ISO 19014-2:2022
(Main)Earth-moving machinery — Functional safety — Part 2: Design and evaluation of hardware and architecture requirements for safety-related parts of the control system
Earth-moving machinery — Functional safety — Part 2: Design and evaluation of hardware and architecture requirements for safety-related parts of the control system
This document specifies general principles for the development and evaluation of the machine performance level achieved (MPLa) of safety-control systems (SCS) using components powered by all energy sources (e.g. electronic, electrical, hydraulic, mechanical) used in earth-moving machinery and its equipment, as defined in ISO 6165. The principles of this document apply to machine control systems (MCS) that control machine motion or mitigate a hazard; such systems are assessed for machine performance level required (MPLr) per ISO 19014-1 or ISO/TS 19014-5. Excluded from the scope of this document are the following systems: — awareness systems that do not impact machine motion (e.g. cameras and radar detectors); — fire suppression systems, unless the activation of the system interferes with, or activates, another SCS. Other systems or components whereby the operator would be aware of failure (e.g. windscreen wipers, head lights, etc.), or are primarily used to protect property, are excluded from this document. Audible warnings are excluded from the requirements of diagnostic coverage. In addition, this document addresses the significant hazards as defined in ISO 12100 mitigated by the hardware components within the SCS. This document is not applicable to EMM manufactured before the date of its publication.
Engins de terrassement — Sécurité fonctionnelle — Partie 2: Conception et évaluation des exigences de matériel et d’architecture pour les parties relatives à la sécurité du système de commande
Le présent document spécifie les principes généraux d’élaboration et d’évaluation du niveau de performance de machine obtenu (MPLa) des systèmes de commande de sécurité (SCS) utilisant des composants alimentés par toutes les sources d’énergie (par exemple, électronique, électrique, hydraulique, mécanique) utilisées dans les engins de terrassement et leur équipement, comme défini dans l’ISO 6165. Les principes du présent document s’appliquent aux systèmes de commande d’engins (MCS) qui commandent le mouvement d’un engin ou atténuent un phénomène dangereux; ces systèmes sont évalués pour vérifier que les exigences de niveau de performance des engins (MPLr) sont conformes à l’ISO 19014‑1 ou à l’ISO/TS 19014‑5. Les systèmes suivants sont exclus du domaine d’application du présent document: — systèmes de connaissance n’ayant aucun impact sur le mouvement de l'engin (par exemple, caméras et détecteurs radar); — systèmes de lutte contre l’incendie, excepté si l’activation du système interfère ou active un autre SCS. Les autres systèmes ou composants pour lesquels les défaillances pourraient être constatées par l’opérateur (par exemple, les essuie-glaces, les phares, l’éclairage de la cabine, etc.) ou ceux qui servent essentiellement à protéger la propriété sont exclus du présent document. Les avertisseurs sonores sont exclus des exigences de la couverture de diagnostic. De plus, le présent document traite des phénomènes dangereux significatifs tels que définis dans l’ISO 12100 atténués par les composants matériels dans le SCS. Le présent document n’est pas applicable aux engins de terrassement fabriqués avant la date de sa publication.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 19014-2
First edition
2022-06
Earth-moving machinery —
Functional safety —
Part 2:
Design and evaluation of hardware
and architecture requirements for
safety-related parts of the control
system
Engins de terrassement — Sécurité fonctionnelle —
Partie 2: Conception et évaluation des exigences de matériel et
d’architecture pour les parties relatives à la sécurité du système de
commande
Reference number
© ISO 2022
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 2
4 Symbols and abbreviated terms.2
5 General requirements . 3
5.1 Application . 3
5.2 Existing SCS . 4
6 System design . 4
6.1 Overview . 4
6.2 General requirements . 4
6.3 Hardware design . 5
7 System safety performance evaluation . 6
7.1 Machine performance level achieved (MPL ) . 6
a
7.2 Hardware safety evaluation . 6
7.2.1 General . 6
7.2.2 Fault consideration . 6
7.2.3 Fault exclusion . 7
7.2.4 Mean time to dangerous failure (MTTF ) . 7
d
7.3 Diagnostic coverage (DC) . 7
7.3.1 DC of ESCS . . 7
7.3.2 DC of N/ESCS . 7
7.4 System-level fault reduction measures of hydraulic systems based on hydraulic
system robustness (HSR) . 8
7.4.1 General . 8
7.4.2 HSR score calculation . 8
7.5 Category classifications . 9
7.5.1 General . 9
7.5.2 Category B/Category 1 .12
7.5.3 Category 2 . 14
7.5.4 Conflicting safety functions . 15
7.5.5 Considerations for the SRP/CS of fail-operational systems . 16
7.6 Combination of SCS to achieve an overall MPL . 16
8 Information for use and maintenance .18
8.1 General . 18
8.2 Operator’s manual . 18
Annex A (informative) Example systems and evaluations .19
Annex B (informative) Examples of evaluations using HSR scoring .33
Annex C (normative) Compatibility with other functional safety standards .37
Annex D (informative) Safety function evaluation .38
Annex E (normative) Exceptions, exclusions, additions to ISO 13849-1 and ISO 13849-2 .40
Bibliography .43
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 127, Earth-moving machinery,
Subcommittee SC 2, Safety, ergonomics and general requirements, in collaboration with the European
Committee for Standardization (CEN) Technical Committee CEN/TC 151, Construction equipment and
building material machines - Safety, in accordance with the Agreement on technical cooperation between
ISO and CEN (Vienna Agreement).
This first edition, together with ISO 19014-1, ISO 19014-3, ISO 19014-4 and ISO 19014-5 cancels and
replaces the first editions (ISO 15998:2008 and ISO/TS 15998-2:2012), which have been technically
revised.
The main changes are as follows:
— elimination of alternative procedures ECE R79, Annex 6, and IEC 62061;
— application of ISO 13849-1 to mobile Earth-moving machinery, including analysis of non-electronic
control systems used in Earth-moving machine applications.
A list of all parts in the ISO 19014 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
This document addresses systems comprising all technologies used for functional safety in earth-
moving machinery.
The structure of safety standards in the field of machinery is as follows:
— Type-A standards (basis standards) give basic concepts, principles for design and general aspects
that can be applied to machinery.
— Type-B standards (generic safety standards) deal with one or more safety aspects, or one or more
types of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature,
noise);
— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure
sensitive devices, guards).
— Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This document is a type-C standard as stated in ISO 12100.
This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.)
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e. g. for maintenance (small, medium and large enterprises);
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
The machinery concerned and the extent to which hazards, hazardous situations or hazardous events
are covered are indicated in the Scope of this document.
When requirements of this type-C standard are different from those which are stated in type-A or
type-B standards, the requirements of this type-C standard take precedence over the requirements of
the other standards for machines that have been designed and built according to the requirements of
this type-C standard.
This document is the adaptation of ISO 13849 to provide a type-C standard to address the specific
application of functional safety to earth-moving machinery.
This document is to be used in conjunction with the ISO 13849 series when applied to earth-moving
machinery (EMM) and supersedes ISO 15998.
This document complements the safety life cycle activities of safety control systems per
ISO 13849-1:2015 and ISO 13849-2:2012 on earth-moving machinery as defined in ISO 6165.
v
INTERNATIONAL STANDARD ISO 19014-2:2022(E)
Earth-moving machinery — Functional safety —
Part 2:
Design and evaluation of hardware and architecture
requirements for safety-related parts of the control system
1 Scope
This document specifies general principles for the development and evaluation of the machine
performance level achieved (MPL ) of safety-control systems (SCS) using components powered by all
a
energy sources (e.g. electronic, electrical, hydraulic, mechanical) used in earth-moving machinery and
its equipment, as defined in ISO 6165.
The principles of this document apply to machine control systems (MCS) that control machine motion
or mitigate a hazard; such systems are assessed for machine performance level required (MPL ) per
r
ISO 19014-1 or ISO/TS 19014-5.
Excluded from the scope of this document are the following systems:
— awareness systems that do not impact machine motion (e.g. cameras and radar detectors);
— fire suppression systems, unless the activation of the system interferes with, or activates, another
SCS.
Other systems or components whereby the operator would be aware of failure (e.g. windscreen wipers,
head lights, etc.), or are primarily used to protect property, are excluded from this document. Audible
warnings are excluded from the requirements of diagnostic coverage.
In addition, this document addresses the significant hazards as defined in ISO 12100 mitigated by the
hardware components within the SCS.
This document is not applicable to EMM manufactured before the date of its publication.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 12100, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-1:2015, Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
ISO 13849-2:2012, Safety of machinery — Safety-related parts of control systems — Part 2: Validation
ISO 19014-1, Earth-moving machinery — Functional safety — Part 1: Methodology to determine safety-
related parts of the control system and performance requirements
ISO 19014-3, Earth-moving machinery — Functional safety — Part 3: Environmental performance and test
requirements of electronic and electrical components used in safety-related parts of the control system
ISO 19014-4:2020, Earth-moving machinery — Functional safety — Part 4: Design and evaluation of
software and data transmission for safety-related parts of the control system
ISO/TS 19014-5, Earth-moving machinery — Functional safety — Part 5: Table of Machine Performance
Levels
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100, ISO 13849-1,
ISO 19014-1 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
ESCS
electronic safety control system
safety control system made of electronic components from input device to output device
3.2
function
defined behaviour of one or more MCS
Note 1 to entry: A control unit (e.g. electronic control unit) can execute more than one function. When multiple
safety functions are contained in a control unit, each safety function and the associated circuit are analysed
separately.
3.3
N/ESCS
non-electronic safety control system
safety control system made of non-electronic components from input device to output device
3.4
safe state
condition in which, after a fault of the safety control system, the controlled equipment, process or system
is automatically or manually stopped or switched into a mode that prevents unintended behaviour or
the potentially hazardous release of stored energy
Note 1 to entry: A safe state can also include maintaining the function (3.2) of the safety control system (e.g.
steering) in the presence of a single fault depending on the hazard being mitigated.
[SOURCE: ISO 3450:2011, 3.15, modified – "malfunction" has been replaced by "fault"; "performance"
has been replaced by "behaviour"; Note 1 to entry has been added.]
3.5
well-tried component
component for a safety-related application that has been widely used in the past with successful results
in the same or similar applications and which has been made and verified using principles which
demonstrate its suitability and reliability for safety-related applications
4 Symbols and abbreviated terms
For the purposes of this document, the following symbols and abbreviated terms apply.
a, b, c, d, e graduation of machine performance levels
ASIC application specific integrated circuit
B, 1, 2, 3, 4 denotation of categories
CCF common cause failure
DC diagnostic coverage
DC average diagnostic coverage
avg
ECU electronic control unit
EMM earth-moving machinery
ESCS electronic safety control system
FMEA failure modes and effects analysis
FMEDA failure modes, effects and diagnostics analysis
FPGA field programmable gate array
HFT hardware fault tolerance
HSR hydraulic system robustness
MCS machine control system
MPL machine performance level
MPL machine performance level achieved
a
MPL machine performance level required
r
MTTF mean time to failure
MTTF mean time to dangerous failure
d
N/ESCS non-electronic safety control system
OTE output of test equipment
SCS safety control system
SRP/CS safety-related part of the control system
TE test equipment
5 General requirements
5.1 Application
The ISO 19014 series shall be used in conjunction with the ISO 13849 series when applied to earth
moving machinery (EMM) and supersedes ISO 15998. Where specific requirements are given in this
document, they take precedence over the requirements in the ISO 13849 series; however, where no
specific requirements are given in this document, the ISO 13849 series shall apply, using PL instead of
MPL (e.g. MPL = b is analogous to PL = b). For a summary of applicable clauses in the ISO 13849 series or
this document, see Tables E.1 and E.2 in Annex E.
The principles of this document shall be applied to MCS that are deemed SCS in ISO 19014-1 or
ISO/TS 19014-5. Other machine control systems that interfere with or mute a safety function of
the safety control system shall be assigned the same machine performance level as the system it is
interfering with or muting.
Machinery shall comply with the safety requirements and/or protective/risk reduction measures of
this clause. In addition, the machine shall be designed according to the principles of ISO 12100:2010 for
relevant but not significant hazards which are not dealt with by this document. Safety related software
within any components within the SCS shall meet the requirements of ISO 19014-4:2020.
5.2 Existing SCS
Where an existing SCS has been developed to a previous standard and demonstrated through application
usage and validation to reduce the likelihood of a hazard to as low as reasonably practicable, there shall
be no requirement to update the lifecycle documentation. When the previously utilized SCS is modified,
an impact analysis (see ISO 19014-4:2020, 3.28) of the modifications shall be performed and an action
plan developed and implemented to ensure that the safety requirements are met.
6 System design
6.1 Overview
Many safety functions on mobile machines do not have run/stop outputs like non-mobile machine safety
functions normally do and are not always added to a machine purely to mitigate a hazard. For example,
steering, service brakes, swing, and equipment controls can have modulated or variable outputs within
a certain range. While these types of systems can fit into the ISO 13849 architectures, designers need
to consider how the characteristics of the safety functions can differ on a mobile machine (e.g. does the
system need closed loop control rather than open loop to address incorrect application rates, does the
system need to address hazards associated with uncommanded activation as well as failure on demand
etc.).
A safety function which relies on a control system to provide necessary hazard mitigation for the
machine can be implemented by an SCS within the scope of this document. An SCS can contain one or
more SRP/CS, and several SCS can share one or more SRP/CS (e.g. a logic unit, power control elements).
It is also possible that one SRP/CS implements both safety and non-safety functions.
NOTE For immediate action warning indicators, refer to ISO 19014-1:2018, Annex B.
Some systems on mobile machines need to maintain an operable state during a failure. While
ISO 13849-1:2015 allows for this, additional measures are necessary to ensure this happens safely and
that parallel channels do not conflict with each other and that the systems function as the requirements
for the claimed architecture specifies.
Annex C sets the minimum requirements that shall be met for utilizing systems, sub-systems and SRP/
CS developed and evaluated by methods other than the ISO 19014 series.
6.2 General requirements
After the safety functions of the SCS have been identified, the safety function requirements shall be
documented. During the safety lifecycle, safety requirements are detailed and specified in greater
detail at hierarchical levels. All safety requirements shall be described such that they are unambiguous,
consistent with other requirements, and feasible to implement.
The following design considerations shall be taken into account:
— conflicting input or output signals;
— loss of signal and actuation energies to either system (e.g. separate oil supplies for each channel,
redundant power supplies for ECUs);
— conflicting safe states required by multiple failure types that are being addressed by the system;
— systems that require fail-operational functionality;
— the assessment processes are independent from the design process;
— when SCS are designed to be used in a synchronized manner (e.g. task automation), the control
system shall be designed to mitigate hazards due to lack of synchronization.
NOTE An EMM example of this synchronization is an excavator boom, arm, and bucket being controlled
simultaneously by a grade control system.
6.3 Hardware design
The hardware structure of the SCS can provide measures (e.g. redundancy, diversity, and monitoring)
for avoiding, detecting, or tolerating faults. Practical measures can include redundancy, diversity, and
monitoring.
The hardware development process shall follow ISO 13849-1:2015 as outlined in Annex E. The designer
should begin at the system level where safety functions and associated requirements are identified.
The system may be decomposed into subsystems for easier development.
Where applicable, each phase of the development cycle shall be verified.
See Figure 1 for a depiction of the hardware development process in the form of a V-model. Any
organized, proven design process which meets the requirements of ISO 19014 may be used to complete
the design process.
Figure 1 — Hardware development V-model
7 System safety performance evaluation
7.1 Machine performance level achieved (MPL )
a
The achieved integrity of safety-related parts to perform a safety function is expressed through the
determination of the MPL .
a
The ability to perform a safety function under expected environmental conditions as specified in
ISO 19014-3 shall be demonstrated and documented.
The procedure for evaluating MPL is as follows:
a
a) identify the component operating environment and stress level;
b) identify components;
c) identify and document fault exclusions (7.2), or by using the appropriate system analysis (e.g.
FMEA, fault-tree analysis, etc.);
d) calculate the MTTF (see ISO 13849-1:2015, Annex D,), and verify the MTTF meets the required
d d
level (see ISO 13849-1:2015);
e) determine if the hardware can provide the required level of DC (ISO 13849-1:2015, Annex E). For
systems relying on software interaction to determine diagnostic coverage, this analysis can only
determine if the hardware is available to support DC, not verify that the DC requirement for the
system has been met;
f) consider CCF (see ISO 13849-1:2015, Annex F) if required;
g) consider systematic failure (ISO 13849-1:2015, Annex G);
h) consider possible interaction from other safety functions;
i) for FPGA and ASIC design, see IEC 61508-2:2010, Annexes E or F.
See Annex D for supplementary information on safety function evaluation.
7.2 Hardware safety evaluation
7.2.1 General
ISO 13849-2:2012, Annexes A to D list the faults, fault exclusions and failures for various types of
components; these lists are not exhaustive. If necessary, additional faults, fault exclusions, and failures
shall be considered and listed; in such cases, the method of evaluation should also be clearly elaborated.
A failure mode and effects analysis (FMEA), fault-tree analysis, or equivalent system analysis shall be
performed to establish the faults and fault exclusions.
7.2.2 Fault consideration
In general, the following fault criteria can be considered:
— if, because of a fault, further components fail, the first fault together with all following faults shall
be considered as a single fault;
— two or more faults having a common cause shall be considered as a single fault (known as a CCF);
— the simultaneous occurrence of two or more faults having separate causes is considered highly
unlikely and therefore need not be considered.
7.2.3 Fault exclusion
Fault exclusions are used in the development of hardware as a means of mitigating the failure
mechanisms leading to known hazards in accordance with recognized industry best practices. Fault
exclusion is a compromise between technical safety requirements and the theoretical possibility of
occurrence of a fault.
Fault exclusion can be based on the following criteria:
— the technical improbability of occurrence of some faults;
— generally accepted technical experience, independent of the considered application; and
— technical requirements related to the application and the specific hazard.
If faults are excluded, a detailed justification shall be given in the technical documentation.
Fault exclusions can be applied through the following hierarchy.
1. Fault by fault basis - after all faults are identified, some faults may be excluded based on the above
criteria; those not fault excluded may be handled by diagnostic means within the control system.
2. Component level - if all known SCS faults can be fault-excluded at a component level, then the
component can be fault-excluded entirely.
3. System level – if all faults in all components have been addressed by fault exclusion, analysis of
hydraulic systems may be performed using the HSR process in 7.4. Purely mechanical systems can
be fault excluded at the system level if components are designed to an appropriate safety factor and
maintenance requirements to maintain the correct functionality of the system are included in the
service literature per Clause 8.
7.2.4 Mean time to dangerous failure (MTTF )
d
The process for determining MTTF is outlined in ISO 13849-1:2015, 4.5.2. While ISO 13849-1
d
recommends the principle assumption of 50 % for hazardous failure rate (e.g. B = 2 × B ), lower
10d 10
failure rates may be used if supported by analysis (e.g. empirical data, FMEA).
7.3 Diagnostic coverage (DC)
7.3.1 DC of ESCS
Refer to ISO 13849-1:2015, 4.5.3.
7.3.2 DC of N/ESCS
The DC of non-electronic systems is determined by one or more of the following.
1.) Selecting the most applicable analogous type of diagnostic coverage score in ISO 13849-1:2015,
Annex E. For example, a shuttle valve comparing oil pressures and performing an action based on
those pressures is comparable to continuous monitoring; therefore, a score of 99 % may be given.
2.) Calculation of DC percentage through an FMEDA.
3.) Fault exclusion may be applicable for all or some failures. If this is done for some failures, but not
all, then the appropriate DC would need to be calculated.
4.) Direct mechanical linkage of components can be considered 99 % DC.
7.4 System-level fault reduction measures of hydraulic systems based on hydraulic
system robustness (HSR)
7.4.1 General
Evaluating the MPL of hydraulic steering and braking systems requires assessment of faults within
a
the components in the primary channel. Due to the characteristics of hydraulic components and their
application to earth-moving machinery, these faults cannot be addressed through fault detection
techniques used in electronic systems. The hydraulic system robustness (HSR) assessment score is
determined using the criteria in Table 1. The basis of this assessment is the robustness of the hydraulic
system design in safety applications on earth-moving machines. The criteria in Table 1 extend and build
on basic safety principles, criteria for fault exclusions and well-tried safety principles (e.g. as found in
ISO 13849-2:2012, as well as established best practices for the design, development and manufacturing
of hydraulic SCS).
NOTE These criteria can also be applied to hydraulic systems not used in steering and braking applications
but given that these systems are typically category 1, the use of Table 2 to calculate a DC value would not be
necessary for the analysis of a category 1 system.
7.4.2 HSR score calculation
The HSR score is defined as a percentage using the formula below:
t
r= ×100
100−q
where
r is the hydraulic system robustness (HSR);
q is the sum of the criteria that does not reduce the likelihood of the hazardous failure for the
intended safety function that the safety function mitigates;
t is the sum of the remaining applicable criteria that are met by the system.
A criterion that the system does not meet shall not be included in q. (For example, a secondary energy
source would not be an applicable criterion for a spring applied, hydraulically released system where
the safe state of the system is in the engaged state.)
Each SRP/CS in the hydraulic system being evaluated shall meet the requirements for the given criteria
to achieve a score. Partial scores are not allowed; (for example, if there are three spools and only two
meet the requirements for a given criteria then the score for the criteria would be zero).
The hydraulic systems shall follow the requirements of ISO 13849-2:2012, C.1 and C.2. Fault exclusion
may be applied at a component level if all applicable faults can be excluded per ISO 13849-2:2012,
Annex C.
Table 1 — Hydraulic system robustness scoring criteria
Ref Criteria Score
A Over-dimensioning
(for example, enough spool clearance, straightness and cylindricity)
B Countermeasures for spool adherence or spinning 10
C Countermeasures for objectionable hydraulic input
(for example, the instantaneous high pressure to both ports of a hydraulic motor)
D Secondary energy source (for example, pilot accumulator) or failsafe design during loss of
primary energy source
Table 1 (continued)
Ref Criteria Score
E Slow or stepwise progressive fault
(for example, decrease in steering assist force before significant fault)
F Hose burst mitigation (for example, piercing debris/abrasion-avoidance routing) 10
G System designed to maintain required hydraulic fluid cleanliness 10
H Countermeasures for cavitation caused by aeration in or viscosity of hydraulic fluid 10
I Countermeasures for pressure transfer problems caused by aeration in or viscosity of hy-
draulic fluid (for example, air vent circuit)
Total score
Table 2 defines the DC to which a given HSR score is correlated, and a MPL can be determined using
a
that DC value, system architecture category, MTTF and CCF adapted from ISO 13849-1:2015 Table 6.
d
See Table 3 for an explanation of Category 2M.
Table 2 — HSR to DC correlation to determine MPL
a
HSR score DC equivalent MPL
MTTF =Medium MTTF =High
d d
Category B Category 2M Category 1 Category 2M
50 % to ≤ 80 % 60 % MPL = b MPL = b MPL = c MPL = c
a a a a
>80 % 90 % MPL = b MPL = c MPL = c MPL = d
a a a a
See Annex B for examples of evaluations using HSR scoring.
7.5 Category classifications
7.5.1 General
The appropriate architecture shall be selected to meet the requirements of the system. Although the
variety of possible structures is high, the basic concepts are often similar. Thus, most structures which
are present can be mapped into one of the categories described in ISO 13849-1:2015, 6.2; however,
for some structures used in steering and braking systems, adaptation is required due to hydraulic
system characteristics specific to the earth-moving machine application. For each category, a typical
representation as a safety-related block diagram is given. These typical realizations are called
designated architectures and are listed in the context of each of the following categories.
Some SCS are highly complex and do not necessarily match one of the designated architectures exactly.
Designs fulfilling the properties of the respective category in general are equivalent to the respective
designated architecture of the category. Figures 2 and 3 show general architectures not specific
examples. A deviation from these architectures is always possible, but any deviation shall be justified
by means of appropriate analytical tools, demonstrating the system meets the required performance
level. For alternate architectures, the hardware fault tolerance (HFT), and any other requirement,
shall remain equivalent to the relevant category. The designated architectures shall be considered as
logical diagrams, not simply circuit diagrams. For categories 3 and 4, this means that not all parts are
necessarily physically redundant but that there are redundant means of assuring that a fault cannot
lead to the loss of a safety function (e.g. an ECU with parallel processing, cross monitoring and external
watch dogs is considered category 3 or 4).
Table 3 gives an overview of the categories for SCS, the requirements and the system behaviour in case
of faults. The use of well-tried components is recommended. A well-tried component for a safety-related
application shall be a component which has been:
a) widely used in the past with successful results in similar applications; or
b) made and verified using principles and technologies which demonstrate suitability and reliability
for safety-related applications. Design and verification activities used should include (where
applicable):
— fitting the definition of a well-tried component in this document;
— bench testing of load ability and functionality;
— proof testing to loads to a suitable safety factor;
— accelerated durability testing;
— computer-aided analysis and physical correlation studies;
— environmental testing per ISO 19014-3;
— supporting the required MTTF .
d
MCS that interfere with, or mute, a safety function of the SCS shall be assigned the same machine
performance level as the SCS, unless it can be shown to require a different MPL per ISO 19014-1 or
r
ISO/TS 19014-5.
Table 3 — Summary of requirements for categories
Summary of requirements CCF evalua- HFT
Category System behaviour MTTF DC
d
tion
B SRP/CS and/or their protective The occurrence of low to none NA 0
equipment, as well as their a fault can lead to medium
components, shall be designed, the loss of a safety
constructed, selected, assem- function.
bled, and combined in accord-
ance with relevant standards
so that they can withstand
the expected influence. Basic
safety principles shall be used.
1 Requirements of category B The occurrence of high none NA 0
shall apply. Well-tried com- a fault can lead to
ponents and well-tried safety the loss of a safety
principles shall be used. function. The safe
performance of the
machine is greater
than what is required
for a category B
system.
a
2 Requirements of category B The occurrence of a low low to medi- required 0
and the use of well-tried safety fault can lead to the um
principles shall apply. Safety loss of a safety func-
function shall be checked at tion, but an action to
suitable intervals by the ma- reduce the risk as-
chine control system. sociated to the fault
is taken. Faults in
the input and output
devices are detected
as appropriate and
reasonably practica-
ble at or before the
next demand upon
the safety function.
a
A category 2 architecture could be sensitive to a CCF.
Table 3 (continued)
Summary of requirements CCF evalua- HFT
Category System behaviour MTTF DC
d
tion
a
2M Requirements for category 1 The occurrence of a high for low to me- required 0
shall apply for hydraulic SRP/ fault can lead to the hydraulic dium (see
CS. Requirements for category loss of a safety func- SRP/CS, Table 2 for
2 shall apply for other tech- tion. The system’s low for hydraulic
nologies. ability to perform the other tech- compo-
function is monitored nologies nents)
or applicable faults
are fault excluded.
The system will
respond in the pres-
ence of a non-fault
excluded fault.
3 Requirements of category When a single fault low to high low to medi- required 1
B and the use of well-tried occurs the safety um
safety principles shall apply. function is always
Safety-related parts shall be performed, but an ac-
designed, so that "a single fault cumulation of unde-
in any of these parts does not tected faults can lead
lead to the loss of the safety to the loss of the safe-
function, and" whenever rea- ty function. Some
sonably practicable, the single faults in the input,
fault is detected. logic and output
devices are detected
at or before the next
demand upon the
safety function.
4 Requirements of category B When a single fault high high required 1
and the use of well-tried safety occurs, the safety
principles shall apply. Safe- function is always
ty-related parts shall be de- performed, but an
signed, so that "a single fault in accumulation of
any of these parts does not lead undetected faults can
to a loss of the safety function, lead to the loss of the
and" the single fault is detected safety function. The
at or before the next demand safe performance
upon the safety function, but of the machine is
that if this detection is not greater than what
possible, an accumulation of is required for a
undetected faults shall not category 3 system.
lead to the loss of the safety All faults in the input,
function. logic and output
devices are detected
at or before the next
demand upon the
safety function or
the accumulation of
faults cannot lead to
the loss of the safety
function.
a
A category 2 architecture could be sensitive to a CCF.
For the designated architectures described in Table 4 below the following typical assumptions are
made:
— mission time, 20 years;
— constant failure rates within the mission time;
— for category 2, demand rate ≤ 1/100 test rate (see also NOTE in ISO 13849-1:2015, Annex K); or
testing occurs immediately upon demand of the safety function and the overall time to detect the
fault and to bring the machine to a safe state (usually to stop the machine) is shorter than the time
to reach the hazard;
— for category 2, MTTF of the test channel is greater than half the MTTF base or function channel.
d, d,
Table 4 — Categories for different technologies
Category Mechanical Pneumatic Hydraulic Electronic Electrical
1 N/A
2 N/A N/A
3 P/A P/A P/A P/A
4 P/A P/A P/A P/A
Key
N/A: Not applicable
P/A: Parallel add
: Applicable
NOTE 1 For more information on P/A, see 7.6 and the examples in Annex A.
NOTE 2 Complex electronic components (e.g. PLC, microprocessor, application-specific
integrated circuit) cannot be used in a category 1 architecture.
7.5.2 Category B/Category 1
7.5.2.1 Explanation for application of category B/category 1 for N/ESCS
Most hydraulic and pneumatic valves and mechanical linkages have category B/category 1 architectures.
In the case of a hydraulic valve, the function of input, logic and output are done intrinsically in the
sp
...
NORME ISO
INTERNATIONALE 19014-2
Première édition
2022-06
Engins de terrassement — Sécurité
fonctionnelle —
Partie 2:
Conception et évaluation des
exigences de matériel et d’architecture
pour les parties relatives à la sécurité
du système de commande
Earth-moving machinery — Functional safety —
Part 2: Design and evaluation of hardware and architecture
requirements for safety-related parts of the control system
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2022
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives .1
3 Termes et définitions . 2
4 Symboles et termes abrégés .3
5 Exigences générales . .4
5.1 Application . 4
5.2 SCS existant . 4
6 Conception du système . 4
6.1 Présentation . 4
6.2 Exigences générales . 5
6.3 Conception du matériel . 5
7 Évaluation des performances de sécurité du système . 6
7.1 Niveau de performance de machine obtenu (MPL ). 6
a
7.2 Évaluation de la sécurité du matériel . 7
7.2.1 Généralités . 7
7.2.2 Prise en compte des défaillances . 7
7.2.3 Exclusion de défaillances . 7
7.2.4 Temps moyen avant défaillance dangereuse (MTTF ) . 8
d
7.3 Couverture de diagnostic (DC) . 8
7.3.1 DC de l’ESCS . 8
7.3.2 DC de N/ESCS. 8
7.4 Mesures de réduction de défaillances au niveau système des systèmes
hydrauliques basées sur la robustesse du système hydraulique (HSR) . 8
7.4.1 Généralités . 8
7.4.2 Calcul de la note de la HSR . 9
7.5 Classifications des catégories . 10
7.5.1 Généralités . 10
7.5.2 Catégorie B/Catégorie 1 .13
7.5.3 Catégorie 2 . 15
7.5.4 Fonctions de sécurité en conflit . 16
7.5.5 Considérations relatives aux SRP/CS des systèmes “opérationnels après
défaillance” . 17
7.6 Combinaison de SCS pour obtenir un MPL global . 17
8 Informations pour l’utilisation et la maintenance .19
8.1 Généralités . 19
8.2 Manuel de l’opérateur . 19
Annexe A (informative) Exemples de systèmes et d’évaluations.20
Annexe B (informative) Exemples d’évaluations à l’aide de la notation de la HSR .35
Annexe C (normative) Compatibilité avec d’autres normes de sécurité fonctionnelles .39
Annexe D (informative) Évaluation de la fonction de sécurité .40
Annexe E (normative) Exceptions, exclusions, ajouts à l’ISO 13849-1 et à l’ISO 13849-2 .41
Bibliographie . 44
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www.iso.org/iso/fr/avant-propos.html.
Le présent document a été élaboré par le comité technique ISO/TC 127 Engins de terrassement, sous-
comité SC 2 Sécurité, ergonomie et exigences générales, en collaboration avec le Comité européen
de Normalisation (CEN) Comité Technique CEN/TC 151, Machines de génie civil et de production de
matériaux de construction – Sécurité, selon l’Accord de coopération technique entre l’ISO et le CEN
(Accord de Vienne).
Cette première édition, avec l'ISO 19014-1, l’ISO 19014-3, ISO 19014-4 et ISO 19014-5, annule et
remplace les premières éditions (ISO 15998:2008 et l’ISO/TS 15998-2:2012) qui ont fait l’objet d’une
révision technique.
Les principales modifications sont les suivantes:
— élimination de procédures alternatives ECE R79, Annexe 6, et IEC 62061;
— application de l’ISO 13849-1 aux Engins de terrassement mobiles, y compris l’analyse de systèmes
de commande non électroniques utilisés dans les applications d’Engins de terrassement.
Une liste de toutes les parties de la série ISO 19014 est disponible sur le site Internet de l’ISO.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste complète de ces organismes
peut être consultée à l’adresse www.iso.org/fr/members.html.
iv
Introduction
Le présent document traite des systèmes comprenant toutes les technologies utilisées pour assurer la
sécurité fonctionnelle des engins de terrassement.
Dans le domaine de la sécurité des machines, les normes sont articulées de la façon suivante:
— Normes de type A (normes fondamentales de sécurité), contenant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines.
— Normes de type B (normes génériques de sécurité), traitant d’un ou de plusieurs aspect(s) de la
sécurité ou d’un ou de plusieurs type(s) de moyens de protection qui peuvent être utilisés pour une
large gamme de machines:
— normes de type B1, traitant d’aspects particuliers de la sécurité (par exemple, distances de
sécurité, température superficielle, bruit);
— normes de type B2, traitant de moyens de protection (par exemple, commandes bimanuelles,
dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).
— Normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité
détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type C telle que définie dans l'ISO 12100.
Le présent document est pertinent, en particulier, pour les groupes de parties prenantes suivants
représentant les acteurs du marché à l'égard de la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché, etc.).
D'autres peuvent être affectés par le niveau de sécurité des machines obtenu au moyen du document
par les groupes de parties prenantes mentionnées ci-dessus:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/employés (par exemple, syndicats, organisations pour les personnes ayant
des besoins spéciaux);
— prestataires de services, par exemple, sociétés de maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (dans le cas de machines destinées à l'utilisation par les consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer au processus
d’élaboration du présent document.
Les machines concernées et l'étendue des phénomènes dangereux, des situations et des événements
dangereux couverts, sont indiquées dans le Domaine d'application du présent document.
Lorsque des prescriptions de la présente norme de type C sont différentes de celles énoncées dans les
normes de type A ou de type B, les prescriptions de la présente norme de type C ont priorité sur les
prescriptions des autres normes pour les machines ayant été conçues et fabriquées conformément aux
prescriptions de la présente norme de type C.
Le présent document est l’adaptation de l’ISO 13849 visant à fournir une norme de type C destinée à
une application spécifique de sécurité fonctionnelle des engins de terrassement.
Le présent document doit être utilisé conjointement avec la série ISO 13849 lorsqu’elle s'applique aux
engins de terrassement (EMM) et remplace l’ISO 15998.
v
Le présent document complète les activités du cycle de vie de sécurité des systèmes de commande de
sécurité conformes à l’ISO 13849-1:2015 et à l’ISO 13849-2:2012 qui traitent des engins de terrassement
comme défini dans l’ISO 6165.
vi
NORME INTERNATIONALE ISO 19014-2:2022(F)
Engins de terrassement — Sécurité fonctionnelle —
Partie 2:
Conception et évaluation des exigences de matériel et
d’architecture pour les parties relatives à la sécurité du
système de commande
1 Domaine d’application
Le présent document spécifie les principes généraux d’élaboration et d’évaluation du niveau de
performance de machine obtenu (MPL ) des systèmes de commande de sécurité (SCS) utilisant
a
des composants alimentés par toutes les sources d’énergie (par exemple, électronique, électrique,
hydraulique, mécanique) utilisées dans les engins de terrassement et leur équipement, comme défini
dans l’ISO 6165.
Les principes du présent document s’appliquent aux systèmes de commande d’engins (MCS) qui
commandent le mouvement d’un engin ou atténuent un phénomène dangereux; ces systèmes sont
évalués pour vérifier que les exigences de niveau de performance des engins (MPL ) sont conformes à
r
l’ISO 19014-1 ou à l’ISO/TS 19014-5.
Les systèmes suivants sont exclus du domaine d’application du présent document:
— systèmes de connaissance n’ayant aucun impact sur le mouvement de l'engin (par exemple, caméras
et détecteurs radar);
— systèmes de lutte contre l’incendie, excepté si l’activation du système interfère ou active un autre
SCS.
Les autres systèmes ou composants pour lesquels les défaillances pourraient être constatées par
l’opérateur (par exemple, les essuie-glaces, les phares, l’éclairage de la cabine, etc.) ou ceux qui servent
essentiellement à protéger la propriété sont exclus du présent document. Les avertisseurs sonores sont
exclus des exigences de la couverture de diagnostic.
De plus, le présent document traite des phénomènes dangereux significatifs tels que définis dans
l’ISO 12100 atténués par les composants matériels dans le SCS.
Le présent document n’est pas applicable aux engins de terrassement fabriqués avant la date de sa
publication.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 12100, Sécurité des machines — Principes généraux de conception — Appréciation du risque et
réduction du risque
ISO 13849-1:2015, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 1: Principes généraux de conception
ISO 13849-2:2012, Sécurité des machines — Parties des systèmes de commande relatives à la sécurité —
Partie 2: Validation
ISO 19014-1, Engins de terrassement — Sécurité fonctionnelle — Partie 1: Méthodologie pour la
détermination des parties relatives à la sécurité des systèmes de commande et les exigences de performance
ISO 19014-3, Engins de terrassement — Sécurité fonctionnelle — Partie 3: Exigences pour la performance
environnementale et l'essai des composants électroniques et électriques utilisés dans les parties relatives à
la sécurité du système de commande
ISO 19014-4, Engins de terrassement — Sécurité fonctionnelle — Partie 4: Conception et évaluation du
logiciel et de la transmission des données pour les parties relatives à la sécurité du système de commande
ISO/TS 19014-5, Engins de terrassement — Sécurité fonctionnelle — Partie 5: Tableaux des niveaux de
performance
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l’ISO 12100, l’ISO 13849-1,
l’ISO 19014-1, ainsi que les suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l'adresse https:// www .electropedia .org/
3.1
ESCS
système de commande électronique de sécurité
système de commande de sécurité constitué de composants électroniques du dispositif d'entrée au
dispositif de sortie
3.2
fonction
comportement défini d'un ou de plusieurs MCS
Note 1 à l'article: Une unité de commande (par exemple, unité de commande électronique) peut exécuter plusieurs
d’une fonction. Lorsque plusieurs fonctions de sécurité sont contenues dans une unité de commande, chaque
fonction de sécurité et le circuit associé sont analysés de façon séparée.
3.3
N/ESCS
système de commande non-électronique de sécurité
système de commande de sécurité constitué de composants non-électroniques du dispositif d'entrée au
dispositif de sortie
3.4
état de sécurité
condition telle que, après une défaillance du système de commande de sécurité, le processus ou le
système de l’équipement commandé est automatiquement ou manuellement arrêté ou désactivé
de manière à empêcher tout comportement intempestif ou la libération d’énergie accumulée
potentiellement dangereuse
Note 1 à l'article: Un état de sécurité peut inclure également le maintien de la fonction (3.2) système de commande
de sécurité (par exemple, la direction) en cas de défaillance unique, selon le type de danger devant être réduit.
[SOURCE: ISO 3450:2011, 3.15, modifiée – “dysfonctionnement” a été remplacé par “défaut”;
“performance” a été remplacée par “comportement”; Note 1 à l’article a été ajouté.]
3.5
composant éprouvé
composant pour utilisation relative à la sécurité qui a été largement utilisé dans le passé avec des
résultats satisfaisants pour les mêmes utilisations ou des utilisations similaires, et qui a été fabriqué et
vérifié en utilisant les principes qui démontrent qu'il est adapté et fiable pour les utilisations relatives
à la sécurité
4 Symboles et termes abrégés
Pour les besoins du présent document, les symboles et abréviations suivants s’appliquent.
a, b, c, d, e niveaux de performance requis des machines
ASIC circuit intégré spécifique à l’application
B, 1, 2, 3, 4 dénomination des catégories
CCF défaillance de cause commune
DC couverture du diagnostic
DCavg couverture du diagnostic moyenne
ECU unité de commande électronique
EMM engin de terrassement
ESCS système de commande électronique de sécurité
FMEA analyse des modes de défaillance et de leurs effets
FMEDA analyse des modes de défaillance, de leurs effets et de leurs diagnostics
FPGA circuit logique programmable
HFT tolérance à la défaillance du matériel
HSR robustesse du système hydraulique
MCS système de commande de la machine
MPL niveau de performance de machine
MPL niveau de performance de machine obtenu
a
MPL niveau de performance de machine requis
r
MTTF temps moyen avant défaillance
MTTF temps moyen avant une défaillance dangereuse
d
N/ESCS système de commande non-électronique de sécurité
OTE sortie de l'équipement d'essai
SCS système de commande de sécurité
SRP/CS partie d'un système de commande relative à la sécurité
TE équipement d’essai
5 Exigences générales
5.1 Application
La série ISO 19014 doit être utilisée conjointement avec l’ISO 13849 lorsqu’elle s'applique aux engins
de terrassement (EMM) et remplace l’ISO 15998. Lorsque des exigences spécifiques sont données dans
le présent document, celles-ci l’emportent sur celles de la série ISO 13849; cependant, lorsqu’aucune
exigence spécifique n’est donnée dans le présent document, la série ISO 13849 doit s‘appliquer, en
utilisant PL à la place de MPL (par exemple, MPL = b est analogue à PL = b). Pour un résumé des articles
applicables dans la série ISO 13849 ou le présent document, voir Tableaux E.1 et E.2 dans l’Annexe E.
Les principes du présent document doivent être appliqués aux MCS considérés comme SCS dans
l’ISO 19014-1 ou l’ISO/TS 19014-5. Les autres systèmes de commande de machine qui perturbent ou
inhibent une fonction de sécurité du système de commande de sécurité doivent se voir attribuer le
même niveau de performance de machine que le système qu’ils perturbent ou inhibent.
Les machines doivent être conformes aux exigences de sécurité et/ou aux mesures de prévention/
réduction des risques du présent article. De plus, les machines doivent être conçues selon les principes
de l’ISO 12100:2010 pour les phénomènes dangereux pertinents mais non significatifs qui ne sont pas
traités dans le présent document. Les logiciels liés à la sécurité dans tous les composants du SCS doivent
répondre aux exigences de la norme ISO 19014-4:2020.
5.2 SCS existant
Lorsqu'un SCS existant a été élaboré conformément à une norme précédente et qu'il a été démontré
à travers l'utilisation et la validation de l'application qu'il réduisait la probabilité d'un phénomène
dangereux au niveau le plus bas pouvant raisonnablement être atteint, il n'est pas nécessaire de mettre
à jour la documentation du cycle de vie. Lorsque le SCS utilisé précédemment est modifié, une analyse
d'impact (voir ISO 19014-4:2020, 3.28) des modifications doit être effectuée et un plan d'action doit être
élaboré et mis en œuvre pour vérifier que les exigences de sécurité sont satisfaites.
6 Conception du système
6.1 Présentation
De nombreuses fonctions de sécurité des machines mobiles ne sont pas équipées de sorties marche/
arrêt comme pour les fonctions de sécurité des machines non mobiles et ces sorties ne sont pas
toujours ajoutées sur une machine uniquement pour atténuer les phénomènes dangereux. Par exemple,
les commandes de direction, de freins de service, d'orientation et des accessoires peuvent avoir des
sorties modulées ou variables dans certaines limites. Même si ce type de systèmes peut s'intégrer
dans les architectures de l’ISO 13849, les concepteurs doivent tenir compte de la manière dont les
caractéristiques des fonctions de sécurité peuvent différer sur une machine mobile (par exemple, le
système a-t-il besoin d'une commande en boucle fermée ou en boucle ouverte pour traiter les taux
d'applications incorrectes, le système doit-il traiter les phénomènes dangereux associés à une activation
non commandée ainsi que les pannes sur demande, etc.).
Une fonction de sécurité qui repose sur un système de commande visant à fournir l’atténuation des
phénomènes dangereux nécessaire pour l’engin peut être mise en œuvre par un SCS dans le cadre de
du présent document. Un SCS peut contenir un ou plusieurs SRP/CS, et plusieurs SCS peuvent partager
un ou plusieurs SRP/CS (par exemple, une unité logique, des pré-actionneurs). Une SRP/CS peut aussi
mettre en œuvre à la fois des fonctions de sécurité et des fonctions de non sécurité.
NOTE Pour les indicateurs d’avertissement d’action immédiate, voir l’ISO 19014-1:2018, Annexe B.
Certains systèmes sur les machines mobiles doivent maintenir un état de fonctionnement même en cas
de panne. Même si l’ISO 13849-1:2015 le permet, des mesures supplémentaires sont nécessaires pour
s'assurer que cela puisse se produire en toute sécurité et que les canaux parallèles ne sont pas en conflit
les uns avec les autres et que les systèmes fonctionnent conformément aux exigences de l'architecture
déclarée.
L’Annexe C définit les exigences minimales à respecter pour utiliser des systèmes, sous-systèmes et
SRP/CS développés et évalués par des méthodes autres que celles de la série ISO 19014.
6.2 Exigences générales
Une fois les fonctions de sécurité du SCS identifiées, les exigences correspondant à chaque SCS doivent
être documentées. Pendant le cycle de vie de sécurité, les exigences de sécurité sont détaillées et
spécifiées de manière plus approfondie selon des niveaux hiérarchiques. Toutes les exigences de
sécurité doivent être écrites de manière à ne pas présenter d’ambiguïtés, à être cohérentes avec les
autres exigences et à pouvoir être mises en œuvre.
Les aspects de conception suivants doivent être pris en compte:
— signaux d'entrée ou de sortie contradictoires;
— perte de signaux et d'énergie d'actionnement pour l'un ou l'autre système (par exemple, alimentation
en huile séparée pour chaque canal, alimentation redondante pour les UCE);
— les états de sécurité conflictuels requis par les multiples types de défaillance traités par le système;
— les systèmes qui exigent un concept de fonctionnement à sécurité intégrée;
— les processus d’évaluation sont indépendants du processus de conception;
— lorsque les SCS sont conçus pour être utilisés de manière synchronisée (par exemple, dans le cadre
de l’automatisation d’une tâche), le système de commande doit être conçu de manière à pouvoir
atténuer les phénomènes dangereux dus à un manque de synchronisation.
NOTE Un exemple EMM de cette synchronisation est une flèche, un bras et un godet d’une pelle hydraulique
qui doivent être commandés simultanément par un système de commande de nivellement.
6.3 Conception du matériel
La structure du matériel des SCS peut fournir des mesures (par exemple, redondance, diversité, et
surveillance) permettant d'éviter, de détecter ou de tolérer les défaillances. Les mesures pratiques
peuvent inclure la redondance, la diversité et la surveillance.
Le processus de développement matériel doit suivre l’ISO 13849-1:2015, tel que mentionné à l’Annexe E.
Il convient que le concepteur commencer au niveau du système où les fonctions de sécurité et les
exigences associées sont identifiées. Le système peut être décomposé en sous-systèmes pour faciliter
le développement.
Le cas échéant, chaque phase du cycle de développement doit être vérifiée.
La Figure 1 décrit le processus de développement matériel en forme de modèle en V. Tout processus
éprouvé organisé qui satisfait aux exigences de l’ISO 19014 peut être utilisé pour compléter le processus
de conception.
Figure 1 — Développement matériel — Modèle en V
7 Évaluation des performances de sécurité du système
7.1 Niveau de performance de machine obtenu (MPL )
a
L’intégrité obtenue des parties relatives à la sécurité à réaliser une fonction de sécurité est exprimée
via la détermination du MPL .
a
L’aptitude à réaliser une fonction de sécurité dans les conditions environnementales escomptées comme
le prévoit l’ISO 19014-3, doit être démontrée et documentée.
La procédure d’évaluation de MPL est la suivante:
a
a) identifier l’environnement de fonctionnement du composant et le niveau de contrainte;
b) choisir les composants;
c) identifier et documenter les exclusions de défaillances (7.2) ou utiliser l'analyse du système
appropriée (par exemple, AMDE, analyse par arbre de défaillances, etc.);
d) calculer le MTTF (voir ISO 13849-1:2015, Annexe D), et vérifier que le MTTF satisfait aux niveaux
d d
requis (voir ISO 13849-1:2015);
e) déterminer si le matériel peut fournir le niveau de DC requis (ISO 13849-1:2015, Annexe E). Pour
les systèmes reposant sur une interaction logicielle pour déterminer une couverture de diagnostic,
cette analyse vise à déterminer uniquement si le matériel est en mesure de supporter la DC et non
pas à vérifier que les exigences de DC du système sont satisfaites;
f) si nécessaire, prendre en compte la CCF (voir ISO 13849-1:2015, Annexe F);
g) prendre en compte la défaillance systématique (ISO 13849-1:2015, Annexe G);
h) prendre en compte une éventuelle interaction avec d'autres fonctions de sécurité;
i) pour une conception de FPGA et d’ASIC, voir IEC 61508-2:2010, Annexes E ou F.
Voir l'Annexe D pour des informations supplémentaires concernant l’évaluation de la fonction de
sécurité.
7.2 Évaluation de la sécurité du matériel
7.2.1 Généralités
L’ISO 13849-2:2012, Annexes A à D énumère les défauts, les exclusions de défauts, et les défaillances
pour plusieurs types de composants. Ces listes ne sont pas exhaustives. Si nécessaire, d’autres défauts,
exclusions de défauts, et défaillances doivent être pris en compte et être énumérés; dans de tels cas, il
convient également d’élaborer clairement la méthode d’évaluation.
Une analyse des modes de défaillance et de leurs effets (AMDE), une analyse de l'arbre des défaillances,
ou une analyse du système équivalente, doit être réalisée pour établir les défaillances et les exclusions
de défaillances.
7.2.2 Prise en compte des défaillances
En général, les critères de défaillance suivants peuvent être pris en compte:
— si, en conséquence d'une défaillance, des composants supplémentaires sont défectueux, la première
défaillance et toutes les suivantes sont considérées comme constituant une défaillance unique;
— deux défaillances ou plus ayant une cause commune doivent être considérées comme constituant
une seule défaillance (désignée défaillance de cause commune);
— l'occurrence simultanée de deux défaillances ou plus ayant pour origine des causes séparées est
considérée comme étant hautement improbable et n’est donc pas prise en compte.
7.2.3 Exclusion de défaillances
Les exclusions de défaillances sont utilisées dans le développement matériel comme moyen d’atténuer
les mécanismes de défaillance entraînant des phénomènes dangereux connus conformément aux
meilleures pratiques de l’industrie. Une exclusion de défaillance constitue un compromis entre des
exigences techniques de sécurité et la possibilité théorique de l’occurrence de la défaillance.
L'exclusion de défaillances peut reposer sur les critères suivants:
— l’improbabilité technique de l'occurrence de certaines défaillances;
— l'expérience technique généralement admise qui peut s'appliquer indépendamment de l'application
considérée; et
— des exigences techniques relatives à l'application et au phénomène dangereux spécifique.
La documentation technique doit justifier de manière détaillée toutes les défaillances exclues.
Les exclusions de défaillances peuvent s'appliquer à travers la hiérarchie suivante:
1. Sur la base de chaque défaillance examinée l’une après l’autre - une fois toutes les défaillances
identifiées, certaines d’entre elles peuvent être exclues sur la base des critères ci-dessus; les autres
défaillances peuvent être gérées par diagnostic au sein du système de commande.
2. Au niveau du composant - si toutes les défaillances de SCS connues peuvent être exclues au niveau
du composant, l’exclusion de la défaillance peut s’appliquer à la totalité du composant.
3. Au niveau du système – si toutes les défaillances dans tous les composants ont été traitées par
exclusions de défaillances, une analyse des systèmes hydrauliques peut être réalisée en utilisant le
processus HSR dans 7.4. Des systèmes purement mécaniques peuvent être exclus de défaillances au
niveau du système si des composants sont conçus selon un coefficient de sécurité approprié et que
des exigences de maintenance pour conserver la fonctionnalité correcte du système sont incluses
dans la littérature de service selon l’Article 8.
7.2.4 Temps moyen avant défaillance dangereuse (MTTF )
d
Le processus de détermination du MTTF est mentionné dans l’ISO 13849-1:2015, 4.5.2. Tandis que
d
l’ISO 13849-1 recommande l’hypothèse de principe de 50 % de défaillance dangereuse (par exemple,
B = 2 × B ), des taux de défaillance inférieurs peuvent être utilisés s’ils sont pris en charge par des
10d 10
analyses (par exemple, données empiriques, AMDE).
7.3 Couverture de diagnostic (DC)
7.3.1 DC de l’ESCS
Voir l’ISO 13849-1:2015, 4.5.3
7.3.2 DC de N/ESCS
La DC des systèmes non-électriques est déterminée de la, ou des façon(s) suivante(s).
1.) En sélectionnant le type analogue le plus applicable de la note de couverture de diagnostic dans
l’ISO 13849-1:2015, Annexe E. Par exemple, une vanne sélecteur de circuit qui compare les pressions
d'huile et exécute une action sur la base de ces pressions est comparable à une surveillance
continue. Dans ce cas, une note de 99 % peut lui être attribuée.
2.) Calcul du pourcentage de la DC via une AMDE.
3.) L’exclusion de défaillances peut être appliquée à toutes les défaillances ou seulement à certaines
d’entre elles. Si elle devait s’appliquer uniquement à certaines défaillances, il faudrait alors calculer
la DC appropriée.
4.) Le couplage mécanique direct de composants peut être considéré comme constituant une DC de
99 %.
7.4 Mesures de réduction de défaillances au niveau système des systèmes hydrauliques
basées sur la robustesse du système hydraulique (HSR)
7.4.1 Généralités
L’évaluation du MPL de systèmes de freinage et de direction hydrauliques exige une évaluation des
a
défauts des composants dans le canal principal. En raison des caractéristiques des composants
hydrauliques et de leur application aux engins de terrassement, ces défauts ne peuvent pas être traités
par des techniques de détection de défauts utilisées dans les systèmes électroniques. L’évaluation de la
note de robustesse du système hydraulique (HSR) est déterminée en utilisant les critères du Tableau 1.
Cette évaluation repose sur la robustesse de la conception du système hydraulique dans les applications
de sécurité sur les engins de terrassement. Les critères du Tableau 1 reposent sur les principes de
sécurité de base, sur les critères d’exclusion de défaillances et sur les principes de sécurité éprouvés
(par exemple, contenus dans l’ISO 13849-2:2012, ainsi qu’au travers des meilleures pratiques établies
en matière de conception, de développement et de fabrication des SCS hydrauliques).
NOTE Ces critères peuvent également être appliqués aux systèmes hydrauliques non utilisés dans les
applications de freinage et de direction, mais étant donné que ces systèmes sont généralement de catégorie 1,
l’utilisation du Tableau 2 pour calculer une valeur DC ne serait pas nécessaire pour l’analyse d’un système de
catégorie 1.
7.4.2 Calcul de la note de la HSR
La note de la HSR est définie en pourcentage à l'aide de la formule ci-dessous:
t
r= ×100
100−q
où
r est la robustesse du système hydraulique (HSR);
q est la somme des critères qui ne réduit pas la probabilité de la défaillance dangereuse pour la
fonction de sécurité prévue que la fonction de sécurité atténue;
t est la somme des critères applicables restants satisfaits par le système.
Tout critère que le système ne satisfait pas ne doit pas être inclus dans q. (Par exemple, une source
d’énergie secondaire ne serait pas un critère applicable à un système de ressort à desserrage hydraulique
lorsque l'état de sécurité du système est engagé).
Chaque SRP/CS du système hydraulique en cours d'évaluation doit satisfaire aux exigences des critères
donnés pour obtenir une note. Les notes partielles ne sont pas autorisées (par exemple, s'il y a trois
distributeurs et que seulement deux d'entre eux répondent aux exigences d'un critère donné, la note
serait de zéro pour ce critère).
Les systèmes hydrauliques doivent respecter les exigences de l’ISO 13849-2:2012, C.1 et C.2. L’exclusion
de défaillances peut être appliquée au niveau d’un composant si toutes les défaillances applicables
peuvent être exclues selon l’ISO 13849-2:2012, Annexe C.
Tableau 1 — Critères de notation de la robustesse d’un système hydraulique
Réf. Critères Note
A Surdimensionnement
(par exemple, jeu suffisant, rectitude et cylindricité des distributeurs)
B Contre-mesures de l’adhérence ou de la rotation du tiroir de la valve 10
C Contre-mesures relatives aux entrées hydrauliques prohibitives
(par exemple, pression élevée instantanée sur les deux orifices du moteur hydraulique)
D Source secondaire d’énergie (par exemple, accumulateur piloté) ou conception à sécurité
intégrée en cas de perte de la source d’énergie principale
E Défaillance lente ou progressant pas à pas
(par exemple, réduction de la force d'assistance de direction avant défaillance importante)
F Atténuation de l’éclatement du flexible (par exemple, cheminement pour éviter un perçage
du tuyau en raison de présence de particules/d’abrasion)
G Système conçu pour conserver la propreté nécessaire du fluide hydraulique 10
H Contre-mesures relatives à la cavitation due à une aération dans le fluide hydraulique ou à
sa viscosité
I Contre-mesures relatives aux problèmes de transfert de pression dus à une aération dans
le fluide hydraulique ou à sa viscosité (par exemple, circuit de ventilation)
Note totale
Le Tableau 2 définit la DC à laquelle une note donnée de la HSR est corrélée, et un MPL peut être
a
déterminé en utilisant cette valeur DC, une catégorie d’architecture du système, un MTTF et une CCF
d
adaptés de l’ISO 13849-1:2015 Tableau 6. Voir Tableau 3 pour une explication de la Catégorie 2M
Tableau 2 — Corrélation entre HSR et DC pour déterminer le MPL
a
Note de HSR Équivalent DC MPL
MTTF = moyen MTTF = élevé
d d
Catégorie B Catégorie 2M Catégorie 1 Catégorie 2M
50 % à ≤ 80 % 60 % MPL = b MPL = b MPL = c MPL = c
a a a a
> 80 % 90 % MPL = b MPL = c MPL = c MPL = d
a a a a
Voir l'Annexe B pour des exemples d’évaluations utilisant la notation de la HSR.
7.5 Classifications des catégories
7.5.1 Généralités
L’architecture appropriée doit être sélectionnée pour satisfaire aux exigences du système. Même s’il
existe une grande variété de structures possibles, les concepts de base sont souvent similaires. Ainsi,
la plupart des structures présentes peuvent être mises en correspondance avec l’une des catégories
décrites dans l’ISO 13849-1:2015, 6.2; cependant, pour certaines structures utilisées dans les systèmes
de freinage et de direction, une adaptation est requise en raison des caractéristiques des systèmes
hydrauliques spécifiques à l’application aux engins de terrassement. Une représentation type sous
forme de diagramme relatif à la sécurité est fournie pour chaque catégorie. Ces réalisations typiques
sont appelées architectures désignées et sont énumérées dans le contexte de chacune des catégories
suivantes.
Certains SCS sont très complexes et ne correspondent pas toujours exactement à l'une des architectures
désignées. Les conceptions qui satisfont les propriétés de la catégorie respective sont généralement
équivalentes à l'architecture désignée correspondante de la catégorie. Les Figures 2 et 3 présentent
des architectures générales, non des exemples spécifiques. Un écart par rapport à ces architectures est
toujours possible, mais tout écart doit être justifié au moyen d'outils analytiques appropriés, pouvant
démontrer que le système satisfait au niveau de performance requis. Pour les architectures alternatives,
la tolérance à la défaillance du matériel (HFT) et toute autre exigence doivent rester équivalentes à
la catégorie concernée. Les architectures désignées doivent être considérées comme des diagrammes
logiques et non comme de simples diagrammes de circuit. Pour les catégories 3 et 4, cela signifie que
les parties ne sont pas toutes nécessairement redondantes physiquement, mais qu'il existe des moyens
redondants pour s'assurer qu'une défaillance ne peut pas entraîner la perte d'une fonction de sécurité
(par exemple, une UCE avec traitement parallèle, surveillance croisée et chiens de garde externes serait
considérée comme se situant en catégorie 3 ou 4).
Le Tableau 3 fournit un aperçu des catégories de SCS, des exigences et du comportement du système en
cas de défaillance. L'utilisation de composants éprouvés est recommandée. Un composant éprouvé pour
une application relative à la sécurité doit être un composant qui a été:
a) largement utilisé dans le passé et en donnant de bons résultats dans des applications similaires; ou
b) réalisé et vérifié conformément à des principes et des technologies qu
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...