Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design (ISO 13849-1:2006)

ISO 13849-1:2006 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case.
ISO 13849-1:2006 provides specific requirements for SRP/CS using programmable electronic system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used.

Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze (ISO 13849-1:2006)

Dieser Teil der ISO 13849 stellt Sicherheitsanforderungen und einen Leitfaden für die Prinzipien der Gestaltung und Integration sicherheitsbezogener Teile von Steuerungen (SRP/CS) bereit, einschließlich der Entwicklung von Software. Für diese Teile der SRP/CS werden Eigenschaften, einschließlich des Performance Levels, festgelegt, die zur Ausführung der entsprechenden Sicherheitsfunktionen erforderlich sind. Er ist anzuwenden auf SRP/CS aller Arten von Maschinen, ungeachtet der verwendeten Technologie und Energie (elektrisch, hydraulisch, pneumatisch, mechanisch usw.).
Er legt nicht fest, welche Sicherheitsfunktionen oder Performance Level für einen speziellen Fall verwendet werden.
Dieser Teil der ISO 13849 stellt spezielle Anforderungen für SRP/CS mit programmierbar elektronischen Systemen bereit.
Er stellt keine speziellen Anforderungen an den Entwurf von Produkten, die Teile von SRP/CS sind. Trotzdem können die angegebenen Prinzipien, wie Kategorien oder Performance Level, verwendet werden.
ANMERKUNG 1   Beispiele von Produkten, die Teile von SRP/CS sind: Relais, Magnetventile, Positionsschalter, PLC(en), Antriebssteuerungen, Zweihandschaltungen, druckempfindliche Schutzeinrichtungen. Für den Entwurf solcher Produkte ist es wichtig, sich auf spezielle anwendbare Internationale Normen zu beziehen, z. B. ISO 13851, ISO 13856-1 und ISO 13856-2.
ANMERKUNG 2   Für die Definition des erforderlichen Performance Levels, siehe 3.1.24.
ANMERKUNG 3   Die in diesem Teil der ISO 13849 bereitgestellten Anforderungen für programmierbare elektronische Systeme sind kompatibel mit der Methodik für Gestaltung und Entwicklung sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungen für Maschinen in der IEC 62061.
ANMERKUNG 4   Für sicherheitsbezogene Embedded-Software in Komponenten mit PLr = e, siehe IEC 61508-3:1998, Abschnitt 7.
ANMERKUNG 5   Siehe auch Tabelle 1.

Sécurité des machines - Parties des systèmes de commande relatives à la sécurité - Partie 1: Principes généraux de conception (ISO 13849-1:2006)

L'ISO 13849-1:2006 fournit des exigences de sécurité et des conseils relatifs aux principes de conception et d'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau de performance requis, pour réaliser ces fonctions de sécurité. Elle s'applique aux SRP/CS de tous les types de machines, indépendamment de la technologie et du type d'énergie utilisés (électrique, hydraulique, pneumatique, mécanique, etc.). Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés dans un cas particulier.
L'ISO 13849-1:2006 fournit des exigences spécifiques pour les SRP/CS utilisant un (des) système(s) électronique(s) programmable(s).
Elle ne donne pas d'exigences spécifiques pour la conception de composants intégrés dans les SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance, peuvent être utilisés.

Varnost strojev - Z varnostjo povezani deli krmilnih sistemov - 1. del: Splošna načela za načrtovanje (ISO 13849-1:2006)

General Information

Status
Withdrawn
Publication Date
10-Jun-2008
Withdrawal Date
13-Apr-2025
ICS
13.110 - Safety of machinery
Technical Committee
CEN/TC 114 - Safety of machinery
Drafting Committee
CEN/TC 114/WG 6 - Safe control systems
Current Stage
9960 - Withdrawal effective - Withdrawal
Start Date
23-Dec-2015
Completion Date
14-Apr-2025
Directive
2006/42/EC - Directive 2006/42/EC of the European Parliament and of the Council of 17 May 2006 on machinery, and amending Directive 95/16/EC (recast)
98/37/EC - Machinery
Mandate
M/079 - Mandate to CEN and CENELEC for standardization in the field of machines
M/396 - Mandate to CEN and Cenelec for standardisation in the field of machinery
Ref Project
SIST EN ISO 13849-1:2008 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design (ISO 13849-1:2006)

Relations

Replaces
EN 954-1:1996 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
Effective Date
20-Nov-2013
Replaces
EN ISO 13849-1:2006 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design (ISO 13849-1:2006)
Effective Date
22-Dec-2008
Replaced By
EN ISO 13849-1:2015 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design (ISO 13849-1:2015)
Effective Date
08-Jun-2022
Corrected By
EN ISO 13849-1:2008/AC:2009 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design (ISO 13849-1:2006/Cor 1:2009)
Effective Date
08-Jun-2022
EN ISO 13849-1:2008 (EN) - Page 3 previewEN ISO 13849-1:2008 (EN) - Page 1 previewEN ISO 13849-1:2008 (EN) - Page 2 previewEN ISO 13849-1:2008 (EN) - Page 4 preview
PreviousNext
Standard

EN ISO 13849-1:2008 (EN)

English language
97 pages
Preview
Preview
e-Library read for
1 day
EN ISO 13849-1:2008 (DE) - Page 3 previewEN ISO 13849-1:2008 (DE) - Page 1 previewEN ISO 13849-1:2008 (DE) - Page 2 previewEN ISO 13849-1:2008 (DE) - Page 4 preview
PreviousNext
Standard

EN ISO 13849-1:2008 (DE)

German language
96 pages
Preview
Preview
e-Library read for
1 day

Frequently Asked Questions

EN ISO 13849-1:2008 is a standard published by the European Committee for Standardization (CEN). Its full title is "Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design (ISO 13849-1:2006)". This standard covers: ISO 13849-1:2006 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. ISO 13849-1:2006 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used.

ISO 13849-1:2006 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. ISO 13849-1:2006 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used.

EN ISO 13849-1:2008 is classified under the following ICS (International Classification for Standards) categories: 13.110 - Safety of machinery. The ICS classification helps identify the subject area and facilitates finding related standards.

EN ISO 13849-1:2008 has the following relationships with other standards: It is inter standard links to EN 954-1:1996, EN ISO 13849-1:2006, EN ISO 13849-1:2015, EN ISO 13849-1:2008/AC:2009. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

EN ISO 13849-1:2008 is associated with the following European legislation: EU Directives/Regulations: 2006/42/EC, 98/37/EC; Standardization Mandates: M/079, M/396. When a standard is cited in the Official Journal of the European Union, products manufactured in conformity with it benefit from a presumption of conformity with the essential requirements of the corresponding EU directive or regulation.

You can purchase EN ISO 13849-1:2008 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of CEN standards.

Standards Content (Sample)


SLOVENSKI STANDARD
01-oktober-2008
1DGRPHãþD
SIST EN ISO 13849-1:2007
9DUQRVWVWURMHY=YDUQRVWMRSRYH]DQLGHOLNUPLOQLKVLVWHPRYGHO6SORãQD
QDþHOD]DQDþUWRYDQMH ,62
Safety of machinery - Safety-related parts of control systems - Part 1: General principles
for design (ISO 13849-1:2006)
Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1:
Allgemeine Gestaltungsleitsätze (ISO 13849-1:2006)
Sécurité des machines - Parties des systèmes de commande relatives à la sécurité -
Partie 1: Principes généraux de conception (ISO 13849-1:2006)
Ta slovenski standard je istoveten z: EN ISO 13849-1:2008
ICS:
13.110 Varnost strojev Safety of machinery
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

EUROPEAN STANDARD
EN ISO 13849-1
NORME EUROPÉENNE
EUROPÄISCHE NORM
June 2008
ICS 13.110 Supersedes EN ISO 13849-1:2006
English Version
Safety of machinery - Safety-related parts of control systems -
Part 1: General principles for design (ISO 13849-1:2006)
Sécurité des machines - Parties des systèmes de Sicherheit von Maschinen - Sicherheitsbezogene Teile von
commande relatives à la sécurité - Partie 1: Principes Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze (ISO
généraux de conception (ISO 13849-1:2006) 13849-1:2006)
This European Standard was approved by CEN on 18 May 2008.
CEN members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European
Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical references concerning such national
standards may be obtained on application to the CEN Management Centre or to any CEN member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by translation
under the responsibility of a CEN member into its own language and notified to the CEN Management Centre has the same status as the
official versions.
CEN members are the national standards bodies of Austria, Belgium, Bulgaria, Cyprus, Czech Republic, Denmark, Estonia, Finland,
France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal,
Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland and United Kingdom.
EUROPEAN COMMITTEE FOR STANDARDIZATION
COMITÉ EUROPÉEN DE NORMALISATION
EUROPÄISCHES KOMITEE FÜR NORMUNG
Management Centre: rue de Stassart, 36  B-1050 Brussels
© 2008 CEN All rights of exploitation in any form and by any means reserved Ref. No. EN ISO 13849-1:2008: E
worldwide for CEN national Members.

Contents Page
Foreword.3
Annex ZA (informative)  Relationship between this European Standard and the Essential
Requirements of EU Directive 98/37/EC, amended by Directive 98/79/EC .4
Annex ZB (informative) Relationship between this European Standard and the Essential
Requirements of EU Directive 2006/42/EC .5

Foreword
The text of ISO 13849-1:2006 has been prepared by Technical Committee ISO/TC 199 “Safety of machinery”
of the International Organization for Standardization (ISO) and has been taken over as EN ISO 13849-1:2008
by Technical Committee CEN/TC 114 “Safety of machinery” the secretariat of which is held by DIN.
This European Standard shall be given the status of a national standard, either by publication of an identical
text or by endorsement, at the latest by December 2008, and conflicting national standards shall be withdrawn
at the latest by December 2009.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. CEN [and/or CENELEC] shall not be held responsible for identifying any or all such patent rights.
This document supersedes EN ISO 13849-1:2006.
This document has been prepared under a mandate given to CEN by the European Commission and the
European Free Trade Association, and supports essential requirements of EC Directive(s).
For relationship with EC Directive(s), see informative Annexes ZA and ZB, which are integral part of this
document.
According to the CEN/CENELEC Internal Regulations, the national standards organizations of the following
countries are bound to implement this European Standard: Austria, Belgium, Bulgaria, Cyprus, Czech
Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia,
Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain,
Sweden, Switzerland and the United Kingdom.
Endorsement notice
The text of ISO 13849-1:2006 has been approved by CEN as a EN ISO 13849-1:2008 without any
modification.
Annex ZA
(informative)
Relationship between this European Standard and the Essential
Requirements of EU Directive 98/37/EC, amended by Directive 98/79/EC
This European Standard has been prepared under a mandate given to CEN by the European Commission
and the European Free Trade Association to provide a means of conforming to Essential Requirements of the
New Approach Directive 98/37/EC, amended by Directive 98/79/EC.
Once this standard is cited in the Official Journal of the European Communities under that Directive and has
been implemented as a national standard in at least one Member State, compliance with the normative
clauses of this standard confers, within the limits of the scope of this standard, a presumption of conformity
with Essential Requirements 1.2.1 and 1.2.7 of Annex I of that Directive and associated EFTA regulations.
WARNING: Other requirements and other EU Directives may be applicable to the products falling within the
scope of this standard.
Annex ZB
(informative)
Relationship between this European Standard and the Essential Requirements of
EU Directive 2006/42/EC
This European Standard has been prepared under a mandate given to CEN by the European Commission
and the European Free Trade Association to provide a means of conforming to Essential Requirements of the
New Approach Directive Machinery 2006/42/EC.
Once this standard is cited in the Official Journal of the European Communities under that Directive and has
been implemented as a national standard in at least one Member State, compliance with the normative
clauses of this standard confers, within the limits of the scope of this standard, a presumption of conformity
with Essential Requirements 1.2.1 of Annex I of that Directive and associated EFTA regulations.
WARNING — Other requirements and other EU Directives may be applicable to the product(s) falling within
the scope of this standard.
INTERNATIONAL ISO
STANDARD 13849-1
Second edition
2006-11-01
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception

Reference number
ISO 13849-1:2006(E)
©
ISO 2006
ISO 13849-1:2006(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

©  ISO 2006
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2006 – All rights reserved

ISO 13849-1:2006(E)
Contents Page
Foreword. v
Introduction . vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms. 2
3.1 Terms and definitions. 2
3.2 Symbols and abbreviated terms . 8
4 Design considerations . 9
4.1 Safety objectives in design. 9
4.2 Strategy for risk reduction. 11
4.2.1 General. 11
4.2.2 Contribution to the risk reduction by the control system . 11
4.3 Determination of required performance level (PL ). 14
r
4.4 Design of SRP/CS . 14
4.5 Evaluation of the achieved performance level PL and relationship with SIL. 15
4.5.1 Performance level PL . 15
4.5.2 Mean time to dangerous failure of each channel (MTTF ) . 17
d
4.5.3 Diagnostic coverage (DC) . 18
4.5.4 Simplified procedure for estimating PL. 18
4.6 Software safety requirements . 21
4.6.1 General. 21
4.6.2 Safety-related embedded software (SRESW) . 21
4.6.3 Safety-related application software (SRASW) . 22
4.6.4 Software-based parameterization . 25
4.7 Verification that achieved PL meets PL . 26
r
4.8 Ergonomic aspects of design. 26
5 Safety functions . 26
5.1 Specification of safety functions . 26
5.2 Details of safety functions . 28
5.2.1 Safety-related stop function . 28
5.2.2 Manual reset function. 29
5.2.3 Start/restart function . 29
5.2.4 Local control function . 30
5.2.5 Muting function. 30
5.2.6 Response time . 30
5.2.7 Safety–related parameters. 30
5.2.8 Fluctuations, loss and restoration of power sources. 31
6 Categories and their relation to MTTF of each channel, DC and CCF. 31
d avg
6.1 General. 31
6.2 Specifications of categories . 32
6.2.1 General. 32
6.2.2 Designated architectures. 32
6.2.3 Category B. 32
6.2.4 Category 1 . 33
6.2.5 Category 2 . 34
6.2.6 Category 3 . 35
6.2.7 Category 4 . 36
6.3 Combination of SRP/CS to achieve overall PL . 39
ISO 13849-1:2006(E)
7 Fault consideration, fault exclusion. 40
7.1 General . 40
7.2 Fault consideration . 40
7.3 Fault exclusion . 41
8 Validation . 41
9 Maintenance. 41
10 Technical documentation. 41
11 Information for use . 42
Annex A (informative) Determination of required performance level (PL ) . 44
r
Annex B (informative) Block method and safety-related block diagram . 47
Annex C (informative) Calculating or evaluating MTTF values for single components. 49
d
Annex D (informative) Simplified method for estimating MTTF for each channel . 57
d
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and modules. 59
Annex F (informative) Estimates for common cause failure (CCF). 62
Annex G (informative) Systematic failure . 64
Annex H (informative) Example of combination of several safety-related parts of the control
system . 67
Annex I (informative) Examples . 70
Annex J (informative) Software.77
Annex K (informative) Numerical representation of Figure 5 . 80
Bibliography . 83

iv © ISO 2006 – All rights reserved

ISO 13849-1:2006(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 13849-1 was prepared by the European Committee for Standardization (CEN) Technical Committee
CEN/TC 114, Safety of machinery, in collaboration with Technical Committee ISO/TC 199, Safety of
machinery, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO ISO 13849-1:1999), which has been technically
revised.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related parts
of control systems:
⎯ Part 1: General principles for design
⎯ Part 2: Validation
⎯ Part 100: Guidelines for the use and application of ISO 13849-1 [Technical Report]
ISO 13849-1:2006(E)
Introduction
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects that
can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
⎯ type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
⎯ type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure sensitive
devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a particular
machine or group of machines.
This part of ISO 13849 is a type-B-1 standard as stated in ISO 12100-1.
When provisions of a type-C standard are different from those which are stated in type-A or type-B standards,
the provisions of the type-C standard take precedence over the provisions of the other standards for machines
that have been designed and built according to the provisions of the type-C standard.
This part of ISO 13849 is intended to give guidance to those involved in the design and assessment of control
systems, and to Technical Committees preparing Type-B2 or Type-C standards which are presumed to
comply with the Essential Safety Requirements of Annex I of the Council Directive 98/37/EC, The Machinery
Directive. It does not give specific guidance for compliance with other EC directives.
As part of the overall risk reduction strategy at a machine, a designer will often choose to achieve some
measure of risk reduction through the application of safeguards employing one or more safety functions.
Parts of machinery control systems that are assigned to provide safety functions are called safety-related
parts of control systems (SRP/CS) and these can consist of hardware and software and can either be
separate from the machine control system or an integral part of it. In addition to providing safety functions,
SRP/CS can also provide operational functions (e.g. two-handed controls as a means of process initiation).
The ability of safety-related parts of control systems to perform a safety function under foreseeable conditions
is allocated one of five levels, called performance levels (PL). These performance levels are defined in terms
of probability of dangerous failure per hour (see Table 3).
The probability of dangerous failure of the safety function depends on several factors, including hardware and
software structure, the extent of fault detection mechanisms [diagnostic coverage (DC)], reliability of
components [mean time to dangerous failure (MTTF ), common cause failure (CCF)], design process,
d
operating stress, environmental conditions and operation procedures.
In order to assist the designer and help facilitate the assessment of achieved PL, this document employs a
methodology based on the categorization of structures according to specific design criteria and specified
behaviours under fault conditions. These categories are allocated one of five levels, termed Categories B, 1, 2,
3 and 4.
vi © ISO 2006 – All rights reserved

ISO 13849-1:2006(E)
The performance levels and categories can be applied to safety-related parts of control systems, such as
⎯ protective devices (e.g. two-hand control devices, interlocking devices), electro-sensitive protective
devices (e.g. photoelectric barriers), pressure sensitive devices,
⎯ control units (e.g. a logic unit for control functions, data processing, monitoring, etc.), and
⎯ power control elements (e.g. relays, valves, etc),
as well as to control systems carrying out safety functions at all kinds of machinery — from simple (e.g. small
kitchen machines, or automatic doors and gates) to manufacturing installations (e.g. packaging machines,
printing machines, presses).
This part of ISO 13849 is intended to provide a clear basis upon which the design and performance of any
application of the SRP/CS (and the machine) can be assessed, for example, by a third party, in-house or by
an independent test house.
Information on the recommended application of IEC 62061 and this part of ISO 13849
IEC 62061 and this part of ISO 13849 specify requirements for the design and implementation of safety-
related control systems of machinery. The use of either of these International Standards, in accordance with
their scopes, can be presumed to fulfil the relevant essential safety requirements. The following table
summarizes the scopes of IEC 62061 and this part of ISO 13849.
Table 1 — Recommended application of IEC 62061 and ISO 13849-1
Technology implementing the
ISO 13849-1 IEC 62061
safety-related control function(s)
A Non-electrical, e.g. hydraulics X Not covered
B Electromechanical, e.g. relays, Restricted to designated All architectures and up to SIL 3
a
and/or non complex electronics
architectures and up to PL = e
C Complex electronics, e.g. Restricted to designated All architectures and up to SIL 3
a
programmable
architectures and up to PL = d
D A combined with B Restricted to designated
c
X
a
architectures and up to PL = e
E C combined with B Restricted to designated All architectures and up to SIL 3
architectures (see Note 1) and up to
PL = d
F C combined with A, or C
b c
X X
combined with A and B
X indicates that this item is dealt with by the International Standard shown in the column heading.
a
Designated architectures are defined in 6.2 in order to give a simplified approach for quantification of performance level.
b
For complex electronics: use designated architectures according to this part of ISO 13849 up to PL = d or any architecture
according to IEC 62061.
c
For non-electrical technology, use parts in accordance with this part of ISO 13849 as subsystems.

INTERNATIONAL STANDARD ISO 13849-1:2006(E)

Safety of machinery — Safety-related parts of control
systems —
Part 1:
General principles for design
1 Scope
This part of ISO 13849 provides safety requirements and guidance on the principles for the design and
integration of safety-related parts of control systems (SRP/CS), including the design of software. For these
parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety
functions. It applies to SRP/CS, regardless of the type of technology and energy used (electrical, hydraulic,
pneumatic, mechanical, etc.), for all kinds of machinery.
It does not specify the safety functions or performance levels that are to be used in a particular case.
This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the
principles given, such as categories or performance levels, can be used.
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor
control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to
refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856-1 and ISO 13856-2.
NOTE 2 For the definition of required performance level, see 3.1.24.
NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are compatible with
the methodology for the design and development of safety-related electrical, electronic and programmable electronic
control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PL = e see IEC 61508-3:1998, Clause 7.
r
NOTE 5 See also Table 1.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 12100-1:2003, Safety of machinery — Basic concepts, general principles for design — Part 1: Basic
terminology, methodology
ISO 12100-2:2003, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles
ISO 13849-2:2003, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
ISO 13849-1:2006(E)
1)
ISO 14121 , Safety of machinery — Principles of risk assessment
IEC 60050-191:1990, International electrotechnical vocabulary — Chapter 191: Dependability and quality of
service, and IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999, Amendment 1 and Amendment 2,
International Electrotechnical Vocabulary. Chapter 191: Dependability and quality of service
IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems -
Part 3: Software requirements, and IEC 61508-3 Corr.1:1999, Corrigendum 1 — Functional safety of
electrical/electronic/programmable electronic safety-related systems — Part 3: Software requirements
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations, and IEC 61508-4 Corr.1:1999, Corrigendum 1 — Functional
safety of electrical/electronic/programmable electronic safety-related systems — Part 4: Definitions and
abbreviations
3 Terms, definitions, symbols and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100-1 and IEC 60050-191 and
the following apply.
3.1.1
safety–related part of a control system
SRP/CS
part of a control system that responds to safety-related input signals and generates safety-related output
signals
NOTE 1 The combined safety-related parts of a control system start at the point where the safety-related input signals
are initiated (including, for example, the actuating cam and the roller of the position switch) and end at the output of the
power control elements (including, for example, the main contacts of a contactor).
NOTE 2 If monitoring systems are used for diagnostics, they are also considered as SRP/CS.
3.1.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and their
subsequent behaviour in the fault condition, and which is achieved by the structural arrangement of the parts,
fault detection and/or by their reliability
3.1.3
fault
state of an item characterized by the inability to perform a required function, excluding the inability during
preventive maintenance or other planned actions, or due to lack of external resources
NOTE 1 A fault is often the result of a failure of the item itself, but may exist without prior failure.
[IEC 60050-191:1990, 05-01]
NOTE 2 In this part of ISO 13849, “fault” means random fault.

1) To be published. (Revision of ISO 14121:1999)
2 © ISO 2006 – All rights reserved

ISO 13849-1:2006(E)
3.1.4
failure
termination of the ability of an item to perform a required function
NOTE 1 After a failure, the item has a fault.
NOTE 2 “Failure” is an event, as distinguished from “fault”, which is a state.
NOTE 3 The concept as defined does not apply to items consisting of software only.
[IEC 60050–191:1990, 04-01]
NOTE 4 Failures which only affect the availability of the process under control are outside of the scope of this part of
ISO 13849.
3.1.5
dangerous failure
failure which has the potential to put the SRP/CS in a hazardous or fail-to-function state
NOTE 1 Whether or not the potential is realized can depend on the channel architecture of the system; in redundant
systems a dangerous hardware failure is less likely to lead to the overall dangerous or fail-to-function state.
NOTE 2 Adapted from IEC 61508-4:1998, definition 3.6.7.
3.1.6
common cause failure
CCF
failures of different items, resulting from a single event, where these failures are not consequences of each
other
[IEC 60050-191-am1:1999, 04-23]
NOTE Common cause failures should not be confused with common mode failures (see ISO 12100-1:2003, 3.34).
3.1.7
systematic failure
failure related in a deterministic way to a certain cause, which can only be eliminated by a modification of the
design or of the manufacturing process, operational procedures, documentation or other relevant factors
NOTE 1 Corrective maintenance without modification will usually not eliminate the failure cause.
NOTE 2 A systematic failure can be induced by simulating the failure cause.
[IEC 60050-191:1990, 04-19]
NOTE 3 Examples of causes of systematic failures include human error in
⎯ the safety requirements specification,
⎯ the design, manufacture, installation, operation of the hardware, and
⎯ the design, implementation, etc., of the software.
3.1.8
muting
temporary automatic suspension of a safety function(s) by the SRP/CS
ISO 13849-1:2006(E)
3.1.9
manual reset
function within the SRP/CS used to restore manually one or more safety functions before re-starting a
machine
3.1.10
harm
physical injury or damage to health
[ISO 12100-1:2003, 3.5]
3.1.11
hazard
potential source of harm
NOTE 1 A hazard can be qualified in order to define its origin (e.g. mechanical hazard, electrical hazard) or the nature
of the potential harm (e.g. electric shock hazard, cutting hazard, toxic hazard, fire hazard).
NOTE 2 The hazard envisaged in this definition:
⎯ either is permanently present during the intended use of the machine (e.g. motion of hazardous moving elements,
electric arc during a welding phase, unhealthy posture, noise emission, high temperature);
⎯ or may appear unexpectedly (e.g. explosion, crushing hazard as a consequence of an unintended/unexpected start-
up, ejection as a consequence of a breakage, fall as a consequence of acceleration/deceleration).
[ISO 12100-1:2003, 3.6]
3.1.12
hazardous situation
circumstance in which a person is exposed to at least one hazard, the exposure having immediately or over a
long period of time the potential to result in harm
[ISO 12100-1:2003, 3.9]
3.1.13
risk
combination of the probability of occurrence of harm and the severity of that harm
[ISO 12100-1:2003, 3.11]
3.1.14
residual risk
risk remaining after protective measures have been taken
See Figure 2.
NOTE Adapted from ISO 12100-1:2003, definition 3.12.
3.1.15
risk assessment
overall process comprising risk analysis and risk evaluation
[ISO 12100-1:2003, 3.13]
3.1.16
risk analysis
combination of the specification of the limits of the machine, hazard identification and risk estimation
[ISO 12100-1:2003, 3.14]
4 © ISO 2006 – All rights reserved

ISO 13849-1:2006(E)
3.1.17
risk evaluation
judgement, on the basis of risk analysis, of whether risk reduction objectives have been achieved
[ISO 12100-1:2003, 3.16]
3.1.18
intended use of a machine
use of the machine in accordance with the information provided in the instructions for use
[ISO 12100-1:2003, 3.22]
3.1.19
reasonably foreseeable misuse
use of a machine in a way not intended by the designer, but which may result from readily predictable human
behaviour
[ISO 12100-1:2003, 3.23]
3.1.20
safety function
function of the machine whose failure can result in an immediate increase of the risk(s)
[ISO 12100-1:2003, 3.28]
3.1.21
monitoring
safety function which ensures that a protective measure is initiated if the ability of a component or an element
to perform its function is diminished or if the process conditions are changed in such a way that a decrease of
the amount of risk reduction is generated
3.1.22
programmable electronic system
PES
system for control, protection or monitoring dependent for its operation on one or more programmable
electronic devices, including all elements of the system such as power supplies, sensors and other input
devices, contactors and other output devices
NOTE Adapted from IEC 61508-4:1998, definition 3.3.2.
3.1.23
performance level
PL
discrete level used to specify the ability of safety-related parts of control systems to perform a safety function
under foreseeable conditions
NOTE See 4.5.1.
3.1.24
required performance level
PL
r
performance level (PL) applied in order to achieve the required risk reduction for each safety function
See Figures 2 and A.1.
3.1.25
mean time to dangerous failure
MTTF
d
expectation of the mean time to dangerous failure
NOTE Adapted from IEC 62061:2005, definition 3.2.34.
ISO 13849-1:2006(E)
3.1.26
diagnostic coverage
DC
measure of the effectiveness of diagnostics, which may be determined as the ratio between the failure rate of
detected dangerous failures and the failure rate of total dangerous failures
NOTE 1 Diagnostic coverage can exist for the whole or parts of a safety-related system. For example, diagnostic
coverage could exist for sensors and/or logic system and/or final elements.
NOTE 2 Adapted from IEC 61508-4:1998, definition 3.8.6.
3.1.27
protective measure
measure intended to achieve risk reduction
EXAMPLE 1 Implemented by the designer: inherent design, safeguarding and complementary protective measures,
information for use.
EXAMPLE 2 Implemented by the user: organization (safe working procedures, supervision, permit-to-work systems),
provision and use of additional safeguards, personal protective equipment, training.
NOTE Adapted from ISO 12100-1:2003, definition 3.18.
3.1.28
mission time
T
M
period of time covering the intended use of an SRP/CS
3.1.29
test rate
r
t
frequency of automatic tests to detect faults in a SRP/CS, reciprocal value of diagnostic test interval
3.1.30
demand rate
r
d
frequency of demands for a safety-related action of the SRP/CS
3.1.31
repair rate
r
r
reciprocal value of the period of time between detection of a dangerous failure by either an online test or
obvious malfunction of the system and the restart of operation after repair or system/component replacement
NOTE The repair time does not include the span of time needed for failure-detection.
3.1.32
machine control system
system which responds to input signals from parts of machine elements, operators, external control equipment
or any combination of these and generates output signals causing the machine to behave in the intended
manner
NOTE The machine control system can use any technology or any combination of different technologies (e.g.
electrical/electronic, hydraulic, pneumatic, mechanical).
6 © ISO 2006 – All rights reserved

ISO 13849-1:2006(E)
3.1.33
safety integrity level
SIL
discrete level (one out of a possible four) for specifying the safety integrity requirements of the safety functions
to be allocated to the E/E/PE safety-related systems, where safety integrity level 4 has the highest level of
safety integrity and safety integrity level 1 has the lowest
[IEC 61508-4:1998, 3.5.6]
3.1.34
limited variability language
LVL
type of language that provides the capability of combining predefined, application-specific library functions to
implement the safety requirements specifications
NOTE 1 Adapted from IEC 61511-1:2003, definition 3.2.80.1.2.
NOTE 2 Typical examples of LVL (ladder logic, function block diagram) are given in IEC 61131-3.
NOTE 3 A typical example of a system using LVL: PLC.
3.1.35
full variability language
FVL
type of language that provides the capability of implementing a wide variety of functions and applications
EXAMPLE C, C++, Assembler.
NOTE 1 Adapted from IEC 61511-1:2003, definition 3.2.80.1.3.
NOTE 2 A typical example of systems using FVL: embedded systems.
NOTE 3 In the field of machinery, FVL is found in embedded software and rarely in application software.
3.1.36
application software
software specific to the application, implemented by the machine manufacturer, and generally containing logic
sequences, limits and expressions that control the appropriate inputs, outputs, calculations and decisions
necessary to meet the SRP/CS requirements
3.1.37
embedded software
firmware
system software
software that is part of the system supplied by the control manufacturer and which is not accessible for
modification by the user of the machinery.
NOTE Embedded software is usually written in FVL.
ISO 13849-1:2006(E)
3.2 Symbols and abbreviated terms
See Table 2.
Table 2 — Symbols and abbreviated terms
Symbol or Definition or
Description
abbreviation occurrence
a, b, c, d, e Denotation of performance levels Table 3
AOPD Active optoelectronic protective device (e.g. light barrier) Annex H
B, 1, 2, 3, 4 Denotation of categories Table 7
B
Number of cycles until 10 % of the components fail dangerously (for Annex C
10d
pneumatic and electromechanical components)
Cat. Category 3.1.2
CC Current converter Annex I
CCF Common cause failure 3.1.6
DC Diagnostic coverage 3.1.26
DC Average diagnostic coverage E.2
avg
F, F1, F2 Frequency and/or time of exposure to the hazard A.2.2
FB Function block 4.6.3
FVL Full variability language 3.1.35
FMEA Failure modes and effects analysis 7.2
I, I1, I2 Input device, e.g. sensor 6.2
i, j Index for counting Annex D
I/O Inputs/outputs Table E.1
i , i Interconnecting means Figure 4
ab bc
K1A, K1B Contactors Annex I
L, L1, L2 Logic 6.2
LVL Limited variability language 3.1.34
M Motor Annex I
MTTF Mean time to failure Annex C
MTTF
Mean time to dangerous failure 3.1.25
d
 Number of items 6.3, D.1
n, N, N
N Nu
...


SLOVENSKI STANDARD
01-oktober-2008
1DGRPHãþD
SIST EN ISO 13849-1:2007
9DUQRVWVWURMHY=YDUQRVWMRSRYH]DQLGHOLNUPLOQLKVLVWHPRYGHO6SORãQD
QDþHOD]DQDþUWRYDQMH ,62
Safety of machinery - Safety-related parts of control systems - Part 1: General principles
for design (ISO 13849-1:2006)
Sicherheit von Maschinen - Sicherheitsbezogene Teile von Steuerungen - Teil 1:
Allgemeine Gestaltungsleitsätze (ISO 13849-1:2006)
Sécurité des machines - Parties des systèmes de commande relatives à la sécurité -
Partie 1: Principes généraux de conception (ISO 13849-1:2006)
Ta slovenski standard je istoveten z: EN ISO 13849-1:2008
ICS:
13.110 Varnost strojev Safety of machinery
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

EUROPÄISCHE NORM
EN ISO 13849-1
EUROPEAN STANDARD
NORME EUROPÉENNE
Juni 2008
ICS 13.110 Ersatz für EN ISO 13849-1:2006
Deutsche Fassung
Sicherheit von Maschinen - Sicherheitsbezogene Teile von
Steuerungen - Teil 1: Allgemeine Gestaltungsleitsätze (ISO
13849-1:2006)
Safety of machinery - Safety-related parts of control Sécurité des machines - Parties des systèmes de
systems - Part 1: General principles for design (ISO 13849- commande relatives à la sécurité - Partie 1: Principes
1:2006) généraux de conception (ISO 13849-1:2006)
Diese Europäische Norm wurde vom CEN am 18.Mai 2008 angenommen.
Die CEN-Mitglieder sind gehalten, die CEN/CENELEC-Geschäftsordnung zu erfüllen, in der die Bedingungen festgelegt sind, unter denen
dieser Europäischen Norm ohne jede Änderung der Status einer nationalen Norm zu geben ist. Auf dem letzen Stand befindliche Listen
dieser nationalen Normen mit ihren bibliographischen Angaben sind beim Management-Zentrum des CEN oder bei jedem CEN-Mitglied auf
Anfrage erhältlich.
Diese Europäische Norm besteht in drei offiziellen Fassungen (Deutsch, Englisch, Französisch). Eine Fassung in einer anderen Sprache,
die von einem CEN-Mitglied in eigener Verantwortung durch Übersetzung in seine Landessprache gemacht und dem Zentralsekretariat
mitgeteilt worden ist, hat den gleichen Status wie die offiziellen Fassungen.
CEN-Mitglieder sind die nationalen Normungsinstitute von Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich,
Griechenland, Irland, Island, Italien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Norwegen, Österreich, Polen, Portugal,
Rumänien, Schweden, der Schweiz, der Slowakei, Slowenien, Spanien, der Tschechischen Republik, Ungarn, dem Vereinigten Königreich
und Zypern.
EUROPÄISCHES KOMITEE FÜR NORMUNG
EUROPEAN COMMITTEE FOR STANDARDIZATION
COMITÉ EUROPÉEN DE NORMALISATION
Management-Zentrum: rue de Stassart, 36  B-1050 Brüssel
© 2008 CEN Alle Rechte der Verwertung, gleich in welcher Form und in welchem Ref. Nr. EN ISO 13849-1:2008 D
Verfahren, sind weltweit den nationalen Mitgliedern von CEN vorbehalten.

Inhalt
Seite
Vorwort .4
Einleitung.5
1 Anwendungsbereich .7
2 Normative Verweisungen.7
3 Begriffe, Formelzeichen und Abkürzungen .8
3.1 Begriffe .8
3.2 Formelzeichen und Abkürzungen. 14
4 Gestaltungsaspekte. 15
4.1 Sicherheitsziele in der Gestaltung. 15
4.2 Strategie der Risikominderung . 17
4.2.1 Allgemeines. 17
4.2.2 Beitrag der Risikominderung durch das Steuerungssystem. 17
4.3 Bestimmung des erforderlichen Performance Levels (PL ) . 21
r
4.4 Entwicklung des SRP/CS. 21
4.5 Bewertung des erreichten Performance Levels PL und die Beziehung zum SIL . 22
4.5.1 Performance Level PL . 22
4.5.2 Mittlere Zeit bis zum gefahrbringenden Ausfall jedes Kanals (MTTF ). 24
d
4.5.3 Diagnosedeckungsgrad (DC) . 25
4.5.4 Vereinfachtes Verfahren zur Abschätzung eines PL . 25
4.6 Software-Sicherheitsanforderungen. 28
4.6.1 Allgemeines. 28
4.6.2 Sicherheitsbezogene Embedded-Software (SRESW) . 29
4.6.3 Sicherheitsbezogene Anwendungssoftware (SRASW) . 30
4.6.4 Softwarebasierende Parametrisierung.32
4.7 Verifikation, dass der erreichte PL den PL erfüllt . 33
r
4.8 Ergonomische Aspekte der Gestaltung . 34
5 Sicherheitsfunktionen . 34
5.1 Spezifikation der Sicherheitsfunktionen . 34
5.2 Nähere Angaben über die Sicherheitsfunktionen . 37
5.2.1 Sicherheitsbezogene Stoppfunktion . 37
5.2.2 Manuelle Rückstellungsfunktion. 37
5.2.3 Start-/Wiederaufnahmefunktion . 38
5.2.4 Lokale Steuerungsfunktion . 38
5.2.5 Mutingfunktion. 38
5.2.6 Ansprechzeit . 39
5.2.7 Sicherheitsbezogene Parameter . 39
5.2.8 Schwankungen, Verlust und Wiederkehr der Energiequellen . 39
6 Die Kategorien und deren Beziehung zur MTTF jedes Kanals, DC und CCF. 39
d avg
6.1 Allgemeines. 39
6.2 Spezifikation der Kategorien . 40
6.2.1 Allgemeines. 40
6.2.2 Vorgesehene Architekturen. 40
6.2.3 Kategorie B. 41
6.2.4 Kategorie 1 . 41
6.2.5 Kategorie 2 . 43
6.2.6 Kategorie 3 . 44
6.2.7 Kategorie 4 . 45
6.3 Kombination von SRP/CS, um einen Gesamt-PL zu erreichen. 48
7 Berücksichtigung von Fehlern, Fehlerausschluss . 50
7.1 Allgemeines. 50
7.2 Fehlerbetrachtung . 50
7.3 Fehlerausschluss. 51
Seite
8 Validierung .51
9 Instandhaltung.51
10 Technische Dokumentation .51
11 Benutzerinformation .52
Anhang A (informativ) Bestimmung des erforderlichen Performance Levels (PL ).54
r
Anhang B (informativ) Blockmethode und sicherheitsbezogenes Blockdiagramm.57
Anhang C (informativ) Berechnung oder Abschätzung von MTTF -Werten für einzelne Bauteile.59
d
Anhang D (informativ) Vereinfachtes Verfahren zur Bestimmung der MTTF für jeden Kanal.67
d
Anhang E (informativ) Abschätzungen des Diagnosedeckungsgrades (DC) für Funktionen und
Module .69
Anhang F (informativ) Abschätzungen der Ausfälle aufgrund gemeinsamer Ursache (CCF) .72
Anhang G (informativ) Systematischer Ausfall.74
Anhang H (informativ) Beispiel der Kombination von verschiedenen sicherheitsbezogenen
Teilen einer Steuerung.77
Anhang I (informativ) Beispiele .80
Anhang J (informativ) Software.87
Anhang K (informativ) Numerische Darstellung von Bild 5.90
Anhang ZA (informativ) Zusammenhang zwischen dieser Europäischen Norm und den
grundlegenden Anforderungen der EG-Richtlinie 98/37/EG geändert durch
Richtlinie 98/79/EG .92
Anhang ZB (informativ) Zusammenhang zwischen dieser Europäischen Norm und den
grundlegenden Anforderungen der EG-Richtlinie 2006/42/EG.93
Literaturhinweise.94

Vorwort
Der Text von ISO 13849-1:2006 wurde vom Technischen Komitee ISO/TC 199 „Safety of machinery“ der
Internationalen Organisation für Standardisierung (ISO) erarbeitet und wurde als EN ISO 13849-1:2008 vom
Technischen Komitee CEN/TC 114 „Safety of machinery“ übernommen, dessen Sekretariat vom DIN gehalten
wird.
Diese Europäische Norm muss den Status einer nationalen Norm erhalten, entweder durch Veröffentlichung
eines identischen Textes oder durch Anerkennung bis November 2008, und etwaige entgegenstehende
nationale Normen müssen bis November 2009 zurückgezogen werden.
Es wird auf die Möglichkeit hingewiesen, dass einige Texte dieses Dokuments Patentrechte berühren können.
CEN [und/oder CENELEC] sind nicht dafür verantwortlich, einige oder alle diesbezüglichen Patentrechte zu
identifizieren.
Dieses Dokument ersetzt EN ISO 13849-1:2006.
Dieses Dokument wurde unter einem Mandat erarbeitet, das die Europäische Kommission und die
Europäische Freihandelszone dem CEN erteilt haben, und unterstützt grundlegende Anforderungen der EG-
Richtlinien.
Zum Zusammenhang mit EG-Richtlinien siehe informativen Anhang ZA und ZB, der Bestandteil dieses
Dokuments ist.
Entsprechend der CEN/CENELEC-Geschäftsordnung sind die nationalen Normungsinstitute der folgenden
Länder gehalten, diese Europäische Norm zu übernehmen: Belgien, Bulgarien, Dänemark, Deutschland,
Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Lettland, Litauen, Luxemburg, Malta,
Niederlande, Norwegen, Österreich, Polen, Portugal, Rumänien, Schweden, Schweiz, Slowakei, Slowenien,
Spanien, Tschechische Republik, Ungarn, Vereinigtes Königreich und Zypern.
Anerkennungsnotiz
Der Text von ISO 13849-1:2006 wurde vom CEN als EN ISO 13849-1:2008 ohne irgendeine Abänderung
genehmigt.
Einleitung
Die Struktur von Sicherheitsnormen auf dem Gebiet der Maschinen ist wie folgt.
a) Typ-A-Normen (Sicherheitsgrundnormen) behandeln Grundbegriffe, Gestaltungsleitsätze und allgemeine
Aspekte, die auf Maschinen angewandt werden können.
b) Typ-B-Normen (Sicherheitsfachgrundnormen) behandeln einen Sicherheitsaspekt oder eine Art von
Schutzeinrichtungen, die für eine ganze Reihe von Maschinen verwendet werden können:
⎯ Typ-B1-Normen für bestimmte Sicherheitsaspekte (z. B. Sicherheitsabstände,
Oberflächentemperatur, Lärm);
⎯ Typ-B2-Normen für Schutzeinrichtungen (z. B. Zweihandschaltungen, Verriegelungseinrichtungen,
druckempfindliche Schutzeinrichtungen, trennende Schutzeinrichtungen).
c) Typ-C-Normen (Maschinensicherheitsnormen) behandeln detaillierte Sicherheitsanforderungen an eine
bestimmte Maschinen oder eine Gruppe von Maschinen.
Dieser Teil der ISO 13849 ist eine Typ-B1-Norm wie in ISO 12100-1 dargelegt.
Wenn sich die Bestimmungen einer Typ-C-Norm von denen unterscheiden, die in einer Typ-A- oder
Typ-B-Norm dargelegt sind, haben die Bestimmungen der Typ-C-Norm Vorrang vor anderen Normen für
Maschinen, die nach den Bestimmungen der Typ-C-Norm entworfen und hergestellt worden sind.
Mit diesem Teil der ISO 13849 ist beabsichtigt, für diejenigen einen Leitfaden zu geben, die an der Gestaltung
und Beurteilung von Steuerungen beteiligt sind und für Technische Komitees, die Typ-B2- und Typ-C-Normen
erarbeiten, mit der Vermutung, mit den wesentlichen Sicherheitsanforderungen des Anhangs I der
Maschinenrichtlinie 98/37/EG, der Maschinen-Richtlinie, übereinzustimmen. Sie gibt keine besondere
Anleitung zur Übereinstimmung mit anderen EG-Richtlinien.
Als Teil einer Gesamtrisikominderung an einer Maschine wird ein Konstrukteur oft Maßnahmen durch die
Anwendung von Schutzeinrichtungen zur Risikoreduzierung ergreifen, die eine oder mehrere Sicherheits-
funktionen verwenden.
Teile einer Maschinensteuerung, die Sicherheitsfunktionen liefern sollen, werden sicherheitsbezogene Teile
einer Steuerung (SRP/CS) genannt, und diese Teile können entweder aus Hardware und Software bestehen
und separater oder integraler Bestandteil der Maschinensteuerung sein. Zusätzlich zur Bereitstellung von
Sicherheitsfunktionen kann ein SRP/CS auch Betriebsfunktionen liefern (z. B. eine Zweihandsteuerung zum
Start eines Prozesses).
Die Fähigkeit sicherheitsbezogener Teile von Steuerungen, eine Sicherheitsfunktion unter vorhersehbaren
Bedingungen auszuführen, wird einer von fünf Stufen zugeordnet, den so genannten Performance Level (PL).
Diese Performance Level werden definiert in Form der Wahrscheinlichkeit eines gefahrbringenden Ausfalls je
Stunde (siehe Tabelle 3).
Die Wahrscheinlichkeit eines gefahrbringenden Ausfalls der Sicherheitsfunktion hängt von mehreren Faktoren
ab, einschließlich der Hardware- und Softwarestruktur, dem Umfang der Fehler-Detektionsmechanismen
[Diagnosedeckungsgrad (DC)], der Zuverlässigkeit von Bauteilen [mittlere Zeit bis zum gefahrbringenden
Ausfall (MTTF), den Ausfällen infolge gemeinsamer Ursache (CCF)], dem Gestaltungsprozess, der
d
Belastung im Betrieb, den Umgebungsbedingungen und den betrieblichen Einsatzbedingungen.
Um den Konstrukteur zu unterstützen und als Hilfe zur Bestimmung des erreichten PL, stellt diese Norm eine
Methode auf Basis einer Kategorisierung von Strukturen nach speziellen Entwurfskriterien und spezifiziertem
Verhalten bei Fehlerbedingungen bereit. Diese Kategorien werden einer von fünf Stufen zugeordnet, genannt
Kategorien B, 1, 2, 3 und 4.
Die Performance Level und Kategorien können angewendet werden für sicherheitsbezogene Teile von
Steuerungen, wie:
⎯ nicht trennende Schutzeinrichtungen (z. B. Zweihandschaltungen, Verriegelungseinrichtungen),
berührungslos wirkende Schutzeinrichtungen (z. B. Lichtschranken), druckempfindliche Schutz-
einrichtungen,
⎯ Steuerungsbaugruppen (z. B. die Logik für Steuerungsfunktionen, Datenverarbeitung, Überwachung
usw.), und
⎯ Leistungsschaltelemente (z. B. Relais, Ventile usw.)
als auch Sicherheitsfunktionen ausführende Steuerungen in allen Arten von Maschinen — von einfachen (z. B.
einer kleinen Küchenmaschine oder automatischen Türen und Toren) bis zu einer Fertigungsanlage (z. B.
Verpackungsmaschinen, Druckmaschinen, Pressen).
Dieser Teil der 13849 liefert eine verständliche Basis, auf der die Gestaltung und Leistungsfähigkeit jeder
Anwendung eines SRP/CS (und der Maschine) beurteilt werden kann, z. B. durch Dritte, innerhalb einer
Organisation oder durch eine unabhängige Prüfstelle.
Informationen zur empfohlenen Anwendung der IEC 62061 und dieses Teils der ISO 13849
Die IEC 62061 und dieser Teil der ISO 13849 legen Anforderungen für den Entwurf und die Realisierung
sicherheitsbezogener Steuerungssysteme von Maschinen fest. Der Anwender einer von beiden Normen kann
in Übereinstimmung mit deren Anwendungsbereichen annehmen, die relevanten und erforderlichen
Sicherheitsanforderungen zu erfüllen. Die folgende Tabelle fasst die Anwendungsbereiche der IEC 62061 und
dieses Teils der ISO 13849 zusammen.
Tabelle 1 — Empfohlene Anwendung der IEC 62061 und ISO 13849-1
Technologie für die
Implementierung der
ISO 13849-1 IEC 62061
sicherheitsbezogenen
Steuerungsfunktion(en)
A Nicht elektrisch, z. B. hydraulisch X Nicht enthalten
B Elektromechanisch, z. B. Relais Beschränkt auf die Alle Architekturen und bis SIL 3
a
und/oder nicht komplexe Elektronik vorgesehenen Architekturen und
bis PL = e
C Komplexe Elektronik, z. B. Beschränkt auf die Alle Architekturen und bis SIL 3
a
programmierbar vorgesehenen Architekturen und
bis PL = d
c
D A kombiniert mit B Beschränkt auf die X
a
vorgesehenen Architekturen und
bis PL = e
E C kombiniert mit B Beschränkt auf die Alle Architekturen und bis SIL 3
a
vorgesehenen Architekturen und
bis PL = d
b c
F C kombiniert mit A, oder C X X
kombiniert mit A und B
X zeigt, dass dieses Merkmal in der Norm der entsprechenden Tabellenüberschrift behandelt wird.
a Um ein einfaches Verfahren zur Berechnung des Performance Levels zu ermöglichen, sind vorgesehene Architekturen in 6.2
beschrieben.
b Für komplexe Elektronik: Verwendung der vorgesehenen Architekturen nach diesem Teil der ISO 13849 bis PL = d oder
irgendeine Architektur nach IEC 62061.
c Für nicht elektrische Technologie, Verwendung der Teile nach diesem Teil der ISO 13849 als Teilsysteme.
1 Anwendungsbereich
Dieser Teil der ISO 13849 stellt Sicherheitsanforderungen und einen Leitfaden für die Prinzipien der
Gestaltung und Integration sicherheitsbezogener Teile von Steuerungen (SRP/CS) bereit, einschließlich der
Entwicklung von Software. Für diese Teile der SRP/CS werden Eigenschaften, einschließlich des
Performance Levels, festgelegt, die zur Ausführung der entsprechenden Sicherheitsfunktionen erforderlich
sind. Er ist anzuwenden auf SRP/CS aller Arten von Maschinen, ungeachtet der verwendeten Technologie
und Energie (elektrisch, hydraulisch, pneumatisch, mechanisch usw.).
Er legt nicht fest, welche Sicherheitsfunktionen oder Performance Level für einen speziellen Fall verwendet
werden.
Dieser Teil der ISO 13849 stellt spezielle Anforderungen für SRP/CS mit programmierbar elektronischen
Systemen bereit.
Er stellt keine speziellen Anforderungen an den Entwurf von Produkten, die Teile von SRP/CS sind. Trotzdem
können die angegebenen Prinzipien, wie Kategorien oder Performance Level, verwendet werden.
ANMERKUNG 1 Beispiele von Produkten, die Teile von SRP/CS sind: Relais, Magnetventile, Positionsschalter,
PLC(en), Antriebssteuerungen, Zweihandschaltungen, druckempfindliche Schutzeinrichtungen. Für den Entwurf solcher
Produkte ist es wichtig, sich auf spezielle anwendbare Internationale Normen zu beziehen, z. B. ISO 13851, ISO 13856-1
und ISO 13856-2.
ANMERKUNG 2 Für die Definition des erforderlichen Performance Levels, siehe 3.1.24.
ANMERKUNG 3 Die in diesem Teil der ISO 13849 bereitgestellten Anforderungen für programmierbare elektronische
Systeme sind kompatibel mit der Methodik für Gestaltung und Entwicklung sicherheitsbezogener elektrischer,
elektronischer und programmierbarer elektronischer Steuerungen für Maschinen in der IEC 62061.
ANMERKUNG 4 Für sicherheitsbezogene Embedded-Software in Komponenten mit PL = e, siehe IEC 61508-3:1998,
r
Abschnitt 7.
ANMERKUNG 5 Siehe auch Tabelle 1.
2 Normative Verweisungen
Die folgenden zitierten Dokumente sind für die Anwendung dieses Dokuments erforderlich. Bei datierten
Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte
Ausgabe des in Bezug genommenen Dokuments (einschließlich aller Änderungen).
ISO 12100-1:2003, Safety of machinery —Basic concepts, general principles for design — Part 1: Basic
terminology, methodology
ISO 12100-2:2003, Safety of machinery — Basic concepts, general principles for design — Part 2: Technical
principles
ISO 13849-2:2003, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
1)
ISO 14121 , Safety of machinery — Principles of risk assessment
IEC 60050-191:1990, International Electrotechnical Vocabulary ⎯ Chapter 191: Dependability and quality of
service and IEC 60050-191: -am 1:1999 and IEC 60050-191-am2:2002:1999, Amendment 1 and
Amendment 2, International Electrotechnical Vocabulary — Chapter 191: Dependability and quality of service

1) Noch zu veröffentlichen (Überarbeitung von ISO 14121:1999).
IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 3: Software requirements, and IEC 61508-3 Corr. 1:1999, Corrigendum 1 — Functional safety
of electrical/electronic/programmable electronic safety-related systems — Part 3: Software requirements
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations, and IEC 61508-4 Corr. 1:1999, Corrigendum 1 — Functional
safety of electrical/electronic/programmable electronic safety-related systems — Part 4: Definitions and
abbreviations
3 Begriffe, Formelzeichen und Abkürzungen
3.1 Begriffe
Für die Anwendung dieses Dokuments gelten die Begriffe nach ISO 12100-1, IEC 60050-191 und die
folgenden Begriffe.
3.1.1
sicherheitsbezogenes Teil einer Steuerung
SRP/CS
Teil einer Steuerung, das auf sicherheitsbezogene Eingangssignale reagiert und sicherheitsbezogene
Ausgangssignale erzeugt
ANMERKUNG 1 Die Kombination sicherheitsbezogener Teile einer Steuerung beginnt an dem Punkt, an dem
sicherheitsbezogene Signale erzeugt werden (einschließlich z. B. Betätiger und Rolle eines Positionsschalters) und endet
an den Ausgängen der Leistungssteuerungselemente (einschließlich z. B. Hauptkontakte eines Schützes).
ANMERKUNG 2 Werden Überwachungssysteme zur Diagnose verwendet, werden sie wie SRP/CS behandelt.
3.1.2
Kategorie
Einstufung der sicherheitsbezogenen Teile einer Steuerung bezüglich ihres Widerstandes gegen Fehler und
ihres nachfolgenden Verhaltens bei einem Fehler, das erreicht wird durch die Struktur der Anordnung der
Teile, der Fehlererkennung und/oder ihrer Zuverlässigkeit
3.1.3
Fehler
Zustand einer Einheit, charakterisiert durch die Unfähigkeit, eine geforderte Funktion auszuführen,
ausgenommen der Unfähigkeit während vorbeugender Wartung oder anderer geplanter Handlungen, oder
aufgrund des Fehlens externer Mittel
ANMERKUNG 1 Ein Fehler ist oft das Resultat eines Ausfalls der Einheit selbst, kann aber ohne vorherigen Ausfall
bestehen.
[IEC 60050-191:1990, 05-01]
ANMERKUNG 2 In diesem Teil der ISO 13849 bedeutet der Begriff „Fehler“ zufälliger Fehler.
3.1.4
Ausfall
Beendigung der Fähigkeit einer Einheit, eine geforderte Funktion zu erfüllen
ANMERKUNG 1 Nach einem Ausfall hat die Einheit einen Fehler.
ANMERKUNG 2 Der „Ausfall“ ist ein Ereignis, im Unterschied zum „Fehler“, dieser ist ein Zustand.
ANMERKUNG 3 Der so definierte Begriff kann nicht angewendet werden auf Einheiten, die nur aus Software bestehen.
[IEC 60050-191:1990, 04-01]
ANMERKUNG 4 Ausfälle, die nur die Verfügbarkeit des zu steuernden Prozesses betreffen, liegen nicht im
Anwendungsbereich dieses Teils der ISO 13849.
3.1.5
gefahrbringender Ausfall
Ausfall der das Potential hat, das SRP/CS in einen gefährlichen Zustand oder eine Fehlfunktion zu bringen
ANMERKUNG 1 Ob dieses Potential bemerkt werden kann oder nicht, hängt von der Architektur des Systems ab; in
einem redundanten System wird ein gefährlicher Hardwareausfall weniger wahrscheinlich zu einem gefährlichen Ausfall
des Gesamtsystems führen.
ANMERKUNG 2 Abgeleitet von IEC 61508-4:1998, Begriff 3.6.7.
3.1.6
Ausfall infolge gemeinsamer Ursache
CCF
Ausfälle verschiedener Einheiten aufgrund eines einzelnen Ereignisses, wobei diese Ausfälle nicht auf
gegenseitiger Ursache beruhen
[IEC 60050-191-am 1:1999, 04-23]
ANMERKUNG Ausfälle infolge gemeinsamer Ursache sollten nicht verwechselt werden mit gleichartigen Ausfällen
(siehe ISO 12100-1:2003, 3.34).
3.1.7
systematischer Ausfall
Ausfall mit deterministischem Bezug zu einer bestimmten Ursache, der nur durch Änderung der Gestaltung
oder des Herstellungsprozesses, Betriebsverfahren, Dokumentation oder zugehörenden Faktoren, beseitigt
werden kann
ANMERKUNG 1 Instandsetzung ohne Änderung wird üblicherweise den Grund des Ausfalls nicht beseitigen.
ANMERKUNG 2 Ein systematischer Ausfall kann hervorgerufen werden durch Simulation der Ausfallursache.
[IEC 60050-191:1990, 04-19]
ANMERKUNG 3 Beispielursachen systematischer Ausfälle beinhalten menschliches Versagen in:
⎯ der Spezifikation der Sicherheitsanforderungen,
⎯ der Gestaltung, der Herstellung, der Installation, des Betriebs der Hardware und
⎯ der Gestaltung, Realisierung usw. der Software.
3.1.8
Muting
vorübergehende automatische Unterdrückung einer (der) Sicherheitsfunktion(en) durch das SRP/CS
3.1.9
manuelle Rückstellung
interne Funktion des SRP/CS zum manuellen Wiederherstellen einer oder mehrerer Sicherheitsfunktionen,
vor dem Neustart einer Maschine verwendet
3.1.10
Schaden
physische Verletzung oder Schädigung der Gesundheit
[ISO 12100-1:2003, 3.5]
3.1.11
Gefährdung
potentielle Schadensquelle
ANMERKUNG 1 Eine Gefährdung kann spezifiziert werden, um damit den Ursprung (z. B. mechanische Gefährdung,
elektrische Gefährdung) oder die Art des zu erwartenden Schadens (z. B. Gefährdung durch elektrischen Schlag,
Gefährdung durch Schneiden, Gefährdung durch Vergiftung, Gefährdung durch Feuer) näher zu bezeichnen.
ANMERKUNG 2 Die Gefährdung im Sinne dieser Definition
⎯ ist entweder bei der bestimmungsgemäßen Verwendung der Maschine dauerhaft vorhanden (z. B. Bewegung von
gefährdenden beweglichen Teilen, Lichtbogen beim Schweißen, ungesunde Körperhaltung, Geräuschemission, hohe
Temperatur);
⎯ oder kann unerwartet auftreten (z. B. Explosion, Gefährdung durch Quetschen als Folge eines unbeab-
sichtigten/unerwarteten Anlaufs, Herausschleudern als Folge eines Bruchs, Stürzen als Folge von Beschleuni-
gung/Abbremsen).
[ISO 12100-1:2003, 3.6]
3.1.12
Gefährdungssituation
Sachlage, bei der eine Person mindestens einer Gefährdung ausgesetzt ist, diese Situation führt unmittelbar
oder über einen Zeitraum hinweg zu einem Schaden
[ISO 12100-1:2003, 3.9]
3.1.13
Risiko
Kombination der Wahrscheinlichkeit des Eintritts eines Schadens und seines Schadensausmaßes
[ISO 12100-1:2003, 3.11]
3.1.14
Restrisiko
verbleibendes Risiko, nachdem Schutzmaßnahmen ergriffen wurden
(Siehe Bild 2)
ANMERKUNG In Anlehnung an ISO 12100-1:2003, Begriff 3.12.
3.1.15
Risikobeurteilung
Gesamtheit des Verfahrens, das eine Risikoanalyse und Risikobewertung umfasst
[ISO 12100-1:2003, 3.13]
3.1.16
Risikoanalyse
Kombination aus Festlegung der Grenzen der Maschine, Identifizierung der Gefährdung und Risiko-
einschätzung
[ISO 12100-1:2003, 3.14]
3.1.17
Risikobewertung
auf der Risikoanalyse beruhende Beurteilung, ob die Ziele zur Risikominderung erreicht wurden
[ISO 12100-1:2003, 3.16]
3.1.18
bestimmungsgemäße Verwendung einer Maschine
Verwendung einer Maschine in Übereinstimmung mit den in der Benutzerinformation bereitgestellten
Informationen
[ISO 12100-1:2003, 3.22]
3.1.19
vernünftigerweise vorhersehbare Fehlanwendung
Verwendung einer Maschine in einer Weise, die vom Konstrukteur nicht vorgesehen ist, sich jedoch aus dem
leicht vorhersehbaren menschlichen Verhalten ergeben kann
[ISO 12100-1:2003, 3.23]
3.1.20
Sicherheitsfunktion
Funktion einer Maschine, wobei ein Ausfall der Funktion zur unmittelbaren Erhöhung des Risikos (der Risiken)
führen kann
[ISO 12100-1:2003, 3.28]
3.1.21
Überwachung
Sicherheitsfunktion, die sicherstellt, dass eine Schutzmaßnahme eingeleitet wird, wenn die Fähigkeit eines
Bauteils oder eines Elements seine Funktion auszuführen, vermindert wird oder die Betriebsbedingungen so
verändert werden, dass eine Reduzierung des Betrags der Risikominderung entsteht
3.1.22
programmierbares elektronisches System
PES
System zur Steuerung, Schutz oder Überwachung, abhängig von seiner Funktion auf der Basis einer oder
mehrerer programmierbarer elektronischer Geräte, einschließlich aller Elemente dieses Systems wie
Stromversorgung, Sensoren und andere Eingabegeräte, Schütze und anderer Ausgabegeräte
ANMERKUNG In Anlehnung an IEC 61508-4:1998, Begriff 3.3.2.
3.1.23
Performance Level
PL
diskreter Level, der die Fähigkeit von sicherheitsbezogenen Teilen einer Steuerung spezifiziert, eine
Sicherheitsfunktion unter vorhersehbaren Bedingungen auszuführen
ANMERKUNG Siehe 4.5.1.
3.1.24
erforderlicher Performance Level
PL
r
angewandter Performance Level (PL), um die erforderliche Risikominderung für jede Sicherheitsfunktion zu
erreichen
ANMERKUNG Siehe Bilder 2 und A.1.
3.1.25
mittlere Zeit bis zum gefahrbringenden Ausfall
MTTF
d
Erwartungswert der mittleren Zeit bis zum gefahrbringenden Ausfall
ANMERKUNG In Anlehnung an IEC 62061:2005, Begriff 3.2.34.
3.1.26
Diagnosedeckungsgrad
DC
Maß für die Wirksamkeit der Diagnose, die bestimmt werden kann als Verhältnis der Ausfallrate der
bemerkten gefährlichen Ausfälle und Ausfallrate der gesamten gefährlichen Ausfälle
ANMERKUNG 1 Der Diagnosedeckungsgrad kann für die Gesamtheit oder für Teile des sicherheitsbezogenen
Systems gelten. Zum Beispiel könnte ein Diagnosedeckungsgrad für die Sensoren und/oder das Logiksystem und/oder
die Stellglieder vorhanden sein.
ANMERKUNG 2 In Anlehnung an IEC 61508-4:1998, Begriff 3.8.6.
3.1.27
Schutzmaßnahme
Maßnahme zur vorgesehenen Minderung des Risikos
BEISPIEL 1 Umgesetzt vom Konstrukteur: inhärente Gestaltung, technische Schutzmaßnahmen und ergänzende
Schutzmaßnahmen, Benutzerinformation.
BEISPIEL 2 Umgesetzt vom Benutzer: durch Organisation (sichere Arbeitsverfahren, Beaufsichtigung, Betriebs-
erlaubnis zur Ausführung von Arbeiten), Bereitstellung und Anwendung zusätzlicher Schutzeinrichtungen (persönliche
Schutzausrüstung; Ausbildung).
ANMERKUNG In Anlehnung an ISO 12100-1:2003, Begriff 3.18.
3.1.28
Gebrauchsdauer
T
M
Zeitraum, der die vorgegebene Verwendung der SRP/CS abdeckt
3.1.29
Testrate
r
t
Häufigkeit der automatischen Tests, um Fehler in einem SRP/CS zu bemerken, Kehrwert des Diagnose-
Testintervalls
3.1.30
Anforderungsrate
r
d
Häufigkeit je Zeiteinheit von Anforderungen an eine sicherheitsbezogene Reaktion eines SRP/CS
3.1.31
Reparaturrate
r
r
Kehrwert der Zeitspanne zwischen der Erkennung eines gefahrbringenden Ausfalls, durch entweder einen
Online-Test oder einer offensichtlichen Fehlfunktion des Systems, und Wiederanlauf nach System-/
Bauteilaustausch.
ANMERKUNG Die Reparaturzeit beinhaltet nicht die Zeitspanne, die zur Fehlererkennung benötigt wird.
3.1.32
Maschinensteuerung
System, das auf Eingangssignale von Teilen der Maschine, des Benutzers, externer Steuerungseinrichtungen
oder irgendeiner Kombination dieser, reagiert und Ausgangssignale erzeugt, damit sich die Maschine in der
vorgesehenen Art und Weise verhält
ANMERKUNG Die Maschinensteuerung kann jede Technologie oder Kombination verschiedener Technologien
verwenden (z. B. elektrische/elektronische, hydraulische, pneumatische, mechanische).
3.1.33
Sicherheits-Integritätslevel
SIL
diskrete Stufe (eine von vier möglichen) zur Spezifizierung der Sicherheitsintegrität der Sicherheitsfunktionen,
die dem E/E/PE-sicherheitsbezogenen System zugeordnet werden, wobei der Sicherheits-Integritätslevel 4
die höchste Stufe und der Sicherheits-Integritätslevel 1 die niedrigste ist
[IEC 61508-4:1998, 3.5.6]
3.1.34
Programmiersprache mit eingeschränktem Sprachumfang
LVL
Typ einer Sprache, die die Fähigkeit hat, vordefinierte, anwendungsspezifische, Bibliotheksfunktionen zu
kombinieren, um die Spezifikation der Sicherheitsanforderungen zu implementieren
ANMERKUNG 1 In Anlehnung an IEC 61511-1:2003, Begriff 3.2.80.1.2.
ANMERKUNG 2 Typische Beispiele von LVL (Kontaktplan, Funktions-Blockdiagramm) sind in IEC 61131-3 angegeben.
ANMERKUNG 3 Ein typisches Beispiel von einem System, das die LVL verwendet: PLC.
3.1.35
Programmiersprache mit nicht eingeschränktem Sprachumfang
FVL
Typ einer Sprache mit der Fähigkeit, einen großen Bereich von Funktionen und Anwendungen zu
implementieren
BEISPIEL C, C++, Assembler.
ANMERKUNG 1 In Anlehnung an IEC 61511-1:2003, Begriff 3.2.80.1.3.
ANMERKUNG 2 Ein typisches Beispiel von Systemen für die Verwendung von FVL: Embedded-Systeme.
ANMERKUNG 3 Im Bereich der Maschinen wird FVL in Embedded-Software und gelegentlich in Anwendungssoftware
eingesetzt.
3.1.36
Anwendungssoftware
Software, die speziell für die Anwendung vom Hersteller in die Maschine implementiert, und üblicherweise
logische Sequenzen, Grenzwerte und Ausdrücke zum Steuern der entsprechenden Eingänge, Ausgänge,
Berechnungen und Entscheidungen enthält, um die notwendigen Anforderungen des SRP/CS zu erfüllen
3.1.37
Embedded-Software
Firmware
Systemsoftware
Software, die als Teil des Systems durch den Steuerungshersteller geliefert wird und die durch den Anwender
der Maschine nicht verändert werden kann
ANMERKUNG Üblicherweise wird Embedded-Software in FVL geschrieben.
3.2 Formelzeichen und Abkürzungen
Siehe Tabelle 2.
Tabelle 2 — Formelzeichen und Abkürzungen
Formelzeichen Definition oder
Beschreibung
oder Abkürzung Fundort
a, b, c, d, e Bezeichnung für die Performance Level Tabelle 3
aktive opto-elektronische Schutzeinrichtungen (z. B.
AOPD Anhang H
Lichtschranke)
B, 1, 2, 3, 4 Bezeichnung für die Kategorien Tabelle 7
B Anzahl von Zyklen, bis 10 % der Komponenten gefährlich Anhang C
10d
ausgefallen sind (für pneumatische und elektromechanische
Komponenten)
Cat. Kategorie 3.1.2
CC Stromrichter Anhang I
CCF Ausfall aufgrund gemeinsamer Ursache 3.1.6
DC Diagnosedeckungsgrad 3.1.26
DC durchschnittlicher Diagnosedeckungsgrad E.2
avg
F, F1, F2 Häufigkeit und/oder Dauer der Gefährdungsexposition A.2.2
FB Funktionsblock 4.6.3
Programmiersprache mit nicht eingeschränktem
FVL 3.1.35
Sprachumfang
FMEA Ausfallarten und Effekt-Analyse 7.2
I, I1, I2 Eingabegerät, z. B. Sensor 6.2
i, j Index für Zählung Anhang D
I/O Eingänge/Ausgänge Tabelle E.1
i , i Verbindungsmittel Bild 4
ab bc
K1A, K1B Schütze Anhang I
L, L1, L2 Logik 6.2
LVL Programmiersprache mit eingeschränktem Sprachumfang 3.1.34
M Motor Anhang I
MTTF mittlere Zeit bis zum Ausfall Anhang C
MTTF mittlere Zeit bis zum gefahrbringenden Ausfall 3.1.25
d
~
Anzahl von Einheiten 6.3, D.1
n, N, N
N Anzahl von SRP/CS mit PL in einer Kombination von 6.3
niedrig niedrig
SRP/CS
O, O1, O2, OTE Ausgabegerät, z. B. Antriebselement 6.2
P, P1, P2 Möglichkeit zur Vermeidung der Gefährdung A.2.3
PES programmierbares elektronisches System 3.1.22

Tabelle 2 (fortgesetzt)
Formelzeichen Definition oder
Beschreibung
oder Abkürzung Fundort
PL Performance Level 3.1.23
PLC speicherprogrammierbare Steuerung Anhang I
niedrigster Performance Level einer SRP/CS in einer
PL 6.3
niedrig
Kombination von SRP/CS
PL erforderlicher Performance Level 3.1.24
r
r Anforderungsrate 3.1.30
d
RS Drehgeber Anhang I
S, S1, S2 Schwere der Verletzung A.2.1
SW1A, SW1B, SW2 Positionschalter Anhang I
SIL Sicherheits-Integritätslevel Tabelle 4
SRASW sicherheitsbezogene Anwendungssoftware 4.6.3
SRESW sicherheitsbezogene Embedded-Software 4.6.2
SRP sicherheitsbezogenes Teil Allgemein
SRP/CS sicherheitsbezogenes Teil einer Steuerung 3.1.1
TE Testeinrichtung 6.2
T Gebrauchsdauer 3.1.28
M
4 Gestaltungsaspekte
4.1 Sicherheitsziele in der Gestaltung
Das SRP/CS muss so gestaltet und konstruiert werden, dass die Prinzipien der ISO 12100 und ISO 14121
vollständig berücksichtigt werden (siehe Bilder 1 und 3). Alle vorgesehenen Anwendungen und vorherseh-
baren Fehlanwendungen müssen betrachtet werden.
a Bezieht sich auf ISO 12100-1:2003
b Bezieht sich auf diesen Teil der ISO 13849
Bild 1 — Übersicht über die Risikobeurteilung/Risikominderung
4.2 Strategie der Risikominderung
4.2.1 Allgemeines
Die Strategie zur Risikominderung an einer Maschine wird in der ISO 12100-1:2003, Abschnitt 5 genannt und
weitere Anleitungen in der ISO 12100-2:2003, Abschnitt 4 (inhärent sichere Konstruktion) und Abschnitt 5
(technische Schutzmaßnahmen und ergänzende Schutzmaßnahmen). Diese Strategie deckt den gesamten
Lebenszyklus der Maschine ab.
Die Gefährdungsanalyse und der Prozess der Risikoreduzierung an einer Maschine erfordert, dass
Gefährdungen durch eine Hierarchie von Maßnahmen beseitigt oder reduziert werden:
⎯ Beseitigung von Gefährdungen oder Risikoreduzierung durch den Entwurf (siehe ISO 12100-2:2003,
Abschnitt 4);
⎯ Risikominderung durch Schutzeinrichtungen und mögliche ergänzende Schutzmaßnahmen (siehe
ISO 12100-2:2003, Abschnitt 5);
⎯ Risikominderung durch Bereitstellung einer Benutzerinformation über das Restrisiko (siehe
ISO 12100-2:2003, Abschnitt 6).
4.2.2 Beitrag der Risikominderung durch das Steuerungssystem
Das Ziel der Befolgung der gesamten Entwurfsprozedur für die Maschine ist es, die Sicherheitsziele zu
erreichen (siehe 4.1). Der Entwurf des SRP/CS, um die erforderliche Risikominderung bereitzustellen, ist ein
integraler Teil der gesamten Entwurfsprozedur für die Maschine. Das SRP/CS stellt die Sicherheits-
funktion(en) mit einem PL bereit, der die erforderliche Risikominderung erreicht. Durch Bereitstellung von
Sicherheitsfunktionen, entweder als ein inhärent sicheres Teil der Konstruktion oder als Steuerung einer
Schutzeinrichtung oder nicht trennenden Schutzeinrichtung, ist die Gestaltung des SRP/CS Teil der Strategie
der Risikominderung. Dies ist ein iterativer Prozess und wird in Bild 1 und 3 gezeigt.
Die Eigenschaften jeder Sicherheitsfunktion (siehe Abschnitt 5) und der erforderliche Performance Level
müssen in der Spezifikation der Sicherheitsanforderungen beschrieben und dokumentiert werden.
In diesem Teil der ISO 13849 werden die Performance Level definiert in Form der Wahrscheinlichkeit eines
gefährlichen Ausfalls je Stunde. Fünf Performance Level (a bis e) sind festgelegt mit definierten Bereichen der
Wahrscheinlichkeit eines gefährlichen Ausfalls je Stunde (siehe Tabelle 3).
Tabelle 3 — Performance Level (PL)
Durchschnittliche Wahrscheinlichkeit eines
gefährlichen Ausfalls je Stunde
Performance Level (PL)
1/h
–5 –4
a
≥ 10 bis < 10
–6 –5
b
≥ 3 × 10 bis < 10
–6 –6
c ≥ 10 bis < 3 × 10
–7 –6
d ≥ 10 bis < 10
–8 –7
e ≥ 10 bis < 10
ANMERKUNG Neben der durchschnittlichen Wahrscheinlichkeit eines gefährlichen
Ausfalls je Stunde, sind weitere Maßnahmen notwendig, um den PL zu erreichen.

Nach der Risikobeurteilung (siehe ISO 14121) an der Maschine, muss der Konstrukteur entscheiden, welchen
Beitrag der Risikominderung von jeder relev
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

SIST EN ISO 13849-1:2008の標準は、機械の安全性に関する重要なガイドラインを提供しており、特に安全関連の制御システム(SRP/CS)の設計と統合において、非常に有用な原則を提示しています。この文書は、ISO 13849-1:2006に基づき、安全機能を実行するために必要な性能レベルを含むSRP/CSの特徴を明確に定義しています。これにより、あらゆる種の技術(電気、油圧、空気圧、機械など)やエネルギー源を用いる機械に適用できるため、その汎用性が高いと言えます。 この標準は、プログラム可能な電子システムを利用したSRP/CSに対して特定の要件を提供する一方で、SRP/CSの一部である製品の設計に関する具体的な要件は示していません。しかし、カテゴリや性能レベルといった概念は、様々な応用に役立てることができ、実際の設計においても広く利用されています。 SIST EN ISO 13849-1:2008は、その設計原則が実用的であり、技術の進化に即した柔軟性を持つため、業界にとって非常に重要な文書です。この標準の強みは、特定の安全機能や性能レベルを設定しないことで、ユーザーにより大きな自由度を与えている点です。また、実際の安全システムを設計する際には、必要な性能に応じた適切なカテゴリーを選択することが求められるため、リスク管理の観点からも非常に価値があります。 結果として、SIST EN ISO 13849-1:2008は、機械の安全性に関連するすべての企業や設計者にとって、必携のリソースと言えるでしょう。この標準は、現代の技術環境においてもその関連性を失うことなく、安全に関する基準を確立する上での重要な指針を提供しています。

The EN ISO 13849-1:2008 standard offers a comprehensive framework for the safety of machinery, focusing particularly on the safety-related parts of control systems (SRP/CS). Its broad scope includes safety requirements and guidance for the design and integration of these systems, which is crucial for ensuring safe machinery operations across various industries. A notable strength of the standard is its emphasis on performance levels required for safety functions, outlining essential characteristics that must be considered during design. This specificity aids manufacturers and engineers in achieving compliance with safety regulations and enhances the reliability of control systems in diverse applications, regardless of the technology or energy source employed, whether electrical, hydraulic, pneumatic, or mechanical. The document is particularly relevant in its guidance for the use of programmable electronic systems within SRP/CS. It addresses the increasing reliance on sophisticated control technologies in modern machinery, thereby helping to mitigate risks associated with their operation. Additionally, the standard outlines categories and performance levels that, while not prescriptive for specific safety functions, serve as valuable benchmarks in assessing the safety integrity of control systems. This flexibility allows users to tailor safety measures according to individual machinery contexts while adhering to best practices. Overall, EN ISO 13849-1:2008 plays a vital role in promoting a safe working environment by providing established principles that guide the design and assessment of safety-related control systems, solidifying its importance in machinery safety standards.

SIST EN ISO 13849-1:2008 표준은 기계 안전성과 관련된 통제 시스템의 안전 관련 부분에 대한 설계에 대한 일반 원칙을 제공하는 중요한 문서입니다. 이 표준의 범위는 SRP/CS(안전 관련 제어 시스템)의 설계 및 통합과 관련된 안전 요구 사항과 지침을 포함하며, 소프트웨어 설계에도 적용됩니다. ISO 13849-1:2006은 안전 기능을 수행하기 위해 요구되는 성능 수준을 포함하여, SRP/CS의 구성 요소에 대한 특정 특성을 규정합니다. 이 표준은 전기, 유압, 공압, 기계 등 기술 및 에너지의 유형에 관계없이 모든 종류의 기계에 적용되기 때문에 산업 전반에 걸쳐 광범위한 유용성을 제공합니다. 이 표준의 주요 강점 중 하나는 프로그래머블 전자 시스템을 사용하는 SRP/CS에 대한 구체적인 요구 사항을 제공한다는 점입니다. 이는 사용자들이 최신 기술을 효과적으로 활용할 수 있도록 도와주며, 다양한 기계적 시스템의 안전성을 높이는 데 기여합니다. 또한, ISO 13849-1:2006은 특정 사례에 사용될 안전 기능이나 성능 수준을 명시하지 않지만, 제공된 원칙들, 예를 들어 카테고리나 성능 수준은 다양한 기계 설계에 유용하게 활용될 수 있습니다. 이러한 점에서 이 표준은 안전 관련 제어 시스템 설계에 있어 유연성과 적용 가능성을 높이는데 큰 역할을 하며, 현장 적용에 있어 실질적인 지침을 제공합니다. 종합적으로 SIST EN ISO 13849-1:2008 표준은 기계 안전성 분야에서 필수적이며, 설계자가 안전 관련 제어 시스템을 효과적으로 설계하는 데 필요한 강력한 기반을 제공합니다.