ISO 13849-1:1999
(Main)Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception
General Information
- Status
- Withdrawn
- Publication Date
- 24-Nov-1999
- Withdrawal Date
- 24-Nov-1999
- Technical Committee
- ISO/TC 199 - Safety of machinery
- Drafting Committee
- ISO/TC 199 - Safety of machinery
- Current Stage
- 9599 - Withdrawal of International Standard
- Start Date
- 30-Oct-2006
- Completion Date
- 13-Dec-2025
Relations
- Effective Date
- 15-Apr-2008
ISO 13849-1:1999 - Safety of machinery -- Safety-related parts of control systems
ISO 13849-1:1999 - Sécurité des machines -- Parties des systemes de commande relatives a la sécurité
Frequently Asked Questions
ISO 13849-1:1999 is a standard published by the International Organization for Standardization (ISO). Its full title is "Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design". This standard covers: Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
ISO 13849-1:1999 is classified under the following ICS (International Classification for Standards) categories: 13.110 - Safety of machinery. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 13849-1:1999 has the following relationships with other standards: It is inter standard links to ISO 13849-1:2006. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO 13849-1:1999 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13849-1
First edition
1999-11-15
Safety of machinery — Safety-related parts
of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relative à la
sécurité —
Partie 1: Principes généraux de conception
A
Reference number
Contents
Page
1 Scope .1
2 Normative references.1
3 Terms and definitions .2
4 General considerations.3
4.1 Safety objectives in design.3
4.2 General strategy for design .3
4.3 Process for selection and design of safety measures.5
4.4 Principles for ergonomic design .7
5 Characteristics of safety functions .7
5.1 General.7
5.2 Stop function.7
5.3 Emergency stop function.7
5.4 Manual reset.8
5.5 Start and restart .8
5.6 Response time .8
5.7 Safety-related parameters.8
5.8 Local control function .9
5.9 Muting .9
5.10 Manual suspension of safety functions .9
5.11 Fluctuations, loss and restoration of power sources .9
6 Categories.12
6.1 General.12
© ISO 1999
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means, electronic
or mechanical, including photocopying and microfilm, without permission in writing from the publisher.
International Organization for Standardization
Case postale 56 • CH-1211 Genève 20 • Switzerland
Internet iso@iso.ch
Printed in Switzerland
ii
© ISO ISO 13849-1:1999(E)
6.2 Specifications of categories. 12
6.3 Selection and combination of safety-related parts to different categories .16
7 Fault consideration. 17
7.1 General . 17
7.2 Fault exclusion. 17
8 Validation. 17
8.1 General . 17
8.2 Validation plan . 18
8.3 Validation by analysis . 18
8.4 Validation by testing. 18
8.5 Validation report . 19
9 Maintenance . 19
10 Information to be provided to the user. 19
Annex A (informative) Questionnaire for use during the design process. 21
(informative)
Annex B Guidance for the selection of categories . 23
Annex C (informative) Examples of significant faults and failures for various technologies. 26
Annex D (informative) Relationship between safety, reliability and availability for machinery . 28
Bibliography. 29
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO
member bodies). The work of preparing International Standards is normally carried out through ISO technical
committees. Each member body interested in a subject for which a technical committee has been established has
the right to be represented on that committee. International organizations, governmental and non-governmental, in
liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical
Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 3.
Draft International Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies casting a vote.
International Standard ISO 13849-1 was prepared by Technical Committee ISO/TC 199, Safety of machinery.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related parts of
control systems :
Part 1: General principles for design
Part 2: Validation, testing, fault lists
Annexes A to D of this part of ISO 13849 are for information only.
iv
© ISO ISO 13849-1:1999(E)
Introduction
Certain parts of machinery control systems are frequently assigned safety functions: these are called the safety-
related parts. These parts can consist of both hardware and software, and they are intended provide the safety
functions of control systems. They can be separate or integrated parts of the control system.
The performance of a safety-related part of a control system with respect to the occurrence of faults is classified in
this part of ISO 13849 into five categories (B, 1, 2, 3, 4) which should be used as reference points. These
categories (see 6.2) are not intended to be used in any given order or in any given hierarchy in respect of safety
requirements.
The categories can be applied to:
control systems of all kinds of machinery, from simple, e.g. small kitchen appliances, to complex manufacturing
installations, e.g. packaging machinery, printing machines, presses;
control systems of protective equipment, e.g. two-hand control devices, interlocking devices, electro-sensitive
protective devices (e.g. photoelectric barriers) and pressure sensitive mats.
The category selected will depend upon the machine and the extent to which control means are used for the
protective measures.
When selecting a category and designing a safety-related part of a control system, the designer should provide at
least the following information about the safety-related part:
the category(ies) selected;
the functional characteristics;
the precise role it plays in the machinery protective measure(s);
the exact limits of the part under consideration (see 3.1);
all safety-relevant faults considered;
those safety-relevant faults not considered, by fault exclusion, and the measures employed to allow their
exclusion;
the parameters relevant to the reliability, such as environmental conditions;
the technology(ies) used.
The use of categories as reference points and a declaration of the rationale followed during the design process is
intended to allow this part of ISO 13849 to be used flexibly. It is intended to provide a clear basis upon which the
design and performance of any application of the safety-related part of a control system (and the machine) can be
assessed, e.g. by a third party, in-house means or an independent test house.
This part of ISO 13849 has been prepared to be a harmonized standard in the sense of the Machinery Directive of
the European Union and associated regulations of the European Free Trade Association (EFTA).
International Standard ISO 13849-1 is based on EN 954-1:1996, published by the European Committee for
Standardization (CEN).
Attention is drawn to the fact the working group of CEN/TC 114 responsible for the elaboration of EN 954-1:1996
has prepared a guide on the application of EN 954-1 which has been published by CEN as CR 954-100.
ISO/TC 199 has agreed that this CEN Report be published as an ISO Technical Report (type 3) in order to present
the same explanations for ISO 13849-1.
v
INTERNATIONAL STANDARD © ISO ISO 13849-1:1999(E)
Safety of machinery — Safety-related parts of control systems —
Part 1:
General principles for design
1 Scope
This part of ISO 13849 provides safety requirements and guidance on the principles for the design of safety-related
parts of control systems. For these parts, it specifies categories and describes the characteristics of their safety
functions, including programmable systems for all machinery and for related protective devices.
This part of ISO 13849 applies to all safety-related parts of control systems, regardless of the type of energy used,
e.g. electrical, hydraulic, pneumatic, mechanical. It does not specify which safety functions and which categories
shall be used in a particular case.
This part of ISO 13849 applies to all machinery applications for professional and non-professional use. Where
appropriate, it can also be applied to the safety-related parts of control systems used in other technical applications.
NOTE See ISO/TR 12100-1:1992, 3.11.
2 Normative references
The following normative documents contain provisions which, through reference in this text, constitute provisions of
this part of ISO 13849. For dated references, subsequent amendments to, or revisions of, any of these publications
do not apply. However, parties to agreements based on this part of ISO 13849 are encouraged to investigate the
possibility of applying the most recent edition of the normative documents indicated below. For undated references,
the latest edition of the normative document referred to applies. Members of ISO and IEC maintain registers of
currently valid International Standards.
ISO 7731:1986, Danger signals for workplaces — Auditory danger signals.
ISO 11428:1996, Ergonomics — Visual danger signals — General requirements, design and testing.
ISO 11429:1996, Ergonomics — System of auditory and visual danger and information signals.
ISO/TR 12100-1:1992, Safety of machinery — Basic concepts, general principles for design — Part 1: Basic
terminology, methodology.
ISO/TR 12100-2:1992, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles and specifications.
ISO 13850:1996, Safety of machinery — Emergency stop — Principles for design.
ISO 14118, Safety of machinery — Prevention of unexpected start-up.
ISO 14121, Safety of machinery — Principles for risk assessment.
IEC 60050 (191):1990, International Electrotechnical Vocabulary. Chapter 191: Dependability and quality of service.
IEC 60204-1:1992, Safety of machinery — Electrical equipment of industrial machines — Part 1: General
requirements.
IEC 60447:1993, Man-machine interface (MMI) — Actuating principles.
IEC 60529:1989, Degrees of protection provided by enclosures (IP Code).
IEC 60721-3-0:1984 + A1:1987, Classification of environmental conditions — Part 3: Classification of groups of
environmental parameters and their severities — Introduction.
EN 292-2:1991/A1:1995, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles and specifications.
EN 614-1:1995, Safety of machinery — Ergonomic design principles — Part 1: Terminology and general principles.
EN 982:1996, Safety of machinery — Safety requirements for fluid power systems and their components —
Hydraulics.
EN 983:1996, Safety of machinery — Safety requirements for fluid power systems and their components —
Pneumatics.
EN 999:1998, Safety of machinery — The positioning of protective equipment in respect of approach speeds of
parts of the human body.
3 Terms and definitions
For the purposes of this part of ISO 13849, the terms and definitions given in ISO/TR 12100-1, IEC 60050 (191) and
the following apply.
3.1
safety-related part of a control system
part, or subpart(s), of a control system which responds to input signals and generates safety-related output signals
NOTE The combined safety-related parts of a control system start at the points where the safety-related signals are
initiated and end at the output of the power control elements (see also ISO/TR 12100-1:1992, annex A). This also includes
monitoring systems.
3.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and their
subsequent behaviour in the fault condition
NOTE Such behaviour is achieved by the structural arrangement of the parts and/or by their reliability.
3.3
safety of control systems
ability of safety-related parts of a control system to perform their safety function(s) for a given time according to their
specified category
3.4
fault
state of an item characterized by inability to perform a required function, except during preventive maintenance or
other planned actions or due to lack of external resources
NOTE 1 A fault is often the result of a failure of the item itself, but may exist without prior failure.
NOTE 2 In English the term "fault" and its definition are identical with those given in IEC 60050 (191):1990, IEV 191-05-01.
In the field of machinery, the French term "défaut" and the German term "Fehler" are used rather than the terms "panne" and
"Fehlzustand" that appear with this definition.
© ISO ISO 13849-1:1999(E)
3.5
failure
termination of the ability of an item to perform a required function
NOTE 1 After a failure, the item has a fault.
NOTE 2 "Failure" is an event, as distinguished from "fault" which is a state.
NOTE 3 This concept as defined does not apply to items consisting of software only.
[IEC 60050(191), IEV 191-04-01]
NOTE 4 In practice, the terms fault and failure are often used synonymously.
3.6
safety function of a control system
function initiated by an input signal and processed by the safety-related parts of the control system to enable the
machine (as a system) to achieve a safe state
3.7
muting
temporary automatic suspension of a safety function(s) by safety-related parts of the control system
3.8
manual reset
function within the safety-related parts of the control system to manually restore given safety functions before the
re-starting of a machine
4 General considerations
4.1 Safety objectives in design
The safety-related parts of a control sytem which provide the safety functions shall be designed and constructed so
that the principles of ISO 14121 are fully taken into account:
during all intended use and foreseeable misuse;
when faults occur;
when foreseeable human mistakes are made during the intended use of the machine as a whole.
4.2 General strategy for design
From the risk assessment (see ISO 14121) of the machine, the designer shall decide the contribution to the
reduction of risk which needs to be provided by each safety-related part of the control system (see annex B). This
contribution does not cover the overall risk of the machinery under control, e.g. not the overall risk of a mechanical
press or washing machine, but that part of risk reduced by the application of particular safety functions. Examples of
such functions are the stop function initiated by using an electrosensitive protective device on a press, or the door-
locking function of a washing machine.
The key objective is that the designer ensure that the safety-related parts of a control system produce outputs which
achieve the risk reduction objectives of ISO 14121. This is not always achievable, and in such cases the designer
shall provide other safety measures. The hierarchy for the strategy in reducing risk is given in
ISO/TR 12100-1:1992, clause 5.
The category and other features, e.g. physical position of parts, isolation, selected by the designer for the safety-
related parts will depend upon the contribution made by those parts to the reduction of risk, the design and the
technology (see Introduction). The designer shall declare:
which category(ies) is being used as the reference point for the design;
the exact points at which the safety-related part(s) start and at which it ends;
the design rationale, e.g. the faults considered, the faults excluded, within the design to achieve that
category(ies).
The greater the dependence of risk reduction upon the safety-related parts of control systems, then the higher is the
required ability of those parts to resist faults. This ability — in the understanding that the required function is perfor-
med — can be partly quantified by reliability values and by a fault-resistant structure. Both reliability and structure
contribute to this ability of safety-related parts to resist faults. A specified resistance to faults can be achieved by
specifying levels of reliability of components and/or with improved structures for the safety-related parts. The
contributions of reliability and of structure can vary with the technology used. For example, it is possible for a single
channel of safety-related parts of high reliability in one technology to provide the same or higher resistance to faults
as a fault-tolerant structure of lower reliability in a different technology.
NOTE The higher the resistance to faults of the safety-related parts, the lower the probability that the safety-related parts
will fail to carry out the required safety functions.
Reliability and safety are not the same (see annex D). For example, it is possible that the safety of a system with
relatively unreliable components, in a redundant structure, is higher than the safety of a system with a simpler structure
but with more reliable components. This concept is important because in some applications safety requires the highest
priority regardless of the reliability achieved, e.g. when the consequences of failure are always serious and normally
irreversible. In such applications, a fault detection (one-cycle fault-tolerant) structure which provides the required safety
function after one or two or more faults shall be provided in accordance with the risk assessment.
This part of ISO 13849 does not require the calculation of reliability values for complex structures where safety is
predominantely obtained by improving the structure of the safety-related parts. For less complex structures, where
component reliability is important to safety, the calculation of reliability values is a useful indicator of the contribution to
the overall risk reduction by the safety-related parts.
In the case of applications with lower risk, measures to avoid faults may be appropriate; for higher risk applications,
improving the structure of the safety-related parts of a control system can provide measures to avoid, detect or
tolerate faults. Practical measures include redundancy, diversity, monitoring (see also ISO/TR 12100-2:1992,
clause 3, EN 292-2:1991/A1:1995, annex A and IEC 60204-1:1992, 9.4).
The fault-resistance behaviour achieved of the safety-related parts of the control system is a function of many
parameters including, e.g.:
reliability with respect to performing the safety functions;
structure (or architecture) of the control system;
quality of safety-related documentation;
completeness of the specification;
design, manufacture and maintenance;
quality and accuracy of software;
extent of functional testing;
operating characteristics of the machine or part of the machine under control.
These parameters can be grouped under three main characteristics:
a) hardware reliability: the level of reliability of the components to avoid faults;
b) system structure: the arrangement of the components in the safety-related part of a control system to avoid,
tolerate or detect faults;
c) non-quantifiable, qualitative aspects which affect the behaviour of the safety-related part of a control system.
© ISO ISO 13849-1:1999(E)
4.3 Process for selection and design of safety measures
4.3.1 General
This subclause sets out a process first for the selection of the safety measures to be provided and then for the design
of the safety-related parts of the control system. It is important that the interfaces between the safety-related parts of
the control system, the non-safety-related parts of the control system and all other parts of the machine be identified.
Then the contribution to risk reduction provided by the safety-related parts can be specified within the risk assessment
of the machine according to ISO 14121.
Because there are many ways in which the risk at a machine can be reduced and because there are many ways in
which the safety-related parts of the control system can be designed, this process is iterative. Decisions and/or
assumptions made at any step in the procedure may affect decisions and/or assumptions made at an earlier step.
This aspect can be checked by looping back through the procedure at any step. Such checking in the validation
step is essential to ensure that the safety performance which is achieved is the same as that set out in the
specification.
The process is illustrated in Figure 1. Important aspects which should be considered during the design process are
presented as questions in annex A to prompt the designer.These questions illustrate the philosophy which should
be followed in the design of the safety-related parts. Not all questions apply to every application. Some applications
require additional questions.
4.3.2 Step 1: Hazard analysis and risk assessment
Identify the hazards present at the machine during all modes of operation and at each stage in the life of the
machine by following the guidance in ISO/TR 12100-1 and ISO 14121.
Assess the risk arising from those hazards and decide the appropriate risk reduction for that application in
accordance with ISO/TR 12100-1 and ISO 14121.
4.3.3 Step 2: Decide measures for risk reduction by control means
Decide the design measures at the machine and/or the provision of safeguards to provide the risk reduction. Those
parts of the control system which contribute as an integral part of the design measures and/or in the control of the
safeguards shall be considered safety-related parts.
4.3.4 Step 3: Specify safety requirements for the safety-related parts of the control system
Specify the safety functions (see clause 5 and other referenced documents) to be provided in the control system.
Table 1 lists the source reference of the more common safety functions and the characteristics which shall be
included if a particular safety function is selected.
Specify how the safety functions will be met and select the category(ies) for each part and combinations of parts
within the safety-related parts of the control system (see clause 6).
4.3.5 Step 4: Design
Design the safety-related parts of the control system according to the specification developed in step 3 and to the
general strategy for design in 4.2. List the features included in the design which provide the rationale for the
category(ies) achieved.
Verify the design at each stage to ensure that the safety-related parts fulfil the requirements from the previous stage
in the context of the specified safety function(s) and category(ies).
4.3.6 Step 5: Validation
Validate the achieved safety functions and category(ies) against the specification in step 3. Redesign as necessary
(see clause 8).
It is also necessary to validate the safety-related parts of the control system in conjunction with the entire control
system and as part of the machine. The requirements of such validation are not within the scope of this part of
ISO 13849, but should be specified by the machine designer or the appropriate Type C safety standard.
When programmable electronics are used in the design of safety-related parts of the control systems, other detailed
procedures are required (see 8.4.2). These procedures are under consideration (see also Bibliography).
NOTE It is believed at present that it is difficult to determine with any degree of certainty, in situations when a significant
hazard can occur due to the misoperation of the control system, that reliance on correct operation of a single channel of
programmable electronic equipment can be assured. Until such time that this situation can be resolved, it is inadvisable to rely
on the correct operation of such a single-channel device (according to IEC 60204-1:1992, 12.3.5).
Figure 1 — Iterative process for the design of safety-related parts of control systems
© ISO ISO 13849-1:1999(E)
4.4 Principles for ergonomic design
The interface between persons and the safety-related parts of control systems shall be designed and installed so that
no one is endangered during all intended use and foreseeable misuse of the machine (for information see also
ISO/TR 12100-2; IEC 60204-1:1992, clause 10; IEC 60447:1993, clause 2; EN 614-1; EN 894-1; EN 894-2;
prEN 894-3 and prEN 1005-3).
Ergonomic principles should be used so that the machine and the control system, including the safety-related parts,
are easy to use, and so that the operator is not tempted to act in a hazardous manner. The safety requirements for
observing ergonomic principles given in ISO/TR 12100-2:1992, 3.6, should apply.
5 Characteristics of safety functions
5.1 General
This clause provides a list of typical safety functions (see ISO/TR 12100-1:1992, 3.13) which can be provided by the
safety-related parts of control systems. The designer (or Type-C standard maker) shall include the necessary safety
functions from this list to achieve the measures of safety required of the control system for the specific application.
Table 1 lists typical safety functions and some of their characteristics. It makes reference to details which are clearly
set out in the normative references. For each safety function, reference is made to the relevant parts of these
International Standards (see also clause 2). The designer (or Type-C standard maker) shall ensure that the
requirements of all these International Standards are satisfied for the selected safety functions. Additional detailed
requirements are also set out in this clause for some characteristics. These shall be included.
Where necessary, the characteristics shall be adapted for use with different energy sources.
5.2 Stop function
In addition to the requirements of the reference given in Table 1, the following shall apply.
a) A stop function initiated by a protective device shall, as soon as necessary after actuation, put the machine in a
safe state. Such a stop shall have priority over a stop for operational reasons.
b) When a group of machines are working together in a coordinated manner, provision shall be made to signal to
the supervisory control and/or the other machines that such a stop condition exists.
NOTE Such a stop can cause operational problems and a difficult restart, e.g. in arc welding. In some applications
this function can be combined with a stop for operational reasons to reduce the temptation to defeat the safety function.
5.3 Emergency stop function
In addition to the requirements of the reference given in Table 1, the following shall apply.
a) When a group of machines are working together in a coordinated manner, the safety-related parts shall have
the facility to signal an emergency stop condition to all parts of the coordinated system.
b) Where sections of the coordinated system are clearly separated, e.g. by safeguards or physical position, it is
not always necessary to apply an emergency stop to the whole system but only to particular section(s) as
identified by the risk assessment.
c) After an emergency stop has become effective for a section, a hazard shall not be present at the interfaces of
this section with other sections.
5.4 Manual reset
In addition to the requirements of the reference given in Table 1, the following shall apply.
a) After a stop command has been initiated by a protective device, the stop condition shall be maintained until the
manual reset device is actuated and safe conditions for restarting exist.
b) The re-establishment of the safety function by resetting the protective device cancels the stop command. If
indicated by the risk assessment, this cancellation of the stop command shall be confirmed by a manual,
separate and deliberate action (manual reset).
c) The manual reset function:
shall be provided through a separate and manually operated device within the safety-related parts of the
control system;
shall only be achieved if all safety functions and protective devices are operative. If this is not possible the
reset shall not be achieved;
shall not initiate motion or a hazardous situation by itself;
shall be by deliberate action;
shall prepare the control system for accepting a separate start command;
shall only be accepted by actuation of the actuator from its released (OFF) position.
d) The category of safety-related parts providing the manual reset shall be selected so that the inclusion of the
manual reset does not diminish the safety required of the relevant safety function.
e) The reset actuator shall be situated outside the danger zone and in a safe position from which there is a good
visibility for checking that no person is within the danger zone.
5.5 Start and restart
In addition to the requirements of the reference given in Table 1, the following shall apply.
a) A restart shall take place automatically only if a hazardous situation cannot exist. In particular, for control
guards, see ISO/TR 12100-2:1992, 4.2.2.5.
b) These requirements for start and restart shall also apply to machines which can be controlled remotely.
5.6 Response time
In addition to the requirements of the reference given in Table 1, the following shall apply.
a) The designer or supplier shall declare the response time, when the risk assessment of the safety-related parts
of the control system indicates that this is necessary (see also clause 10).
NOTE The response time of the control system is part of the overall response time of the machine. The required overall
response time of the machine can influence the design of the safety-related parts, e.g. the need to provide a braking system.
5.7 Safety-related parameters
In addition to the requirements of the reference given in Table 1, the following shall apply.
a) When safety-related parameters, e.g. position, speed, temperature, pressure, deviate from preset limits, the
control system shall initiate appropriate measures, e.g. actuation of stopping, warning signal, alarm.
b) If errors in manual inputting of safety-related data in programmable electronic systems can lead to a hazardous
situation, then a data-checking system within the safety-related control system shall be provided, e.g. check of
limits, format and/or logic input values.
© ISO ISO 13849-1:1999(E)
5.8 Local control function
When a machine is controlled locally, e.g. by a portable control device or pendant, the following requirements shall
apply in addition to the requirements of the reference given in Table 1.
a) The means for selecting local control shall be situated outside the danger zone.
b) It shall not be possible to initiate hazardous conditions from outside the zone of local control.
c) Switching between local and external, e.g. remote, control shall not create a hazardous situation.
5.9 Muting
Muting shall not result in any person being exposed to hazardous situations.
During muting, safe conditions shall be provided by other means.
At the end of muting, all safety functions of the safety-related parts of the control system shall be reinstated.
The category of safety-related parts providing the muting function shall be selected so that the inclusion of the
muting function does not diminish the safety required of the relevant safety function.
In some applications, a signal indicating muting is required.
5.10 Manual suspension of safety functions
If it is necessary to manually suspend safety functions, e.g. for set-up, adjustments, maintenance, repair, the
following requirements shall apply in addition to the requirements of the reference given in Table 1.
a) Effective and secure means shall be provided to prevent manual suspension in those operating modes where it
is not allowed.
b) Safety functions of the safety-related parts of the control system shall be reinstated before normal operations
can be continued.
c) Safety-related parts of the control system which are responsible for the manual suspension shall be selected so
that the principles of ISO 14121 are fully taken into account.
In some applications, a signal indicating manual suspension is required.
5.11 Fluctuations, loss and restoration of power sources
In addition to the requirements of the reference given in Table 1, the following shall apply.
When fluctuations in energy levels outside the design operating range occur, including loss of energy supply, the
safety-related parts of the control system shall continue to provide or initiate output signal(s) which will enable other
parts of the machine system to maintain a safe state.
Table 1 — Some International Standards giving requirements for characteristics of safety function
Requirements
Safety
functions, ISO/TR 12100 EN 292- 2: Further Additional
a
Characteristics ISO 13849-1:1999 1991/A 1:1995, standards information
Part 1: 1992 Part 2: 1992 annex A
Definitions 3 3 IEC 60204-1:1992, IEC 60335-1:1994,
clause 3 clause 2
Design principles 4.2 3 1.2.1 IEC 60204-1:1992, IEC 60335-1:1994,
1.2.2 9.4 clause 22;
1.2.7 ISO 10218:1992,
1.5.4 clauses 5 and 6;
ISO 11161:1994,
clause 5
Ergonomic 4.4 4.9 3.6 1.2.2 IEC 60204-1:1992, ISO 10218:1992,
principles 3.7.8a Para 1 clause 10 6.2;
ISO 11161:1994,
4.6
Stop function 5.2 3.7.1 1.2.4 IEC 60204-1:1992, IEC 60335-1:1994,
3.7.8b 1.3.5 9.2.2, 9.2.5.3 7.12;
ISO 11161:1994,
5.11
Emergency stop 5.3 6.1.1 1.2.4 ISO 13850, ISO 10218:1992,
function IEC 60204-1:1992, 6.4.2, 7.2.5;
9.2.5.4 ISO 11161:1994,
5.11.2
Manual reset 5.4 1.2.4 IEC 60204-1:1992, ISO 10218:1992,
9.2.5.3, 9.2.5.4 6.4.2, 6.4.3, 7.6;
ISO 11161:1994,
6.4.3
Start and restart 5.5 3.7.1 1.2.3 IEC 60204-1:1992, ISO 10218:1992,
3.7.2 1.3.5 9.2.1, 9.2.5.1, 6.10, 7.2.5, 7.3.1,
9.2.5.2, 9.2.6 9.3.4
Response time 5.6 EN 999:1998, 3.2,
A.3, A.4
Safety-related 5.7 3.7.9e IEC 60204-1:1992, ISO 10218:1992,
parameters 7.1, 9.3.2, 9.3.4 4.2;
IEC 60335-1:1994,
11.8
Local control 5.8 3.7.9 ISO 10218:1992,
function 3.7.10 3.2.9, 7.2.6;
ISO 11161:1994,
3.13, 4.5, 5.9, 6.2
Muting 5.9
Manual 5.10 3.7.10 1.2.5 IEC 60204-1:1992, ISO 10218:1992,
suspension of 4.1.4 9.2.4 6.10;
safety functions ISO 11161:1994,
5.8
Fluctuations, loss 5.11 3.7.8e 1.2.6 IEC 60204-1:1992,
and restoration of 1.5.3 4.3, 7.1, 7.5
power sources
b
Programmable 3.7.7 IEC 60204-1:1992, IEC 61508
electronic 12.3
systems
© ISO ISO 13849-1:1999(E)
Requirements
Safety
functions, ISO/TR 12100 EN 292- 2: Further Additional
a
Characteristics ISO 13849-1:1999 1991/A 1:1995, standards information
Part 1: 1992 Part 2: 1992 annex A
Unexpected start- 3.7.2 1.2.3 ISO 14118;
up 1.2.6
IEC 60204-1:1992,
1.2.7
5.4
Indications and 3.6.7 1.2.2 ISO 7731; ISO 11161:1994,
alarms 5.3 Para 4, 6 ISO 11428; 5.6
1.7.0 ISO 11429;
1.7.1 IEC 60204-1:1992,
10.4, 11.3;
IEC 60447
Escape and 6.1.2 1.2.2
rescue of trapped Para 5, 6
persons
Electrical 3.9 1.5.1 IEC 60204-1
equipment 1.5.7
Electrical supply 1.5.1 IEC 60204-1:1992,
4.3
Other supply 1.5.3 EN 982:1992, 5.1.4;
EN 983:1992, 5.1.4
Covers and IEC 60204-1:1992,
enclosures 13.4; IEC 60529
Pneumatic and 3.8 1.5.3 EN 982
hydraulic EN 983
equipment
Isolation and 6.2.2 1.6.3 ISO 14118;
energy IEC 60204-1:1992,
dissipation 5.3, 6.3.1
Physical 3.7.11 IEC 60204-1:1992, ISO 10218:1992,
environment and 4.4 6.9;
operating ISO 11161:1994,
conditions 4.3, 4.5
Control modes 3.7.9 1.2.5 IEC 60204-1:1992, ISO 10218:1992,
and mode 3.7.10 9.2.3 6.10
selection
Interfaces/ 1.5.4 IEC 60204-1:1992,
connections 1.6.1 9.1.4, 11, 15.4
Para 3
Interaction 3.7.8e IEC 60204-1:1992,
between different 9.3.4
safety-related
parts of control
systems
Man-machine 3.6.6 1.2.2 IEC 60204-1:1992,
interface 3.6.7 clause 10;
IEC 60447
a
The references in this column are to be considered as an aid to the designer but not part of the requirements of this part of
ISO 13849.
b
To be published.
6 Categories
6.1 General
The safety-related parts of control systems shall be in accordance with the requirements of one or more of the five
categories specified in 6.2. These categories are not intended to be used in any given order or in any given
hierarchy in respect of safety requirements.
The categories state the required behaviour of safety-related parts of a control system in respect of its resistance to
faults based on the strategy described in 4.2.
Category B is the basic category. The occurrence of a fault can lead to loss of the safety function. In category 1,
improved resistance to faults is achieved predominantly by selection and application of components. In categories
2, 3 and 4, improved performance in respect to a specified safety function is achieved predominantly by improving
the structure of the safety-related part of the control system. In category 2, this is provided by periodically checking
that the specified safety function is being performed. In categories 3 and 4, this is provided by ensuring that the
single fault will not lead to loss of the safety function. In category 4, and whenever reasonably practicable in
category 3, such faults will be detected. In category 4, the resistance to the accumulation of faults will be specified.
Direct comparison of fault-resistance behaviour between categories can only be made if one parameter (see 4.2) at
a time is changed. Higher-numbered categories can only be interpreted as providing a greater resistance to faults in
comparable circumstances, e.g. when using similar technology, components of comparable reliability, similar
maintenance regimes and in comparable applications.
Table 2 gives an overview of categories of safety-related parts of control systems, the requirements and the system
behaviour in case of faults.
When considering the causes of failure in some components, it is possible to exclude certain faults (see clause 7).
6.2 Specifications of categories
6.2.1 Category B
The safety-related parts of control systems shall, as a minimum, be designed, constructed, selected, assembled
and combined, in accordance with the relevant International Standards, using basic safety principles for the specific
application so that they can withstand:
expected operating stresses, e.g. force and frequency of braking;
influence of the processed material, e.g. resistance of a washing machine to detergents;
other relevant external influences, e.g. mechanical vibration, external fields, power supply interruptions or
disturbances.
No special measures for safety are applied to parts complying with category B specifications.
NOTE When a fault occurs, it can lead to loss of the safety function. To fulfil the requirements of EN 292-2:1991/A1:1995,
annex A, additional measures which are not provided by the safety-related parts of the control system may be necessary.
6.2.2 Category 1
6.2.2.1 General
The requirements of category B and the following requirement shall apply.
Safety-related parts of control systems assigned to category 1 shall be designed and constructed using well-tried
components and well-tried safety principles.
© ISO ISO 13849-1:1999(E)
Table 2 — Summary of requirements for categories
(for full requirements see clause 6)
Principles to
a b
Category Summary of requirements System behaviour
achieve
safety
Safety-related parts of control systems The occurrence of a fault can lead to loss
and/or their protective equipment, as well of the safety function.
as their components, shall be designed,
B constructed, selected, assembled and
(see 6.2.1) combined in accordance with relevant
Mainly
standards so that they can withstand the
characterized
expected influence.
by selection
of components
Requirements of B shall apply. The occurrence of a fault can lead to loss
of the safety function, but the probability of
(see 6.2.2) Well-tried components and well-tried safe-
occurrence is lower than for category B.
ty principles shall be used.
Requirements of B and the use of well- — The occurrence of a fault can lead to
tried safety principles shall apply. loss of the safety function between the
checks.
(see 6.2.3) Safety function shall
...
NORME ISO
INTERNATIONALE 13849-1
Première édition
1999-11-15
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
A Numéro de référence
Sommaire
Page
1 Domaine d'application.1
2 Références normatives .1
3 Termes et définitions.2
4 Considérations générales.3
4.1 Objectifs de sécurité lors de la conception .3
4.2 Stratégie générale de conception .3
4.3 Procédure de sélection et de conception des mesures de sécurité.5
4.4 Principes de conception ergonomique .7
5 Caractéristiques des fonctions de sécurité .7
5.1 Généralités .7
5.2 Fonction d'arrêt.7
5.3 Fonction d'arrêt d'urgence.8
5.4 Réarmement manuel.8
5.5 Mise en marche et remise en marche .8
5.6 Temps de réponse .9
5.7 Paramètres relatifs à la sécurité.9
5.8 Fonction de commande locale .9
5.9 Inhibition.9
5.10 Neutralisation manuelle des fonctions de sécurité.9
5.11 Variations, perte et rétablissement de l'alimentation en énergie.10
6 Catégories .10
6.1 Généralités .10
© ISO 1999
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque
forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
Organisation internationale de normalisation
Case postale 56 • CH-1211 Genève 20 • Suisse
Internet iso@iso.ch
Imprimé en Suisse
ii
© ISO
6.2 Spécifications pour les catégories . 14
6.3 Sélection et combinaison de parties relatives à la sécurité de différentes catégories . 17
7 Prise en compte des défauts. 17
7.1 Généralités . 17
7.2 Exclusion de défauts. 18
8 Validation. 18
8.1 Généralités . 18
8.2 Plan de validation . 19
8.3 Validation par analyse. 19
8.4 Validation par essais . 19
8.5 Rapport de validation. 20
9 Maintenance . 20
10 Informations pour l'utilisation. 20
(informative)
Annexe A Questionnaire pour le processus de conception . 22
Annexe B (informative) Guide de sélection des catégories. 25
Annexe C (informative) Liste de quelques défauts ou défaillances significatifs pour diverses technologies 28
Annexe D (informative) Relation entre sécurité, fiabilité et disponibilité des machines . 30
Bibliographie. 31
iii
© ISO
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée aux
comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI, Partie 3.
Les projets de Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des comités
membres votants.
La Norme internationale ISO 13849-1 a été élaborée par le comité technique ISO/TC 199, Sécurité des machines.
L'ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines — Parties des
systèmes de commande relatives à la sécurité :
Partie 1: Principes généraux de conception
Partie 2: Validation, essai, liste de défauts
Les annexes A à D de la présente partie de l'ISO 13849 sont données uniquement à titre d'information.
iv
© ISO
Introduction
Des parties des systèmes de commande de machines sont fréquemment affectées à la réalisation des fonctions de
sécurité: elles sont appelées les parties relatives à la sécurité. Ces parties peuvent être constituées de matériels et
de logiciels et assurent les fonctions de sécurité des systèmes de commande. Ces parties peuvent être séparées
ou intégrées au système de commande.
Les performances en cas de défauts éventuels d'une partie de système de commande relative à la sécurité sont,
selon cette norme, réparties en cinq catégories (B, 1, 2, 3, 4) qu'il convient d'utiliser comme points de référence.
Ces catégories (voir 6.2) ne sont pas destinées à être utilisées dans un ordre donné ou suivant une hiérarchie
donnée en ce qui concerne les prescriptions de sécurité.
Ces catégories peuvent s'appliquer pour:
— les systèmes de commande de toutes sortes de machines allant des plus simples, par exemple, des petites
machines de cuisine, aux installations de production complexes comme des machines de conditionnement,
machines à imprimer, presses;
— les systèmes de commande des équipements de protection, tels que les dispositifs de commande bimanuelle,
les dispositifs de verrouillage, les dispositifs de protection électrosensibles (par exemple barrages immatériels)
et les tapis sensibles à la pression.
La catégorie choisie dépend de la machine et du degré d'utilisation des dispositifs de commande pour les mesures
de protection.
Lors de la sélection d'une catégorie et de la conception d'une partie d'un système de commande relative à la
sécurité, le concepteur est tenu de déclarer de façon non limitative les informations suivantes concernant cette
partie relative à la sécurité:
— la ou les catégories choisies;
— les caractéristiques fonctionnelles;
— le rôle précis qu'elle joue dans la ou les mesures de protection de la machine;
— les limites exactes (voir 3.1);
— tous les défauts relatifs à la sécurité pris en compte;
— les défauts relatifs à la sécurité non retenus par exclusion de défaut et les mesures employées pour permettre
leur exclusion;
— les paramètres relatifs à la fiabilité, tels que les conditions d'environnement;
— la ou les technologies employées.
L'utilisation des catégories comme points de référence et cette déclaration du raisonnement suivi lors de la
conception visent à assurer la souplesse d'utilisation de la présente norme. L'objectif est de fournir une base claire
permettant l'évaluation de la conception et des performances de toute application de parties d'un système de
commande relatives à la sécurité (et de la machine), par exemple par une tierce partie, en interne ou par un
laboratoire d'essai indépendant.
v
© ISO
La présente partie de l'ISO 13849 a été préparée en vue d'être une norme harmonisée au sens de la Directive
Machines de l'Union Européenne et des réglementations de l'Association Européenne de Libre Echange (AELE) qui
y sont associées.
La Norme internationale ISO 13849-1 est basée sur l'EN 954-1:1996, publiée par le Comité européen de
normalisation (CEN).
L'attention est attirée sur le fait que le groupe de travail du CEN/TC 114 responsable de l'élaboration de
l'EN 954-1:1996, a preparé un guide concernant l'application de l'EN 954-1 qui a été publié par le CEN sous forme
de CR 954-100. L'ISO/TC 199 a été d'accord que le Rapport du CEN soit publié sous forme de Rapport technique
ISO (type 3) afin de donner les mêmes explications pour l'ISO 13849-1.
vi
NORME INTERNATIONALE © ISO ISO 13849-1:1999(F)
Sécurité des machines — Parties des systèmes de commande
relatives à la sécurité —
Partie 1:
Principes généraux de conception
1 Domaine d'application
La présente partie de l'ISO 13849 fournit des prescriptions de sécurité et des lignes directrices sur les principes de
conception des parties des systèmes de commande relatives à la sécurité. Pour ces parties, elle spécifie des
catégories et décrit les caractéristiques de leurs fonctions de sécurité, y compris les systèmes programmables pour
toutes les machines et pour leurs dispositifs de protection.
La présente partie de l'ISO 13849 s'applique à toutes les parties des systèmes de commande relatives à la sécurité,
indépendamment du type d'énergie utilisée, par exemple électrique, hydraulique, pneumatique, mécanique. Elle ne
spécifie pas quelles fonctions de sécurité et quelles catégories doivent être utilisées dans un cas particulier.
La présente partie de l'ISO 13849 s'applique à tous les usages de machines, professionnels ou non. Elle peut,
également, si cela est opportun, être appliquée pour des parties de systèmes de commande relatives à la sécurité,
utilisées à d'autres fins techniques.
NOTE Voir ISO/TR 12100-1:1992, 3.11.
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence qui y est faite,
constituent des dispositions valables pour la présente partie de l'ISO 13849. Pour les références datées, les
amendements ultérieurs ou les révisions de ces publications ne s’appliquent pas. Toutefois, les parties prenantes
des accords fondés sur la présente partie de l'ISO 13849 sont invitées à rechercher la possibilité d'appliquer les
éditions les plus récentes des documents normatifs indiqués ci-après. Pour les références non datées, la dernière
édition du document normatif en référence s’applique. Les membres de la CEI et de l'ISO possèdent le registre des
Normes internationales en vigueur.
ISO 7731:1986, Signaux de danger pour les lieux de travail — Signaux auditifs.
ISO 11428:1996, Ergonomie — Signaux visuels de danger — Exigences générales, conception et essais.
ISO 11429:1996, Ergonomie — Système de signaux auditifs et visuels de danger et d'information.
ISO/TR 12100-1:1992, Sécurité des machines — Notions fondamentales — Principes généraux de conception —
Partie 1: Terminologie de base, méthodologie.
ISO/TR 12100-2:1992, Sécurité des machines — Notions fondamentales — Principes généraux de conception —
Partie 2: Principes techniques et spécifications.
ISO 13850:1996, Sécurité des machines — Arrêt d'urgence — Principes de conception.
ISO 14118, Sécurité des machines — Prévention de la mise en marche intempestive.
© ISO
ISO 14121,
Sécurité des machines — Principes pour l'appréciation du risque.
CEI 60050 (191):1990, Vocabulaire électrotechnique international — Chapitre 191: Sûreté de fonctionnement et
qualité de service.
CEI 60204-1:1992, Equipement électrique des machines industrielles — Partie 1: Règles générales.
CEI 60447:1993, Interface homme-machine (IHM) — Principes de manœuvre.
CEI 60529:1989, Degrés de protection procurés par les enveloppes (code IP).
CEI 60721-3-0:1984 + A1:1987, Classification des conditions d'environnement — Partie 3: Classification des
groupements des agents d'environnement et de leurs sévérités — Introduction.
EN 292-2:1991/A1:1995, Sécurité des machines — Notions fondamentales — Principes généraux de conception —
Partie 2: Principes techniques et spécifications.
EN 614-1:1995, Sécurité des machines — Principes ergonomiques de conception — Partie 1: Terminologie et
principes généraux.
EN 982:1996, Sécurité des machines — Prescriptions de sécurité relative aux systèmes et leur composants de
transmission hydrauliques et pneumatiques — Hydraulique.
EN 983:1996, Sécurité des machines — Prescriptions de sécurité relative aux systèmes et leur composants de
transmission hydrauliques et pneumatiques — Pneumatique.
EN 999:1998, Sécurité des machines — Vitesse d'approche de parties du corps humain pour le
compositionnement des dispositifs de protection.
3 Termes et définitions
Pour les besoins de la présente partie de l'ISO 13849, les termes et définitions donnés dans l'ISO/TR 12100-1et
dans la CEI 60050 (191), ainsi que les termes et définitions suivants s'appliquent.
3.1
partie d'un système de commande relative à la sécurité
partie ou sous-partie(s) d'un système de commande qui répondent à des signaux d'entrée et génèrent des signaux
de sortie relatifs à la sécurité
NOTE Les parties combinées d'un système de commande relatives à la sécurité commencent aux points où les signaux
relatifs à la sécurité sont générés et se terminent à la sortie des éléments de commande de puissance (voir également
l'ISO/TR 12100-1:1992, annexe A). Cela inclut également des systèmes de surveillance.
3.2
catégorie
classification des parties d'un système de commande relatives à la sécurité liée à leur résistance aux défauts et à
leur comportement subséquent sous défauts
NOTE Un tel comportement est obtenu par la structure des parties et/ou leur fiabilité.
3.3
sécurité des systèmes de commande
aptitude des parties relatives à la sécurité d'un système de commande à exécuter leur(s) fonction(s) de sécurité
pendant un temps donné, conformément à la catégorie qui leur a été attribuée
3.4
défaut
état d'une entité inapte à accomplir une fonction requise, non comprise l'inaptitude due à la maintenance préventive
ou à d'autres actions programmées ou due à un manque de moyens extérieurs
© ISO
NOTE 1 Un défaut est souvent la conséquence d'une défaillance de l'entité elle-même, mais peut exister sans défaillance
préalable.
NOTE 2 En anglais le terme "fault" et sa définition sont identiques à ceux donnés dans la CEI 60050(191):1990, VEI 191-05-
01. Dans le domaine des machines, en français et en allemand, on utilise les termes "défaut" et "Fehler" de préférence aux
termes "panne" et "Fehlzustand" qui sont donnés avec la même définition.
3.5
défaillance
cessation de l'aptitude d'une entité à accomplir une fonction requise
NOTE 1 Après défaillance d'une entité, cette entité a un défaut.
NOTE 2 Une défaillance est un passage d'un état à un autre, par opposition à un défaut, qui est un état.
NOTE 3 La notion de défaillance, telle qu'elle est définie, ne s'applique pas à une entité constituée seulement de logiciel.
[CEI 60050(191), VEI 191-04-01]
NOTE 4 En pratique, les termes "défaut" et "défaillance" sont souvent utilisés comme des synonymes.
3.6
fonction de sécurité des systèmes de commande
fonction initiée par un signal d'entrée et traitée par les parties du système de commande relatives à la sécurité
conduisant la machine (en tant que système) à atteindre un état sûr
3.7
inhibition
interruption automatique et temporaire de fonction(s) de sécurité par des parties du système de commande
relatives à la sécurité
3.8
réarmement manuel
fonction interne aux parties du système de commande relatives à la sécurité permettant de rétablir manuellement
des fonctions de sécurité données avant le redémarrage d'une machine
4 Considérations générales
4.1 Objectifs de sécurité lors de la conception
Les parties d'un système de commande relatives à la sécurité assurant les fonctions de sécurité doivent être
conçues et construites de façon à ce que les principes de l'ISO 14121 soient pleinement pris en compte:
lors de toute utilisation normale et lors du mauvais usage prévisible;
en cas de défauts;
en cas d'erreurs humaines prévisibles durant l'utilisation normale de la machine dans sa globalité.
4.2 Stratégie générale de conception
À partir de l'appréciation du risque (voir l'ISO 14121) au niveau de la machine, le concepteur doit décider de la
contribution à la réduction du risque que doit apporter chacune des parties d'un système de commande relatives à
la sécurité (voir annexe B). Cette contribution ne couvre pas le risque global des machines commandées, par
exemple le risque global présenté par une presse mécanique ou une machine à laver n'est pas pris en compte,
mais seulement la partie du risque qui est réduite par l'application de fonctions de sécurité particulières. La fonction
d'arrêt déclenchée par un dispositif de protection électrosensible sur une presse ou la fonction de fermeture de la
porte d'une machine à laver constituent des exemples de ces fonctions.
© ISO
L'objectif clé est que le concepteur doit garantir que les parties d'un système de commande relatives à la sécurité
produisent des sorties qui réalisent les objectifs de réduction du risque de l'ISO 14121. Cela n'est pas toujours
possible et en pareil cas le concepteur doit prévoir d'autres mesures de sécurité. L'ISO/TR 12100-1:1992, article 5,
hiérarchise la stratégie de réduction des risques.
La catégorie et d'autres caractéristiques, par exemple l'emplacement physique des parties et l'isolation, choisies par
le concepteur pour les parties relatives à la sécurité dépendent de la contribution apportée par ces parties à la
réduction du risque, de la conception et de la technologie (voir Introduction). Le concepteur doit déclarer:
la ou les catégories servant de point(s) de référence pour la conception;
les points précis où commencent la ou les parties relatives à la sécurité et où elle(s) se termine(nt);
le raisonnement suivi lors de la conception, par exemple les défauts pris en compte et les défauts exclus pour
atteindre la ou les catégories.
Plus la réduction du risque est dépendante des parties d'un système de commande relatives à la sécurité, plus
l'aptitude de ces parties à résister aux défauts exige d'être élevée. Cette aptitude — en supposant que la fonction
requise est accomplie — peut être en partie quantifiée par des valeurs de fiabilité et par une structure résistant aux
défauts. La fiabilité, comme la structure, contribuent à assurer la résistance aux défauts des parties relatives à la
sécurité. Une résistance déterminée aux défauts peut être obtenue en spécifiant les niveaux de fiabilité des
composants et/ou en améliorant les structures des parties relatives à la sécurité. La contribution de la fiabilité et de
la structure peut varier en fonction de la technologie utilisée. Par exemple, des parties relatives à la sécurité
réalisées en canal unique et d'excellente fiabilité dans une technologie peuvent résister aux défauts aussi bien ou
mieux qu'une structure tolérante aux défauts de moindre fiabilité dans une technologie différente.
NOTE La probabilité d'une défaillance des parties relatives à la sécurité dans l'accomplissement des fonctions de sécurité
requises est d'autant plus faible que la résistance aux défauts des parties relatives à la sécurité est élevée.
La fiabilité et la sécurité sont des concepts différents (voir annexe D). Il peut se faire, par exemple, qu'un système
comportant des composants relativement "peu fiables" soit, dans une structure redondante, plus sûr qu'un système
ayant une structure plus simple mais comportant des composants plus fiables. Cette notion est importante car la
sécurité doit être la première priorité dans certaines applications indépendamment de la fiabilité, par exemple
lorsque les conséquences d'une défaillance sont toujours graves et normalement irréversibles. Dans ce type
d'application, une structure de détection des défauts (tolérant un défaut par cycle) remplissant la fonction de
sécurité requise après un ou deux défauts ou plus doit être prévue conformément à l'appréciation du risque.
La présente partie de l'ISO 13849 n'exige pas le calcul de valeurs de fiabilité pour les structures complexes où la
sécurité est essentiellement obtenue en améliorant la structure des parties relatives à la sécurité. Pour les
structures moins complexes, où la fiabilité des composants est importante pour la sécurité, le calcul des valeurs de
fiabilité est un indicateur utile de la contribution à la réduction du risque global des parties relatives à la sécurité.
Dans le cas d'applications à faible risque, des mesures destinées à éviter les défauts peuvent être appropriées;
pour les applications à plus haut risque, l'amélioration de la structure des parties d'un système de commande
relatives à la sécurité peut fournir des moyens pour éviter, détecter ou tolérer des défauts. Les mesures pratiques
comportent la redondance, la diversité, la surveillance (voir également l'ISO/TR 12100-2:1992, article 3,
l'EN 292-2:1991/A1:1995, annexe A et la CEI 60204-1:1992, 9.4).
La résistance aux défauts atteinte par les parties du système de commande relatives à la sécurité dépend de
nombreux paramètres incluant par exemple:
la fiabilité en ce qui concerne l'accomplissement des fonctions de sécurité;
la structure (ou l'architecture) du système de commande;
la qualité de la documentation relative à la sécurité;
l'exhaustivité des spécifications;
la conception, la construction et la maintenance;
la qualité et la précision du logiciel;
© ISO
l'étendue des essais fonctionnels;
les caractéristiques de fonctionnement de la machine ou de partie de machine commandée.
Ces paramètres peuvent être regroupés sous trois caractéristiques principales:
la fiabilité du matériel: le niveau de fiabilité des composants pour éviter les défauts;
la structure du système: la combinaison des composants dans la partie du système de commande relative à la
sécurité pour éviter, tolérer ou détecter les défauts;
les aspects qualitatifs non quantifiables affectant le comportement de la partie du système de commande
relative à la sécurité.
4.3 Procédure de sélection et de conception des mesures de sécurité
4.3.1 Généralités
Ce paragraphe fixe une procédure de sélection des mesures de protection à prévoir et lors de la conception des
parties du système de commande relatives à la sécurité. Il est important que les interfaces entre les parties du
système de commande relatives à la sécurité, celles non relatives à la sécurité et toutes les autres parties de la
machine soient identifiées. Alors la contribution à la réduction du risque apportée par les parties relatives à la
sécurité peut être spécifiée conformément à l'appréciation du risque de la machine effectuée selon l'ISO 14121.
Etant donné qu'il y a de nombreuses façons de réduire le risque d'une machine et de nombreuses façons de
concevoir les parties du système de commande relatives à la sécurité, cette procédure est itérative. Les décisions
prises et/ou suppositions faites à tout moment lors de la procédure peuvent affecter les décisions prises et/ou
suppositions faites précédemment. Cet aspect peut être contrôlé en réitérant la procédure à tout moment. Un tel
contrôle dans l'étape de validation est essentiel pour s'assurer que la performance de sécurité est bien celle qui est
fixée dans la spécification.
La procédure est illustrée en Figure 1. Les aspects importants qu'il convient d'étudier lors de la procédure de
conception sont énumérés sous forme de questions dans l'annexe A pour servir de rappel au concepteur. Ces
questions illustrent la philosophie qu'il y a lieu de suivre lors de la conception des parties relatives à la sécurité. Les
questions ne s'appliquent pas toutes dans chaque cas. Certaines applications nécessitent des questions
supplémentaires.
4.3.2 Étape 1: Analyse des phénomènes dangereux et appréciation du risque
Identifier les phénomènes dangereux présents sur la machine pour tous les modes de fonctionnement et à chaque
étape de la vie de la machine en suivant les recommandations de l'ISO/TR 12100-1 et de l'ISO 14121.
Estimer le risque provenant de ces phénomènes dangereux et décider la réduction du risque appropriée pour cette
application selon l'ISO/TR 12100-1 et l'ISO 14121.
4.3.3 Étape 2: Décider les mesures propres à réduire le risque au moyen du système de commande
Décider les mesures de conception de la machine et/ou prévoir des dispositifs de protection propre à assurer la
réduction du risque. Les parties du système de commande faisant partie intégrante des mesures de conception et/ou
agissant sur les dispositifs de protection doivent être considérées comme parties relatives à la sécurité.
4.3.4 Étape 3: Spécifier les prescriptions de sécurité pour les parties du système de commande relatives à
la sécurité
Spécifier les fonctions de sécurité (voir article 5 et autres documents référencés) à prévoir dans le système de
commande. Le Tableau 1 énumère la référence de base pour les fonctions de sécurité les plus courantes et les
caractéristiques qui doivent être incluses si une fonction de sécurité particulière est sélectionnée.
Spécifier comment les fonctions de sécurité seront réalisées et choisir la ou les catégories pour chaque partie et
combinaison de parties relative(s) à la sécurité (voir article 6).
© ISO
Figure 1 — Procédure itérative pour la conception des parties de systèmes de commande
relatives à la sécurité
4.3.5 Étape 4: Conception
Concevoir les parties du système de commande relatives à la sécurité conformément aux spécifications de l'étape 3
et à la stratégie générale de conception décrite en 4.2. Établir la liste des caractéristiques incluses dans la
conception qui justifient la ou les catégories obtenues.
Vérifier la conception à chaque étape afin de s'assurer que les parties relatives à la sécurité répondent aux
spécifications de l'étape précédente dans le contexte de la fonction ou des fonctions relatives à la sécurité et de la
ou des catégories spécifiées.
© ISO
4.3.6 Étape 5: Validation
Valider les fonctions de sécurité et la ou les catégories réalisées par rapport aux spécifications de l'étape 3.
Reconcevoir si nécessaire (voir article 8).
Si des dispositifs électroniques programmables sont utilisés pour la conception des parties des systèmes de
commande relatives à la sécurité, d'autres procédures détaillées sont nécessaires (voir 8.4.2). Ces procédures sont à
l'étude (voir également Bibliographie).
NOTE 1 Il est admis, actuellement, qu'il est difficile de déterminer avec un certain degré de certitude les cas où un accident
significatif peut résulter du mauvais fonctionnement du système de commande, et de se fier au bon fonctionnement d'un canal
unique sur un équipement électronique programmable. Tant que cette situation perdurera, il n'est pas judicieux de se fier
uniquement au bon fonctionnement d'un tel dispositif à canal unique (selon la CEI 60204-1:1992, 12.3.5).
NOTE 2 Il sera également nécessaire de valider les parties du système de commande relatives à la sécurité en lien avec
tout le système de commande et en tant que partie de la machine. Les prescriptions de cette validation ne font pas partie de la
présente partie de l'ISO 13849 mais il convient qu'elles soient spécifiées par le concepteur de la machine ou par la norme de
type C appropriée.
4.4 Principes de conception ergonomique
L'interface entre les personnes et les parties des systèmes de commande relatives à la sécurité doit être conçue et
installée de manière à ce que personne ne soit en danger au cours de l'utilisation normale ou à la suite du mauvais
usage prévisible de la machine (pour information voir également l'ISO/TR 12100-2, à la CEI 60204-1:1992, article
10, à la CEI 60447:1993, article 2, à l'EN 614-1, à l'EN 894-1, à l'EN 894-2, au prEN 894-3 et au prEN 1005-3).
Il convient d'appliquer les principes d'ergonomie de manière à ce que la machine et le système de commande, y
compris les parties relatives à la sécurité, soient faciles à utiliser et à ce que l'opérateur ne soit pas tenté d'agir de
manière dangereuse. Il convient d'appliquer les prescriptions de sécurité concernant le respect des principes
d'ergonomie données dans l'ISO/TR 12100-2:1992, 3.6.
5 Caractéristiques des fonctions de sécurité
5.1 Généralités
Cet article fournit une liste des fonctions de sécurité types (voir l'ISO/TR 12100-1:1992, 3.13) pouvant être réalisées
par les parties de systèmes de commande relatives à la sécurité. Le concepteur (ou rédacteur de norme de type C)
doit inclure les fonctions de sécurité de cette liste qui sont nécessaires pour réaliser les mesures de sécurité
requises du système de commande pour l'application considérée.
Le Tableau 1 énumère des fonctions de sécurité types et quelques-unes de leurs caractéristiques. Il renvoie à des
aspects qui sont clairement établis dans les références normatives. Pour chaque fonction de sécurité, les parties
correspondantes de ces normes (voir également article 2) sont précisées. Le concepteur (ou rédacteur de norme
de type C) doit s'assurer que les prescriptions de toutes ces normes sont satisfaites pour les fonctions de sécurité
choisies. Pour certaines caractéristiques, des prescriptions supplémentaires détaillées sont aussi formulées dans
cet article et doivent être incluses.
Si nécessaire, les caractéristiques doivent être adaptées à l'utilisation de différentes sources d'énergie.
5.2 Fonction d'arrêt
Les prescriptions suivantes doivent s'appliquer en plus de celles auxquelles il est fait référence dans le 1.
Tableau
a) Une fonction d'arrêt déclenchée par un dispositif de protection doit mettre la machine dans un état de sécurité
aussitôt que nécessaire après actionnement du dispositif. Un tel arrêt doit avoir priorité par rapport à l'arrêt en
fonctionnement normal.
b) Lorsqu'un groupe de machines travaillent de façon coordonnée, des dispositions doivent être prévues pour
signaler au système superviseur et/ou aux autres machines qu'une telle condition d'arrêt existe.
© ISO
NOTE Un tel arrêt peut créer des problèmes de fonctionnement et des difficultés de remise en marche difficile par exemple
pour le soudage à l'arc. Pour certaines applications, il est possible de combiner cette fonction avec un arrêt en fonctionnement
normal de manière à réduire la tentation de frauder la fonction de sécurité.
5.3 Fonction d'arrêt d'urgence
Les prescriptions suivantes doivent s'appliquer en plus de celles de la référence donnée dans le 1.
Tableau
a) Lorsqu'un groupe de machines travaillent de façon coordonnée, les parties relatives à la sécurité doivent
pouvoir signaler une condition d'arrêt d'urgence à toutes les parties du système coordonné.
b) Lorsque des sections du système coordonné sont nettement séparées (par exemple par des protecteurs ou
par leur position) il n'est pas toujours nécessaire d'appliquer un arrêt d'urgence à l'ensemble du système et il
peut suffire de l'appliquer à une ou plusieurs sections particulières déterminées par l'appréciation du risque.
c) Dès la mise en action d'un arrêt d'urgence sur une section, aucun phénomène dangereux ne doit être présent
aux interfaces entre cette section et les autres.
5.4 Réarmement manuel
Les prescriptions suivantes doivent s'appliquer en plus de celles auxquelles il est fait référence dans le Tableau 1.
a) Après le lancement d'un ordre d'arrêt par un dispositif de protection, la condition d'arrêt doit être maintenue
jusqu'à ce que le dispositif de réarmement manuel soit actionné et que des conditions sûres de redémarrage
existent.
b) Le rétablissement de la fonction de sécurité par réarmement du dispositif de protection annule la commande
d'arrêt. Lorsque l'appréciation du risque l'indique, l'annulation de la commande d'arrêt doit être confirmée par
une action manuelle, distincte et délibérée (réarmement manuel).
c) La fonction de réarmement manuel:
doit être assurée par un dispositif distinct, actionné manuellement et lié aux parties du système de
commande relatives à la sécurité;
ne doit être exécutée que si toutes les fonctions de sécurité et tous les dispositifs de protection sont prêts
à fonctionner. Si cela n'est pas le cas, le réarmement ne doit pas être possible;
ne doit pas déclencher elle-même un mouvement ou une situation dangereuse;
doit être réalisée par une action délibérée;
doit préparer le système de commande à accepter un ordre de mise en marche distinct;
ne doit être acceptée que par relâchement de l'organe de service à partir de son état de repos.
d) La catégorie des parties relatives à la sécurité produisant le réarmement manuel doit être choisie de sorte que
l'inclusion du réarmement manuel ne diminue pas le niveau de sécurité requis de la fonction de sécurité
correspondante.
e) L'organe de service de réarmement doit être situé en dehors de la zone dangereuse et dans une position sûre
offrant une bonne visibilité pour contrôler que personne ne se trouve dans la zone dangereuse.
5.5 Mise en marche et remise en marche
Les prescriptions suivantes doivent s'appliquer en plus de celles auxquelles il est fait référence dans le Tableau 1.
a) Une remise en marche ne doit avoir lieu automatiquement que si une situation de danger ne peut pas exister.
En particulier, pour les protecteurs commandant la mise en marche, voir l'ISO/TR 12100-2:1991, 4.2.2.5.
b) Ces prescriptions pour la mise et la remise en marche doivent également s'appliquer aux machines pouvant
être commandées à distance.
© ISO
5.6 Temps de réponse
Les prescriptions suivantes doivent s'appliquer en plus de celles auxquelles il est fait dans le 1.
Tableau
Le concepteur ou le fournisseur doit déclarer le temps de réponse lorsque l'appréciation du risque des parties du
système de commande relatives à la sécurité indique que cela est nécessaire (voir aussi article 10).
NOTE Le temps de réponse du système de commande est un élément du temps de réponse global de la machine. Le
temps de réponse global requis pour la machine peut influer sur la conception de partie relative à la sécurité, par exemple, sur
la nécessité de prévoir un système de freinage.
5.7 Paramètres relatifs à la sécurité
Les prescriptions suivantes doivent s'appliquer en plus de celles auxquelles il est fait référence dans le Tableau 1.
a) Lorsque les paramètres relatifs à la sécurité, par exemple, position, vitesse, température, pression, s'écartent
des limites préétablies, le système de commande doit déclencher les mesures appropriées, par exemple,
déclenchement d'une mise à l'arrêt, d'un signal d'avertissement, d'une alarme.
b) Si des erreurs dans l'introduction manuelle des données relatives à la sécurité dans les systèmes électroniques
programmables peuvent entraîner une situation dangereuse, il faut prévoir un système de contrôle des
données intégré au système de commande relatif à la sécurité, par exemple un contrôle de limites, du format
et/ou des valeurs d'entrée logiques.
5.8 Fonction de commande locale
Lorsqu'une machine est commandée localement, par exemple, par un dispositif de commande portable ou un
pendant, les prescriptions suivantes doivent s'appliquer en plus de celles auxquelles il est fait référence dans le
1.
Tableau
a) Les moyens pour sélectionner la commande locale doivent être situés en dehors de la zone dangereuse.
b) Il ne doit pas être possible de déclencher des situations dangereuses de l'extérieur de la zone de commande
locale.
c) La commutation entre la commande locale et la commande externe, par exemple à distance, ne doit pas créer
de situation dangereuse.
5.9 Inhibition
L'inhibition ne doit exposer aucune personne à des situations dangereuses.
Durant l'inhibition, les conditions de sécurité doivent être assurées par d'autres moyens.
À la fin de l'inhibition, toutes les fonctions de sécurité des parties du système de commande relatives à la sécurité
doivent être rétablies.
La catégorie des parties relatives à la sécurité assurant la fonction d'inhibition doit être sélectionnée de façon à ce
que l'inclusion de la fonction d'inhibition ne diminue pas le niveau de sécurité requis de la fonction de sécurité
correspondante.
Pour certaines applications, un signal d'indication de l'inhibition est nécessaire.
5.10 Neutralisation manuelle des fonctions de sécurité
S'il est nécessaire de neutraliser manuellement les fonctions de sécurité, par exemple pour le montage, les
réglages, la maintenance, les réparations, les prescriptions suivantes doivent s'appliquer en plus de celles
auxquelles il est fait référence dans le Tableau 1.
© ISO
a) Des moyens efficaces et sûrs pour empêcher la neutralisation manuelle dans des modes de marche où cela
n'est pas autorisé.
b) Rétablissement des fonctions de sécurité des parties du système de commande relatives à la sécurité doivent
être rétablies avant que la marche normale puisse se poursuivre.
c) Choix des parties du système de commande relatives à la sécurité chargées de la neutralisation manuelle
doivent être sélectionnées de sorte que les principes de l'ISO 14121 soient pleinement pris en compte.
Pour certaines applications, un signal d'indication de neutralisation manuelle est nécessaire.
5.11 Variations, perte et rétablissement de l'alimentation en énergie
Les prescriptions suivantes s'appliquent en plus de celles auxquelles il est fait référence dans le 1.
Tableau
Lorsque les niveaux d'énergie varient en dehors de la gamme de fonctionnement prévue à la conception, ce qui
inclut la défaillance de l'alimentation en énergie, les parties du système de commande relatives à la sécurité doivent
continuer à délivrer ou déclencher un ou des signaux de sortie permettant aux autres parties du système de la
machine de maintenir un état sûr.
6 Catégories
6.1 Généralités
Les parties de systèmes de commande relatives à la sécurité doivent être conformes aux prescriptions d'une ou
plusieurs des cinq catégories spécifiées en 6.2. Ces catégories ne sont pas destinées à être utilisées dans un ordre
donné ou selon une hiérarchie donnée par rapport aux prescriptions de sécurité.
Les catégories établissent le comportement requis des parties d'un système de commande relatives à la sécurité en
ce qui concerne la résistance aux défauts, en se fondant sur la stratégie décrite en 4.2.
La catégorie B est la catégorie de base. La survenue d'un défaut peut conduire à la perte de la fonction de sécurité.
Dans la catégorie 1, une meilleure résistance aux défauts est atteinte essentiellement par le choix et l'utilisation des
composants. Dans les catégories 2, 3 et 4, une meilleure performance est obtenue en ce qui concerne la fonction
de sécurité spécifiée, essentiellement par amélioration de la structure de la partie du système de commande
relative à la sécurité. Cela est réalisé dans la catégorie 2 par le contrôle périodique de l'accomplissement de la
fonction de sécurité spécifiée. Dans les catégories 3 et 4 on s'assure qu'un défaut unique n'entraîne pas la perte de
la fonction de sécurité. Ces défauts sont détectés en catégorie 4 et, quand cela est raisonnablement faisable, en
catégorie 3. En catégorie 4, la résistance à l'accumulation de défauts est spécifiée.
Une comparaison directe de la résistance aux défauts entre les catégories, peut être faite uniquement si un seul
paramètre (voir 4.2) est modifié à la fois. Des catégories de numéro plus élevé ne peuvent être interprétées comme
assurant une résistance supérieure aux défauts que dans des circonstances comparables, par exemple, avec une
technologie similaire, des composants de fiabilité comparable, des régimes de maintenance similaires et ce, dans
des applications comparables.
Le Tableau 2 donne une vue d'ensemble des catégories des parties des systèmes de commande relatives à la
sécurité, des prescriptions correspondantes et du comportement du système en cas de défauts.
En tenant compte des modes de défaillance de certains composants, il est possible d'exclure certains défauts (voir
article 7).
© ISO
Tableau 1 — Normes internationales contenant des prescriptions pour les caractéristiques des fonctions
de sécurité
Prescriptions
Fonctions de
sécurité, ISO/TR 12100 EN 292-2: Autres Informations
caractéristiques ISO 13849-1:1999 1991/A1:1995, normes a
supplémentaires
Partie 1:1992 Partie 2:1992 annexe A
Définitions 3 3 CEI 60204-1:1992, CEI 60335-1:1
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...