ISO/TR 23849:2010
(Main)Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery
Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery
ISO/TR 23849:2010 is intended to explain the application of IEC 62061 and ISO 13849-1 in the design of safety-related control systems for machinery.
Lignes directrices relatives à l'application de l'ISO 13849-1 et de la CEI 62061 dans la conception des systèmes de commande des machines relatifs à la sécurité
L'ISO/TR 23849:2010 a pour objet d'expliquer l'application de la CEI 62061 et de l'ISO 13849‑1 dans la conception des systèmes de commande des machines relatifs à la sécurité.
Navodila za uporabo ISO 13849-1 in IEC 62061 pri načrtovanju z varnostjo povezanih krmilnih sistemov za stroje
General Information
Buy Standard
Standards Content (Sample)
TECHNICAL ISO/TR
REPORT 23849
First edition
2010-05-01
Guidance on the application of
ISO 13849-1 and IEC 62061 in the design
of safety-related control systems for
machinery
Lignes directrices relatives à l'application de l'ISO 13849-1 et de la
CEI 62061 dans la conception des systèmes de commande des
machines relatifs à la sécurité
Reference number
ISO/TR 23849:2010(E)
©
ISO 2010
---------------------- Page: 1 ----------------------
ISO/TR 23849:2010(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2010
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2010 – All rights reserved
---------------------- Page: 2 ----------------------
ISO/TR 23849:2010(E)
Contents Page
Foreword .iv
Introduction.v
1 Scope.1
2 General .1
3 Comparison of standards.2
4 Risk estimation and assignment of required performance.2
5 Safety requirements specification.3
6 Assignment of performance targets: PL versus SIL .3
7 System design .4
7.1 General requirements for system design using IEC 62061 and ISO 13849-1.4
7.2 Estimation of PFH and MTTF and the use of fault exclusions.4
D d
7.3 System design using subsystems or SRP/CS that conform to either IEC 62061 or
ISO 13849-1 .5
7.4 System design using subsystems or SRP/CS that have been designed using other IEC or
ISO standards .5
8 Example.5
8.1 General .5
8.2 Simplified example of the design and validation of a safety-related control system
implementing a specified safety-related control function .5
8.3 Conclusion .13
Bibliography.14
© ISO 2010 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/TR 23849:2010(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
In exceptional circumstances, when a technical committee has collected data of a different kind from that
which is normally published as an International Standard (“state of the art”, for example), it may decide by a
simple majority vote of its participating members to publish a Technical Report. A Technical Report is entirely
informative in nature and does not have to be reviewed until the data it provides are considered to be no
longer valid or useful.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/TR 23849 was prepared jointly by Technical Committee ISO/TC 199, Safety of machinery, and Technical
Committee IEC/TC 44, Safety of machinery — Electrotechnical aspects. The draft was circulated for voting to
the national bodies of both ISO and IEC. These technical committees have agreed that no modification will be
made to this Technical Report except by mutual agreement.
iv © ISO 2010 – All rights reserved
---------------------- Page: 4 ----------------------
ISO/TR 23849:2010(E)
Introduction
This Technical Report has been prepared by experts from both IEC/TC 44/WG 7 and ISO/TC 199/WG 8 in
response to requests from their Technical Committees to explain the relationship between IEC 62061 and
ISO 13849-1. In particular, it is intended to assist users of these International Standards in terms of the
interaction(s) that can exist between the standards to ensure that confidence can be given to the design of
safety-related systems made in accordance with either standard.
It is intended that this Technical Report be incorporated into both IEC 62061 and ISO 13849-1 by means of
corrigenda that reference the published version of this document. These corrigenda will also remove the
information given in Table 1, Recommended application of IEC 62061 and ISO 13849-1, provided in the
common introduction to both standards, which is now recognized as being out of date. Subsequently, it is
intended to merge ISO 13849-1 and IEC 62061 by means of a JWG of ISO/TC 199 and IEC/TC 44.
© ISO 2010 – All rights reserved v
---------------------- Page: 5 ----------------------
TECHNICAL REPORT ISO/TR 23849:2010(E)
Guidance on the application of ISO 13849-1 and IEC 62061 in
the design of safety-related control systems for machinery
1 Scope
1)
This Technical Report is intended to explain the application of IEC 62061 and ISO 13849-1 in the design of
safety-related control systems for machinery.
2 General
2.1 Both IEC 62061 and ISO 13849-1 specify requirements for the design and implementation of
2)
safety-related control systems of machinery . The methods developed in both of these standards are different
but, when correctly applied, can achieve a comparable level of risk reduction.
2.2 These standards classify safety-related control systems that implement safety functions into levels that
are defined in terms of their probability of dangerous failure per hour. ISO 13849-1 has five Performance
Levels (PLs), a, b, c, d and e, while IEC 62061 has three safety integrity levels (SILs), 1, 2 and 3.
2.3 Product standards (type-C) committees specify the safety requirements for safety-related control
systems and it is recommended that these committees classify the levels of confidence required for them in
terms of PLs and SILs.
2.4 Machinery designers may choose to use either IEC 62061 or ISO 13849-1 depending on the specific
features of the application.
2.5 The selection and use of either standard is likely to be determined by, for example:
⎯ previous knowledge and experience in the design of machinery safety-related control systems based
upon the concept of categories described in ISO 13849-1:1999 can mean that the use of
ISO 13849-1:2006 is more appropriate;
⎯ safety-related control systems based upon media other than electrical can mean that the use of
ISO 13849-1 is more appropriate;
⎯ customer requirements to demonstrate the safety integrity of a machine safety-related control system in
terms of a SIL can mean that the use of IEC 62061 is more appropriate;
⎯ safety-related control systems of machinery used in, for example, the process industries, where other
safety-related systems (such as safety instrumented systems in accordance with IEC 61511) are
characterized in terms of SILs, can mean that the use of IEC 62061 is more appropriate.
1) This Technical Report considers ISO 13849-1:2006 rather than ISO 13849-1:1999, which has been withdrawn.
2) These standards have been adopted by the European standardization bodies CEN and CENELEC as ISO 13849-1
and EN 62061, respectively, where they are published with the status of transposed harmonized standards under the
Machinery Directive (98/37/EC and 2006/42/EC). Under the conditions of their publication, the correct use of either of
these standards is presumed to conform to the relevant essential safety requirements of the Machinery Directive
(98/37/EC and 2006/42/EC).
© ISO 2010 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO/TR 23849:2010(E)
3 Comparison of standards
3.1 A comparison of the technical requirements in ISO 13849-1 and IEC 62061 has been carried out in
respect of the following aspects:
⎯ terminology;
⎯ risk estimation and performance allocation;
⎯ safety requirements specification;
⎯ systematic integrity requirements;
⎯ diagnostic functions;
⎯ software safety requirements.
3.2 Additionally, an evaluation of the use of the simplified mathematical formulae to determine the
probability of dangerous failures (PFH ) and MTTF according to both standards has been carried out.
D d
3.3 The conclusions from this work are the following.
⎯ Safety-related control systems can be designed to achieve acceptable levels of functional safety using
3)
either of the two standards by integrating non-complex SRECS (safety-related electrical control system)
subsystems or SRP/CS (safety-related parts of a control system) designed in accordance with IEC 62061
and ISO 13849-1, respectively.
⎯ Both standards can also be used to provide design solutions for complex SRECS and SRP/CS by
integrating electrical/electronic/programmable electronic subsystems designed in accordance with
IEC 61508.
⎯ Both standards currently have value to users in the machinery sector and benefits will be gained from
experience in their use. Feedback over a reasonable period on their practical application is essential to
support any future initiatives to move towards a standard that merges the contents of both IEC 62061 and
ISO 13849-1.
⎯ Differences exist in detail and it is recognized that some concepts (e.g. functional safety management)
will need further work to establish equivalence between respective design methodologies and some
technical requirements.
4 Risk estimation and assignment of required performance
4.1 A comparison has been carried out on the use of the methods to assign a SIL and/or PL to a specific
r
safety function. This has established that there is a good level of correspondence between the respective
methods provided in Annex A of each standard.
4.2 It is important, regardless of which method is used, that attention be given to ensure that appropriate
judgements are made on the risk parameters to determine the SIL and/or PL that is likely to apply to a
r
specific safety function. These judgements can often best be made by bringing together a range of personnel
(e.g. design, maintenance, operators) to ensure that the hazards that may be present at machinery are
properly understood.
4.3 Further information on the process of risk estimation and the assignment of performance targets can be
found in ISO 14121-1 and IEC 61508-5.
3) Although there is no definition for the term “non-complex” SRECS or SRP/CS this should be considered equivalent to
low complexity in the context of IEC 62061:2005, 3.2.7.
2 © ISO 2010 – All rights reserved
---------------------- Page: 7 ----------------------
ISO/TR 23849:2010(E)
5 Safety requirements specification
5.1 A first stage in the respective methodologies of both ISO 13849-1 and IEC 62061 requires that the
safety function(s) to be implemented by the safety-related control system are specified.
5.2 An assessment should have been performed relevant to each safety function that is to be implemented
by a control circuit by, for example, using ISO 13849-1, Annex A, or IEC 62061, Annex A. This should have
determined what risk reduction needs to be provided by each particular safety function at a machine and, in
turn, what level of confidence is required for the control circuit that performs this safety function.
5.3 The level of confidence specified as a PL and/or a SIL is relevant to a specific safety function.
5.4 The following shows the information that should be provided in relation to safety functions by a product
(type-C) standard.
Safety function(s) to be implemented by a control circuit:
Name of safety function
Description of the function
Required level of performance according to ISO 13849-1: PL a to e
r
and/or
Required safety integrity according to IEC 62061: SIL 1 to 3
6 Assignment of performance targets: PL versus SIL
Table 1 gives the relationship between PL and SIL based on the average probability of a dangerous failure per
hour. However, both standards have requirements (e.g. systematic safety integrity) additional to these
probabilistic targets that are also to be applied to a safety-related control system. The rigour of these
requirements is related to the respective PL and SIL.
Table 1 — Relationship between PLs and SILs based on the average probability
of dangerous failure per hour
Average probability of a dangerous
Performance level (PL) Safety integrity level (SIL)
failure per hour (1/h)
−5 −4
W 10 to < 10
a No special safety requirements
−6 −5
W 3 × 10 to < 10
b 1
−6 −6
W 10 to < 3 × 10
c 1
−7 −6
d W 10 to < 10 2
−8 −7
e W 10 to < 10 3
© ISO 2010 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO/TR 23849:2010(E)
7 System design
7.1 General requirements for system design using IEC 62061 and ISO 13849-1
The following aspects should be taken into account when designing a SRECS/SRP/CS.
⎯ When applied within the limitations of their respective scopes either of the two standards can be used to
design safety-related control systems with acceptable functional safety, as indicated by the achieved SIL
or PL.
⎯ Non-complex safety-related parts that are designed to the relevant PL in accordance with ISO 13849-1
can be integrated as subsystems into a safety-related electrical control system (SRECS) designed in
accordance with IEC 62061. Any complex safety-related parts that are designed to the relevant PL in
accordance with ISO 13849-1 can be integrated into safety-related parts of a control system (SRP/CS)
designed in accordance with ISO 13849-1.
⎯ Any non-complex subsystem that is designed in accordance with IEC 62061 to the relevant SIL can be
integrated as a safety-related part into a combination of SRP/CS designed in accordance with
ISO 13849-1.
⎯ Any complex subsystem that is designed in accordance with IEC 61508 to the relevant SIL can be
integrated as a safety-related part into a combination of SRP/CS designed in accordance with
ISO 13849-1 or as subsystems into a SRECS designed in accordance with IEC 62061.
7.2 Estimation of PFH and MTTF and the use of fault exclusions
D d
7.2.1 PFH and MTTF
D d
7.2.1.1 The value of MTTF in the context of ISO 13849-1 relates to a single channel SRP/CS without
d
diagnostics and, only in this case, is the reciprocal of PFH in IEC 62061.
D
7.2.1.2 MTTF is a parameter of a component(s) and/or single channel without any consideration being
d
given to factors such as diagnostics and architecture, while PFH is a parameter of a subsystem that takes
D
into account the contribution of factors such as diagnostics and architecture depending on the design structure.
7.2.1.3 Annex K of ISO 13849-1 describes the relationship between MTTF and the PFH of an SRP/CS
d D
for different architectures classified in terms of category and diagnostic coverage (DC).
7.2.1.4 The estimation of PFH for a series connected combination of SRP/CS in accordance with
D
ISO 13849-1 can also be performed by adding PFH values (e.g. derived from Annex K of ISO 13849-1) of
D
each SRP/CS in a similar manner to that used with subsystems in IEC 62061.
7.2.2 Use of fault exclusions
7.2.2.1 Both standards permit the use of fault exclusions, see 6.7.7 of IEC 62061 and 7.3 of ISO 13849-1.
IEC 62061 does not permit the use of fault exclusions for a SRECS without hardware fault tolerance required
to achieve SIL 3 without hardware fault tolerance.
7.2.2.2 It is important that where fault exclusions are used that they be properly justified and valid for the
intended lifetime of an SRP/CS or SRECS.
7.2.2.3 In general, where PL e or SIL 3 is specified for a safety function to be implemented by an
SRP/CS or SRECS, it is not normal to rely upon fault exclusions alone to achieve this level of performance.
This is dependent upon the technology used and the intended operating environment. Therefore it is essential
that the designer takes additional care in the use of fault exclusions as PL or SIL increases.
7.2.2.4 In general the use of fault exclusions is not applicable to the mechanical aspects of
electromechanical position switches and manually operated switches (e.g. an emergency stop device) in order
4 © ISO 2010 – All rights reserved
---------------------- Page: 9 ----------------------
ISO/TR 23849:2010(E)
to achieve PL e or SIL 3 in the design of an SRP/CS or SRECS. Those fault exclusions that can be applied to
specific mechanical fault conditions (e.g. wear/corrosion, fracture) are described in ISO 13849-2.
7.2.2.5 For example, a door interlocking system that has to achieve PL e or SIL 3 will need to incorporate
a minimum fault tolerance of 1 (e.g. two conventional mechanical position switches) in order to achieve this
level of performance since it is not norma
...
RAPPORT ISO/TR
TECHNIQUE 23849
Première édition
2010-05-01
Lignes directrices relatives à l'application
de l'ISO 13849-1 et de la CEI 62061 dans
la conception des systèmes de
commande des machines relatifs à la
sécurité
Guidance on the application of ISO 13849-1 and IEC 62061 in the
design of safety-related control systems for machinery
Numéro de référence
ISO/TR 23849:2010(F)
©
ISO 2010
---------------------- Page: 1 ----------------------
ISO/TR 23849:2010(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2010
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2010 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/TR 23849:2010(F)
Sommaire Page
Avant-propos .iv
Introduction.v
1 Domaine d'application .1
2 Généralités .1
3 Comparaison des normes .2
4 Estimation du risque et détermination de la performance requise.3
5 Spécification des exigences de sécurité .3
6 Détermination des objectifs de performance: PL ou SIL .3
7 Conception du système.4
7.1 Exigences générales pour la conception des système selon la CEI 62061 et l'ISO 13849-1.4
7.2 Estimation de la PFH et du MTTF et utilisation des exclusions d'anomalie .4
D d
7.3 Conception de système à partir de sous-systèmes ou de SRP/CS conformes à la
CEI 62061 ou à l'ISO 13849-1.5
7.4 Conception de système à partir de sous-systèmes ou de SRP/CS conçus d'après d'autres
normes CEI ou ISO .5
8 Exemple.6
8.1 Généralités .6
8.2 Exemple simplifié des conception et validation d'un système de commande relatif à la
sécurité faisant usage d'une fonction de commande particulière relative à la sécurité .6
8.3 Conclusion .14
Bibliographie.15
© ISO 2010 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/TR 23849:2010(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
Exceptionnellement, lorsqu'un comité technique a réuni des données de nature différente de celles qui sont
normalement publiées comme Normes internationales (ceci pouvant comprendre des informations sur l'état
de la technique par exemple), il peut décider, à la majorité simple de ses membres, de publier un Rapport
technique. Les Rapports techniques sont de nature purement informative et ne doivent pas nécessairement
être révisés avant que les données fournies ne soient plus jugées valables ou utiles.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/TR 23849 a été élaboré conjointement par le comité technique ISO/TC 199, Sécurité des machines, et
le comité technique CEI/TC 44, Sécurité des machines — Aspects électrotechniques. Le projet a été soumis
aux organismes nationaux de l'ISO et de la CEI pour vote. Les comités techniques concernés ont convenu de
n'apporter aucune modification au présent Rapport technique sans accord mutuel.
iv © ISO 2010 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/TR 23849:2010(F)
Introduction
Le présent Rapport technique a été préparé par des experts du CEI/TC 44/GT 7 et de l'ISO/TC 199/GT 8 en
réponse aux demandes de leurs comités techniques pour expliquer la relation entre la CEI 62061 et
l'ISO 13849-1. Il est en particulier destiné à aider les utilisateurs de ces Normes internationales concernant
les interactions qui peuvent exister entre les normes, afin de garantir que la conception des systèmes de
sécurité élaborés conformément à l'une ou l'autre norme soit fiable.
Il est prévu d'intégrer le présent Rapport technique dans la CEI 62061 et dans l'ISO 13849-1, au moyen de
rectificatifs faisant référence à la version publiée du présent document. Ces rectificatifs retireront également
les informations du Tableau 1, Utilisation recommandée de la CEI 62061 et de l'ISO 13849-1, fournies dans
l'introduction commune aux deux normes et aujourd'hui reconnues comme n'étant plus d'actualité. Par la suite,
il est prévu de fusionner l'ISO 13849-1 et la CEI 62061 par le biais d'un groupe de travail mixte de
l'ISO/TC 199 et du CEI/TC 44.
© ISO 2010 – Tous droits réservés v
---------------------- Page: 5 ----------------------
RAPPORT TECHNIQUE ISO/TR 23849:2010(F)
Lignes directrices relatives à l'application de l'ISO 13849-1 et de
la CEI 62061 dans la conception des systèmes de commande
des machines relatifs à la sécurité
1 Domaine d'application
1)
Le présent Rapport technique a pour objet d'expliquer l'application de la CEI 62061 et de l'ISO 13849-1 dans
la conception des systèmes de commande des machines relatifs à la sécurité.
2 Généralités
2.1 La CEI 62061 et l'ISO 13849-1 spécifient des exigences de conception et de mise en œuvre des
2)
systèmes de commande relatifs à la sécurité des machines . Les méthodes développées dans ces deux
normes sont différentes mais, correctement mises en œuvre, elles permettent des réductions du risque
comparables.
2.2 Ces normes classent les systèmes de commande relatifs à la sécurité mettant en œuvre des fonctions
de sécurité selon des niveaux définis en termes de probabilité de défaillance dangereuse par heure.
L'ISO 13849-1 possède cinq niveaux de performance (PL, performance levels), a, b, c, d et e, tandis que la
CEI 62061 comprend trois niveaux d'intégrité de sécurité (SIL, safety integrity levels), 1, 2 et 3.
2.3 Les comités de normes de produit (type C) spécifient les exigences de sécurité pour les systèmes de
commande relatifs à la sécurité et il est recommandé que ces comités classifient les «degrés de confiance»
qu'ils requièrent en termes de PL et SIL.
2.4 Les concepteurs de machines sont libres d'utiliser soit la CEI 62061, soit l'ISO 13849-1, selon les
caractéristiques spécifiques de l'application.
2.5 Il est fort probable que le choix et l'utilisation d'une norme plutôt que l'autre soient déterminés par
exemple comme suit:
⎯ le fait d'avoir des connaissances et une expérience préalables dans le domaine de la conception de
systèmes de commande relatifs à la sécurité des machines qui reposent sur le concept des catégories
décrites dans l'ISO 13849-1:1999 peut signifier que l'emploi de l'ISO 13849-1:2006 est plus approprié;
⎯ des systèmes de commande relatifs à la sécurité dont le moyen d'action n'est pas électrique peuvent
signifier que l'emploi de l'ISO 13849-1:2006 est plus approprié;
⎯ le fait que le client réclame que l'intégrité de sécurité d'un système de commande de machine relatif à la
sécurité soit démontrée en termes de SIL peut signifier que l'emploi de la CEI 62061 est plus approprié;
1) Le présent Rapport technique s'appuie sur l'ISO 13849-1:2006 plutôt que sur l'ISO 13849-1:1999 qu’elle remplace.
2) Ces normes ont été adoptées par les organismes européens de normalisation CEN et CENELEC sous les références
respectives ISO 13849-1 et EN 62061, où elles ont le statut de normes harmonisées au titre de la transposition de la
directive Machines (98/37/CE et 2006/42/CE). Dans les conditions de leur publication, l'utilisation correcte de l’une de ces
deux normes implique la conformité aux exigences de sécurité essentielles de la directive Machines (98/37/CE et
2006/42/CE).
© ISO 2010 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO/TR 23849:2010(F)
⎯ le fait que les machines comprenant les systèmes de commande relatifs à la sécurité en question soient
utilisées, par exemple dans les industries de transformation où d'autres systèmes relatifs à la sécurité
(tels que des systèmes de sécurité conformes à la CEI 61511) sont définis en termes de SIL, peut
signifier que l'emploi de la CEI 62061 est plus approprié.
3 Comparaison des normes
3.1 Une comparaison des exigences techniques de l'ISO 13849-1 et de la CEI 62061 a été menée sur les
aspects suivants:
⎯ terminologie;
⎯ estimation du risque et détermination d'objectif de performance;
⎯ spécification des exigences de sécurité;
⎯ exigences d'intégrité systématique;
⎯ fonctions de diagnostic;
⎯ exigences de sécurité logicielle.
3.2 En outre, une évaluation de l'utilisation des formules mathématiques simplifiées pour déterminer la
probabilité des défaillances dangereuses (PFH , probability of a dangerous failure per hour) et le temps
D
moyen avant défaillance dangereuse (MTTF , mean time to dangerous failure) suivant les deux normes a
d
aussi été effectuée.
3.3 Les conclusions de ce travail sont les suivantes.
⎯ Les systèmes de commande relatifs à la sécurité peuvent être conçus de manière à atteindre des
niveaux de sécurité fonctionnelle acceptables avec l'une ou l'autre norme, en intégrant des sous-
systèmes de commande électriques relatifs à la sécurité (SRECS, safety-related electrical control
system) ou des parties de systèmes de commande relatives à la sécurité (SRP/CS, safety-related parts
3)
of a control system) non complexes conçus respectivement conformément à la CEI 62061 et à
l'ISO 13849-1.
⎯ Ces deux normes peuvent également fournir des solutions de conception pour des SRECS et SRP/CS
complexes en intégrant des sous-systèmes électriques/électroniques/programmables électroniques
conçus conformément à la CEI 61508.
⎯ Chaque norme est déjà appréciée par les utilisateurs du secteur des machines, qui tireront avantage de
l'expérience acquise à l'usage. Une certaine période d'observation de leur application pratique est
nécessaire à toute initiative future d'évolution vers une norme qui fusionne les contenus de la CEI 62061
et de l'ISO 13849-1.
⎯ Des différences de détail existent et il est reconnu que certains concepts (par exemple celui de la gestion
de la sécurité fonctionnelle) nécessitent encore du travail pour établir une équivalence entre les
méthodologies de conception respectives et certaines exigences techniques.
3) Bien qu'il n'y ait aucune définition pour les termes SRECS ou SRP/CS «non complexes», il convient de le considérer
comme l'équivalent de la faible complexité dans le contexte de la CEI 62061:2005, 3.2.7.
2 © ISO 2010 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/TR 23849:2010(F)
4 Estimation du risque et détermination de la performance requise
4.1 Une comparaison a été effectuée sur l'utilisation des méthodes pour attribuer un SIL et/ou un PL à une
r
fonction de sécurité particulière. Elle a établi qu'il existe un bon niveau de correspondance entre les méthodes
fournies dans l'Annexe A de chaque norme.
4.2 Il est important, quelle que soit la méthode utilisée, de veiller à ce que des jugements corrects soient
émis sur les paramètres de risque pour déterminer le SIL et/ou PL supposé s'appliquer à une fonction de
r
sécurité particulière. Ces jugements sont souvent plus justes lorsqu'ils sont émis par un panel de
professionnels (par exemple des concepteurs, du personnel de maintenance, des opérateurs) pour s'assurer
que les dangers éventuellement présents sur une machine soient bien compris.
4.3 D'autres renseignements sur le processus d'estimation du risque et de la détermination des objectifs de
performance se trouvent dans l'ISO 14121-1 et la CEI 61508-5.
5 Spécification des exigences de sécurité
5.1 Dans l'ISO 13849-1 comme dans la CEI 62061, la première étape de la méthodologie consiste à
préciser la (les) fonction(s) de sécurité que le système de commande relatif à la sécurité est censé remplir.
5.2 Il convient que, pour chaque fonction de sécurité remplie par un circuit de commande, une évaluation
ait été réalisée s'appuyant, par exemple, sur l'Annexe A de l'ISO 13849-1 ou sur l'Annexe A de la CEI 62061.
Il convient que cette évaluation ait déterminé quelle est la réduction du risque nécessaire pour chaque
fonction de sécurité d'une machine et, ensuite, quel est le degré de confiance nécessaire pour le circuit de
commande qui accomplit cette fonction de sécurité.
5.3 Le degré de confiance, spécifié sous forme de PL et/ou SIL, est attaché à une fonction de sécurité
particulière.
5.4 Ci-après se trouvent les informations, relatives aux fonctions de sécurité, qu'il convient qu'une norme de
produit (type C) fournisse.
Fonction(s) de sécurité qu'un circuit de commande doit remplir:
Nom de la fonction de sécurité
Description de la fonction
Niveau de performance requis conformément à l'ISO 13849-1: PL , a à e
r
et/ou
Intégrité de sécurité requise conformément à la CEI 62061: SIL, 1 à 3
6 Détermination des objectifs de performance: PL ou SIL
Le Tableau 1 donne la relation entre le PL et le SIL d'après la probabilité moyenne d'une défaillance
dangereuse par heure. Les deux normes fournissent toutefois des exigences (par exemple d'intégrité de
sécurité systématique) qui viennent s'ajouter à ces objectifs probabilistes et qui doivent aussi s'appliquer à un
système de commande relatif à la sécurité. La rigueur de ces exigences dépend du PL et SIL en question.
© ISO 2010 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO/TR 23849:2010(F)
Tableau 1 — Relation entre PL et SIL basée sur
la probabilité moyenne d'une défaillance dangereuse par heure
Niveau de performance (PL) Probabilité moyenne d'une défaillance Niveau d'intégrité de sécurité (SIL)
dangereuse par heure (1/h)
−5 −4
a W 10 à < 10 Aucune exigence de sécurité
particulière
−6 −5
b W 3 × 10 à < 10 1
−6 −6
c W 10 à < 3 × 10 1
−7 −6
d W 10 à < 10 2
−8 −7
e W 10 à < 10 3
7 Conception du système
7.1 Exigences générales pour la conception des système selon la CEI 62061 et
l'ISO 13849-1
Lors de la conception d'un SRECS ou d'une SRP/CS, il convient de prendre en compte les aspects suivants.
⎯ Lorsqu'elles sont appliquées dans les limites de leur domaine d'application, les deux normes peuvent
servir à concevoir des systèmes de commande relatifs à la sécurité avec une sécurité fonctionnelle
acceptable, indiquée par le PL ou le SIL obtenu.
⎯ Les parties non complexes relatives à la sécurité, conçues pour atteindre le PL approprié conformément
à l'ISO 13849-1, peuvent être intégrées en tant que sous-système dans un système de commande
électrique relatif à la sécurité (SRECS) conçu conformément à la CEI 62061. Toute partie complexe
relative à la sécurité, conçue pour atteindre le PL approprié conformément à l'ISO 13849-1, peut être
intégrée dans les pièces relatives à la sécurité d'un système de commande (SRP/SC) conçu
conformément à l'ISO 13849-1.
⎯ Tout sous-système non complexe conçu conformément à la CEI 62061 pour atteindre le SIL approprié
peut être intégré en tant que pièce(s) relative(s) à la sécurité dans une combinaison de SRP/SC conçue
conformément à l'ISO 13849-1.
⎯ Tout sous-système complexe conçu conformément à la CEI 61508 pour atteindre le SIL approprié peut
être intégré en tant que pièce(s) relative(s) à la sécurité dans une combinaison de SRP/SC conçue
conformément à l'ISO 13849-1 ou en tant que sous-système dans un SRECS conçu conformément à la
CEI 62061.
7.2 Estimation de la PFH et du MTTF et utilisation des exclusions d'anomalie
D d
7.2.1 PFH et MTTF
D d
7.2.1.1 Dans le contexte de l'ISO 13849-1, la valeur du MTTF correspond à une SRP/CS à canal unique
d
sans diagnostic et, dans ce cas seulement, est l'inverse de la PFH de la CEI 62061.
D
7.2.1.2 Le MTTF est un paramètre de composant et/ou de canal unique ne tenant aucun compte de
d
facteurs tels que le diagnostic et l'architecture, tandis que la PFH est un paramètre de sous-système qui
D
prend en compte la contribution de ces facteurs, selon la structure de conception.
7.2.1.3 L'Annexe K de l'ISO 13849-1 décrit la relation entre le MTTF et la PFH d'une SRP/CS, pour
d D
différentes architectures classées en termes de catégorie et de couverture du diagnostic (DC, diagnostic
coverage).
4 © ISO 2010 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/TR 23849:2010(F)
7.2.1.4 L'estimation de la PFH pour une combinaison de SRP/CS en série conforme à l'ISO 13849-1
D
peut aussi être réalisée en ajoutant des valeurs de PFH (par exemple déduites de l'Annexe K de
D
l'ISO 13849-1) de chaque SRP/CS d'une manière similaire à celle utilisée avec des sous-systèmes dans la
CEI 62061.
7.2.2 Usage des exclusions d'anomalie
7.2.2.1 Chacune des deux normes permet l'usage des exclusions d'anomalie (voir la CEI 62061, 6.7.7, et
l'ISO 13849-1, 7.3). La CEI 62061 ne permet pas l'utilisation d'exclusions d'anomalie pour un SRECS sans
tolérance aux anomalies matérielles devant atteindre un SIL 3 sans tolérance aux anomalies matérielles.
7.2.2.2 Lorsque des exclusions d'anomalie sont utilisées, il est important qu'elles soient correctement
justifiées et valables pour la durée de vie prévue d'une SRP/CS ou d'un SRECS.
7.2.2.3 En général, lorsque, pour une fonction de sécurité devant être accomplie par une SRP/CS ou un
SRECS, le niveau PL e ou SIL 3 est exigé, il n'est pas acceptable de s'appuyer uniquement sur les exclusions
d'anomalies pour atteindre ce niveau de performance. Cela dépend de la technologie utilisée et de
l'environnement de fonctionnement prévu. Il est donc essentiel que le concepteur accorde un soin
supplémentaire à l'usage des exclusions d'anomalie en même temps que le PL ou SIL augmente.
7.2.2.4 En général, les exclusions d'anomalies ne sont pas applicables aux aspects mécaniques des
interrupteurs électromécaniques de fin de course et des interrupteurs à commande manuelle (par exemple
dispositif d'arrêt d'urgence) dans l'obtention du niveau PL e ou SIL 3 lors de la conception d'une SRP/CS ou
d'un SRECS. Les exclusions d'anomalies qui peuvent être appliquées à des conditions de défaut mécanique
particulières (par exemple usure/corrosion, rupture) sont décrites dans l'ISO 13849-2.
7.2.2.5 Par exemple, un système d'inter-verrouillage de porte qui doit atteindre le PL e ou le SIL 3 aura
besoin de posséder une tolérance minimale aux anomalies égale à 1 (par exemple avec deux interrupteurs de
fin de course mécaniques conventionnels) pour atteindre ce niveau de performance, car il n'est normalement
pas justifiable d'exclure des anomalies telles que des actionneurs d'interrupteurs cassés. Il peut toutefois être
acceptable d'exclure des anomalies telles que le court-circuit de câblage dans un tableau de commande
conforme aux normes pertinentes.
7.2.2.6 La prochaine révision de l'ISO 13849-2 actuellement en cours d'élaboration par
l'ISO/TC 199/GT 8 apportera davantage de renseignements sur l'usage des exclusions d'anomalie.
7.3 Conception de système à partir de sous-systèmes ou de SRP/CS conformes à la
CEI 62061 ou à l'ISO 13849-1
7.3.1 Dans tous les cas où des sous-systèmes ou des parties de système de commande relatives à la
sécurité sont conçus conformément à l'ISO 13849-1 ou à la CEI 62061, la conformité à la norme relative au
niveau de système ne peut être affirmée que si toutes les exigences de la norme relative au niveau de
système (selon le cas) sont satisfaites.
7.3.2 Pour la conception d'un sous-système ou d'une partie de système de commande relative à la sécurité,
soit la CEI 62061, soit l'ISO 13849-1, respectivement, doit être observée. Il est permis de satisfaire plus d'une
de ces normes à condition que les normes utilisées soient entièrement respectées.
7.3.3 Lors de la conception d'un sous-système ou d'une partie de système de commande relative à la
sécurité, il n'est pas permis de mélanger les exigences des normes.
7.4 Conception de système à partir de sous-systèmes ou de SRP/CS conçus d'après
d'autres normes CEI ou ISO
7.4.1 Il est possible de choisir des sous-systèmes, par exemple des matériels de protection
électro-sensibles, de conception conforme aux normes de produit CEI ou ISO correspondantes et à l'une ou
l'autre des normes CEI 61508, CEI 62061 ou ISO 13849-1. Il convient que le(s) vendeur(s) de ces types de
© ISO 2010 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO/TR 23849:2010(F)
sous-systèmes fournisse(nt) les informations nécessaires pour faciliter leur intégration dans un système de
commande relatif à la sécurité conforme à la CEI 62061 ou à l'ISO 13849-1.
7.4.2 Les sous-système, par exemple les entraînements électriques à vitesse variable, conçus d'après des
normes de produit telles que la CEI 61800-5-2 et appliquant les exigences de la CEI 61508 peuvent être
utilisés dans les systèmes de commande relatifs à la sécurité conformes à la CEI 62061 (voir aussi la
CEI 62061, 6.7.3) et à l'ISO 13849-1.
7.4.3 Conformément à la CEI 62061, les autres sous-systèmes conçus à partir d'une ou plusieurs normes
CEI, ISO ou autres sont soumis à la CEI 62061, 6.7.3.
8 Exemple
8.1 Généralités
L'exemple suivant suppose que toutes les exigences des normes ont été satisfaites. Il a pour seul objet de
démontrer certains aspects particuliers de la mise en œuvre des normes.
8.2 Exemple simplifié des conception et validation d'un système de commande relatif à la
sécurité faisant usage d'une fonction de commande particulière relative à la sécurité
8.2.1 Cet exemple simplifié vise à illustrer l'utilisation de sous-systèmes ou de SRP/CS conformes à la
CEI 62061 et/ou à l'ISO 13849-1 dans un SRECS/SRP/CS. Il est fondé sur la mise en œuvre d'une fonction
de sécurité décrite comme une fonction d'arrêt relative à la sécurité associée à la surveillance de la position
d'un protecteur mobile avec un niveau d'intégrité de sécurité SIL 3 ainsi qu'un niveau de performance PL e
r
comme décrit à la Figure 1.
6 © ISO 2010 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO/TR 23849:2010(F)
montré en position activée
a Ouvert.
b Fermé.
c DÉMARRAGE.
d Circuit de rétroaction.
Figure 1 — Exemple de mise en œuvre de la fonction de sécurité
8.2.2 Les informations suivantes concernent la spécification des exigences de sécurité pour cet exemple.
Fonction de sécurité
⎯ Fonction d'arrêt relative à la sécurité, déclenchée par un dispositif de protection: l'ouverture du protecteur
mobile déclenche la fonction de sécurité STO (safe torque off, absence sûre de couple).
© ISO 2010 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
ISO/TR 23849:2010(F)
Description fonctionnelle
⎯ La protection contre les dangers de happement est assurée par un protecteur mobile (grille de protection).
L'ouverture du protecteur avec dispositif de verrouillage est détectée par deux interrupteurs de fin de
course, B1/B2, employant une combinaison contact à ouverture/contact à fermeture, et l'évaluation est
faite par un module de sécurité central, K1. K1 actionne deux contacteurs, Q1 et Q2, dont la retombée
interrompt ou empêche les mouvements ou états dangereux.
⎯ La vraisemblance des interrupteurs de fin de course est surveillée par K1 à des fins de détection
d'anomalies. Les anomalies de Q1 et Q2 sont détectées par un essai de démarrage dans K1. Une
commande de démarrage n'est réussie que si Q1 et Q2 sont retombés auparavant. Les essais de
démarrage par ouverture et fermeture du protecteur avec dispositif de verrouillage ne sont pas requis.
⎯ La fonction de sécurité reste intacte en cas de défaillance de composant. Les anomalies sont détectées
lors du fonctionnement ou de la manœuvre (ouverture et fermeture) du protecteur avec dispositif de
verrouillage par la retombée de Q1 et de Q2 et la désactivation du fonctionnement.
⎯ Le cumul de plus de deux anomalies entre deux manœuvres successives peut conduire à la perte de la
fonction de sécurité.
8.2.3 Il convient également de s'assurer des points suivants.
⎯ Les principes de sécurité fondamentaux et éprouvés sont respectés (par exemple la valeur du courant
d'emploi des contacteurs Q1 et Q2 est réduite de 50 %) et les exigences de catégorie B sont satisfaites.
Des circuits de protection (par exemple protection de contact) sont mis en place.
⎯ Une configuration stable des dispositifs de protection est assurée pour la manœuvre des interrupteurs de
fin de course.
⎯ L'interrupteur B1 est un interrupteur de fin de course à manœuvre positive d'ouverture, conformément à
l'Annexe K de la CEI 60947-5-1:2003.
⎯ Les conducteurs d'alimentation des interrupteurs B1 et B2 sont séparés ou munis d'une protection.
8.2.4 Les informations suivantes sont disponibles auprès des fabricants pour chaque partie de la
conception d'une SRP/CS.
4)
⎯ Le module de sécurité K1 est déclaré par le fabricant comme satisfaisant aux exigences de la
catégorie 4, PL e et SIL CL 3.
⎯ Les contacteurs Q1 et Q2 possèdent des éléments de contact reliés mécaniquement conformes à
l'Annexe L de la CEI 60947-5-1:2003.
8.2.5 L'observation suivante peut être faite sur la conception d'une SRP/CS et/ou d'un SRECS.
⎯ La catégorie 4 ne peut être obtenue que lorsque les différents interrupteurs mécaniques de fin de course
des divers dispositifs de protection ne sont pas connectés en série (c'est-à-dire pas de démultiplication).
Cela est nécessaire, sans quoi les anomalies des interrupteurs ne peuvent être détectées.
8.2.6 Calcul de la probabilité de défaillance conformément à l'ISO 13849-1
La Figure 2 montre un sous-système
...
SLOVENSKI STANDARD
oSIST-TP ISO/TR 23849:2020
01-september-2020
Navodila za uporabo ISO 13849-1 in IEC 62061 pri načrtovanju z varnostjo
povezanih krmilnih sistemov za stroje
Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-
related control systems for machinery
Lignes directrices relatives à l'application de l'ISO 13849-1 et de la CEI 62061 dans la
conception des systèmes de commande des machines relatifs à la sécurité
Ta slovenski standard je istoveten z: ISO/TR 23849:2010
ICS:
13.110 Varnost strojev Safety of machinery
oSIST-TP ISO/TR 23849:2020 en,fr,de
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
---------------------- Page: 1 ----------------------
oSIST-TP ISO/TR 23849:2020
---------------------- Page: 2 ----------------------
oSIST-TP ISO/TR 23849:2020
TECHNICAL ISO/TR
REPORT 23849
First edition
2010-05-01
Guidance on the application of
ISO 13849-1 and IEC 62061 in the design
of safety-related control systems for
machinery
Lignes directrices relatives à l'application de l'ISO 13849-1 et de la
CEI 62061 dans la conception des systèmes de commande des
machines relatifs à la sécurité
Reference number
ISO/TR 23849:2010(E)
©
ISO 2010
---------------------- Page: 3 ----------------------
oSIST-TP ISO/TR 23849:2020
ISO/TR 23849:2010(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2010
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2010 – All rights reserved
---------------------- Page: 4 ----------------------
oSIST-TP ISO/TR 23849:2020
ISO/TR 23849:2010(E)
Contents Page
Foreword .iv
Introduction.v
1 Scope.1
2 General .1
3 Comparison of standards.2
4 Risk estimation and assignment of required performance.2
5 Safety requirements specification.3
6 Assignment of performance targets: PL versus SIL .3
7 System design .4
7.1 General requirements for system design using IEC 62061 and ISO 13849-1.4
7.2 Estimation of PFH and MTTF and the use of fault exclusions.4
D d
7.3 System design using subsystems or SRP/CS that conform to either IEC 62061 or
ISO 13849-1 .5
7.4 System design using subsystems or SRP/CS that have been designed using other IEC or
ISO standards .5
8 Example.5
8.1 General .5
8.2 Simplified example of the design and validation of a safety-related control system
implementing a specified safety-related control function .5
8.3 Conclusion .13
Bibliography.14
© ISO 2010 – All rights reserved iii
---------------------- Page: 5 ----------------------
oSIST-TP ISO/TR 23849:2020
ISO/TR 23849:2010(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
In exceptional circumstances, when a technical committee has collected data of a different kind from that
which is normally published as an International Standard (“state of the art”, for example), it may decide by a
simple majority vote of its participating members to publish a Technical Report. A Technical Report is entirely
informative in nature and does not have to be reviewed until the data it provides are considered to be no
longer valid or useful.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/TR 23849 was prepared jointly by Technical Committee ISO/TC 199, Safety of machinery, and Technical
Committee IEC/TC 44, Safety of machinery — Electrotechnical aspects. The draft was circulated for voting to
the national bodies of both ISO and IEC. These technical committees have agreed that no modification will be
made to this Technical Report except by mutual agreement.
iv © ISO 2010 – All rights reserved
---------------------- Page: 6 ----------------------
oSIST-TP ISO/TR 23849:2020
ISO/TR 23849:2010(E)
Introduction
This Technical Report has been prepared by experts from both IEC/TC 44/WG 7 and ISO/TC 199/WG 8 in
response to requests from their Technical Committees to explain the relationship between IEC 62061 and
ISO 13849-1. In particular, it is intended to assist users of these International Standards in terms of the
interaction(s) that can exist between the standards to ensure that confidence can be given to the design of
safety-related systems made in accordance with either standard.
It is intended that this Technical Report be incorporated into both IEC 62061 and ISO 13849-1 by means of
corrigenda that reference the published version of this document. These corrigenda will also remove the
information given in Table 1, Recommended application of IEC 62061 and ISO 13849-1, provided in the
common introduction to both standards, which is now recognized as being out of date. Subsequently, it is
intended to merge ISO 13849-1 and IEC 62061 by means of a JWG of ISO/TC 199 and IEC/TC 44.
© ISO 2010 – All rights reserved v
---------------------- Page: 7 ----------------------
oSIST-TP ISO/TR 23849:2020
---------------------- Page: 8 ----------------------
oSIST-TP ISO/TR 23849:2020
TECHNICAL REPORT ISO/TR 23849:2010(E)
Guidance on the application of ISO 13849-1 and IEC 62061 in
the design of safety-related control systems for machinery
1 Scope
1)
This Technical Report is intended to explain the application of IEC 62061 and ISO 13849-1 in the design of
safety-related control systems for machinery.
2 General
2.1 Both IEC 62061 and ISO 13849-1 specify requirements for the design and implementation of
2)
safety-related control systems of machinery . The methods developed in both of these standards are different
but, when correctly applied, can achieve a comparable level of risk reduction.
2.2 These standards classify safety-related control systems that implement safety functions into levels that
are defined in terms of their probability of dangerous failure per hour. ISO 13849-1 has five Performance
Levels (PLs), a, b, c, d and e, while IEC 62061 has three safety integrity levels (SILs), 1, 2 and 3.
2.3 Product standards (type-C) committees specify the safety requirements for safety-related control
systems and it is recommended that these committees classify the levels of confidence required for them in
terms of PLs and SILs.
2.4 Machinery designers may choose to use either IEC 62061 or ISO 13849-1 depending on the specific
features of the application.
2.5 The selection and use of either standard is likely to be determined by, for example:
⎯ previous knowledge and experience in the design of machinery safety-related control systems based
upon the concept of categories described in ISO 13849-1:1999 can mean that the use of
ISO 13849-1:2006 is more appropriate;
⎯ safety-related control systems based upon media other than electrical can mean that the use of
ISO 13849-1 is more appropriate;
⎯ customer requirements to demonstrate the safety integrity of a machine safety-related control system in
terms of a SIL can mean that the use of IEC 62061 is more appropriate;
⎯ safety-related control systems of machinery used in, for example, the process industries, where other
safety-related systems (such as safety instrumented systems in accordance with IEC 61511) are
characterized in terms of SILs, can mean that the use of IEC 62061 is more appropriate.
1) This Technical Report considers ISO 13849-1:2006 rather than ISO 13849-1:1999, which has been withdrawn.
2) These standards have been adopted by the European standardization bodies CEN and CENELEC as ISO 13849-1
and EN 62061, respectively, where they are published with the status of transposed harmonized standards under the
Machinery Directive (98/37/EC and 2006/42/EC). Under the conditions of their publication, the correct use of either of
these standards is presumed to conform to the relevant essential safety requirements of the Machinery Directive
(98/37/EC and 2006/42/EC).
© ISO 2010 – All rights reserved 1
---------------------- Page: 9 ----------------------
oSIST-TP ISO/TR 23849:2020
ISO/TR 23849:2010(E)
3 Comparison of standards
3.1 A comparison of the technical requirements in ISO 13849-1 and IEC 62061 has been carried out in
respect of the following aspects:
⎯ terminology;
⎯ risk estimation and performance allocation;
⎯ safety requirements specification;
⎯ systematic integrity requirements;
⎯ diagnostic functions;
⎯ software safety requirements.
3.2 Additionally, an evaluation of the use of the simplified mathematical formulae to determine the
probability of dangerous failures (PFH ) and MTTF according to both standards has been carried out.
D d
3.3 The conclusions from this work are the following.
⎯ Safety-related control systems can be designed to achieve acceptable levels of functional safety using
3)
either of the two standards by integrating non-complex SRECS (safety-related electrical control system)
subsystems or SRP/CS (safety-related parts of a control system) designed in accordance with IEC 62061
and ISO 13849-1, respectively.
⎯ Both standards can also be used to provide design solutions for complex SRECS and SRP/CS by
integrating electrical/electronic/programmable electronic subsystems designed in accordance with
IEC 61508.
⎯ Both standards currently have value to users in the machinery sector and benefits will be gained from
experience in their use. Feedback over a reasonable period on their practical application is essential to
support any future initiatives to move towards a standard that merges the contents of both IEC 62061 and
ISO 13849-1.
⎯ Differences exist in detail and it is recognized that some concepts (e.g. functional safety management)
will need further work to establish equivalence between respective design methodologies and some
technical requirements.
4 Risk estimation and assignment of required performance
4.1 A comparison has been carried out on the use of the methods to assign a SIL and/or PL to a specific
r
safety function. This has established that there is a good level of correspondence between the respective
methods provided in Annex A of each standard.
4.2 It is important, regardless of which method is used, that attention be given to ensure that appropriate
judgements are made on the risk parameters to determine the SIL and/or PL that is likely to apply to a
r
specific safety function. These judgements can often best be made by bringing together a range of personnel
(e.g. design, maintenance, operators) to ensure that the hazards that may be present at machinery are
properly understood.
4.3 Further information on the process of risk estimation and the assignment of performance targets can be
found in ISO 14121-1 and IEC 61508-5.
3) Although there is no definition for the term “non-complex” SRECS or SRP/CS this should be considered equivalent to
low complexity in the context of IEC 62061:2005, 3.2.7.
2 © ISO 2010 – All rights reserved
---------------------- Page: 10 ----------------------
oSIST-TP ISO/TR 23849:2020
ISO/TR 23849:2010(E)
5 Safety requirements specification
5.1 A first stage in the respective methodologies of both ISO 13849-1 and IEC 62061 requires that the
safety function(s) to be implemented by the safety-related control system are specified.
5.2 An assessment should have been performed relevant to each safety function that is to be implemented
by a control circuit by, for example, using ISO 13849-1, Annex A, or IEC 62061, Annex A. This should have
determined what risk reduction needs to be provided by each particular safety function at a machine and, in
turn, what level of confidence is required for the control circuit that performs this safety function.
5.3 The level of confidence specified as a PL and/or a SIL is relevant to a specific safety function.
5.4 The following shows the information that should be provided in relation to safety functions by a product
(type-C) standard.
Safety function(s) to be implemented by a control circuit:
Name of safety function
Description of the function
Required level of performance according to ISO 13849-1: PL a to e
r
and/or
Required safety integrity according to IEC 62061: SIL 1 to 3
6 Assignment of performance targets: PL versus SIL
Table 1 gives the relationship between PL and SIL based on the average probability of a dangerous failure per
hour. However, both standards have requirements (e.g. systematic safety integrity) additional to these
probabilistic targets that are also to be applied to a safety-related control system. The rigour of these
requirements is related to the respective PL and SIL.
Table 1 — Relationship between PLs and SILs based on the average probability
of dangerous failure per hour
Average probability of a dangerous
Performance level (PL) Safety integrity level (SIL)
failure per hour (1/h)
−5 −4
W 10 to < 10
a No special safety requirements
−6 −5
W 3 × 10 to < 10
b 1
−6 −6
W 10 to < 3 × 10
c 1
−7 −6
d W 10 to < 10 2
−8 −7
e W 10 to < 10 3
© ISO 2010 – All rights reserved 3
---------------------- Page: 11 ----------------------
oSIST-TP ISO/TR 23849:2020
ISO/TR 23849:2010(E)
7 System design
7.1 General requirements for system design using IEC 62061 and ISO 13849-1
The following aspects should be taken into account when designing a SRECS/SRP/CS.
⎯ When applied within the limitations of their respective scopes either of the two standards can be used to
design safety-related control systems with acceptable functional safety, as indicated by the achieved SIL
or PL.
⎯ Non-complex safety-related parts that are designed to the relevant PL in accordance with ISO 13849-1
can be integrated as subsystems into a safety-related electrical control system (SRECS) designed in
accordance with IEC 62061. Any complex safety-related parts that are designed to the relevant PL in
accordance with ISO 13849-1 can be integrated into safety-related parts of a control system (SRP/CS)
designed in accordance with ISO 13849-1.
⎯ Any non-complex subsystem that is designed in accordance with IEC 62061 to the relevant SIL can be
integrated as a safety-related part into a combination of SRP/CS designed in accordance with
ISO 13849-1.
⎯ Any complex subsystem that is designed in accordance with IEC 61508 to the relevant SIL can be
integrated as a safety-related part into a combination of SRP/CS designed in accordance with
ISO 13849-1 or as subsystems into a SRECS designed in accordance with IEC 62061.
7.2 Estimation of PFH and MTTF and the use of fault exclusions
D d
7.2.1 PFH and MTTF
D d
7.2.1.1 The value of MTTF in the context of ISO 13849-1 relates to a single channel SRP/CS without
d
diagnostics and, only in this case, is the reciprocal of PFH in IEC 62061.
D
7.2.1.2 MTTF is a parameter of a component(s) and/or single channel without any consideration being
d
given to factors such as diagnostics and architecture, while PFH is a parameter of a subsystem that takes
D
into account the contribution of factors such as diagnostics and architecture depending on the design structure.
7.2.1.3 Annex K of ISO 13849-1 describes the relationship between MTTF and the PFH of an SRP/CS
d D
for different architectures classified in terms of category and diagnostic coverage (DC).
7.2.1.4 The estimation of PFH for a series connected combination of SRP/CS in accordance with
D
ISO 13849-1 can also be performed by adding PFH values (e.g. derived from Annex K of ISO 13849-1) of
D
each SRP/CS in a similar manner to that used with subsystems in IEC 62061.
7.2.2 Use of fault exclusions
7.2.2.1 Both standards permit the use of fault exclusions, see 6.7.7 of IEC 62061 and 7.3 of ISO 13849-1.
IEC 62061 does not permit the use of fault exclusions for a SRECS without hardware fault tolerance required
to achieve SIL 3 without hardware fault tolerance.
7.2.2.2 It is important that where fault exclusions are used that they be properly justified and valid for the
intended lifetime of an SRP/CS or SRECS.
7.2.2.3 In general, where PL e or SIL 3 is specified for a safety function to be implemented by an
SRP/CS or SRECS, it is not normal to rely upon fault exclusions alone to achieve this level of performance.
This is dependent upon the technology used and the intended operating environment. Therefore it is essential
that the designer takes additional care in the use of fault exclusions as PL or SIL increases.
7.2.2.4 In general the use of fault exclusions is not applicable to the mechanical aspects of
electromechanical position switches and manually operated switches (e.g. an emergency stop device) in order
4 © ISO 2010 – All rights reserved
-------------
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.