ISO 13849-1:1999
(Main)Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13849-1
First edition
1999-11-15
Safety of machinery — Safety-related parts
of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relative à la
sécurité —
Partie 1: Principes généraux de conception
A
Reference number
ISO 13849-1:1999(E)
---------------------- Page: 1 ----------------------
ISO 13849-1:1999(E)
Contents
Page
1 Scope .1
2 Normative references.1
3 Terms and definitions .2
4 General considerations.3
4.1 Safety objectives in design.3
4.2 General strategy for design .3
4.3 Process for selection and design of safety measures.5
4.4 Principles for ergonomic design .7
5 Characteristics of safety functions .7
5.1 General.7
5.2 Stop function.7
5.3 Emergency stop function.7
5.4 Manual reset.8
5.5 Start and restart .8
5.6 Response time .8
5.7 Safety-related parameters.8
5.8 Local control function .9
5.9 Muting .9
5.10 Manual suspension of safety functions .9
5.11 Fluctuations, loss and restoration of power sources .9
6 Categories.12
6.1 General.12
© ISO 1999
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means, electronic
or mechanical, including photocopying and microfilm, without permission in writing from the publisher.
International Organization for Standardization
Case postale 56 • CH-1211 Genève 20 • Switzerland
Internet iso@iso.ch
Printed in Switzerland
ii
---------------------- Page: 2 ----------------------
© ISO ISO 13849-1:1999(E)
6.2 Specifications of categories. 12
6.3 Selection and combination of safety-related parts to different categories .16
7 Fault consideration. 17
7.1 General . 17
7.2 Fault exclusion. 17
8 Validation. 17
8.1 General . 17
8.2 Validation plan . 18
8.3 Validation by analysis . 18
8.4 Validation by testing. 18
8.5 Validation report . 19
9 Maintenance . 19
10 Information to be provided to the user. 19
Annex A (informative) Questionnaire for use during the design process. 21
(informative)
Annex B Guidance for the selection of categories . 23
Annex C (informative) Examples of significant faults and failures for various technologies. 26
Annex D (informative) Relationship between safety, reliability and availability for machinery . 28
Bibliography. 29
iii
---------------------- Page: 3 ----------------------
ISO 13849-1:1999(E) © ISO
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO
member bodies). The work of preparing International Standards is normally carried out through ISO technical
committees. Each member body interested in a subject for which a technical committee has been established has
the right to be represented on that committee. International organizations, governmental and non-governmental, in
liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical
Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 3.
Draft International Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies casting a vote.
International Standard ISO 13849-1 was prepared by Technical Committee ISO/TC 199, Safety of machinery.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related parts of
control systems :
Part 1: General principles for design
Part 2: Validation, testing, fault lists
Annexes A to D of this part of ISO 13849 are for information only.
iv
---------------------- Page: 4 ----------------------
© ISO ISO 13849-1:1999(E)
Introduction
Certain parts of machinery control systems are frequently assigned safety functions: these are called the safety-
related parts. These parts can consist of both hardware and software, and they are intended provide the safety
functions of control systems. They can be separate or integrated parts of the control system.
The performance of a safety-related part of a control system with respect to the occurrence of faults is classified in
this part of ISO 13849 into five categories (B, 1, 2, 3, 4) which should be used as reference points. These
categories (see 6.2) are not intended to be used in any given order or in any given hierarchy in respect of safety
requirements.
The categories can be applied to:
control systems of all kinds of machinery, from simple, e.g. small kitchen appliances, to complex manufacturing
installations, e.g. packaging machinery, printing machines, presses;
control systems of protective equipment, e.g. two-hand control devices, interlocking devices, electro-sensitive
protective devices (e.g. photoelectric barriers) and pressure sensitive mats.
The category selected will depend upon the machine and the extent to which control means are used for the
protective measures.
When selecting a category and designing a safety-related part of a control system, the designer should provide at
least the following information about the safety-related part:
the category(ies) selected;
the functional characteristics;
the precise role it plays in the machinery protective measure(s);
the exact limits of the part under consideration (see 3.1);
all safety-relevant faults considered;
those safety-relevant faults not considered, by fault exclusion, and the measures employed to allow their
exclusion;
the parameters relevant to the reliability, such as environmental conditions;
the technology(ies) used.
The use of categories as reference points and a declaration of the rationale followed during the design process is
intended to allow this part of ISO 13849 to be used flexibly. It is intended to provide a clear basis upon which the
design and performance of any application of the safety-related part of a control system (and the machine) can be
assessed, e.g. by a third party, in-house means or an independent test house.
This part of ISO 13849 has been prepared to be a harmonized standard in the sense of the Machinery Directive of
the European Union and associated regulations of the European Free Trade Association (EFTA).
International Standard ISO 13849-1 is based on EN 954-1:1996, published by the European Committee for
Standardization (CEN).
Attention is drawn to the fact the working group of CEN/TC 114 responsible for the elaboration of EN 954-1:1996
has prepared a guide on the application of EN 954-1 which has been published by CEN as CR 954-100.
ISO/TC 199 has agreed that this CEN Report be published as an ISO Technical Report (type 3) in order to present
the same explanations for ISO 13849-1.
v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD © ISO ISO 13849-1:1999(E)
Safety of machinery — Safety-related parts of control systems —
Part 1:
General principles for design
1 Scope
This part of ISO 13849 provides safety requirements and guidance on the principles for the design of safety-related
parts of control systems. For these parts, it specifies categories and describes the characteristics of their safety
functions, including programmable systems for all machinery and for related protective devices.
This part of ISO 13849 applies to all safety-related parts of control systems, regardless of the type of energy used,
e.g. electrical, hydraulic, pneumatic, mechanical. It does not specify which safety functions and which categories
shall be used in a particular case.
This part of ISO 13849 applies to all machinery applications for professional and non-professional use. Where
appropriate, it can also be applied to the safety-related parts of control systems used in other technical applications.
NOTE See ISO/TR 12100-1:1992, 3.11.
2 Normative references
The following normative documents contain provisions which, through reference in this text, constitute provisions of
this part of ISO 13849. For dated references, subsequent amendments to, or revisions of, any of these publications
do not apply. However, parties to agreements based on this part of ISO 13849 are encouraged to investigate the
possibility of applying the most recent edition of the normative documents indicated below. For undated references,
the latest edition of the normative document referred to applies. Members of ISO and IEC maintain registers of
currently valid International Standards.
ISO 7731:1986, Danger signals for workplaces — Auditory danger signals.
ISO 11428:1996, Ergonomics — Visual danger signals — General requirements, design and testing.
ISO 11429:1996, Ergonomics — System of auditory and visual danger and information signals.
ISO/TR 12100-1:1992, Safety of machinery — Basic concepts, general principles for design — Part 1: Basic
terminology, methodology.
ISO/TR 12100-2:1992, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles and specifications.
ISO 13850:1996, Safety of machinery — Emergency stop — Principles for design.
ISO 14118, Safety of machinery — Prevention of unexpected start-up.
ISO 14121, Safety of machinery — Principles for risk assessment.
IEC 60050 (191):1990, International Electrotechnical Vocabulary. Chapter 191: Dependability and quality of service.
1
---------------------- Page: 6 ----------------------
ISO 13849-1:1999(E) © ISO
IEC 60204-1:1992, Safety of machinery — Electrical equipment of industrial machines — Part 1: General
requirements.
IEC 60447:1993, Man-machine interface (MMI) — Actuating principles.
IEC 60529:1989, Degrees of protection provided by enclosures (IP Code).
IEC 60721-3-0:1984 + A1:1987, Classification of environmental conditions — Part 3: Classification of groups of
environmental parameters and their severities — Introduction.
EN 292-2:1991/A1:1995, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles and specifications.
EN 614-1:1995, Safety of machinery — Ergonomic design principles — Part 1: Terminology and general principles.
EN 982:1996, Safety of machinery — Safety requirements for fluid power systems and their components —
Hydraulics.
EN 983:1996, Safety of machinery — Safety requirements for fluid power systems and their components —
Pneumatics.
EN 999:1998, Safety of machinery — The positioning of protective equipment in respect of approach speeds of
parts of the human body.
3 Terms and definitions
For the purposes of this part of ISO 13849, the terms and definitions given in ISO/TR 12100-1, IEC 60050 (191) and
the following apply.
3.1
safety-related part of a control system
part, or subpart(s), of a control system which responds to input signals and generates safety-related output signals
NOTE The combined safety-related parts of a control system start at the points where the safety-related signals are
initiated and end at the output of the power control elements (see also ISO/TR 12100-1:1992, annex A). This also includes
monitoring systems.
3.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and their
subsequent behaviour in the fault condition
NOTE Such behaviour is achieved by the structural arrangement of the parts and/or by their reliability.
3.3
safety of control systems
ability of safety-related parts of a control system to perform their safety function(s) for a given time according to their
specified category
3.4
fault
state of an item characterized by inability to perform a required function, except during preventive maintenance or
other planned actions or due to lack of external resources
NOTE 1 A fault is often the result of a failure of the item itself, but may exist without prior failure.
NOTE 2 In English the term "fault" and its definition are identical with those given in IEC 60050 (191):1990, IEV 191-05-01.
In the field of machinery, the French term "défaut" and the German term "Fehler" are used rather than the terms "panne" and
"Fehlzustand" that appear with this definition.
2
---------------------- Page: 7 ----------------------
© ISO ISO 13849-1:1999(E)
3.5
failure
termination of the ability of an item to perform a required function
NOTE 1 After a failure, the item has a fault.
NOTE 2 "Failure" is an event, as distinguished from "fault" which is a state.
NOTE 3 This concept as defined does not apply to items consisting of software only.
[IEC 60050(191), IEV 191-04-01]
NOTE 4 In practice, the terms fault and failure are often used synonymously.
3.6
safety function of a control system
function initiated by an input signal and processed by the safety-related parts of the control system to enable the
machine (as a system) to achieve a safe state
3.7
muting
temporary automatic suspension of a safety function(s) by safety-related parts of the control system
3.8
manual reset
function within the safety-related parts of the control system to manually restore given safety functions before the
re-starting of a machine
4 General considerations
4.1 Safety objectives in design
The safety-related parts of a control sytem which provide the safety functions shall be designed and constructed so
that the principles of ISO 14121 are fully taken into account:
during all intended use and foreseeable misuse;
when faults occur;
when foreseeable human mistakes are made during the intended use of the machine as a whole.
4.2 General strategy for design
From the risk assessment (see ISO 14121) of the machine, the designer shall decide the contribution to the
reduction of risk which needs to be provided by each safety-related part of the control system (see annex B). This
contribution does not cover the overall risk of the machinery under control, e.g. not the overall risk of a mechanical
press or washing machine, but that part of risk reduced by the application of particular safety functions. Examples of
such functions are the stop function initiated by using an electrosensitive protective device on a press, or the door-
locking function of a washing machine.
The key objective is that the designer ensure that the safety-related parts of a control system produce outputs which
achieve the risk reduction objectives of ISO 14121. This is not always achievable, and in such cases the designer
shall provide other safety measures. The hierarchy for the strategy in reducing risk is given in
ISO/TR 12100-1:1992, clause 5.
The category and other features, e.g. physical position of parts, isolation, selected by the designer for the safety-
related parts will depend upon the contribution made by those parts to the reduction of risk, the design and the
technology (see Introduction). The designer shall declare:
which category(ies) is being used as the reference point for the design;
3
---------------------- Page: 8 ----------------------
ISO 13849-1:1999(E) © ISO
the exact points at which the safety-related part(s) start and at which it ends;
the design rationale, e.g. the faults considered, the faults excluded, within the design to achieve that
category(ies).
The greater the dependence of risk reduction upon the safety-related parts of control systems, then the higher is the
required ability of those parts to resist faults. This ability — in the understanding that the required function is perfor-
med — can be partly quantified by reliability values and by a fault-resistant structure. Both reliability and structure
contribute to this ability of safety-related parts to resist faults. A specified resistance to faults can be achieved by
specifying levels of reliability of components and/or with improved structures for the safety-related parts. The
contributions of reliability and of structure can vary with the technology used. For example, it is possible for a single
channel of safety-related parts of high reliability in one technology to provide the same or higher resistance to faults
as a fault-tolerant structure of lower reliability in a different technology.
NOTE The higher the resistance to faults of the safety-related parts, the lower the probability that the safety-related parts
will fail to carry out the required safety functions.
Reliability and safety are not the same (see annex D). For example, it is possible that the safety of a system with
relatively unreliable components, in a redundant structure, is higher than the safety of a system with a simpler structure
but with more reliable components. This concept is important because in some applications safety requires the highest
priority regardless of the reliability achieved, e.g. when the consequences of failure are always serious and normally
irreversible. In such applications, a fault detection (one-cycle fault-tolerant) structure which provides the required safety
function after one or two or more faults shall be provided in accordance with the risk assessment.
This part of ISO 13849 does not require the calculation of reliability values for complex structures where safety is
predominantely obtained by improving the structure of the safety-related parts. For less complex structures, where
component reliability is important to safety, the calculation of reliability values is a useful indicator of the contribution to
the overall risk reduction by the safety-related parts.
In the case of applications with lower risk, measures to avoid faults may be appropriate; for higher risk applications,
improving the structure of the safety-related parts of a control system can provide measures to avoid, detect or
tolerate faults. Practical measures include redundancy, diversity, monitoring (see also ISO/TR 12100-2:1992,
clause 3, EN 292-2:1991/A1:1995, annex A and IEC 60204-1:1992, 9.4).
The fault-resistance behaviour achieved of the safety-related parts of the control system is a function of many
parameters including, e.g.:
reliability with respect to performing the safety functions;
structure (or architecture) of the control system;
quality of safety-related documentation;
completeness of the specification;
design, manufacture and maintenance;
quality and accuracy of software;
extent of functional testing;
operating characteristics of the machine or part of the machine under control.
These parameters can be grouped under three main characteristics:
a) hardware reliability: the level of reliability of the components to avoid faults;
b) system structure: the arrangement of the components in the safety-related part of a control system to avoid,
tolerate or detect faults;
c) non-quantifiable, qualitative aspects which affect the behaviour of the safety-related part of a control system.
4
---------------------- Page: 9 ----------------------
© ISO ISO 13849-1:1999(E)
4.3 Process for selection and design of safety measures
4.3.1 General
This subclause sets out a process first for the selection of the safety measures to be provided and then for the design
of the safety-related parts of the control system. It is important that the interfaces between the safety-related parts of
the control system, the non-safety-related parts of the control system and all other parts of the machine be identified.
Then the contribution to risk reduction provided by the safety-related parts can be specified within the risk assessment
of the machine according to ISO 14121.
Because there are many ways in which the risk at a machine can be reduced and because there are many ways in
which the safety-related parts of the control system can be designed, this process is iterative. Decisions and/or
assumptions made at any step in the procedure may affect decisions and/or assumptions made at an earlier step.
This aspect can be checked by looping back through the procedure at any step. Such checking in the validation
step is essential to ensure that the safety performance which is achieved is the same as that set out in the
specification.
The process is illustrated in Figure 1. Important aspects which should be considered during the design process are
presented as questions in annex A to prompt the designer.These questions illustrate the philosophy which should
be followed in the design of the safety-related parts. Not all questions apply to every application. Some applications
require additional questions.
4.3.2 Step 1: Hazard analysis and risk assessment
Identify the hazards present at the machine during all modes of operation and at each stage in the life of the
machine by following the guidance in ISO/TR 12100-1 and ISO 14121.
Assess the risk arising from those hazards and decide the appropriate risk reduction for that application in
accordance with ISO/TR 12100-1 and ISO 14121.
4.3.3 Step 2: Decide measures for risk reduction by control means
Decide the design measures at the machine and/or the provision of safeguards to provide the risk reduction. Those
parts of the control system which contribute as an integral part of the design measures and/or in the control of the
safeguards shall be considered safety-related parts.
4.3.4 Step 3: Specify safety requirements for the safety-related parts of the control system
Specify the safety functions (see clause 5 and other referenced documents) to be provided in the control system.
Table 1 lists the source reference of the more common safety functions and the characteristics which shall be
included if a particular safety function is selected.
Specify how the safety functions will be met and select the category(ies) for each part and combinations of parts
within the safety-related parts of the control system (see clause 6).
4.3.5 Step 4: Design
Design the safety-related parts of the control system according to the specification developed in step 3 and to the
general strategy for design in 4.2. List the features included in the design which provide the rationale for the
category(ies) achieved.
Verify the design at each stage to ensure that the safety-related parts fulfil the requirements from the previous stage
in the context of the specified safety function(s) and category(ies).
4.3.6 Step 5: Validation
Validate the achieved safety functions and category(ies) against the specification in step 3. Redesign as necessary
(see clause 8).
5
---------------------- Page: 10 ----------------------
ISO 13849-1:1999(E) © ISO
It is also necessary to validate the safety-related parts of the control system in conjunction with the entire control
system and as part of the machine. The requirements of such validation are not within the scope of this part of
ISO 13849, but should be specified by the machine designer or the appropriate Type C safety standard.
When programmable electronics are used in the design of safety-related parts of the control systems, other detailed
procedures are required (see 8.4.2). These procedures are under consideration (see also Bibliography).
NOTE It is believed at present that it is difficult to determine with any degree of certainty, in situations when a significant
hazard can occur due to the misoperation of the control system, that reliance on correct operation of a single channel of
programmable electronic equipment can be assured. Until such time that this situation can be resolved, it is inadvisable to rely
on the correct operation of such a single-channel device (according to IEC 60204-1:1992, 12.3.5).
Figure 1 — Iterative process for the design of safety-related parts of control systems
6
---------------------- Page: 11 ----------------------
© ISO ISO 13849-1:1999(E)
4.4 Principles for ergonomic design
The interface between persons and the safety-related parts of control systems shall be designed and installed so that
no one is endangered during all intended use and foreseeable misuse of the machine (for information see also
ISO/TR 12100-2; IEC 60204-1:1992, clause 10; IEC 60447:1993, clause 2; EN 614-1; EN 894-1; EN 894-2;
prEN 894-3 and prEN 1005-3).
Ergonomic principles should be used so that the machine and the control system, including the safety-related parts,
are easy to use, and so that the operator is not tempted to act in a hazardous manner. The safety requirements for
observing ergonomic principles given in ISO/TR 12100-2:1992, 3.6, should apply.
5 Characteristics of safety functions
5.1 General
This clause provides a list of typical safety functions (see ISO/TR 12100-1:1992, 3.13) which can be provided by the
safety-related parts of control systems. The designer (or Type-C standard maker) shall include the necessary safety
functions from this list to achieve the measures of safety required of the control system for the specific application.
Table 1 lists typical safety functions and some of their characteristics. It makes reference to details which are clearly
set out in the normative references. For each safety function, reference is made to the relevant parts of these
Inte
...
NORME ISO
INTERNATIONALE 13849-1
Première édition
1999-11-15
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
A Numéro de référence
ISO 13849-1:1999(F)
---------------------- Page: 1 ----------------------
ISO 13849-1:1999(F)
Sommaire
Page
1 Domaine d'application.1
2 Références normatives .1
3 Termes et définitions.2
4 Considérations générales.3
4.1 Objectifs de sécurité lors de la conception .3
4.2 Stratégie générale de conception .3
4.3 Procédure de sélection et de conception des mesures de sécurité.5
4.4 Principes de conception ergonomique .7
5 Caractéristiques des fonctions de sécurité .7
5.1 Généralités .7
5.2 Fonction d'arrêt.7
5.3 Fonction d'arrêt d'urgence.8
5.4 Réarmement manuel.8
5.5 Mise en marche et remise en marche .8
5.6 Temps de réponse .9
5.7 Paramètres relatifs à la sécurité.9
5.8 Fonction de commande locale .9
5.9 Inhibition.9
5.10 Neutralisation manuelle des fonctions de sécurité.9
5.11 Variations, perte et rétablissement de l'alimentation en énergie.10
6 Catégories .10
6.1 Généralités .10
© ISO 1999
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque
forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
Organisation internationale de normalisation
Case postale 56 • CH-1211 Genève 20 • Suisse
Internet iso@iso.ch
Imprimé en Suisse
ii
---------------------- Page: 2 ----------------------
© ISO
ISO 13849-1:1999(F)
6.2 Spécifications pour les catégories . 14
6.3 Sélection et combinaison de parties relatives à la sécurité de différentes catégories . 17
7 Prise en compte des défauts. 17
7.1 Généralités . 17
7.2 Exclusion de défauts. 18
8 Validation. 18
8.1 Généralités . 18
8.2 Plan de validation . 19
8.3 Validation par analyse. 19
8.4 Validation par essais . 19
8.5 Rapport de validation. 20
9 Maintenance . 20
10 Informations pour l'utilisation. 20
(informative)
Annexe A Questionnaire pour le processus de conception . 22
Annexe B (informative) Guide de sélection des catégories. 25
Annexe C (informative) Liste de quelques défauts ou défaillances significatifs pour diverses technologies 28
Annexe D (informative) Relation entre sécurité, fiabilité et disponibilité des machines . 30
Bibliographie. 31
iii
---------------------- Page: 3 ----------------------
© ISO
ISO 13849-1:1999(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée aux
comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI, Partie 3.
Les projets de Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des comités
membres votants.
La Norme internationale ISO 13849-1 a été élaborée par le comité technique ISO/TC 199, Sécurité des machines.
L'ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines — Parties des
systèmes de commande relatives à la sécurité :
Partie 1: Principes généraux de conception
Partie 2: Validation, essai, liste de défauts
Les annexes A à D de la présente partie de l'ISO 13849 sont données uniquement à titre d'information.
iv
---------------------- Page: 4 ----------------------
© ISO
ISO 13849-1:1999(F)
Introduction
Des parties des systèmes de commande de machines sont fréquemment affectées à la réalisation des fonctions de
sécurité: elles sont appelées les parties relatives à la sécurité. Ces parties peuvent être constituées de matériels et
de logiciels et assurent les fonctions de sécurité des systèmes de commande. Ces parties peuvent être séparées
ou intégrées au système de commande.
Les performances en cas de défauts éventuels d'une partie de système de commande relative à la sécurité sont,
selon cette norme, réparties en cinq catégories (B, 1, 2, 3, 4) qu'il convient d'utiliser comme points de référence.
Ces catégories (voir 6.2) ne sont pas destinées à être utilisées dans un ordre donné ou suivant une hiérarchie
donnée en ce qui concerne les prescriptions de sécurité.
Ces catégories peuvent s'appliquer pour:
— les systèmes de commande de toutes sortes de machines allant des plus simples, par exemple, des petites
machines de cuisine, aux installations de production complexes comme des machines de conditionnement,
machines à imprimer, presses;
— les systèmes de commande des équipements de protection, tels que les dispositifs de commande bimanuelle,
les dispositifs de verrouillage, les dispositifs de protection électrosensibles (par exemple barrages immatériels)
et les tapis sensibles à la pression.
La catégorie choisie dépend de la machine et du degré d'utilisation des dispositifs de commande pour les mesures
de protection.
Lors de la sélection d'une catégorie et de la conception d'une partie d'un système de commande relative à la
sécurité, le concepteur est tenu de déclarer de façon non limitative les informations suivantes concernant cette
partie relative à la sécurité:
— la ou les catégories choisies;
— les caractéristiques fonctionnelles;
— le rôle précis qu'elle joue dans la ou les mesures de protection de la machine;
— les limites exactes (voir 3.1);
— tous les défauts relatifs à la sécurité pris en compte;
— les défauts relatifs à la sécurité non retenus par exclusion de défaut et les mesures employées pour permettre
leur exclusion;
— les paramètres relatifs à la fiabilité, tels que les conditions d'environnement;
— la ou les technologies employées.
L'utilisation des catégories comme points de référence et cette déclaration du raisonnement suivi lors de la
conception visent à assurer la souplesse d'utilisation de la présente norme. L'objectif est de fournir une base claire
permettant l'évaluation de la conception et des performances de toute application de parties d'un système de
commande relatives à la sécurité (et de la machine), par exemple par une tierce partie, en interne ou par un
laboratoire d'essai indépendant.
v
---------------------- Page: 5 ----------------------
© ISO
ISO 13849-1:1999(F)
La présente partie de l'ISO 13849 a été préparée en vue d'être une norme harmonisée au sens de la Directive
Machines de l'Union Européenne et des réglementations de l'Association Européenne de Libre Echange (AELE) qui
y sont associées.
La Norme internationale ISO 13849-1 est basée sur l'EN 954-1:1996, publiée par le Comité européen de
normalisation (CEN).
L'attention est attirée sur le fait que le groupe de travail du CEN/TC 114 responsable de l'élaboration de
l'EN 954-1:1996, a preparé un guide concernant l'application de l'EN 954-1 qui a été publié par le CEN sous forme
de CR 954-100. L'ISO/TC 199 a été d'accord que le Rapport du CEN soit publié sous forme de Rapport technique
ISO (type 3) afin de donner les mêmes explications pour l'ISO 13849-1.
vi
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE © ISO ISO 13849-1:1999(F)
Sécurité des machines — Parties des systèmes de commande
relatives à la sécurité —
Partie 1:
Principes généraux de conception
1 Domaine d'application
La présente partie de l'ISO 13849 fournit des prescriptions de sécurité et des lignes directrices sur les principes de
conception des parties des systèmes de commande relatives à la sécurité. Pour ces parties, elle spécifie des
catégories et décrit les caractéristiques de leurs fonctions de sécurité, y compris les systèmes programmables pour
toutes les machines et pour leurs dispositifs de protection.
La présente partie de l'ISO 13849 s'applique à toutes les parties des systèmes de commande relatives à la sécurité,
indépendamment du type d'énergie utilisée, par exemple électrique, hydraulique, pneumatique, mécanique. Elle ne
spécifie pas quelles fonctions de sécurité et quelles catégories doivent être utilisées dans un cas particulier.
La présente partie de l'ISO 13849 s'applique à tous les usages de machines, professionnels ou non. Elle peut,
également, si cela est opportun, être appliquée pour des parties de systèmes de commande relatives à la sécurité,
utilisées à d'autres fins techniques.
NOTE Voir ISO/TR 12100-1:1992, 3.11.
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence qui y est faite,
constituent des dispositions valables pour la présente partie de l'ISO 13849. Pour les références datées, les
amendements ultérieurs ou les révisions de ces publications ne s’appliquent pas. Toutefois, les parties prenantes
des accords fondés sur la présente partie de l'ISO 13849 sont invitées à rechercher la possibilité d'appliquer les
éditions les plus récentes des documents normatifs indiqués ci-après. Pour les références non datées, la dernière
édition du document normatif en référence s’applique. Les membres de la CEI et de l'ISO possèdent le registre des
Normes internationales en vigueur.
ISO 7731:1986, Signaux de danger pour les lieux de travail — Signaux auditifs.
ISO 11428:1996, Ergonomie — Signaux visuels de danger — Exigences générales, conception et essais.
ISO 11429:1996, Ergonomie — Système de signaux auditifs et visuels de danger et d'information.
ISO/TR 12100-1:1992, Sécurité des machines — Notions fondamentales — Principes généraux de conception —
Partie 1: Terminologie de base, méthodologie.
ISO/TR 12100-2:1992, Sécurité des machines — Notions fondamentales — Principes généraux de conception —
Partie 2: Principes techniques et spécifications.
ISO 13850:1996, Sécurité des machines — Arrêt d'urgence — Principes de conception.
ISO 14118, Sécurité des machines — Prévention de la mise en marche intempestive.
1
---------------------- Page: 7 ----------------------
© ISO
ISO 13849-1:1999(F)
ISO 14121,
Sécurité des machines — Principes pour l'appréciation du risque.
CEI 60050 (191):1990, Vocabulaire électrotechnique international — Chapitre 191: Sûreté de fonctionnement et
qualité de service.
CEI 60204-1:1992, Equipement électrique des machines industrielles — Partie 1: Règles générales.
CEI 60447:1993, Interface homme-machine (IHM) — Principes de manœuvre.
CEI 60529:1989, Degrés de protection procurés par les enveloppes (code IP).
CEI 60721-3-0:1984 + A1:1987, Classification des conditions d'environnement — Partie 3: Classification des
groupements des agents d'environnement et de leurs sévérités — Introduction.
EN 292-2:1991/A1:1995, Sécurité des machines — Notions fondamentales — Principes généraux de conception —
Partie 2: Principes techniques et spécifications.
EN 614-1:1995, Sécurité des machines — Principes ergonomiques de conception — Partie 1: Terminologie et
principes généraux.
EN 982:1996, Sécurité des machines — Prescriptions de sécurité relative aux systèmes et leur composants de
transmission hydrauliques et pneumatiques — Hydraulique.
EN 983:1996, Sécurité des machines — Prescriptions de sécurité relative aux systèmes et leur composants de
transmission hydrauliques et pneumatiques — Pneumatique.
EN 999:1998, Sécurité des machines — Vitesse d'approche de parties du corps humain pour le
compositionnement des dispositifs de protection.
3 Termes et définitions
Pour les besoins de la présente partie de l'ISO 13849, les termes et définitions donnés dans l'ISO/TR 12100-1et
dans la CEI 60050 (191), ainsi que les termes et définitions suivants s'appliquent.
3.1
partie d'un système de commande relative à la sécurité
partie ou sous-partie(s) d'un système de commande qui répondent à des signaux d'entrée et génèrent des signaux
de sortie relatifs à la sécurité
NOTE Les parties combinées d'un système de commande relatives à la sécurité commencent aux points où les signaux
relatifs à la sécurité sont générés et se terminent à la sortie des éléments de commande de puissance (voir également
l'ISO/TR 12100-1:1992, annexe A). Cela inclut également des systèmes de surveillance.
3.2
catégorie
classification des parties d'un système de commande relatives à la sécurité liée à leur résistance aux défauts et à
leur comportement subséquent sous défauts
NOTE Un tel comportement est obtenu par la structure des parties et/ou leur fiabilité.
3.3
sécurité des systèmes de commande
aptitude des parties relatives à la sécurité d'un système de commande à exécuter leur(s) fonction(s) de sécurité
pendant un temps donné, conformément à la catégorie qui leur a été attribuée
3.4
défaut
état d'une entité inapte à accomplir une fonction requise, non comprise l'inaptitude due à la maintenance préventive
ou à d'autres actions programmées ou due à un manque de moyens extérieurs
2
---------------------- Page: 8 ----------------------
© ISO
ISO 13849-1:1999(F)
NOTE 1 Un défaut est souvent la conséquence d'une défaillance de l'entité elle-même, mais peut exister sans défaillance
préalable.
NOTE 2 En anglais le terme "fault" et sa définition sont identiques à ceux donnés dans la CEI 60050(191):1990, VEI 191-05-
01. Dans le domaine des machines, en français et en allemand, on utilise les termes "défaut" et "Fehler" de préférence aux
termes "panne" et "Fehlzustand" qui sont donnés avec la même définition.
3.5
défaillance
cessation de l'aptitude d'une entité à accomplir une fonction requise
NOTE 1 Après défaillance d'une entité, cette entité a un défaut.
NOTE 2 Une défaillance est un passage d'un état à un autre, par opposition à un défaut, qui est un état.
NOTE 3 La notion de défaillance, telle qu'elle est définie, ne s'applique pas à une entité constituée seulement de logiciel.
[CEI 60050(191), VEI 191-04-01]
NOTE 4 En pratique, les termes "défaut" et "défaillance" sont souvent utilisés comme des synonymes.
3.6
fonction de sécurité des systèmes de commande
fonction initiée par un signal d'entrée et traitée par les parties du système de commande relatives à la sécurité
conduisant la machine (en tant que système) à atteindre un état sûr
3.7
inhibition
interruption automatique et temporaire de fonction(s) de sécurité par des parties du système de commande
relatives à la sécurité
3.8
réarmement manuel
fonction interne aux parties du système de commande relatives à la sécurité permettant de rétablir manuellement
des fonctions de sécurité données avant le redémarrage d'une machine
4 Considérations générales
4.1 Objectifs de sécurité lors de la conception
Les parties d'un système de commande relatives à la sécurité assurant les fonctions de sécurité doivent être
conçues et construites de façon à ce que les principes de l'ISO 14121 soient pleinement pris en compte:
lors de toute utilisation normale et lors du mauvais usage prévisible;
en cas de défauts;
en cas d'erreurs humaines prévisibles durant l'utilisation normale de la machine dans sa globalité.
4.2 Stratégie générale de conception
À partir de l'appréciation du risque (voir l'ISO 14121) au niveau de la machine, le concepteur doit décider de la
contribution à la réduction du risque que doit apporter chacune des parties d'un système de commande relatives à
la sécurité (voir annexe B). Cette contribution ne couvre pas le risque global des machines commandées, par
exemple le risque global présenté par une presse mécanique ou une machine à laver n'est pas pris en compte,
mais seulement la partie du risque qui est réduite par l'application de fonctions de sécurité particulières. La fonction
d'arrêt déclenchée par un dispositif de protection électrosensible sur une presse ou la fonction de fermeture de la
porte d'une machine à laver constituent des exemples de ces fonctions.
3
---------------------- Page: 9 ----------------------
© ISO
ISO 13849-1:1999(F)
L'objectif clé est que le concepteur doit garantir que les parties d'un système de commande relatives à la sécurité
produisent des sorties qui réalisent les objectifs de réduction du risque de l'ISO 14121. Cela n'est pas toujours
possible et en pareil cas le concepteur doit prévoir d'autres mesures de sécurité. L'ISO/TR 12100-1:1992, article 5,
hiérarchise la stratégie de réduction des risques.
La catégorie et d'autres caractéristiques, par exemple l'emplacement physique des parties et l'isolation, choisies par
le concepteur pour les parties relatives à la sécurité dépendent de la contribution apportée par ces parties à la
réduction du risque, de la conception et de la technologie (voir Introduction). Le concepteur doit déclarer:
la ou les catégories servant de point(s) de référence pour la conception;
les points précis où commencent la ou les parties relatives à la sécurité et où elle(s) se termine(nt);
le raisonnement suivi lors de la conception, par exemple les défauts pris en compte et les défauts exclus pour
atteindre la ou les catégories.
Plus la réduction du risque est dépendante des parties d'un système de commande relatives à la sécurité, plus
l'aptitude de ces parties à résister aux défauts exige d'être élevée. Cette aptitude — en supposant que la fonction
requise est accomplie — peut être en partie quantifiée par des valeurs de fiabilité et par une structure résistant aux
défauts. La fiabilité, comme la structure, contribuent à assurer la résistance aux défauts des parties relatives à la
sécurité. Une résistance déterminée aux défauts peut être obtenue en spécifiant les niveaux de fiabilité des
composants et/ou en améliorant les structures des parties relatives à la sécurité. La contribution de la fiabilité et de
la structure peut varier en fonction de la technologie utilisée. Par exemple, des parties relatives à la sécurité
réalisées en canal unique et d'excellente fiabilité dans une technologie peuvent résister aux défauts aussi bien ou
mieux qu'une structure tolérante aux défauts de moindre fiabilité dans une technologie différente.
NOTE La probabilité d'une défaillance des parties relatives à la sécurité dans l'accomplissement des fonctions de sécurité
requises est d'autant plus faible que la résistance aux défauts des parties relatives à la sécurité est élevée.
La fiabilité et la sécurité sont des concepts différents (voir annexe D). Il peut se faire, par exemple, qu'un système
comportant des composants relativement "peu fiables" soit, dans une structure redondante, plus sûr qu'un système
ayant une structure plus simple mais comportant des composants plus fiables. Cette notion est importante car la
sécurité doit être la première priorité dans certaines applications indépendamment de la fiabilité, par exemple
lorsque les conséquences d'une défaillance sont toujours graves et normalement irréversibles. Dans ce type
d'application, une structure de détection des défauts (tolérant un défaut par cycle) remplissant la fonction de
sécurité requise après un ou deux défauts ou plus doit être prévue conformément à l'appréciation du risque.
La présente partie de l'ISO 13849 n'exige pas le calcul de valeurs de fiabilité pour les structures complexes où la
sécurité est essentiellement obtenue en améliorant la structure des parties relatives à la sécurité. Pour les
structures moins complexes, où la fiabilité des composants est importante pour la sécurité, le calcul des valeurs de
fiabilité est un indicateur utile de la contribution à la réduction du risque global des parties relatives à la sécurité.
Dans le cas d'applications à faible risque, des mesures destinées à éviter les défauts peuvent être appropriées;
pour les applications à plus haut risque, l'amélioration de la structure des parties d'un système de commande
relatives à la sécurité peut fournir des moyens pour éviter, détecter ou tolérer des défauts. Les mesures pratiques
comportent la redondance, la diversité, la surveillance (voir également l'ISO/TR 12100-2:1992, article 3,
l'EN 292-2:1991/A1:1995, annexe A et la CEI 60204-1:1992, 9.4).
La résistance aux défauts atteinte par les parties du système de commande relatives à la sécurité dépend de
nombreux paramètres incluant par exemple:
la fiabilité en ce qui concerne l'accomplissement des fonctions de sécurité;
la structure (ou l'architecture) du système de commande;
la qualité de la documentation relative à la sécurité;
l'exhaustivité des spécifications;
la conception, la construction et la maintenance;
la qualité et la précision du logiciel;
4
---------------------- Page: 10 ----------------------
© ISO
ISO 13849-1:1999(F)
l'étendue des essais fonctionnels;
les caractéristiques de fonctionnement de la machine ou de partie de machine commandée.
Ces paramètres peuvent être regroupés sous trois caractéristiques principales:
la fiabilité du matériel: le niveau de fiabilité des composants pour éviter les défauts;
la structure du système: la combinaison des composants dans la partie du système de commande relative à la
sécurité pour éviter, tolérer ou détecter les défauts;
les aspects qualitatifs non quantifiables affectant le comportement de la partie du système de commande
relative à la sécurité.
4.3 Procédure de sélection et de conception des mesures de sécurité
4.3.1 Généralités
Ce paragraphe fixe une procédure de sélection des mesures de protection à prévoir et lors de la conception des
parties du système de commande relatives à la sécurité. Il est important que les interfaces entre les parties du
système de commande relatives à la sécurité, celles non relatives à la sécurité et toutes les autres parties de la
machine soient identifiées. Alors la contribution à la réduction du risque apportée par les parties relatives à la
sécurité peut être spécifiée conformément à l'appréciation du risque de la machine effectuée selon l'ISO 14121.
Etant donné qu'il y a de nombreuses façons de réduire le risque d'une machine et de nombreuses façons de
concevoir les parties du système de commande relatives à la sécurité, cette procédure est itérative. Les décisions
prises et/ou suppositions faites à tout moment lors de la procédure peuvent affecter les décisions prises et/ou
suppositions faites précédemment. Cet aspect peut être contrôlé en réitérant la procédure à tout moment. Un tel
contrôle dans l'étape de validation est essentiel pour s'assurer que la performance de sécurité est bien celle qui est
fixée dans la spécification.
La procédure est illustrée en Figure 1. Les aspects importants qu'il convient d'étudier lors de la procédure de
conception sont énumérés sous forme de questions dans l'annexe A pour servir de rappel au concepteur. Ces
questions illustrent la philosophie qu'il y a lieu de suivre lors de la conception des parties relatives à la sécurité. Les
questions ne s'appliquent pas toutes dans chaque cas. Certaines applications nécessitent des questions
supplémentaires.
4.3.2 Étape 1: Analyse des phénomènes dangereux et appréciation du risque
Identifier les phénomènes dangereux présents sur la machine pour tous les modes de fonctionnement et à chaque
étape de la vie de la machine en suivant les recommandations de l'ISO/TR 12100-1 et de l'ISO 14121.
Estimer le risque provenant de ces phénomènes dangereux et décider la réduction du risque appropriée pour cette
application selon l'ISO/TR 12100-1 et l'ISO 14121.
4.3.3 Étape 2: Décider les mesures propres à réduire le risque au moyen du système de commande
Décider les mesures de conception de la machine et/ou prévoir des dispositifs de protection propre à assurer la
réduction du risque. Les parties du système de commande faisant partie intégrante des mesures de conception et/ou
agissant sur les dispositifs de protection doivent être considérées comme parties relatives à la sécurité.
4.3.4 Étape 3: Spécifier les prescriptions de sécurité pour les parties du système de commande relatives à
la sécurité
Spécifier les fonctions de sécurité (voir article 5 et autres documents référencés) à prévoir dans le système de
commande. Le Tableau 1 énumère la référence de base pour les fonctions de sécurité les plus courantes et les
caractéristiques qui doivent être incluses si une fonction de sécurité particulière est sélectionnée.
Spécifier comment les fonctions de sécurité seront réalisées et choisir la ou les catégories pour chaque partie et
combinaison de parties relative(s) à la sécurité (voir article 6).
5
---------------------- Page: 11 ----------------------
© ISO
ISO 13849-1:1999(F)
Figure 1 — Procédure itérative pour la conception des parties de systèmes de commande
relatives à la sécurité
4.3.5 Étape 4: Conception
Concevoir les parties du système de commande relatives à la sécurité conformément aux spécifications de l'étape 3
et à la stratégie générale de conception décrite en 4.2. Établir la liste des caractéristiques incluses
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.