Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

ISO 13849-1:2015 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS for high demand and continuous mode, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used. NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856‑1 and ISO 13856‑2. NOTE 2 For the definition of required performance level, see 3.1.24. NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are compatible with the methodology for the design and development of safety-related electrical, electronic and programmable electronic control systems for machinery given in IEC 62061. NOTE 4 For safety-related embedded software for components with PLr = e, see IEC 61508?3:1998, Clause 7.

Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception

La présente partie de l'ISO 13849 fournit des exigences de sécurité et des conseils relatifs aux principes de conception et d'intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS) incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau de performance requis, pour réaliser ces fonctions de sécurité. Elle s'applique aux SRP/CS pour le mode de demande élevée et le mode continu, indépendamment du type de technologie et d'énergie utilisé (électrique, hydraulique, pneumatique mécanique, etc.), quelques soient les machines. Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés dans un cas particulier. La présente partie de l'ISO 13849 fournit des exigences spécifiques pour les SRP/CS utilisant un (des) système(s) électronique(s) programmable(s). Elle ne donne pas d'exigences spécifiques pour la conception de composants intégrés dans les SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance, peuvent être utilisés. NOTE 1 Exemples de composants intégrés dans les SRP/CS: relais, distributeur solénoïde, interrupteur de position, PLC, unité de commande de moteurs, dispositifs de commande bimanuelle, dispositifs de protection électrosensibles. Pour la conception de tels composants, il est recommandé de se référer aux normes spécifiques, par exemple l'ISO 13851, l'ISO 13856‑1 et l'ISO 13856‑2. NOTE 2 Pour la définition du niveau de performance requis, voir 3.1.24. NOTE 3 Les exigences fournies dans la présente partie de l'ISO 13849 pour les systèmes électroniques programmables sont compatibles avec la méthodologie pour la conception et le développement des systèmes, pour les machines, de commande électriques, électroniques et électroniques programmables relatifs à la sécurité donnés dans la IEC 61061. NOTE 4 Pour le logiciel embarqué relatif à la sécurité pour des composants de PLr = e, voir la IEC 61508-3:1998, Article 7.

General Information

Status: Withdrawn
Publication Date: 03-Dec-2015

ICS: 13.110 - Safety of machinery

Technical Committee: ISO/TC 199 - Safety of machinery
Drafting Committee: ISO/TC 199 - Safety of machinery

Current Stage: 9599 - Withdrawal of International Standard
Start Date: 26-Apr-2023
Completion Date: 13-Dec-2025

Relations

Consolidates: ISO 12742:2007 - Copper, lead, and zinc sulfide concentrates - Determination of transportable moisture limits - Flow-table method
Effective Date: 06-Jun-2022

Revised: ISO 13849-1:2023 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
Effective Date: 25-Mar-2017

Revises: ISO 13849-1:2006/FDAmd 1 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design - Amendment 1
Effective Date: 05-Nov-2015

Revises: ISO 13849-1:2006 - Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design
Effective Date: 04-Nov-2015

ISO 13849-1:2015 - Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Released:12/4/2015 - Page 1 preview

ISO 13849-1:2015 - Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Released:12/4/2015 - Page 2 preview

ISO 13849-1:2015 - Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design
Released:12/4/2015 - Page 3 preview

Standard

ISO 13849-1:2015 - Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design Released:12/4/2015

English language

86 pages

sale 15% off

Preview

sale 15% off

Preview

ISO 13849-1:2015 - Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception
Released:12/4/2015 - Page 1 preview

Standard

ISO 13849-1:2015 - Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception Released:12/4/2015

French language

94 pages

sale 15% off

Preview

sale 15% off

Preview

Frequently Asked Questions

What is ISO 13849-1:2015?

ISO 13849-1:2015 is a standard published by the International Organization for Standardization (ISO). Its full title is "Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design". This standard covers: ISO 13849-1:2015 provides safety requirements and guidance on the principles for the design and integration of safety-related parts of control systems (SRP/CS), including the design of software. For these parts of SRP/CS, it specifies characteristics that include the performance level required for carrying out safety functions. It applies to SRP/CS for high demand and continuous mode, regardless of the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds of machinery. It does not specify the safety functions or performance levels that are to be used in a particular case. This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic system(s). It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless, the principles given, such as categories or performance levels, can be used. NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs, motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products, it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856‑1 and ISO 13856‑2. NOTE 2 For the definition of required performance level, see 3.1.24. NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are compatible with the methodology for the design and development of safety-related electrical, electronic and programmable electronic control systems for machinery given in IEC 62061. NOTE 4 For safety-related embedded software for components with PLr = e, see IEC 61508?3:1998, Clause 7.

What is the scope of ISO 13849-1:2015?

What ICS categories does ISO 13849-1:2015 belong to?

ISO 13849-1:2015 is classified under the following ICS (International Classification for Standards) categories: 13.110 - Safety of machinery. The ICS classification helps identify the subject area and facilitates finding related standards.

What standards are related to ISO 13849-1:2015?

ISO 13849-1:2015 has the following relationships with other standards: It is inter standard links to ISO 12742:2007, ISO 13849-1:2023, ISO 13849-1:2006/FDAmd 1, ISO 13849-1:2006. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I access ISO 13849-1:2015?

ISO 13849-1:2015 is available in PDF format for immediate download after purchase. The document can be added to your cart and obtained through the secure checkout process. Digital delivery ensures instant access to the complete standard document.

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 13849-1
Third edition
2015-12-15
Safety of machinery — Safety-related
parts of control systems —
Part 1:
General principles for design
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 1: Principes généraux de conception
Reference number
©
ISO 2015
© ISO 2015, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2015 – All rights reserved

Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions, symbols and abbreviated terms . 2
3.1 Terms and definitions . 2
3.2 Symbols and abbreviated terms. 7
4 Design considerations . 9
4.1 Safety objectives in design . 9
4.2 Strategy for risk reduction .11
4.2.1 General.11
4.2.2 Contribution to the risk reduction by the control system .11
4.3 Determination of required performance level (PL ) .13
r
4.4 Design of SRP/CS.14
4.5 Evaluation of the achieved performance level PL and relationship with SIL .15
4.5.1 Performance level PL .15
4.5.2 Mean time to dangerous failure of each channel (MTTF ) .16
D
4.5.3 Diagnostic coverage (DC) .17
4.5.4 Simplified procedure for estimating the quantifiable aspects of PL .17
4.5.5 Description of the output part of the SRP/CS by category .19
4.6 Software safety requirements .20
4.6.1 General.20
4.6.2 Safety-related embedded software (SRESW) .21
4.6.3 Safety-related application software (SRASW) .22
4.6.4 Software-based parameterization .24
4.7 Verification that achieved PL meets PL .
r 25
4.8 Ergonomic aspects of design .26
5 Safety functions .26
5.1 Specification of safety functions .26
5.2 Details of safety functions .28
5.2.1 Safety-related stop function .28
5.2.2 Manual reset function .29
5.2.3 Start/restart function .29
5.2.4 Local control function.30
5.2.5 Muting function . .30
5.2.6 Response time .30
5.2.7 Safety–related parameters .30
5.2.8 Fluctuations, loss and restoration of power sources .30
6 Categories and their relation to MTTF of each channel, DC and CCF .31
D avg
6.1 General .31
6.2 Specifications of categories .31
6.2.1 General.31
6.2.2 Designated architectures .32
6.2.3 Category B.32
6.2.4 Category 1 .33
6.2.5 Category 2 .34
6.2.6 Category 3 .35
6.2.7 Category 4 .36
6.3 Combination of SRP/CS to achieve overall PL .38
7 Fault consideration, fault exclusion.40
7.1 General .40
7.2 Fault consideration .40
7.3 Fault exclusion .40
8 Validation .40
9 Maintenance .40
10 Technical documentation .41
11 Information for use .41
Annex A (informative) Determination of required performance level (PL ) .43
r
Annex B (informative) Block method and safety-related block diagram .47
Annex C (informative) Calculating or evaluating MTTF values for single components .49
D
Annex D (informative) Simplified method for estimating MTTF for each channel .56
D
Annex E (informative) Estimates for diagnostic coverage (DC) for functions and modules .58
Annex F (informative) Estimates for common cause failure (CCF) .61
Annex G (informative) Systematic failure.63
Annex H (informative) Example of combination of several safety-related partsof the
control system .66
Annex I (informative) Examples .69
Annex J (informative) Software .76
Annex K (informative) Numerical representation of Figure 5 .79
Bibliography .84
iv © ISO 2015 – All rights reserved

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical
Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 199, Safety of machinery.
This third edition cancels and replaces the second edition (ISO 13849-1:2006), which has been
technically revised. It also incorporates Technical Corrigendum ISO 13849-1:2006/Cor 1:2009. Changes
from the previous edition include
— deletion of the former Table 1 from the Introduction,
— updating and addition of normative references,
— modification of the definitions of terms hazardous situation and high demand or continuous mode,
— addition of a new term and definition, proven in use,
— editorial, but not technical, modification of Figure 1,
— a new subclause, 4.5.5, as well as modifications to existing sections including the annexes, substantial
modification of Annex C and an entirely new Annex I.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related
parts of control systems:
— Part 1: General principles for design
— Part 2: Validation
Introduction
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basis standards) give basic concepts, principles for design and general aspects
that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This part of ISO 13849 is a type-B-1 standard as stated in ISO 12100.
This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.).
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e. g. for maintenance (small, medium and large enterprises);
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed
and built according to the requirements of that standard, the requirements of that type-C standard
take precedence.
When provisions of a type-C standard are different from those which are stated in type-A or type-B
standards, the provisions of the type-C standard take precedence over the provisions of the other
standards for machines that have been designed and built according to the provisions of the type-C
standard.
This part of ISO 13849 is intended to give guidance to those involved in the design and assessment
of control systems, and to Technical Committees preparing type-B2 or type-C standards which are
presumed to comply with the Essential Safety Requirements of Annex I of the Directive 2006/42/EC on
machinery. It does not give specific guidance for compliance with other EC directives.
As part of the overall risk reduction strategy at a machine, a designer will often choose to achieve some
measure of risk reduction through the application of safeguards employing one or more safety functions.
vi © ISO 2015 – All rights reserved

Parts of machinery control systems that are assigned to provide safety functions are called safety-
related parts of control systems (SRP/CS) and these can consist of hardware and software and can
either be separate from the machine control system or an integral part of it. In addition to providing
safety functions, SRP/CS can also provide operational functions (e.g. two-handed controls as a means of
process initiation).
The ability of safety-related parts of control systems to perform a safety function under foreseeable
conditions is allocated one of five levels, called performance levels (PL). These performance levels are
defined in terms of probability of dangerous failure per hour (see Table 2).
The probability of dangerous failure of the safety function depends on several factors, including
hardware and software structure, the extent of fault detection mechanisms [diagnostic coverage (DC)],
reliability of components [mean time to dangerous failure (MTTF ), common cause failure (CCF)],
D
design process, operating stress, environmental conditions and operation procedures.
In order to assist the designer and facilitate the assessment of achieved PL, this document employs
a methodology based on the categorization of structures according to specific design criteria and
specified behaviours under fault conditions. These categories are allocated one of five levels, termed
Categories B, 1, 2, 3 and 4.
The performance levels and categories can be applied to safety-related parts of control systems, such as
— protective devices (e.g. two-hand control devices, interlocking devices), electro-sensitive protective
devices (e.g. photoelectric barriers), pressure sensitive devices,
— control units (e.g. a logic unit for control functions, data processing, monitoring, etc.), and
— power control elements (e.g. relays, valves, etc.),
as well as to control systems carrying out safety functions at all kinds of machinery — from simple (e.g.
small kitchen machines, or automatic doors and gates) to manufacturing installations (e.g. packaging
machines, printing machines, presses).
This part of ISO 13849 is intended to provide a clear basis upon which the design and performance of
any application of the SRP/CS (and the machine) can be assessed, for example, by a third party, in-house
or by an independent test house.
Information on the recommended application of IEC 62061 and this part of ISO 13849
IEC 62061 and this part of ISO 13849 specify requirements for the design and implementation of safety-
related control systems of machinery. The use of either of these International Standards, in accordance
with their scopes, can be presumed to fulfil the relevant essential safety requirements. ISO/TR 23849
gives guidance on the application of this part of ISO 13849 and IEC 62061 in the design of safety-related
control systems for machinery.
As with ISO/TR 23849, ISO/TR 22100-2 has been added to the list of normative references given in
Clause 2 — the latter owing to its importance for an understanding of the relationship between this
part of ISO 13849 and ISO 12100.
INTERNATIONAL STANDARD ISO 13849-1:2015(E)
Safety of machinery — Safety-related parts of control
systems —
Part 1:
General principles for design
1 Scope
This part of ISO 13849 provides safety requirements and guidance on the principles for the design
and integration of safety-related parts of control systems (SRP/CS), including the design of software.
For these parts of SRP/CS, it specifies characteristics that include the performance level required for
carrying out safety functions. It applies to SRP/CS for high demand and continuous mode, regardless of
the type of technology and energy used (electrical, hydraulic, pneumatic, mechanical, etc.), for all kinds
of machinery.
It does not specify the safety functions or performance levels that are to be used in a particular case.
This part of ISO 13849 provides specific requirements for SRP/CS using programmable electronic
system(s).
It does not give specific requirements for the design of products which are parts of SRP/CS. Nevertheless,
the principles given, such as categories or performance levels, can be used.
NOTE 1 Examples of products which are parts of SRP/CS: relays, solenoid valves, position switches, PLCs,
motor control units, two-hand control devices, pressure sensitive equipment. For the design of such products,
it is important to refer to the specifically applicable International Standards, e.g. ISO 13851, ISO 13856-1 and
ISO 13856-2.
NOTE 2 For the definition of required performance level, see 3.1.24.
NOTE 3 The requirements provided in this part of ISO 13849 for programmable electronic systems are
compatible with the methodology for the design and development of safety-related electrical, electronic and
programmable electronic control systems for machinery given in IEC 62061.
NOTE 4 For safety-related embedded software for components with PL = e, see IEC 61508–3:1998, Clause 7.
r
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-2:2012, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
IEC 60050-191:1990, International electrotechnical vocabulary — Chapter 191: Dependability and quality
of service. Amended by IEC 60050-191-am1:1999 and IEC 60050-191-am2:2002:1999
IEC 61508-3:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 3: Software requirements. Corrected by IEC 61508-3/Cor.1:1999
IEC 61508-4:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations. Corrected by IEC 61508-4/Cor.1:1999
IEC 62061:2012, Safety of machinery — Functional safety of safety–related electrical, electronic and
programmable electronic control systems
ISO/TR 22100-2:2013, Safety of machinery — Relationship with ISO 12100 — Part 2: How ISO 12100
relates to ISO 13849-1
ISO/TR 23849, Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related
control systems for machinery
3 Terms, definitions, symbols and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100 and IEC 60050-191 and
the following apply.
3.1.1
safety–related part of a control system
SRP/CS
part of a control system that responds to safety-related input signals and generates safety-related
output signals
Note 1 to entry: The combined safety-related parts of a control system start at the point where the safety-related
input signals are initiated (including, for example, the actuating cam and the roller of the position switch) and
end at the output of the power control elements (including, for example, the main contacts of a contactor).
Note 2 to entry: If monitoring systems are used for diagnostics, they are also considered as SRP/CS.
3.1.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and
their subsequent behaviour in the fault condition, and which is achieved by the structural arrangement
of the parts, fault detection and/or by their reliability
3.1.3
fault
state of an item characterized by the inability to perform a required function, excluding the inability
during preventive maintenance or other planned actions, or due to lack of external resources
Note 1 to entry: A fault is often the result of a failure of the item itself, but may exist without prior failure.
Note 2 to entry: In this part of ISO 13849, “fault” means random fault.
[SOURCE: IEC 60050-191:1990, 05-01.]
3.1.4
failure
termination of the ability of an item to perform a required function
Note 1 to entry: After a failure, the item has a fault.
Note 2 to entry: “Failure” is an event, as distinguished from “fault”, which is a state.
Note 3 to entry: The concept as defined does not apply to items consisting of software only.
Note 4 to entry: Failures which only affect the availability of the process under control are outside of the scope of
this part of ISO 13849.
[SOURCE: IEC 60050–191:1990, 04-01.]
2 © ISO 2015 – All rights reserved

3.1.5
dangerous failure
failure which has the potential to put the SRP/CS in a hazardous or fail-to-function state
Note 1 to entry: Whether or not the potential is realized can depend on the channel architecture of the system;
in redundant systems a dangerous hardware failure is less likely to lead to the overall dangerous or fail-to-
function state.
Note 2 to entry: [SOURCE: IEC 61508–4, 3.6.7, modified.]
3.1.6
common cause failure
CCF
failures of different items, resulting from a single event, where these failures are not consequences
of each other
Note 1 to entry: Common cause failures should not be confused with common mode failures (see
ISO 12100:2010, 3.36).
[SOURCE: IEC 60050-191-am1:1999, 04-23.]
3.1.7
systematic failure
failure related in a deterministic way to a certain cause, which can only be eliminated by a modification
of the design or of the manufacturing process, operational procedures, documentation or other
relevant factors
Note 1 to entry: Corrective maintenance without modification will usually not eliminate the failure cause.
Note 2 to entry: A systematic failure can be induced by simulating the failure cause.
Note 3 to entry: Examples of causes of systematic failures include human error in
—  the safety requirements specification,
—  the design, manufacture, installation, operation of the hardware, and
—  the design, implementation, etc., of the software.
[SOURCE: IEC 60050-191:1990, 04-19.]
3.1.8
muting
temporary automatic suspension of a safety function(s) by the SRP/CS
3.1.9
manual reset
function within the SRP/CS used to restore manually one or more safety functions before re-
starting a machine
3.1.10
harm
physical injury or damage to health
[SOURCE: ISO 12100:2010, 3.5.]
3.1.11
hazard
potential source of harm
Note 1 to entry: A hazard can be qualified in order to define its origin (e.g. mechanical hazard, electrical hazard)
or the nature of the potential harm (e.g. electric shock hazard, cutting hazard, toxic hazard, fire hazard).
Note 2 to entry: The hazard envisaged in this definition:
—  either is permanently present during the intended use of the machine (e.g. motion of hazardous moving
elements, electric arc during a welding phase, unhealthy posture, noise emission, high temperature);
—  or may appear unexpectedly (e.g. explosion, crushing hazard as a consequence of an unintended/unexpected
start-up, ejection as a consequence of a breakage, fall as a consequence of acceleration/deceleration).
[SOURCE: ISO 12100:2010, 3.6, modified.]
3.1.12
hazardous situation
circumstance in which a person is exposed to at least one hazard
Note 1 to entry: The exposure can result in harm immediately or over a period of time.
[SOURCE: ISO 12100:2010, 3.10.]
3.1.13
risk
combination of the probability of occurrence of harm and the severity of that harm
[SOURCE: ISO 12100:2010, 3.12.]
3.1.14
residual risk
risk remaining after protective measures have been taken
Note 1 to entry: See Figure 2.
[SOURCE: ISO 12100:2010, 3.13, modified.]
3.1.15
risk assessment
overall process comprising risk analysis and risk evaluation
[SOURCE: ISO 12100:2010, 3.17.]
3.1.16
risk analysis
combination of the specification of the limits of the machine, hazard identification and risk estimation
[SOURCE: ISO 12100:2010, 3.15.]
3.1.17
risk evaluation
judgement, on the basis of risk analysis, of whether risk reduction objectives have been achieved
[SOURCE: ISO 12100:2010, 3.16.]
3.1.18
intended use of a machine
use of the machine in accordance with the information provided in the instructions for use
[SOURCE: ISO 12100:2010, 3.23.]
3.1.19
reasonably foreseeable misuse
use of a machine in a way not intended by the designer, but which may result from readily predictable
human behaviour
[SOURCE: ISO 12100:2010, 3.24.]
4 © ISO 2015 – All rights reserved

3.1.20
safety function
function of the machine whose failure can result in an immediate increase of the risk(s)
[SOURCE: ISO 12100:2010, 3.30.]
3.1.21
monitoring
safety function which ensures that a protective measure is initiated if the ability of a component or an
element to perform its function is diminished or if the process conditions are changed in such a way
that a decrease of the amount of risk reduction is generated
3.1.22
programmable electronic system
PES
system for control, protection or monitoring dependent for its operation on one or more programmable
electronic devices, including all elements of the system such as power supplies, sensors and other input
devices, contactors and other output devices
[SOURCE: IEC 61508-4:1998, 3.3.2, modified.]
3.1.23
performance level
PL
discrete level used to specify the ability of safety-related parts of control systems to perform a safety
function under foreseeable conditions
Note 1 to entry: See 4.5.1.
3.1.24
required performance level
PL
r
performance level (PL) applied in order to achieve the required risk reduction for each safety function
Note 1 to entry: See Figures 2 and A.1.
3.1.25
mean time to dangerous failure
MTTF
D
expectation of the mean time to dangerous failure
[SOURCE: IEC 62061:2005, 3.2.34, modified.]
3.1.26
diagnostic coverage
DC
measure of the effectiveness of diagnostics, which may be determined as the ratio between the failure
rate of detected dangerous failures and the failure rate of total dangerous failures
Note 1 to entry: Diagnostic coverage can exist for the whole or parts of a safety-related system. For example,
diagnostic coverage could exist for sensors and/or logic system and/or final elements.
[SOURCE: IEC 61508-4:1998, 3.8.6, modified.]
3.1.27
protective measure
measure intended to achieve risk reduction
EXAMPLE 1 Implemented by the designer: inherent design, safeguarding and complementary protective
measures, information for use.
EXAMPLE 2 Implemented by the user: organization (safe working procedures, supervision, permit-to-work
systems), provision and use of additional safeguards, personal protective equipment, training.
[SOURCE: ISO 12100:2010, 3.19, modified.]
3.1.28
mission time
T
M
period of time covering the intended use of an SRP/CS
3.1.29
test rate
r
t
frequency of automatic tests to detect faults in a SRP/CS, reciprocal value of diagnostic test interval
3.1.30
demand rate
r
D
frequency of demands for a safety-related action of the SRP/CS
3.1.31
repair rate
r
r
reciprocal value of the period of time between detection of a dangerous failure by either an
online test or obvious malfunction of the system and the restart of operation after repair or
system/component replacement
Note 1 to entry: The repair time does not include the span of time needed for failure-detection.
3.1.32
machine control system
system which responds to input signals from parts of machine elements, operators, external control
equipment or any combination of these and generates output signals causing the machine to behave in
the intended manner
Note 1 to entry: The machine control system can use any technology or any combination of different technologies
(e.g. electrical/electronic, hydraulic, pneumatic, mechanical).
3.1.33
safety integrity level
SIL
discrete level (one out of a possible four) for specifying the safety integrity requirements of the safety
functions to be allocated to the E/E/PE safety-related systems, where safety integrity level 4 has the
highest level of safety integrity and safety integrity level 1 has the lowest
[SOURCE: IEC 61508-4:1998, 3.5.6.]
3.1.34
limited variability language
LVL
type of language that provides the capability of combining predefined, application-specific library
functions to implement the safety requirements specifications
Note 1 to entry: Typical examples of LVL (ladder logic, function block diagram) are given in IEC 61131–3.
Note 2 to entry: A typical example of a system using LVL: PLC.
[SOURCE: IEC 61511-1:2003, 3.2.80.1.2, modified.]
6 © ISO 2015 – All rights reserved

3.1.35
full variability language
FVL
type of language that provides the capability of implementing a wide variety of functions and applications
EXAMPLE C, C++, Assembler.
Note 1 to entry: A typical example of systems using FVL: embedded systems.
Note 2 to entry: In the field of machinery, FVL is found in embedded software and rarely in application software.
[SOURCE: IEC 61511-1:2003, 3.2.80.1.3, modified.]
3.1.36
application software
software specific to the application, implemented by the machine manufacturer, and generally
containing logic sequences, limits and expressions that control the appropriate inputs, outputs,
calculations and decisions necessary to meet the SRP/CS requirements
3.1.37
embedded software
firmware
system software
software that is part of the system supplied by the control manufacturer and which is not accessible for
modification by the user of the machinery
Note 1 to entry: Embedded software is usually written in FVL.
3.1.38
high demand or continuous mode
mode of operation in which the frequency of demands on a SRP/CS is greater than one per year or the
safety related control function retains the machine in a safe state as part of normal operation
[SOURCE: IEC 62061:2012, 3.2.27, modified.]
3.1.39
proven in use
demonstration, based on an analysis of operational experience for a specific configuration of an
element, that the likelihood of dangerous systematic faults is low enough so that every safety function
that uses the element achieves its required performance level (PL )
r
[SOURCE: IEC 61508-4:2010, 3.8.18, modified.]
3.2 Symbols and abbreviated terms
See Table 1.
Table 1 — Symbols and abbreviated terms
Symbol or ab- Definition or occur-
Description
breviation rence
a, b, c, d, e Denotation of performance levels Table 3
AOPD Active optoelectronic protective device (e.g. light barrier) Annex H
B, 1, 2, 3, 4 Denotation of categories Table 7
B Number of cycles until 10 % of the components fail dangerously (for Annex C
10D
pneumatic and electromechanical components)
Cat. Category 3.1.2
CC Current converter Annex I
CCF Common cause failure 3.1.6
DC Diagnostic coverage 3.1.26
DC Average diagnostic coverage E.2
avg
F, F1, F2 Frequency and/or time of exposure to the hazard A.2.2
FB Function block 4.6.3
FVL Full variability language 3.1.35
FMEA Failure modes and effects analysis 7.2
I, I1, I2 Input device, e.g. sensor 6.2
i, j Index for counting Annex D
I/O Inputs/outputs Table E.1
i , i Interconnecting means Figure 4
ab bc
K1A, K1B Contactors Annex I
L, L1, L2 Logic 6.2
LVL Limited variability language 3.1.34
M Motor Annex I
MTTF Mean time to failure Annex C
MTTF Mean time to dangerous failure 3.1.25
D
Number of items 6.3, D.1

n, N, N
N Number of SRP/CS with PL in a combination of SRP/CS 6.3
low low
n Mean number of annual operations Annex C
op
O, O1, O , OTE Output device, e.g. actuator 6.2
P, P1, P2 Possibility of avoiding the hazard A.2.3
PES Programmable electronic system 3.1.22
PFH average probability of dangerous failure per hour Table 3 and Table K.1
D
PL Performance level 3.1.23
PLC Programmable logic controller Annex I
PL Lowest performance level of a SRP/CS in a combination of SRP/CS 6.3
low
PL Required performance level 3.1.24
r
r Demand rate 3.1.30
D
r Test rate 3.1.29
t
RS Rotation sensor Annex I
S, S1, S2 Severity of injury A.2.1
SW1A, SW1B, SW2 Position switches Annex I
8 © ISO 2015 – All rights reserved

Table 1 (continued)
Symbol or ab- Definition or occur-
Description
breviation rence
SIL Safety integrity level Table 4
SRASW Safety-related application software 4.6.3
SRESW Safety-related embedded software 4.6.2
SRP Safety-related part General
SRP/CS Safety-related part of a control system 3.1.1
TE Test equipment 6.2
T Mission time 3.1.28
M
T Mean time until 10 % of the components fail dangerously Annex C
10D
4 Design considerations
4.1 Safety objectives in design
The SRP/CS shall be designed and constructed so that the principles of ISO 12100 are fully taken into
account (see Figures 1 and 3). All intended use and reasonable foreseeable misuse shall be considered.
a
Refers to ISO 12100:2010
b
Refers to this part of ISO 13849
Figure 1 — Overview of risk assessment/risk reduction
10 © ISO 2015 – All rights reserved

4.2 Strategy for risk reduction
4.2.1 General
The strategy for risk reduction at the machine is given in ISO 12100:2010, 6.1, and further guidance is
given in ISO 12100:2010, 6.2 (inherent design measures) and 6.3 (safeguarding and complementary
protective measures). This strategy covers the whole life cycle of the machine.
The hazard analysis and risk reduction process for a machine requires that hazards are eliminated or
reduced through a hierarchy of measures:
— hazard elimination or risk reduction by design (see ISO 12100:2010, 6.2);
— risk reduction by safeguarding and possibly complementary protective measures (see
ISO 12100:2010, 6.3);
— risk reduction by the provision of information for use about the residual risk (see ISO 12100:2010, 6.4).
4.2.2 Contribution to the risk reduction by the control system
The purpose in following the overall design procedure for the machine is to achieve the safety objectives
(see 4.1). The design of the SRP/CS to provide the required risk reduction is an integral subset of
the overall design procedure for the machine. The SRP/CS provides safety function(s) at a PL which
achieves the required risk reduction. In providing safety function(s), either as an inherently safe part
of the design or as a control for an interlocking guard or protective device, the design of the SRP/CS is a
part of the strategy for risk reduction. This is an iterative process and is illustrated in Figures 1 and 3.
NOTE There is no need to apply this strategy of risk reduction on non-safety related parts of control systems
or purely functional elements of a machine (see ISO/TR 22100-2:2013, Clause 3).
For each safety function, the characteristics (see Clause 5) and the required performance level shall be
specified and documented in the safety requirements specification.
In this part of ISO 13849 the performance levels are defined in terms of probability of dangerous failure
per hour. Five performance levels are set out, from the lowest PL a to the highest PL e with defined
ranges of probability of a dangerous failure per hour (see Table 2).
In order to achieve a PL, beside quantifiable aspects, it is also necessary to satisfy requirements related
to qualitative aspects of PL (see 4.5).
Table 2 — Performance levels (PL)
Average probability of dangerous failure per hour (PFH )
D
PL
1/h
−5 −4
a ≥ 10 to < 10
−6 −5
b ≥ 3 × 10 to < 10
−6 −6
c ≥ 10 to < 3 × 10
−7 −6
d ≥ 10 to < 10
−8 −7
e ≥ 10 to < 10
From the risk assessment (see ISO 12100) at the machine, the designer shall decide the contribution
to the reduction of risk which needs to be provided by each relevant safety function which is carried
out by the SRP/CS(s). This contribution does not cover the overall risk of the machinery under control,
e.g. not the overall risk of a mechanical press, or washing machine is considered, but that part of risk
reduced by the application of particular safety functions. Examples of such functions are the stopping
function initiated by using an electro-sensitive protective device on a press or the door-locking function
of a washing machine.
Risk reduction can be achieved by applying various protective measures (both SRP/CS and non SRP/CS)
with the end result of achieving a safe condition (see Figure 2).
Key
R for a specific haza
...

NORME ISO
INTERNATIONALE 13849-1
Troisième édition
2015-12-15
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 1:
Principes généraux de conception
Safety of machinery — Safety-related parts of control systems —
Part 1: General principles for design
Numéro de référence
©
ISO 2015
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2015, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2015 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes, définitions, symboles et abréviations . 2
3.1 Termes et définitions . 2
3.2 Symboles et abréviations . 8
4 Considérations relatives à la conception . 9
4.1 Objectifs de sécurité lors de la conception . 9
4.2 Stratégie de réduction du risque .11
4.2.1 Généralités .11
4.2.2 Contribution à la réduction du risque par le système de commande .11
4.3 Détermination du niveau de performance requis (PL ) .14
r
4.4 Conception des SRP/CS .15
4.5 Évaluation du niveau de performance PL atteint et relation avec le SIL .16
4.5.1 Niveau de performance PL .16
4.5.2 Temps moyen avant défaillance dangereuse pour chaque canal (MTTF ) .18
D
4.5.3 Couverture du diagnostic (DC) .19
4.5.4 Procédure simplifiée pour l’estimation des aspects quantifiables d’un PL .19
4.5.5 Description du dispositif de sortie du SRP/CS par catégorie .21
4.6 Exigences pour le logiciel de sécurité .22
4.6.1 Généralités .22
4.6.2 Logiciel intégré relatif à la sécurité (SRESW) .23
4.6.3 Logiciel applicatif relatif à la sécurité (SRASW) .24
4.6.4 Paramétrage lié au logiciel .27
4.7 Vérification de l’atteinte du PL requis .28
4.8 Aspects ergonomiques de la conception .28
5 Caractéristiques des fonctions de sécurité .28
5.1 Spécification des fonctions de sécurité .28
5.2 Détails des fonctions de sécurité .31
5.2.1 Fonction d’arrêt liée à la sécurité .31
5.2.2 Fonction réarmement manuel .31
5.2.3 Fonction mise en marche et remise en marche .32
5.2.4 Fonction commande locale .32
5.2.5 Fonction d’inhibition .33
5.2.6 Temps de réponse .33
5.2.7 Paramètres relatifs à la sécurité .33
5.2.8 Variations, perte et rétablissement des sources d’énergie .33
6 Catégories et leur relation aux MTTF de chaque canal, DC et CCF .33
D avg
6.1 Généralités .33
6.2 Spécifications des catégories .34
6.2.1 Généralités .34
6.2.2 Architectures désignées .34
6.2.3 Catégorie B .35
6.2.4 Catégorie 1 .36
6.2.5 Catégorie 2 .37
6.2.6 Catégorie 3 .38
6.2.7 Catégorie 4 .39
6.3 Combinaison des SRP/CS pour atteindre un PL global .42
7 Prise en compte des défauts, exclusion de défauts .43
7.1 Généralités .43
7.2 Prise en compte des défauts .43
7.3 Exclusion de défauts .44
8 Validation .44
9 Maintenance .44
10 Documentation technique .44
11 Informations pour l’utilisation .45
Annexe A (informative) Détermination du niveau de performance requis (PL ) .47
r
Annexe B (informative) Méthode bloc et diagramme bloc relatif à la sécurité .51
Annexe C (informative) Calcul ou évaluation du MTTF pour des composants uniques .53
D
Annexe D (informative) Méthode simplifiée pour estimer le MTTF pour chaque canal .61
D
Annexe E (informative) Estimations pour la couverture du diagnostic (DC)pour les
fonctions et les modules .63
Annexe F (informative) Estimations pour les défaillances de cause commune (CCF) .67
Annexe G (informative) Défaillance systématique .69
Annexe H (informative) Combinaison de plusieurs parties du système de
commanderelatives à la sécurité (SRP/CS) .72
Annexe I (informative) Exemples .75
Annexe J (informative) Logiciel .83
Annexe K (informative) Représentation numérique de la Figure 5 .87
Bibliographie .92
iv © ISO 2015 – Tous droits réservés

Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou sur la liste ISO des déclarations de
brevets reçues (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’intention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, aussi bien que pour des informations au-sujet de l’adhésion de l’ISO aux principes de
l’OMC concernant les obstacles techniques au commerce (OTC) voir le lien URL suivant: Foreword -
Supplementary information
Le comité chargé de l’élaboration du présent document est l’ISO/TC 199, Sécurité des machines.
Cette troisième édition annule et remplace la deuxième édition (ISO 13849-1:2006), dont elle constitue
une révision technique. Elle comprend également le Rectificatif Technique ISO 13849‑1:1/Cor 1:2009.
Les modifications par rapport à l’édition précédentes incluent
— suppression de l’ancien Tableau 1 contenu dans l’Introduction,
— mise à jour et ajout de références normatives,
— modification de la définition des termes situation dangereuse et mode de demande élevée ou mode
continu,
— ajout d’un nouveau terme et définition, utilisation éprouvée,
— modification éditoriale, mais pas technique, de la Figure 1,
— un nouveau paragraphe, 4.5.5, mais également des modifications aux sections existantes dont les
annexes, notamment des modifications substantielles de l’Annexe C et une nouvelle Annexe I.
L’ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines —
Parties des systèmes de commande relatives à la sécurité:
— Partie 1: Principes généraux de conception
— Partie 2: Validation
Introduction
Dans le domaine de la sécurité des machines, les normes sont structurées de la manière suivante:
a) normes de type A (normes fondamentales de sécurité), précisant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines;
b) normes de type B (normes génériques de sécurité), traitant d’un aspect de la sécurité ou d’un
type de dispositif conditionnant la sécurité valable pour toutes les machines ou pour une large
gamme de machines:
— normes de type B1 traitant d’aspects particuliers de la sécurité (par exemple distances de
sécurité, température de surface, bruit),
— normes de type B2 traitant de dispositifs conditionnant la sécurité (par exemple commandes
bimanuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de
sécurité détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
La présente partie de l’ISO 13849 est une norme de type B1 telle que définie dans l’ISO 12100.
Lorsque des dispositions de la norme de type C diffèrent de celles indiquées dans une norme de type A
ou B, ces dispositions prévalent sur celles des autres normes, et ce pour les machines conçues et
fabriquées conformément aux spécifications de la norme de type C.
La présente partie de l’ISO 13849 est destinée à donner des conseils au cours de la conception et de
l’évaluation des systèmes de commande ainsi qu’aux Comités Techniques élaborant des normes
de type B2 ou de type C présumées conformes aux exigences essentielles de sécurité de l’Annexe I
de la Directive 2006/42/CE relative aux machines. Elle ne donne pas de conseils spécifiques pour la
conformité à d’autres Directives CE.
En tant que partie de la stratégie globale de réduction des risques pour une machine, un concepteur
voudra souvent choisir de réaliser certaines mesures de réduction des risques par l’application de
mesures de protection employant une ou plusieurs fonctions de sécurité.
Les parties des systèmes de commande de machines affectées à la réalisation des fonctions de
sécurité sont appelées parties d’un système de commande relatives à la sécurité (SRP/CS), et peuvent
être constituées de matériels et de logiciels et peuvent être séparées ou intégrées au système de
commande. En plus de fournir des fonctions de sécurité, les SRP/CS peuvent faire partie d’une fonction
opérationnelle (par exemple commandes bimanuelles comme moyen de mise en marche d’un cycle ou
d’un processus).
L’aptitude des parties relatives à la sécurité à exécuter une fonction de sécurité dans des conditions
prévisibles est classée en cinq niveaux appelés niveaux de performance (PL). Ces niveaux de performance
sont définis en termes de probabilité de défaillance dangereuse du système (voir Tableau 2).
La probabilité de défaillance dangereuse des fonctions de sécurité dépend de plusieurs facteurs, tels
que structure matérielle et logicielle du système, étendue des mécanismes de détection des défauts
[couverture du diagnostic (DC)], fiabilité des composants [temps moyen avant défaillance dangereuse
(MTTF ), défaillance de cause commune (CCF)], processus de conception, contrainte de fonctionnement,
D
conditions environnementales et méthodes de fonctionnement.
Afin d’aider le concepteur et l’estimation du PL atteint, la présente partie de l’ISO 13849 définit une
approche reposant sur la classification des structures selon des critères de conception spécifiques
et un comportement spécifiés en cas de défaut. Ces catégories sont classées en cinq niveaux, appelés
Catégories B, 1, 2, 3 et 4.
vi © ISO 2015 – Tous droits réservés

Les niveaux de performance et les catégories peuvent s’appliquer aux parties d’un système de commande
relatives à la sécurité telles que
— les équipements de protection (par exemple dispositifs de commande bimanuelle, dispositifs de
verrouillage), dispositifs de protection électrosensibles (par exemple barrières photoélectriques),
dispositifs sensibles à la pression,
— les unités de commande (par exemple unité logique pour les fonctions de commande, traitement des
données, surveillance, etc.), et
— les dispositifs de commande de l’énergie (par exemple relais, distributeurs, etc.),
ainsi qu’aux systèmes de commande exécutant des fonctions de sécurité pour tout type de machines, de
la plus simple (par exemple matériel de cuisine ou portes et barrières automatiques) aux installations
manufacturières (par exemple machines d’emballage, machines d’impression, presses).
L’objectif de la présente partie de l’ISO 13849 est de fournir une base claire permettant l’évaluation
de la conception et des performances de toute application de SRP/CS (et de la machine) par une tierce
partie ou en interne ou par un laboratoire d’essai indépendant, par exemple.
Information sur l’utilisation recommandée de la IEC 62061 et la présente partie de l’ISO 13849
L’IEC 62061 et la présente partie de l’ISO 13849 spécifient les exigences pour la conception et la mise en
œuvre des systèmes de commande relatifs à la sécurité des machines. L’utilisation de l’une de ces deux
Normes internationales, en accord avec leurs domaines d’application, peut présumer de satisfaire aux
exigences essentielles de sécurité appropriées. L’ISO/TR 23849 donne les lignes directrices relatives
à l’application de l’ISO 13849-1 et de l’IEC 62061 pour la conception des systèmes de commande des
machines relatifs à la sécurité.
NORME INTERNATIONALE ISO 13849-1:2015(F)
Sécurité des machines — Parties des systèmes de
commande relatives à la sécurité —
Partie 1:
Principes généraux de conception
1 Domaine d’application
La présente partie de l’ISO 13849 fournit des exigences de sécurité et des conseils relatifs aux principes
de conception et d’intégration des parties des systèmes de commande relatives à la sécurité (SRP/CS)
incluant la conception du logiciel. Pour ces parties, elle spécifie les caractéristiques, incluant le niveau
de performance requis, pour réaliser ces fonctions de sécurité. Elle s’applique aux SRP/CS pour le mode
de demande élevée et le mode continu, indépendamment du type de technologie et d’énergie utilisé
(électrique, hydraulique, pneumatique mécanique, etc.), quelques soient les machines.
Elle ne spécifie pas quelles fonctions de sécurité et quels niveaux de performance doivent être utilisés
dans un cas particulier.
La présente partie de l’ISO 13849 fournit des exigences spécifiques pour les SRP/CS utilisant un (des)
système(s) électronique(s) programmable(s).
Elle ne donne pas d’exigences spécifiques pour la conception de composants intégrés dans les
SRP/CS. Néanmoins, les principes donnés, tels que les catégories ou les niveaux de performance,
peuvent être utilisés.
NOTE 1 Exemples de composants intégrés dans les SRP/CS: relais, distributeur solénoïde, interrupteur de
position, PLC, unité de commande de moteurs, dispositifs de commande bimanuelle, dispositifs de protection
électrosensibles. Pour la conception de tels composants, il est recommandé de se référer aux normes spécifiques,
par exemple l’ISO 13851, l’ISO 13856-1 et l’ISO 13856-2.
NOTE 2 Pour la définition du niveau de performance requis, voir 3.1.24.
NOTE 3 Les exigences fournies dans la présente partie de l’ISO 13849 pour les systèmes électroniques
programmables sont compatibles avec la méthodologie pour la conception et le développement des systèmes,
pour les machines, de commande électriques, électroniques et électroniques programmables relatifs à la sécurité
donnés dans la IEC 61061.
NOTE 4 Pour le logiciel embarqué relatif à la sécurité pour des composants de PL = e, voir la IEC 61508-
r
3:1998, Article 7.
2 Références normatives
Les documents de références suivants sont indispensables pour l’application du présent document.
Pour les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière
édition de la publication à laquelle il est fait référence s’applique (y compris les amendements).
ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-2:2012, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 2: Validation
IEC 60050-191:1990, Vocabulaire Électrotechnique International — Chapitre 191: Sûreté de fonctionnement
et qualité de service. Amendé par IEC 60050-191-am1:1999 et IEC 60050-191-am2:2002:1999.
IEC 61508-3:2010, Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques
programmables relatifs à la sécurité — Partie 3:Prescriptions concernant les logiciels. Corrigée par
IEC 61508-3/Cor.1:1999
IEC 61508-4:2010, Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques
programmables relatifs à la sécurité — Partie 4: Définitions et abréviations. Corrigé par
IEC 61508-4/Cor.1:1999
IEC 62061:2012, Sécurité des machines — Sécurité fonctionnelle des systèmes de commande électriques,
électroniques et électroniques programmables relatifs à la sécurité
ISO/TR 22100-2:2013, Sécurité des machines — Relation avec l’ISO 12100 — Partie 2: Relation entre
l’ISO 12100 et l’ISO 13849-1
ISO/TR 23849, Lignes directrices relatives à l’application de l’ISO 13849-1 et de la CEI 62061 dans la
conception des systèmes de commande des machines relatifs à la sécurité
3 Termes, définitions, symboles et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 12100 et la
IEC 60050-191 ainsi que les suivants s’appliquent.
3.1.1
partie d’un système de commande relative à la sécurité
SRP/CS
partie d’un système de commande qui répond à des signaux d’entrée et génère des signaux de sortie
relatifs à la sécurité
Note 1 à l’article: Les parties combinées d’un système de commande relatives à la sécurité commencent aux
points où sont générés les signaux relatifs à la sécurité (y compris, par exemple, la came de commande et le galet
de l’interrupteur de position) et se terminent à la sortie des pré-actionneurs (y compris, par exemple, les contacts
principaux du contacteur).
Note 2 à l’article: Si un système de surveillance est utilisé pour les diagnostics, ceux‑ci sont considérés
comme des SRP/CS.
3.1.2
catégorie
classification des parties relatives à la sécurité d’un système de commande liée à leur résistance aux
défauts et à leur comportement consécutif à des défauts et qui est obtenue par l’architecture des parties,
la détection des défauts et/ou leur fiabilité
3.1.3
défaut
état d’une entité caractérisée par son inaptitude à accomplir une fonction requise, non comprise
l’inaptitude due à la maintenance préventive ou à d’autres actions programmées, ou due à un manque
de moyens extérieurs
Note 1 à l’article: Un défaut est souvent le résultat d’une défaillance de l’entité elle-même, mais il peut exister sans
défaillance préalable.
Note 2 à l’article: Dans la présente partie de l’ISO 13849, le terme «défaut» signifie «défaut aléatoire».
[SOURCE: IEC 60050‑191:1990, 05‑01.]
2 © ISO 2015 – Tous droits réservés

3.1.4
défaillance
cessation de l’aptitude d’une entité à accomplir une fonction requise
Note 1 à l’article: Après défaillance d’une entité, cette entité a un défaut.
Note 2 à l’article: Une défaillance est un passage d’un état à un autre, par opposition à un défaut qui est un état.
Note 3 à l’article: La notion de défaillance, telle qu’elle est définie, ne s’applique pas à une entité constituée
seulement de logiciel.
Note 4 à l’article: Les défaillances n’affectant que la disponibilité du processus commandé ne sont pas couvertes
par le domaine d’application de la présente partie de l’ISO 13849.
[SOURCE: IEC 60050‑191:1990, 04‑01.]
3.1.5
défaillance dangereuse
défaillance qui peut potentiellement mettre une SRP/CS dans un état dangereux ou défectueux
Note 1 à l’article: La réalisation ou non du «potentiellement» peut dépendre de l’architecture de canal du système;
dans des systèmes redondants, une défaillance dangereuse du système matériel présente moins de risque
d’aboutir à un état global dangereux ou défectueux.
[SOURCE: IEC 61508‑4:1998, 3.6.7, modifiée.]
3.1.6
défaillance de cause commune
CCF
défaillances qui affectent plusieurs entités à partir d’un même événement et qui ne résultent pas les
unes des autres
Note 1 à l’article: Il convient de ne pas confondre les défaillances de cause commune et les défaillances de mode
commun (voir l’ISO 12100:2010, 3.36).
[SOURCE: IEC 60050‑191:1990‑am1:1999, 04‑23.]
3.1.7
défaillance systématique
défaillance associée de façon déterministe à une certaine cause, ne pouvant être éliminée que par
une modification de la conception ou du processus de fabrication, des procédures d’exploitation, de la
documentation ou d’autres facteurs appropriés
Note 1 à l’article: La maintenance corrective sans modification n’élimine pas, habituellement, la cause de la
défaillance.
Note 2 à l’article: Une défaillance systématique peut être induite en simulant la cause de la défaillance.
Note 3 à l’article: Exemples de causes de défaillances systématiques incluant les erreurs humaines dans
— la spécification des exigences de sécurité;
— la conception, la fabrication, l’installation et l’exploitation du matériel;
— la conception, la mise en œuvre, etc., du logiciel.
[SOURCE: IEC 60050‑191:1990, 04‑19]
3.1.8
inhibition
interruption automatique et temporaire de fonction(s) de sécurité par les SRP/CS
3.1.9
réarmement manuel
fonction interne aux SRP/CS permettant de rétablir manuellement des fonctions de sécurité données
avant la remise en marche d’une machine
3.1.10
dommage
blessure physique ou atteinte à la santé
[SOURCE: ISO 12100:2010, 3.5]
3.1.11
phénomène dangereux
source potentielle de dommage
Note 1 à l’article: L’expression «phénomène dangereux» peut être qualifiée de manière à faire apparaître l’origine
(par exemple phénomène dangereux mécanique, phénomène dangereux électrique) ou la nature du dommage
potentiel (par exemple risque de choc électrique, de coupure, d’intoxication, d’incendie).
Note 2 à l’article: Le phénomène dangereux envisagé dans cette définition
— est présent en permanence pendant l’utilisation normale de la machine (par exemple déplacement
d’éléments mobiles dangereux, arc électrique pendant une phase de soudage, mauvaise posture, émission de
bruit, température élevée), ou
— peut apparaître de manière inattendue (par exemple explosion, risque d’écrasement résultant d’une
mise en marche intempestive/inattendue, projection résultant d’une rupture, chute résultant d’une accélération
ou d’une décélération).
[SOURCE: ISO 12100:2010, 3.6, modifiée.]
3.1.12
situation dangereuse
situation dans laquelle une personne est exposée à au moins un phénomène dangereux
Note 1 à l’article: L’exposition peut entraîner un dommage, immédiatement ou à long terme.
[SOURCE: ISO 12100:2010, 3.10]
3.1.13
risque
combinaison de la probabilité d’un dommage et de la gravité de ce dommage
[SOURCE: ISO 12100:2010, 3.12]
3.1.14
risque résiduel
risque subsistant après que des mesures de prévention ont été prises
Note 1 à l’article: Voir Figure 2.
[SOURCE: ISO 12100:2010, 3.17, modifiée.]
3.1.15
appréciation du risque
processus global d’analyse et d’évaluation du risque
[SOURCE: ISO 12100:2010, 3.17]
4 © ISO 2015 – Tous droits réservés

3.1.16
analyse du risque
combinaison de la détermination des limites de la machine, de l’identification des phénomènes
dangereux et de l’estimation du risque
[SOURCE: ISO 12100:2010, 3.15]
3.1.17
évaluation du risque
jugement destiné à établir, à partir de l’analyse du risque, si les objectifs de réduction du risque ont été
atteints
[SOURCE: ISO 12100:2010, 3.16]
3.1.18
utilisation normale d’une machine
utilisation d’une machine conformément aux indications données dans les instructions pour l’utilisation
[SOURCE: ISO 12100:2010, 3.23]
3.1.19
mauvais usage raisonnablement prévisible
utilisation d’une machine d’une manière ne correspondant pas aux intentions du concepteur, mais
pouvant résulter d’un comportement humain aisément prévisible
[SOURCE: ISO 12100:2010, 3.24]
3.1.20
fonction de sécurité
fonction d’une machine dont la défaillance peut provoquer un accroissement immédiat du (des) risque(s)
[SOURCE: ISO 12100:2010, 3.30]
3.1.21
surveillance continue
fonction de sécurité assurant qu’une mesure de prévention est initiée si l’aptitude d’un composant ou
d’un élément à exécuter sa fonction diminue ou si les conditions de fonctionnement sont modifiées de
telle façon qu’il en résulte une diminution de la réduction du risque
3.1.22
système électronique programmable
PES
système de commande, de protection ou de surveillance reposant sur un ou plusieurs dispositifs
électroniques programmables, y compris tous les éléments du système tels que les alimentations en
énergie, les capteurs et autres dispositifs d’entrée, jusqu’aux actionneurs et autres dispositifs de sortie
[SOURCE: IEC 61508‑4:1998, définition 3.3.2, modifiée.]
3.1.23
niveau de performance
PL
niveau discret d’aptitude de parties relatives à la sécurité à réaliser une fonction de sécurité dans des
conditions prévisibles
Note 1 à l’article: Voir 4.5.1.
3.1.24
niveau de performance requis
PL
r
niveau de performance (PL) permettant d’atteindre la réduction du risque requise pour chaque
fonction de sécurité
Note 1 à l’article: Voir Figures 2 et A.1.
3.1.25
temps moyen avant défaillance dangereuse
MTTF
D
valeur probable de la durée moyenne avant défaillance dangereuse
[SOURCE: IEC 62061:2005, 3.2.34, modifiée.]
3.1.26
couverture du diagnostic
DC
mesure de l’efficacité du diagnostic, peut être définie comme la fraction de la probabilité de défaillances
dangereuses détectées sur la probabilité de toutes les défaillances dangereuses
Note 1 à l’article: La couverture du diagnostic peut se rapporter à tout ou partie d’un système relatif à la sécurité.
Elle peut, par exemple, concerner des capteurs et/ou un système logique et/ou des éléments terminaux.
[SOURCE: IEC 61508‑4:1998, 3.8.6, modifiée.]
3.1.27
mesure de prévention
mesure destinée à réduire le risque
EXEMPLE 1 Mise en œuvre par le concepteur: prévention intrinsèque, protection et mesures de prévention
complémentaires, informations pour l’utilisation.
EXEMPLE 2 Mise en œuvre par l’utilisateur: organisation (méthodes de travail sûres, surveillance, système
du permis de travailler), fourniture et utilisation de moyens de protection supplémentaires, équipement de
protection individuelle, formation.
[SOURCE: ISO 12100:2010, 3.30, modifiée.]
3.1.28
durée de mission
T
M
laps de temps couvrant l’utilisation normale d’une SRP/CS
3.1.29
taux d’essais
r
t
fréquence des essais en ligne permettant de détecter les défauts d’un SRP/CS, valeur inverse de
l’intervalle entre essais de diagnostic
3.1.30
taux de demande
r
D
fréquence de sollicitation d’une action relative à la sécurité d’une SRP/CS
6 © ISO 2015 – Tous droits réservés

3.1.31
taux de réparation
r
r
valeur inverse de l’intervalle de temps entre la détection d’une défaillance dangereuse par un essai
en ligne ou un dysfonctionnement évident du système et la remise en marche après réparation du
système/remplacement du composant
Note 1 à l’article: Le temps de réparation ne comprend pas le temps nécessaire à la détection de la défaillance.
3.1.32
système de commande de la machine
système qui répond aux signaux d’entrée de parties de machines, des opérateurs, des équipements de
commande externes ou de toute combinaison de ceux‑ci et qui génère des signaux de sorties imposant à
la machine un comportement attendu
Note 1 à l’article: Le système de commande de la machine peut utiliser toute technologie ou combinaison de
différentes technologies (exemple électrique/électronique, hydraulique, pneumatique, mécanique).
3.1.33
Niveau d’intégrité de sécurité
SIL
niveau discret (parmi trois possibles) permettant de spécifier les exigences concernant l’intégrité
de sécurité des fonctions de commandes relatives à la sécurité à allouer aux systèmes électriques,
électroniques et électroniques programmables relatifs à la sécurité, le niveau 4 d’intégrité de sécurité
possédant le plus haut degré d’intégrité et le niveau 1 possédant le plus bas
[SOURCE: IEC 61508‑4:1998, 3.5.6]
3.1.34
langage de variabilité limitée
LVL
type de langage qui fournit la possibilité de combiner des fonctions de bibliothèques, prédéfinies,
spécifiques à une application, pour mettre en œuvre les spécifications des exigences concernant la sécurité
Note 1 à l’article: Des exemples typiques de LVL sont donnés dans la IEC 61131‑3. Ils incluent: échelle logique,
schéma bloc fonctionnel.
Note 2 à l’article: Un exemple typique de système utilisant le LVL: PLC.
[SOURCE: IEC 61511‑1:2003, définition 3.2.80.1.2, modifiée.]
3.1.35
langage de variabilité totale
FVL
type de langage qui fournit la possibilité de mettre en œuvre une gamme étendue de fonctions et
d’applications
EXEMPLE C, C++, assembleur.
Note 1 à l’article: Un exemple typique de système utilisant le FVL: ordinateur d’usage général.
Note 2 à l’article: Le FVL se trouve normalement dans les logiciels intégrés et rarement dans les logiciels
d’application.
[SOURCE: IEC 61511‑1:2003, 3.2.80.1.3, modifiée.]
3.1.36
logiciel d’application
logiciel spécifique d’application qui a été implémenté par le concepteur de la machine et qui contient
généralement des séquences logiques, des limites et des expressions qui commandent l’entrée, la sortie,
les calculs appropriés et les décisions nécessaires pour satisfaire aux exigences des SRP/CS
3.1.37
logiciel intégré
micrologiciel
logiciel système
logiciel faisant partie du système fourni par le constructeur et non accessible par l’utilisateur en vue
d’une modification
Note 1 à l’article: Le logiciel intégré est généralement écrit en FVL.
3.1.38
mode de demande élevée ou mode continu
mode de fonctionnement dans lequel la fréquence de sollicitation d’une SRP/CS est supérieure à une par
an ou dans lequel la fonction de commande relative à la sécurité maintient la machine en état sûr dans
le cadre du fonctionnement normal
[SOURCE: IEC 62061:2012, 3.2.27, modifiée.]
3.1.39
utilisation éprouvée
démonstration, basée sur une analyse de l’expérience opérationnelle pour une configuration spécifique
d’un élément, que la probabilité d’un défaut systématique dangereux est assez faible pour que chaque
fonction de sécurité utilisant l’élément atteigne son niveau de performance requis (PL )
r
[SOURCE: IEC 61508‑4:2010, 3.8.18, modifiée.]
3.2 Symboles et abréviations
Voir Tableau 1.
Tableau 1 — Symboles et abréviations
Symbole et Définition ou occur-
Description
abréviation rence
a, b, c, d, e Dénomination des niveaux de performance Tableau 2
AMDE Analyse des modes de défaillance et de leurs effets 7.2
AOPD Dispositif actif de protection optoélectronique (exemple barrière Annexe H
infra‑rouge)
B, 1, 2, 3, 4 Dénomination des catégories Tableau 6
B Nombre de cycles jusqu’à ce que 10 % des composants échouent dange- Annexe C
10D
reusement (pour des composants pneumatiques et électromécaniques)
Cat. Catégorie 3.1.2
CC Convertisseur de courant Annexe I
CCF Défaillance de cause commune 3.1.6
DC Couverture du diagnostic 3.1.26
DC Couverture du diagnostic moyenne E.2
avg
F, F1, F2 Fréquence et/ou durée d’exposition au phénomène dangereux A.2.2
FB Bloc fonction 4.6.3
FVL Langages de variabilité 3.1.35
I, I1, I2 Dispositif d’entrée, par exemple capteur 6.2
i, j Indice de comptage Annexe D
I/O Entrées/sorties Tableau E.1
i , i Moyens d’interconnexion Figure 4
ab bc
K1A, K1B Contacteurs Annexe I
8 © ISO 2015 – Tous droits réservés

Tableau 1 (suite)
Symbole et Définition ou occur-
Description
abréviation rence
L, L1, L2 Logique 6.2
M Moteur Annexe I
MTTF Temps moyen avant défaillance Annexe C
MTTF Temps moyen avant défaillance dangereuse 3.1.25
D
Nombre d’éléments 6.3, D.1

n, N, N
N Nombre de SRP/CS de niveau pl dans une combinaison de SRP/CS 6.3
low low
n Nombre moyen annuel d’utilisations Annexe C
op
O, O1, O2, OTE Dispositif de sortie, par exemple actionneur 6.2
P, P1, P2 Possibilité d’évitement du phénomène dangereux A.2.3
PES Système électronique programmable 3.1.22
PFH Probabilité moyenne de défaillance dangereuse par heure Tableau 2 et Tableau K.1
D
PL Niveau de performance 3.1.23
PLC Automate programmable industriel (API en français) Annexe I
PL Plus faible niveau de performance d’une SRP/CS dans une combinaison 6.3
low
de SRP/CS
PL Niveau de performance requis 3.1.24
r
r Taux de demande 3.1.30
D
r Taux d’essais 3.1.29
t
RS Détecteur de rotation Annexe I
S, S1, S2 Gravité de la blessure A.2.1
SW1A, SW1B, Capteur de position Annexe I
SW2
SIL Niveau d’intégrité de sécurité Tableau 3
SRASW Logiciel relatif à la sécurité d’application 4.6.3
SRESW Logiciel incorporé relatif à la sécurité 4.6.2
SRP Partie relative à la sécurité général
SRP/CS Partie d’un système de commande relative à la sécurité 3.1.1
TE Equipement d’essai 6.2
T Durée de mission 3.1.28
M
T Temps moyen jusqu’à ce que 10 % des composants défaillent de façon Annexe C
10D
dangereuse
4 Considérations relatives à la conception
4.1 Objectifs de sécurité lors de la conception
Les SRP/CS doivent être conçues et construites de sorte que les principes de l’ISO 12100 soient
pleinement pris en compte (voir Figures 1 et 3). Toute utilisation prévue et tout mauvais usage
raisonnablement prévisible doivent être considérés.
a
Référence à ISO 12100:2010.
10 © ISO 2015 – Tous droits réservés

b
Référence à la présente partie de ISO 13849.
Figure 1 — Présentation de l’appréciation/réduction du risque
4.2 Stratégie de réduction du risque
4.2.1 Généralités
La stratégie de réduction du risque au niveau de la machine est donnée dans l’ISO 12100:2010, Article 6.1,
et d’autres conseils sont donnés dans l’ISO 12100:2010, 6.2 (mesures de prévention intrinsèques) et 6.3
(protection et mesures de prévention complémentaires). Cette stratégie couvre l’ensemble du cycle de
vie de la machine.
L’analyse du risque et le processus de réduction du risque pour une machine imposent que les
phénomènes dangereux soient éliminés ou réduits selon la hiérarchie de mesures:
— élimination du phénomène dangereux et réduction du risque par conception (voir
l’ISO 12100:2010, 6.2);
— réduction du risque par protection et possibles mesures de prévention complémentaires (voir
l’ISO 12100:2010, 6.3);
— réduction du risque par la fourniture d’informations d’utilisation à propos du risque résiduel (voir
l’ISO 12100:2010, 6.4).
4.2.2 Contribution à la réduction du risque par le système de commande
L’objectif de la procédure générale de conception de la machine suivante vise à atteindre les objectifs
de sécurité (voir 4.1). La conception de la SRP/CS pour obtenir la réduction du risque requise fait partie
intégrante de la procédure générale de conception de la machine. La SRP/CS assure une (des) fonction(s)
de
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design

Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception

General Information

Relations

ISO 13849-1:2015 - Safety of machinery — Safety-related parts of control systems — Part 1: General principles for design Released:12/4/2015

ISO 13849-1:2015 - Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux de conception Released:12/4/2015

Frequently Asked Questions

Standards Content (Sample)

Questions, Comments and Discussion

This May Also Interest You