ISO 13849-2:2012
(Main)Safety of machinery — Safety-related parts of control systems — Part 2: Validation
Safety of machinery — Safety-related parts of control systems — Part 2: Validation
ISO 13849-2:2012 specifies the procedures and conditions to be followed for the validation by analysis and testing of the specified safety functions, the category achieved, and the performance level achieved by the safety-related parts of a control system (SRP/CS) designed in accordance with ISO 13849-1.
Sécurité des machines — Parties des systèmes de commande relatives à la sécurité — Partie 2: Validation
L'ISO 13849-2:2012 spécifie les modes opératoires et conditions à suivre pour la validation par analyse et par essais des fonctions de sécurité spécifiées, de la catégorie atteinte et du niveau de performance atteint par les parties d'un système de commande relatives à la sécurité (SRP/CS) conçu conformément à l'ISO 13849-1.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13849-2
Second edition
2012-10-15
Safety of machinery — Safety-related
parts of control systems —
Part 2:
Validation
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 2: Validation
Reference number
©
ISO 2012
© ISO 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any
means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the
address below or ISO’s member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2012 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Validation process . 1
4.1 Validation principles . 1
4.2 Validation plan . 3
4.3 Generic fault lists . . 4
4.4 Specific fault lists. 4
4.5 Information for validation . 4
4.6 Validation record . 6
5 Validation by analysis . 6
5.1 General . 6
5.2 Analysis techniques . 7
6 Validation by testing . 7
6.1 General . 7
6.2 Measurement accuracy . 8
6.3 More stringent requirements . 8
6.4 Number of test samples . 8
7 Validation of safety requirements specification for safety functions .9
8 Validation of safety functions . 9
9 Validation of performance levels and categories .10
9.1 Analysis and testing .10
9.2 Validation of category specifications .10
9.3 Validation of MTTF , DC and CCF .12
d avg
9.4 Validation of measures against systematic failures related to performance level and
category of SRP/CS .13
9.5 Validation of safety-related software .13
9.6 Validation and verification of performance level .14
9.7 Validation of combination of safety-related parts .14
10 Validation of environmental requirements .15
11 Validation of maintenance requirements .15
12 Validation of technical documentation and information for use .16
Annex A (informative) Validation tools for mechanical systems .17
Annex B (informative) Validation tools for pneumatic systems .21
Annex C (informative) Validation tools for hydraulic systems .31
Annex D (informative) Validation tools for electrical systems .40
Annex E (informative) Example of validation of fault behaviour and diagnostic means .53
Bibliography .78
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 13849-2 was prepared by Technical Committee ISO/TC 199, Safety of machinery.
This second edition cancels and replaces the first edition (ISO 13849-2:2003), which has been technically
revised in order to adapt to ISO 13849-1:2006. In addition, the new Annex E provides an example for the
validation of fault behaviour and diagnostic means.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related
parts of control systems:
— Part 1: General principles for design
— Part 2: Validation
Annexes A to D, which are informative, are structured according to Table 1.
Table 1 — Structure of Annexes A to D of this part of ISO 13849
List of basic safety List of well-tried List of well-tried Fault lists and
principles safety principles components fault exclusions
Annex Technology
Table(s)
A Mechanical A.1 A.2 A.3 A.4, A.5
B Pneumatic B.1 B.2 — B.3 to B.18
C Hydraulic C.1 C.2 — C.3 to C.12
Electrical (includes
D D.1 D.2 D.3 D.4 to D.21
electronics)
iv © ISO 2012 – All rights reserved
Introduction
The structure of safety standards in the field of machinery is as follows:
a) type-A standards (basic safety standards) giving basic concepts, principles for design and general
aspects that can be applied to machinery;
b) type-B standards (generic safety standards) dealing with one safety aspect or one type of safeguard
that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (for example safety distances, surface
temperature, noise);
— type-B2 standards on safeguards (for example two-hand controls, interlocking devices,
pressure-sensitive devices, guards);
c) type-C standards (machine safety standards) dealing with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B standard as stated in ISO 12100.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and built
according to the requirements of that standard, the requirements of that type-C standard take precedence.
This part of ISO 13849 specifies the validation process for the safety functions, categories and performance
levels for the safety-related parts of control systems. It recognizes that the validation of safety-related
parts of control systems can be achieved by a combination of analysis (see Clause 5) and testing (see
Clause 6), and specifies the particular circumstances in which testing ought to be carried out.
Most of the procedures and conditions in this part of ISO 13849 are based on the assumption that the
simplified procedure for estimating the performance level (PL) described in ISO 13849-1:2006, 4.5.4, is
used. This part of ISO 13849 does not provide guidance for situations when other procedures are used
to estimate PL (e.g. Markov modelling), in which case some of its provisions will not apply and additional
requirements can be necessary.
Guidance on the general principles for the design (see ISO 12100) of safety-related parts of control
systems, regardless of the type of technology used (electrical, hydraulic, pneumatic, mechanical, etc.),
is provided in ISO 13849-1. This includes descriptions of some typical safety functions, determination
of their required performance levels, and general requirements of categories and performance levels.
Within this part of ISO 13849, some of the validation requirements are general, whereas others are
specific to the type of technology used.
INTERNATIONAL STANDARD ISO 13849-2:2012(E)
Safety of machinery — Safety-related parts of control
systems —
Part 2:
Validation
1 Scope
This part of ISO 13849 specifies the procedures and conditions to be followed for the validation by
analysis and testing of
— the specified safety functions,
— the category achieved, and
— the performance level achieved
by the safety-related parts of a control system (SRP/CS) designed in accordance with ISO 13849-1.
NOTE Additional requirements for programmable electronic systems, including embedded software, are
given in ISO 13849-1:2006, 4.6, and IEC 61508 .
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-1:2006, Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100 and ISO 13849-1 apply.
4 Validation process
4.1 Validation principles
The purpose of the validation process is to confirm that the design of the SRP/CS supports the overall
safety requirements specification for the machinery.
The validation shall demonstrate that each SRP/CS meets the requirements of ISO 13849-1 and, in
particular, the following:
a) the specified safety characteristics of the safety functions provided by that part, as set out in the
design rationale;
b) the requirements of the specified performance level (see ISO 13849-1:2006, 4.5):
1) the requirements of the specified category (see ISO 13849-1:2006, 6.2),
2) the measures for control and avoidance of systematic failures (see ISO 13849-1:2006, Annex G),
3) if applicable, the requirements of the software (see ISO 13849-1:2006, 4.6), and
4) the ability to perform a safety function under expected environmental conditions;
c) the ergonomic design of the operator interface, e.g. so that the operator is not tempted to act in a
hazardous manner, such as defeating the SRP/CS (see ISO 13849-1:2006, 4.8).
Validation should be carried out by persons who are independent of the design of the SRP/CS.
NOTE “Independent person” does not necessarily mean that a third-party test is required.
Validation consists of applying analysis (see Clause 5) and executing functional tests (see Clause 6)
under foreseeable conditions in accordance with the validation plan. Figure 1 gives an overview of the
validation process. The balance between the analysis and testing depends on the technology used for
the safety-related parts and the required performance level. For Categories 2, 3 and 4 the validation of
the safety function shall also include testing under fault conditions.
The analysis should be started as early as possible in, and in parallel with, the design process. Problems
can then be corrected early while they are still relatively easy to correct, i.e. during steps “design and
technical realization of the safety function” and “evaluate the performance level PL” [the fourth and fifth
boxes down in in ISO 13849-1:2006, Figure 3]. It can be necessary for some parts of the analysis to be
delayed until the design is well developed.
Where necessary due to the system’s size, complexity or the effects of integrating it with the control
system (of the machinery), special arrangements should be made for
— validation of the SRP/CS separately before integration, including simulation of the appropriate input
and output signals, and
— validation of the effects of integrating safety-related parts into the remainder of the control system
within the context of its use in the machine.
2 © ISO 2012 – All rights reserved
Figure 1 — Overview of the validation process
“Modification of the design” in Figure 1 refers to the design process. If the validation cannot be
successfully completed, changes in the design are necessary. The validation of the modified safety-
related parts should then be repeated. This process should be iterated until all safety-related parts of
the safety functions are successfully validated.
4.2 Validation plan
The validation plan shall identify and describe the requirements for carrying out the validation process
for the specified safety functions, their categories and performance levels.
The validation plan shall also identify the means to be employed to validate the specified safety functions,
categories and performance levels. It shall set out, where appropriate
a) the identity of the specification documents,
b) the operational and environmental conditions during testing,
c) the analyses and tests to be applied,
d) the reference to test standards to be applied, and
e) the persons or parties responsible for each step in the validation process.
Safety-related parts which have previously been validated to the same specification need only a
reference to that previous validation.
4.3 Generic fault lists
The validation process involves consideration of the behaviour of the SRP/CS for all faults to be
considered. A basis for fault consideration is given in the tables of fault lists in Annexes A to D, which are
based on experience and which contain
— the components/elements to be included, e.g. conductors/cables (see Annex D),
— the faults to be taken into account, e.g. short circuits between conductors,
— the permitted fault exclusions, taking into account environmental, operating and application
aspects, and
— a remarks section giving the reasons for the fault exclusions.
Only permanent faults are taken into account in the fault lists.
4.4 Specific fault lists
If necessary, a specific product-related fault list shall be generated as a reference document for the
validation process of the safety-related part(s). The list can be based on the appropriate generic list(s)
found in the annexes.
Where the specific product-related fault list is based on the generic list(s) it shall state
a) the faults taken from the generic list(s) to be included,
b) any other relevant faults to be included but not given in the generic list (e.g. common-cause failures),
c) the faults taken from the generic list(s) which may be excluded on the basis that the criteria given in
the generic list(s) (see ISO 13849-1:2006, 7.3) are satisfied, and
exceptionally
d) any other faults for which the generic list(s) do not permit an exclusion, but for which justification
and rationale for an exclusion is presented (see ISO 13849-1:2006, 7.3).
Where this list is not based on the generic list(s), the designer shall give the rationale for fault exclusions.
4.5 Information for validation
The information required for validation will vary with the technology used, the category or categories
and performance level(s) to be demonstrated, the design rationale of the system, and the contribution of
the SRP/CS to the reduction of the risk. Documents containing sufficient information from the following
list shall be included in the validation process to demonstrate that the safety-related parts perform the
specified safety functions to the required performance level or levels and category or categories:
a) specification of the required characteristics of each safety function, and its required category and
performance level;
b) drawings and specifications, e.g. for mechanical, hydraulic and pneumatic parts, printed circuit
boards, assembled boards, internal wiring, enclosure, materials, mounting;
4 © ISO 2012 – All rights reserved
c) block diagram(s) with a functional description of the blocks;
d) circuit diagram(s), including interfaces/connections;
e) functional description of the circuit diagram(s);
f) time sequence diagram(s) for switching components, signals relevant for safety;
g) description of the relevant characteristics of components previously validated;
h) for safety-related parts other than those listed in g), component lists with item designations, rated
values, tolerances, relevant operating stresses, type designation, failure-rate data and component
manufacturer, and any other data relevant to safety;
i) analysis of all relevant faults (see also 4.3 and 4.4), such as those listed in the tables of Annexes A to
D, including the justification of any excluded faults;
j) an analysis of the influence of processed materials;
k) information for use, e.g. installation and operation manual/instruction handbook.
Where software is relevant to the safety function(s), the software documentation shall include
— a specification which is clear and unambiguous and which states the safety performance the
software is required to achieve,
— evidence that the software is designed to achieve the required performance level (see 9.5), and
— details of tests (in particular test reports) carried out to prove that the required safety
performance is achieved.
NOTE See ISO 13849-1:2006, 4.6.2 and 4.6.3, for requirements.
Information is required on how the performance level and average probability of a dangerous failure per
hour is determined. The documentation of the quantifiable aspects shall include
— the safety-related block diagram (see ISO 13849-1:2006, Annex B) or designated architecture
(see ISO 13849-1:2006, 6.2),
— the determination of MTTF , DC and CCF, and
d avg
— the determination of the category (see Table 2).
Information is required for documentation on systematic aspects of the SRP/CS.
Information is required as to how the combination of several SRP/CS achieves a performance level in
accordance with the performance level required.
Table 2 — Documentation requirements for categories in respect of performance levels
Category for which documentation
is required
Documentation requirement
B 1 2 3 4
Basic safety principles X X X X X
Expected operating stresses X X X X X
Influences of processed material X X X X X
Performance during other relevant external influences X X X X X
Well-tried components — X — — —
Well-tried safety principles — X X X X
Table 2 (continued)
Category for which documentation
is required
Documentation requirement
B 1 2 3 4
Mean time to dangerous failure (MTTF ) of each channel X X X X X
d
The check procedure of the safety function(s) — — X — —
Diagnostic measures performed, including fault reaction — — X X X
Checking intervals, when specified — — X X X
Diagnostic coverage (DC ) — — X X X
avg
Foreseeable single faults considered in the design and the detection — — X X X
method used
Common-cause failures (CCF) identified and how to prevent them — — X X X
Foreseeable single faults excluded — — — X X
Faults to be detected — — X X X
How the safety function is maintained in the case of each of the faults — — — X X
How the safety function is maintained for each of the combinations of — — — — X
faults
Measures against systematic faults X X X X X
Measures against software faults X — X X X
X documentation required
— documentation not required
NOTE The categories are those given in ISO 13849-1:2006.
4.6 Validation record
Validation by analysis and testing shall be recorded. The record shall demonstrate the validation process
for each of the safety requirements. Cross-reference may be made to previous validation records,
provided they are properly identified.
For any safety-related part which has failed an element of the validation process, the validation record
shall describe which elements in the validation analysis/testing have been failed. It shall be ensured that
all safety-related parts are successfully re-validated after modification.
5 Validation by analysis
5.1 General
Validation of the SRP/CS shall be carried out by analysis. Inputs to the analysis include the following:
— the safety function(s), their characteristics and the required performance level(s) identified during
the risk analysis (see ISO 13849-1:2006, Figures 1 and 3);
— the quantifiable aspects (MTTF , DC and CCF);
d avg
— the system structure (e.g. designated architectures) (see ISO 13849-1:2006, Clause 6);
— the non-quantifiable, qualitative aspects which affect system behaviour (if applicable, software aspects);
— deterministic arguments.
6 © ISO 2012 – All rights reserved
Validation of the safety functions by analysis rather than testing requires the formulation of
deterministic arguments.
NOTE 1 A deterministic argument is an argument based on qualitative aspects (e.g. quality of manufacture,
experience of use). This consideration depends on the application, which, together with other factors, can affect
the deterministic arguments.
NOTE 2 Deterministic arguments differ from other evidence in that they show that the required properties of
the system follow logically from a model of the system. Such arguments can be constructed on the basis of simple,
well-understood concepts.
5.2 Analysis techniques
The selection of an analysis technique depends upon the particular object. Two basic techniques
exist, as follows.
a) Top-down (deductive) techniques are suitable for determining the initiating events that can lead
to identified top events, and calculating the probability of top events from the probability of the
initiating events. They can also be used to investigate the consequences of identified multiple faults.
EXAMPLE Fault tree analysis (FTA, see IEC 61025), event tree analysis (ETA).
b) Bottom-up (inductive) techniques are suitable for investigating the consequence of identified
single faults.
EXAMPLE Failure modes and effects analysis (FMEA, see IEC 60812) and failure modes, effects and
criticality analysis (FMECA).
6 Validation by testing
6.1 General
When validation by analysis is not conclusive, testing shall be carried out to complete the validation.
Testing is always complementary to analysis and is often necessary.
Validation tests shall be planned and implemented in a logical manner. In particular:
a) a test plan shall be produced before testing begins that shall include
1) the test specifications,
2) the required outcome of the tests for compliance, and
3) the chronology of the tests;
b) test records shall be produced that include
1) the name of the person carrying out the test,
2) the environmental conditions (see Clause 10),
3) the test procedures and equipment used,
4) the date of the test, and
5) the results of the test;
c) the test records shall be compared with the test plan to ensure that the specified functional and
performance targets are achieved.
The test sample shall be operated as near as possible to its final operating configuration, i.e. with all
peripheral devices and covers attached.
This testing may be applied manually or automatically, e.g. by computer.
Where applied, validation of the safety functions by testing shall be carried out by applying input signals,
in various combinations, to the SRP/CS. The resultant response at the outputs shall be compared to the
appropriate specified outputs.
It is recommended that the combination of these input signals be applied systematically to the control
system and the machine. An example of this logic is power-on, start-up, operation, directional changes,
restart-up. Where necessary, an expanded range of input data shall be applied to take into account
anomalous or unusual situations, in order to see how the SRP/CS responds. Such combinations of input
data shall take into account foreseeable incorrect operation(s).
The objectives of the test will determine the environmental condition for that test, which can be one or
another of the following:
— the environmental conditions of intended use;
— the conditions at a particular rating;
— a given range of conditions if drift is expected.
The range of conditions which is considered stable and over which the tests are valid should be agreed
between the designer and the person(s) responsible for carrying out the tests and should be recorded.
6.2 Measurement accuracy
The accuracy of measurements during the validation by testing shall be appropriate for the test carried
out. In general, these measurement accuracies shall be within 5 K for temperature measurements and
5 % for the following:
a) time measurements;
b) pressure measurements;
c) force measurements;
d) electrical measurements;
e) relative humidity measurements;
f) linear measurements.
Deviations from these measurement accuracies shall be justified.
6.3 More stringent requirements
If, according to its accompanying documentation, the requirements for the SRP/CS exceed those within
this part of ISO 13849, the more stringent requirements shall apply.
NOTE More stringent requirements can apply if the control system has to withstand particularly adverse
service conditions, e.g. rough handling, humidity effects, hydrolysation, ambient temperature variations, effects
of chemical agents, corrosion, high strength of electromagnetic fields — for example, due to close proximity of
transmitters.
6.4 Number of test samples
Unless otherwise specified, the tests shall be made on a single production sample of the safety-related
part being tested.
Safety-related part(s) under test shall not be modified during the course of the tests.
8 © ISO 2012 – All rights reserved
Certain tests can permanently change the performance of some components. Where a permanent change
in a component causes the safety-related part to be incapable of meeting the requirements of further
tests, a new sample or samples shall be used for subsequent tests.
Where a particular test is destructive and equivalent results can be obtained by testing part of the
SRP/CS in isolation, a sample of that safety-related part may be used instead of the whole safety-related
part(s) for the purpose of obtaining the results of the test. This approach shall only be applied where it
has been shown by analysis that testing of a safety-related part(s) is sufficient to demonstrate the safety
performance of the whole safety-related part that performs the safety function.
7 Validation of safety requirements specification for safety functions
Prior to the validation of the design of the SRP/CS, or the combination of SRP/CS providing the safety
function, the requirements specification for the safety function shall be verified to ensure consistency
and completeness for its intended use.
The safety requirements specification should be analysed before starting the design, since every other
activity is based on these requirements.
It shall be ensured that requirements for all safety functions of the machine control system are documented.
In order to validate the specification, appropriate measures to detect systematic faults (errors, omissions
or inconsistencies) shall be applied.
Validation may be performed by reviews and inspections of the SRP/CS safety requirements and design
specification(s), in particular to prove that all aspects of
— the intended application requirements and safety needs, and
— the operational and environmental conditions and possible human errors (e.g. misuse)
have been considered.
Where a product standard specifies the safety requirements for the design of a SRP/CS (e.g. ISO 11161
for integrated manufacturing systems or ISO 13851 for two-hand control devices), these shall be taken
into account.
8 Validation of safety functions
The validation of safety functions shall demonstrate that the SRP/CS, or combination of SRP/CSs,
provides the safety function(s) in accordance with their specified characteristics.
NOTE 1 A loss of the safety function in the absence of a hardware fault is due to a systematic fault, which can
be caused by errors made during the design and integration stages (a misinterpretation of the safety function
characteristics, an error in the logic design, an error in hardware assembly, an error in typing the code of software,
etc.). Some of these systematic faults will be revealed during the design process, while others will be revealed
during the validation process or will remain unnoticed. In addition, it is also possible for an error to be made (e.g.
failure to check a characteristic) during the validation process.
Validation of the specified characteristics of the safety functions shall be achieved by the application of
appropriate measures from the following list.
— Functional analysis of schematics, reviews of the software (see 9.5).
NOTE 2 Where a machine has complex or a large number of safety functions, an analysis can reduce the
number of functional tests required.
— Simulation.
— Check of the hardware components installed in the machine and details of the associated software
to confirm their correspondence with the documentation (e.g. manufacture, type, version).
— Functional testing of the safety functions in all operating modes of the machine, to establish
whether they meet the specified characteristics (see ISO 13849-1:2006, Clause 5, for specifications
of some typical safety functions). The functional tests shall ensure that all safety-related outputs
are realized over their complete ranges and respond to safety-related input signals in accordance
with the specification. The test cases are normally derived from the specifications but could also
include some cases derived from analysis of the schematics or software.
— Extended functional testing to check foreseeable abnormal signals or combinations of signals from
any input source, including power interruption and restoration, and incorrect operations.
— Check of the operator–SRP/CS interface for the meeting of ergonomic principles (see
ISO 13849-1:2006, 4.8).
NOTE 3 Other measures against systematic failures mentioned in 9.4 (e.g. diversity, failure detection by
automatic tests) can also contribute in the detection of functional faults.
9 Validation of performance levels and categories
9.1 Analysis and testing
For the SRP/CS or combination of SRP/CSs that provides the safety function(s), validation shall
demonstrate that the required performance levels (PL ) and categories in the safety requirements
r
specification are fulfilled. Principally, this will require failure analysis using circuit diagrams (see
Clause 5) and, where the failure analysis is inconclusive:
— fault injection tests on the actual circuit and fault initiation on actual components, particularly in parts
of the system where there is doubt regarding the results obtained from failure analysis (see Clause 6);
— a simulation of control system behaviour in the event of a fault, e.g. by means of hardware and/or
software models.
In some applications it may be necessary to divide the connected safety-related parts into several
functional groups and to subject these groups and their interfaces to fault simulation tests.
When validating by testing, the tests should include, as appropriate,
— fault injection tests into a production sample,
— fault injection tests into a hardware model,
— software simulation of faults, and
— subsystem failure, e.g. power supplies.
The precise instant at which a fault is injected into a system can be critical. The worst-case effect of a
fault injection shall be determined by analysis and by injecting the fault at this appropriate critical time.
9.2 Validation of category specifications
9.2.1 Category B
SRP/CSs to Category B shall be validated in accordance with basic safety principles (see Tables A.1, B.1,
C.1 and D.1) by demonstrating that the specification, design, construction and choice of components are
in accordance with ISO 13849-1:2006, 6.2.3. The MTTF of the channel shall be demonstrated to be at
d
least 3 years. This shall be achieved by checking that the SRP/CS is in accordance with its specification as
provided in the documents for validation (see 4.5). For the validation of environmental conditions, see 6.1.
NOTE In particular cases, higher values of MTTF can be required — for example, when PL = b.
d r
10 © ISO 2012 – All rights reserved
9.2.2 Category 1
SRP/CSs to Category 1 shall be validated by demonstrating the following:
a) they meet the requirements of Category B;
b) components are well-tried (see Tables A.3 and D.3), meeting at least one of the following conditions:
1) they have been widely used in the past with successful results in similar applications;
2) they have been made and verified using principles which demonstrate their suitability and
reliability for safety-related applications;
c) well-tried safety principles (where applicable, see Tables A.2, B.2, C.2 and D.2) have been implemented
correctly, and, where newly developed principles have been used, validation has been made of
1) how the expected modes of failure have been avoided, and
2) how faults have been avoided or their probability reduced to a suitable level.
Relevant component standards may be used to demonstrate compliance with this subclause (see Tables
A.3 and D.3). The MTTF of the channel shall be demonstrated to be at least 30 years.
d
9.2.3 Category 2
SRP/CSs to Category 2 shall be validated by demonstrating the following:
a) they meet the requirements of Category B;
b) the well-tried safety principles used (if applicable) are in accordance with 9.2.2 c);
c) the checking equipment detects all relevant faults applied, one at a time, during the checking process
and generates an appropriate control action which
1) initiates a safe state or, when this is not possible,
2) provides a warning of the hazard;
d) the check(s) provided by the checking equipment do not introduce an unsafe state;
e) the initiation of the check is carried out
1) at the machine start-up and prior to the initiation of a hazardous situation, and
2) periodically, during operation in accordance with the design specification and if the risk
assessment and kind of operations show that it is necessary;
NOTE 1 The need for, and extent of, checks during operation are determined by the designer’s risk
assessment and the kind of operation necessary.
f) the MTTF of the functional channel (MTTF ) is at least 3 years;
d d,L
g) the MTTF is larger than half of MTTF ;
d,TE d,L
h) the test rate ≥ 100 × expected demand rate;
i) the DC is at least 60 %;
avg
j) common-cause failures are sufficiently reduced (see ISO 13849-1:2006, Annex F).
NOTE 2 In particular cases, higher values of MTTF and/or DC can be required — for example, owing to high PL .
d avg r
9.2.4 Category 3
SRP/CSs to Category 3 shall be validated by demonstrating the following:
a) they meet the requirements of Category B;
b) the well-tried safety principles (if applicable) meet the requirements of 9.2.2 c);
c) a single fault does not lead to the loss of the safety function;
d) single faults (including common cause faults) are detected in accordance with the design rationale
and the technology applied;
e) the MTTF of each channel is at least 3 years;
d
f) the DC is at least 60 %;
avg
g) common-cause failures are sufficiently reduced (see ISO 13849-1:2006, Annex F).
NOTE In particular cases, higher values of MTTF and/or DC can be required — for example, due to high PL .
d avg r
9.2.5 Category 4
SRP/CSs to Category 4 shall be validated by demonstrating the following:
a) they meet the requirements of Category B;
b) the well-tried safety principles (if applicable) are in accordance with 9.2.2 c);
c) a single fault (including common-mode faults) does not lead to the loss of the safety function;
d) single faults are detected at or before the next demand on the safety function, this being achieved
with a DC of at least 99 %;
avg
e) if a single fault is not detected with a DC of at least 99 %, an accumulation of faults does not lead
avg
to the loss of the safety function(s), and the extent of the accumulation of faults considered is in
accordance with the design rationale;
f) the MTTF of each channel is at least 30 years;
d
g) common-cause failures are sufficiently reduced (see ISO 13849-1:2006, Annex F).
9.3 Validation of MTTF , DC and CCF
d avg
The validation of MTTF , DC and CCF is typically performed by analysis and visual inspection.
d avg
The MTTF values for components (including B , T and n values) shall be checked for plausibility
d 10d 10d op
(e.g. against ISO 13849-1:2006, Annex C). For example, the value given on the supplier datasheet is to be
compared with ISO 13849-1:2006, Annex C. Where fault exclusion claims mean that particular components
do not contribute to the channel MTTF , the plausibility of the fault exclusion shall be checked.
d
NOTE 1 A fault exclusion implies infinite MTTF ; therefore, the component will not contribute to the calculation
d
of channel MTTF .
d
NOTE 2 For the determination of the B value, see e.g. IEC 60947-4-1:2010, Annex K.
10d
The MTTF of each channel of the SRP/CS, including application of the symmetrisation formula (see
d
ISO 13849-1:2006, Annex D) to dissimilar redundant channels, shall be checked for correct calculation. It
shall be ensured that the MTTF of individual channels has been restricted to no greater than 100 years
d
before the symmetrisation formula is applied.
The DC values for components and/or logic blocks shall be checked for plausibility (e.g. against
measures in ISO 13849-1:2006, Annex E). The correct implementation (hardware and software) of
12 © ISO 2012 – All rights reserved
checks and diagnostics, including appropriate fault reaction, shall be validated by testing under typical
environmental conditions in use.
The DC of the SRP/CS shall be checked for correct calculation.
avg
The correct implementation of sufficient measures against common-cause failures shall be validated
(e.g. against ISO 13849-1:2006, Annex F). Typical validation measures are static hardware analysis and
functional testing under environmental conditions.
NOTE 3 For the calculation of the MTTF values of electronic components, an ambient temperature of +40 °C
d
is taken as a basis. During validation, it is important to ensure that, for MTTF values, the environmental and
d
functional conditions (in particular temperature) taken as basis are met. Where a device, or component, is
operated significantly above (e.g. more than 15 °C) the specified temperature of +40 °C, it will be necessary to use
MTTF values for
...
NORME ISO
INTERNATIONALE 13849-2
Deuxième édition
2012-10-15
Sécurité des machines — Parties des
systèmes de commande relatives à la
sécurité —
Partie 2:
Validation
Safety of machinery — Safety-related parts of control systems —
Part 2: Validation
Numéro de référence
©
ISO 2012
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans
l’accord écrit de l’ISO à l’adresse ci-après ou du comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2012 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Processus de validation . 1
4.1 Principes de validation. 1
4.2 Plan de validation . 3
4.3 Listes des défauts génériques . 4
4.4 Listes des défauts spécifiques . 4
4.5 Informations pour la validation . 4
4.6 Rapport de validation . 6
5 Validation par analyse . 6
5.1 Généralités . 6
5.2 Techniques d’analyse . 7
6 Validation par essais . 7
6.1 Généralités . 7
6.2 Précision des mesures . 8
6.3 Exigences supérieures . 9
6.4 Nombre d’échantillons . 9
7 Validation de la spécification des exigences de sécurité pour les fonctions de sécurité .9
8 Validation des fonctions de sécurité .10
9 Validation des niveaux de performance et des catégories .10
9.1 Analyse et essais .10
9.2 Validation des spécifications relatives aux catégories .11
9.3 Validation du MTTF , de la DC et de la CCF .13
d avg
9.4 Validation des mesures de prévention des défaillances systématiques relatives au niveau
de performance et à la catégorie des SRP/CS .14
9.5 Validation du logiciel relatif à la sécurité .14
9.6 Validation et vérification du niveau de performance .15
9.7 Validation d’une combinaison de parties relatives à la sécurité .15
10 Validation des exigences d’environnement .16
11 Validation des exigences de maintenance.16
12 Validation de la documentation technique et des informations pour l’utilisation .17
Annexe A (informative) Outils de validation pour les systèmes mécaniques .18
Annexe B (informative) Outils de validation pour les systèmes pneumatiques .23
Annexe C (informative) Outils de validation pour les systèmes hydrauliques .33
Annexe D (informative) Outils de validation pour les systèmes électriques .42
Annexe E (informative) Exemple de validation du comportement des défauts et des moyens
de diagnostic .56
Bibliographie .84
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (CEI) en ce qui concerne
la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives
ISO/CEI, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour vote.
Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des comités
membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO 13849-2 a été élaborée par le comité technique ISO/TC 199, Sécurité des machines.
Cette deuxième édition annule et remplace la première édition (ISO 13849-2:2003), qui a fait l’objet
d’une révision technique pour correspondre à l’ISO 13849-1:2006. De plus, la nouvelle Annexe E fournit
un exemple de la validation du comportement des défauts et des moyens de diagnostic.
L’ISO 13849 comprend les parties suivantes, présentées sous le titre général Sécurité des machines —
Parties des systèmes de commande relatives à la sécurité:
— Partie 1: Principes généraux de conception
— Partie 2: Validation
Les Annexes A à D sont fournies à titre informatif et sont organisées comme indiqué dans le Tableau 1.
Tableau 1 — Structure des Annexes A à D de la présente partie de l’ISO 13849
Liste des prin- Liste des principes Liste des défauts
Liste des compo-
cipes de sécurité de sécurité éprou- et exclusions
sants éprouvés
Annexe Technologie
de base vés de défaut
Tableau(x)
A Mécanique A.1 A.2 A.3 A.4, A.5
B Pneumatique B.1 B.2 B.3 à B.18
C Hydraulique C.1 C.2 C.3 à C.12
Électrique (y com-
D D.1 D.2 D.3 D.4 à D.21
pris électronique)
iv © ISO 2012 – Tous droits réservés
Introduction
Dans le domaine de la sécurité des machines, les normes sont structurées de la manière suivante:
a) normes de type A (normes fondamentales de sécurité), contenant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines;
b) normes de type B (normes génériques de sécurité), traitant d’un aspect de la sécurité ou d’un moyen
de protection valable pour une large gamme de machines:
— normes de type B1, traitant d’aspects particuliers de la sécurité (par exemple distances de
sécurité, température superficielle, bruit);
— normes de type B2, traitant de moyens de protection (par exemple commandes bimanuelles,
dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité
détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type B1, telle que définie dans l’ISO 12100.
Les exigences du présent document peuvent faire l’objet de compléments ou être modifiées dans une
norme de type C.
Pour les machines couvertes par le domaine d’application d’une norme de type C et qui ont été conçues et
construites conformément aux exigences de cette norme, les exigences de la norme de type C prévalent.
La présente partie de l’ISO 13849 spécifie le processus de validation, pour les fonctions, catégories et
niveaux de performance de sécurité des parties des systèmes de commande relatives à la sécurité. Elle
identifie que la validation des pièces relatives à la sécurité du système de commande peut être réalisée
par une combinaison d’analyse (voir Article 5) et d’essai (voir Article 6), et spécifie les circonstances
particulières dans lesquelles il convient d’effectuer l’essai.
La plupart des modes opératoires et des conditions de la présente partie de l’ISO 13849 s’appuient sur
l’hypothèse que le mode opératoire simplifié pour l’estimation du niveau de performance (PL), décrit
dans l’ISO 13849-1:2006, 4.5.4, est utilisé. La présente partie de l’ISO 13849 ne fournit pas de lignes
directrices pour les situations dans lesquelles d’autres modes opératoires sont utilisés pour estimer la
PL (par exemple la modélisation de Markov), auquel cas il se peut que certaines dispositions ne soient
pas applicables et que des exigences supplémentaires soient nécessaires.
Des lignes directrices sur les principes généraux de conception (voir l’ISO 12100) des parties des
systèmes de commande relatives à la sécurité indépendamment du type de technologie utilisé
(électrique, hydraulique, pneumatique, mécanique, etc.) sont fournies dans l’ISO 13849-1. Cela comprend
des descriptions de quelques fonctions de sécurité typiques, la détermination de leurs niveaux de
performances exigés, et des conditions générales des catégories et niveaux de performance.
Dans la présente partie de l’ISO 13849, certaines des conditions de validation sont générales, tandis que
d’autres sont spécifiques au type de technologie utilisé.
NORME INTERNATIONALE ISO 13849-2:2012(F)
Sécurité des machines — Parties des systèmes de
commande relatives à la sécurité —
Partie 2:
Validation
1 Domaine d’application
La présente partie de l’ISO 13849 spécifie les modes opératoires et conditions à suivre pour la validation
par analyse et par essais
— des fonctions de sécurité spécifiées,
— de la catégorie atteinte, et
— du niveau de performance atteint
par les parties d’un système de commande relatives à la sécurité (SRP/CS) conçu conformément à
l’ISO 13849-1.
NOTE Des exigences supplémentaires pour les systèmes électroniques programmables, y compris les logiciels
intégrés, sont données dans l’ISO 13849-1:2006, 4.6 et dans la série CEI 61508.
2 Références normatives
Les documents de référence suivants sont indispensables pour l’application du présent document. Pour
les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière édition
du document de référence s’applique (y compris les éventuels amendements).
ISO 12100:2010, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-1:2006, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 1: Principes généraux de conception
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 12100 et l’ISO 13849-1
s’appliquent.
4 Processus de validation
4.1 Principes de validation
Le but du processus de validation est de confirmer que la conception des SRP/CS soutient les exigences
de sécurité globales des machines.
La validation doit démontrer que chaque SRP/CS remplit les exigences de l’ISO 13849-1 et, en particulier,
les points suivants:
a) les caractéristiques de sécurité spécifiées des fonctions de sécurité assurées par cette partie,
conformément au raisonnement de conception;
b) les exigences du niveau de performance spécifié (voir l’ISO 13849-1:2006, 4.5):
1) les exigences de la catégorie spécifiée (voir l’ISO 13849-1:2006, 6.2),
2) les mesures pour la maîtrise et la prévention des défaillances systématiques (voir
l’ISO 13849-1:2006, Annexe G),
3) le cas échéant, les exigences du logiciel (voir l’ISO 13849-1:2006, 4.6),
4) l’aptitude à exécuter une fonction de sécurité dans des conditions d’environnement prévues;
c) la conception ergonomique de l’interface opérateur, en empêchant, par exemple, que l’opérateur
ne soit tenté d’agir de manière dangereuse, en neutralisant le SRP/CS par exemple (voir
l’ISO 13849-1:2006, 4.8).
Il convient que la validation soit effectuée par des personnes qui sont indépendantes de la conception
système de commande (SRP/CS).
NOTE «Personne indépendante» ne veut pas nécessairement dire qu’une tierce partie soit exigée pour l’essai.
La validation consiste en l’application d’une analyse (voir Article 5) et la réalisation d’essais de
fonctionnement (voir Article 6) dans les conditions prévisibles, conformément au plan de validation. La
Figure 1 donne une vue d’ensemble du processus de validation. Le dosage entre l’analyse et les essais
dépend de la technologie utilisée pour les parties relatives à la sécurité et du niveau de performance
exigé. Pour les catégories 2, 3 et 4, la validation de la fonction de sécurité doit également inclure des
essais dans les conditions de défaut.
Il convient que l’analyse soit entreprise aussi tôt que possible et en parallèle avec le processus de
conception. Les problèmes peuvent être corrigés précocement pendant qu’il est encore relativement aisé
de le faire, c’est-à-dire durant les phases «Conception et réalisation technique des fonctions de sécurité»
et «Déterminer le niveau de performance PL» (cadres 4 et 5 de la Figure 3 de l’ISO 13849-1:2006). Il peut
être nécessaire de retarder certaines parties de l’analyse jusqu’à ce que la conception soit bien avancée.
Si cela est nécessaire en raison de la taille du système, de la complexité ou des effets de l’intégration au
système de commande (de la machine), il convient d’adopter des dispositions particulières pour
— la validation des SRP/CS séparément avant l’intégration, y compris la simulation des signaux d’entrée
et de sortie appropriés, et
— la validation des effets de l’intégration des parties relatives à la sécurité au reste du système de
commande dans le contexte de son utilisation dans la machine.
2 © ISO 2012 – Tous droits réservés
Figure 1 — Vue d’ensemble du processus de validation
«Modification de la conception» dans la Figure 1 se rapporte au processus de conception. Si la validation
ne peut pas être effectuée avec succès, il est nécessaire de modifier la conception. Il convient de répéter
la validation des parties modifiées relatives à la sécurité. Il convient de réitérer ce processus jusqu’à ce
que toutes les parties relatives à la sécurité des fonctions de sécurité aient été validées.
4.2 Plan de validation
Le plan de validation doit identifier et décrire les exigences de mise en œuvre du processus de validation
des fonctions de sécurité spécifiées, de leurs catégories et de leurs niveaux de performance.
Le plan de validation doit également identifier les moyens à employer pour valider les fonctions de sécurité
spécifiées, les catégories et les niveaux de performance. Lorsque cela est approprié, il doit établir:
a) l’identité des documents de spécification;
b) les conditions de fonctionnement et d’environnement pendant les essais;
c) les analyses et les essais à réaliser;
d) la référence aux normes d’essai à appliquer;
e) les personnes ou parties responsables de chaque partie de la validation.
Pour les parties relatives à la sécurité qui ont été validées précédemment pour la même spécification,
une référence à cette précédente validation suffit.
4.3 Listes des défauts génériques
Le processus de validation implique l’examen du comportement des SRP/CS pour tous les défauts à
considérer. Une base pour la considération des défauts est donnée dans les tableaux des listes de défauts
dans les Annexes A à D, qui s’appuient sur l’expérience et qui comprennent:
— les composants/éléments à inclure, par exemple les conducteurs/câbles (voir l’Annexe D);
— les défauts à prendre en compte, par exemple les courts-circuits entre conducteurs;
— les exclusions de défaut autorisées en tenant compte des aspects environnementaux, fonctionnels et
d’application;
— une section de remarques justifiant les exclusions de défaut.
Dans les listes de défauts, seuls les défauts permanents sont pris en compte.
4.4 Listes des défauts spécifiques
Si nécessaire une liste des défauts spécifiques se rapportant au produit doit être établie pour servir de
document de référence au processus de validation de la (des) partie(s) relative(s) à la sécurité. La liste
peut s’appuyer sur la (les) liste(s) générique(s) appropriée(s) données dans les annexes.
Lorsque la liste des défauts spécifiques se rapportant au produit est basée sur une (des) liste(s)
générique(s), elle doit mentionner:
a) les défauts extraits de la (des) liste(s) générique(s) à inclure;
b) tout autre défaut pertinent à inclure mais non donné dans la liste générique (par exemple défaillances
de cause commune);
c) les défauts extraits de la (des) liste(s) générique(s) qu’il est possible d’exclure sur la base de la
satisfaction des critères donnés dans la (les) liste(s) générique(s) (voir l’ISO 13849-1:2006, 7.3);
et, exceptionnellement
d) tous les autres défauts pour lesquels la (les) liste(s) générique(s) ne permet(tent) pas d’exclusion,
mais pour lesquels une justification et un raisonnement pour exclusion sont présentés (voir
l’ISO 13849-1:2006, 7.3).
Lorsque cette liste n’est pas basée sur une (des) liste(s) générique(s), le concepteur doit donner la
justification pour les exclusions de défaut.
4.5 Informations pour la validation
Les informations requises pour la validation varient avec la technologie utilisée, la (les) catégorie(s)
et le(s) niveau(x) de performance à démontrer, le raisonnement suivi lors de la conception du système
et la contribution des SRP/CS à la réduction des risques. Les documents contenant des informations
suffisantes et issus de la liste suivante doivent être inclus dans le processus de validation afin de
4 © ISO 2012 – Tous droits réservés
démontrer que des parties relatives à la sécurité exécutent les fonctions de sécurité spécifiées par le(s)
niveau(x) de performance et catégorie(s) exigés:
a) spécification des caractéristiques requises de chaque fonction de sécurité, sa catégorie et son niveau
de performance requis;
b) plans et spécifications, par exemple pour les parties mécaniques, hydrauliques et pneumatiques,
cartes de circuits intégrés et cartes assemblées, câblage intérieur, enveloppe, matériaux, montage;
c) schéma(s) fonctionnel(s) avec description fonctionnelle des blocs;
d) schéma(s) de circuits y compris les interfaces/connexions;
e) description fonctionnelle du (des) schéma(s) de circuits;
f) diagramme(s) séquentiel(s) des composants de commutation, signaux relatifs à la sécurité;
g) description des caractéristiques pertinentes des composants préalablement validés;
h) pour les parties relatives à la sécurité autres que celles listées en g), listes des composants avec
désignation des éléments, valeurs nominales, tolérances, contraintes en fonctionnement pertinentes,
désignation du type, données relatives au taux de défaillance, fabricant des composants et toute
autre donnée relative à la sécurité;
i) analyse de tous les défauts pertinents (voir aussi 4.3 et 4.4), tels que ceux énumérés dans les tableaux
des Annexes A à D, y compris la justification de toute exclusion de défaut;
j) analyse de l’influence des matériaux traités;
k) informations pour l’utilisation, par exemple le manuel d’installation et d’exploitation/notice d’emploi.
Lorsque cela est approprié, la documentation relative au logiciel doit inclure:
— une spécification claire, et sans ambiguïté établissant les performances de sécurité que le logiciel
doit réaliser;
— la preuve que le logiciel est conçu pour réaliser les performances de sécurité requises (voir 9.5);
— les détails des essais (en particulier les rapports d’essai) effectués pour prouver que les performances
de sécurité requises sont réalisées.
NOTE Voir l’ISO 13849-1:2006, 4.6.2 et 4.6.3, pour les exigences.
Des informations sont nécessaires concernant la manière de déterminer le niveau de performance
et la probabilité moyenne d’une défaillance dangereuse par heure. La documentation des aspects
quantifiables doit comprendre:
— le diagramme bloc relatif à la sécurité (voir l’ISO 13849-1:2006, Annexe B) ou l’architecture désignée
(voir l’ISO 13849-1:2006, 6.2);
— la détermination du MTTF , de la DC et de la CCF;
d avg
— la détermination de la catégorie (voir Tableau 2).
Des informations sont requises pour la documentation des aspects systématiques des SRP/CS.
Des informations sont requises concernant la manière dont l’association de plusieurs SRP/CS réalise un
niveau de performance conforme au niveau de performance exigé.
Tableau 2 — Exigences de documentation pour les catégories en tant que partie des niveaux
de performance
Catégorie pour laquelle une docu-
mentation est requise
Exigence de documentation
B 1 2 3 4
Principes de sécurité de base X X X X X
Contraintes de fonctionnement prévues X X X X X
Influences du matériau traité X X X X X
Performances sous d’autres influences extérieures X X X X X
Composants éprouvés — X — — —
Principes de sécurité éprouvés — X X X X
Temps moyen avant défaillance dangereuse (MTTF ) pour chaque canal X X X X X
d
Procédure de contrôle de la (des) fonction(s) de sécurité — — X — —
Mesures de diagnostic effectuées, y compris la réaction au défaut — — X X X
Intervalles de contrôle, lorsque spécifiés — — X X X
Couverture du diagnostic (DC ) — — X X X
avg
Défauts uniques prévisibles pris en compte à la conception et méthode — — X X X
de détection utilisée
Défaillances de cause commune identifiées et mode de prévention — — X X X
Exclusions de défauts uniques prévisibles — — — X X
Défauts à détecter — — X X X
Manière dont la fonction de sécurité est assurée pour chaque défaut — — — X X
Manière dont la fonction de sécurité est assurée pour chaque combinai- — — — — X
son de défauts
Mesures de prévention des défauts systématiques X X X X X
Mesures de prévention des défauts logiciels X — X X X
X documentation requise
— aucune documentation requise
NOTE Les catégories mentionnées dans le Tableau 2 sont celles données dans l’ISO 13849-1:2006.
4.6 Rapport de validation
La validation par analyse et essais doit faire l’objet d’un rapport. Le rapport doit décrire le processus de
validation de chaque exigence de sécurité. Il est possible de faire référence à de précédents rapports de
validation, à condition qu’ils soient convenablement identifiés.
Pour toute partie relative à la sécurité qui a échoué à une partie du processus de validation, le rapport
de validation doit indiquer quelle(s) partie(s) de l’analyse/des essais de validation a (ont) échoué. Toutes
les parties relatives à la sécurité doivent être revalidées avec succès après leur modification.
5 Validation par analyse
5.1 Généralités
La validation des SRP/CS doit être réalisée par analyse. Les données d’entrée de l’analyse comprennent:
— la (les) fonctions de sécurité, leurs caractéristiques et le(s) niveau(x) de performance requis
identifiés lors de l’analyse du risque (voir l’ISO 13849-1:2006, Figures 1 et 3);
6 © ISO 2012 – Tous droits réservés
— les aspects quantifiables (MTTF , DC et CCF);
d avg
— la structure du système (par exemple, les architectures désignées) (voir l’ISO 13849-1:2006, Article 6);
— les aspects non quantifiables et qualitatifs qui affectent le comportement du système (si applicable,
les aspects du logiciel);
— les arguments déterministes.
La validation des fonctions de sécurité par analyse plutôt que par essais exige la formulation d’arguments
déterministes.
NOTE 1 Un argument déterministe est un argument fondé sur des aspects qualitatifs (par exemple qualité
de fabrication, expérience d’utilisation). Cette analyse dépend de l’application, qui, avec d’autres facteurs, peut
affecter les arguments déterministes.
NOTE 2 Les arguments déterministes diffèrent des autres justifications en cela qu’ils montrent que les
propriétés exigées du système découlent logiquement d’une modélisation du système. De tels arguments peuvent
être construits sur la base de notions simples, bien comprises.
5.2 Techniques d’analyse
La sélection d’une technique d’analyse dépend d’un objectif particulier. Deux techniques fondamentales
existent, comme indiqué ci-après.
a) Les techniques descendantes (déductives) conviennent pour déterminer les événements
déclencheurs qui peuvent conduire à des événements supérieurs identifiés et pour calculer la
probabilité des événements supérieurs à partir de la probabilité des événements déclencheurs. Elles
peuvent également servir à rechercher les conséquences de défauts multiples identifiés.
EXEMPLE Analyse par arbre des défaillances (ADD, voir la CEI 61025) et analyse par arbre des
événements (AAE).
b) Les techniques ascendantes (inductives) conviennent pour rechercher les conséquences de défauts
uniques identifiés.
EXEMPLE Analyse des modes de défaillance et de leurs effets (AMDE, voir la CEI 60812) et analyse des
modes de défaillance, de leurs effets et de leur criticité (AMDEC).
6 Validation par essais
6.1 Généralités
Lorsque la validation par analyse ne permet pas d’atteindre une conclusion, des essais doivent être réalisés
pour achever la validation. Les essais sont toujours complémentaires à l’analyse et sont souvent nécessaires.
Les essais de validation doivent être programmés et réalisés de façon logique. En particulier:
a) un plan des essais doit être présenté avant le début des essais qui doit inclure:
1) les spécifications des essais,
2) les résultats d’essai exigés pour la conformité des essais, et
3) la chronologie des essais;
b) des rapports d’essai doivent être fournis qui comprennent
1) le nom de la personne ayant réalisé le contrôle,
2) les conditions d’environnement (voir Article 10),
3) les procédures d’essais et les équipements utilisés,
4) la date de l’essai, et
5) les résultats d’essai;
c) les rapports d’essai doivent être comparés avec le plan des essais pour s’assurer que les objectifs de
fonctionnement et de performances spécifiés sont atteints.
L’échantillon d’essai doit être utilisé dans des conditions aussi proches que possible de sa configuration
opérationnelle définitive, c’est-à-dire avec tous les dispositifs périphériques et capots fixés.
Les essais peuvent être effectués manuellement ou automatiquement (par exemple par ordinateur).
Lorsqu’elle est pratiquée, la validation des fonctions de sécurité par essais doit être effectuée en
introduisant des signaux d’entrée, combinés de diverses manières, dans les SRP/CS. La réponse résultant
des données de sortie doit être comparée aux données de sortie spécifiées.
Il est recommandé d’appliquer systématiquement la combinaison de ces signaux d’entrée au système
de commande et à la machine. Voici un exemple de cette logique: mise sous tension, mise en marche,
fonctionnement, inversion de mouvement, remise en marche. Si nécessaire, une gamme étendue de
données d’entrée doit être introduite pour prendre en compte les situations anormales ou inhabituelles
et vérifier comment les SRP/CS répondent. Ces combinaisons de données d’entrée doivent prendre en
compte tout dysfonctionnement prévisible.
Les objectifs de l’essai déterminent les conditions d’environnement pour cet essai. Il peut s’agir:
— des conditions d’environnement pour l’utilisation prévue;
— des conditions spécifiques;
— d’une gamme donnée de conditions si une dérive est attendue.
Il convient que la plage de conditions considérée comme stable et dans laquelle les essais sont valides
fasse l’objet d’un accord entre le concepteur et la (les) personne(s) responsable(s) de l’exécution des
essais et soit inscrite dans le rapport.
6.2 Précision des mesures
La précision des mesures au cours de la validation par essais doit être adaptée à l’essai effectué. En
général, ces précisions de mesure doivent être effectuées à 5 K pour les températures et à 5 % pour les
mesures suivantes:
a) mesures de temps;
b) mesures de pression;
c) mesures de force;
d) mesures électriques;
e) mesures hygrométriques;
f) mesures linéaires.
Les écarts par rapport à ces précisions de mesure doivent être justifiés.
8 © ISO 2012 – Tous droits réservés
6.3 Exigences supérieures
Si, selon la documentation d’accompagnement, les SRP/CS répondent à des exigences supérieures à celles
de la présente partie de l’ISO 13849, les exigences supérieures doivent s’appliquer.
NOTE De telles exigences supérieures peuvent s’appliquer si le système de commande doit résister à des
conditions de fonctionnement particulièrement difficiles, par exemple manipulation brutale, effets de l’humidité,
hydrolyse, variations de la température ambiante, effets d’agents chimiques, corrosion, forte intensité de champs
électromagnétiques, par exemple du fait de la proximité d’émetteurs.
6.4 Nombre d’échantillons
Sauf spécification contraire, les essais doivent être réalisés sur un seul échantillon de série de la (des)
partie(s) relative(s) à la sécurité qui est (sont) soumise(s) à essai.
La (les) partie(s) relative(s) à la sécurité soumise(s) aux essais ne doi(ven)t pas être modifiée(s) au
cours des essais.
Certains essais peuvent modifier de manière permanente les performances de certains composants.
Lorsque la modification permanente d’un composant rend la partie relative à la sécurité incapable de
remplir les exigences pour les autres essais, un ou plusieurs nouveaux échantillons doivent être utilisés
pour les essais qui suivent.
Lorsqu’un essai particulier est destructif, et que des résultats équivalents peuvent être obtenus en
procédant à des essais sur une partie isolée de la SRP/CS, un échantillon de cette partie relative à la
sécurité peut être utilisé à la place de l’intégralité de la (des) partie(s) relative(s) à la sécurité pour parvenir
aux résultats de l’essai. Cette approche ne doit être appliquée que lorsqu’il a été établi par l’analyse que
l’essai de la (des) partie(s) relative(s) à la sécurité est suffisant pour démontrer les performances de
sécurité de l’intégralité de la partie relative à la sécurité réalisant la fonction de sécurité.
7 Validation de la spécification des exigences de sécurité pour les fonctions de
sécurité
Avant la validation de la conception de la SRP/CS ou de la combinaison de SRP/CS réalisant la fonction
de sécurité, la spécification des exigences pour la fonction de sécurité doit être vérifiée pour assurer
l’uniformité et la perfection pour son usage prévu.
Il convient d’analyser la spécification des exigences de sécurité avant de commencer la conception,
puisque toutes les autres activités s’appuient sur ces exigences.
La documentation des exigences pour toutes les fonctions de sécurité du système de commande de la
machine doit être assurée.
Afin de valider la spécification, il convient d’appliquer des mesures appropriées de prévention des
défauts systématiques (erreurs, omissions ou incohérences).
La validation peut être effectuée par des examens et des inspections des exigences de sécurité de la
SRP/CS et de la (des) spécification(s) de conception; surtout pour prouver que tous les aspects
— des exigences pour les applications prévues et des besoins de sécurité, et
— des conditions de fonctionnement et d’environnement et des erreurs humaines possibles (par
exemple une mauvaise utilisation)
ont été pris en considération.
Lorsqu’une norme de produit spécifie les exigences de sécurité pour la conception d’une SRP/CS (par
exemple l’ISO 11161 pour les systèmes de fabrication intégrés ou l’ISO 13851 pour les dispositifs de
commande bimanuelle), celles-ci doivent être prises en compte.
8 Validation des fonctions de sécurité
La validation des fonctions de sécurité doit démontrer que la SRP/CS ou la combinaison de plusieurs
SRP/CS permet d’assurer la fonction de sécurité conformément à leurs caractéristiques spécifiées.
NOTE 1 Une perte des fonctions de sécurité, en l’absence d’un défaut matériel, est due à un défaut systématique,
qui peut être causé par des erreurs faites pendant les phases de conception et d’intégration (mauvaise
interprétation des caractéristiques de la fonction de sécurité, erreur de conception logique, erreur d’assemblage
du matériel, erreur d’écriture du code du logiciel, etc.). Certains de ces défauts systématiques seront découverts
pendant le processus de conception, tandis que d’autres seront révélés pendant le processus de validation ou
resteront inaperçus. De plus, il est également possible qu’une erreur soit faite (par exemple oublier de vérifier une
caractéristique) pendant le processus de validation.
La validation des caractéristiques spécifiées des fonctions de sécurité doit être réalisée par application
des mesures appropriées de la liste suivante.
— Analyse fonctionnelle des schémas, examens du logiciel (voir 9.5).
NOTE 2 Lorsqu’une machine dispose de fonctions de sécurité complexes ou d’un grand nombre de
fonctions de sécurité, un analyse peut réduire le nombre d’essais fonctionnels exigés.
— Simulation.
— Contrôle des composants matériels installés dans la machine et des détails des logiciels associés
pour confirmer leur conformité à la documentation (par exemple, fabrication, type, version).
— Essais fonctionnels des fonctions de sécurité dans tous les modes de fonctionnement de la machine
pour établir s’ils réunissent les caractéristiques spécifiées (voir l’ISO 13849-1:2006, Article 5 avec
des caractéristiques de quelques fonctions de sécurité typiques). Les essais fonctionnels doivent
garantir que toutes les sorties relatives à la sécurité sont réalisées sur l’ensemble de leur plage
et répondent aux signaux d’entrée relatifs à la sécurité conformément à la spécification. Les cas
d’essai sont normalement dérivés des spécifications mais peuvent également comprendre certains
cas dérivés de l’analyse des schémas ou des logiciels.
— Essais fonctionnels étendus pour contrôler tout signal ou toute combinaison de signaux anormaux
provenant de toute source d’entrée, y compris l’interruption et le rétablissement de l’alimentation
et les fonctionnements incorrects.
— Contrôle de l’interface opérateur–SRP/CS pour la satisfaction des principes de l’ergonomie (voir
l’ISO 13849-1:2006, 4.8).
NOTE 3 D’autres mesures de prévention des défaillances systématiques mentionnées en 9.4 (par exemple la
diversité, la détection des défaillances par des essais automatiques) peuvent également contribuer à la détection
des défauts fonctionnels.
9 Validation des niveaux de performance et des catégories
9.1 Analyse et essais
Pour la SRP/CS ou la combinaison de SRP/CS qui réalise la (les) fonction(s) de sécurité, la validation doit
démontrer que les niveaux de performance requis (PL ) et les catégories de la spécification des exigences
r
de sécurité sont satisfaits. Principalement, cela nécessite l’analyse des défaillances utilisant des schémas
des circuits (voir Article 5) et, lorsque l’analyse des défaillances ne permet pas de conclusion:
— essais d’injection de défauts sur le circuit réel et d’initiation de défauts sur les composants réels,
en particulier dans les parties du système où existe un doute à propos des résultats obtenus par
l’analyse des défaillances (voir Article 6);
— simulation du comportement du système de commande en cas de défaut, par exemple à l’aide de
modèles matériels et/ou logiciels.
10 © ISO 2012 – Tous droits réservés
Dans certaines applications, il peut être nécessaire de diviser les parties relatives à la sécurité qui sont
interconnectées en plusieurs groupes fonctionnels et de soumettre ces groupes et leurs interfaces à des
essais de simulation de défauts.
Lors de la validation par essais, il convient que les essais comportent, selon le cas,
— des essais d’injection de défauts dans un échantillon de production,
— des essais d’injection de défauts dans un modèle matériel,
— la simulation de défauts par logiciel, et
— la défaillance de sous-systèmes, par exemple les alimentations en énergie.
L’instant précis auquel un défaut est injecté dans un système peut être critique. Le pire des cas en
termes d’injection doit être déterminé par analyse de défaut et doit injecter le défaut au moment critique
approprié pour soumettre cet effet à essai.
9.2 Validation des spécifications relatives aux catégories
9.2.1 Catégorie B
Les SRP/CS de catégorie B doivent être validées conformément aux principes de sécurité de base (voir les
Tableaux A.1, B.1, C.1 et D.1) en démontrant que la spécification, la conception, la fabrication et le choix
des composants sont conformes à l’ISO 13849-1:2006, 6.2.3. Il doit être démontré que le MTTF du canal
d
est d’au moins 3 ans. Ceci doit être réalisé en vérifiant que la SRP/CS respecte sa spécification comme
indiqué dans les documents de validation (voir 4.5). En ce qui concerne la validation des conditions
d’environnement, voir 6.1.
NOTE Dans certains cas particuliers, des valeurs supérieures du MTTF peuvent être requises, par exemple
d
lorsque PL = b.
r
9.2.2 Catégorie 1
Les SRP/CS de catégorie 1 doivent être validées en démontrant:
a) qu’elles répondent aux exigences de la catégorie B;
b) que leurs composants sont éprouvés (voir les Tableaux A.3 et D.3) et répondent au moins à l’une des
conditions suivantes:
1) ils ont été largement utilisés par le passé avec des résultats satisfaisants dans des
applications similaires;
2) ils ont été fabriqués et vérifiés en utilisant des principes qui établissent leur aptitude et leur
fiabilité pour des applications relatives à la sécurité;
c) que les principes de sécurité éprouvés (voir, le cas échéant, les Tableaux A.2, B.2, C.2 et D.2) ont été
correctement mis en œuvre, et, lorsque des principes nouvellement développés ont été utilisés, que
ce qui suit a été validé:
1) la manière dont les modes de défaillance prévus ont été évités;
2) la manière dont les défauts ont été évités ou dont leur probabilité a été réduite à un niveau approprié.
Les normes applicables aux composants peuvent être utilisées pour démontrer la conformité au présent
paragraphe (voir les Tableaux A.3 et D.3). Il doit être démontré que le MTTF du canal est d’au moins 30 ans.
d
9.2.3 Catégorie 2
Les SRP/CS de catégorie 2 doivent être validées en démontrant:
a) qu’elles répondent aux exigences de la catégorie B;
b) que les principes de sécurité éprouvés utilisés (lorsqu’ils s’appliquent) répondent aux exigences en
9.2.2 c);
c) que l’équipement de contrôle détecte tous les défauts concernés, introduits un à un au cours du
processus de contrôle et déclenche une action de commande appropriée qui
1) conduit à un état sûr; ou, lorsque cela est impossible,
2) donne un avertissement de danger;
d) que le(s) contrôle(s) assuré(s) par l’équipement de contrôle n’induise(nt) pas un état non sûr;
e) que le déclenchement du contrôle est effectué
1) à la mise en marche de la machine et avant le déclenchement d’une situation dangereuse, et
2) périodiquement, en cours de fonctionnement conformément à la spécification de conception si
l’appréciation du risque et le type de fonctionnement indiquent que cela est nécessaire;
NOTE 1 Le besoin et l’ampleur des contrôles lors du fonctionnement sont déterminés par l’évaluation des
risques des co
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...