Earth-moving machinery -- Functional safety

This document provides a methodology for the determination of performance levels required for earth moving machinery (EMM) as defined in ISO 6165. A Machine Control System Safety Analysis (MCSSA) determines the amount of risk reduction of hazards associated with control systems, required for Safety Control Systems (SCS). This reduction is quantified by the Machine Performance Level (MPL), the hazards are identified using the risk assessment principles as defined in ISO 12100 or by other means. NOTE 1 Step 2 as shown in Annex A demonstrates the relationship between ISO 12100 and ISO 19014 as a complementary protective measure. NOTE 2 ISO 19014 can also be used to assess the functional safety requirements of other off-road mobile machinery. For those controls determined to be safety-related, the characteristics for architecture, hardware, software environmental requirements and performance are covered by other parts in ISO 19014. ISO 19014 covers the hazards caused by the failure of a safety control system and excludes hazards arising from the equipment itself (for example, electric shock, fire, etc.). Other controls that are not safety control systems (SCS), that do not mitigate a hazard or perform a control function and where the operator would be aware of a failure, are excluded from this standard (e.g. windscreen wipers, head lights, cab light, etc.). NOTE 3 A list of safety control systems is included in Annex D. NOTE 4 Audible warnings are excluded from the requirements of diagnostic coverage.

Engins de terrassement -- Sécurité fonctionnelle

Le présent document fournit une méthode pour la détermination des niveaux de performance requis pour les engins de terrassement (EMM), comme définit dans l'ISO 6165. Une analyse de sécurité des systčmes de commande de la machine (MCSSA) détermine le degré de réduction des phénomčnes dangereux associés aux systčmes de commande requis pour les systčmes de commande de sécurité (SCS). Cette réduction est quantifiée par le niveau de performance de la machine (MPL), les phénomčnes dangereux sont identifiés selon les principes d'évaluation des risques définis dans la norme ISO 12100 ou par d'autres moyens. NOTE 1: La deuxičme étape, comme présenté dans l'Annexe A, démontre la relation entre l'ISO 12100 et l'ISO 19014 en tant que mesure complémentaire. NOTE 2: L'ISO 19014 peut également ętre utilisée pour évaluer les exigences de sécurité fonctionnelle d'autres machines mobiles non routičres. Pour ce qui est des commandes déterminées comme étant relatives ŕ la sécurité, les caractéristiques d'exigences et de performances environnementales de l'architecture, du matériel et du logiciel sont couvertes dans d'autres parties de l'ISO 19014. L'ISO 19014 couvre les phénomčnes dangereux dus au disfonctionnement fonctionnel d'un systčme de commande lié ŕ la sécurité, et exclut les phénomčnes dangereux dus ŕ l'équipement lui-męme (par exemple, choc électrique, incendie, etc.). Les autres commandes qui ne sont pas des systčmes de commande de sécurité (SCS), qui n'atténuent pas un phénomčne dangereux ni ne réalisent une fonction de commande, et les cas oů les défaillances pourraient ętre constatées par l'opérateur, sont exclus de la présente norme (par exemple, les essuie-glaces, les phares, l'éclairage de cabine, etc.). NOTE 3: Une liste de fonctions de sécurité est incluse dans l'Annexe D. NOTE 4: Les avertisseurs sonores sont exclus des exigences de la couverture de diagnostic.

General Information

Status
Published
Publication Date
25-Jun-2018
Current Stage
6060 - International Standard published
Start Date
22-Apr-2018
Completion Date
26-Jun-2018
Ref Project

RELATIONS

Buy Standard

Standard
ISO 19014-1:2018 - Earth-moving machinery -- Functional safety
English language
20 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 19014-1:2018 - Earth-moving machinery -- Functional safety
English language
20 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 19014-1:2018 - Engins de terrassement -- Sécurité fonctionnelle
French language
22 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO
STANDARD 19014-1
First edition
2018-06
Corrected version
2019-02
Earth-moving machinery —
Functional safety —
Part 1:
Methodology to determine safety-
related parts of the control system and
performance requirements
Engins de terrassement — Sécurité fonctionnelle —
Partie 1: Méthodologie pour la détermination des parties relatives à
la sécurité des systèmes de commande et les exigences de performance
Reference number
ISO 19014-1:2018(E)
ISO 2018
---------------------- Page: 1 ----------------------
ISO 19014-1:2018(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2018

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2018 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 19014-1:2018(E)
Contents Page

Foreword ........................................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 Method to determine MPLr for SRP/CS of earth moving machinery .............................................................5

4.1 General ........................................................................................................................................................................................................... 5

4.2 Machine Control System Safety Analysis (MCSSA) method ............................................................................. 5

5 Requirements for immediate action warning indicators........................................................................................... 6

5.1 General ........................................................................................................................................................................................................... 6

6 Performance level determination procedures ...................................................................................................................... 6

6.1 General ........................................................................................................................................................................................................... 6

6.2 Participants in the risk assessment ...................................................................................................................................... 6

6.3 Assessment and classification of a potential harm .................................................................................................. 6

6.4 Assessment of exposure in the situation observed ................................................................................................. 7

6.5 Assessment of a possibility to avoid harm ...................................................................................................................... 7

6.6 Determining the required MPL ................................................................................................................................................. 9

Annex A (informative) Process flow chart for machinery risk assessment ..............................................................11

Annex B (informative) Table of warning/operation indicators ............................................................................................13

Annex C (informative) Example of MCSSA Process ..............................................................................................................................14

Annex D (informative) List of possible safety control systems (SCS) of earth moving machines .......18

Bibliography .............................................................................................................................................................................................................................20

© ISO 2018 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 19014-1:2018(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.

ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the

different types of ISO documents should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of

any patent rights identified during the development of the document will be in the Introduction and/or

on the ISO list of patent declarations received (see www .iso .org/patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www .iso

.org/iso/foreword .html.

This document was prepared by Technical Committee ISO/TC 127, Earth-moving machinery,

Subcommittee SC 2, Safety, ergonomics and general requirements.

This first edition of ISO 19014-1, together with ISO 19014-2, ISO 19014-3, ISO 19014-4 and ISO/

TS 19014-5, cancels and replaces ISO 15998 and ISO/TS 15998-2, which have been technically revised.

The main changes compared to the previous documents are as follows:

— method for determination of performance levels and machine control system safety analysis,

— additional requirements for mobile machines,
— environmental test requirements for components of safety controls systems, and

— requirements for software validation and verification of machine performance levels.

This corrected version of ISO 19014-1:2018 incorporates the following corrections:

— in 4.2 c) 2), 4.2 d) 1), 6.1 and Annex C, the cross-references to the steps defined in 4.2 have been

corrected.

A list of all parts in the ISO 19014-series can be found on the ISO website. At the time of publication of

this document, Part 2, Design and evaluation of safety-related machine control systems, Part 4, Design and

evaluation of software and transmission for safety related parts of the control system, and Part 5, Tables of

performance levels, are under development.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www .iso .org/members .html.
iv © ISO 2018 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 19014-1:2018(E)
Introduction

This document addresses systems of all energy types used for functional safety in earth-moving

machinery.
The structure of safety standards in the field of machinery is as follows.

Type-A standards (basis standards) give basic concepts, principles for design and general aspects that

can be applied to machinery.

Type-B standards (generic safety standards) deal with one or more safety aspects, or one or more types

of safeguards that can be used across a wide range of machinery:

— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);

— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure sensitive

devices, guards).

Type-C standards (machinery safety standards) deal with detailed safety requirements for a particular

machine or group of machines.
This document is a type C standard as stated in ISO 12100.

This document is of relevance, in particular, for the following stakeholder groups representing the

market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);

— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.).

Others can be affected by the level of machinery safety achieved with the means of the document by the

above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);

— machine users/employees (e.g. trade unions, organizations for people with special needs);

— service providers, e. g. for maintenance (small, medium and large enterprises);

The above-mentioned stakeholder groups have been given the possibility to participate at the drafting

process of this document.

The machinery concerned and the extent to which hazards, hazardous situations or hazardous events

are covered are indicated in the Scope of this document.

When requirements of this type-C standard are different from those which are stated in type-A or

type-B standards, the requirements of this type-C standard take precedence over the requirements of

the other standards for machines that have been designed and built according to the requirements of

this type-C standard.
© ISO 2018 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 19014-1:2018(E)
Earth-moving machinery — Functional safety —
Part 1:
Methodology to determine safety-related parts of the
control system and performance requirements
1 Scope

This document provides a methodology for the determination of performance levels required for earth

moving machinery (EMM) as defined in ISO 6165.

A Machine Control System Safety Analysis (MCSSA) determines the amount of risk reduction of hazards

associated with control systems, required for Safety Control Systems (SCS). This reduction is quantified

by the Machine Performance Level (MPL), the hazards are identified using the risk assessment principles

as defined in ISO 12100 or by other means.

NOTE 1 Step 2 as shown in Annex A demonstrates the relationship between ISO 12100 and ISO 19014 as a

complementary protective measure.

NOTE 2 ISO 19014 can also be used to assess the functional safety requirements of other off-road mobile

machinery.

For those controls determined to be safety-related, the characteristics for architecture, hardware,

software environmental requirements and performance are covered by other parts in ISO 19014.

ISO 19014 covers the hazards caused by the failure of a safety control system and excludes hazards

arising from the equipment itself (for example, electric shock, fire, etc.).

Other controls that are not safety control systems (SCS), that do not mitigate a hazard or perform a

control function and where the operator would be aware of a failure, are excluded from this standard

(e.g. windscreen wipers, head lights, cab light, etc.).
NOTE 3 A list of safety control systems is included in Annex D.

NOTE 4 Audible warnings are excluded from the requirements of diagnostic coverage.

2 Normative references

The following documents are referred to in the text in such a way that some or all of their content

constitutes requirements of this document. For dated references, only the edition cited applies. For

undated references, the latest edition of the referenced document (including any amendments) applies.

ISO 6165, Earth-moving machinery — Basic types — Identification and terms and definitions

ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction

3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO 6165 and ISO 12100 and the

following apply.

ISO and IEC maintain terminological databases for use in standardization at the following addresses:

— IEC Electropedia: available at http: //www .electropedia .org/
© ISO 2018 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 19014-1:2018(E)
— ISO Online browsing platform: available at http: //www .iso .org/obp
3.1
Machine Performance Level
MPL

discrete level to specify the ability of safety-related parts of control systems (3.3.2) to perform a safety

function under reasonably foreseeable conditions

Note 1 to entry: The term MPL is used to describe the performance level required from a safety-related part of

a control system. The ‘M’ refers to machine and denotes Earth Moving Machinery covered by the scope of this

document and is used to differentiate from other functional safety standards (e.g. PL, AgPL, ASIL, etc.).

3.1.1
Machine Performance Level required
MPL
discrete level required as determined by processes in this document
3.1.2
Machine Performance Level achieved
MPL

discrete level achieved by the safety control systems (3.3.1) hardware, architecture and software

Note 1 to entry: Process for determination of MPLa will be covered in ISO 19014-2 and ISO 19014-4, under

development.
3.2
functional safety

part of the overall safety relating to the equipment under control and its control system that depends

on the correct functioning of the safety control system (SCS) (3.3.1) and other risk reduction measures

[SOURCE: IEC 61508-4:2010, 3.1.12, modified]
3.3
machine control system
MCS

system which responds to input signals from parts of machine elements, operators (3.4.1), external

control equipment or any combination of these and generates output signals causing the machine to

behave in the intended manner
[SOURCE: ISO 13849-1:2015, 3.1.32]
3.3.1
safety control system
SCS

sub-system or system used by a MCS (3.3) to achieve functional safety (3.2) by affecting machine

behaviour or mitigating a hazard

Note 1 to entry: A system which can fail in a way that creates a hazard is considered a SCS.

Note 2 to entry: For example, SCS for propulsion may include throttle, gear shift, start/stop, etc.

3.3.2
safety-related part of the control system
SRP/CS

part of a SCS (3.3.1) that responds to safety-related input signals and generates safety-related

output signals

Note 1 to entry: The combined safety-related parts of a control system start at the point where the safety-related

input signals are initiated (including, for example, the actuating cam and the roller of the position switch) and

end at the output of the power control elements (including, for example, the main contacts of a contactor).

Note 2 to entry: If monitoring systems are used for diagnostic coverage, they are also considered as SRP/CS.

2 © ISO 2018 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 19014-1:2018(E)
Note 3 to entry: SRP/CS is a part or component within the specific MCS.
[SOURCE: ISO 13849-1:2015, 3.1.1, modified - Note 3 to entry has been added.]
3.4
person group
groups of people analyzed in the MCSSA (3.14)
3.4.1
operator
person operating the EMM and aware of associated risks or hazards
3.4.2
co-worker
person working in the vicinity of a machine and aware of associated hazards
3.4.3
bystander

person including non-employee, child, or member of the public with little or no awareness of machine

hazards and no training
3.4.4
maintainer
person whose function is to perform maintenance tasks on the machine
Note 1 to entry: A maintainer is trained and familiar with the machine.
3.5
controllability

ability to avoid harm to the person group (3.4) at risk through the timely reactions of the operator

(3.4.1), possibly with the support of alternative controls
3.6
exposure
percentage of time a person group (3.4) is exposed to the hazard

Note 1 to entry: The exposure is the product of the following dependent probabilities: application use case (3.11),

hazard time (3.12), and person group exposure (3.15).
3.7
severity

estimate of the extent of harm to one or more individuals that can occur in a potentially hazardous

situation
[SOURCE: ISO 26262-1:2011, 1.120]
3.8
operation indicator

means by which the state of the equipment or machinery is represented to an observer

[SOURCE: ISO 22555:2007, 3.2]
3.8.1
warning indicator

visual, sensory or audible indications where an action from the operator (3.4.1) or control system is

required
3.8.2
immediate action warning indicator

warning indicator (3.8.1) requiring immediate action from the operator (3.4.1) to mitigate hazard or

system failure
© ISO 2018 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 19014-1:2018(E)
3.9
application

different industries where a machine is used in, that can have different hazardous situations from

one another

Note 1 to entry: Applications can include general construction, road construction, waste management,

quarrying, etc.
3.10
use case
intended use of a machine within an application (3.9)

Note 1 to entry: For example, a dozer can have dozing, ripping, travel and maintenance use cases within an

application.
3.11
application use case

highest percentage of time a machine is anticipated to be used in a use case (3.10) within a given

application (3.9) during the intended use of the life cycle of the machine

Note 1 to entry: Because the application use case represents the highest percentage of time, and not the average,

a machine in the population spends in a use case, the sum of application use cases across an application can be

greater than 100 %.
3.12
hazard time

percentage of time within the work cycle of the application use where it is reasonably foreseeable that a

hazard may exist should the control system being assessed fail

Note 1 to entry: For example, a dozer pushing material off a high wall is only exposed to the hazard of going over

the high wall for the time where the machine is traveling towards the high wall within the stopping distance of

the machine.
3.13
hazard zone

any space within or around machinery in which a person can be exposed to a hazard from the SCS

(3.3.1) under analysis

[SOURCE: ISO 12100:2010 3.11, modified - “from the SCS under analysis” has been added.]

3.14
machine control system safety analysis
MCSSA

risk assessment used to determine the MPLr (3.1.1) for the SCS (3.3.1) on a machine as outlined in this

document
3.15
person group exposure

highest percentage of hazard time (3.12) that someone from the person group (3.4) being assessed is

present in the hazard zone (3.13)

Note 1 to entry: The analysis is a sum of all the persons exposed from the person group, not a single individual

within that group i.e. not a single car driving by, but the flow of traffic.
3.16
failure type
description of the type of failure that can occur in a SCS (3.3.1)

Note 1 to entry: Failure types to consider include failure to apply, failure to release, uncommanded apply,

uncommanded release, incorrect apply rate, incorrect release rate or incorrect direction, etc.

4 © ISO 2018 – All rights reserved
----------
...

DRAFT INTERNATIONAL STANDARD
ISO/DIS 19014-1
ISO/TC 127/SC 2 Secretariat: ANSI
Voting begins on: Voting terminates on:
2016-08-26 2016-11-17
Earth-moving machinery — Safety —
Part 1:
Methodology to determine safety-related parts of the
control system and performance requirements
Engins de terrassement — Sécurité —

Partie 1: Méthodologie·permettant de déterminer les parties du système de commande et les exigences de

performance liés à la sécurité
ICS: 53.100
THIS DOCUMENT IS A DRAFT CIRCULATED
FOR COMMENT AND APPROVAL. IT IS
THEREFORE SUBJECT TO CHANGE AND MAY
NOT BE REFERRED TO AS AN INTERNATIONAL
STANDARD UNTIL PUBLISHED AS SUCH.
IN ADDITION TO THEIR EVALUATION AS
ISO/CEN PARALLEL PROCESSING
BEING ACCEPTABLE FOR INDUSTRIAL,
TECHNOLOGICAL, COMMERCIAL AND
USER PURPOSES, DRAFT INTERNATIONAL
STANDARDS MAY ON OCCASION HAVE TO
BE CONSIDERED IN THE LIGHT OF THEIR
POTENTIAL TO BECOME STANDARDS TO
WHICH REFERENCE MAY BE MADE IN
Reference number
NATIONAL REGULATIONS.
ISO/DIS 19014-1:2016(E)
RECIPIENTS OF THIS DRAFT ARE INVITED
TO SUBMIT, WITH THEIR COMMENTS,
NOTIFICATION OF ANY RELEVANT PATENT
RIGHTS OF WHICH THEY ARE AWARE AND TO
PROVIDE SUPPORTING DOCUMENTATION. ISO 2016
---------------------- Page: 1 ----------------------
ISO/DIS 19014-1:2016(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2016, Published in Switzerland

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form

or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior

written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of

the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/DIS 19014-1:2016(E)
Contents Page

Foreword ........................................................................................................................................................................................................................................iv

Introduction ..................................................................................................................................................................................................................................v

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 2

4 Method to determine MPLr for SRP/CS of EMM ................................................................................................................... 3

4.1 General ........................................................................................................................................................................................................... 3

4.2 Method ........................................................................................................................................................................................................... 4

5 Determination of the limits of the machine ............................................................................................................................. 5

5.1 General ........................................................................................................................................................................................................... 5

5.2 Identification of hazards ................................................................................................................................................................. 5

5.3 Risk estimation ....................................................................................................................................................................................... 5

6 Performance level determination procedures ...................................................................................................................... 5

6.1 Requirements ........................................................................................................................................................................................... 5

6.1.1 General...................................................................................................................................................................................... 5

6.1.2 Tasks in risk analysis .................................................................................................................................................... 6

6.1.3 Participants in the risk assessment ................................................................................................................. 6

6.1.4 Assessment and classification of a potential harm ............................................................................ 6

6.1.5 Assessment of exposure in the situation observed ............................................................................ 6

6.1.6 Assessment of a possibility to avoid harm ................................................................................................ 8

6.1.7 Selecting the required MPL .................. ................................................................................................................... 8

7 Information for use .........................................................................................................................................................................................10

7.1 Information for operators/owner’s manual ...............................................................................................................10

7.2 Information for service/maintenance manuals ......................................................................................................10

Annex A (informative) Process Flow Chart .................................................................................................................................................11

Annex B (normative) Table of warning/operation indicators ................................................................................................13

Annex C (informative) List of hazards from 12100 (EMM Specific) ..................................................................................15

Bibliography .............................................................................................................................................................................................................................18

© ISO 2016 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/DIS 19014-1:2016(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.

ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the

different types of ISO documents should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2. www.iso.org/directives

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of

any patent rights identified during the development of the document will be in the Introduction and/or

on the ISO list of patent declarations received. www.iso.org/patents

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation on the meaning of ISO specific terms and expressions related to conformity

assessment, as well as information about ISO’s adherence to the WTO principles in the Technical

Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information

The committee responsible for this document is ISO/TC 127.

ISO 19014 consists of the following parts, under the general title Earth-moving machinery — Safety:

— Part 1: Methodology to determine safety-related parts of the control system and performance

requirements

— Part 2: Design and evaluation of safety-related electrical and electronic machine control systems

— Part 3: Environmental performance and test requirements of electronic and electrical components used

in safety-related parts of the control system

— Part 4: Design and evaluation of software and data transmission for safety related parts of the

control system
ISO 19014- series replaces ISO 15998.
iv © ISO 2016 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/DIS 19014-1:2016(E)
Introduction

This International Standard addresses systems comprising of all energy types used for functional

safety in earth-moving machinery.
The structure of safety standards in the field of machinery is as follows.

Type-A standards (basis standards) give basic concepts, principles for design and general aspects that

can be applied to machinery.

Type-B standards (generic safety standards) deal with one or more safety aspects, or one or more types

of safeguards that can be used across a wide range of machinery:

— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);

— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure sensitive

devices, guards).

Type-C standards (machinery safety standards) deal with detailed safety requirements for a particular

machine or group of machines.
This part of ISO 19014 is a type B-1 standard as stated in ISO 12100.
© ISO 2016 – All rights reserved v
---------------------- Page: 5 ----------------------
DRAFT INTERNATIONAL STANDARD ISO/DIS 19014-1:2016(E)
Earth-moving machinery — Safety —
Part 1:
Methodology to determine safety-related parts of the
control system and performance requirements
1 Scope

This part of ISO 19014 provides guidance and a methodology for determination of performance levels

required for earth moving machinery (EMM), as described in ISO 6165 after a hazard is identified by

risk assessment and a control is determine as a safety related part of the control system (SRP/CS).

Hazard identification is determined by risk assessment using the method described in ISO 12100 or by

other means and is not covered by this document.

Where a control is determined as safety related a Machine Performance Level (MPL) is determined by

the method described.

NOTE 1 The term MPL is used to describe the level of performance required from a safety related part of a

control system. The ‘M’ refers to machine and is applicable to all Earth Moving Machinery covered by the scope of

this document.

For those controls determined as safety related, the characteristics for architecture, hardware,

software environmental requirements and performance are covered by other parts in this series.

A safety related control system that addresses hazards as identified by a machine or system risk

assessment includes but is not limited to systems that control machine movement. (for example

powered motion, braking, steering, attachments and working tool control systems).

Control systems that protect against rapid thermal events, electrical shock, requirements for explosive

atmospheres etc are also included.

The principles of this standard can also be applied to immediate action warning indicator intended to

warn the operator of a possible hazard and requiring immediate action from the operator to correct

and prevent such a hazard.

Other safety related devices that the operator would be aware of failure are excluded from this standard

(e.g. windscreen wipers, head lights etc.).

NOTE 2 Audible warnings are excluded from the requirements of diagnostic coverage.

This standard supersedes ISO 15998:2008.
2 Normative references

The following referenced documents are indispensable for the application of this document. For dated

references, only the edition cited applies. For undated references, the latest edition of the referenced

document (including any amendments) applies.

ISO 3411, Earth-moving machinery — Physical dimensions of operators and minimum operator space

envelope

ISO 6165, Earth-moving machinery — Basic types — Identification and terms and definitions

ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction

© ISO 2016 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO/DIS 19014-1:2016(E)
ISO 14121-1:2007, Safety of machinery — Principles of risk assessment

ISO 19014-2, Earth-moving machinery — Safety — Control system performance level architecture and

requirements

ISO 19014-3, Earth-moving machinery — Safety — Control system performance level environmental

requirements

ISO 19014-4, Earth-moving machinery — Safety — Design and evaluation of software and data

transmission for safety related parts of the control system
ISO 20474-1, Earth Moving Machinery — Safety — General Requirements
3 Terms and definitions

For the purposes of this document, the following terms and definitions in ISO 6165, ISO 13849-1,

ISO 12100 and ISO 20474-1 apply, in addition to the definitions listed below.
3.1
Machine Performance Level (MPL)

discrete level to specify the ability of safety-related parts of control systems to perform a safety

function under reasonably foreseeable conditions
3.2
functional safety

part of the overall safety that depends on a system or equipment operating correctly in response to

its inputs
3.3.1
machine-control system (MCS)

system consisting of the components needed to fulfil the function of the system, including sensors,

signal processing unit, monitor, controls and actuators or several of these

Note 1 to entry: The extent of the system is not limited to the electronic controls, but is defined by the machine-

related function of the complete system. It therefore consists generally of electronic, non-electronic and

connection devices. This can include mechanical, hydraulic, optical or pneumatic components/systems.

3.3.2
safety related part of the control system (SRP/CS)

part of a control system that responds to safety-related input signals and generates safety-related

output signals

Note 1 to entry: The combined safety-related parts of a control system start at the point where the safety-related

input signals are initiated (including, for example, the actuating cam and the roller of the position switch) and

end at the output of the power control elements (including, for example, the main contacts of a contractor).

Note 2 to entry: If monitoring systems are used for diagnostics, they are also considered as SRP/CS.

3.4
operator
person operating an EMM with high level of skills, training and awareness
3.5
co-worker

person working in the vicinity of a machine assumed to have a medium level of training (site induction)

and awareness
3.6
bystander

person including non-employee, child or member of the public with little or no awareness of machine

hazards and no training
2 © ISO 2016 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/DIS 19014-1:2016(E)
3.7
maintainer

person whose function is to perform maintenance tasks on the machine being analysed. These

personnel are normally trained, and are familiar with the machine
3.8
controllability

involved individual’s possibility of avoiding harm in the situation that is putting him/her at risk

3.9
exposure

duration of time and frequency in which an individual is in a situation in which the potential hazard exists

3.10
severity
degree of harm to an endangered individual
3.11
warning indicator

visual or audible indications were an action from the operator or control system is required

Note 1 to entry: Note to entry: The action required can be immediate for urgent warnings such as tip over

indicators or advisory such as low oil – action required is generally determined by colour of indicator or urgency

of alarm.
3.11.1
immediate action warning indicator

warning Indicator requiring immediate action from the operator to mitigate hazard or system failure

Note 1 to entry: Note to entry: Annex C provides a list of warning indicators and guidance on those considered

requiring immediate action.
3.12
operation indicator
visual indicator used to show mode of operation
3.13
application profile

breakdown of time a machine is used for a given application in a work cycle (expressed in %)

EXAMPLE Machine application profile = 100 %:
20 % road use,
40 % bucket/jobsite application,
30 % back hoe use,
10 % idle.
4 Method to determine MPLr for SRP/CS of EMM
4.1 General

In most situations, safety is achieved by a number of protective systems which rely on many technologies

(e.g. mechanical, hydraulic, pneumatic, electrical, electronic, programmable electronic). Any safety

strategy therefore considers not only all the elements within an individual system, such as sensors,

controlling devices and actuators, but also all the safety-related parts of the control systems.

ISO 19014- series sets out an approach to the design and assessment, for all safety life cycle activities,

of safety-relevant control systems of all energy types on earth moving machines as defined in ISO 6165.

© ISO 2016 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO/DIS 19014-1:2016(E)

It covers the possible hazards caused by the functional behaviour of safety-related systems, as distinct

from hazards arising from the equipment itself (electric shock, fire, nominal performance level of

components dedicated to active and passive safety, etc.).

Parts of the control systems of the machines concerned which provide safety functions are called

safety-related parts of control systems (SRP/CS). These can consist of hardware or software, can be

separate or integrated parts of a control system, and can either perform solely critical functions or

form part of an operational function.

In general, the designer (and to some extent, the user) may combine the design and validation of these

SRP/CS as part of the risk assessment. The objective is to reduce the risk associated with a given hazard

(or hazardous situation) under all conditions of use of the machine. This can be achieved by applying

various protective measures (both SRP/CS and non-SRP/CS) with the end result of achieving a safe

condition.

In order to guide the designer during design, and to facilitate the assessment of the achieved

performance level, ISO 19014 defines an approach based on a classification of structures with different

design features and specific behaviour in case of a fault.

The performance levels and categories can be applied to the control systems of all kinds of mobile

machines: from simple systems (e.g. auxiliary valves) to complex systems (e.g. steer by wire), as well as

to the control systems of protective equipment (e.g. interlocking devices, pressure sensitive devices).

ISO 19014 adopts a customer risk-based approach for the determination of the risks, while providing

a means of specifying the target performance level for the safety-related functions to be implemented

by safety-related channels. It gives requirements for the whole safety life cycle of SRP/CS (design,

validation, production, operation, maintenance, decommissioning), necessary for achieving the

required functional safety for SRP/CS that are linked to the performance levels.
4.2 Method

The following key stages apply to determining MPLr for Safety Related Part of the Control System SRP/CS:

a) Determine the intended EMM limits as per EN ISO 12100:2010. (Clause 5)

b) Complete a risk assessment using a suitable tool and identifying the hazards associated with the

function or application of the machine.

c) Determine how the hazards identified in the risk assessment process are mitigated or protected

against. (This may require additional control systems or means of ensuring the integrity of inherent

control systems.)

d) Determine if the hazard mitigation/protective measure used is dependent upon a control system

and if this is a SRP/CS. (This shall include control systems added to the machine to mitigate

a hazard, control systems that control the movement of the machine or control systems used if

failure creates a hazardous situation.)

e) If a control system is not determined as a SRP/CS the process stops and MPL determination is not

required. The control systems which are not subject to the requirements of ISO 19014-1 MPL are

covered by the requirements for qualit
...

NORME ISO
INTERNATIONALE 19014-1
Première édition
2018-06
Version corrigée
2019-02
Engins de terrassement — Sécurité
fonctionnelle —
Partie 1:
Méthodologie pour la détermination
des parties relatives à la sécurité
des systèmes de commande et les
exigences de performance
Earth-moving machinery — Functional safety —
Part 1: Methodology to determine safety-related parts of the control
system and performance requirements
Numéro de référence
ISO 19014-1:2018(F)
ISO 2018
---------------------- Page: 1 ----------------------
ISO 19014-1:2018(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 19014-1:2018(F)
Sommaire Page

Avant-propos ..............................................................................................................................................................................................................................iv

Introduction ................................................................................................................................................................................................................................vi

1 Domaine d'application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 2

4 Méthode de détermination du MPLr pour SRP/CS des engins de terrassement ...............................5

4.1 Généralités .................................................................................................................................................................................................. 5

4.2 Méthode d’analyse de sécurité du Système de Commande de la Machine (MCSSA) .................. 5

5 Détermination des limites de la machine ................................................................................................................................... 6

5.1 Généralités .................................................................................................................................................................................................. 6

6 Procédures de détermination du niveau de performance ........................................................................................ 6

6.1 Généralités .................................................................................................................................................................................................. 6

6.2 Participants à l'appréciation du risque .............................................................................................................................. 7

6.3 Appréciation et classification d'un dommage potentiel ...................................................................................... 7

6.4 Appréciation de l'exposition dans la situation constatée .................................................................................. 7

6.5 Évaluation de la possibilité d'éviter un dommage ................................................................................................... 8

6.6 Détermination du MPL requis ................................................................................................................................................10

Annexe A (informative) Organigramme du processus pour appréciation du risque lié à la

machine .......................................................................................................................................................................................................................12

Annexe B (informative) Tableau d'indicateurs d'avertissement/de fonctionnement ...................................14

Annexe C (informative) Exemple de processus MCSSA ...................................................................................................................15

Annexe D (informative) Liste des systèmes de commande de sécurité (SCS) possibles des

engins de terrassement ..............................................................................................................................................................................20

Bibliographie ...........................................................................................................................................................................................................................22

© ISO 2018 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 19014-1:2018(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes

nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est

en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude

a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,

gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.

L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui

concerne la normalisation électrotechnique.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents

critères d'approbation requis pour les différents types de documents ISO. Le présent document a été

rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www

.iso .org/directives).

L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de

droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable

de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant

les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de

l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de

brevets reçues par l’ISO (voir www .iso .org/brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité à l'intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la signification des termes et expressions spécifiques de l'ISO liés à l'évaluation

de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux principes de l'Organisation

mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC) voir le lien

suivant: www .iso .org/iso/fr/foreword .html.

Le comité chargé de l'élaboration du présent document est l'ISO/TC 127, Engins de terrassement, sous-

comité SC 2, Sécurité, ergonomie et exigences de sécurité.

Cette première édition de l’ISO 19014-1, avec l’ISO 19014-2, l’ISO 19014-3, l’ISO 19014-4 et l’ISO/

TS 19014-5, annule et remplace l’ISO 15998 et l’ISO/TS 15998-2 qui ont fait l'objet d'une révision

technique.

Les principales modifications par rapport à l’édition précédente sont les suivantes:

— la méthode pour la détermination des niveaux de performance et l’analyse de sécurité du système

de commande de la machine,
— les exigences supplémentaires pour les machines mobiles,

— les exigences d’essai environnementaux pour les composants des systèmes de commande relatifs à

la sécurité, et

— les exigences pour la validation du logiciel et la vérification des niveaux de performance de la

machine.

La présente version corrigée de l'ISO 19014-1:2018 inclut les corrections suivantes:

— en 4.2 c) 2), 4.2 d) 1), 6.1 et l'Annexe C, les références croisées aux étapes définies en 4.2 ont été

corrigées.

Une liste de toutes les parties de la série ISO 19014 peut être trouvée sur le site internet de l'ISO. Au

moment de la publication du présent document, la Partie 2, Conception et évaluation des systèmes de

commande de la machine relatifs à la sécurité, la Partie 4, Conception et évaluation du logiciel et de la

iv © ISO 2018 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 19014-1:2018(F)

transmission pour les parties relatives à la sécurité du système de commande, et la Partie 5, Tableaux de

niveaux de performance, sont en cours d’élaboration.

Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent

document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes

se trouve à l’adresse www .iso .org/fr/members .html.
© ISO 2018 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 19014-1:2018(F)
Introduction

Le présent document traite des systèmes de tout type d'énergie utilisés pour assurer la sécurité

fonctionnelle des engins de terrassement.

Dans le domaine de la sécurité des machines, les normes sont articulées de la façon suivante.

Les normes de type A (normes fondamentales de sécurité), contiennent des notions fondamentales, des

principes de conception et des aspects généraux relatifs aux machines;

Les normes de type B (normes génériques de sécurité), traitent d'un aspect de la sécurité ou d'un moyen

de protection valable pour une large gamme de machines:

— normes de type B1, traitant d'aspects particuliers de la sécurité (par exemple distances de sécurité,

température superficielle, bruit);

— normes de type B2, traitant de moyens de protection (par exemple commandes bimanuelles,

dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);

Les normes de type C (normes de sécurité par catégorie de machines), traitent des exigences de sécurité

détaillées s'appliquant à une machine particulière ou à un groupe de machines particulier.

Le présent document est une norme de type C, comme indiqué dans l’ISO 12100.

Le contenu du présent document concerne, en particulier, les groupes de parties prenantes suivants

représentant les acteurs du marché en ce qui concerne la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);

— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques

professionnels, surveillance du marché, etc.)

D’autres groupes peuvent être concernés par le niveau de sécurité des machines atteint à l’aide du

document par les parties prenantes mentionnées ci-dessus:

— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);

— utilisateurs de machines/salariés (par exemple syndicats de salariés, organisations représentant

des personnes ayant des besoins particuliers);

— prestataires de services, par exemple sociétés de maintenance (petites, moyennes et grandes

entreprises);

Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer à l’élaboration

du présent document.

Les machines concernées et l’étendue des phénomènes dangereux, situations dangereuses ou

événements dangereux couverts sont indiquées dans le Domaine d’application du présent document.

Lorsque des exigences de la présente norme de type C sont différentes de celles énoncées dans les

normes de type A ou les normes de type B, les exigences de la présente norme de type C ont priorité

sur celles des autres normes pour les machines ayant été conçues et fabriquées conformément aux

exigences de la présente norme de type C.
vi © ISO 2018 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 19014-1:2018(F)
Engins de terrassement — Sécurité fonctionnelle —
Partie 1:
Méthodologie pour la détermination des parties relatives à
la sécurité des systèmes de commande et les exigences de
performance
1 Domaine d'application

Le présent document fournit une méthode pour la détermination des niveaux de performance requis

pour les engins de terrassement (EMM), comme définit dans l'ISO 6165.

Une analyse de sécurité des systèmes de commande de la machine (MCSSA) détermine le degré de

réduction des phénomènes dangereux associés aux systèmes de commande requis pour les systèmes de

commande de sécurité (SCS). Cette réduction est quantifiée par le niveau de performance de la machine

(MPL), les phénomènes dangereux sont identifiés selon les principes d'évaluation des risques définis

dans la norme ISO 12100 ou par d'autres moyens.

NOTE 1 La deuxième étape, comme présenté dans l’Annexe A, démontre la relation entre l’ISO 12100 et

l’ISO 19014 en tant que mesure complémentaire.

NOTE 2 L’ISO 19014 peut également être utilisée pour évaluer les exigences de sécurité fonctionnelle d'autres

machines mobiles non routières.

Pour ce qui est des commandes déterminées comme étant relatives à la sécurité, les caractéristiques

d'exigences et de performances environnementales de l'architecture, du matériel et du logiciel sont

couvertes dans d'autres parties de l’ISO 19014.

L'ISO 19014 couvre les phénomènes dangereux dus au disfonctionnement fonctionnel d’un système

de commande lié à la sécurité, et exclut les phénomènes dangereux dus à l'équipement lui-même (par

exemple, choc électrique, incendie, etc.).

Les autres commandes qui ne sont pas des systèmes de commande de sécurité (SCS), qui n'atténuent

pas un phénomène dangereux ni ne réalisent une fonction de commande, et les cas où les défaillances

pourraient être constatées par l'opérateur, sont exclus de la présente norme (par exemple, les essuie-

glaces, les phares, l'éclairage de cabine, etc.).
NOTE 3 Une liste de fonctions de sécurité est incluse dans l'Annexe D.

NOTE 4 Les avertisseurs sonores sont exclus des exigences de la couverture de diagnostic.

2 Références normatives

Les documents suivants, en tout ou partie, sont référencés de façon normative dans le présent document

et sont indispensables à son application. Pour les références datées, seule l'édition citée s'applique.

Pour les références non datées, la dernière édition du document de référence s'applique (y compris les

éventuels amendements).

ISO 6165, Engins de terrassement — Principaux types — Identification et termes et définitions

ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et

réduction du risque
© ISO 2018 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO 19014-1:2018(F)
3 Termes et définitions

Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 6165 et l’ISO 12100

ainsi que les suivants s'appliquent.

L’ISO et l’IEC maintiennent des bases de données terminologiques pour utilisation dans le domaine de la

normalisation aux adresses suivantes:
— IEC Electropedia: disponible à l’adresse http: //www .electropedia .org/
— ISO Online browsing platform: disponible à l’adresse http: //www .iso .org/obp
3.1
niveau de performance de machine
MPL

niveau discret d’aptitude de parties relatives à la sécurité des systèmes de commande (3.3.2) à réaliser

une fonction de sécurité dans des conditions raisonnablement prévisibles

Note 1 à l'article: Le terme MPL est utilisé pour désigner le niveau de performance requis d'une partie du système

de commande relative à la sécurité. «M» fait référence à la machine et désigne les engins de terrassement couverts

par le domaine d'application du présent document, et est utilisé pour faire la distinction avec les autres normes

de sécurité fonctionnelle (par exemple PL, AgPL, ASIL, etc.).
3.1.1
niveau de performance de machine requis
MPL

niveau discret requis tel que déterminé par des processus dans le présent document

3.1.2
niveau de performance de machine obtenu
MPL
niveau discret obtenu par les systèmes de commande de sécurité (3.3.1)

Note 1 à l'article: Le processus pour la détermination du MPL sera couvert dans l’ISO 19014-2 et l’ISO 19014-4

qui sont en cours d’élaboration.
3.2
sécurité fonctionnelle

partie de la sécurité globale relative à l'équipement commandé et à son système de commande qui

dépend du fonctionnement correct des systèmes de commande liés à la sécurité (SCS) et autres mesures

de réduction des risques
[SOURCE: IEC 61508‑4:2010, 3.1.12 modifié]
3.3
système de commande de la machine
MCS

système qui répond aux signaux d’entrée de parties de machines, des opérateurs (3.4.1), des équipements

de commande externes ou de toute combinaison de ceux-ci et qui génère des signaux de sorties imposant

à la machine un comportement attendu
[SOURCE: ISO 13849‑1:2015, 3.1.32]
3.3.1
système de commande de sécurité
SCS

sous-système ou système utilisé par un MCS (3.3) pour assurer la sécurité fonctionnelle (3.2) en

influençant le comportement de la machine ou en atténuant un phénomène dangereux

Note 1 à l'article: Un système pouvant être sujet à une défaillance qui génère un phénomène dangereux est

considéré comme un SCS.
2 © ISO 2018 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 19014-1:2018(F)

Note 2 à l'article: Par exemple, les SCS pour la propulsion peuvent inclure la manette des gaz, le réducteur, le

démarrage/arrêt, etc.
3.3.2
partie d'un système de commande relative à la sécurité
SRP/CS

partie d'un SCS (3.3.1) qui répond à des signaux d'entrée et génère des signaux de sortie relatifs à la

sécurité

Note 1 à l'article: Les parties combinées d'un système de commande relatives à la sécurité commencent au point

où sont générés les signaux relatifs à la sécurité (y compris, par exemple, la came de commande et le galet de

l'interrupteur de position) et se terminent à la sortie des pré-actionneurs (y compris, par exemple, les contacts

principaux du contacteur).

Note 2 à l'article: Si des systèmes de surveillance sont utilisés pour la couverture du diagnostic, ceux-ci sont

considérés comme des SRP/CS.

Note 3 à l'article: Une SRP/CS est une pièce ou un composant dans un MCS spécifique.

[SOURCE: ISO 13849‑1:2015, 3.1.1 modifié – La Note 3 à l’article a été ajoutée.]
3.4
groupe de personnes
groupes de personnes analysés dans la MCSSA (3.14)
3.4.1
opérateur

personne faisant fonctionner l'engin de terrassement et conscient des phénomènes dangereux associés

3.4.2
collaborateur

personne travaillant à proximité de la machine et conscient des phénomènes dangereux associés

3.4.3
tiers

personne, y compris celles ne faisant pas partie du personnel, les enfants ou les membres du public

n'ayant que peu ou pas de connaissance des phénomènes dangereux liés à la machine et aucune

formation
3.4.4
technicien de maintenance

personne dont la fonction est d'effectuer les tâches de maintenance sur la machine

Note 1 à l'article: Un technicien de maintenance a reçu une formation et connaît bien la machine.

3.5
contrôlabilité

capacité d'éviter un dommage au groupe de personnes (3.4) exposées à un risque grâce aux réactions

rapides de l'opérateur, éventuellement avec l'aide d'autres commandes
3.6
exposition

pourcentage de temps durant lequel un groupe de personnes (3.4) est exposé au phénomène dangereux

Note 1 à l'article: L’exposition est le produit des probabilités dépendantes suivantes; cas d’utilisation d’application

(3.11), durée du phénomène dangereux (3.12), et exposition d'un groupe de personnes (3.15).

3.7
gravité

estimation de l'étendue du dommage à un ou plusieurs individus qui peut se produire dans une situation

potentiellement dangereuse
[SOURCE: ISO 26262‑1:2011, 1.120]
© ISO 2018 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO 19014-1:2018(F)
3.8
indicateur

moyen par lequel l'état de l'équipement ou de la machine est représenté à un observateur

[SOURCE: ISO 22555:2007, 3.2]
3.8.1
indicateur d'avertissement

indications visuelles, sensorielles ou sonores lorsqu'une action est requise de l'opérateur (3.4.1) ou du

système de commande
3.8.2
indicateur d'avertissement d'action immédiate

indicateur d'avertissement (3.8.1) nécessitant une action immédiate de l'opérateur (3.4.1) afin d'atténuer

les phénomènes dangereux ou les défaillances du système
3.9
application

différents secteurs industriels au sein desquels une machine est utilisée, dont les situations dangereuses

peuvent différer de l'un à l'autre

Note 1 à l'article: Les applications peuvent comprendre la construction générale, la construction de route, la

gestion des déchets, l'exploitation de carrière, etc.
3.10
cas d’utilisation
utilisation prévue d'une machine dans le cadre d'une application (3.9)

Note 1 à l'article: Par exemple, un bouteur peut être utilisé pour sa lame, pour le délignage, les déplacements et la

maintenance dans le cadre d'une application.
3.11
cas d’utilisation dans une application

plus grande proportion de temps pendant laquelle il est prévu d’utiliser une machine dans un cas

d'utilisation (3.10) pour une application (3.9) donnée au cours de l'utilisation normale du cycle de vie de

la machine

Note 1 à l'article: Étant donné que le cas d’utilisation dans une application représente la plus grande proportion

de temps passé et non la moyenne, une machine dans la population passe pour un cas d'utilisation, la somme des

cas d’utilisation sur l'ensemble d'une application ce qui peut être supérieur à 100 %.

3.12
période de phénomène dangereux

pourcentage de temps dans le cycle de travail d’utilisation dans une application pendant laquelle il est

raisonnablement prévisible qu'un phénomène dangereux puisse exister si le système de commande

évalué est sujet à une défaillance

Note 1 à l'article: Par exemple, un bouteur qui pousse de la matière du haut d'un mur élevé n'est exposé au risque

de tomber du haut du mur que pendant le temps où la machine se déplace vers le mur élevé dans les limites de la

distance d'arrêt de la machine.
3.13
zone dangereuse

tout espace, à l'intérieur ou autour d'une machine, dans lequel une personne peut être exposée à un

phénomène dangereux provenant du SCS (3.3.1) analysé

[SOURCE: ISO 12100:2010, 3.11 modifié – «provenant du SCS (3.3.1) analysé» a été ajouté]

4 © ISO 2018 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 19014-1:2018(F)
3.14
analyse de sécurité des systèmes de commande de la machine
MCSSA

appréciation du risque permettant de déterminer le MPLr (3.1.1) requis pour le SCS (3.3.1) sur une

machine, comme indiqué dans le présent document
3.15
exposition d'un groupe de personnes

plus grand pourcentage de la période de phénomène dangereux (3.12) pendant laquelle un membre du

groupe de personnes (3.4) évalué est présent dans la zone dangereuse (3.13)

Note 1 à l'article: Cette analyse porte sur la somme de toutes les personnes exposées du groupe de personnes,

pas sur un seul individu dans ce groupe, c'est-à-dire pas sur une seule voiture passant à proximité, mais sur la

circulation.
3.16
type de défaillance
description du type de défaillance pouvant se produire dans un SCS (3.3.1)

Note 1 à l'article: Les types de défaillance à considérer comprennent la non-application, le non-desserrage,

l'application non commandée, le desserrage non commandé, la vitesse d'application incorrecte, la vitesse de

desserrage incorrecte ou une direction incorrecte, etc.
3.17
pire plausible

estimation de la gravité (3.7) des plus graves dommages pouvant survenir de façon réaliste à la suite

d'un seul événement dangereux

Note 1 à l'article: Le pire plausible n'est pas toujours le pire concevable ou le plus probable, mais il est fondé sur la

prise en compte de l'historique des incidents et du résultat potentiel d'un événement dangereux.

4 Méthode de détermination du MPLr pour SRP/CS des engins de terrassement
4.1 Généralités

La sécurité fonctionnelle est assurée par un ou plusieurs SCS qui sont basés sur un grand nombre

de technologies (par exemple, mécanique, hydraulique, pneumatique, électrique, électronique,

électronique programmable). Toute stratégie de sécurité doit prendre en compte tous les éléments au

sein d'un SCS, comme les capteurs, dispositifs de commande et actionneurs.

Les parties des SCS qui assurent des fonctions de sécurité sont appelées parties des systèmes de

commande relatives à la sécurité (SRP/CS). Ces parties peuvent être constituées de matériels ou de

logiciels, elles peuvent être des parties isolées du système de commande ou en faire partie intégrante,

et le système de commande doit être inclus dans le processus de MCSSA.

L'objectif est de réduire le risque lié à un phénomène dangereux donné (ou à une situation dangereuse)

durant l'utilisation normale ou un mauvais usage raisonnablement prévisible de la machine. Cela doit

être réalisé en appliquant diverses mesures de prévention (aussi bien SRP/CS que non-SRP/CS) dans le

but final de réaliser une condition de sécurité.

L'examen des risques liés aux fonctions de sécurité est axé sur l'origine des blessures subies par

les personnes. Si, dans l'analyse des dommages potentiels, il peut être établi que les dommages sont

clairement limités aux biens et n'impliquent pas de blessures aux personnes, cela n'exigerait pas qu'un

MCS soit classé comme un SCS. De plus, il incombe à l'utilisateur (propriétaire) d'effectuer une évaluation

des risques sur le lieu de travail et ces évaluations ne font pas partie du processus de la MCSSA.

4.2 Méthode d’analyse de sécurité du Système de Commande de la Machine (MCSSA)
a) Identifier tous les MCS ou toutes les fonctions de la machine à évaluer.
© ISO 2018 – Tous droits réservés 5
---------------------- Page: 11 ----------------------
ISO 19014-1:2018(F)
b) Identifier les types de défaillances possibles pour chaque MCS ou fonction.

c) Identifier les risques présentés pour chaque type de défaillance de chaque MCS ou fonction.

1) Si aucun risque n'est identifié, le MCS ou les fonctions ne sont pas un SCS mais peuvent

néanmoins être couvertes par les exigences en matière de disposition de qualité (QM)

(paragraphe 6.6).

2) Si des risques sont identifiés, le MCS ou les fonctions sont un SCS. Continuer MCSSA avec

l'étape d).
d) Évaluer les risques

1) Déterminés ci-dessus à l'aide d'évaluations de la gravité, de l'exposition et de la contrôlabilité

en utilisant la méthode définie à l’Article 6 et continuer à l'étape e).

NOTE L’ISO/TS 19014-5, portant sur l’Analyse de sécurité des systèmes de commande de la machine

(MCSSA) et les Niveaux de Performance, est en cours d’élaboration ; ce document fournira les détails

d’une autre méthode à utiliser pour la détermination du MPLr approprié pour certains MCS communs.

e) Déterminer le MPLr à l'aide d’un graphique de risque (voir Figure 2 en 6.6) pour chaque type de

défaillance de chaque SCS, en suivant le processus décrit aux paragraphes 6.3, 6.4 et 6.5.

1) Sélectionnez le MPLr le plus élevé à affecter à ce SCS conformément au 6.6.

f) Si la MCSSA a été effectuée par fonction et non par système, alors affecter le MPLr au SCS pertinent.

g) Utiliser les autres parties de la série ISO 19014 pour déterminer le MPLa du SCS.

h) S'assurer que MPLa ≥ MPLr.

Si des mesures de protection supplémentaires sont ajoutées, elles doivent être conformes à la MPLr

pour le SCS auquel elles se rapportent.
NOTE L'Annexe C fournit un exemple pratique du processus de la MCSSA.
5 Détermination des limites de la machine
5.1 Généralités

Il convient que les principes de la présente norme soient également appliqués à l'indicateur

d'avertissement d'action immédiate destiné à avertir l'opérateur d'un phénomène dangereux potentiel

et exigeant une action immédiate de l'opérateur pour corriger et prévenir un tel phénomène dangereux.

Ces indicateurs ne doivent pas être désignés comme répondant à un niveau de performance, car la

couverture des résultats/diagnostics est lié à la réaction humaine; les indicateurs ne fournissent aucun

contrôle du système et ne peuvent donc pas être étiquetés comme faisant partie intégrante du système

de commande.

Il convient qu'un examen des indicateurs d'avertissement d'action immédiate soit réalisé pour faire en

sorte que le concepteur comprenne les réactions requises par l'opérateur pour atténuer un phénomène

dangereux.
L'Annexe B donne une liste non exhaustive des indicateurs.
6 Procédures de détermination du niveau de performance
6.1 Généralités

Le présent Article doit être appliqué lorsque l'étape d) 1) de 4.2 est applicable et qu'un SCS est requis.

6 © ISO 2018 – Tous droits réservés
---------------------- Page: 12 ----------------------
ISO 19014-1:2018(F)

L'architecture (par exemple, les canaux redondants, dispositifs de protection supplémentaires,

interverrouillages qui partagent des composants communs avec le SCS, etc.) du SCS examiné ne doit

pas être considérée pendant la MCSSA. D'autres dispositifs de protection et d’interverrouillage peuvent

être des SCS, si tel est le cas
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.