ISO 13849-1:2006
(Main)Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
ISO 13849-1:2006 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. ISO 13849-1:2006 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used.
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception
L'ISO 13849-1:2006 fournit des exigences de sécurité et des conseils relatifs aux principes de conception et d'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau de performance requis, pour réaliser ces fonctions de sécurité. Elle s'applique aux SRP/CS de tous les types de machines, indépendamment de la technologie et du type d'énergie utilisés (électrique, hydraulique, pneumatique, mécanique, etc.). Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés dans un cas particulier. L'ISO 13849-1:2006 fournit des exigences spécifiques pour les SRP/CS utilisant un (des) système(s) électronique(s) programmable(s). Elle ne donne pas d'exigences spécifiques pour la conception de composants intégrés dans les SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance, peuvent être utilisés.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13849-1
Second edition
2006-11-01
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
ISO 13849-1:2006(E)
©
ISO 2006
---------------------- Page: 1 ----------------------
ISO 13849-1:2006(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO 2006
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2006 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 13849-1:2006(E)
Contents Page
Foreword. v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms. 2
3.1 Terms and definitions. 2
3.2 Symbols and abbreviated terms . 8
4 Design considerations . 9
4.1 Safety objectives in design. 9
4.2 Strategy for risk reduction. 11
4.2.1 General. 11
4.2.2 Contribution to the risk reduction by the control system . 11
4.3 Determination of required performance level (PL ). 14
r
4.4 Design of SRP/CS . 14
4.5 Evaluation of the achieved performance level PL and relationship with SIL. 15
4.5.1 Performance level PL . 15
4.5.2 Mean time to dangerous failure of each channel (MTTF ) . 17
d
4.5.3 Diagnostic coverage (DC) . 18
4.5.4 Simplified procedure for estimating PL. 18
4.6 Software safety requirements . 21
4.6.1 General. 21
4.6.2 Safety-related embedded software (SRESW) . 21
4.6.3 Safety-related application software (SRASW) . 22
4.6.4 Software-based parameterization . 25
4.7 Verification that achieved PL meets PL . 26
r
4.8 Ergonomic aspects of design. 26
5 Safety functions . 26
5.1 Specification of safety functions . 26
5.2 Details of safety functions . 28
5.2.1 Safety-related stop function . 28
5.2.2 Manual reset function. 29
5.2.3 Start/restart function . 29
5.2.4 Local control function . 30
5.2.5 Muting function. 30
5.2.6 Response time . 30
5.2.7 Safety–related parameters. 30
5.2.8 Fluctuations, loss and restoration of power sources. 31
6 Categories and their relation to MTTF of each channel, DC and CCF. 31
d avg
6.1 General. 31
6.2 Specifications of categories . 32
6.2.1 General. 32
6.2.2 Designated architectures. 32
6.2.3 Category B. 32
6.2.4 Category 1 . 33
6.2.5 Category 2 . 34
6.2.6 Category 3 . 35
6.2.7 Category 4 . 36
6.3 Combination of SRP/CS to achieve overall PL . 39
© ISO 2006 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 13849-1:2006(E)
7 Fault consideration, fault exclusion. 40
7.1 General . 40
7.2 Fault consideration . 40
7.3 Fault exclusion . 41
8 Validation . 41
9 Maintenance. 41
10 Technical documentation. 41
11 Information for use . 42
Annex A (informative) Determination of required performance level (PL ) . 44
r
Annex B (informative) Block method and safety-related block diagram . 47
Annex C (informative) Calculating or evaluating MTTF values for single components. 49
d
Annex D (informative) Simplified method for estimating MTTF for each channel . 57
d
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and modules. 59
Annex F (informative) Estimates for common cause failure (CCF). 62
Annex G (informative) Systematic failure . 64
Annex H (informative) Example of combination of several safety-related parts of the control
system . 67
Annex I (informative) Examples . 70
Annex J (informative) Software.77
Annex K (informative) Numerical representation of Figure 5 . 80
Bibliography . 83
iv © ISO 2006 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 13849-1:2006(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 13849-1 was prepared by the European Committee for Standardization (CEN) Technical Committee
CEN/TC 114, Safety of machinery, in collaboration with Technical Committee ISO/TC 199, Safety of
machinery, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO ISO 13849-1:1999), which has been technically
revised.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related parts
of control systems:
⎯ Part 1: General principles for design
⎯ Part 2: Validation
⎯ Part 100: Guidelines for the use and application of ISO 13849-1 [Technical Report]
© ISO 2006 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 13849-1:2006(E)
Introduction
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects that
can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
⎯ type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
⎯ type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure sensitive
devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a particular
machine or group of machines.
This part of ISO 13849 is a type-B-1 standard as stated in ISO 12100-1.
When provisions of a type-C standard are different from those which are stated in type-A or type-B standards,
the provisions of the type-C standard take precedence over the provisions of the other standards for machines
that have been designed and built according to the provisions of the type-C standard.
This part of ISO 13849 is intended to give guidance to those involved in the design and assessment of control
systems, and to Technical Committees preparing Type-B2 or Type-C standards which are presumed to
comply with the Essential Safety Requirements of Annex I of the Council Directive 98/37/EC, The Machinery
Directive. It does not give specific guidance for compliance with other EC directives.
As part of the overall risk reduction strategy at a machine, a designer will often choose to achieve some
measure of risk reduction through the application of safeguards employing one or more safety functions.
Parts of machinery control systems that are assigned to provide safety functions are called safety-related
parts of control systems (SRP/CS) and these can consist of hardware and software and can either be
separate from the machine control system or an integral part of it. In addition to providing safety functions,
SRP/CS can also provide operational functions (e.g. two-handed controls as a means of process initiation).
The ability of safety-related parts of control systems to perform a safety function under foreseeable conditions
is allocated one of five levels, called performance levels (PL). These performance levels are defined in terms
of probability of dangerous failure per hour (see Table 3).
The probability of dangerous failure of the safety function depends on several factors, including hardware and
software structure, the extent of fault detection mechanisms [diagnostic coverage (DC)], reliability of
components [mean time to dangerous failure (MTTF ), common cause failure (CCF)], design process,
d
operating stress, environmental conditions and operation procedures.
In order to assist the designer and help facilitate the assessment of achieved PL, this document employs a
methodology based on the categorization of structures according to specific design criteria and specified
behaviours under fault conditions. These categories are allocated one of five levels, termed Categories B, 1, 2,
3 and 4.
vi © ISO 2006 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 13849-1:2006(E)
The performance levels and categories can be applied to safety-related parts of control systems, such as
⎯ protective devices (e.g. two-hand control devices, interlocking devices), electro-sensitive protective
devices (e.g. photoelectric barriers), pressure sensitive devices,
⎯ control units (e.g. a logic unit for control functions, data processing, monitoring, etc.), and
⎯ power control elements (e.g. relays, valves, etc),
as well as to control systems carrying out safety functions at all kinds of machinery — from simple (e.g. small
kitchen machines, or automatic doors and gates) to manufacturing installations (e.g. packaging machines,
printing machines, presses).
This part of ISO 13849 is intended to provide a clear basis upon which the design and performance of any
application of the SRP/CS (and the machine) can be assessed, for example, by a third party, in-house or by
an independent test house.
Information on the recommended application of IEC 62061 and this part of ISO 13849
IEC 62061 and this part of ISO 13849 specify requirements for the design and implementation of safety-
related control systems of machinery. The use of either of these International Standards, in accordance with
their scopes, can be presumed to fulfil the relevant essential safety requirements. The following table
summarizes the scopes of IEC 62061 and this part of ISO 13849.
Table 1 — Recommended application of IEC 62061 and ISO 13849-1
Technology implementing the
ISO 13849-1 IEC 62061
safety-related control function(s)
A Non-electrical, e.g. hydraulics X Not covered
B Electromechanical, e.g. relays, Restricted to designated All architectures and up to SIL 3
a
and/or non complex electronics
architectures and up to PL = e
C Complex electronics, e.g. Restricted to designated All architectures and up to SIL 3
a
programmable
architectures and up to PL = d
D A combined with B Restricted to designated
c
X
a
architectures and up to PL = e
E C combined with B Restricted to designated All architectures and up to SIL 3
architectures (see Note 1) and up to
PL = d
F C combined with A, or C
b c
X X
combined with A and B
X indicates that this item is dealt with by the International Standard shown in the column heading.
a
Designated architectures are defined in 6.2 in order to give a simplified approach for quantification of performance level.
b
For complex electronics: use designated architectures according to this part of ISO 13849 up to PL = d or any architecture
according to IEC 62061.
c
For non-electrical technology, use parts in accordance with this part of ISO 13849 as subsystems.
© ISO 2006 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO 13849-1:2006(E)
Safety of machinery — Safety-related parts of control
systems —
Part 1:
General principles for design
1 Scope
This part of ISO 13849 provides safety requirements and guidance on the principles for the design and
integration of safety-related parts of control systems (SRP/CS), including the design of software. For these
parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety
functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic,
pneumatic, mechanical, etc.), for all kinds of machinery.
It does not specify the safety functions or performance levels that are to be used in a particular case.
This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the
principles given, such as categories or performance levels, can be used.
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor
control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to
refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856-1 and ISO 13856-2.
NOTE 2 For the definition of required performance level, see 3.1.24.
NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are compatible with
the methodology for the design and development of safety-related electrical, electronic and programmable electronic
control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PL = e see IEC 61508-3:1998, Clause 7.
r
NOTE 5 See also Table 1.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 12100-1:2003, Safety of machinery — Basic concepts, general principles for design — Part 1: Basic
terminology, methodology
ISO 12100-2:2003, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles
ISO 13849-2:2003, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
© ISO 2006 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO 13849-1:2006(E)
1)
ISO 14121 , Safety of machinery — Principles of risk assessment
IEC 60050-191:1990, International electrotechnical vocabulary — Chapter 191: Dependability and quality of
service, and IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999, Amendment 1 and Amendment 2,
International Electrotechnical Vocabulary. Chapter 191: Dependability and quality of service
IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems -
Part 3: Software requirements, and IEC 61508-3 Corr.1:1999, Corrigendum 1 — Functional safety of
electrical/electronic/programmable electronic safety-related systems — Part 3: Software requirements
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations, and IEC 61508-4 Corr.1:1999, Corrigendum 1 — Functional
safety of electrical/electronic/programmable electronic safety-related systems — Part 4: Definitions and
abbreviations
3 Terms, definitions, symbols and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100-1 and IEC 60050-191 and
the following apply.
3.1.1
safety–related part of a control system
SRP/CS
part of a control system that responds to safety-related input signals and generates safety-related output
signals
NOTE 1 The combined safety-related parts of a control system start at the point where the safety-related input signals
are initiated (including, for example, the actuating cam and the roller of the position switch) and end at the output of the
power control elements (including, for example, the main contacts of a contactor).
NOTE 2 If monitoring systems are used for diagnostics, they are also considered as SRP/CS.
3.1.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and their
subsequent behaviour in the fault condition, and which is achieved by the structural arrangement of the parts,
fault detection and/or by their reliability
3.1.3
fault
state of an item characterized by the inability to perform a required function, excluding the inability during
preventive maintenance or other planned actions, or due to lack of external resources
NOTE 1 A fault is often the result of a failure of the item itself, but may exist without prior failure.
[IEC 60050-191:1990, 05-01]
NOTE 2 In this part of ISO 13849, “fault” means random fault.
1) To be published. (Revision of ISO 14121:1999)
2 © ISO 2006 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 13849-1:2006(E)
3.1.4
failure
termination of the ability of an item to perform a required function
NOTE 1 After a failure, the item has a fault.
NOTE 2 “Failure” is an event, as distinguished from “fault”, which is a state.
NOTE 3 The concept as defined does not apply to items consisting of software only.
[IEC 60050–191:1990, 04-01]
NOTE 4 Failures which only affect the availability of the process under control are outside of the scope of this part of
ISO 13849.
3.1.5
dangerous failure
failure which has the potential to put the SRP/CS in a hazardous or fail-to-function state
NOTE 1 Whether or not the potential is realized can depend on the channel architecture of the system; in redundant
systems a dangerous hardware failure is less likely to lead to the overall dangerous or fail-to-function state.
NOTE 2 Adapted from IEC 61508-4:1998, definition 3.6.7.
3.1.6
common cause failure
CCF
failures of different items, resulting from a single event, where these failures are not consequences of each
other
[IEC 60050-191-am1:1999, 04-23]
NOTE Common cause failures should not be confused with common mode failures (see ISO 12100-1:2003, 3.34).
3.1.7
systematic failure
failure related in a deterministic way to a certain cause, which can only be eliminated by a modification of the
design or of the manufacturing process, operational procedures, documentation or other relevant factors
NOTE 1 Corrective maintenance without modification will usually not eliminate the failure cause.
NOTE 2 A systematic failure can be induced by simulating the failure cause.
[IEC 60050-191:1990, 04-19]
NOTE 3 Examples of causes of systematic failures include human error in
⎯ the safety requirements specification,
⎯ the design, manufacture, installation, operation of the hardware, and
⎯ the design, implementation, etc., of the software.
3.1.8
muting
temporary automatic suspension of a safety function(s) by the SRP/CS
© ISO 2006 – All rights reserved 3
---------------------- Page: 10 ----------------------
ISO 13849-1:2006(E)
3.1.9
manual reset
function within the SRP/CS used to restore manually one or more safety functions before re-starting a
machine
3.1.10
harm
physical injury or damage to health
[ISO 12100-1:2003, 3.5]
3.1.11
hazard
potential source of harm
NOTE 1 A hazard can be qualified in order to define its origin (e.g. mechanical hazard, electrical hazard) or the nature
of the potential harm (e.g. electric shock hazard, cutting hazard, toxic hazard, fire hazard).
NOTE 2 The hazard envisaged in this definition:
⎯ either is permanently present during the intended use of the machine (e.g. motion of hazardous moving elements,
electric arc during a welding phase, unhealthy posture, noise emission, high temperature);
⎯ or may appear unexpectedly (e.g. explosion, crushing hazard as a consequence of an unintended/unexpected start-
up, ejection as a consequence of a breakage, fall as a consequence of acceleration/deceleration).
[ISO 12100-1:2003, 3.6]
3.1.12
hazardous situation
circumstance in which a person is exposed to at least one hazard, the exposure having immediately or over a
long period of time the potential to result in harm
[ISO 12100-1:2003, 3.9]
3.1.13
risk
combination of the probability of occurrence of harm and the severity of that harm
[ISO 12100-1:2003, 3.11]
3.1.14
residual risk
risk remaining after protective measures have been taken
See Figure 2.
NOTE Adapted from ISO 12100-1:2003, definition 3.12.
3.1.15
risk assessment
overall process comprising risk analysis and risk evaluation
[ISO 12100-1:2003, 3.13]
3.1.16
risk analysis
combination of the specification of the limits of the machine, hazard identification and risk estimation
[ISO 12100-1:2003, 3.14]
4 © ISO 2006 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 13849-1:2006(E)
3.1.17
risk evaluation
judgement, on the basis of risk analysis, of whether risk reduction objectives have been achieved
[ISO 12100-1:2003, 3.16]
3.1.18
intended use of a machine
use of the machine in accordance with the information provided in the instructions for use
[ISO 12100-1:2003, 3
...
NORME ISO
INTERNATIONALE 13849-1
Deuxième édition
2006-11-01
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
ISO 13849-1:2006(F)
©
ISO 2006
---------------------- Page: 1 ----------------------
ISO 13849-1:2006(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
© ISO 2006
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2006 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 13849-1:2006(F)
Sommaire Page
Avant-propos. v
Introduction . vi
1 Domaine d'application. 1
2 Références normatives . 1
3 Termes, définitions, symboles et abréviations. 2
3.1 Termes et définitions. 2
3.2 Symboles et abréviations . 8
4 Considérations relatives à la conception. 9
4.1 Objectifs de sécurité lors de la conception . 9
4.2 Stratégie de réduction du risque. 11
4.2.1 Généralités . 11
4.2.2 Contribution à la réduction du risque par le système de commande . 11
4.3 Détermination du niveau de performance requis (PL ). 14
r
4.4 Conception des SRP/CS . 14
4.5 Évaluation du niveau de performance PL atteint et relation avec le SIL . 15
4.5.1 Niveau de performance PL . 15
4.5.2 Temps moyen avant défaillance dangereuse pour chaque canal (MTTF ) . 17
d
4.5.3 Couverture du diagnostic (DC). 18
4.5.4 Procédure simplifiée pour l'estimation d'un PL . 18
4.6 Exigences pour le logiciel de sécurité. 21
4.6.1 Généralités . 21
4.6.2 Logiciel intégré relatif à la sécurité (SRESW).21
4.6.3 Logiciel applicatif relatif à la sécurité (SRASW). 22
4.6.4 Paramétrage lié au logiciel . 25
4.7 Vérification de l'atteinte du PL requis . 26
4.8 Aspects ergonomiques de la conception . 26
5 Caractéristiques des fonctions de sécurité . 27
5.1 Spécification des fonctions de sécurité. 27
5.2 Détails des fonctions de sécurité. 29
5.2.1 Fonction d'arrêt liée à la sécurité. 29
5.2.2 Fonction réarmement manuel . 29
5.2.3 Fonction mise en marche et remise en marche . 30
5.2.4 Fonction commande locale . 30
5.2.5 Fonction d'inhibition . 31
5.2.6 Temps de réponse . 31
5.2.7 Paramètres relatifs à la sécurité. 31
5.2.8 Variations, perte et rétablissement des sources d’énergie. 31
6 Catégories et leur relation aux MTTF de chaque canal, DC et CCF. 32
d avg
6.1 Généralités . 32
6.2 Spécifications des catégories . 32
6.2.1 Généralités . 32
6.2.2 Architectures désignées . 33
6.2.3 Catégorie B. 33
6.2.4 Catégorie 1 . 34
6.2.5 Catégorie 2 . 35
6.2.6 Catégorie 3 . 37
6.2.7 Catégorie 4 . 38
6.3 Combinaison des SRP/CS pour atteindre un PL global . 40
© ISO 2006 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 13849-1:2006(F)
7 Prise en compte des défauts, exclusion de défauts . 41
7.1 Généralités. 41
7.2 Prise en compte des défauts . 41
7.3 Exclusion de défauts . 42
8 Validation . 42
9 Maintenance. 42
10 Documentation technique . 43
11 Informations pour l'utilisation . 44
Annexe A (informative) Détermination du niveau de performance requis (PL ) . 45
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité . 48
Annexe C (informative) Calcul ou évaluation du MTTF pour des composants uniques. 50
d
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal. 58
d
Annexe E (informative) Estimations pour la couverture du diagnostic (DC) pour les fonctions et
les modules. 60
Annexe F (informative) Estimations pour les défaillances de cause commune (CCF) . 63
Annexe G (informative) Défaillance systématique . 66
Annexe H (informative) Combinaison de plusieurs parties du système de commande relatives à la
sécurité (SRP/CS). 69
Annexe I (informative) Exemples . 72
Annexe J (informative) Logiciel.79
Annexe K (informative) Représentation numérique de la Figure 5 . 83
Bibliographie . 86
iv © ISO 2006 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 13849-1:2006(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 13849-1 a été élaborée par le comité technique CEN/TC 114, Sécurité des machines et appareils, du
Comité européen de normalisation (CEN) en collaboration avec le comité technique ISO/TC 199, Sécurité des
machines, conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de Vienne).
Cette deuxième édition annule et remplace la première édition (ISO 13849-1:1999), dont elle constitue une
révision technique.
L'ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines —
Parties des systèmes de commande relatives à la sécurité:
— Partie 1: Principes généraux de conception
— Partie 2: Validation
⎯ Partie 100: Lignes directrices pour l'utilisation et l'application de l'ISO 13849-1 [Rapport technique]
© ISO 2006 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 13849-1:2006(F)
Introduction
Dans le domaine de la sécurité des machines, les normes sont structurées de la manière suivante:
a) normes de type A (normes fondamentales de sécurité), précisant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines;
b) normes de type B (normes génériques de sécurité), traitant d'un aspect de la sécurité ou d'un type de
dispositif conditionnant la sécurité valable pour toutes les machines ou pour une large gamme de
machines:
⎯ normes de type B1 traitant d'aspects particuliers de la sécurité (par exemple distances de sécurité,
température de surface, bruit),
⎯ normes de type B2 traitant de dispositifs conditionnant la sécurité (par exemple commandes
bimanuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité
détaillées s'appliquant à une machine particulière ou à un groupe de machines particulier.
La présente partie de l’ISO 13849 est une norme de type B1 telle que définie dans l’ISO 12100-1.
Lorsque des dispositions de la norme de type C diffèrent de celles indiquées dans une norme de type A ou B,
ces dispositions prévalent sur celles des autres normes, et ce pour les machines conçues et fabriquées
conformément aux spécifications de la norme de type C.
La présente partie de l’ISO 13849 est destinée à donner des conseils au cours de la conception et de
l'évaluation des systèmes de commande ainsi qu'aux Comités Techniques élaborant des normes de type B2
ou de type C présumées conformes aux exigences essentielles de sécurité de l'Annexe I de la Directive du
Conseil 98/37/CE. Elle ne donne pas de conseils spécifiques pour la conformité à d'autres Directives CE.
En tant que partie de la stratégie globale de réduction des risques pour une machine, un concepteur voudra
souvent choisir de réaliser certaines mesures de réduction des risques par l'application de mesures de
protection employant une ou plusieurs fonctions de sécurité.
Les parties des systèmes de commande de machines affectées à la réalisation des fonctions de sécurité sont
appelées parties d'un système de commande relatives à la sécurité (SRP/CS), et peuvent être constituées de
matériels et de logiciels et peuvent être séparées ou intégrées au système de commande. En plus de fournir
des fonctions de sécurité, les SRP/CS peuvent faire partie d'une fonction opérationnelle (par exemple
commandes bimanuelles comme moyen de mise en marche d'un cycle ou d'un processus).
L'aptitude des parties relatives à la sécurité à exécuter une fonction de sécurité dans des conditions
prévisibles est classée en cinq niveaux appelés niveaux de performance (PL). Ces niveaux de performance
sont définis en termes de probabilité de défaillance dangereuse du système (voir Tableau 3).
La probabilité de défaillance dangereuse des fonctions de sécurité dépend de plusieurs facteurs, tels que
structure matérielle et logicielle du système, étendue des mécanismes de détection des défauts [couverture
du diagnostic (DC)], fiabilité des composants [temps moyen avant défaillance dangereuse (MTTF ),
d
défaillance de cause commune (CCF)], processus de conception, contrainte de fonctionnement, conditions
environnementales et méthodes de fonctionnement.
Afin d’aider le concepteur et de faciliter l'estimation du PL atteint, la présente partie de l’ISO 13849 définit une
approche reposant sur la classification des structures selon des critères de conception spécifiques et un
comportement spécifiés en cas de défaut. Ces catégories sont classées en cinq niveaux, appelés Catégories
B, 1, 2, 3 et 4.
vi © ISO 2006 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 13849-1:2006(F)
Les niveaux de performance et les catégories peuvent s'appliquer aux parties d'un système de commande
relatives à la sécurité telles que
⎯ les équipements de protection (par exemple dispositifs de commande bimanuelle, dispositifs de
verrouillage), dispositifs de protection électrosensibles (par exemple barrières photoélectriques),
dispositifs sensibles à la pression,
⎯ les unités de commande (par exemple unité logique pour les fonctions de commande, traitement des
données, surveillance, etc.), et
⎯ les dispositifs de commande de l’énergie (par exemple relais, distributeurs, etc.),
ainsi qu’aux systèmes de commande exécutant des fonctions de sécurité pour tout type de machines, de la
plus simple (par exemple matériel de cuisine ou portes et barrières automatiques) aux installations
manufacturières (par exemple machines d’emballage, machines d’impression, presses).
L'objectif de la présente partie de l’ISO 13849 est de fournir une base claire permettant l'évaluation de la
conception et des performances de toute application de SRP/CS (et de la machine) par une tierce partie ou
en interne ou par un laboratoire d'essai indépendant, par exemple.
Information sur l’utilisation recommandée de la CEI 62061 et la présente partie de l’ISO 13849
La CEI 62061 et la présente partie de l’ISO 13849 spécifient les exigences pour la conception et la mise en
œuvre des systèmes de commande électriques relatifs à la sécurité des machines. L’utiliser de l’une de ces
deux Normes internationales, en accord avec leurs domaines d’application, peut présumer de satisfaire aux
exigences essentielles de sécurité appropriées. Le Tableau 1 résume les domaines d’application de la
CEI 62061 et de la présente partie de l’ISO 13849.
Tableau 1 — Utilisation recommandée de la CEI 62061 et de la présente partie de l’ISO 13849
Technologie mettant en œuvre
la(les) fonction(s) de commande ISO 13849-1 CEI 62061
relative(s) à la sécurité
A Non électrique, par exemple X Non couvert
hydraulique
a
B Électromécanique, par exemple Toutes architectures et jusqu’à SIL 3
Limité aux architecture désignées et
relais, et/ou électronique non
jusqu’à PL = e
complexe
a
C Électronique complexe, par Toutes architectures et jusqu’à SIL 3
Limité aux architecture désignées et
exemple programmable
jusqu’à PL = d
a c
D A combiné avec B
Limité aux architecture désignées et X
jusqu’à PL = e
E C combiné avec B Limité aux architecture désignées et Toutes architectures et jusqu’à SIL 3
jusqu’à PL = d
b
F C combiné avec A, ou C X
X
combiné avec A et B
X indique que ce cas est traité par la Norme internationale indiquée en tête de colonne
a
Les architectures désignées sont définies en 6.2 afin de fournir une approche simplifiée de la quantification du niveau de
performance.
b
Pour l’électronique complexe: utilisation des architectures désignées conformes à la présente partie de l’ISO 13849 jusqu’à
PL = d ou toute architecture conforme à la CEI 62061.
c
Pour la technologie non électrique, utilisation des parties en tant que sous-systèmes conformes à la présente partie de
l’ISO 13849.
© ISO 2006 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 13849-1:2006(F)
Sécurité des machines — Parties des systèmes de commande
relatives à la sécurité —
Partie 1:
Principes généraux de conception
1 Domaine d'application
La présente partie de l’ISO 13849 fournit des exigences de sécurité et des conseils relatifs aux principes de
conception et d'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) incluant
la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau de performance
requis, pour réaliser ces fonctions de sécurité. Elle s'applique aux SRP/CS de tous les types de machines,
indépendamment de la technologie et du type d'énergie utilisés (électrique, hydraulique, pneumatique,
mécanique, etc.).
Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés dans
un cas particulier.
La présente partie de l’ISO 13849 fournit des exigences spécifiques pour les SRP/CS utilisant un (des)
système(s) électronique(s) programmable(s).
Elle ne donne pas d’exigences spécifiques pour la conception de composants intégrés dans les SRP/CS.
Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance, peuvent être utilisés.
NOTE 1 Exemples de composants intégrés dans les SRP/CS: relais, distributeur solénoïde, interrupteur de position,
PLC, unité de commande de moteurs, dispositifs de commande bimanuelle, dispositifs de protection électrosensibles.
Pour la conception de tels composants, il est recommandé de se référer aux normes spécifiques, par exemple
l’ISO 13851, l’ISO 13856-1 et l’ISO 13856-2.
NOTE 2 Pour la définition du niveau de performance requis, voir 3.1.24.
NOTE 3 Les exigences fournies dans la présente partie de l’ISO 13849 pour les systèmes électroniques
programmables sont compatibles avec la méthodologie pour la conception et le développement des systèmes, pour les
machines, de commande électriques, électroniques et électroniques programmables relatifs à la sécurité donnés dans la
CEI 61061.
NOTE 4 Pour le logiciel embarqué relatif à la sécurité pour des composants de PL = e, voir la CEI 61508-3:1998,
r
Article 7.
NOTE 5 Voir également le Tableau 1.
2 Références normatives
Les documents de références suivants sont indispensables pour l’application du présent document. Pour les
références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière édition de la
publication à laquelle il est fait référence s'applique (y compris les amendements).
ISO 12100-1:2003, Sécurité des machines — Notions fondamentales, principes généraux de conception —
Partie 1: Terminologie de base, méthodologie
© ISO 2006 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO 13849-1:2006(F)
ISO 12100-2:2003, Sécurité des machines — Notions fondamentales, principes généraux de conception —
Partie 2: Principes techniques
ISO 13849-2:2003, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 2: Validation
1)
ISO 14121:— , Sécurité des machines — Principes pour l'appréciation du risque
CEI 60050-191:1990, Vocabulaire Électrotechnique International — Chapitre 191: Sûreté de fonctionnement
et qualité de service
CEI 60050-191:1990-am1:1999-am2:2002, Vocabulaire Électrotechnique International — Chapitre 191:
Sûreté de fonctionnement et qualité de service
CEI 61508-3:1998 et corr.1:1999, Sécurité fonctionnelle des systèmes électriques / électroniques /
électroniques programmables relatifs à la sécurité — Partie 3: Prescriptions concernant les logiciels
CEI 61508-4:1998 et corr.1:1999, Sécurité fonctionnelle des systèmes électriques / électroniques /
électroniques programmables relatifs à la sécurité — Partie 4: Définitions et abréviations
3 Termes, définitions, symboles et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 12100-1 et la
CEI 60050-191 ainsi que les suivants s'appliquent.
3.1.1
partie d'un système de commande relative à la sécurité
SRP/CS
partie d'un système de commande qui répond à des signaux d'entrée et génère des signaux de sortie relatifs
à la sécurité
NOTE 1 Les parties combinées d'un système de commande relatives à la sécurité commencent aux points où sont
générés les signaux relatifs à la sécurité (y compris, par exemple, la came de commande et le galet de l'interrupteur de
position) et se terminent à la sortie des pré-actionneurs (y compris, par exemple, les contacts principaux du contacteur).
NOTE 2 Si un système de surveillance est utilisé pour les diagnostics, ceux-ci sont considérés comme des SRP/CS.
3.1.2
catégorie
classification des parties relatives à la sécurité d'un système de commande liée à leur résistance aux défauts
et à leur comportement consécutif à des défauts et qui est obtenue par l'architecture des parties, la détection
des défauts et/ou leur fiabilité
3.1.3
défaut
état d'une entité caractérisée par son inaptitude à accomplir une fonction requise, non comprise l’inaptitude
due à la maintenance préventive ou à d’autres actions programmées, ou due à un manque de moyens
extérieurs
NOTE 1 Un défaut est souvent le résultat d'une défaillance de l'entité elle-même, mais il peut exister sans défaillance
préalable.
[CEI 60050-191:1990, 05-01]
NOTE 2 Dans la présente partie de l’ISO 13849, le terme «défaut» signifie «défaut aléatoire».
1) À publier. (Révision de l'ISO 14121:1999)
2 © ISO 2006 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 13849-1:2006(F)
3.1.4
défaillance
cessation de l'aptitude d'une entité à accomplir une fonction requise
NOTE 1 Après défaillance d'une entité, cette entité a un défaut.
NOTE 2 Une défaillance est un passage d'un état à un autre, par opposition à un défaut qui est un état.
NOTE 3 La notion de défaillance, telle qu'elle est définie, ne s'applique pas à une entité constituée seulement de
logiciel.
[CEI 60050-191:1990, 04-01]
NOTE 4 Les défaillances n'affectant que la disponibilité du processus commandé ne sont pas couvertes par le
domaine d'application de la présente partie de l’ISO 13849.
3.1.5
défaillance dangereuse
défaillance qui peut potentiellement mettre une SRP/CS dans un état dangereux ou défectueux
NOTE 1 La réalisation ou non du «potentiellement» peut dépendre de l'architecture de canal du système; dans des
systèmes redondants, une défaillance dangereuse du système matériel présente moins de risque d'aboutir à un état
global dangereux ou défectueux.
NOTE 2 Adaptée de la CEI 61508-4:1998, définition 3.6.7.
3.1.6
défaillance de cause commune
CCF
défaillances qui affectent plusieurs entités à partir d’un même événement et qui ne résultent pas les unes des
autres
[CEI 60050-191:1990-am1:1999, 04-23]
NOTE Il convient de ne pas confondre les défaillances de cause commune et les défaillances de mode commun (voir
l’ISO 12100-1:2003, 3.34).
3.1.7
défaillance systématique
défaillance associée de façon déterministe à une certaine cause, ne pouvant être éliminée que par une
modification de la conception ou du processus de fabrication, des procédures d’exploitation, de la
documentation ou d’autres facteurs appropriés
NOTE 1 La maintenance corrective sans modification n'élimine pas, habituellement, la cause de la défaillance.
NOTE 2 Une défaillance systématique peut être induite en simulant la cause de la défaillance.
[CEI 60050-191:1990, 04-19]
NOTE 3 Exemples de causes de défaillances systématiques incluant les erreurs humaines dans
⎯ la spécification des exigences de sécurité;
⎯ la conception, la fabrication, l'installation et l'exploitation du matériel;
⎯ la conception, la mise en œuvre, etc., du logiciel.
3.1.8
inhibition
interruption automatique et temporaire de fonction(s) de sécurité par les SRP/CS
© ISO 2006 – Tous droits réservés 3
---------------------- Page: 10 ----------------------
ISO 13849-1:2006(F)
3.1.9
réarmement manuel
fonction interne aux SRP/CS permettant de rétablir manuellement des fonction
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.