ISO 13849-1:2023
(Main)Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
This document specifies a methodology and provides related requirements, recommendations and guidance for the design and integration of safety‐related parts of control systems (SRP/CS) that perform safety functions, including the design of software. This document applies to SRP/CS for high demand and continuous modes of operation including their subsystems, regardless of the type of technology and energy (e.g. electrical, hydraulic, pneumatic, and mechanical). This document does not apply to low demand mode of operation. NOTE 1 See 3.1.44 and the IEC 61508 series for low demand mode of operation. This document does not specify the safety functions or required performance levels (PLr) that are to be used in particular applications. NOTE 2 This document specifies a methodology for SRP/CS design without considering if certain machinery (e.g. mobile machinery) has specific requirements. These specific requirements can be considered in a Type‑C standard. This document does not give specific requirements for the design of products/components that are parts of SRP/CS. Specific requirements for the design of some components of SRP/CS are covered by applicable ISO and IEC standards. This document does not provide specific measures for security aspects (e.g. physical, IT-security, cyber security). NOTE 3 Security issues can have an effect on safety functions. See ISO/TR 22100-4 and IEC/TR 63074 for further information.
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception
Le présent document spécifie une méthodologie et fournit des exigences, des recommandations et des conseils portant sur la conception et l'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) qui réalisent des fonctions de sécurité, incluant la conception de logiciels. Le présent document s'applique aux SRP/CS pour les modes de fonctionnement à forte sollicitation et continu, incluant leurs sous-systèmes, indépendamment du type de technologie et d'énergie utilisé (par exemple, électrique, hydraulique, pneumatique et mécanique). Le présent document ne s'applique pas au mode de fonctionnement à faible sollicitation. NOTE 1 Voir 3.1.44 et la série IEC 61508 pour le mode de fonctionnement à faible sollicitation. Le présent document ne spécifie pas les fonctions de sécurité et les niveaux de performance requis (PLr) qui doivent être utilisés dans un cas particulier. NOTE 2 Le présent document spécifie une méthodologie pour la conception des SRP/CS sans tenir compte d'exigences spécifiques pour certaines machines (par exemple, machines mobiles). Ces exigences spécifiques peuvent être prises en compte dans une norme de type‑C. Le présent document ne donne pas d'exigences spécifiques pour la conception de produits/composants intégrés dans les SRP/CS. Les exigences spécifiques pour la conception de certains composants de SRP/CS sont couvertes par les normes ISO et IEC applicables. Le présent document ne fournit pas de mesures spécifiques pour les aspects de sécurité (par exemple, physique, sécurité informatique (IT-security), cybersécurité). NOTE 3 Les problèmes de sécurité peuvent avoir un effet sur les fonctions de sécurité. Voir l'ISO/TR 22100-4 et l'IEC/TR 63074 pour d'autres informations.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13849-1
Fourth edition
2023-04
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword . vi
Introduction .viii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms . 10
4 Overview .12
4.1 Risk assessment and risk reduction process at the machine .12
4.2 Contribution to the risk reduction . 14
4.3 Design process of an SRP/CS . 14
4.4 Methodology . 15
4.5 Required information . 16
4.6 Safety function realization by using subsystems . 17
5 Specification of safety functions .17
5.1 Identification and general description of the safety function . 17
5.2 Safety requirements specification . 18
5.2.1 General requirements . 18
5.2.2 Requirements for specific safety functions . 21
5.2.3 Minimizing motivation to defeat safety functions . 24
5.2.4 Remote access . 25
5.3 Determination of required performance level (PL ) for each safety function . .25
r
5.4 Review of the safety requirements specification (SRS) . 26
5.5 Decomposition of SRP/CS into subsystems . 26
6 Design considerations .27
6.1 Evaluation of the achieved performance level . 27
6.1.1 General overview of performance level . 27
6.1.2 Correlation between performance level (PL) and safety integrity level (SIL) .29
6.1.3 Architecture — Categories and their relation to MTTF of each channel,
D
average diagnostic coverage and common cause failure (CCF).29
6.1.4 Mean time to dangerous failure (MTTF ) .36
D
6.1.5 Diagnostic coverage (DC) . 37
6.1.6 Common cause failures (CCFs) .38
6.1.7 Systematic failures .38
6.1.8 Simplified procedure for estimating the performance level for subsystems .39
6.1.9 Alternative procedure to determine the performance level and PFH
without MTTF .40
D
6.1.10 Fault consideration and fault exclusion . 42
6.1.11 Well-tried component . 43
6.2 Combination of subsystems to achieve an overall performance level of the safety
function . 43
6.2.1 General . 43
6.2.2 Known PFH values . 43
6.2.3 Unknown PFH values .44
6.3 Software based manual parameterization . .44
6.3.1 General .44
6.3.2 Influences on safety-related parameters . 45
6.3.3 Requirements for software based manual parameterization .46
6.3.4 Verification of the parameterization tool . 47
6.3.5 Documentation of software based manual parameterization . 47
7 Software safety requirements .47
7.1 General . 47
iii
7.2 Limited variability language (LVL) and full variability language (FVL) .49
7.2.1 Limited variability language (LVL) .49
7.2.2 Full variability language (FVL) .49
7.2.3 Decision for limited variability language (LVL) or full variability language
(FVL) .49
7.3 Safety-related embedded software (SRESW) . 51
7.3.1 Design of safety-related embedded software (SRESW) . 51
7.3.2 Alternative procedures for non-accessible embedded software . 52
7.4 Safety-related application software (SRASW) . 52
8 Verification of the achieved performance level .55
9 Ergonomic aspects of design .55
10 Validation . .55
10.1 Validation principles. 55
10.1.1 General . 55
10.1.2 Validation plan . 57
10.1.3 Generic fault lists .58
10.1.4 Specific fault lists .58
10.1.5 Information for validation .58
10.2 Validation of the safety requirements specification (SRS) . 59
10.3 Validation by analysis.60
10.3.1 General .60
10.3.2 Analysis techniques .60
10.4 Validation by testing .60
10.4.1 General .60
10.4.2 Measurement accuracy . 61
10.4.3 Additional requirements for testing . 62
10.4.4 Number of test samples . 62
10.4.5 Testing methods . . 62
10.5 Validation of the safety functions .63
10.6 Validation of the safety integrity of the SRP/CS .63
10.6.1 Validation of
...
INTERNATIONAL ISO
STANDARD 13849-1
Redline version
compares Fourth edition to
Third edition
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
ISO13849-1:redline:2023(E)
ISO13849-1:redline:2023(E)
IMPORTANT — PLEASE NOTE
This is a provisional mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
— indicates removed text (in red)
Text example 2
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
All changes in this document have yet to reach concensus by vote and as such should only
be used internally for review purposes.
DISCLAIMER
This Redline version is not an official IEC Standard and is intended only to provide the
user with an indication of what changes have been made to the previous version. Only the
current version of the standard is to be considered the official document.
This Redline version provides you with a quick and easy way to compare all the changes
between this standard and its previous edition. A vertical bar appears in the margin
wherever a change has been made. Additions and deletions are displayed in red, with
deletions being struck through.
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
ISO13849-1:redline:2023(E)
Contents Page
Foreword .vii
Introduction .ix
1 Scope . 1
2 Normative references . 2
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms . 14
4 Design considerations .16
4 Overview .16
4.1 Safety objectives in design . 16
4.1 Risk assessment and risk reduction process at the machine . 16
4.2 Strategy for Contribution to the risk reduction . 19
4.2.1 General . 19
4.2.2 Contribution to the risk reduction by the control system. 19
4.3 Determination of required performance level (PL ) . 23
r
4.3 Design process of an SRP/CS .23
4.4 Design of SRP/CS . 24
4.5 Evaluation of the achieved performance level PL and relationship with SIL .25
4.5.1 Performance level PL . 25
4.5.2 Mean time to dangerous failure of each channel (MTTF ) . 27
D
4.5.3 Diagnostic coverage (DC) .28
4.5.4 Simplified procedure for estimating the quantifiable aspects of PL .28
4.5.5 Description of the output part of the SRP/CS by category . 31
4.4 Methodology . 31
4.6 Software safety requirements . 32
4.6.1 General . 32
4.6.2 Safety-related embedded software (SRESW) . 33
4.6.3 Safety-related application software (SRASW) .34
4.6.4 Software-based parameterization .36
4.7 Verification that achieved PL meets PL . 37
r
4.5 Required information .38
4.8 Ergonomic aspects of design .38
4.6 Safety function realization by using subsystems .38
5 Safety Specification of safety functions .39
5.1 Specification of safety functions . 39
5.1 Identification and general description of the safety function .40
5.2 Details of safety functions. 43
5.2 Safety requirements specification . 43
5.2.1 Safety-related stop function . 43
5.2.1 General requirements . 43
5.2.2 Manual reset function .46
5.2.2 Requirements for specific safety functions .46
5.2.3 Start/restart function .50
5.2.3 Minimizing motivation to defeat safety functions .50
5.2.4 Local control function . 51
5.2.4 Remote access . 51
5.2.5 Muting function . 51
5.2.6 Response time . . . 52
5.2.7 Safety–related parameters. 52
5.2.8 Fluctuations, loss and restoration of power sources . 52
5.3 Determination of required performance level (PL ) for each safety function . . 52
r
5.4 Review of the safety requirements specification (SRS) . 52
iii
ISO13849-1:redline:2023(E)
5.5 Decomposition of SRP/CS into subsystems . 53
6 Categories and their relation to MTTF of each channel, DC and CCF .54
D avg
6.1 General .54
6 Design considerations .55
6.2 Specifications of categories .55
6.1 Evaluation of the achieved performance level . 55
6.2.1 6.1.1 General overview of performance level . 55
6.2.2 Designated architectures . 57
6.1.2 Correlation between performance level (PL) and safety integrity level (SIL) . 57
6.2.3 Category B . 57
6.2.4 Category 1 .58
6.2.5 Category 2 . 59
6.1.3 Architecture — Categories and their relation to MTTF of each channel,
D
average diagnostic coverage and common cause failure (CCF).60
6.2.6 Category 3 .68
6.1.4 Mean time to dangerous failure (MTTF ) .68
D
6.1.5 Diagnostic coverage (DC) . 70
6.1.6 Common cause failures (CCFs) . 71
6.1.7 Systematic failures . 71
6.1.8 Simplified procedure for estimating the performance level for subsystems . 71
6.1.9 Alternative procedure to determine the performance level and PFH
without MTTF .73
D
6.2.7 Category 4 .74
6.1.10 Fault consideration and fault exclusion .
...
NORME ISO
INTERNATIONALE 13849-1
Quatrième édition
2023-04
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos . vi
Introduction .viii
1 Domaine d'application .1
2 Références normatives .1
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations . 11
4 Présentation .13
4.1 Processus d'appréciation et de réduction du risque de la machine .13
4.2 Contribution à la réduction du risque . 14
4.3 Processus de conception d'une SRP/CS . 15
4.4 Méthodologie . . 17
4.5 Informations requises . 17
4.6 Réalisation de la fonction de sécurité en utilisant les sous-systèmes . 18
5 Spécification des fonctions de sécurité .18
5.1 Identification et description générale de la fonction de sécurité . 18
5.2 Spécification des exigences de sécurité . 19
5.2.1 Exigences générales . 19
5.2.2 Exigences relatives aux fonctions de sécurité spécifiques .22
5.2.3 Réduction le plus possible de l'incitation à neutraliser les fonctions de
sécurité .26
5.2.4 Accès à distance . 27
5.3 Détermination du niveau de performance requis (PL ) pour chaque fonction de
r
sécurité . 27
5.4 Examen de la spécification des exigences de sécurité (SRS) .28
5.5 Décomposition de la SRP/CS en sous-systèmes .28
6 Considérations relatives à la conception .30
6.1 Évaluation du niveau de performance atteint .30
6.1.1 Présentation générale du niveau de performance .30
6.1.2 Corrélation entre le niveau de performance (PL) et le niveau d'intégrité de
sécurité (SIL) . 31
6.1.3 Architecture — Catégories et leur relation aux MTTF de chaque canal,
D
couverture du diagnostic moyenne et défaillance de cause commune (CCF) . 32
6.1.4 Temps moyen avant défaillance dangereuse (MTTF ) .39
D
6.1.5 Couverture du diagnostic (DC). 41
6.1.6 Défaillances de cause commune (CCF) . 41
6.1.7 Défaillances systématiques . 42
6.1.8 Procédures simplifiées pour estimer le niveau de performance de sous-
systèmes . 42
6.1.9 Autre procédure pour déterminer le niveau de performance et la PFH sans
MTTF .44
D
6.1.10 Prise en compte et exclusion des défauts .46
6.1.11 Composant éprouvé . 47
6.2 Combinaison des sous-systèmes pour atteindre un niveau de performance global
de la fonction de sécurité . 47
6.2.1 Généralités . 47
6.2.2 Valeurs PFH connues .48
6.2.3 Valeurs PFH inconnues .48
6.3 Paramétrage manuel lié au logiciel .49
6.3.1 Généralités .49
6.3.2 Influences sur les paramètres relatifs à la sécurité .49
6.3.3 Exigences relatives au paramétrage manuel lié au logiciel .50
iii
6.3.4 Vérification de l'outil de paramétrage. 51
6.3.5 Documentation de paramétrage manuel lié au logiciel . 51
7 Exigences concernant les logiciels .52
7.1 Généralités . 52
7.2 Langage de variabilité limitée (LVL) et langage de variabilité totale (FVL) .53
7.2.1 Langage de variabilité limitée (LVL) . 53
7.2.2 Langage de variabilité totale (FVL) .54
7.2.3 Décision pour le langage de variabilité limitée (LVL) ou le langage de
variabilité totale (FVL) .54
7.3 Logiciel intégré relatif à la sécurité (SRESW) .56
7.3.1 Conception du logiciel intégré relatif à la sécurité (SRESW) .56
7.3.2 Autres procédures pour le logiciel intégré non accessible . 57
7.4 Logiciel applicatif relatif à la sécurité (SRASW) . 57
8 Vérification du niveau de performance atteint .60
9 Aspects ergonomiques de la conception .61
10 Validation . .61
10.1 Principes de validation . 61
10.1.1 Généralités . 61
10.1.2 Plan de validation .63
10.1.3 Listes des défauts génériques .64
10.1.4 Listes des défauts spécifiques .64
10.1.5 Informations pour la validation .64
10.2 Validation de la spécification des exigences de sécurité (SRS) .65
10.3 Validation par analyse .66
10.3.1 Généralités .66
10.3.2 Techniques d'analyse .66
10.4 Validation par essais . 67
10.4.1 Généralités . 67
10.4.2 Exactitude des mesures . 67
10.4.3 Exigences supplémentaires relatives aux essais .68
10.4.4 Nombre d'échantillons .68
10.4.5 Méthodes d'essai .68
10.5 Validation des fonctions de sécurité .
...
NORME ISO
INTERNATIONALE 13849-1
Redline version
compare la Quatrième
édition à la Troisième édition
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
ISO13849-1:redline:2023(F)
ISO13849-1:redline:2023(F)
IMPORTANT — PLEASE NOTE
This is a provisional mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
— indicates removed text (in red)
Text example 2
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
All changes in this document have yet to reach concensus by vote and as such should only
be used internally for review purposes.
DISCLAIMER
This Redline version is not an official IEC Standard and is intended only to provide the
user with an indication of what changes have been made to the previous version. Only the
current version of the standard is to be considered the official document.
This Redline version provides you with a quick and easy way to compare all the changes
between this standard and its previous edition. A vertical bar appears in the margin
wherever a change has been made. Additions and deletions are displayed in red, with
deletions being struck through.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
ISO13849-1:redline:2023(F)
Sommaire Page
Avant-propos .vii
Introduction .ix
1 Domaine d'application .1
2 Références normatives .2
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations .15
4 Présentation .16
4.1 Processus d'appréciation et de réduction du risque de la machine . 16
4.2 Contribution à la réduction du risque . 18
4.3 Processus de conception d'une SRP/CS . 19
4.4 Méthodologie . . 21
4.5 Informations requises . 21
4.6 Réalisation de la fonction de sécurité en utilisant les sous-systèmes .22
5 Spécification des fonctions de sécurité .22
5.1 Identification et description générale de la fonction de sécurité .22
5.2 Spécification des exigences de sécurité . 23
5.2.1 Exigences générales .23
5.2.2 Exigences relatives aux fonctions de sécurité spécifiques .26
5.2.3 Réduction le plus possible de l'incitation à neutraliser les fonctions de
sécurité .30
5.2.4 Accès à distance . 31
5.3 Détermination du niveau de performance requis (PL ) pour chaque fonction de
r
sécurité . 31
5.4 Examen de la spécification des exigences de sécurité (SRS) . 31
5.5 Décomposition de la SRP/CS en sous-systèmes . 32
4 6 .
Considérations relatives à la conception .34
4.1 Objectifs de sécurité lors de la conception .34
4.2 Stratégie de réduction du risque . 36
4.2.1 Généralités .36
4.2.2 Contribution à la réduction du risque par le système de commande .36
4.3 Détermination du niveau de performance requis (PL ) .39
r
4.4 Conception des SRP/CS .40
4.5 6.1 .
Évaluation du niveau de performance PL atteint et relation avec le SIL atteint . 41
4.5.1 6.1.1 .
Niveau Présentation générale du niveau de performance PL . 41
6.1.2 Corrélation entre le niveau de performance (PL) et le niveau d'intégrité de
sécurité (SIL) .44
6.1.3 Architecture — Catégories et leur relation aux MTTF de chaque canal,
D
couverture du diagnostic moyenne et défaillance de cause commune (CCF) . 45
4.5.2 6.1.4 .
Temps moyen avant défaillance dangereuse pour chaque canal (MTTF ) . 52
D
4.5.3 6.1.5 .
Couverture du diagnostic (DC). 53
6.1.6 Défaillances de cause commune (CCF) .54
6.1.7 Défaillances systématiques .54
4.5.4 6.1.8 .
Procédure simplifiée pour l'estimation des aspects quantifiables d'un PL .55
iii
ISO13849-1:redline:2023(F)
4.5.4 6.1.8 .
Procédures simplifiées pour estimer le niveau de performance de sous-
systèmes .55
4.5.5 6.1.9 .
Description du dispositif de sortie du SRP/CS par catégorie.58
4.5.5 6.1.9 .
Autre procédure pour déterminer le niveau de performance et la PFH sans
MTTF . 59
D
6.1.10 Prise en compte et exclusion des défauts . 61
6.1.11 Composant éprouvé . 62
6.2 Combinaison des sous-systèmes pour atteindre un niveau de performance global
de la fonction de sécurité . 62
6.2.1 Généralités . 62
6.2.2 Valeurs PFH connues .63
6.2.3 Valeurs PFH inconnues .63
4.6 6.3 .
Exigences pour le logiciel de sécurité .64
4.6.1 Généralités .64
4.6.2 Logiciel intégré relatif à la sécurité (SRESW) .65
4.6 6.3 .
Paramétrage manuel lié au logiciel .66
4.6.3 6.3.1 .
Logiciel applicatif relatif à la sécurité (SRASW) .66
4.6.3 6.3.1 .
Généralités .68
6.3.2 Influences sur les paramètres relatifs à la sécurité .69
4.6.4 6.3.3 .
Paramétrage Exigences relatives au paramétrage manuel lié au logiciel .69
6.3.4 Vérification de l'outil de paramétrage.72
6.3.5 Documentation de paramétrage manuel lié au logiciel .72
4.7 Vérification de l'atteinte du PL req
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.