ISO 13849-2:2012
(Main)Safety of machinery — Safety-related parts of control systems — Part 2: Validation
Safety of machinery — Safety-related parts of control systems — Part 2: Validation
ISO 13849-2:2012 specifies the procedures and conditions to be followed for the validation by analysis and testing of the specified safety functions, the category achieved, and the performance level achieved by the safety-related parts of a control system (SRP/CS) designed in accordance with ISO 13849-1.
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 2: Validation
L'ISO 13849-2:2012 spécifie les modes opératoires et conditions à suivre pour la validation par analyse et par essais des fonctions de sécurité spécifiées, de la catégorie atteinte et du niveau de performance atteint par les parties d'un système de commande relatives à la sécurité (SRP/CS) conçu conformément à l'ISO 13849-1.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13849-2
Second edition
2012-10-15
Safety of machinery — Safety-related
parts of control systems —
Part 2:
Validation
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 2: Validation
Reference number
ISO 13849-2:2012(E)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 13849-2:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any
means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the
address below or ISO’s member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2012 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 13849-2:2012(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Validation process . 1
4.1 Validation principles . 1
4.2 Validation plan . 3
4.3 Generic fault lists . . 4
4.4 Specific fault lists. 4
4.5 Information for validation . 4
4.6 Validation record . 6
5 Validation by analysis . 6
5.1 General . 6
5.2 Analysis techniques . 7
6 Validation by testing . 7
6.1 General . 7
6.2 Measurement accuracy . 8
6.3 More stringent requirements . 8
6.4 Number of test samples . 8
7 Validation of safety requirements specification for safety functions .9
8 Validation of safety functions . 9
9 Validation of performance levels and categories .10
9.1 Analysis and testing .10
9.2 Validation of category specifications .10
9.3 Validation of MTTF , DC and CCF .12
d avg
9.4 Validation of measures against systematic failures related to performance level and
category of SRP/CS .13
9.5 Validation of safety-related software .13
9.6 Validation and verification of performance level .14
9.7 Validation of combination of safety-related parts .14
10 Validation of environmental requirements .15
11 Validation of maintenance requirements .15
12 Validation of technical documentation and information for use .16
Annex A (informative) Validation tools for mechanical systems .17
Annex B (informative) Validation tools for pneumatic systems .21
Annex C (informative) Validation tools for hydraulic systems .31
Annex D (informative) Validation tools for electrical systems .40
Annex E (informative) Example of validation of fault behaviour and diagnostic means .53
Bibliography .78
© ISO 2012 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 13849-2:2012(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 13849-2 was prepared by Technical Committee ISO/TC 199, Safety of machinery.
This second edition cancels and replaces the first edition (ISO 13849-2:2003), which has been technically
revised in order to adapt to ISO 13849-1:2006. In addition, the new Annex E provides an example for the
validation of fault behaviour and diagnostic means.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related
parts of control systems:
— Part 1: General principles for design
— Part 2: Validation
Annexes A to D, which are informative, are structured according to Table 1.
Table 1 — Structure of Annexes A to D of this part of ISO 13849
List of basic safety List of well-tried List of well-tried Fault lists and
principles safety principles components fault exclusions
Annex Technology
Table(s)
A Mechanical A.1 A.2 A.3 A.4, A.5
B Pneumatic B.1 B.2 — B.3 to B.18
C Hydraulic C.1 C.2 — C.3 to C.12
Electrical (includes
D D.1 D.2 D.3 D.4 to D.21
electronics)
iv © ISO 2012 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 13849-2:2012(E)
Introduction
The structure of safety standards in the field of machinery is as follows:
a) type-A standards (basic safety standards) giving basic concepts, principles for design and general
aspects that can be applied to machinery;
b) type-B standards (generic safety standards) dealing with one safety aspect or one type of safeguard
that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (for example safety distances, surface
temperature, noise);
— type-B2 standards on safeguards (for example two-hand controls, interlocking devices,
pressure-sensitive devices, guards);
c) type-C standards (machine safety standards) dealing with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B standard as stated in ISO 12100.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and built
according to the requirements of that standard, the requirements of that type-C standard take precedence.
This part of ISO 13849 specifies the validation process for the safety functions, categories and performance
levels for the safety-related parts of control systems. It recognizes that the validation of safety-related
parts of control systems can be achieved by a combination of analysis (see Clause 5) and testing (see
Clause 6), and specifies the particular circumstances in which testing ought to be carried out.
Most of the procedures and conditions in this part of ISO 13849 are based on the assumption that the
simplified procedure for estimating the performance level (PL) described in ISO 13849-1:2006, 4.5.4, is
used. This part of ISO 13849 does not provide guidance for situations when other procedures are used
to estimate PL (e.g. Markov modelling), in which case some of its provisions will not apply and additional
requirements can be necessary.
Guidance on the general principles for the design (see ISO 12100) of safety-related parts of control
systems, regardless of the type of technology used (electrical, hydraulic, pneumatic, mechanical, etc.),
is provided in ISO 13849-1. This includes descriptions of some typical safety functions, determination
of their required performance levels, and general requirements of categories and performance levels.
Within this part of ISO 13849, some of the validation requirements are general, whereas others are
specific to the type of technology used.
© ISO 2012 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 13849-2:2012(E)
Safety of machinery — Safety-related parts of control
systems —
Part 2:
Validation
1 Scope
This part of ISO 13849 specifies the procedures and conditions to be followed for the validation by
analysis and testing of
— the specified safety functions,
— the category achieved, and
— the performance level achieved
by the safety-related parts of a control system (SRP/CS) designed in accordance with ISO 13849-1.
NOTE Additional requirements for programmable electronic systems, including embedded software, are
given in ISO 13849-1:2006, 4.6, and IEC 61508 .
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-1:2006, Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100 and ISO 13849-1 apply.
4 Validation process
4.1 Validation principles
The purpose of the validation process is to confirm that the design of the SRP/CS supports the overall
safety requirements specification for the machinery.
The validation shall demonstrate that each SRP/CS meets the requirements of ISO 13849-1 and, in
particular, the following:
a) the specified safety characteristics of the safety functions provided by that part, as set out in the
design rationale;
b) the requirements of the specified performance level (see ISO 13849-1:2006, 4.5):
1) the requirements of the specified category (see ISO 13849-1:2006, 6.2),
© ISO 2012 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 13849-2:2012(E)
2) the measures for control and avoidance of systematic failures (see ISO 13849-1:2006, Annex G),
3) if applicable, the requirements of the software (see ISO 13849-1:2006, 4.6), and
4) the ability to perform a safety function under expected environmental conditions;
c) the ergonomic design of the operator interface, e.g. so that the operator is not tempted to act in a
hazardous manner, such as defeating the SRP/CS (see ISO 13849-1:2006, 4.8).
Validation should be carried out by persons who are independent of the design of the SRP/CS.
NOTE “Independent person” does not necessarily mean that a third-party test is required.
Validation consists of applying analysis (see Clause 5) and executing functional tests (see Clause 6)
under foreseeable conditions in accordance with the validation plan. Figure 1 gives an overview of the
validation process. The balance between the analysis and testing depends on the technology used for
the safety-related parts and the required performance level. For Categories 2, 3 and 4 the validation of
the safety function shall also include testing under fault conditions.
The analysis should be started as early as possible in, and in parallel with, the design process. Problems
can then be corrected early while they are still relatively easy to correct, i.e. during steps “design and
technical realization of the safety function” and “evaluate the performance level PL” [the fourth and fifth
boxes down in in ISO 13849-1:2006, Figure 3]. It can be necessary for some parts of the analysis to be
delayed until the design is well developed.
Where necessary due to the system’s size, complexity or the effects of integrating it with the control
system (of the machinery), special arrangements should be made for
— validation of the SRP/CS separately before integration, including simulation of the appropriate input
and output signals, and
— validation of the effects of integrating safety-related parts into the remainder of the control system
within the context of its use in the machine.
2 © ISO 2012 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 13849-2:2012(E)
Figure 1 — Overview of the validation process
“Modification of the design” in Figure 1 refers to the design process. If the validation cannot be
successfully completed, changes in the design are necessary. The validation of the modified safety-
related parts should then be repeated. This process should be iterated until all safety-related parts of
the safety functions are successfully validated.
4.2 Validation plan
The validation plan shall identify and describe the requirements for carrying out the validation process
for the specified safety functions, their categories and performance levels.
The validation plan shall also identify the means to be employed to validate the specified safety functions,
categories and performance levels. It shall set out, where appropriate
a) the identity of the specification documents,
b) the operational and environmental conditions during testing,
© ISO 2012 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 13849-2:2012(E)
c) the analyses and tests to be applied,
d) the reference to test standards to be applied, and
e) the persons or parties responsible for each step in the validation process.
Safety-related parts which have previously been validated to the same specification need only a
reference to that previous validation.
4.3 Generic fault lists
The validation process involves consideration of the behaviour of the SRP/CS for all faults to be
considered. A basis for fault consideration is given in the tables of fault lists in Annexes A to D, which are
based on experience and which contain
— the components/elements to be included, e.g. conductors/cables (see Annex D),
— the faults to be taken into account, e.g. short circuits between conductors,
— the permitted fault exclusions, taking into account environmental, operating and application
aspects, and
— a remarks section giving the reasons for the fault exclusions.
Only permanent faults are taken into account in the fault lists.
4.4 Specific fault lists
If necessary, a specific product-related fault list shall be generated as a reference document for the
validation process of the safety-related part(s). The list can be based on the appropriate generic list(s)
found in the annexes.
Where the specific product-related fault list is based on the generic list(s) it shall state
a) the faults taken from the generic list(s) to be included,
b) any other relevant faults to be included but not given in the generic list (e.g. common-cause failures),
c) the faults taken from the generic list(s) which may be excluded on the basis that the criteria given in
the generic list(s) (see ISO 13849-1:2006, 7.3) are satisfied, and
exceptionally
d) any other faults for which the generic list(s) do not permit an exclusion, but for which justification
and rationale for an exclusion is presented (see ISO 13849-1:2006, 7.3).
Where this list is not based on the generic list(s), the designer shall give the rationale for fault exclusions.
4.5 Information for validation
The information required for validation will vary with the technology used, the category or categories
and performance level(s) to be demonstrated, the design rationale of the system, and the contribution of
the SRP/CS to the reduction of the risk. Documents containing sufficient information from the following
list shall be included in the validation process to demonstrate that the safety-related parts perform the
specified safety functions to the required performance level or levels and category or categories:
a) specification of the required characteristics of each safety function, and its required category and
performance level;
b) drawings and specifications, e.g. for mechanical, hydraulic and pneumatic parts, printed circuit
boards, assembled boards, internal wiring, enclosure, materials, mounting;
4 © ISO 2012 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 13849-2:2012(E)
c) block diagram(s) with a functional description of the blocks;
d) circuit diagram(s), including interfaces/connections;
e) functional description of the circuit diagram(s);
f) time sequence diagram(s) for switching components, signals relevant for safety;
g) description of the relevant characteristics of components previously validated;
h) for safety-related parts other than those listed in g), component lists with item designations, rated
values, tolerances, relevant operating stresses, type designation, failure-rate data and component
manufacturer, and any other data relevant to safety;
i) analysis of all relevant faults (see also 4.3 and 4.4), such as those listed in the tables of Annexes A to
D, including the justification of any excluded faults;
j) an analysis of the influence of processed materials;
k) information for use, e.g. installation and operation manual/instruction handbook.
Where software is relevant to the safety function(s), the software documentation shall include
— a specification which is clear and unambiguous and which states the safety performance the
software is required to achieve,
— evidence that the software is designed to achieve the required performance level (see 9.5), and
— details of tests (in particular test reports) carried out to prove that the required safety
performance is achieved.
NOTE See ISO 13849-1:2006, 4.6.2 and 4.6.3, for requirements.
Information is required on how the performance level and average probability of a dangerous failure per
hour is determined. The documentation of the quantifiable aspects shall include
— the safety-related block diagram (see ISO 13849-1:2006, Annex B) or designated architecture
(see ISO 13849-1:2006, 6.2),
— the determination of MTTF , DC and CCF, and
d avg
— the determination of the category (see Table 2).
Information is required for documentation on systematic aspects of the SRP/CS.
Information is required as to how the combination of several SRP/CS achieves a performance level in
accordance with the performance level required.
Table 2 — Documentation requirements for categories in respect of performance levels
Category for which documentation
is required
Documentation requirement
B 1 2 3 4
Basic safety principles X X X X X
Expected operating stresses X X X X X
Influences of processed material X X X X X
Performance during other relevant external influences X X X X X
Well-tried components — X — — —
Well-tried safety principles — X X X X
© ISO 2012 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO 13849-2:2012(E)
Table 2 (continued)
Category for which documentation
is required
Documentation requirement
B 1 2 3 4
Mean time to dangerous failure (MTTF ) of each channel X X X X X
d
The check procedure of the safety function(s) — — X — —
Diagnostic measures performed, including fault reaction — — X X X
Checking intervals, when specified — — X X X
Diagnostic coverage (DC ) — — X X X
avg
Foreseeable single faults considered in the design and the detection — — X X X
method used
Common-cause failures (CCF) identified and how to prevent them — — X X X
Foreseeable single faults excluded — — — X X
Faults to be detected — — X X X
How the safety function is maintained in the case of each of the faults — — — X X
How the safety function is maintained for each of the combinations of — — — — X
faults
Measures against systematic faults X X X X X
Measures against software faults X — X X X
X documentation required
— documentation not required
NOTE The categories are those given in ISO 13849-1:2006.
4.6 Validation record
Validation by analysis and testing shall be recorded. The record shall demonstrate the validation process
for each of the safety requirements. Cross-reference may be made to previous validation records,
provided they are properly identified.
For any safety-related part which has failed an element of the validation process, the validation record
shall describe which elements in the validation analysis/testing have been failed. It shall be ensured that
all safety-related parts are successfully re-validated after modification.
5 Validation by analysis
5.1 General
Validation of the SRP/CS shall be carried out by analysis. Inputs to the analysis include the following:
— the safety function(s), their characteristics and the required performance level(s) identified during
the risk analysis (see ISO 13849-1:2006, Figures 1 and 3);
— the quantifiable aspects (MTTF , DC and CCF);
d avg
— the system structure (e.g. designated architectures) (see ISO 13849-1:2006, Clause 6);
— the non-quantifiable, qualitative aspects which affect system behaviour (if applicable, software aspects);
— deterministic arguments.
6 © ISO 2012 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 13849-2:2012(E)
Validation of the safety functions by analysis rather than testing requires the formulation of
deterministic arguments.
NOTE 1 A deterministic argument is an argument based on qualitative aspects (e.g. quality of manufacture,
experience of use). This consideration depends on the application, which, together with other factors, can affect
the deterministic arguments.
NOTE 2 Deterministic arguments differ from other evidence in that they show that the required properties of
the system follow logically from a model of the system. Such arguments can be constructed on the basis of simple,
well-understood concepts.
5.2 Analysis techniques
The selection of an analysis technique depends upon the particular object. Two basic techniques
exist, as follows.
a) Top-down (deductive) techniques are suitable for determining the initiating events that can lead
to identified top events, and calculating the probability of top events from the probability of the
initiating events. They can also be used to investigate the consequences of identified multiple faults.
EXAMPLE Fault tree analysis (FTA, see IEC 61025), event tree analysis (ETA).
b) Bottom-up (inductive) techniques are suitable for investigating the consequence of identified
single faults.
EXAMPLE Failure modes and effects analysis (FMEA, see IEC 60812) and failure modes, effects and
criticality analysis (FMECA).
6 Validation by testing
6.1 General
When validation by analysis is not conclusive, testing shall be carried out to complete the validation.
Testing is always complementary to analysis and is often necessary.
Validation tests shall be planned and implemented in a logical manner. In particular:
a) a test plan shall be produced before testing begins that shall include
1) the test specifications,
2) the required outcome of the tests for compliance, and
3) the chronology of the tests;
b) test records shall be produced that include
1) the name of the person carrying out the test,
2) the environmental conditions (see Clause 10),
3) the test procedures and equipment used,
4) the date of the test, and
5) the results of the test;
c) the test records shall be compared with the test plan to ensure that the specified functional and
performance targets are achieved.
The test sample shall be operated as near as possible to its final operating configuration, i.e. with all
peripheral devices and covers attached.
© ISO 2012 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO 13849-2:2012(E)
This testing may be applied manually or automatically, e.g. by computer.
Where applied, validation of the safety functions by testing shall be carried out by applying input signals,
in various combinations, to the SRP/CS. The resultant response at the outputs shall be compared to the
appropriate specified outputs.
It is recommended that the combination of these input signals be applied systematically to the control
system and the machine. An example of this logic is power-on, start-up, operation, directional changes,
restart-up. Where necessary, an expanded range of input data shall be applied to take into account
anomalous or unusual situations, in order to see how the SRP/CS responds. Such combinations of input
data shall take into account foreseeable incorrect operation(s).
The objectives of the test will determine the environmental condition for that test, which can be one or
another of the following:
— the environmental conditions of intended use;
...
NORME ISO
INTERNATIONALE 13849-2
Deuxième édition
2012-10-15
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 2:
Validation
Safety of machinery — Safety-related parts of control systems —
Part 2: Validation
Numéro de référence
ISO 13849-2:2012(F)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 13849-2:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans
l’accord écrit de l’ISO à l’adresse ci-après ou du comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2012 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 13849-2:2012(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Processus de validation . 1
4.1 Principes de validation. 1
4.2 Plan de validation . 3
4.3 Listes des défauts génériques . 4
4.4 Listes des défauts spécifiques . 4
4.5 Informations pour la validation . 4
4.6 Rapport de validation . 6
5 Validation par analyse . 6
5.1 Généralités . 6
5.2 Techniques d’analyse . 7
6 Validation par essais . 7
6.1 Généralités . 7
6.2 Précision des mesures . 8
6.3 Exigences supérieures . 9
6.4 Nombre d’échantillons . 9
7 Validation de la spécification des exigences de sécurité pour les fonctions de sécurité .9
8 Validation des fonctions de sécurité .10
9 Validation des niveaux de performance et des catégories .10
9.1 Analyse et essais .10
9.2 Validation des spécifications relatives aux catégories .11
9.3 Validation du MTTF , de la DC et de la CCF .13
d avg
9.4 Validation des mesures de prévention des défaillances systématiques relatives au niveau
de performance et à la catégorie des SRP/CS .14
9.5 Validation du logiciel relatif à la sécurité .14
9.6 Validation et vérification du niveau de performance .15
9.7 Validation d’une combinaison de parties relatives à la sécurité .15
10 Validation des exigences d’environnement .16
11 Validation des exigences de maintenance.16
12 Validation de la documentation technique et des informations pour l’utilisation .17
Annexe A (informative) Outils de validation pour les systèmes mécaniques .18
Annexe B (informative) Outils de validation pour les systèmes pneumatiques .23
Annexe C (informative) Outils de validation pour les systèmes hydrauliques .33
Annexe D (informative) Outils de validation pour les systèmes électriques .42
Annexe E (informative) Exemple de validation du comportement des défauts et des moyens
de diagnostic .56
Bibliographie .84
© ISO 2012 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 13849-2:2012(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (CEI) en ce qui concerne
la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives
ISO/CEI, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour vote.
Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des comités
membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO 13849-2 a été élaborée par le comité technique ISO/TC 199, Sécurité des machines.
Cette deuxième édition annule et remplace la première édition (ISO 13849-2:2003), qui a fait l’objet
d’une révision technique pour correspondre à l’ISO 13849-1:2006. De plus, la nouvelle Annexe E fournit
un exemple de la validation du comportement des défauts et des moyens de diagnostic.
L’ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines —
Parties des systèmes de commande relatives à la sécurité:
— Partie 1: Principes généraux de conception
— Partie 2: Validation
Les Annexes A à D sont fournies à titre informatif et sont organisées comme indiqué dans le Tableau 1.
Tableau 1 — Structure des Annexes A à D de la présente partie de l’ISO 13849
Liste des prin- Liste des principes Liste des défauts
Liste des compo-
cipes de sécurité de sécurité éprou- et exclusions
sants éprouvés
Annexe Technologie
de base vés de défaut
Tableau(x)
A Mécanique A.1 A.2 A.3 A.4, A.5
B Pneumatique B.1 B.2 B.3 à B.18
C Hydraulique C.1 C.2 C.3 à C.12
Électrique (y com-
D D.1 D.2 D.3 D.4 à D.21
pris électronique)
iv © ISO 2012 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 13849-2:2012(F)
Introduction
Dans le domaine de la sécurité des machines, les normes sont structurées de la manière suivante:
a) normes de type A (normes fondamentales de sécurité), contenant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines;
b) normes de type B (normes génériques de sécurité), traitant d’un aspect de la sécurité ou d’un moyen
de protection valable pour une large gamme de machines:
— normes de type B1, traitant d’aspects particuliers de la sécurité (par exemple distances de
sécurité, température superficielle, bruit);
— normes de type B2, traitant de moyens de protection (par exemple commandes bimanuelles,
dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité
détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type B1, telle que définie dans l’ISO 12100.
Les exigences du présent document peuvent faire l’objet de compléments ou être modifiées dans une
norme de type C.
Pour les machines couvertes par le domaine d’application d’une norme de type C et qui ont été conçues et
construites conformément aux exigences de cette norme, les exigences de la norme de type C prévalent.
La présente partie de l’ISO 13849 spécifie le processus de validation, pour les fonctions, catégories et
niveaux de performance de sécurité des parties des systèmes de commande relatives à la sécurité. Elle
identifie que la validation des pièces relatives à la sécurité du système de commande peut être réalisée
par une combinaison d’analyse (voir Article 5) et d’essai (voir Article 6), et spécifie les circonstances
particulières dans lesquelles il convient d’effectuer l’essai.
La plupart des modes opératoires et des conditions de la présente partie de l’ISO 13849 s’appuient sur
l’hypothèse que le mode opératoire simplifié pour l’estimation du niveau de performance (PL), décrit
dans l’ISO 13849-1:2006, 4.5.4, est utilisé. La présente partie de l’ISO 13849 ne fournit pas de lignes
directrices pour les situations dans lesquelles d’autres modes opératoires sont utilisés pour estimer la
PL (par exemple la modélisation de Markov), auquel cas il se peut que certaines dispositions ne soient
pas applicables et que des exigences supplémentaires soient nécessaires.
Des lignes directrices sur les principes généraux de conception (voir l’ISO 12100) des parties des
systèmes de commande relatives à la sécurité indépendamment du type de technologie utilisé
(électrique, hydraulique, pneumatique, mécanique, etc.) sont fournies dans l’ISO 13849-1. Cela comprend
des descriptions de quelques fonctions de sécurité typiques, la détermination de leurs niveaux de
performances exigés, et des conditions générales des catégories et niveaux de performance.
Dans la présente partie de l’ISO 13849, certaines des conditions de validation sont générales, tandis que
d’autres sont spécifiques au type de technologie utilisé.
© ISO 2012 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO 13849-2:2012(F)
Sécurité des machines — Parties des systèmes de
commande relatives à la sécurité —
Partie 2:
Validation
1 Domaine d’application
La présente partie de l’ISO 13849 spécifie les modes opératoires et conditions à suivre pour la validation
par analyse et par essais
— des fonctions de sécurité spécifiées,
— de la catégorie atteinte, et
— du niveau de performance atteint
par les parties d’un système de commande relatives à la sécurité (SRP/CS) conçu conformément à
l’ISO 13849-1.
NOTE Des exigences supplémentaires pour les systèmes électroniques programmables, y compris les logiciels
intégrés, sont données dans l’ISO 13849-1:2006, 4.6 et dans la série CEI 61508.
2 Références normatives
Les documents de référence suivants sont indispensables pour l’application du présent document. Pour
les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière édition
du document de référence s’applique (y compris les éventuels amendements).
ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-1:2006, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 1: Principes généraux de conception
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 12100 et l’ISO 13849-1
s’appliquent.
4 Processus de validation
4.1 Principes de validation
Le but du processus de validation est de confirmer que la conception des SRP/CS soutient les exigences
de sécurité globales des machines.
La validation doit démontrer que chaque SRP/CS remplit les exigences de l’ISO 13849-1 et, en particulier,
les points suivants:
a) les caractéristiques de sécurité spécifiées des fonctions de sécurité assurées par cette partie,
conformément au raisonnement de conception;
© ISO 2012 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO 13849-2:2012(F)
b) les exigences du niveau de performance spécifié (voir l’ISO 13849-1:2006, 4.5):
1) les exigences de la catégorie spécifiée (voir l’ISO 13849-1:2006, 6.2),
2) les mesures pour la maîtrise et la prévention des défaillances systématiques (voir
l’ISO 13849-1:2006, Annexe G),
3) le cas échéant, les exigences du logiciel (voir l’ISO 13849-1:2006, 4.6),
4) l’aptitude à exécuter une fonction de sécurité dans des conditions d’environnement prévues;
c) la conception ergonomique de l’interface opérateur, en empêchant, par exemple, que l’opérateur
ne soit tenté d’agir de manière dangereuse, en neutralisant le SRP/CS par exemple (voir
l’ISO 13849-1:2006, 4.8).
Il convient que la validation soit effectuée par des personnes qui sont indépendantes de la conception
système de commande (SRP/CS).
NOTE «Personne indépendante» ne veut pas nécessairement dire qu’une tierce partie soit exigée pour l’essai.
La validation consiste en l’application d’une analyse (voir Article 5) et la réalisation d’essais de
fonctionnement (voir Article 6) dans les conditions prévisibles, conformément au plan de validation. La
Figure 1 donne une vue d’ensemble du processus de validation. Le dosage entre l’analyse et les essais
dépend de la technologie utilisée pour les parties relatives à la sécurité et du niveau de performance
exigé. Pour les catégories 2, 3 et 4, la validation de la fonction de sécurité doit également inclure des
essais dans les conditions de défaut.
Il convient que l’analyse soit entreprise aussi tôt que possible et en parallèle avec le processus de
conception. Les problèmes peuvent être corrigés précocement pendant qu’il est encore relativement aisé
de le faire, c’est-à-dire durant les phases «Conception et réalisation technique des fonctions de sécurité»
et «Déterminer le niveau de performance PL» (cadres 4 et 5 de la Figure 3 de l’ISO 13849-1:2006). Il peut
être nécessaire de retarder certaines parties de l’analyse jusqu’à ce que la conception soit bien avancée.
Si cela est nécessaire en raison de la taille du système, de la complexité ou des effets de l’intégration au
système de commande (de la machine), il convient d’adopter des dispositions particulières pour
— la validation des SRP/CS séparément avant l’intégration, y compris la simulation des signaux d’entrée
et de sortie appropriés, et
— la validation des effets de l’intégration des parties relatives à la sécurité au reste du système de
commande dans le contexte de son utilisation dans la machine.
2 © ISO 2012 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 13849-2:2012(F)
Figure 1 — Vue d’ensemble du processus de validation
«Modification de la conception» dans la Figure 1 se rapporte au processus de conception. Si la validation
ne peut pas être effectuée avec succès, il est nécessaire de modifier la conception. Il convient de répéter
la validation des parties modifiées relatives à la sécurité. Il convient de réitérer ce processus jusqu’à ce
que toutes les parties relatives à la sécurité des fonctions de sécurité aient été validées.
4.2 Plan de validation
Le plan de validation doit identifier et décrire les exigences de mise en œuvre du processus de validation
des fonctions de sécurité spécifiées, de leurs catégories et de leurs niveaux de performance.
Le plan de validation doit également identifier les moyens à employer pour valider les fonctions de sécurité
spécifiées, les catégories et les niveaux de performance. Lorsque cela est approprié, il doit établir:
a) l’identité des documents de spécification;
b) les conditions de fonctionnement et d’environnement pendant les essais;
© ISO 2012 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO 13849-2:2012(F)
c) les analyses et les essais à réaliser;
d) la référence aux normes d’essai à appliquer;
e) les personnes ou parties responsables de chaque partie de la validation.
Pour les parties relatives à la sécurité qui ont été validées précédemment pour la même spécification,
une référence à cette précédente validation suffit.
4.3 Listes des défauts génériques
Le processus de validation implique l’examen du comportement des SRP/CS pour tous les défauts à
considérer. Une base pour la considération des défauts est donnée dans les tableaux des listes de défauts
dans les Annexes A à D, qui s’appuient sur l’expérience et qui comprennent:
— les composants/éléments à inclure, par exemple les conducteurs/câbles (voir l’Annexe D);
— les défauts à prendre en compte, par exemple les courts-circuits entre conducteurs;
— les exclusions de défaut autorisées en tenant compte des aspects environnementaux, fonctionnels et
d’application;
— une section de remarques justifiant les exclusions de défaut.
Dans les listes de défauts, seuls les défauts permanents sont pris en compte.
4.4 Listes des défauts spécifiques
Si nécessaire une liste des défauts spécifiques se rapportant au produit doit être établie pour servir de
document de référence au processus de validation de la (des) partie(s) relative(s) à la sécurité. La liste
peut s’appuyer sur la (les) liste(s) générique(s) appropriée(s) données dans les annexes.
Lorsque la liste des défauts spécifiques se rapportant au produit est basée sur une (des) liste(s)
générique(s), elle doit mentionner:
a) les défauts extraits de la (des) liste(s) générique(s) à inclure;
b) tout autre défaut pertinent à inclure mais non donné dans la liste générique (par exemple défaillances
de cause commune);
c) les défauts extraits de la (des) liste(s) générique(s) qu’il est possible d’exclure sur la base de la
satisfaction des critères donnés dans la (les) liste(s) générique(s) (voir l’ISO 13849-1:2006, 7.3);
et, exceptionnellement
d) tous les autres défauts pour lesquels la (les) liste(s) générique(s) ne permet(tent) pas d’exclusion,
mais pour lesquels une justification et un raisonnement pour exclusion sont présentés (voir
l’ISO 13849-1:2006, 7.3).
Lorsque cette liste n’est pas basée sur une (des) liste(s) générique(s), le concepteur doit donner la
justification pour les exclusions de défaut.
4.5 Informations pour la validation
Les informations requises pour la validation varient avec la technologie utilisée, la (les) catégorie(s)
et le(s) niveau(x) de performance à démontrer, le raisonnement suivi lors de la conception du système
et la contribution des SRP/CS à la réduction des risques. Les documents contenant des informations
suffisantes et issus de la liste suivante doivent être inclus dans le processus de validation afin de
4 © ISO 2012 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 13849-2:2012(F)
démontrer que des parties relatives à la sécurité exécutent les fonctions de sécurité spécifiées par le(s)
niveau(x) de performance et catégorie(s) exigés:
a) spécification des caractéristiques requises de chaque fonction de sécurité, sa catégorie et son niveau
de performance requis;
b) plans et spécifications, par exemple pour les parties mécaniques, hydrauliques et pneumatiques,
cartes de circuits intégrés et cartes assemblées, câblage intérieur, enveloppe, matériaux, montage;
c) schéma(s) fonctionnel(s) avec description fonctionnelle des blocs;
d) schéma(s) de circuits y compris les interfaces/connexions;
e) description fonctionnelle du (des) schéma(s) de circuits;
f) diagramme(s) séquentiel(s) des composants de commutation, signaux relatifs à la sécurité;
g) description des caractéristiques pertinentes des composants préalablement validés;
h) pour les parties relatives à la sécurité autres que celles listées en g), listes des composants avec
désignation des éléments, valeurs nominales, tolérances, contraintes en fonctionnement pertinentes,
désignation du type, données relatives au taux de défaillance, fabricant des composants et toute
autre donnée relative à la sécurité;
i) analyse de tous les défauts pertinents (voir aussi 4.3 et 4.4), tels que ceux énumérés dans les tableaux
des Annexes A à D, y compris la justification de toute exclusion de défaut;
j) analyse de l’influence des matériaux traités;
k) informations pour l’utilisation, par exemple le manuel d’installation et d’exploitation/notice d’emploi.
Lorsque cela est approprié, la documentation relative au logiciel doit inclure:
— une spécification claire, et sans ambiguïté établissant les performances de sécurité que le logiciel
doit réaliser;
— la preuve que le logiciel est conçu pour réaliser les performances de sécurité requises (voir 9.5);
— les détails des essais (en particulier les rapports d’essai) effectués pour prouver que les performances
de sécurité requises sont réalisées.
NOTE Voir l’ISO 13849-1:2006, 4.6.2 et 4.6.3, pour les exigences.
Des informations sont nécessaires concernant la manière de déterminer le niveau de performance
et la probabilité moyenne d’une défaillance dangereuse par heure. La documentation des aspects
quantifiables doit comprendre:
— le diagramme bloc relatif à la sécurité (voir l’ISO 13849-1:2006, Annexe B) ou l’architecture désignée
(voir l’ISO 13849-1:2006, 6.2);
— la détermination du MTTF , de la DC et de la CCF;
d avg
— la détermination de la catégorie (voir Tableau 2).
Des informations sont requises pour la documentation des aspects systématiques des SRP/CS.
Des informations sont requises concernant la manière dont l’association de plusieurs SRP/CS réalise un
niveau de performance conforme au niveau de performance exigé.
© ISO 2012 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO 13849-2:2012(F)
Tableau 2 — Exigences de documentation pour les catégories en tant que partie des niveaux
de performance
Catégorie pour laquelle une docu-
mentation est requise
Exigence de documentation
B 1 2 3 4
Principes de sécurité de base X X X X X
Contraintes de fonctionnement prévues X X X X X
Influences du matériau traité X X X X X
Performances sous d’autres influences extérieures X X X X X
Composants éprouvés — X — — —
Principes de sécurité éprouvés — X X X X
Temps moyen avant défaillance dangereuse (MTTF ) pour chaque canal X X X X X
d
Procédure de contrôle de la (des) fonction(s) de sécurité — — X — —
Mesures de diagnostic effectuées, y compris la réaction au défaut — — X X X
Intervalles de contrôle, lorsque spécifiés — — X X X
Couverture du diagnostic (DC ) — — X X X
avg
Défauts uniques prévisibles pris en compte à la conception et méthode — — X X X
de détection utilisée
Défaillances de cause commune identifiées et mode de prévention — — X X X
Exclusions de défauts uniques prévisibles — — — X X
Défauts à détecter — — X X X
Manière dont la fonction de sécurité est assurée pour chaque défaut — — — X X
Manière dont la fonction de sécurité est assurée pour chaque combinai- — — — — X
son de défauts
Mesures de prévention des défauts systématiques X X X X X
Mesures de prévention des défauts logiciels X — X X X
X documentation requise
— aucune documentation requise
NOTE Les catégories mentionnées dans le Tableau 2 sont celles données dans l’ISO 13849-1:2006.
4.6 Rapport de validation
La validation par analyse et essais doit faire l’objet d’un rapport. Le rapport doit décrire le processus de
validation de chaque exigence de sécurité. Il est possible de faire référence à de précédents rapports de
validation, à condition qu’ils soient convenablement identifiés.
Pour toute partie relative à la sécurité qui a échoué à une partie du processus de validation, le rapport
de validation doit indiquer quelle(s) partie(s) de l’analyse/des essais de validation a (ont) échoué. Toutes
les parties relatives à la sécurité doivent être revalidées avec succès après leur modification.
5 Validation par analyse
5.1 Généralités
La validation des SRP/CS doit être réalisée par analyse. Les données d’entrée de l’analyse comprennent:
— la (les) fonctions de sécurité, leurs caractéristiques et le(s) niveau(x) de performance requis
identifiés lors de l’analyse du risque (voir l’ISO 13849-1:2006, Figures 1 et 3);
6 © ISO 2012 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO 13849-2:2012(F)
— les aspects quantifiables (MTTF , DC et CCF);
d avg
— la structure du système (par exemple, les architectures désignées) (voir l’ISO 13849-1:2006, Article 6);
— les aspects non quantifiables et qualitatifs qui affectent le comportement du système (si applicable,
les aspects du logiciel);
— les arguments déterministes.
La validation des fonctions de sécurité par analyse plutôt que par essais exige la formulation d’arguments
déterministes.
NOTE 1 Un argument déterministe est un argument fondé sur des aspects qualitatifs (par exemple qualité
de fabrication, expérience d’utilisation). Cette analyse dépend de l’application, qui, avec d’autres facteurs, peut
affecter les arguments déterministes.
NOTE 2 Les arguments déterministes diffèrent des autres justifications en cela qu’ils montrent que les
propriétés exigées du système découlent logiquement d’une modélisation du système. De tels arguments peuvent
être construits sur la base de notions simples, bien comprises.
5.2 Techniques d’analyse
La sélection d’une technique d’analyse dépend d’un objectif particulier. Deux techniques fondamentales
existent, comme indiqué ci-après.
a) Les techniques descendantes (déductives) conviennent pour déterminer les événements
déclencheurs qui peuvent conduire à des événements supérieurs identifiés et pour calculer la
probabilité des événements supérieurs à partir de la probabilité des événements déclencheurs. Elles
peuvent également servir à rechercher les conséquences de défauts multiples identifiés.
EXEMPLE Analyse par arbre des défaillances (ADD, voir la CEI 61025) et analyse par arbr
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.