ISO 19014-2:2022
(Main)Earth-moving machinery — Functional safety — Part 2: Design and evaluation of hardware and architecture requirements for safety-related parts of the control system
Earth-moving machinery — Functional safety — Part 2: Design and evaluation of hardware and architecture requirements for safety-related parts of the control system
This document specifies general principles for the development and evaluation of the machine performance level achieved (MPLa) of safety-control systems (SCS) using components powered by all energy sources (e.g. electronic, electrical, hydraulic, mechanical) used in earth-moving machinery and its equipment, as defined in ISO 6165. The principles of this document apply to machine control systems (MCS) that control machine motion or mitigate a hazard; such systems are assessed for machine performance level required (MPLr) per ISO 19014-1 or ISO/TS 19014-5. Excluded from the scope of this document are the following systems: — awareness systems that do not impact machine motion (e.g. cameras and radar detectors); — fire suppression systems, unless the activation of the system interferes with, or activates, another SCS. Other systems or components whereby the operator would be aware of failure (e.g. windscreen wipers, head lights, etc.), or are primarily used to protect property, are excluded from this document. Audible warnings are excluded from the requirements of diagnostic coverage. In addition, this document addresses the significant hazards as defined in ISO 12100 mitigated by the hardware components within the SCS. This document is not applicable to EMM manufactured before the date of its publication.
Engins de terrassement — Sécurité fonctionnelle — Partie 2: Conception et évaluation des exigences de matériel et d’architecture pour les parties relatives à la sécurité du système de commande
Le présent document spécifie les principes généraux d’élaboration et d’évaluation du niveau de performance de machine obtenu (MPLa) des systèmes de commande de sécurité (SCS) utilisant des composants alimentés par toutes les sources d’énergie (par exemple, électronique, électrique, hydraulique, mécanique) utilisées dans les engins de terrassement et leur équipement, comme défini dans l’ISO 6165. Les principes du présent document s’appliquent aux systèmes de commande d’engins (MCS) qui commandent le mouvement d’un engin ou atténuent un phénomène dangereux; ces systèmes sont évalués pour vérifier que les exigences de niveau de performance des engins (MPLr) sont conformes à l’ISO 19014‑1 ou à l’ISO/TS 19014‑5. Les systèmes suivants sont exclus du domaine d’application du présent document: — systèmes de connaissance n’ayant aucun impact sur le mouvement de l'engin (par exemple, caméras et détecteurs radar); — systèmes de lutte contre l’incendie, excepté si l’activation du système interfère ou active un autre SCS. Les autres systèmes ou composants pour lesquels les défaillances pourraient être constatées par l’opérateur (par exemple, les essuie-glaces, les phares, l’éclairage de la cabine, etc.) ou ceux qui servent essentiellement à protéger la propriété sont exclus du présent document. Les avertisseurs sonores sont exclus des exigences de la couverture de diagnostic. De plus, le présent document traite des phénomènes dangereux significatifs tels que définis dans l’ISO 12100 atténués par les composants matériels dans le SCS. Le présent document n’est pas applicable aux engins de terrassement fabriqués avant la date de sa publication.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 19014-2
First edition
2022-06
Earth-moving machinery —
Functional safety —
Part 2:
Design and evaluation of hardware
and architecture requirements for
safety-related parts of the control
system
Engins de terrassement — Sécurité fonctionnelle —
Partie 2: Conception et évaluation des exigences de matériel et
d’architecture pour les parties relatives à la sécurité du système de
commande
Reference number
ISO 19014-2:2022(E)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 19014-2:2022(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
© ISO 2022 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 19014-2:2022(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
4 Symbols and abbreviated terms.2
5 General requirements . 3
5.1 Application . 3
5.2 Existing SCS . 4
6 System design . 4
6.1 Overview . 4
6.2 General requirements . 4
6.3 Hardware design . 5
7 System safety performance evaluation . 6
7.1 Machine performance level achieved (MPL ) . 6
a
7.2 Hardware safety evaluation . 6
7.2.1 General . 6
7.2.2 Fault consideration . 6
7.2.3 Fault exclusion . 7
7.2.4 Mean time to dangerous failure (MTTF ) . 7
d
7.3 Diagnostic coverage (DC) . 7
7.3.1 DC of ESCS . . 7
7.3.2 DC of N/ESCS . 7
7.4 System-level fault reduction measures of hydraulic systems based on hydraulic
system robustness (HSR) . 8
7.4.1 General . 8
7.4.2 HSR score calculation . 8
7.5 Category classifications . 9
7.5.1 General . 9
7.5.2 Category B/Category 1 .12
7.5.3 Category 2 . 14
7.5.4 Conflicting safety functions . 15
7.5.5 Considerations for the SRP/CS of fail-operational systems . 16
7.6 Combination of SCS to achieve an overall MPL . 16
8 Information for use and maintenance .18
8.1 General . 18
8.2 Operator’s manual . 18
Annex A (informative) Example systems and evaluations .19
Annex B (informative) Examples of evaluations using HSR scoring .33
Annex C (normative) Compatibility with other functional safety standards .37
Annex D (informative) Safety function evaluation .38
Annex E (normative) Exceptions, exclusions, additions to ISO 13849-1 and ISO 13849-2 .40
Bibliography .43
iii
© ISO 2022 – All rights reserved
---------------------- Page: 3 ----------------------
ISO 19014-2:2022(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 127, Earth-moving machinery,
Subcommittee SC 2, Safety, ergonomics and general requirements, in collaboration with the European
Committee for Standardization (CEN) Technical Committee CEN/TC 151, Construction equipment and
building material machines - Safety, in accordance with the Agreement on technical cooperation between
ISO and CEN (Vienna Agreement).
This first edition, together with ISO 19014-1, ISO 19014-3, ISO 19014-4 and ISO 19014-5 cancels and
replaces the first editions (ISO 15998:2008 and ISO/TS 15998-2:2012), which have been technically
revised.
The main changes are as follows:
— elimination of alternative procedures ECE R79, Annex 6, and IEC 62061;
— application of ISO 13849-1 to mobile Earth-moving machinery, including analysis of non-electronic
control systems used in Earth-moving machine applications.
A list of all parts in the ISO 19014 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
© ISO 2022 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 19014-2:2022(E)
Introduction
This document addresses systems comprising all technologies used for functional safety in earth-
moving machinery.
The structure of safety standards in the field of machinery is as follows:
— Type-A standards (basis standards) give basic concepts, principles for design and general aspects
that can be applied to machinery.
— Type-B standards (generic safety standards) deal with one or more safety aspects, or one or more
types of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature,
noise);
— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure
sensitive devices, guards).
— Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This document is a type-C standard as stated in ISO 12100.
This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.)
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e. g. for maintenance (small, medium and large enterprises);
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
The machinery concerned and the extent to which hazards, hazardous situations or hazardous events
are covered are indicated in the Scope of this document.
When requirements of this type-C standard are different from those which are stated in type-A or
type-B standards, the requirements of this type-C standard take precedence over the requirements of
the other standards for machines that have been designed and built according to the requirements of
this type-C standard.
This document is the adaptation of ISO 13849 to provide a type-C standard to address the specific
application of functional safety to earth-moving machinery.
This document is to be used in conjunction with the ISO 13849 series when applied to earth-moving
machinery (EMM) and supersedes ISO 15998.
This document complements the safety life cycle activities of safety control systems per
ISO 13849-1:2015 and ISO 13849-2:2012 on earth-moving machinery as defined in ISO 6165.
v
© ISO 2022 – All rights reserved
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 19014-2:2022(E)
Earth-moving machinery — Functional safety —
Part 2:
Design and evaluation of hardware and architecture
requirements for safety-related parts of the control system
1 Scope
This document specifies general principles for the development and evaluation of the machine
performance level achieved (MPL ) of safety-control systems (SCS) using components powered by all
a
energy sources (e.g. electronic, electrical, hydraulic, mechanical) used in earth-moving machinery and
its equipment, as defined in ISO 6165.
The principles of this document apply to machine control systems (MCS) that control machine motion
or mitigate a hazard; such systems are assessed for machine performance level required (MPL ) per
r
ISO 19014-1 or ISO/TS 19014-5.
Excluded from the scope of this document are the following systems:
— awareness systems that do not impact machine motion (e.g. cameras and radar detectors);
— fire suppression systems, unless the activation of the system interferes with, or activates, another
SCS.
Other systems or components whereby the operator would be aware of failure (e.g. windscreen wipers,
head lights, etc.), or are primarily used to protect property, are excluded from this document. Audible
warnings are excluded from the requirements of diagnostic coverage.
In addition, this document addresses the significant hazards as defined in ISO 12100 mitigated by the
hardware components within the SCS.
This document is not applicable to EMM manufactured before the date of its publication.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 12100, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-1:2015, Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
ISO 13849-2:2012, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
ISO 19014-1, Earth-moving machinery — Functional safety — Part 1: Methodology to determine safety-
related parts of the control system and performance requirements
ISO 19014-3, Earth-moving machinery — Functional safety — Part 3: Environmental performance and test
requirements of electronic and electrical components used in safety-related parts of the control system
ISO 19014-4:2020, Earth-moving machinery — Functional safety — Part 4: Design and evaluation of
software and data transmission for safety-related parts of the control system
1
© ISO 2022 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 19014-2:2022(E)
ISO/TS 19014-5, Earth-moving machinery — Functional safety — Part 5: Table of Machine Performance
Levels
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100, ISO 13849-1,
ISO 19014-1 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
ESCS
electronic safety control system
safety control system made of electronic components from input device to output device
3.2
function
defined behaviour of one or more MCS
Note 1 to entry: A control unit (e.g. electronic control unit) can execute more than one function. When multiple
safety functions are contained in a control unit, each safety function and the associated circuit are analysed
separately.
3.3
N/ESCS
non-electronic safety control system
safety control system made of non-electronic components from input device to output device
3.4
safe state
condition in which, after a fault of the safety control system, the controlled equipment, process or system
is automatically or manually stopped or switched into a mode that prevents unintended behaviour or
the potentially hazardous release of stored energy
Note 1 to entry: A safe state can also include maintaining the function (3.2) of the safety control system (e.g.
steering) in the presence of a single fault depending on the hazard being mitigated.
[SOURCE: ISO 3450:2011, 3.15, modified – "malfunction" has been replaced by "fault"; "performance"
has been replaced by "behaviour"; Note 1 to entry has been added.]
3.5
well-tried component
component for a safety-related application that has been widely used in the past with successful results
in the same or similar applications and which has been made and verified using principles which
demonstrate its suitability and reliability for safety-related applications
4 Symbols and abbreviated terms
For the purposes of this document, the following symbols and abbreviated terms apply.
a, b, c, d, e graduation of machine performance levels
ASIC application specific integrated circuit
B, 1, 2, 3, 4 denotation of categories
2
© ISO 2022 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 19014-2:2022(E)
CCF common cause failure
DC diagnostic coverage
DC average diagnostic coverage
avg
ECU electronic control unit
EMM earth-moving machinery
ESCS electronic safety control system
FMEA failure modes and effects analysis
FMEDA failure modes, effects and diagnostics analysis
FPGA field programmable gate array
HFT hardware fault tolerance
HSR hydraulic system robustness
MCS machine control system
MPL machine performance level
MPL machine performance level achieved
a
MPL machine performance level required
r
MTTF mean time to failure
MTTF mean time to dangerous failure
d
N/ESCS non-electronic safety control system
OTE output of test equipment
SCS safety control system
SRP/CS safety-related part of the control system
TE test equipment
5 General requirements
5.1 Application
The ISO 19014 series shall be used in conjunction with the ISO 13849 series when applied to earth
moving machinery (EMM) and supersedes ISO 15998. Where specific requirements are given in this
document, they take precedence over the requirements in the ISO 13849 series; however, where no
specific requirements are given in this document, the ISO 13849 series shall apply, using PL instead of
MPL (e.g. MPL = b is analogous to PL = b). For a summary of applicable clauses in the ISO 13849 series or
this document, see Tables E.1 and E.2 in Annex E.
The principles of this document shall be applied to MCS that are deemed SCS in ISO 19014-1 or
ISO/TS 19014-5. Other machine control systems that interfere with or mute a safety function of
the safety control system shall be assigned the same machine performance level as the system it is
interfering with or muting.
3
© ISO 2022 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 19014-2:2022(E)
Machinery shall comply with the safety requirements and/or protective/risk reduction measures of
this clause. In addition, the machine shall be designed according to the principles of ISO 12100:2010 for
relevant but not significant hazards which are not dealt with by this document. Safety related software
within any components within the SCS shall meet the requirements of ISO 19014-4:2020.
5.2 Existing SCS
Where an existing SCS has been developed to a previous standard and demonstrated through application
usage and validation to reduce the likelihood of a hazard to as low as reasonably practicable, there shall
be no requirement to update the lifecycle documentation. When the previously utilized SCS is modified,
an impact analysis (see ISO 19014-4:2020, 3.28) of the modifications shall be performed and an action
plan developed and implemented to ensure that the safety requirements are met.
6 System design
6.1 Overview
Many safety functions on mobile machines do not have run/stop outputs like non-mobile machine safety
functions normally do and are not always added to a machine purely to mitigate a hazard. For example,
steering, service brakes, swing, and equipment controls can have modulated or variable outputs within
a certain range. While these types of systems can fit into the ISO 13849 architectures, designers need
to consider how the characteristics of the safety functions can differ on a mobile machine (e.g. does the
system need closed loop control rather than open loop to address incorrect application rates, does the
system need to address hazards associated with uncommanded activation as well as failure on demand
etc.).
A safety function which relies on a control system to provide necessary hazard mitigation for the
machine can be implemented by an SCS within the scope of this document. An SCS can contain one or
more SRP/CS, and several SCS can share one or more SRP/CS (e.g. a logic unit, power control elements).
It is also possible that one SRP/CS implements both safety and non-safety functions.
NOTE For immediate action warning indicators, refer to ISO 19014-1:2018, Annex B.
Some systems on mobile machines need to maintain an operable state during a failure. While
ISO 13849-1:2015 allows for this, additional measures are necessary to ensure this happens safely and
that parallel channels do not conflict with each other and that the systems function as the requirements
for the claimed architecture specifies.
Annex C sets the minimum requirements that shall be met for utilizing systems, sub-systems and SRP/
CS developed and evaluated by methods other than the ISO 19014 series.
6.2 General requirements
After the safety functions of the SCS have been identified, the safety function requirements shall be
documented. During the safety lifecycle, safety requirements are detailed and specified in greater
detail at hierarchical levels. All safety requirements shall be described such that they are unambiguous,
consistent with other requirements, and feasible to implement.
The following design considerations shall be taken into account:
— conflicting input or output signals;
— loss of signal and actuation energies to either system (e.g. separate oil supplies for each channel,
redundant power supplies for ECUs);
— conflicting safe states required by multiple failure types that are being addressed by the system;
— systems that require fail-operational functionality;
4
© ISO 2022 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 19014-2:2022(E)
— the assessment processes are independent from the design process;
— when SCS are designed to be used in a synchronized manner (e.g. task automation), the control
system shall be designed to mitigate hazards due to lack of synchronization.
NOTE An EMM example of this synchronization is an excavator boom, arm, and bucket being controlled
simultaneously by a grade control system.
6.3 Hardware design
The hardware structure of the SCS can provide measures (e.g. redundancy, diversity, and monitoring)
for avoiding, detecting, or tolerating faults. Practical measures can include redundancy, diversity, and
monitoring.
The hardware development process shall follow ISO 13849-1:2015 as outlined in Annex E. The designer
should begin at the system level where safety functions and associated requirements are identified.
The system may be decomposed into subsystems for easier development.
Where applicable, each phase of the development cycle shall be verified.
See Figure 1 for a depiction of the hardware development process in the form of a V-model. Any
organized, proven design process which meets the requirements of ISO 19014 may be used to complete
the design process.
Figure 1 — Hardware development V-model
5
© ISO 2022 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 19014-2:2022(E)
7 System safety performance evaluation
7.1 Machine performance level achieved (MPL )
a
The achieved integrity of safety-related parts to perform a safety function is expressed through the
determination of the MPL .
a
The ability to perform a safety function under expected environmental conditions as specified in
ISO 19014-3 shall be demonstrated and documented.
The procedure for evaluating MPL is as follows:
a
a) identify the component operating environment and stress level;
b) identify components;
c) identify and document fault exclusions (7.2), or by using the appropriate system analysis (e.g.
FMEA, fault-tree analysis, etc.);
d) calculate the MTTF (see ISO 13849-1:2015, Annex D,), and verify the MTTF meets the required
d d
level (see ISO 13849-1:2015);
e) determine if the hardware can provide the required level of DC (ISO 13849-1:2015, Annex E). For
systems relying on software interaction to determine diagnostic coverage, this analysis can only
determine if the hardware is available to support DC, not verify that the DC requirement for the
system has been met;
f) consider CCF (see ISO 13849-1:2015, Annex F) if required;
g) consider systematic failure (ISO 13849-1:2015, Annex G);
h) consider possible interaction from other safety functions;
i) for FPGA and ASIC design, see IEC 61508-2:2010, Annexes E or F.
See Annex D for supplementary information on safety function evaluation.
7.2 Hardware safety evaluation
7.2.1 General
ISO 13849-2:2012, Annexes A to D list the faults, fault exclusions and failures for various types of
components; these lists are not exhaustive. If necessary, additional faults, fault exclusions, and failures
shall be considered and listed; in such cases, the method of evaluation should also be clearly elaborated.
A failure mode and effects analysis (FMEA), fault-tree analysis, or equivalent system analysis shall be
performed to establish the faults and fault exclusions.
7.2.2 Fault consideration
In general, the following fault criteria can be considered:
— if, because of a fault, further components fail, the first fault together with all following faults shall
be considered as a single fault;
— two or more faults having a common cause shall be considered as a single fault (known as a CCF);
— the simultaneous occurrence of two or more faults having separate causes is considered highly
unlikely and therefore need not be considered.
6
© ISO 2022 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 19014-2:2022(E)
7.2.3 Fault exclusion
Fault exclusions are used in the development of hardware as a means of mitigating the failure
...
NORME ISO
INTERNATIONALE 19014-2
Première édition
2022-06
Engins de terrassement — Sécurité
fonctionnelle —
Partie 2:
Conception et évaluation des
exigences de matériel et d’architecture
pour les parties relatives à la sécurité
du système de commande
Earth-moving machinery — Functional safety —
Part 2: Design and evaluation of hardware and architecture
requirements for safety-related parts of the control system
Numéro de référence
ISO 19014-2:2022(F)
© ISO 2022
---------------------- Page: 1 ----------------------
ISO 19014-2:2022(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
© ISO 2022 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 19014-2:2022(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 2
4 Symboles et termes abrégés .3
5 Exigences générales . .4
5.1 Application . 4
5.2 SCS existant . 4
6 Conception du système . 4
6.1 Présentation . 4
6.2 Exigences générales . 5
6.3 Conception du matériel . 5
7 Évaluation des performances de sécurité du système . 6
7.1 Niveau de performance de machine obtenu (MPL ). 6
a
7.2 Évaluation de la sécurité du matériel . 7
7.2.1 Généralités . 7
7.2.2 Prise en compte des défaillances . 7
7.2.3 Exclusion de défaillances . 7
7.2.4 Temps moyen avant défaillance dangereuse (MTTF ) . 8
d
7.3 Couverture de diagnostic (DC) . 8
7.3.1 DC de l’ESCS . 8
7.3.2 DC de N/ESCS. 8
7.4 Mesures de réduction de défaillances au niveau système des systèmes
hydrauliques basées sur la robustesse du système hydraulique (HSR) . 8
7.4.1 Généralités . 8
7.4.2 Calcul de la note de la HSR . 9
7.5 Classifications des catégories . 10
7.5.1 Généralités . 10
7.5.2 Catégorie B/Catégorie 1 .13
7.5.3 Catégorie 2 . 15
7.5.4 Fonctions de sécurité en conflit . 16
7.5.5 Considérations relatives aux SRP/CS des systèmes “opérationnels après
défaillance” . 17
7.6 Combinaison de SCS pour obtenir un MPL global . 17
8 Informations pour l’utilisation et la maintenance .19
8.1 Généralités . 19
8.2 Manuel de l’opérateur . 19
Annexe A (informative) Exemples de systèmes et d’évaluations.20
Annexe B (informative) Exemples d’évaluations à l’aide de la notation de la HSR .35
Annexe C (normative) Compatibilité avec d’autres normes de sécurité fonctionnelles .39
Annexe D (informative) Évaluation de la fonction de sécurité .40
Annexe E (normative) Exceptions, exclusions, ajouts à l’ISO 13849-1 et à l’ISO 13849-2 .41
Bibliographie . 44
iii
© ISO 2022 – Tous droits réservés
---------------------- Page: 3 ----------------------
ISO 19014-2:2022(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/fr/avant-propos.html.
Le présent document a été élaboré par le comité technique ISO/TC 127 Engins de terrassement, sous-
comité SC 2 Sécurité, ergonomie et exigences générales, en collaboration avec le Comité européen
de Normalisation (CEN) Comité Technique CEN/TC 151, Machines de génie civil et de production de
matériaux de construction – Sécurité, selon l’Accord de coopération technique entre l’ISO et le CEN
(Accord de Vienne).
Cette première édition, avec l'ISO 19014-1, l’ISO 19014-3, ISO 19014-4 et ISO 19014-5, annule et
remplace les premières éditions (ISO 15998:2008 et l’ISO/TS 15998-2:2012) qui ont fait l’objet d’une
révision technique.
Les principales modifications sont les suivantes:
— élimination de procédures alternatives ECE R79, Annexe 6, et IEC 62061;
— application de l’ISO 13849-1 aux Engins de terrassement mobiles, y compris l’analyse de systèmes
de commande non électroniques utilisés dans les applications d’Engins de terrassement.
Une liste de toutes les parties de la série ISO 19014 est disponible sur le site Internet de l’ISO.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste complète de ces organismes
peut être consultée à l’adresse www.iso.org/fr/members.html.
iv
© ISO 2022 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 19014-2:2022(F)
Introduction
Le présent document traite des systèmes comprenant toutes les technologies utilisées pour assurer la
sécurité fonctionnelle des engins de terrassement.
Dans le domaine de la sécurité des machines, les normes sont articulées de la façon suivante:
— Normes de type A (normes fondamentales de sécurité), contenant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines.
— Normes de type B (normes génériques de sécurité), traitant d’un ou de plusieurs aspect(s) de la
sécurité ou d’un ou de plusieurs type(s) de moyens de protection qui peuvent être utilisés pour une
large gamme de machines:
— normes de type B1, traitant d’aspects particuliers de la sécurité (par exemple, distances de
sécurité, température superficielle, bruit);
— normes de type B2, traitant de moyens de protection (par exemple, commandes bimanuelles,
dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).
— Normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité
détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type C telle que définie dans l'ISO 12100.
Le présent document est pertinent, en particulier, pour les groupes de parties prenantes suivants
représentant les acteurs du marché à l'égard de la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché, etc.).
D'autres peuvent être affectés par le niveau de sécurité des machines obtenu au moyen du document
par les groupes de parties prenantes mentionnées ci-dessus:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/employés (par exemple, syndicats, organisations pour les personnes ayant
des besoins spéciaux);
— prestataires de services, par exemple, sociétés de maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (dans le cas de machines destinées à l'utilisation par les consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer au processus
d’élaboration du présent document.
Les machines concernées et l'étendue des phénomènes dangereux, des situations et des événements
dangereux couverts, sont indiquées dans le Domaine d'application du présent document.
Lorsque des prescriptions de la présente norme de type C sont différentes de celles énoncées dans les
normes de type A ou de type B, les prescriptions de la présente norme de type C ont priorité sur les
prescriptions des autres normes pour les machines ayant été conçues et fabriquées conformément aux
prescriptions de la présente norme de type C.
Le présent document est l’adaptation de l’ISO 13849 visant à fournir une norme de type C destinée à
une application spécifique de sécurité fonctionnelle des engins de terrassement.
Le présent document doit être utilisé conjointement avec la série ISO 13849 lorsqu’elle s'applique aux
engins de terrassement (EMM) et remplace l’ISO 15998.
v
© ISO 2022 – Tous droits réservés
---------------------- Page: 5 ----------------------
ISO 19014-2:2022(F)
Le présent document complète les activités du cycle de vie de sécurité des systèmes de commande de
sécurité conformes à l’ISO 13849-1:2015 et à l’ISO 13849-2:2012 qui traitent des engins de terrassement
comme défini dans l’ISO 6165.
vi
© ISO 2022 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 19014-2:2022(F)
Engins de terrassement — Sécurité fonctionnelle —
Partie 2:
Conception et évaluation des exigences de matériel et
d’architecture pour les parties relatives à la sécurité du
système de commande
1 Domaine d’application
Le présent document spécifie les principes généraux d’élaboration et d’évaluation du niveau de
performance de machine obtenu (MPL ) des systèmes de commande de sécurité (SCS) utilisant
a
des composants alimentés par toutes les sources d’énergie (par exemple, électronique, électrique,
hydraulique, mécanique) utilisées dans les engins de terrassement et leur équipement, comme défini
dans l’ISO 6165.
Les principes du présent document s’appliquent aux systèmes de commande d’engins (MCS) qui
commandent le mouvement d’un engin ou atténuent un phénomène dangereux; ces systèmes sont
évalués pour vérifier que les exigences de niveau de performance des engins (MPL ) sont conformes à
r
l’ISO 19014-1 ou à l’ISO/TS 19014-5.
Les systèmes suivants sont exclus du domaine d’application du présent document:
— systèmes de connaissance n’ayant aucun impact sur le mouvement de l'engin (par exemple, caméras
et détecteurs radar);
— systèmes de lutte contre l’incendie, excepté si l’activation du système interfère ou active un autre
SCS.
Les autres systèmes ou composants pour lesquels les défaillances pourraient être constatées par
l’opérateur (par exemple, les essuie-glaces, les phares, l’éclairage de la cabine, etc.) ou ceux qui servent
essentiellement à protéger la propriété sont exclus du présent document. Les avertisseurs sonores sont
exclus des exigences de la couverture de diagnostic.
De plus, le présent document traite des phénomènes dangereux significatifs tels que définis dans
l’ISO 12100 atténués par les composants matériels dans le SCS.
Le présent document n’est pas applicable aux engins de terrassement fabriqués avant la date de sa
publication.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 12100, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-1:2015, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 1: Principes généraux de conception
1
© ISO 2022 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 19014-2:2022(F)
ISO 13849-2:2012, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 2: Validation
ISO 19014-1, Engins de terrassement — Sécurité fonctionnelle — Partie 1: Méthodologie pour la
détermination des parties relatives à la sécurité des systèmes de commande et les exigences de performance
ISO 19014-3, Engins de terrassement — Sécurité fonctionnelle — Partie 3: Exigences pour la performance
environnementale et l'essai des composants électroniques et électriques utilisés dans les parties relatives à
la sécurité du système de commande
ISO 19014-4, Engins de terrassement — Sécurité fonctionnelle — Partie 4: Conception et évaluation du
logiciel et de la transmission des données pour les parties relatives à la sécurité du système de commande
ISO/TS 19014-5, Engins de terrassement — Sécurité fonctionnelle — Partie 5: Tableaux des niveaux de
performance
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l’ISO 12100, l’ISO 13849-1,
l’ISO 19014-1, ainsi que les suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse https:// www .electropedia .org/
3.1
ESCS
système de commande électronique de sécurité
système de commande de sécurité constitué de composants électroniques du dispositif d'entrée au
dispositif de sortie
3.2
fonction
comportement défini d'un ou de plusieurs MCS
Note 1 à l'article: Une unité de commande (par exemple, unité de commande électronique) peut exécuter plusieurs
d’une fonction. Lorsque plusieurs fonctions de sécurité sont contenues dans une unité de commande, chaque
fonction de sécurité et le circuit associé sont analysés de façon séparée.
3.3
N/ESCS
système de commande non-électronique de sécurité
système de commande de sécurité constitué de composants non-électroniques du dispositif d'entrée au
dispositif de sortie
3.4
état de sécurité
condition telle que, après une défaillance du système de commande de sécurité, le processus ou le
système de l’équipement commandé est automatiquement ou manuellement arrêté ou désactivé
de manière à empêcher tout comportement intempestif ou la libération d’énergie accumulée
potentiellement dangereuse
Note 1 à l'article: Un état de sécurité peut inclure également le maintien de la fonction (3.2) système de commande
de sécurité (par exemple, la direction) en cas de défaillance unique, selon le type de danger devant être réduit.
[SOURCE: ISO 3450:2011, 3.15, modifiée – “dysfonctionnement” a été remplacé par “défaut”;
“performance” a été remplacée par “comportement”; Note 1 à l’article a été ajouté.]
2
© ISO 2022 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 19014-2:2022(F)
3.5
composant éprouvé
composant pour utilisation relative à la sécurité qui a été largement utilisé dans le passé avec des
résultats satisfaisants pour les mêmes utilisations ou des utilisations similaires, et qui a été fabriqué et
vérifié en utilisant les principes qui démontrent qu'il est adapté et fiable pour les utilisations relatives
à la sécurité
4 Symboles et termes abrégés
Pour les besoins du présent document, les symboles et abréviations suivants s’appliquent.
a, b, c, d, e niveaux de performance requis des machines
ASIC circuit intégré spécifique à l’application
B, 1, 2, 3, 4 dénomination des catégories
CCF défaillance de cause commune
DC couverture du diagnostic
DCavg couverture du diagnostic moyenne
ECU unité de commande électronique
EMM engin de terrassement
ESCS système de commande électronique de sécurité
FMEA analyse des modes de défaillance et de leurs effets
FMEDA analyse des modes de défaillance, de leurs effets et de leurs diagnostics
FPGA circuit logique programmable
HFT tolérance à la défaillance du matériel
HSR robustesse du système hydraulique
MCS système de commande de la machine
MPL niveau de performance de machine
MPL niveau de performance de machine obtenu
a
MPL niveau de performance de machine requis
r
MTTF temps moyen avant défaillance
MTTF temps moyen avant une défaillance dangereuse
d
N/ESCS système de commande non-électronique de sécurité
OTE sortie de l'équipement d'essai
SCS système de commande de sécurité
SRP/CS partie d'un système de commande relative à la sécurité
TE équipement d’essai
3
© ISO 2022 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 19014-2:2022(F)
5 Exigences générales
5.1 Application
La série ISO 19014 doit être utilisée conjointement avec l’ISO 13849 lorsqu’elle s'applique aux engins
de terrassement (EMM) et remplace l’ISO 15998. Lorsque des exigences spécifiques sont données dans
le présent document, celles-ci l’emportent sur celles de la série ISO 13849; cependant, lorsqu’aucune
exigence spécifique n’est donnée dans le présent document, la série ISO 13849 doit s‘appliquer, en
utilisant PL à la place de MPL (par exemple, MPL = b est analogue à PL = b). Pour un résumé des articles
applicables dans la série ISO 13849 ou le présent document, voir Tableaux E.1 et E.2 dans l’Annexe E.
Les principes du présent document doivent être appliqués aux MCS considérés comme SCS dans
l’ISO 19014-1 ou l’ISO/TS 19014-5. Les autres systèmes de commande de machine qui perturbent ou
inhibent une fonction de sécurité du système de commande de sécurité doivent se voir attribuer le
même niveau de performance de machine que le système qu’ils perturbent ou inhibent.
Les machines doivent être conformes aux exigences de sécurité et/ou aux mesures de prévention/
réduction des risques du présent article. De plus, les machines doivent être conçues selon les principes
de l’ISO 12100:2010 pour les phénomènes dangereux pertinents mais non significatifs qui ne sont pas
traités dans le présent document. Les logiciels liés à la sécurité dans tous les composants du SCS doivent
répondre aux exigences de la norme ISO 19014-4:2020.
5.2 SCS existant
Lorsqu'un SCS existant a été élaboré conformément à une norme précédente et qu'il a été démontré
à travers l'utilisation et la validation de l'application qu'il réduisait la probabilité d'un phénomène
dangereux au niveau le plus bas pouvant raisonnablement être atteint, il n'est pas nécessaire de mettre
à jour la documentation du cycle de vie. Lorsque le SCS utilisé précédemment est modifié, une analyse
d'impact (voir ISO 19014-4:2020, 3.28) des modifications doit être effectuée et un plan d'action doit être
élaboré et mis en œuvre pour vérifier que les exigences de sécurité sont satisfaites.
6 Conception du système
6.1 Présentation
De nombreuses fonctions de sécurité des machines mobiles ne sont pas équipées de sorties marche/
arrêt comme pour les fonctions de sécurité des machines non mobiles et ces sorties ne sont pas
toujours ajoutées sur une machine uniquement pour atténuer les phénomènes dangereux. Par exemple,
les commandes de direction, de freins de service, d'orientation et des accessoires peuvent avoir des
sorties modulées ou variables dans certaines limites. Même si ce type de systèmes peut s'intégrer
dans les architectures de l’ISO 13849, les concepteurs doivent tenir compte de la manière dont les
caractéristiques des fonctions de sécurité peuvent différer sur une machine mobile (par exemple, le
système a-t-il besoin d'une commande en boucle fermée ou en boucle ouverte pour traiter les taux
d'applications incorrectes, le système doit-il traiter les phénomènes dangereux associés à une activation
non commandée ainsi que les pannes sur demande, etc.).
Une fonction de sécurité qui repose sur un système de commande visant à fournir l’atténuation des
phénomènes dangereux nécessaire pour l’engin peut être mise en œuvre par un SCS dans le cadre de
du présent document. Un SCS peut contenir un ou plusieurs SRP/CS, et plusieurs SCS peuvent partager
un ou plusieurs SRP/CS (par exemple, une unité logique, des pré-actionneurs). Une SRP/CS peut aussi
mettre en œuvre à la fois des fonctions de sécurité et des fonctions de non sécurité.
NOTE Pour les indicateurs d’avertissement d’action immédiate, voir l’ISO 19014-1:2018, Annexe B.
Certains systèmes sur les machines mobiles doivent maintenir un état de fonctionnement même en cas
de panne. Même si l’ISO 13849-1:2015 le permet, des mesures supplémentaires sont nécessaires pour
s'assurer que cela puisse se produire en toute sécurité et que les canaux parallèles ne sont pas en conflit
4
© ISO 2022 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 19014-2:2022(F)
les uns avec les autres et que les systèmes fonctionnent conformément aux exigences de l'architecture
déclarée.
L’Annexe C définit les exigences minimales à respecter pour utiliser des systèmes, sous-systèmes et
SRP/CS développés et évalués par des méthodes autres que celles de la série ISO 19014.
6.2 Exigences générales
Une fois les fonctions de sécurité du SCS identifiées, les exigences correspondant à chaque SCS doivent
être documentées. Pendant le cycle de vie de sécurité, les exigences de sécurité sont détaillées et
spécifiées de manière plus approfondie selon des niveaux hiérarchiques. Toutes les exigences de
sécurité doivent être écrites de manière à ne pas présenter d’ambiguïtés, à être cohérentes avec les
autres exigences et à pouvoir être mises en œuvre.
Les aspects de conception suivants doivent être pris en compte:
— signaux d'entrée ou de sortie contradictoires;
— perte de signaux et d'énergie d'actionnement pour l'un ou l'autre système (par exemple, alimentation
en huile séparée pour chaque canal, alimentation redondante pour les UCE);
— les états de sécurité conflictuels requis par les multiples types de défaillance traités par le système;
— les systèmes qui exigent un concept de fonctionnement à sécurité intégrée;
— les processus d’évaluation sont indépendants du processus de conception;
— lorsque les SCS sont conçus pour être utilisés de manière synchronisée (par exemple, dans le cadre
de l’automatisation d’une tâche), le système de commande doit être conçu de manière à pouvoir
atténuer les phénomènes dangereux dus à un manque de synchronisation.
NOTE Un exemple EMM de cette synchronisation est une flèche, un bras et un godet d’une pelle hydraulique
qui doivent être commandés simultanément par un système de commande de nivellement.
6.3 Conception du matériel
La structure du matériel des SCS peut fournir des mesures (par exemple, redondance, diversité, et
surveillance) permettant d'éviter, de détecter ou de tolérer les
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.