ISO 13577-4:2022
(Main)Industrial furnaces and associated processing equipment — Safety — Part 4: Protective systems
Industrial furnaces and associated processing equipment — Safety — Part 4: Protective systems
This document specifies the requirements for protective systems used in industrial furnaces and associated processing equipment (TPE). The functional requirements to which the protective systems apply are specified in ISO 13577-1 ISO 13577-2 and ISO 13577-3. This document is not applicable to blast furnaces, converters (in steel plants), boilers, fired heaters (including reformer furnaces) in the petrochemical and chemical industries. This document is not applicable to electrical cabling and power cabling upstream of the TPE control panel/protective system. This document is not applicable to the protective systems manufactured before the date of its publication.
Fours industriels et équipements associés — Sécurité — Partie 4: Systèmes de protection
Le présent document spécifie les spécifications relatives aux systèmes de protection utilisés dans des fours industriels et équipements associés (TPE). Les spécifications fonctionnelles auxquelles s'appliquent les systèmes de protection sont spécifiées dans les ISO 13577‑1, ISO 13577‑2 et ISO 13577‑3. Le présent document ne s'applique pas aux hauts fourneaux, aux convertisseurs (dans les aciéries), aux chaudières, aux appareils de chauffage (y compris les fours de reformage) dans les industries pétrochimiques et chimiques. Le présent document n'est pas applicable au câblage électrique et au câblage de puissance en amont du panneau de commande/système de protection TPE. Le présent document n'est pas applicable aux systèmes de protection fabriqués avant la date de sa publication.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 13577-4
Second edition
2022-07
Industrial furnaces and associated
processing equipment — Safety —
Part 4:
Protective systems
Fours industriels et équipements associés — Sécurité —
Partie 4: Systèmes de protection
Reference number
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
4 Design requirements for equipment in a protective system . 4
4.1 General . 4
4.2 Requirements for protective systems . 6
4.2.1 Overview of methods . 6
4.2.2 Method A . . . 7
4.2.3 Method BC . 8
4.2.4 Method D . 10
4.3 Fault assessment for the wired section of protective systems. 11
4.4 Failure of utilities . 12
4.5 Reset . 12
5 Information for use .12
Annex A (informative) Explanation of techniques and measures for avoiding systematic
faults .13
Annex B (normative) Wiring of protective systems .15
Annex C (informative) Examples for the determination of safety integrity level (SIL) or
performance level (PL) using the risk graph method .29
Annex D (informative) Example of a risk assessment for one safety instrumented function
using the method according to the IEC 61511:2016 series .45
Annex E (informative) Examples for protective functions .53
Annex F (normative) Requirements for application software .82
Bibliography .84
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 244, Industrial furnaces and associated
processing equipment, in collaboration with the European Committee for Standardization (CEN)
Technical Committee CEN/TC 186, Industrial thermoprocessing - Safety, in accordance with the
Agreement on technical cooperation between ISO and CEN (Vienna Agreement).
This second edition cancels and replaces the first edition (ISO 13577-4:2014), which has been technically
revised.
The main changes are as follows:
— to provided better clarity methods B and C were combined to create a new method BC,
— Annex E was rewritten to provide several new examples to better reflect the intent for previously
misunderstood elements,
— Annex B was modified to include clearer language and examples of normative wiring. The original
Annex F was merged,
— created wording to provide a better alignment with IEC 62061, IEC 61511, and ISO 13849-1.
A list of all parts in the ISO 13577 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
This document was developed to specify the requirements of a protective system, which is a safety-
related control system (SCS) of industrial furnaces and associated processing equipment (TPE). It is
intended that in designing the protective system of TPE, manufacturers of TPE choose from the three
methods provided in this document. Requirements for safety-related control functions of TPE are
specified in ISO 13577-1, ISO 13577-2, and ISO 13577-3.
This document is intended to be used jointly with ISO 13577-1, ISO 13577-2 and ISO 13577-3. Since the
other parts of the ISO 13577 series are type-C standards of ISO 12100, TPE are required to be designed
in accordance with the principles of ISO 12100. The type-B standards of ISO 12100 for SCS are IEC 62061
or ISO 13849-1, which always assume high-demand applications. However, there are cases in which a
risk assessment according to the IEC 61511 series, which provides the option of a low-demand rate on
the protective system, is more suitable for the design of a TPE protective system.
In principle, when requirements of ISO 13577-1, ISO 13577-2 and ISO 13577-3 (type-C standards)
are different from those which are stated in type-A or -B standards, the requirements of the type-C
standards take precedence over the requirements of the other standards for machines, which have been
designed and built according to the requirements of the type-C standards. Therefore, this document
permits risk assessment for safety-related electrical control systems (SRECS) in which risk assessment
based on the IEC 61511 series can be chosen as an alternative.
v
INTERNATIONAL STANDARD ISO 13577-4:2022(E)
Industrial furnaces and associated processing
equipment — Safety —
Part 4:
Protective systems
1 Scope
This document specifies the requirements for protective systems used in industrial furnaces and
associated processing equipment (TPE).
The functional requirements to which the protective systems apply are specified in ISO 13577-1
ISO 13577-2 and ISO 13577-3.
This document is not applicable to blast furnaces, converters (in steel plants), boilers, fired heaters
(including reformer furnaces) in the petrochemical and chemical industries.
This document is not applicable to electrical cabling and power cabling upstream of the TPE control
panel/protective system.
This document is not applicable to the protective systems manufactured before the date of its
publication.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 13574, Industrial furnaces and associated processing equipment — Vocabulary
1)
ISO 13849-1:—, Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
IEC 60947-4-1:2018, Low-voltage switchgear and controlgear — Part 4-1: Contactors and motor-starters -
Electromechanical contactors and motor-starters
IEC 60947-5-1:2016, Low-voltage switchgear and controlgear — Part 5-1: Control circuit devices and
switching elements - Electromechanical control circuit devices
IEC 60204-1:2016, Safety of machinery — Electrical equipment of machines — Part 1: General requirements
IEC 60730-2-5:2013+AMD1: 2017+ AMD2: 2020 CSV, Automatic electrical controls for household and
similar use — Part 2-5: Particular requirements for automatic electrical burner control systems
IEC 61508-1:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 1: General requirements
IEC 61508-2:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems
IEC 61508-3:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 3: Software requirements
1) Fourth edition under preparation. Stage at the time of publication: ISO/DIS 13849-1:2022.
IEC 61508-4:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations
IEC 61508-5:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 5: Examples of methods for the determination of safety integrity levels
IEC 61508-6:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
IEC 61508-7:2010, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 7: Overview of techniques and measures
IEC 61131-3:2013, Programmable controllers — Part 3: Programming languages
IEC 61511-1:2016, Functional safety — Safety instrumented systems for the process industry sector — Part
1: Framework, definitions, system, hardware and application programming requirements
IEC 61511-2:2016, Functional safety — Safety instrumented systems for the process industry sector — Part
2: Guidelines for the application of IEC 61511-1:2016
IEC 61511-3:2016, Functional safety — Safety instrumented systems for the process industry sector — Part
3: Guidance for the determination of the required safety integrity levels
IEC 62061:2021, Safety of machinery - Functional safety of safety-related control systems
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 13574 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
final element
part of a protective system (3.6), that implements the physical action necessary to achieve or maintain a
safe state
Note 1 to entry: Examples are valves, switch gears, and motors, including their auxiliary elements, for example, a
solenoid valve and actuator if involved in the safety function.
[SOURCE: IEC 61511-1:2016, 3.2.22, modified — "BPCS or SIS" has been changed to read "protective
system" in the definition.]
3.2
flame detector device
device by which the presence of a flame is detected and signalled
Note 1 to entry: It can consist of a flame sensor (3.9), an amplifier, and a relay for signal transmission.
[SOURCE: ISO 13574:2015, 2.65, modified — The second sentence in the original definition is presented
as Note 1 to entry.]
3.3
logic function
function which performs the transformations between input information [provided by one or more
input functions or sensors (3.9)] and output information [used by one or more output functions or final
elements (3.1)]
Note 1 to entry: Logic functions are executed by the logic solver (3.4) of a protective system (3.6).
[SOURCE: IEC 61511-1:2016, 3.2.35, modified — "input functions" has been changed to read "input
functions or sensors" and "output function" had been changed to read "output function or final
elements" in the definition; Notes 1 and 2 to entry in the original definition had been deleted and Note 1
to entry has been added.]
3.4
logic solver
part of a protective system (3.6) that performs one or more logic function(s) (3.3)
Note 1 to entry: Examples are electrical systems, electronic systems, programmable electronic systems,
pneumatic systems, and hydraulic systems. Sensors (3.9) and final elements (3.1) are not part of the logic solver.
[SOURCE: IEC 61511-1:2016, 3.2.36, modified — "either a BPCS or SIS" has been changed to read "a
protective system" in the definition; Note 1 to entry in the original definition has been deleted.]
3.5
programmable (logic) controller
PLC
digitally operating electronic operating system, designed for use in an industrial environment, which
uses a programmable memory for the internal storage of user-oriented instructions to implement
specific functions such as logic, sequencing, timing, counting and arithmetic, to control, through digital
and analogue inputs and outputs, various types of machines or processes
[SOURCE: IEC 61131-1:2003, 3.5, modified — The second sentence of the original definition and Note 1
to entry have been deleted.]
3.6
protective system
instrumented system used to implement one or more safety-related instrumented functions which is
composed of any combination of sensor(s) (3.9), logic solver(s) (3.4), and final elements (3.1)
Note 1 to entry: This can include safety-related instrumented control functions or safety-related instrumented
protection functions or both.
Note 2 to entry: For example, see Figure 2.
[SOURCE: ISO 13574:2015, 2.138, modified — Note 1 to entry has been merged with the definition.]
3.7
safety bus
bus system and/or protocol for digital network communication between safety devices (3.8), which is
designed to achieve and/or maintain a safe state of the protective system (3.6)
[SOURCE: ISO 13574:2015, 2.164]
3.8
safety device
device that is used to perform protective functions, either on its own or as a part of a protective system
(3.6)
EXAMPLE Sensors (3.9), limiters, flame monitors, burner control systems, logic systems, final elements (3.1),
and automatic shut-off valves.
3.9
sensor
device that produces a signal based on a process variable
EXAMPLE Transmitters, transducers, process switches, and position switches.
3.10
system for permanent operation
system, which is intended to remain in the running position for longer than 24 h without interruption
[SOURCE: IEC 60730-2-5:2013+AMD1: 2017+ AMD2: 2020 CSV, 2.5.101]
3.11
system for non-permanent operation
system, which is intended to remain in the running position for less than 24 h
[SOURCE: IEC 60730-2-5:2013+AMD1: 2017+ AMD2: 2020 CSV, 2.5.102]
4 Design requirements for equipment in a protective system
4.1 General
Electrical installations and equipment shall comply with IEC 60204-1:2016 and withstand the intended
operating stresses and external influences and hazards identified in the risk assessment required at
the design stage. Electrical installation and equipment shall be protected against damage. In particular,
it shall be robust to withstand damage during continuous operation.
Devices shall be used in accordance with their instructions including safety manuals. Any device used
outside of its published instructions shall be verified and validated to be suitable for the intended
application.
Devices of a protective system shall withstand the environmental conditions according to
IEC 60204-1:2016, 4.4 and fulfil their intended function.
Sensors (e.g. pressure transmitters, temperature transmitters, flow transmitters) used in the protective
system shall be independent from the process control system.
NOTE 1 Operating information can be exchanged but cannot compromise the functional safety of the
protective system.
Safe state shall be realized by de-energized circuits only.
Functional safety requirement, as identified in the ISO 13577 series shall be in accordance with the
2)
IEC 61508:2010 series, the IEC 61511:2016 series, IEC 62061:2021 or ISO 13849-1:— as applicable, and
implemented with the required SIL/PL for each function.
For the determination of the performance level of a safety function according to ISO 13849-1:—, the
alternative procedure as stated in ISO 13849-1:—, 6.1.9 is not allowed.
Figure 1 is provided as an aid to understand the relationship between the various elements of TPE and
their ancillary equipment, the heating system, the process control system and the protective system.
2) Fourth edition under preparation. Stage at the time of publication: ISO/DIS 13849-1:2022.
Figure 1 — Block diagram of control and protective systems
An appropriate group of techniques and measures shall be used that are designed to prevent the
introduction of systematic faults during the design and development of the hardware and software of
the protective system (see Annex A).
Failure due to short circuit in external wiring shall be avoided (see B.5 and Figure B.10).
The wiring of safety-relevant sensors and actuators, which are part of a protective system, usually are
made in the field, outside of electrical enclosures. Short circuits, cross-circuits and earth faults in that
field wiring can cause safety critical faults to the entire protective system. Cable loops for connecting
field devices shall be suitably routed and fastened to prevent damage to the cables.
In order to keep the entire protective system in a safe condition, the field wiring of safety-relevant
sensors and actuators (e.g. pressure switches, gas valves) shall be protected against mechanical damage
(including, e.g. vibration or bending) to prevent short circuits, cross circuits and earth faults.
NOTE 2 A method to protect against short circuits, cross circuits and earth faults is to use cable-ducts, cable
trays, or conduits for the field wiring.
If the protective system is operated in non-grounded, insulated mains, an insulation monitoring
device shall be foreseen. This isolation monitoring device immediately needs to isolate all poles of the
protective system from the mains in the event of the first fault detection.
Requirements for testing and testing intervals for protective systems shall be specified in the
instruction handbook. Except as permitted by method D, the testing of all safety functions shall be
performed at least annually. Method D shall be used if the testing of all safety functions is performed
beyond 1 year.
See Annexes C and D for examples of SIL/PL determinations.
4.2 Requirements for protective systems
4.2.1 Overview of methods
Any one or a combination of the three (3) methods shall be used to implement a protective system for
the safety function(s) requirements identified in the ISO 13577 series; however, only one method shall
be used for any one specific safety function. The three methods are the following:
— method A as specified in 4.2.2;
— method BC as specified in 4.2.3;
— method D as specified in 4.2.4.
Figure 2 shows the basic configuration of a protective system.
Figure 2 — Basic configuration of a protective system
Figure 3 shows the basic characteristics of each method.
Figure 3 — Method overview
NOTE 1 Software interconnections are links between software function blocks, safety PLC inputs, and safety
PLC outputs. These are similar to wired interconnections between devices.
NOTE 2 A safety function software is either a software function block or program to perform safety logic
functions (e.g. prepurge, automatic burner control), see 4.2.2.
See Annex E for examples for protective functions of the various methods.
4.2.2 Method A
Method A shall be a wired system in which all devices (i.e. sensors, logic solver, and final elements
described in Figure 4) comply with the product standards as specified in the ISO 13577 series.
The requirements of the IEC 61508:2010 series, the IEC 61511:2016 series, IEC 62061:2021, and
ISO 13849-1:— are not applicable for this type of protective system.
The following requirements for wiring shall be fulfilled:
a) all logic solvers shall be supplied by the devices and through the direct interconnections between
the devices;
b) devices with fixed program language, which meet the relevant product standards, shall be
permitted;
c) connections shall not be permitted through data communication buses;
d) wiring of the protective system shall be in accordance with Annex B.
Figure 4 — Hardware configuration of Method A
NOTE The safety devices used in 4.2.2 correspond to specific safety requirements, matched to the field of
application and the functional requirements made of these devices, as demanded in the corresponding product
standards for safety devices, e.g. automatic burner control systems, valve-proving systems, pressure sensing
devices, automatic shut-off valves. Even without additional SIL/PL certification of these safety devices, the safety
requirements for use of safety devices are in compliance with relevant product standards. Implementation of a
protective system in accordance with 4.2.2 is one of several alternative methods.
4.2.3 Method BC
Method BC shall be a combination of devices meeting the relevant product standards and/or SIL/PL
capable devices for which no product standard exists. The use of safety PLCs is optional (see Figure 5).
The following requirements for wiring shall be fulfilled:
a) all logic solvers shall be supplied by the devices and through the direct interconnections between
the devices;
b) devices with fixed program language, which meet the relevant product standards, shall be
permitted;
c) the interconnections shall be wired, or by safety bus, or by software interconnections;
d) wiring of the protective system shall be in accordance with Annex B.
When using programmable logic solver (e.g. safety PLC), a safety function software shall be verified and
validated SIL 3 capable software function blocks (see Figure 5). In addition, the following requirements
shall be fulfilled:
i) where a programmable device implements a safety function that is partly or entirely addressed in a
relevant product standard, the software function shall be verified and validated with respect to the
applicable requirements in the related product standard including but not limited to the sequences
and timings of the product standard;
ii) software interconnections in a programmable device shall be verified and documented by a
functional test in accordance with the functional safety standards;
iii) software programming languages for PLCs shall be in accordance with IEC 61131-3:2013;
iv) software shall be locked and secured against unauthorized and unintended changes.
NOTE 1 Verification and validations of SIL/PL certification of system software (see IEC 61508-4:2010, 3.2.6
and 3.2.7) and devices is typically carried out by a notified body, accredited national testing laboratory, or by an
organization in accordance with ISO/IEC 17025.
Safety functions shall be within a safety-rated device or within an external device covered by the
relevant product standard.
For the devices (safety PLC, timers, etc.), which are NOT covered by product standards, the following
requirements shall be fulfilled:
1) the devices shall have systematic capability SC 3 (SIL 3 capable) in accordance with the
IEC 61508:2010 series, the IEC 61511:2016 series, or IEC 62061:2021, or it shall be suitable to
achieve PL e in accordance with ISO 13849-1:—;
2) certification shall apply to the complete device, including the hardware and software.
Devices with less than SIL 3/PL e capability shall be permitted provided the SIL/PL requirements for
the loop (safety function) are determined based on the risk assessment. The systematic capability of
the devices shall conform to the determined SIL/PL as a minimum.
When the SIL of a device is determined based on proven in use, the requirements in the IEC 61508:2010
series shall be adhered to and required documentation be provided in the final assembly documentation.
These procedures shall be accepted by the end user.
When the PL is determined by well-tried components, the requirements in ISO 13849-1:— shall be
followed.
All requirements in the instructions or safety manual for the device shall be adhered to such as the
proof test interval.
NOTE 2 Annex C contains examples of determining SIL/PL.
Figure 5 — Hardware configuration of Method BC
4.2.3.1 Requirements for application software of programmable logic solvers
Application software shall be developed in accordance with the methods of functional safety of
programmable electronic safety-related systems, defined in the requirements of IEC 61508:2010 series,
the IEC 61511:2016 series, IEC 62061:2021, ISO 13849-1:— or Annex F.
NOTE Annex F provides criteria for applications based on the IEC 61508:2010 series.
Manufacturer’s instructions for the device shall identify any applicable requirements contained in
IEC 61508-3:2010, if software alterations are initiated by the end user.
4.2.4 Method D
Method D shall be in accordance with the full requirements of functional safety standards the
IEC 61508:2010 series, the IEC 61511:2016 series, IEC 62061:2021, or ISO 13849-1:— (see Figure 6).
NOTE 1 See Annex D for the method in accordance with the IEC 61511:2016 series.
NOTE 2 See Annex D for one method of hazard and risk assessment in accordance with the IEC 61511:2016
series. The application of other methods according to this document are possible. C.2.2 contains an example for
determining SIL in accordance with this document.
Method D shall also fulfil the following requirements:
a) the flame detector device shall comply with IEC 60730-2-5:2013+AMD1: 2017+ AMD2: 2020 CSV;
b) all requirements of the PLC and all safety devices shall be used in accordance with manufacturer’s
instructions and product safety manual;
c) each functional safety requirement, as identified in the ISO 13577 series, shall be evaluated for its
need in accordance with the functional safety standards and implemented with the required SIL/
PL for each function. Safety functions of the safety-related system, such as automatic burner control
system, valve proving, air/fuel ratio control, etc. shall fulfil the intent of the safety requirements in
the relevant product standards;
NOTE 3 A risk assessment in method D can take precedence over the safety requirements in the ISO 13577
series. By nature of the risk assessment under method D, the overall safety is not reduced and meets or
exceeds the intended requirements of the ISO 13577 series.
d) the interconnections shall be wired, or by safety bus, or by software interconnections;
e) wiring of the protective system shall be in accordance with Annex B.
NOTE 4 Verification and validations of SIL/PL is typically carried out using an independent checking process
rd
similar to 3 party verification.
Figure 6 — Hardware configuration of Method D
4.3 Fault assessment for the wired section of protective systems
The protective system shall be designed such that the devices required in the ISO 13577 series shall be
used as follows.
a) When relays are used in safety functions, the contacts shall be supervised and mechanically
linked, and the current applied to all contacts shall be a maximum of 60 % of the contacts' rating.
Control relays for safety shall be in accordance with IEC 60947-5-1:2016 or the requested SIL/PL
requirement. Power relays for safety with or without mirror contacts shall be in accordance with
IEC 60947-4-1:2018.
b) The device shall be wired in accordance with the manufacturer’s instructions.
c) For method BC, when timers not complying with the relevant product standards as specified in the
ISO 13577 series are used in safety functions, timers shall have a systematic capability of SC 3 (SIL
3 capable). Setting of adjustable timers shall be locked or sealed.
d) Overcurrent protection shall be provided to limit current in the safety circuit to below 60 % of the
lowest device contact rating.
Additional requirements are given in Annex B.
4.4 Failure of utilities
Loss of utilities (e.g. electrical power, instrument air) to the TPE shall result in safe state (e.g. lock-out).
Any restart shall be initiated by manual intervention only. The start-up and ignition sequence shall
3)
apply (see ISO 13577-2: — , 4.11).
4.5 Reset
Unless permitted by Method D on devices performing a safety function, reset after lock-out shall be
triggered manually after remedying the fault (see ISO 13574:2015, 2.107).
The reset shall be implemented as a safety function, it shall comply with ISO 13849-1:—, 5.2.3.2, and it
shall not override a safety function.
The design shall incorporate means to prevent unintended and permanent resets.
The design shall incorporate means to prevent unintended start of the TPE.
The instruction handbook shall include a requirement that the operator ensures safe operation prior to
initiating a reset.
The maximum number of resets within a defined time span shall be limited and specified, based on the
risk assessment, and shall be included in the instruction handbook.
When the manual reset is initiated, direct or camera view of the TPE shall be required. Safe operation
shall be ensured from the reset action, and the actual status and relevant information of the process
under control shall be verified to the operator.
5 Information for use
Documentation detailing the protective measures and operation shall be included in the equipment
documentation.
3) Second edition under preparation. Stage at the time of publication: ISO/FDIS 13577-2:2022.
Annex A
(informative)
Explanation of techniques and measures for avoiding systematic
faults
A.1 General
Random faults have physical causes (e.g. temperature extremes, corrosion, wear) and statistical
information can be used for a risk analysis. However, systematic faults originate from human errors
in the specification and design of the protective system. Systematic faults can be hidden until specific
conditions occur and might not be discovered for long periods of time. These specific conditions will
cause all equipment that was produced from that system to fail in the same manner. Consequently, it is
very important to guard against systematic faults from the beginning stages of a project.
A.2 Competency
Because systematic faults are human in nature, the people and their organization involved in the design
and development of protective systems need to be competent for the particular activities for which
they are responsible. Each person, department, organization, or other unit needs to be identified and
informed of the responsibilities assigned to them (including, where relevant, licensing authorities or
safety regulatory bodies). The following items need to be addressed in determining competency for
protective system design:
a) engineering knowledge, training, and experience appropriate to:
1) the process application,
2) the applicable technology used (e.g. electrical, electronic, programming), and
3) the sensors and final elements;
b) safety engineering knowledge (e.g. process safety analysis);
c) knowledge of the legal and regulatory functional safety requirements;
d) adequate management and leadership skills appropriate to their role in the design;
e) understanding of the potential consequence of an event;
f) suitability to the novelty and complexity of the application and the technology.
Additional information on competency can be found in IEC 61511-1:2016.
A.3 Avoidance of systematic faults
The following provide a summary of typical activities needed for avoidance of systematic faults during
the design stage. More details can be found in IEC 61508-2:2010.
Choose a design method with features that facilitate the following:
a) transparency, modularity, and other features that control complexity;
b) clear and precise expression of:
— functionality,
— subsystem and element interfaces,
— sequencing and time-related information, and
— concurrency and synchronization;
c) clear and precise documentation and communication of information;
d) verification and validation.
Use design features that make the protective system tolerant against systematic faults, random faults,
and residual design faults in the hardware, software, and data communication process.
During the design, distinguish and identify those activities that can be carried out at the development
premises from those that require access to the user’s site.
Formalize maintenance requirements during the design stage to ensure that the safety integrity
requirements of the protective systems continue to be met throughout their lifecycles.
Take into account human capabilities and limitations and the actions assigned to operators and
maintenance staff, including their likely level of training or awareness.
Design the protective system integration tests and establish the test plan documentation, including the
following:
i) the types of tests to be performed and procedures to be followed;
ii) the test environment, tools, configuration, and programs;
iii) the pass/fail criteria.
Where applicable, use automatic testing tools and integrated development tools.
Annex B
(normative)
Wiring of protective systems
B.1 General
Electrical installation and equipment shall comply with IEC 60204-1:2016.
This annex describes how to wire the protective system so as not to reduce the level of safety.
This annex applies to the wiring within the logic solver, and the wiring between the logic solver and
the devices that directly or indirectly control the final elements. Moreover, it applies to the field wiring
among devices like sensors, interlocks, actuators, final elements, flame detector, igniter, etc.
To maintain the level of safety of the wired protective system, techniques shall be applied to avoid
or prevent the introduction of systematic faults during design and development and to apply design
features (e.g. self-checking, redundancy) to control both random and systematic faults during operation.
The fault assessment in Figure B.1 shall be applied for the design, fault analysis, and proof of safety.
NOTE Based on the application of Figure B.1, a hazardous situation caused by a single fault can be excluded.
B.2 Protection against faults of the protective system
The protective system shall be designed such that:
a) faults, which could impair the effectiveness of the protective system, shall be minimized by fault-
avoidance techniques, such as shown by the examples in Figures B.2 to B.8 or
NOTE 1 Examples of IMPROPER wiring are shown in Figures B.10 to B.14.
b) in the event of internal faults (e.g. welded relay, incorrect placement of wiring, internal temperature
too high) or the occurrence of external influences (e.g. EMC, vibration, temperature too high, dust,
lightning), the protective system shall:
1) not be compromised, or
2) keep the thermal processing equipment in a safe state or bring it to a safe state (by fault control
techniques).
The simultaneous occurrence of two independent faults in different devices need not be taken into
account (e.g. two relays fail simultaneously without a common cause).
The combination of a second fault with an undetected first fault shall be taken into account in
accordance with Figure B.1. Any faults arising from a first fault (consecutive faults) shall be considered
together with this first fault (see Figure B.14).
For systems for non-permanent operation, if a fault is detected at start-up, operation shall not be
permitted.
For systems for permanent operation, a second fault is considered to occur 24 h after the first fault (e.g.
if the fault is detected during operation, operation shall not be permitted for longer than 24 h after the
first fault is detected).
NOTE 2 24 h is an indication of the mean time to restoration (MTTR). Please refer to IEC 61511-1:2016.
B.3 Measures to avoid faults
During development, organizational and design precautions shall be taken to avoid faults, including but
not limited to:
a) definition of a project-specific production sequence plan, including but not limited to:
1) specifications,
2) design (schematic, circuit diagram, parts lists, hardware design), and
3) test plan;
b) segregation of safety-related and non-safety-related functions of devices; and
c) functions and interconnections shall be verified by test.
Particular attention shall be paid to fault avoidance precautions in the case of application-specific
integrated circuits.
NOTE See Annex A for techniques and measures for avoidance of systematic faults.
B.4 Hardware design
B.4.1 General requirements of the hardware
a) The system description shall be readily comprehensible and logically structured, and it shall clearly
depict the safety philosophy and the protective functions.
b) The required functions, the reaction in the event of a fault, interfaces (software, hardware), and the
permissible environmental influences of a functional unit within the system shall be unambiguously
specified.
B.4.2 Wired section of the protective system
The wired section of protective system shall be constructed such that the fault assessment according to
Figure B.1 results in termination.
Fault assessment for the protective system according to Figure B.1 shall consider failure of auxiliary
power and break of connecting lines.
NOTE 1 If certain devices affected by such failures achieve a safe status (e.g. closed-circuit operation in binary
circuits), a single-channel design of the relevant parts can be sufficient apart from the following measures. If this
cannot be assumed (e.g. open-circuit operation of binary circuits), a second independent trip channel, normally
energized (e.g. closed-circuit operation in binary circuits), would be provided in order to achieve the effectiveness
of the protective system (including all pneumatic, hydraulic, and mechanical final elements) for this function.
In the case of output circuits, at least two monitored disconnecting devices, i.e. contactors or relays,
shall be provided to obtain safety shutdown of the entire fuel supply.
Reed relays shall not be used for any protective functions.
NOTE 2 Hardware diversity is achieved by different types of construction of electro-mechanical switching
devices, for instance, if switching devices of different construction or design are used. Diverse functionality is
achieved by closed-circuit arrangement and open-circuit arrangement.
Figure B.1 — Fault assessment for the wired section of a protective system
B.5 Proper input wiring
This clause provides examples of techniques for avoiding failures from external wiring.
Figure B.2 shows a technique that can provide a s
...
NORME ISO
INTERNATIONALE 13577-4
Deuxième édition
2022-07
Fours industriels et équipements
associés — Sécurité —
Partie 4:
Systèmes de protection
Industrial furnaces and associated processing equipment — Safety —
Part 4: Protective systems
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 2
4 Spécifications relatives à la conception pour les équipements d'un système de
protection . 4
4.1 Généralités . 4
4.2 Spécifications relatives aux systèmes de protection. 6
4.2.1 Aperçu des méthodes . 6
4.2.2 Méthode A . 7
4.2.3 Méthode BC . 8
4.2.4 Méthode D . 10
4.3 Évaluation des défauts pour la section câblée des systèmes de protection .12
4.4 Défaillance d'auxiliaires .12
4.5 Réarmement . 12
5 Informations d'utilisation . .12
Annexe A (informative) Explication des techniques et mesures permettant d'éviter les
défauts systématiques .13
Annexe B (normative) Câblage des systèmes de protection .15
Annexe C (informative) Exemples de détermination du niveau d'intégrité de sécurité (SIL)
ou du niveau de performance (PL) à l'aide de la méthode du graphe de risque .30
Annexe D (informative) Exemple d'une évaluation du risque pour une fonction
instrumentée de sécurité à l'aide de la méthode de la série IEC 61511:2016 .48
Annexe E (informative) Exemples de fonctions de protection .56
Annexe F (normative) Exigences relatives aux logiciels d'application .85
Bibliographie .87
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité ISO/TC 244, Fours industriels et équipements associés,
en collaboration avec le comité technique CEN/TC 186, Procédés thermiques industriels – Sécurité, du
Comité européen de normalisation (CEN) conformément à l’Accord de coopération technique entre l’ISO
et le CEN (Accord de Vienne).
Cette deuxième édition annule et remplace la première édition (ISO 13577-4:2014), qui a fait l’objet
d’une révision technique.
Les principales modifications sont les suivantes:
— pour plus de clarté, les méthodes B et C ont été combinées pour créer une nouvelle méthode BC,
— l'Annexe E a été réécrite pour fournir plusieurs nouveaux exemples afin de mieux refléter l'intention
des éléments précédemment mal compris,
— l'Annexe B a été modifiée pour inclure un langage plus clair et des exemples de câblage normatif.
L'Annexe F originale a été fusionnée,
— le texte a été modifié pour mieux s'aligner sur les normes IEC 62061, IEC 61511, et ISO 13849-1.
Une liste de toutes les parties de la série ISO 13577 se trouve sur le site web de l’ISO.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
Introduction
Le présent document a été élaborée afin de spécifier les exigences d'un système de protection, qui
est un système de commande relatif à la sécurité (SCS) des fours industriels et des équipements de
traitement associés (TPE). Lors de la conception du système de protection des TPE, il est prévu que
les fabricants de TPE choisissent parmi les trois méthodes fournies dans le présent document. Les
exigences relatives aux fonctions de commande relatives à la sécurité des TPE sont spécifiées dans
l’ISO 13577-1, l'ISO 13577-2 et l'ISO 13577-3.
Le présent document est destiné à être utilisé conjointement avec les ISO 13577-1, ISO 13577-2 et
ISO 13577-3. Comme les autres parties de la série ISO 13577 sont des normes de type «C» selon
l'ISO 12100, les TPE doivent être conçus conformément aux principes de l'ISO 12100. Les normes de
type «B» selon l'ISO 12100 pour les SCS sont l'IEC 62061 ou l'ISO 13849-1, qui supposent toujours des
applications à forte demande. Cependant, dans certains cas, une évaluation des risques selon la série
IEC 61511, qui offre l'option d'un taux de sollicitation faible sur le système de protection, est plus
appropriée pour la conception d'un système de protection TPE.
En principe, lorsque les exigences des ISO 13577-1, ISO 13577-2 et ISO 13577-3 (normes de type C)
diffèrent de celles mentionnées dans les normes de type A ou B, les exigences des normes de type C
prennent le pas sur les exigences des autres normes, pour les machines conçues et construites suivant
les exigences des normes de type C. Par conséquent, Le présent document permet une évaluation
approfondie du risque pour les systèmes de commande électrique liés à la sécurité (SRECS) dans
laquelle l'évaluation du risque basée sur la série IEC 61511 peut être choisie comme alternative.
v
NORME INTERNATIONALE ISO 13577-4:2022(F)
Fours industriels et équipements associés — Sécurité —
Partie 4:
Systèmes de protection
1 Domaine d'application
Le présent document spécifie les spécifications relatives aux systèmes de protection utilisés dans des
fours industriels et équipements associés (TPE).
Les spécifications fonctionnelles auxquelles s'appliquent les systèmes de protection sont spécifiées
dans les ISO 13577-1, ISO 13577-2 et ISO 13577-3.
Le présent document ne s'applique pas aux hauts fourneaux, aux convertisseurs (dans les aciéries),
aux chaudières, aux appareils de chauffage (y compris les fours de reformage) dans les industries
pétrochimiques et chimiques.
Le présent document n'est pas applicable au câblage électrique et au câblage de puissance en amont du
panneau de commande/système de protection TPE.
Le présent document n'est pas applicable aux systèmes de protection fabriqués avant la date de sa
publication.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 13574, Fours industriels et équipements thermiques associés — Vocabulaire
1)
ISO 13849-1:— , Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 1: Principes généraux de conception
IEC 60947-4-1:2018, Appareillage à basse tension — Partie 4-1: Contacteurs et démarreurs de moteurs —
Contacteurs et démarreurs électromécaniques
IEC 60947-5-1:2016, Appareillage à basse tension — Partie 5-1: Appareils et éléments de commutation
pour circuits de commande — Appareils électromécaniques pour circuits de commande
IEC 60204-1:2016, Sécurité des machines — Équipement électrique des machines — Partie 1: Exigences
générales
I EC 6 0730 -2-5:2013+A M D1: 2017+ A M D2: 2020 C S V, Commandes électriques automatiques — Partie 2-5:
Exigences particulières pour les systèmes de commande électrique automatiques des brûleurs
IEC 61508-1:2010, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 1: Exigences générales
IEC 61508-2:2010, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 2: Exigences pour les systèmes électriques/électroniques/
électroniques programmables relatifs à la sécurité
1) Quatrième édition en cours d'élaboration. Stade au moment de la publication: ISO/DIS 13849-1:2022.
IEC 61508-3:2010, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 3: Exigences concernant les logiciels
IEC 61508-4:2010, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 4: Définitions et abréviations
IEC 61508-5:2010, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 5: Exemples de méthodes de détermination des niveaux
d’intégrité de sécurité
IEC 61508-6:2010, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 6: Lignes directrices pour l’application de la IEC 61508-2 et
de la IEC 61508-3
IEC 61508-7:2010, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 7: Présentation de techniques et mesures
IEC 61131-3:2013, Automates programmables — Partie 3: Langages de programmation
IEC 61511-1:2016, Sécurité fonctionnelle — Systèmes instrumentés de sécurité pour le secteur des industries
de transformation — Partie 1: Cadre, définitions, exigences pour le système, le matériel et le logiciel
IEC 61511-2:2016, Sécurité fonctionnelle — Systèmes instrumentés de sécurité pour le secteur des industries
de transformation — Partie 2: Lignes directrices pour l’application de l’IEC 61511-1:2016
IEC 61511-3:2016, Sécurité fonctionnelle — Systèmes instrumentés de sécurité pour le secteur des industries
de transformation — Partie 3: Conseils pour la détermination des niveaux exigés d’intégrité de sécurité
IEC 62061:2021, Sécurité des machines — Sécurité fonctionnelle des systèmes de commande relatifs à la
sécurité
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO 13574 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
élément terminal
partie d'un système de protection qui met en œuvre l'action physique nécessaire pour obtenir ou
maintenir un état de sécurité
Note 1 à l'article: Des exemples sont les vannes, appareils de commutation et moteurs, comprenant leurs éléments
auxiliaires (par exemple, une électrovanne et un actionneur utilisés pour faire fonctionner une vanne).
[SOURCE: IEC 61511-1:2016, 3.2.22 modifiée — “BPCS ou SIS” a été modifié par «système de protection»
dans la définition.]
3.2
équipement de détection de flamme
dispositif permettant de détecter la présence de flamme et d'émettre un signal en conséquence
Note 1 à l'article: Il peut consister en un détecteur de flamme, un amplificateur et un relais pour la transmission
des signaux.
[SOURCE: ISO 13574:2015, 2.65, modifiée — La deuxième phrase de la définition originale est reprise
dans la Note 1 à l’article.]
3.3
fonction logique
fonction qui réalise les transformations entre les informations d'entrée (fournies par une ou plusieurs
fonctions d'entrée ou capteurs (3.9) et et les informations de sortie (utilisées par une ou plusieurs
fonctions de sortie ou éléments terminaux (3.1))
Note 1 à l'article: Les fonctions logiques sont exécutées par l’unité logique (3.4) d'un système de protection (3.6).
[SOURCE: IEC 61511-1:2016, 3.2.35, modifiée — Dans la définition, «fonctions d'entrée» a été remplacé
par «fonctions d'entrée ou capteurs» et «fonctions de sortie» a été remplacé par «fonctions de sortie ou
éléments terminaux», Les Notes 1 et 2 à l’article de la définition originale ont été supprimées; La Note 1
à l’article a été ajoutée.]
3.4
unité logique
partie d'un système de protection (3.6) qui exécute une ou plusieurs fonctions logiques (3.3)
Note 1 à l'article: Des exemples incluent les systèmes électriques, les systèmes électroniques, les systèmes
électroniques programmables, les systèmes pneumatiques et les systèmes hydrauliques. Les capteurs (3.9) et les
éléments terminaux (3.1) ne font pas partie de l’unité logique.
[SOURCE: IEC 61511-1:2016, 3.2.36 modifiée — Dans la définition, «d'un BPCS ou d'un SIS» a été remplacé
par «un système de protection»; La Note 1 à l’article de la définition originale a été supprimée.]
3.5
automate programmable industriel
API
système d'exploitation électronique numérique, conçu pour être utilisé dans un environnement
industriel, qui utilise une mémoire programmable pour le stockage interne d'instructions destinées à
l'utilisateur afin de mettre en œuvre des fonctions spécifiques telles que la logique, le séquençage, la
synchronisation, le comptage et l'arithmétique, de manière à commander, par l'intermédiaire d'entrées
et de sorties numériques et analogiques, divers types de machines ou de procédés
[SOURCE: IEC 61131-1:2003, 3.5, modifiée — La deuxième phrase de la définition originale et la Note 1
à l’article ont été supprimées.]
3.6
système de protection
système instrumenté utilisé pour intégrer une ou plusieurs fonctions instrumentées dédiées à la
sécurité, qui est composé de toute combinaison de capteur(s) (3.9), d’unité(s) logique(s) (3.4) et d'éléments
terminaux (3.1)
Note 1 à l'article: Cela peut inclure soit des fonctions de régulation instrumentées dédiées à la sécurité ou des
fonctions de protection instrumentées dédiées à la sécurité ou les deux.
Note 2 à l'article: Pour des exemples, voir Figure 2.
[SOURCE: ISO 13574:2015, 2.138, modifiée — La Note 1 à l'article a été intégrée à la définition.]
3.7
bus de sécurité
système de bus et/ou protocole de communication réseau numérique entre les composants de sécurité
(3.8) qui vise à atteindre et/ou maintenir un état sûr du système de protection
[SOURCE: ISO 13574:2015, 2.164]
3.8
dispositif de sécurité
dispositif destiné à remplir des fonctions de protection, soit seul, soit en tant que partie d'un système de
protection
EXEMPLE Les capteurs (3.9), les limiteurs, les contrôleurs de flamme, les systèmes de commande de brûleur,
les systèmes logiques, les éléments terminaux (3.1) et les robinets automatiques de sectionnement.
3.9
capteur
dispositif qui produit un signal basé sur une variable de processus
EXEMPLE Transmetteurs, transducteurs, commutateurs de processus et interrupteurs de fin de course.
3.10
système pour fonctionnement permanent
système prévu pour rester en position de fonctionnement plus de 24 h sans interruption
[SOURCE: IEC 60730-2-5:2013+AMD1: 2017+ AMD2: 2020 CSV, 2.5.101]
3.11
système pour fonctionnement non permanent
système prévu pour rester en position de fonctionnement moins de 24 h
[SOURCE: IEC 60730-2-5:2013+AMD1: 2017+ AMD2: 2020 CSV, 2.5.102]
4 Spécifications relatives à la conception pour les équipements d'un système de
protection
4.1 Généralités
Les installations et les équipements électriques doivent être conformes à l'IEC 60204-1:2016 et
supporter les contraintes de fonctionnement prévues ainsi que les influences extérieures et les
phénomènes dangereux identifiés lors de l'évaluation du risque spécifiée au stade de la conception. Les
installations et les équipements électriques doivent être protégés contre les dommages. En particulier,
ils doivent être suffisamment robustes pour résister aux dommages pendant un fonctionnement
continu.
Les dispositifs doivent être utilisés conformément à leurs instructions, y compris les manuels de
sécurité. Tout dispositif utilisé autrement que dans le cadre de ses instructions publiées doit être vérifié
et validé afin de garantir son adéquation à l'application prévue.
Les dispositifs d'un système de protection doivent résister aux conditions environnementales
conformément à l'IEC 60204-1:2016, 4.4, et remplir la fonction pour laquelle ils ont été conçus.
Les capteurs (par exemple, les transmetteurs de pression, les transmetteurs de température, les
transmetteurs de débit) utilisés dans le système de protection doivent être indépendants du système
de commande du processus.
NOTE 1 Les informations de fonctionnement peuvent être échangées sans compromettre la sécurité
fonctionnelle du système de protection.
L'état de sécurité ne doit être obtenu que par des circuits hors tension.
L'exigence de sécurité fonctionnelle, telle qu'identifiée dans la série ISO 13577, doit être conforme à la
2)
série IEC 61508:2010, à la série IEC 61511:2016, à l'IEC 62061:2021 ou à l'ISO 13849-1:— selon le cas, et
mise en œuvre avec le SIL/PL requis pour chaque fonction.
2) Quatrième édition en cours d'élaboration. Stade au moment de la publication: ISO/DIS 13849-1:2022.
Pour déterminer le niveau de performance d'une fonction de sécurité conformément à l'ISO 13849-1:—,
la procédure alternative décrite dans l'ISO 13849-1:—, 6.1.9 n'est pas autorisée.
La Figure 1 permet de mieux comprendre la relation entre les différents éléments du TPE et leurs
équipements auxiliaires, le système de chauffage, le système de commande du processus et le système
de protection.
Figure 1 — Schéma fonctionnel des systèmes de commande et de protection
Un ensemble approprié de techniques et de mesures doit être utilisé pour empêcher l'introduction de
défauts systématiques lors de la conception et de la mise au point du matériel et du logiciel du système
de protection (voir l'Annexe A).
Les défaillances dues à un court-circuit dans le câblage externe doivent être évitées (voir B.5 et
Figure B.10).
Le câblage des capteurs et actionneurs relatifs à la sécurité, qui font partie d'un système de protection,
est généralement réalisé sur le terrain, à l'extérieur des armoires électriques. Les courts-circuits, les
courts-circuits transversaux et les défauts à la terre dans ce câblage de terrain peuvent provoquer des
défauts critiques pour la sécurité de l'ensemble du système de protection. Les boucles de câbles pour le
raccordement des dispositifs de terrain doivent être posées et fixées de manière appropriée pour éviter
d'endommager les câbles.
Afin de garantir la sécurité de l'ensemble du système de protection, le câblage de terrain des capteurs et
actionneurs relatifs à la sécurité (par exemple, les pressostats, les vannes de gaz) doit être conçu pour
être protégé contre les dommages mécaniques (y compris, par exemple, les vibrations ou les flexions)
afin d'éviter les courts-circuits, les courts-circuits transversaux et les défauts à la terre.
NOTE 2 Une méthode de protection contre les courts-circuits, les courts-circuits transversaux et les défauts à
la terre consiste à utiliser des goulottes, des chemins de câbles ou des conduits pour le câblage de terrain.
Si le système de protection fonctionne sur des réseaux non mis à la terre et isolés, un dispositif de
surveillance de l'isolation doit être prévu. Ce dispositif de surveillance de l'isolation doit immédiatement
isoler tous les pôles du système de protection du réseau en cas de première détection de défaut.
Les spécifications relatives aux essais et aux fréquences d'essai des systèmes de protection doivent être
spécifiées dans la notice d'instructions. Sauf si la méthode D le permet, les essais de toutes les fonctions
de sécurité doivent être effectués au moins une fois par an. La méthode D doit être utilisée si l'essai de
toutes les fonctions de sécurité est effectué à une fréquence supérieure à 1 an.
Voir les Annexes C et D pour des exemples de déterminations du SIL/PL.
4.2 Spécifications relatives aux systèmes de protection
4.2.1 Aperçu des méthodes
Une ou plusieurs des trois (3) méthodes doivent être utilisées pour mettre en œuvre un système de
protection conforme aux exigences de la ou des fonctions de sécurité identifiées dans la série ISO 13577.
En revanche, une seule méthode doit être utilisée pour une fonction de sécurité spécifique. Les trois
méthodes sont les suivantes:
— la méthode A spécifiée en 4.2.2;
— la méthode BC spécifiée en 4.2.3;
— la méthode D spécifiée en 4.2.4.
La Figure 2 illustre la configuration de base d'un système de protection.
Figure 2 — Configuration de base d'un système de protection
La Figure 3 donne les caractéristiques de base d'un système de protection.
Figure 3 — Aperçu des méthodes
NOTE 1 Les interconnexions logicielles sont des liens entre des blocs de fonctions logicielles, des entrées API
de sécurité et des sorties API de sécurité. Elles sont similaires aux interconnexions câblées entre les dispositifs.
NOTE 2 Le logiciel de fonction de sécurité est soit un bloc de fonctions logicielles, soit un programme
permettant d'exécuter des fonctions logiques de sécurité (par exemple, le prébalayage, la commande automatique
du brûleur). Voir 4.2.2.
Voir l'Annexe E pour des exemples de fonctions de protection des différentes méthodes.
4.2.2 Méthode A
La méthode A doit être un système câblé dont tous les dispositifs (c'est-à-dire les capteurs, l’unité
logique et les éléments terminaux décrits à la Figure 4) sont conformes aux normes de produit telles
que spécifiées dans la série ISO 13577.
Les exigences de la série IEC 61508:2010, de la série IEC 61511:2016, de l'IEC 62061:2021, et de
l'ISO 13849-1:— ne s'appliquent pas à ce type de système de protection.
Les exigences suivantes relatives au câblage doivent être respectées:
a) toutes les unités logiques doivent être fournies par les dispositifs et par les interconnexions
directes entre les dispositifs;
b) les dispositifs dotés d'un langage de programmation figé, qui répondent aux normes de produit
appropriées, doivent être autorisés;
c) les connexions ne doivent pas être autorisées par les bus de communication de données;
d) le câblage du système de protection doit être conforme à l'Annexe B.
Figure 4 — Configuration matérielle de la méthode A
NOTE Les dispositifs de sécurité utilisés en 4.2.2 répondent à des exigences de sécurité spécifiques, adaptées
au domaine d'application et aux exigences fonctionnelles de ces dispositifs, comme l'exigent les normes de
produit correspondantes pour les dispositifs de sécurité, par exemple les systèmes automatiques de commande
de brûleurs, les contrôleurs d'étanchéité, les dispositifs de détection de la pression, les robinets automatiques de
sectionnement. Même sans certification SIL/PL supplémentaire de ces dispositifs de sécurité, les exigences de
sécurité pour l'utilisation des dispositifs de sécurité sont conformes aux normes de produits correspondantes. La
mise en œuvre d'un système de protection conforme à 4.2.2 figure parmi les méthodes alternatives.
4.2.3 Méthode BC
La méthode BC doit combiner des dispositifs répondant aux normes de produit et/ou des dispositifs
SIL/PL capables pour lesquels il n'existe pas de norme de produit pertinente. L'utilisation d'API de
sécurité est facultative (voir la Figure 5).
Les exigences suivantes relatives au câblage doivent être respectées:
a) toutes les unités logiques doivent être fournies par les dispositifs et par les interconnexions
directes entre les dispositifs;
b) les dispositifs dotés d'un langage de programmation figé, qui répondent aux normes de produit
appropriées, doivent être autorisés;
c) les interconnexions doivent être câblées, ou assurées au moyen d'un bus de sécurité, ou
d'interconnexions logicielles;
d) le câblage du système de protection doit être conforme à l'Annexe B.
Lors de l'utilisation d'une unité logique programmable (par exemple, un API de sécurité), un logiciel de
fonction de sécurité doit être vérifié et validé pour les blocs de fonctions logicielles SIL 3 (voir Figure 5).
En outre, les spécifications suivantes doivent être satisfaites:
i) lorsqu'un dispositif programmable met en œuvre une fonction de sécurité qui est abordée,
partiellement ou entièrement, dans une norme de produit pertinente, la fonction logicielle doit être
vérifiée et validée selon les exigences applicables de la norme de produit concernée, y compris, sans
toutefois s'y limiter, les séquences et les délais de la norme de produit;
ii) les interconnexions logicielles dans un dispositif programmable doivent être vérifiées et
documentées par un essai fonctionnel conformément aux normes de sécurité fonctionnelle;
iii) les langages de programmation des logiciels pour les API doivent être conformes à
l'IEC 61131-3:2013;
iv) le logiciel doit être verrouillé et protégé contre toute modification non autorisée et non
intentionnelle.
NOTE 1 La vérification et les validations de la certification SIL/PL du logiciel système (voir l'IEC 61508-4:2010,
3.2.6 et 3.2.7) et des dispositifs sont généralement effectuées par un organisme notifié, par un laboratoire d'essai
national agréé ou par un organisme conforme à l'ISO/IEC 17025.
Les fonctions de sécurité doivent se trouver à l'intérieur d'un dispositif de sécurité ou d'un dispositif
externe couvert par la norme de produit appropriée.
Pour les dispositifs (API de sécurité, minuteries, etc.), qui ne sont PAS couverts par des normes de
produits, les exigences suivantes doivent être satisfaites:
1) les dispositifs doivent avoir une capabilité systématique SC 3 (compatible SIL 3) conformément à la
série IEC 61508:2010, à la série IEC 62061:2021, ou à l'IEC 61511:2016. Autrement, ils doivent être
adaptés pour atteindre PL e conformément à l'ISO 13849-1:—;
2) la certification doit s'appliquer à l'ensemble du dispositif, y compris le matériel et le logiciel.
Les dispositifs dont la capabilité est inférieure à SIL 3/PL e doivent être autorisés à condition que les
exigences SIL/PL pour la boucle (fonction de sécurité) soient déterminées sur la base de l'évaluation du
risque. La capabilité systématique des dispositifs doit être conforme au minimum au SIL/PL déterminé.
Lorsque le SIL d’un dispositif est déterminé sur la base d'une utilisation éprouvée, les exigences de la
série IEC 61508:2010 doivent être respectées et la documentation requise doit être fournie dans la
documentation du montage final. Ces procédures doivent être acceptées par l'utilisateur final.
Lorsque le PL est déterminé par des composants éprouvés, les exigences de l'ISO 13849-1:— doivent
être respectées.
Toutes les exigences figurant dans les instructions ou le manuel de sécurité du dispositif doivent être
respectées, comme l'intervalle d'essai périodique.
NOTE 2 L'Annexe C propose des exemples de détermination du SIL/PL.
Figure 5 — Configuration matérielle de la méthode BC
4.2.3.1 Spécifications relatives aux logiciels d'application des unités logiques programmables
Le logiciel d'application doit être conçu conformément aux méthodes de sécurité fonctionnelle des
systèmes électroniques programmables relatifs à la sécurité, définies dans les exigences de la série
IEC 61508:2010, de la série IEC 61511, de l'IEC 62061:2021 ou de l'ISO 13849-1:— ou l'Annexe F.
NOTE L’Annexe F fournit des critères pour les applications basées sur la série IEC 61508:2010.
Les instructions du fabricant du dispositif doivent identifier toute exigence applicable contenue dans
l'IEC 61508-3:2010, si des modifications du logiciel sont effectuées par l'utilisateur final.
4.2.4 Méthode D
La Méthode D doit être conforme aux exigences complètes des normes de sécurité fonctionnelle de la
série IEC 61508:2010, de la série IEC 61511:2016, de l’IEC 62061:2021, ou de l’ISO 13849-1:— (voir la
Figure 6).
NOTE 1 Voir l'Annexe D pour la méthode conforme à la série IEC 61511:2016.
NOTE 2 Voir l'Annexe D pour une méthode d'évaluation des dangers et des risques conformément à la série
IEC 61511:2016. L'application d'autres méthodes selon le présent document est possible. C.2.2 contient un
exemple pour déterminer le SIL conformément au présent document.
La méthode D doit également satisfaire aux exigences suivantes:
a) l'équipement de détection de flamme doit être conforme à l'IEC 60730-2-5:2013+AMD1: 2017+
AMD2: 2020 CSV;
b) toutes les exigences de l'API et tous les dispositifs de sécurité doivent être utilisés conformément
aux instructions du fabricant et au manuel de sécurité du produit;
c) chaque exigence de sécurité fonctionnelle, telle qu'identifiée dans la série ISO 13577, doit faire l'objet
d'une évaluation de sa nécessité conformément aux normes de sécurité fonctionnelle et être mise
en œuvre avec le SIL/PL requis pour chaque fonction. Les fonctions de sécurité du système relatif à
la sécurité, telles que le système automatique de commande de brûleur, le contrôle d'étanchéité, la
commande du rapport air/combustible, etc., doivent répondre à la finalité des exigences de sécurité
des normes de produit appropriées;
NOTE 3 Une évaluation approfondie du risque selon la méthode D peut prévaloir sur les exigences de
sécurité de la série ISO 13577. En raison de la nature de l'évaluation du risque selon la méthode D, la sécurité
globale n'est pas réduite et elle satisfait ou dépasse les exigences prévues par la série ISO 13577.
d) les interconnexions doivent être câblées, ou assurées au moyen d'un bus de sécurité, ou
d'interconnexions logicielles;
e) le câblage du système de protection doit être conforme à l'Annexe B.
NOTE 4 La vérification et les validations de SIL/PL sont généralement effectuées à l'aide d'un processus de
vérification indépendant similaire à la vérification par un tiers.
Figure 6 — Configuration matérielle de la méthode D
4.3 Évaluation des défauts pour la section câblée des systèmes de protection
Le système de protection doit être conçu de sorte que les dispositifs requis dans la série ISO 13577
soient utilisés comme suit:
a) En cas d'utilisation de relais dans des fonctions de sécurité, les contacts doivent être supervisés
et reliés mécaniquement, et le courant appliqué à tous les contacts doit être au maximum de
60 % de la capacité des contacts. Les relais de commande de sécurité doivent être conformes à
l'IEC 60947-5-1:2016 ou à l'exigence SIL/PL requise. Les relais de puissance de sécurité avec ou
sans contacts miroir doivent être conformes à l'IEC 60947-4-1:2018.
b) Le dispositif doit être câblé conformément aux instructions du fabricant.
c) Pour la méthode BC, lorsque des minuteries non conformes aux normes de produit appropriées
spécifiées dans la série ISO 13577 sont utilisées dans des fonctions de sécurité, les minuteries
doivent avoir une capabilité systématique de SC 3 (compatible SIL 3). Le réglage des minuteries
réglables doit être verrouillé ou scellé.
d) Une protection contre les surintensités doit être prévue afin de limiter le courant dans le circuit de
sécurité à moins de 60 % de la capacité des contacts du dispositif la plus basse.
Des exigences supplémentaires sont données à l'Annexe B.
4.4 Défaillance d'auxiliaires
La perte d'auxiliaires (par exemple, l'alimentation électrique, l'air des instruments) du TPE doit
entraîner un état de sécurité (par exemple, une mise en position de sécurité). Tout redémarrage ne doit
être initié que par une intervention manuelle. La séquence de démarrage et d'allumage doit s'appliquer
3)
(voir l'ISO 13577-2: — , 4.11).
4.5 Réarmement
À moins que la Méthode D ne l'autorise pour les dispositifs ayant une fonction de sécurité, le réarmement
après une mise en position de sécurité doit être déclenché manuellement une fois le défaut corrigé (voir
l'ISO 13574:2015, 2.107).
Le réarmement doit être mis en œuvre en tant que fonction de sécurité, il doit être conforme à
l'ISO 13849-1:—, 5.2.3.2, et il ne doit pas neutraliser une fonction de sécurité.
La conception doit prévoir des moyens pour empêcher les réarmements involontaires et permanents.
La conception doit prévoir des moyens pour empêcher le démarrage involontaire du TPE.
La notice d'instructions doit prévoir que l'opérateur veille à un fonctionnement sûr avant de lancer un
réarmement.
Le nombre maximal de réarmements dans un laps de temps défini doit être limité et spécifié, sur la
base de l'évaluation du risque, et doit être inclus dans la notice d'instructions.
Lorsque le réarmement manuel est lancé, une vision directe ou par caméra du TPE doit être requise.
Le fonctionnement sûr doit être assuré par l'action de réarmement, et l'état réel et les informations
pertinentes du processus sous contrôle doivent être vérifiés par l'opérateur.
5 Informations d'utilisation
La documentation détaillant les mesures de protection et le fonctionnement doit être incluse dans la
documentation de l'équipement.
3) Deuxième édition en cours d'élaboration. Stade au moment de publication: ISO/FDIS 13577-2:2022.
Annexe A
(informative)
Explication des techniques et mesures permettant d'éviter les
défauts systématiques
A.1 Généralités
Les défauts aléatoires résultent de causes physiques (par exemple, des températures extrêmes,
la corrosion, l'usure) et des informations statistiques peuvent être utilisées dans le cadre d'une
analyse des risques. En revanche, les défauts systématiques proviennent d'erreurs humaines dans la
spécification et la conception du système de protection. Les défauts systématiques peuvent être cachés
jusqu'à l'apparition de conditions spécifiques et peuvent ne pas être découverts pendant de longues
périodes. En raison de ces conditions spécifiques, tous les équipements produits à partir de ce système
subiront les mêmes défauts. Par conséquent, il est essentiel de prévenir les défauts systématiques dès
les premières étapes d'un projet.
A.2 Compétence
Dans la mesure où les défauts systématiques sont de nature humaine, les personnes et leur organisation
impliquées dans la conception et le développement de systèmes de protection doivent être compétentes
pour mener à bien les activités particulières dont elles sont responsables. Chaque personne, service,
organisme ou autre unité doit être identifié et informé de leurs responsabilités (y compris, le cas échéant,
les autorités chargées de l'octroi des licences ou les organismes de réglementation de la sécurité). Lors
de la détermination des compétences en matière de conception de systèmes de protection, les éléments
suivants doivent être pris en compte:
a) les connaissances techniques, formation et expérience appropriées concernant
1) l'application du processus,
2) la technologie applicable utilisée (par exemple, électrique, électronique, programmation), et
3) les capteurs et les éléments terminaux;
b) les connaissances techniques en matière de sécurité (par exemple, analyse de processus de
sécurité);
c) les connaissances des exigences de sécurité fonctionnelle légales et réglementaires;
d) les compétences adéquates en matière de gestion et d'encadrement appropriées à leur rôle dans la
conception;
e) compréhension de la conséquence potentielle d'un événement;
f) l'adéquation à la nouveauté et à la complexité de l'application et de la technologie.
Des informations supplémentaires concernant les compétences sont disponibles dans l'IEC 61511-1:2016.
A.3 Prévention des défauts systématiques
Les éléments suivants constituent un résumé des activités typiques nécessaires à la prévention des
défauts systématiques pendant la phase de conception. De plus amples informations sont disponibles
dans l'IEC 61508-2:2010.
Choisir une méthode de conception dont les caractéristiques favorisent:
a) la transparence, la modularité et d'autres caractéristiques permettant de maîtriser la complexité;
b) l'expression claire et précise
— de la fonctionnalité,
— des interfaces des sous-systèmes et des éléments,
— le séquençage et les informations liées à la durée, et
— l'accès simultané et la synchronisation;
c) une documentation et une communication claires et précises des informations;
d) la vérification et validation.
Utiliser des caractéristiques de conception qui permettent au système de protection de tolérer les
défauts systématiques, les défauts aléatoires et les défauts de conception résiduels concernant le
matériel, le logiciel et le processus de communication des données.
Lors de la conception, distinguer et identifier les activités qui peuvent être réalisées dans les locaux de
développement et celles qui nécessitent un accès au site de l'utilisateur.
Formaliser les exigences de maintenance pendant la phase de conception afin de garantir que les
exigences d'intégrité de sécurité des systèmes de protection continuent d'être respectées tout au long
de leur cycle de vie.
Tenir compte des capacités et des limites humaines et des actions assignées aux opérateurs et au
personnel de maintenance, y compris leur niveau vraisemblable de formation ou de sensibilisation.
Concevoir les essais d'intégration des systèmes de protection et établir la documentation du plan
d'essai, y compris:
a) les types d'essais à effectuer et les procédures à suivre;
b) l'environnement d'essai, les outils, la configuration et les programmes;
c) les critères de réussite/d'échec.
Utiliser, le cas échéant, des outils d'essai automatique et des outils de développement intégré.
Annexe B
(normative)
Câblage des systèmes de protection
B.1 Généralités
L'installation et les équipements électriques doivent être conformes à l'IEC 60204-1:2016.
La présente annexe décrit la méthode de câblage du s
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...