Earth-moving machinery — Functional safety — Part 2: Design and evaluation of hardware and architecture requirements for safety-related parts of the control system

This document specifies general principles for the development and evaluation of the machine performance level achieved (MPLa) of safety-control systems (SCS) using components powered by all energy sources (e.g. electronic, electrical, hydraulic, mechanical) used in earth-moving machinery and its equipment, as defined in ISO 6165. The principles of this document apply to machine control systems (MCS) that control machine motion or mitigate a hazard; such systems are assessed for machine performance level required (MPLr) per ISO 19014-1 or ISO/TS 19014-5. Excluded from the scope of this document are the following systems: — awareness systems that do not impact machine motion (e.g. cameras and radar detectors); — fire suppression systems, unless the activation of the system interferes with, or activates, another SCS. Other systems or components whereby the operator would be aware of failure (e.g. windscreen wipers, head lights, etc.), or are primarily used to protect property, are excluded from this document. Audible warnings are excluded from the requirements of diagnostic coverage. In addition, this document addresses the significant hazards as defined in ISO 12100 mitigated by the hardware components within the SCS. This document is not applicable to EMM manufactured before the date of its publication.

Engins de terrassement — Sécurité fonctionnelle — Partie 2: Conception et évaluation des exigences de matériel et d’architecture pour les parties relatives à la sécurité du système de commande

Le présent document spécifie les principes généraux d’élaboration et d’évaluation du niveau de performance de machine obtenu (MPLa) des systèmes de commande de sécurité (SCS) utilisant des composants alimentés par toutes les sources d’énergie (par exemple, électronique, électrique, hydraulique, mécanique) utilisées dans les engins de terrassement et leur équipement, comme défini dans l’ISO 6165. Les principes du présent document s’appliquent aux systèmes de commande d’engins (MCS) qui commandent le mouvement d’un engin ou atténuent un phénomène dangereux; ces systèmes sont évalués pour vérifier que les exigences de niveau de performance des engins (MPLr) sont conformes à l’ISO 19014‑1 ou à l’ISO/TS 19014‑5. Les systèmes suivants sont exclus du domaine d’application du présent document: — systèmes de connaissance n’ayant aucun impact sur le mouvement de l'engin (par exemple, caméras et détecteurs radar); — systèmes de lutte contre l’incendie, excepté si l’activation du système interfère ou active un autre SCS. Les autres systèmes ou composants pour lesquels les défaillances pourraient être constatées par l’opérateur (par exemple, les essuie-glaces, les phares, l’éclairage de la cabine, etc.) ou ceux qui servent essentiellement à protéger la propriété sont exclus du présent document. Les avertisseurs sonores sont exclus des exigences de la couverture de diagnostic. De plus, le présent document traite des phénomènes dangereux significatifs tels que définis dans l’ISO 12100 atténués par les composants matériels dans le SCS. Le présent document n’est pas applicable aux engins de terrassement fabriqués avant la date de sa publication.

General Information

Status
Published
Publication Date
13-Jun-2022
Current Stage
6060 - International Standard published
Due Date
20-Apr-2022
Completion Date
14-Jun-2022
Ref Project

RELATIONS

Buy Standard

Standard
ISO 19014-2:2022 - Earth-moving machinery — Functional safety — Part 2: Design and evaluation of hardware and architecture requirements for safety-related parts of the control system Released:14. 06. 2022
English language
43 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 19014-2:2022 - Earth-moving machinery — Functional safety — Part 2: Design and evaluation of hardware and architecture requirements for safety-related parts of the control system Released:14. 06. 2022
French language
44 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO
STANDARD 19014-2
First edition
2022-06
Earth-moving machinery —
Functional safety —
Part 2:
Design and evaluation of hardware
and architecture requirements for
safety-related parts of the control
system
Engins de terrassement — Sécurité fonctionnelle —
Partie 2: Conception et évaluation des exigences de matériel et
d’architecture pour les parties relatives à la sécurité du système de
commande
Reference number
ISO 19014-2:2022(E)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 19014-2:2022(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2022

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on

the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below

or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO 2022 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 19014-2:2022(E)
Contents Page

Foreword ........................................................................................................................................................................................................................................iv

Introduction .................................................................................................................................................................................................................................v

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ..................................................................................................................................................................................... 1

3 Terms and definitions .................................................................................................................................................................................... 2

4 Symbols and abbreviated terms..........................................................................................................................................................2

5 General requirements .................................................................................................................................................................................... 3

5.1 Application ................................................................................................................................................................................................. 3

5.2 Existing SCS ............................................................................................................................................................................................... 4

6 System design .......................................................................................................................................................................................................... 4

6.1 Overview ...................................................................................................................................................................................................... 4

6.2 General requirements ...................................................................................................................................................................... 4

6.3 Hardware design .................................................................................................................................................................................. 5

7 System safety performance evaluation ....................................................................................................................................... 6

7.1 Machine performance level achieved (MPL ) .............................................................................................................. 6

7.2 Hardware safety evaluation ....................................................................................................................................................... 6

7.2.1 General ........................................................................................................................................................................................ 6

7.2.2 Fault consideration ........................................................................................................................................................... 6

7.2.3 Fault exclusion ...................................................................................................................................................................... 7

7.2.4 Mean time to dangerous failure (MTTF ) .................................................................................................... 7

7.3 Diagnostic coverage (DC) .............................................................................................................................................................. 7

7.3.1 DC of ESCS ................................... .............................................................................................................................................. 7

7.3.2 DC of N/ESCS .......................................................................................................................................................................... 7

7.4 System-level fault reduction measures of hydraulic systems based on hydraulic

system robustness (HSR) .............................................................................................................................................................. 8

7.4.1 General ........................................................................................................................................................................................ 8

7.4.2 HSR score calculation ..................................................................................................................................................... 8

7.5 Category classifications .................................................................................................................................................................. 9

7.5.1 General ........................................................................................................................................................................................ 9

7.5.2 Category B/Category 1 ...............................................................................................................................................12

7.5.3 Category 2 ............................................................................................................................................................................. 14

7.5.4 Conflicting safety functions .................................................................................................................................. 15

7.5.5 Considerations for the SRP/CS of fail-operational systems ...................................................... 16

7.6 Combination of SCS to achieve an overall MPL ....................................................................................................... 16

8 Information for use and maintenance .......................................................................................................................................18

8.1 General ...................................................................................................................................................................................................... 18

8.2 Operator’s manual ........................................................................................................................................................................... 18

Annex A (informative) Example systems and evaluations ........................................................................................................19

Annex B (informative) Examples of evaluations using HSR scoring ...............................................................................33

Annex C (normative) Compatibility with other functional safety standards .......................................................37

Annex D (informative) Safety function evaluation ............................................................................................................................38

Annex E (normative) Exceptions, exclusions, additions to ISO 13849-1 and ISO 13849-2 ......................40

Bibliography .............................................................................................................................................................................................................................43

iii
© ISO 2022 – All rights reserved
---------------------- Page: 3 ----------------------
ISO 19014-2:2022(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.

ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the

different types of ISO documents should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of

any patent rights identified during the development of the document will be in the Introduction and/or

on the ISO list of patent declarations received (see www.iso.org/patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to

the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see

www.iso.org/iso/foreword.html.

This document was prepared by Technical Committee ISO/TC 127, Earth-moving machinery,

Subcommittee SC 2, Safety, ergonomics and general requirements, in collaboration with the European

Committee for Standardization (CEN) Technical Committee CEN/TC 151, Construction equipment and

building material machines - Safety, in accordance with the Agreement on technical cooperation between

ISO and CEN (Vienna Agreement).

This first edition, together with ISO 19014-1, ISO 19014-3, ISO 19014-4 and ISO 19014-5 cancels and

replaces the first editions (ISO 15998:2008 and ISO/TS 15998-2:2012), which have been technically

revised.
The main changes are as follows:
— elimination of alternative procedures ECE R79, Annex 6, and IEC 62061;

— application of ISO 13849-1 to mobile Earth-moving machinery, including analysis of non-electronic

control systems used in Earth-moving machine applications.
A list of all parts in the ISO 19014 series can be found on the ISO website.

Any feedback or questions on this document should be directed to the user’s national standards body. A

complete listing of these bodies can be found at www.iso.org/members.html.
© ISO 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 19014-2:2022(E)
Introduction

This document addresses systems comprising all technologies used for functional safety in earth-

moving machinery.
The structure of safety standards in the field of machinery is as follows:

— Type-A standards (basis standards) give basic concepts, principles for design and general aspects

that can be applied to machinery.

— Type-B standards (generic safety standards) deal with one or more safety aspects, or one or more

types of safeguards that can be used across a wide range of machinery:

— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature,

noise);

— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure

sensitive devices, guards).

— Type-C standards (machinery safety standards) deal with detailed safety requirements for a

particular machine or group of machines.
This document is a type-C standard as stated in ISO 12100.

This document is of relevance, in particular, for the following stakeholder groups representing the

market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);

— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.)

Others can be affected by the level of machinery safety achieved with the means of the document by the

above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);

— machine users/employees (e.g. trade unions, organizations for people with special needs);

— service providers, e. g. for maintenance (small, medium and large enterprises);

— consumers (in case of machinery intended for use by consumers).

The above-mentioned stakeholder groups have been given the possibility to participate at the drafting

process of this document.

The machinery concerned and the extent to which hazards, hazardous situations or hazardous events

are covered are indicated in the Scope of this document.

When requirements of this type-C standard are different from those which are stated in type-A or

type-B standards, the requirements of this type-C standard take precedence over the requirements of

the other standards for machines that have been designed and built according to the requirements of

this type-C standard.

This document is the adaptation of ISO 13849 to provide a type-C standard to address the specific

application of functional safety to earth-moving machinery.

This document is to be used in conjunction with the ISO 13849 series when applied to earth-moving

machinery (EMM) and supersedes ISO 15998.

This document complements the safety life cycle activities of safety control systems per

ISO 13849-1:2015 and ISO 13849-2:2012 on earth-moving machinery as defined in ISO 6165.

© ISO 2022 – All rights reserved
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 19014-2:2022(E)
Earth-moving machinery — Functional safety —
Part 2:
Design and evaluation of hardware and architecture
requirements for safety-related parts of the control system
1 Scope

This document specifies general principles for the development and evaluation of the machine

performance level achieved (MPL ) of safety-control systems (SCS) using components powered by all

energy sources (e.g. electronic, electrical, hydraulic, mechanical) used in earth-moving machinery and

its equipment, as defined in ISO 6165.

The principles of this document apply to machine control systems (MCS) that control machine motion

or mitigate a hazard; such systems are assessed for machine performance level required (MPL ) per

ISO 19014-1 or ISO/TS 19014-5.
Excluded from the scope of this document are the following systems:

— awareness systems that do not impact machine motion (e.g. cameras and radar detectors);

— fire suppression systems, unless the activation of the system interferes with, or activates, another

SCS.

Other systems or components whereby the operator would be aware of failure (e.g. windscreen wipers,

head lights, etc.), or are primarily used to protect property, are excluded from this document. Audible

warnings are excluded from the requirements of diagnostic coverage.

In addition, this document addresses the significant hazards as defined in ISO 12100 mitigated by the

hardware components within the SCS.

This document is not applicable to EMM manufactured before the date of its publication.

2 Normative references

The following documents are referred to in the text in such a way that some or all of their content

constitutes requirements of this document. For dated references, only the edition cited applies. For

undated references, the latest edition of the referenced document (including any amendments) applies.

ISO 12100, Safety of machinery — General principles for design — Risk assessment and risk reduction

ISO 13849-1:2015, Safety of machinery — Safety-related parts of control systems — Part 1: General

principles for design

ISO 13849-2:2012, Safety of machinery — Safety-related parts of control systems — Part 2: Validation

ISO 19014-1, Earth-moving machinery — Functional safety — Part 1: Methodology to determine safety-

related parts of the control system and performance requirements

ISO 19014-3, Earth-moving machinery — Functional safety — Part 3: Environmental performance and test

requirements of electronic and electrical components used in safety-related parts of the control system

ISO 19014-4:2020, Earth-moving machinery — Functional safety — Part 4: Design and evaluation of

software and data transmission for safety-related parts of the control system
© ISO 2022 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 19014-2:2022(E)

ISO/TS 19014-5, Earth-moving machinery — Functional safety — Part 5: Table of Machine Performance

Levels
3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO 12100, ISO 13849-1,

ISO 19014-1 and the following apply.

ISO and IEC maintain terminology databases for use in standardization at the following addresses:

— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
ESCS
electronic safety control system

safety control system made of electronic components from input device to output device

3.2
function
defined behaviour of one or more MCS

Note 1 to entry: A control unit (e.g. electronic control unit) can execute more than one function. When multiple

safety functions are contained in a control unit, each safety function and the associated circuit are analysed

separately.
3.3
N/ESCS
non-electronic safety control system

safety control system made of non-electronic components from input device to output device

3.4
safe state

condition in which, after a fault of the safety control system, the controlled equipment, process or system

is automatically or manually stopped or switched into a mode that prevents unintended behaviour or

the potentially hazardous release of stored energy

Note 1 to entry: A safe state can also include maintaining the function (3.2) of the safety control system (e.g.

steering) in the presence of a single fault depending on the hazard being mitigated.

[SOURCE: ISO 3450:2011, 3.15, modified – "malfunction" has been replaced by "fault"; "performance"

has been replaced by "behaviour"; Note 1 to entry has been added.]
3.5
well-tried component

component for a safety-related application that has been widely used in the past with successful results

in the same or similar applications and which has been made and verified using principles which

demonstrate its suitability and reliability for safety-related applications
4 Symbols and abbreviated terms

For the purposes of this document, the following symbols and abbreviated terms apply.

a, b, c, d, e graduation of machine performance levels
ASIC application specific integrated circuit
B, 1, 2, 3, 4 denotation of categories
© ISO 2022 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 19014-2:2022(E)
CCF common cause failure
DC diagnostic coverage
DC average diagnostic coverage
avg
ECU electronic control unit
EMM earth-moving machinery
ESCS electronic safety control system
FMEA failure modes and effects analysis
FMEDA failure modes, effects and diagnostics analysis
FPGA field programmable gate array
HFT hardware fault tolerance
HSR hydraulic system robustness
MCS machine control system
MPL machine performance level
MPL machine performance level achieved
MPL machine performance level required
MTTF mean time to failure
MTTF mean time to dangerous failure
N/ESCS non-electronic safety control system
OTE output of test equipment
SCS safety control system
SRP/CS safety-related part of the control system
TE test equipment
5 General requirements
5.1 Application

The ISO 19014 series shall be used in conjunction with the ISO 13849 series when applied to earth

moving machinery (EMM) and supersedes ISO 15998. Where specific requirements are given in this

document, they take precedence over the requirements in the ISO 13849 series; however, where no

specific requirements are given in this document, the ISO 13849 series shall apply, using PL instead of

MPL (e.g. MPL = b is analogous to PL = b). For a summary of applicable clauses in the ISO 13849 series or

this document, see Tables E.1 and E.2 in Annex E.

The principles of this document shall be applied to MCS that are deemed SCS in ISO 19014-1 or

ISO/TS 19014-5. Other machine control systems that interfere with or mute a safety function of

the safety control system shall be assigned the same machine performance level as the system it is

interfering with or muting.
© ISO 2022 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 19014-2:2022(E)

Machinery shall comply with the safety requirements and/or protective/risk reduction measures of

this clause. In addition, the machine shall be designed according to the principles of ISO 12100:2010 for

relevant but not significant hazards which are not dealt with by this document. Safety related software

within any components within the SCS shall meet the requirements of ISO 19014-4:2020.

5.2 Existing SCS

Where an existing SCS has been developed to a previous standard and demonstrated through application

usage and validation to reduce the likelihood of a hazard to as low as reasonably practicable, there shall

be no requirement to update the lifecycle documentation. When the previously utilized SCS is modified,

an impact analysis (see ISO 19014-4:2020, 3.28) of the modifications shall be performed and an action

plan developed and implemented to ensure that the safety requirements are met.
6 System design
6.1 Overview

Many safety functions on mobile machines do not have run/stop outputs like non-mobile machine safety

functions normally do and are not always added to a machine purely to mitigate a hazard. For example,

steering, service brakes, swing, and equipment controls can have modulated or variable outputs within

a certain range. While these types of systems can fit into the ISO 13849 architectures, designers need

to consider how the characteristics of the safety functions can differ on a mobile machine (e.g. does the

system need closed loop control rather than open loop to address incorrect application rates, does the

system need to address hazards associated with uncommanded activation as well as failure on demand

etc.).

A safety function which relies on a control system to provide necessary hazard mitigation for the

machine can be implemented by an SCS within the scope of this document. An SCS can contain one or

more SRP/CS, and several SCS can share one or more SRP/CS (e.g. a logic unit, power control elements).

It is also possible that one SRP/CS implements both safety and non-safety functions.

NOTE For immediate action warning indicators, refer to ISO 19014-1:2018, Annex B.

Some systems on mobile machines need to maintain an operable state during a failure. While

ISO 13849-1:2015 allows for this, additional measures are necessary to ensure this happens safely and

that parallel channels do not conflict with each other and that the systems function as the requirements

for the claimed architecture specifies.

Annex C sets the minimum requirements that shall be met for utilizing systems, sub-systems and SRP/

CS developed and evaluated by methods other than the ISO 19014 series.
6.2 General requirements

After the safety functions of the SCS have been identified, the safety function requirements shall be

documented. During the safety lifecycle, safety requirements are detailed and specified in greater

detail at hierarchical levels. All safety requirements shall be described such that they are unambiguous,

consistent with other requirements, and feasible to implement.
The following design considerations shall be taken into account:
— conflicting input or output signals;

— loss of signal and actuation energies to either system (e.g. separate oil supplies for each channel,

redundant power supplies for ECUs);

— conflicting safe states required by multiple failure types that are being addressed by the system;

— systems that require fail-operational functionality;
© ISO 2022 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 19014-2:2022(E)
— the assessment processes are independent from the design process;

— when SCS are designed to be used in a synchronized manner (e.g. task automation), the control

system shall be designed to mitigate hazards due to lack of synchronization.

NOTE An EMM example of this synchronization is an excavator boom, arm, and bucket being controlled

simultaneously by a grade control system.
6.3 Hardware design

The hardware structure of the SCS can provide measures (e.g. redundancy, diversity, and monitoring)

for avoiding, detecting, or tolerating faults. Practical measures can include redundancy, diversity, and

monitoring.

The hardware development process shall follow ISO 13849-1:2015 as outlined in Annex E. The designer

should begin at the system level where safety functions and associated requirements are identified.

The system may be decomposed into subsystems for easier development.
Where applicable, each phase of the development cycle shall be verified.

See Figure 1 for a depiction of the hardware development process in the form of a V-model. Any

organized, proven design process which meets the requirements of ISO 19014 may be used to complete

the design process.
Figure 1 — Hardware development V-model
© ISO 2022 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 19014-2:2022(E)
7 System safety performance evaluation
7.1 Machine performance level achieved (MPL )

The achieved integrity of safety-related parts to perform a safety function is expressed through the

determination of the MPL .

The ability to perform a safety function under expected environmental conditions as specified in

ISO 19014-3 shall be demonstrated and documented.
The procedure for evaluating MPL is as follows:
a) identify the component operating environment and stress level;
b) identify components;

c) identify and document fault exclusions (7.2), or by using the appropriate system analysis (e.g.

FMEA, fault-tree analysis, etc.);

d) calculate the MTTF (see ISO 13849-1:2015, Annex D,), and verify the MTTF meets the required

d d
level (see ISO 13849-1:2015);

e) determine if the hardware can provide the required level of DC (ISO 13849-1:2015, Annex E). For

systems relying on software interaction to determine diagnostic coverage, this analysis can only

determine if the hardware is available to support DC, not verify that the DC requirement for the

system has been met;
f) consider CCF (see ISO 13849-1:2015, Annex F) if required;
g) consider systematic failure (ISO 13849-1:2015, Annex G);
h) consider possible interaction from other safety functions;
i) for FPGA and ASIC design, see IEC 61508-2:2010, Annexes E or F.
See Annex D for supplementary information on safety function evaluation.
7.2 Hardware safety evaluation
7.2.1 General

ISO 13849-2:2012, Annexes A to D list the faults, fault exclusions and failures for various types of

components; these lists are not exhaustive. If necessary, additional faults, fault exclusions, and failures

shall be considered and listed; in such cases, the method of evaluation should also be clearly elaborated.

A failure mode and effects analysis (FMEA), fault-tree analysis, or equivalent system analysis shall be

performed to establish the faults and fault exclusions.
7.2.2 Fault consideration
In general, the following fault criteria can be considered:

— if, because of a fault, further components fail, the first fault together with all following faults shall

be considered as a single fault;

— two or more faults having a common cause shall be considered as a single fault (known as a CCF);

— the simultaneous occurrence of two or more faults having separate causes is considered highly

unlikely and therefore need not be considered.
© ISO 2022 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 19014-2:2022(E)
7.2.3 Fault exclusion

Fault exclusions are used in the development of hardware as a means of mitigating the failure

...

NORME ISO
INTERNATIONALE 19014-2
Première édition
2022-06
Engins de terrassement — Sécurité
fonctionnelle —
Partie 2:
Conception et évaluation des
exigences de matériel et d’architecture
pour les parties relatives à la sécurité
du système de commande
Earth-moving machinery — Functional safety —
Part 2: Design and evaluation of hardware and architecture
requirements for safety-related parts of the control system
Numéro de référence
ISO 19014-2:2022(F)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 19014-2:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO 2022 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 19014-2:2022(F)
Sommaire Page

Avant-propos .............................................................................................................................................................................................................................iv

Introduction .................................................................................................................................................................................................................................v

1 Domaine d’application ................................................................................................................................................................................... 1

2 Références normatives ..................................................................................................................................................................................1

3 Termes et définitions ...................................................................................................................................................................................... 2

4 Symboles et termes abrégés ....................................................................................................................................................................3

5 Exigences générales ........................................................................................................................................... ...............................................4

5.1 Application ................................................................................................................................................................................................. 4

5.2 SCS existant ............................................................................................................................................................................................... 4

6 Conception du système .................................................................................................................................................................................. 4

6.1 Présentation .............................................................................................................................................................................................. 4

6.2 Exigences générales ........................................................................................................................................................................... 5

6.3 Conception du matériel ................................................................................................................................................................... 5

7 Évaluation des performances de sécurité du système ................................................................................................ 6

7.1 Niveau de performance de machine obtenu (MPL ).............................................................................................. 6

7.2 Évaluation de la sécurité du matériel ................................................................................................................................. 7

7.2.1 Généralités ............................................................................................................................................................................... 7

7.2.2 Prise en compte des défaillances ......................................................................................................................... 7

7.2.3 Exclusion de défaillances ............................................................................................................................................ 7

7.2.4 Temps moyen avant défaillance dangereuse (MTTF ) ..................................................................... 8

7.3 Couverture de diagnostic (DC) ................................................................................................................................................ 8

7.3.1 DC de l’ESCS ............................................................................................................................................................................ 8

7.3.2 DC de N/ESCS......................................................................................................................................................................... 8

7.4 Mesures de réduction de défaillances au niveau système des systèmes

hydrauliques basées sur la robustesse du système hydraulique (HSR) .............................................. 8

7.4.1 Généralités ............................................................................................................................................................................... 8

7.4.2 Calcul de la note de la HSR ......................................................................................................................................... 9

7.5 Classifications des catégories ................................................................................................................................................ 10

7.5.1 Généralités ............................................................................................................................................................................ 10

7.5.2 Catégorie B/Catégorie 1 ............................................................................................................................................13

7.5.3 Catégorie 2 ............................................................................................................................................................................ 15

7.5.4 Fonctions de sécurité en conflit ......................................................................................................................... 16

7.5.5 Considérations relatives aux SRP/CS des systèmes “opérationnels après

défaillance” ........................................................................................................................................................................... 17

7.6 Combinaison de SCS pour obtenir un MPL global ................................................................................................ 17

8 Informations pour l’utilisation et la maintenance .......................................................................................................19

8.1 Généralités .............................................................................................................................................................................................. 19

8.2 Manuel de l’opérateur .................................................................................................................................................................... 19

Annexe A (informative) Exemples de systèmes et d’évaluations........................................................................................20

Annexe B (informative) Exemples d’évaluations à l’aide de la notation de la HSR ..........................................35

Annexe C (normative) Compatibilité avec d’autres normes de sécurité fonctionnelles ............................39

Annexe D (informative) Évaluation de la fonction de sécurité .............................................................................................40

Annexe E (normative) Exceptions, exclusions, ajouts à l’ISO 13849-1 et à l’ISO 13849-2 ........................41

Bibliographie .......................................................................................................................................................................................................................... 44

iii
© ISO 2022 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO 19014-2:2022(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes

nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est

en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude

a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,

gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.

L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui

concerne la normalisation électrotechnique.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents

critères d’approbation requis pour les différents types de documents ISO. Le présent document

a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2

(voir www.iso.org/directives).

L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de

droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable

de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant

les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de

l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de

brevets reçues par l’ISO (voir www.iso.org/brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion

de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/fr/avant-propos.html.

Le présent document a été élaboré par le comité technique ISO/TC 127 Engins de terrassement, sous-

comité SC 2 Sécurité, ergonomie et exigences générales, en collaboration avec le Comité européen

de Normalisation (CEN) Comité Technique CEN/TC 151, Machines de génie civil et de production de

matériaux de construction – Sécurité, selon l’Accord de coopération technique entre l’ISO et le CEN

(Accord de Vienne).

Cette première édition, avec l'ISO 19014-1, l’ISO 19014-3, ISO 19014-4 et ISO 19014-5, annule et

remplace les premières éditions (ISO 15998:2008 et l’ISO/TS 15998-2:2012) qui ont fait l’objet d’une

révision technique.
Les principales modifications sont les suivantes:
— élimination de procédures alternatives ECE R79, Annexe 6, et IEC 62061;

— application de l’ISO 13849-1 aux Engins de terrassement mobiles, y compris l’analyse de systèmes

de commande non électroniques utilisés dans les applications d’Engins de terrassement.

Une liste de toutes les parties de la série ISO 19014 est disponible sur le site Internet de l’ISO.

Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent

document à l’organisme national de normalisation de son pays. Une liste complète de ces organismes

peut être consultée à l’adresse www.iso.org/fr/members.html.
© ISO 2022 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 19014-2:2022(F)
Introduction

Le présent document traite des systèmes comprenant toutes les technologies utilisées pour assurer la

sécurité fonctionnelle des engins de terrassement.

Dans le domaine de la sécurité des machines, les normes sont articulées de la façon suivante:

— Normes de type A (normes fondamentales de sécurité), contenant des notions fondamentales, des

principes de conception et des aspects généraux relatifs aux machines.

— Normes de type B (normes génériques de sécurité), traitant d’un ou de plusieurs aspect(s) de la

sécurité ou d’un ou de plusieurs type(s) de moyens de protection qui peuvent être utilisés pour une

large gamme de machines:

— normes de type B1, traitant d’aspects particuliers de la sécurité (par exemple, distances de

sécurité, température superficielle, bruit);

— normes de type B2, traitant de moyens de protection (par exemple, commandes bimanuelles,

dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).

— Normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité

détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.

Le présent document est une norme de type C telle que définie dans l'ISO 12100.

Le présent document est pertinent, en particulier, pour les groupes de parties prenantes suivants

représentant les acteurs du marché à l'égard de la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);

— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques

professionnels, surveillance du marché, etc.).

D'autres peuvent être affectés par le niveau de sécurité des machines obtenu au moyen du document

par les groupes de parties prenantes mentionnées ci-dessus:

— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);

— utilisateurs de machines/employés (par exemple, syndicats, organisations pour les personnes ayant

des besoins spéciaux);

— prestataires de services, par exemple, sociétés de maintenance (petites, moyennes et grandes

entreprises);

— consommateurs (dans le cas de machines destinées à l'utilisation par les consommateurs).

Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer au processus

d’élaboration du présent document.

Les machines concernées et l'étendue des phénomènes dangereux, des situations et des événements

dangereux couverts, sont indiquées dans le Domaine d'application du présent document.

Lorsque des prescriptions de la présente norme de type C sont différentes de celles énoncées dans les

normes de type A ou de type B, les prescriptions de la présente norme de type C ont priorité sur les

prescriptions des autres normes pour les machines ayant été conçues et fabriquées conformément aux

prescriptions de la présente norme de type C.

Le présent document est l’adaptation de l’ISO 13849 visant à fournir une norme de type C destinée à

une application spécifique de sécurité fonctionnelle des engins de terrassement.

Le présent document doit être utilisé conjointement avec la série ISO 13849 lorsqu’elle s'applique aux

engins de terrassement (EMM) et remplace l’ISO 15998.
© ISO 2022 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO 19014-2:2022(F)

Le présent document complète les activités du cycle de vie de sécurité des systèmes de commande de

sécurité conformes à l’ISO 13849-1:2015 et à l’ISO 13849-2:2012 qui traitent des engins de terrassement

comme défini dans l’ISO 6165.
© ISO 2022 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 19014-2:2022(F)
Engins de terrassement — Sécurité fonctionnelle —
Partie 2:
Conception et évaluation des exigences de matériel et
d’architecture pour les parties relatives à la sécurité du
système de commande
1 Domaine d’application

Le présent document spécifie les principes généraux d’élaboration et d’évaluation du niveau de

performance de machine obtenu (MPL ) des systèmes de commande de sécurité (SCS) utilisant

des composants alimentés par toutes les sources d’énergie (par exemple, électronique, électrique,

hydraulique, mécanique) utilisées dans les engins de terrassement et leur équipement, comme défini

dans l’ISO 6165.

Les principes du présent document s’appliquent aux systèmes de commande d’engins (MCS) qui

commandent le mouvement d’un engin ou atténuent un phénomène dangereux; ces systèmes sont

évalués pour vérifier que les exigences de niveau de performance des engins (MPL ) sont conformes à

l’ISO 19014-1 ou à l’ISO/TS 19014-5.
Les systèmes suivants sont exclus du domaine d’application du présent document:

— systèmes de connaissance n’ayant aucun impact sur le mouvement de l'engin (par exemple, caméras

et détecteurs radar);

— systèmes de lutte contre l’incendie, excepté si l’activation du système interfère ou active un autre

SCS.

Les autres systèmes ou composants pour lesquels les défaillances pourraient être constatées par

l’opérateur (par exemple, les essuie-glaces, les phares, l’éclairage de la cabine, etc.) ou ceux qui servent

essentiellement à protéger la propriété sont exclus du présent document. Les avertisseurs sonores sont

exclus des exigences de la couverture de diagnostic.

De plus, le présent document traite des phénomènes dangereux significatifs tels que définis dans

l’ISO 12100 atténués par les composants matériels dans le SCS.

Le présent document n’est pas applicable aux engins de terrassement fabriqués avant la date de sa

publication.
2 Références normatives

Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur

contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.

Pour les références non datées, la dernière édition du document de référence s'applique (y compris les

éventuels amendements).

ISO 12100, Sécurité des machines — Principes généraux de conception — Appréciation du risque et

réduction du risque

ISO 13849-1:2015, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —

Partie 1: Principes généraux de conception
© ISO 2022 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 19014-2:2022(F)

ISO 13849-2:2012, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —

Partie 2: Validation

ISO 19014-1, Engins de terrassement — Sécurité fonctionnelle — Partie 1: Méthodologie pour la

détermination des parties relatives à la sécurité des systèmes de commande et les exigences de performance

ISO 19014-3, Engins de terrassement — Sécurité fonctionnelle — Partie 3: Exigences pour la performance

environnementale et l'essai des composants électroniques et électriques utilisés dans les parties relatives à

la sécurité du système de commande

ISO 19014-4, Engins de terrassement — Sécurité fonctionnelle — Partie 4: Conception et évaluation du

logiciel et de la transmission des données pour les parties relatives à la sécurité du système de commande

ISO/TS 19014-5, Engins de terrassement — Sécurité fonctionnelle — Partie 5: Tableaux des niveaux de

performance
3 Termes et définitions

Pour les besoins du présent document, les termes et définitions de l’ISO 12100, l’ISO 13849-1,

l’ISO 19014-1, ainsi que les suivants s'appliquent.

L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en

normalisation, consultables aux adresses suivantes:

— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp

— IEC Electropedia: disponible à l'adresse https:// www .electropedia .org/
3.1
ESCS
système de commande électronique de sécurité

système de commande de sécurité constitué de composants électroniques du dispositif d'entrée au

dispositif de sortie
3.2
fonction
comportement défini d'un ou de plusieurs MCS

Note 1 à l'article: Une unité de commande (par exemple, unité de commande électronique) peut exécuter plusieurs

d’une fonction. Lorsque plusieurs fonctions de sécurité sont contenues dans une unité de commande, chaque

fonction de sécurité et le circuit associé sont analysés de façon séparée.
3.3
N/ESCS
système de commande non-électronique de sécurité

système de commande de sécurité constitué de composants non-électroniques du dispositif d'entrée au

dispositif de sortie
3.4
état de sécurité

condition telle que, après une défaillance du système de commande de sécurité, le processus ou le

système de l’équipement commandé est automatiquement ou manuellement arrêté ou désactivé

de manière à empêcher tout comportement intempestif ou la libération d’énergie accumulée

potentiellement dangereuse

Note 1 à l'article: Un état de sécurité peut inclure également le maintien de la fonction (3.2) système de commande

de sécurité (par exemple, la direction) en cas de défaillance unique, selon le type de danger devant être réduit.

[SOURCE: ISO 3450:2011, 3.15, modifiée – “dysfonctionnement” a été remplacé par “défaut”;

“performance” a été remplacée par “comportement”; Note 1 à l’article a été ajouté.]

© ISO 2022 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 19014-2:2022(F)
3.5
composant éprouvé

composant pour utilisation relative à la sécurité qui a été largement utilisé dans le passé avec des

résultats satisfaisants pour les mêmes utilisations ou des utilisations similaires, et qui a été fabriqué et

vérifié en utilisant les principes qui démontrent qu'il est adapté et fiable pour les utilisations relatives

à la sécurité
4 Symboles et termes abrégés

Pour les besoins du présent document, les symboles et abréviations suivants s’appliquent.

a, b, c, d, e niveaux de performance requis des machines
ASIC circuit intégré spécifique à l’application
B, 1, 2, 3, 4 dénomination des catégories
CCF défaillance de cause commune
DC couverture du diagnostic
DCavg couverture du diagnostic moyenne
ECU unité de commande électronique
EMM engin de terrassement
ESCS système de commande électronique de sécurité
FMEA analyse des modes de défaillance et de leurs effets
FMEDA analyse des modes de défaillance, de leurs effets et de leurs diagnostics
FPGA circuit logique programmable
HFT tolérance à la défaillance du matériel
HSR robustesse du système hydraulique
MCS système de commande de la machine
MPL niveau de performance de machine
MPL niveau de performance de machine obtenu
MPL niveau de performance de machine requis
MTTF temps moyen avant défaillance
MTTF temps moyen avant une défaillance dangereuse
N/ESCS système de commande non-électronique de sécurité
OTE sortie de l'équipement d'essai
SCS système de commande de sécurité
SRP/CS partie d'un système de commande relative à la sécurité
TE équipement d’essai
© ISO 2022 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 19014-2:2022(F)
5 Exigences générales
5.1 Application

La série ISO 19014 doit être utilisée conjointement avec l’ISO 13849 lorsqu’elle s'applique aux engins

de terrassement (EMM) et remplace l’ISO 15998. Lorsque des exigences spécifiques sont données dans

le présent document, celles-ci l’emportent sur celles de la série ISO 13849; cependant, lorsqu’aucune

exigence spécifique n’est donnée dans le présent document, la série ISO 13849 doit s‘appliquer, en

utilisant PL à la place de MPL (par exemple, MPL = b est analogue à PL = b). Pour un résumé des articles

applicables dans la série ISO 13849 ou le présent document, voir Tableaux E.1 et E.2 dans l’Annexe E.

Les principes du présent document doivent être appliqués aux MCS considérés comme SCS dans

l’ISO 19014-1 ou l’ISO/TS 19014-5. Les autres systèmes de commande de machine qui perturbent ou

inhibent une fonction de sécurité du système de commande de sécurité doivent se voir attribuer le

même niveau de performance de machine que le système qu’ils perturbent ou inhibent.

Les machines doivent être conformes aux exigences de sécurité et/ou aux mesures de prévention/

réduction des risques du présent article. De plus, les machines doivent être conçues selon les principes

de l’ISO 12100:2010 pour les phénomènes dangereux pertinents mais non significatifs qui ne sont pas

traités dans le présent document. Les logiciels liés à la sécurité dans tous les composants du SCS doivent

répondre aux exigences de la norme ISO 19014-4:2020.
5.2 SCS existant

Lorsqu'un SCS existant a été élaboré conformément à une norme précédente et qu'il a été démontré

à travers l'utilisation et la validation de l'application qu'il réduisait la probabilité d'un phénomène

dangereux au niveau le plus bas pouvant raisonnablement être atteint, il n'est pas nécessaire de mettre

à jour la documentation du cycle de vie. Lorsque le SCS utilisé précédemment est modifié, une analyse

d'impact (voir ISO 19014-4:2020, 3.28) des modifications doit être effectuée et un plan d'action doit être

élaboré et mis en œuvre pour vérifier que les exigences de sécurité sont satisfaites.

6 Conception du système
6.1 Présentation

De nombreuses fonctions de sécurité des machines mobiles ne sont pas équipées de sorties marche/

arrêt comme pour les fonctions de sécurité des machines non mobiles et ces sorties ne sont pas

toujours ajoutées sur une machine uniquement pour atténuer les phénomènes dangereux. Par exemple,

les commandes de direction, de freins de service, d'orientation et des accessoires peuvent avoir des

sorties modulées ou variables dans certaines limites. Même si ce type de systèmes peut s'intégrer

dans les architectures de l’ISO 13849, les concepteurs doivent tenir compte de la manière dont les

caractéristiques des fonctions de sécurité peuvent différer sur une machine mobile (par exemple, le

système a-t-il besoin d'une commande en boucle fermée ou en boucle ouverte pour traiter les taux

d'applications incorrectes, le système doit-il traiter les phénomènes dangereux associés à une activation

non commandée ainsi que les pannes sur demande, etc.).

Une fonction de sécurité qui repose sur un système de commande visant à fournir l’atténuation des

phénomènes dangereux nécessaire pour l’engin peut être mise en œuvre par un SCS dans le cadre de

du présent document. Un SCS peut contenir un ou plusieurs SRP/CS, et plusieurs SCS peuvent partager

un ou plusieurs SRP/CS (par exemple, une unité logique, des pré-actionneurs). Une SRP/CS peut aussi

mettre en œuvre à la fois des fonctions de sécurité et des fonctions de non sécurité.

NOTE Pour les indicateurs d’avertissement d’action immédiate, voir l’ISO 19014-1:2018, Annexe B.

Certains systèmes sur les machines mobiles doivent maintenir un état de fonctionnement même en cas

de panne. Même si l’ISO 13849-1:2015 le permet, des mesures supplémentaires sont nécessaires pour

s'assurer que cela puisse se produire en toute sécurité et que les canaux parallèles ne sont pas en conflit

© ISO 2022 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 19014-2:2022(F)

les uns avec les autres et que les systèmes fonctionnent conformément aux exigences de l'architecture

déclarée.

L’Annexe C définit les exigences minimales à respecter pour utiliser des systèmes, sous-systèmes et

SRP/CS développés et évalués par des méthodes autres que celles de la série ISO 19014.

6.2 Exigences générales

Une fois les fonctions de sécurité du SCS identifiées, les exigences correspondant à chaque SCS doivent

être documentées. Pendant le cycle de vie de sécurité, les exigences de sécurité sont détaillées et

spécifiées de manière plus approfondie selon des niveaux hiérarchiques. Toutes les exigences de

sécurité doivent être écrites de manière à ne pas présenter d’ambiguïtés, à être cohérentes avec les

autres exigences et à pouvoir être mises en œuvre.
Les aspects de conception suivants doivent être pris en compte:
— signaux d'entrée ou de sortie contradictoires;

— perte de signaux et d'énergie d'actionnement pour l'un ou l'autre système (par exemple, alimentation

en huile séparée pour chaque canal, alimentation redondante pour les UCE);

— les états de sécurité conflictuels requis par les multiples types de défaillance traités par le système;

— les systèmes qui exigent un concept de fonctionnement à sécurité intégrée;
— les processus d’évaluation sont indépendants du processus de conception;

— lorsque les SCS sont conçus pour être utilisés de manière synchronisée (par exemple, dans le cadre

de l’automatisation d’une tâche), le système de commande doit être conçu de manière à pouvoir

atténuer les phénomènes dangereux dus à un manque de synchronisation.

NOTE Un exemple EMM de cette synchronisation est une flèche, un bras et un godet d’une pelle hydraulique

qui doivent être commandés simultanément par un système de commande de nivellement.

6.3 Conception du matériel

La structure du matériel des SCS peut fournir des mesures (par exemple, redondance, diversité, et

surveillance) permettant d'éviter, de détecter ou de tolérer les
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.