)
2 © ISO 2006 – Tous droits réservés

3.1.4
défaillance
cessation de l'aptitude d'une entité à accomplir une fonction requise
NOTE 1 Après défaillance d'une entité, cette entité a un défaut.
NOTE 2 Une défaillance est un passage d'un état à un autre, par opposition à un défaut qui est un état.
NOTE 3 La notion de défaillance, telle qu'elle est définie, ne s'applique pas à une entité constituée seulement de
logiciel.
[CEI 60050-191:1990, 04-01]
NOTE 4 Les défaillances n'affectant que la disponibilité du processus commandé ne sont pas couvertes par le
domaine d'application de la présente partie de l’ISO 13849.
3.1.5
défaillance dangereuse
défaillance qui peut potentiellement mettre une SRP/CS dans un état dangereux ou défectueux
NOTE 1 La réalisation ou non du «potentiellement» peut dépendre de l'architecture de canal du système; dans des
systèmes redondants, une défaillance dangereuse du système matériel présente moins de risque d'aboutir à un état
global dangereux ou défectueux.
NOTE 2 Adaptée de la CEI 61508-4:1998, définition 3.6.7.
3.1.6
défaillance de cause commune
CCF
défaillances qui affectent plusieurs entités à partir d’un même événement et qui ne résultent pas les unes des
autres
[CEI 60050-191:1990-am1:1999, 04-23]
NOTE Il convient de ne pas confondre les défaillances de cause commune et les défaillances de mode commun (voir
l’ISO 12100-1:2003, 3.34).
3.1.7
défaillance systématique
défaillance associée de façon déterministe à une certaine cause, ne pouvant être éliminée que par une
modification de la conception ou du processus de fabrication, des procédures d’exploitation, de la
documentation ou d’autres facteurs appropriés
NOTE 1 La maintenance corrective sans modification n'élimine pas, habituellement, la cause de la défaillance.
NOTE 2 Une défaillance systématique peut être induite en simulant la cause de la défaillance.
[CEI 60050-191:1990, 04-19]
NOTE 3 Exemples de causes de défaillances systématiques incluant les erreurs humaines dans
⎯ la spécification des exigences de sécurité;
⎯ la conception, la fabrication, l'installation et l'exploitation du matériel;
⎯ la conception, la mise en œuvre, etc., du logiciel.
3.1.8
inhibition
interruption automatique et temporaire de fonction(s) de sécurité par les SRP/CS
3.1.9
réarmement manuel
fonction interne aux SRP/CS permettant de rétablir manuellement des fonctions de sécurité données avant la
remise en marche d'une machine
3.1.10
dommage
blessure physique ou atteinte à la santé
[EN ISO 12100-1:2003, 3.5]
3.1.11
phénomène dangereux
source potentielle de dommage
NOTE 1 L'expression «phénomène dangereux» peut être qualifiée de manière à faire apparaître l'origine (par exemple
phénomène dangereux mécanique, phénomène dangereux électrique) ou la nature du dommage potentiel (par exemple
risque de choc électrique, de coupure, d'intoxication, d'incendie).
NOTE 2 Le phénomène dangereux envisagé dans cette définition
⎯ est présent en permanence pendant l'utilisation normale de la machine (par exemple déplacement d'éléments
mobiles dangereux, arc électrique pendant une phase de soudage, mauvaise posture, émission de bruit, température
élevée), ou
⎯ peut apparaître de manière inattendue (par exemple explosion, risque d'écrasement résultant d'une mise en marche
intempestive/inattendue, projection résultant d'une rupture, chute résultant d'une accélération ou d'une décélération).
[ISO 12100-1:2003, 3.6]
3.1.12
situation dangereuse
situation dans laquelle une personne est exposée à au moins un phénomène dangereux, l'exposition pouvant
entraîner un dommage, immédiatement ou à plus long terme
[ISO 12100-1:2003, 3.9]
3.1.13
risque
combinaison de la probabilité d'un dommage et de la gravité de ce dommage
[ISO 12100-1:2003, 3.11]
3.1.14
risque résiduel
risque subsistant après que des mesures de prévention ont été prises
Voir Figure 2.
NOTE Adaptée de l’ISO 12100-1:2003, définition 3.12.
3.1.15
appréciation du risque
processus global d'analyse et d'évaluation du risque
[ISO 12100-1:2003, 3.13]
4 © ISO 2006 – Tous droits réservés

3.1.16
analyse du risque
combinaison de la détermination des limites de la machine, de l'identification des phénomènes dangereux et
de l'estimation du risque
[ISO 12100-1:2003, 3.14]
3.1.17
évaluation du risque
jugement destiné à établir, à partir de l'analyse du risque, si les objectifs de réduction du risque ont été
atteints
[ISO 12100-1:2003, 3.16]
3.1.18
utilisation normale d'une machine
utilisation d’une machine conformément aux indications données dans les instructions pour l'utilisation
(ISO 12100-1:2003, 3.22)
3.1.19
mauvais usage raisonnablement prévisible
utilisation d'une machine d'une manière ne correspondant pas aux intentions du concepteur, mais pouvant
résulter d'un comportement humain aisément prévisible
[ISO 12100-1:2003, 3.23]
3.1.20
fonction de sécurité
fonction d'une machine dont la défaillance peut provoquer un accroissement immédiat du (des) risque(s)
[ISO 12100-1:2003, 3.28]
3.1.21
surveillance continue
fonction de sécurité assurant qu'une mesure de prévention est initiée si l'aptitude d'un composant ou d'un
élément à exécuter sa fonction diminue ou si les conditions de fonctionnement sont modifiées de telle façon
qu'il en résulte une diminution de la réduction du risque
3.1.22
système électronique programmable
PES
système de commande, de protection ou de surveillance reposant sur un ou plusieurs dispositifs
électroniques programmables, y compris tous les éléments du système tels que les alimentations en énergie,
les capteurs et autres dispositifs d'entrée, jusqu'aux actionneurs et autres dispositifs de sortie
NOTE Adaptée de la CEI 61508-4:1998, définition 3.3.2.
3.1.23
niveau de performance
PL
niveau discret d’aptitude de parties relatives à la sécurité à réaliser une fonction de sécurité dans des
conditions prévisibles
NOTE Voir 4.5.1.
3.1.24
niveau de performance requis
PL
r
niveau de performance (PL) permettant d'atteindre la réduction du risque requise pour chaque fonction de
sécurité
NOTE Voir Figures 2 et A.1.
3.1.25
temps moyen avant défaillance dangereuse
MTTF
d
valeur probable de la durée moyenne avant défaillance dangereuse
NOTE Adaptée de la CEI 62061:2005, définition 3.2.34.
3.1.26
couverture du diagnostic
DC
mesure de l’efficacité du diagnostic, peut être définie comme la fraction de la probabilité de défaillances
dangereuses détectées sur la probabilité de toutes les défaillances dangereuses
NOTE 1 La couverture du diagnostic peut se rapporter à tout ou partie d’un système relatif à la sécurité. Elle peut, par
exemple, concerner des capteurs et/ou un système logique et/ou des éléments terminaux.
NOTE 2 Adaptée de la CEI 61508-4:1998, définition, 3.8.6.
3.1.27
mesure de prévention
mesure destinée à réduire le risque
EXEMPLE 1 Mise en œuvre par le concepteur: prévention intrinsèque, protection et mesures de prévention
complémentaires, informations pour l'utilisation.
EXEMPLE 2 Mise en œuvre par l'utilisateur: organisation (méthodes de travail sûres, surveillance, système du permis
de travailler), fourniture et utilisation de moyens de protection supplémentaires, équipement de protection individuelle,
formation.
NOTE Adaptée de l’ISO 12100-1:2003, définition 3.18.
3.1.28
durée de mission
T
M
laps de temps couvrant l'utilisation normale d'une SRP/CS
3.1.29
taux d'essais
r
t
fréquence des essais en ligne permettant de détecter les défauts d’un SRP/CS, valeur inverse de l'intervalle
entre essais de diagnostic
3.1.30
taux de demande
r
d
fréquence de sollicitation d'une action relative à la sécurité d'une SRP/CS
3.1.31
taux de réparation
r
r
valeur inverse de l’intervalle de temps entre la détection d'une défaillance dangereuse par un essai en ligne
ou un dysfonctionnement évident du système et la remise en marche après réparation du
système/remplacement du composant
NOTE Le temps de réparation ne comprend pas le temps nécessaire à la détection de la défaillance.
6 © ISO 2006 – Tous droits réservés

3.1.32
système de commande de la machine
système qui répond aux signaux d’entrée de parties de machines, des opérateurs, des équipements de
commande externes ou de toute combinaison de ceux-ci et qui génère des signaux de sorties imposant à la
machine un comportement attendu
NOTE Le système de commande de la machine peut utiliser toute technologie ou combinaison de différentes
technologies (exemple électrique/électronique, hydraulique, pneumatique, mécanique).
3.1.33
Niveau d’intégrité de sécurité
SIL
niveau discret (parmi trois possibles) permettant de spécifier les exigences concernant l’intégrité de sécurité
des fonctions de commandes relatives à la sécurité à allouer aux systèmes électriques, électroniques et
électroniques programmables relatifs à la sécurité, le niveau 4 d’intégrité de sécurité possédant le plus haut
degré d’intégrité et le niveau 1 possédant le plus bas
[CEI 61508-4:1998, 3.5.6]
3.1.34
langage de variabilité limitée
LVL
type de langage qui fournit la possibilité de combiner des fonctions de bibliothèques, prédéfinies, spécifiques
à une application, pour mettre en œuvre les spécifications des exigences concernant la sécurité
NOTE 1 Adaptée de la CEI 61511-1:2003, définition 3.2.80.1.2.
NOTE 2 Des exemples typiques de LVL sont donnés dans la CEI 61131-3. Ils incluent: échelle logique, schéma bloc
fonctionnel.
NOTE 3 Un exemple typique de système utilisant le LVL: PLC.
3.1.35
langage de variabilité totale
FVL
type de langage qui fournit la possibilité de mettre en œuvre une gamme étendue de fonctions et
d’applications
EXEMPLE C, C++, assembleur.
NOTE 1 Adaptée de la CEI 61511-1:2003, définition 3.2.80.1.3.
NOTE 2 Un exemple typique de système utilisant le FVL: ordinateur d’usage général.
NOTE 3 Le FVL se trouve normalement dans les logiciels intégrés et rarement dans les logiciels d’application.
3.1.36
logiciel d’application
logiciel spécifique d’application qui a été implémenté par le concepteur de la machine et qui contient
généralement des séquences logiques, des limites et des expressions qui commandent l’entrée, la sortie, les
calculs appropriés et les décisions nécessaires pour satisfaire aux exigences des SRP/CS
3.1.37
logiciel intégré
micrologiciel
logiciel système
logiciel faisant partie du système fourni par le constructeur et non accessible par l’utilisateur en vue d’une
modification
NOTE Le logiciel intégré est généralement écrit en FVL.
3.2 Symboles et abréviations
Voir Tableau 2.
Tableau 2 — Symboles et abréviations
Symbole et Définition ou
Description
abréviation occurrence
a, b, c, d, e dénomination des niveaux de performance Tableau 3
AMDE analyse des modes de défaillance et de leurs effets 7.2
AOPD dispositif actif de protection optoélectronique (exemple barrière infra- Annexe H
rouge)
B, 1, 2, 3, 4 dénomination des catégories Tableau 7
nombre de cycles jusqu'à ce que 10 % des composants échouent Annexe C
B
10d
dangereusement (pour des composants pneumatiques et
électromécaniques)
Cat. catégorie 3.1.2
CC convertisseur de courant Annexe I
CCF défaillance de cause commune 3.1.6
DC couverture du diagnostic 3.1.26
DC
couverture du diagnostic moyenne E.2
avg
F, F1, F2 fréquence et/ou durée d’exposition au phénomène dangereux A.2.2
FB bloc fonction 4.6.3
FVL langages de variabilité 3.1.35
I, I1, I2 dispositif d'entrée, par exemple capteur 6.2
i, j indice de comptage Annexe D
I/O entrées/sorties Tableau E.1
i , i moyens d'interconnexion Figure 4
ab bc
K1A, K1B contacteurs Annexe I
L, L1, L2 logique 6.2
M moteur Annexe I
MTTF temps moyen avant défaillance Annexe C
MTTF temps moyen avant défaillance dangereuse 3.1.25
d
 nombre d'éléments 6.3, D.1
n, N, N
N nombre de SRP/CS de niveau PL dans une combinaison de SRP/CS 6.3
low low
O, O1, O2, dispositif de sortie, par exemple actionneur 6.2
OTE
P, P1, P2 possibilité d'évitement du phénomène dangereux A.2.3
PES système électronique programmable 3.1.22
PL niveau de performance 3.1.23
PLC automate programmable industriel (API en français) Annexe I
8 © ISO 2006 – Tous droits réservés

Tableau 2 (suite)
Symbole et Description Définition ou
abréviation occurrence
PL plus faible niveau de performance d'une SRP/CS dans une 6.3
low
combinaison de SRP/CS
PL
niveau de performance requis 3.1.24
r
r taux de demande 3.1.30
d
RS détecteur de rotation Annexe I
S, S1, S2 gravité de la blessure A.2.1
SW1A, SW1B, capteur de position Annexe I
SW2
SIL niveau d’intégrité de sécurité Tableau 4
SRASW logiciel relatif à la sécurité d'application 4.6.3
SRESW logiciel incorporé relatif à la sécurité 4.6.2
SRP partie relative à la sécurité général
SRP/CS partie d'un système de commande relative à la sécurité 3.1.1
TE équipement d'essai 6.2
T durée de mission 3.1.28
M
4 Considérations relatives à la conception
4.1 Objectifs de sécurité lors de la conception
Les SRP/CS doivent être conçues et construites de sorte que les principes de l'ISO 12100 et de l'ISO 14121
soient pleinement pris en compte (voir Figures 1 et 3). Toute utilisation prévue et tout mauvais usage
raisonnablement prévisible doivent être considérés.
a
Référence à l’ISO 12100-1:2003.
b
Référence à la présente partie de l’ISO 13849.
Figure 1 — Présentation de l'appréciation/réduction du risque
10 © ISO 2006 – Tous droits réservés

4.2 Stratégie de réduction du risque
4.2.1 Généralités
La stratégie de réduction du risque au niveau de la machine est donnée dans l'ISO 12100-1:2003, Article 5 et
d'autres conseils sont donnés dans l'ISO 12100-2:2003, Article 4 (mesures de prévention intrinsèques) et
Article 5 (protection et mesures de prévention complémentaires). Cette stratégie couvre l'ensemble du cycle
de vie de la machine.
L’analyse du risque et le processus de réduction du risque pour une machine imposent que les phénomènes
dangereux soient éliminés ou réduits selon la hiérarchie de mesures:
⎯ élimination du phénomène dangereux et réduction du risque par conception (voir l'ISO 12100-2:2003,
Article 4);
⎯ réduction du risque par protection et possibles mesures de prévention complémentaires (voir
l'ISO 12100-2:2003, Article 5);
⎯ réduction du risque par la fourniture d’information pour l’utilisation à propos du risque (voir
l'ISO 12100-2:2003, Article 6).
4.2.2 Contribution à la réduction du risque par le système de commande
L’objectif de la procédure générale de conception de la machine suivante vise à atteindre les objectifs de
sécurité (voir 4.1). La conception de la SRP/CS pour obtenir la réduction du risque requise fait partie
intégrante de la procédure générale de conception de la machine. La SRP/CS assure une (des) fonction(s) de
sécurité à un PL qui permet d’atteindre la réduction du risque requise. La conception de la SRP/CS fait partie
de la stratégie de réduction du risque dans la mesure où elle assure une (des) fonction(s) de sécurité, soit en
tant que partie intrinsèque de la conception soit en tant que commande pour un moyen de protection ou un
dispositif de protection. Il s'agit d'un processus itératif illustré aux Figures 1 et 3.
Pour chaque fonction de sécurité, les caractéristiques (voir Article 5) et les niveaux de performance requis
doivent être précisés et documentés dans la spécification sur la sécurité.
Dans la présente partie de l’ISO 13849, les niveaux de performance sont définis en termes de probabilité de
défaillance dangereuse par heure. Il définit cinq niveaux (a à e) basés sur une gamme de probabilités de
défaillance dangereuse par heure (voir Tableau 3).
Tableau 3 — Niveaux de performance (PL)
Probabilité moyenne d'une défaillance
PL dangereuse par heure
1/h
−5 −4
W 10 à < 10
a
−6 −5
W 3 × 10 à < 10
b
−6 −6
W 10 à < 3 × 10
c
−7 −6
W 10 à < 10
d
−8 −7
e W 10 à < 10
NOTE Au delà de la probabilité moyenne d’une défaillance dangereuse par heure, d’autres mesures sont nécessaires
pour obtenir le niveau de performance.

À partir de l'appréciation du risque (voir l'ISO 14121) de la machine, le concepteur doit décider quelle
contribution à la réduction du risque doit fournir chaque SRP/CS concernée. Cette contribution ne couvre pas
le risque global de la machine commandée: par exemple, ce n’est pas le risque global présenté par une
presse mécanique ou une machine à laver qui est considéré, mais seulement la partie du risque qui est
réduite par l'application de fonctions de sécurité particulières. La fonction d'arrêt déclenchée par un
équipement de pro
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

This May Also Interest You

ISO
ISO 13855:2024(Main)
Safety of machinery - Positioning of safeguards with respect to the approach of the human body

This document specifies requirements for the positioning and dimensioning of safeguards with respect to the approach of the human body or its parts towards hazard(s) within the intended span-of-control as follows: - the position and dimension of the detection zone(s) of ESPE and pressure-sensitive mats and pressure-sensitive floors; - the position of two-hand control devices and single control devices; - the position of interlocking guards. This document also specifies requirements for the positioning of safety-related manual control devices (SRMCD) with respect to the approach of the human body or its parts from within the safeguard space relative to: - the position and dimension of the detection zone(s) of ESPE and pressure-sensitive mats and pressure-sensitive floors; and - the position and dimension of interlocking guards. When evaluating the ability of the human body or its parts to access SRMCD from within the intended safeguarded space, the requirements of this document are also applicable to determine the dimensions of safeguard(s). Approaches such as running, jumping or falling, are not considered in this document. NOTE 1 The values for approach speeds (walking speed and upper limb movement) in this document are time tested and proven in practical experience. NOTE 2 Other types of approach can result in approach speeds that are higher or lower than those defined in this document. This document applies to safeguards used on machinery for the protection of persons 14 years and older. Safeguards considered in this document include: a) electro-sensitive protective equipment (ESPE) such as: - active opto-electronic protective devices (AOPDs) (see IEC 61496-2); - AOPDs responsive to diffuse reflection that have one or more detection zone(s) specified in two dimensions (AOPDDRs-2D) (see IEC 61496-3); - AOPDs responsive to diffuse reflection that have one or more detection zone(s) specified in three dimensions (AOPDDRs-3D) (see IEC 61496-3); - vision based protective devices using reference pattern techniques (VBPDPP) (see IEC/TS 61496-4-2); - vision based protective devices using stereo vision techniques (VBPDST) (see IEC/TS 61496-4-3); b) pressure-sensitive mats and pressure-sensitive floors (see ISO 13856-1); c) two-hand control devices (see ISO 13851); d) single control devices; e) interlocking guards (see ISO 14120). This document is not applicable to: - safeguards (e.g. pendant two-hand control devices) that can be manually moved, without using tools, nearer to the hazard zone than the separation distance; - protection against the risks from hazards arising from emissions (e.g. the ejection of solid or fluid materials, radiation, electric arcs, heat, noise, fumes, gases); - protection against the risks arising from failure of mechanical parts of the machine or gravity falls. The separation distances derived from this document do not apply to safeguards used solely for presence sensing function.

  • Standard
    72 pages
    English language
    sale 15% off
  • Standard
    79 pages
    French language
    sale 15% off
ISO
ISO 14119:2024(Main)
Safety of machinery - Interlocking devices associated with guards - Principles for design and selection

This document specifies principles for the design and selection (independent of the nature of the energy source) of interlocking devices associated with guards and provides guidance on measures to minimize the possibility of defeat of interlocking devices in a reasonably foreseeable manner. This document covers principles for the design, selection and application of the following: - parts of the guards which actuate interlocking devices; - trapped key interlocking devices and systems for machinery applications. NOTE ISO 14120 specifies general requirements for the design and construction of guards provided primarily to protect persons from mechanical hazards. The processing of the signal from the interlocking device to stop the machine and prevent unexpected start up is covered in ISO 14118, ISO 13849-1 and IEC 62061.

  • Standard
    106 pages
    English language
    sale 15% off
  • Standard
    108 pages
    French language
    sale 15% off
ISO
ISO 13849-1:2023(Main)
Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

This document specifies a methodology and provides related requirements, recommendations and guidance for the design and integration of safety‐related parts of control systems (SRP/CS) that perform safety functions, including the design of software. This document applies to SRP/CS for high demand and continuous modes of operation including their subsystems, regardless of the type of technology and energy (e.g. electrical, hydraulic, pneumatic, and mechanical). This document does not apply to low demand mode of operation. NOTE 1 See 3.1.44 and the IEC 61508 series for low demand mode of operation. This document does not specify the safety functions or required performance levels (PLr) that are to be used in particular applications. NOTE 2 This document specifies a methodology for SRP/CS design without considering if certain machinery (e.g. mobile machinery) has specific requirements. These specific requirements can be considered in a Type‑C standard. This document does not give specific requirements for the design of products/components that are parts of SRP/CS. Specific requirements for the design of some components of SRP/CS are covered by applicable ISO and IEC standards. This document does not provide specific measures for security aspects (e.g. physical, IT-security, cyber security). NOTE 3 Security issues can have an effect on safety functions. See ISO/TR 22100-4 and IEC/TR 63074 for further information.

  • Standard
    152 pages
    English language
    sale 15% off
  • Standard
    152 pages
    English language
    sale 15% off
  • Standard
    165 pages
    French language
    sale 15% off
  • Standard
    165 pages
    French language
    sale 15% off
ISO
ISO/TR 22053:2021(Main)
Safety of machinery - Safeguarding supportive system

This document provides guidance for the design and integration of a safeguarding supportive system (SSS) which is intended to include a mode selection as part of an SRP/CS or to add a layer of personnel authentication and authorization to an IMS designed according to ISO 11161. This document is meant to be used in conjunction with ISO 11161. This document is applicable to the SSS but does not address personnel qualification and competency.

  • Technical report
    8 pages
    English language
    sale 15% off
ISO
ISO/TR 22100-1:2021(Main)
Safety of machinery - Relationship with ISO 12100 - Part 1: How ISO 12100 relates to type-B and type-C standards

This document provides assistance to the designer/manufacturer of machinery and related components as to how the system of existing type-A, type-B and type-C machinery safety standards should be applied in order to design a machine to achieve a level of tolerable risk by adequate risk reduction. This document explains the general principles of ISO 12100 and how this type-A standard is used for practical cases in conjunction with type-B and type-C machinery safety standards. This document provides assistance to standards-writing committees on how ISO 12100 and type-B and type-C standards relate and explains their function in the risk assessment and risk reduction process according to ISO 12100. This document includes an overview of existing categories of type-B standards to assist standards readers and writers to navigate the many standards.

  • Technical report
    16 pages
    English language
    sale 15% off
ISO
ISO/TR 22100-5:2021(Main)
Safety of machinery - Relationship with ISO 12100 - Part 5: Implications of artificial intelligence machine learning

This document addresses how artificial intelligence machine learning can impact the safety of machinery and machinery systems. This document describes how hazards being associated with artificial intelligence (AI) applications machine learning in machinery or machinery systems, and designed to act within specific limits, can be considered in the risk assessment process. This document is not applicable to machinery or machinery systems with AI applications machine learning designed to act beyond specified limits that can result in unpredictable effects. This document does not address safety systems with AI, for example, safety-related sensors and other safety-related parts of control systems.

  • Technical report
    6 pages
    English language
    sale 15% off
  • Technical report
    6 pages
    French language
    sale 15% off
ISO
ISO 13857:2019(Main)
Safety of machinery - Safety distances to prevent hazard zones being reached by upper and lower limbs

This document establishes values for safety distances in both industrial and non-industrial environments to prevent machinery hazard zones being reached. The safety distances are appropriate for protective structures. It also gives information about distances to impede free access by the lower limbs (see Annex B). This document covers people of 14 years and older (the 5th percentile stature of 14-year-olds is approximately 1 400 mm). In addition, for upper limbs only, it provides information for children older than 3 years (5th percentile stature of 3-year-olds is approximately 900 mm) where reaching through openings needs to be addressed. NOTE 1 It is not practical to specify safety distances for all persons. Therefore, the values presented are intended to cover the 95th percentile of the population. Data for preventing lower limb access for children is not considered. The distances apply when sufficient risk reduction can be achieved by distance alone. Because safety distances depend on size, some people of extreme dimensions will still be able to reach hazard zones even when the requirements of this document are met. Compliance with the requirements in this document will prevent access to the hazard zone. Nevertheless the user of this document is advised that it does not provide the required risk reduction for every hazard (e.g. hazards related to machine emissions such as ionizing radiation, heat sources, noise, dust). The clauses covering lower limbs apply on their own only when access by the upper limbs to the same hazard zone is not foreseeable according to the risk assessment. The safety distances are intended to protect those persons trying to reach hazard zones under the conditions specified (see 4.1.1). NOTE 2 This document is not intended to provide measures against reaching a hazard zone by climbing over (see ISO 14120:2015, 5.18).

  • Standard
    20 pages
    English language
    sale 15% off
  • Standard
    20 pages
    French language
    sale 15% off
ISO
ISO 20607:2019(Main)
Safety of machinery - Instruction handbook - General drafting principles

This document specifies requirements for the machine manufacturer for preparation of the safety-relevant parts of an instruction handbook for machinery. This document: - provides further specifications to the general requirements on information for use given in ISO 12100:2010, 6.4.5; and - deals with the safety-related content, the corresponding structure and presentation of the instruction handbook, taking into account all phases of the life cycle of the machine. NOTE 1 The strategy for risk reduction at the machine is given in ISO 12100:2010, Clause 6, and includes inherently safe design measures, safeguarding and complementary risk reduction measures as well as information for use. NOTE 2 Annex A contains a correspondence table between ISO 12100:2010, 6.4, and this document. NOTE 3 Information for conception and preparation of instructions in general is available in IEC/IEEE 82079-1. This document establishes the principles which are indispensable to provide information on residual risks. This document does not address requirements for declaration of noise and vibration emissions. This document is not applicable to machinery manufactured before the date of its publication.

  • Standard
    24 pages
    English language
    sale 15% off
  • Standard
    25 pages
    French language
    sale 15% off
ISO
ISO 13851:2019(Main)
Safety of machinery - Two-hand control devices - Principles for design and selection

This document specifies the safety requirements of a two-hand control device (THCD) and the dependency of the output signal from the actuation by hand of the control actuating devices. This document describes the main characteristics of THCDs for the achievement of safety and sets out combinations of functional characteristics for three types. It does not apply to devices intended to be used as enabling devices, as hold-to-run devices or as special control devices. This document does not specify with which machines THCDs shall be used. It also does not specify which types of two-hand-control device shall be used for a specific application. Moreover, while guidance is given, it does not specify the required distance between the THCD and the danger zone (see 8.8). This document provides requirements for design and guidance on the selection (based on a risk assessment) of THCDs including the prevention of defeat, the avoidance of faults and verification of compliance. NOTE 1 A THCD only offers protection for the person using it. NOTE 2 For specific machines, the suitability of a two-hand control as a suitable protective device can be defined in a type-C standard. If such a standard does not exist or is not appropriate, the risk assessment and determination of suitable protective measures is the responsibility of the manufacturer of the machine. This document applies to all THCDs, independent of the energy used, including: - THCDs which are fully assembled for installation; - THCDs which are assembled by the machine manufacturer or integrator. This document is not applicable to THCDs manufactured before the date of its publication.

  • Standard
    21 pages
    English language
    sale 15% off
  • Standard
    22 pages
    French language
    sale 15% off
ISO
ISO 19353:2019(Main)
Safety of machinery - Fire prevention and fire protection

This document specifies methods for identifying fire hazards resulting from machinery and for performing a risk assessment. It gives the basic concepts and methodology of protective measures for fire prevention and protection to be taken during the design and construction of machinery. The measures consider the intended use and reasonably foreseeable misuse of the machine. It provides guidelines for consideration in reducing the risk of machinery fires to acceptable levels through machine design, risk assessment and operator instructions. This document is not applicable to: - mobile machinery; - machinery designed to contain controlled combustion processes (e.g. internal combustion engines, furnaces), unless these processes can constitute the ignition source of a fire in other parts of the machinery or outside of this; - machinery used in potentially explosive atmospheres and explosion prevention and protection; and - fire detection and suppression systems that are integrated in building fire safety systems. It is also not applicable to machinery or machinery components manufactured before the date of its publication.

  • Standard
    49 pages
    English language
    sale 15% off
  • Standard
    50 pages
    French language
    sale 15% off