Professional Documents
Culture Documents
5. udgave
2014-07-17
Maskinsikkerhed –
Sikkerhedsrelaterede dele af
styresystemer – Del 2: Validering
Safety of machinery – Safety-related parts of
control systems – Part 2: Validation
Denne publikation erstatter: DS/EN ISO 13849-2:2012 som kun forelå i engelsksproget version. Der er ikke foretaget
ændringer i denne nye udgave, ud over at den danske oversættelse er indføjet.
I tilfælde af tvivl om korrektheden af den danske oversættelse henvises til den engelske version.
DS-publikationstyper
Dansk Standard udgiver forskellige publikationstyper.
Typen på denne publikation fremgår af forsiden.
DS-publikationsform
Publikationstyperne udgives i forskellig form som henholdsvis
• fuldtekstpublikation (publikationen er trykt i sin helhed)
• godkendelsesblad (publikationen leveres i kopi med et trykt DS-omslag)
• elektronisk (publikationen leveres på et elektronisk medie)
DS-betegnelse
Alle DS-publikationers betegnelse begynder med DS efterfulgt af et eller flere præfikser og et nr., fx DS 383, DS/EN 5414 osv. Hvis der efter nr.
er angivet et A eller Cor, betyder det, enten at det er et tillæg eller et rettelsesblad til hovedstandarden, eller at det er indført i
hovedstandarden.
DS-betegnelse angives på forsiden.
English Version
Sécurité des machines - Parties des systèmes de Sicherheit von Maschinen - Sicherheitsbezogene Teile von
commande relatives à la sécurité - Partie 2: Validation (ISO Steuerungen - Teil 2: Validierung (ISO 13849-2:2012)
13849-2:2012)
CEN members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European
Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical references concerning such national
standards may be obtained on application to the CEN-CENELEC Management Centre or to any CEN member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by translation
under the responsibility of a CEN member into its own language and notified to the CEN-CENELEC Management Centre has the same
status as the official versions.
CEN members are the national standards bodies of Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia,
Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania,
Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey and United
Kingdom.
© 2012 CEN All rights of exploitation in any form and by any means reserved Ref. No. EN ISO 13849-2:2012: E
worldwide for CEN national Members.
Contents Page
Foreword ..............................................................................................................................................................3
Annex ZA (informative) Relationship between this European Standard and the Essential
Requirements of EU Directive 2006/42/EC .........................................................................................4
2
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
Indholdsfortegnelse
Side
Forord..................................................................................................................................................................................... 3
Anneks ZA (informativt)
Sammenhæng mellem denne europæiske standard og
de væsentlige krav i EU-direktiv 2006/42/EF................................................................... 4
2 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
Foreword
This document (EN ISO 13849-2:2012) has been prepared by Technical Committee ISO/TC 199 “Safety of
machinery” in collaboration with Technical Committee CEN/TC 114 “Safety of machinery” the secretariat of
which is held by DIN.
This European Standard shall be given the status of a national standard, either by publication of an identical
text or by endorsement, at the latest by April 2013, and conflicting national standards shall be withdrawn at the
latest by April 2013.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. CEN [and/or CENELEC] shall not be held responsible for identifying any or all such patent rights.
This document has been prepared under a mandate given to CEN by the European Commission and the
European Free Trade Association, and supports essential requirements of EU Directive.
For relationship with EU Directive, see informative Annex ZA, which is an integral part of this document.
According to the CEN/CENELEC Internal Regulations, the national standards organisations of the following
countries are bound to implement this European Standard: Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech
Republic, Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece,
Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal,
Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey and the United Kingdom.
Endorsement notice
The text of ISO 13849-2:2012 has been approved by CEN as a EN ISO 13849-2:2012 without any
modification.
3
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
Forord
Dette dokument (EN ISO 13849-2:2012) er udarbejdet af teknisk komité ISO/TC 199, Safety of machinery, i samar-
bejde med teknisk komité CEN/TC 114, Safety of machinery, hvis sekretariat varetages af DIN.
Denne europæiske standard skal inden april 2013 have status som national standard enten ved udgivelse af en
identisk tekst eller ved formel godkendelse, og modstridende nationale standarder skal være trukket tilbage senest
april 2013.
Der gøres opmærksom på, at dele af denne standard eventuelt kan være genstand for patentrettigheder. CEN [og/
eller CENELEC] kan ikke drages til ansvar for at identificere sådanne rettigheder.
Dette dokument er udarbejdet af CEN i henhold til et mandat fra Europa-Kommissionen og EFTA, og det underbyg-
ger væsentlige krav i ét eller flere EU-direktiver.
Sammenhængen med EU-direktiver er angivet i det informative anneks ZA, der er en integreret del af dette doku-
ment.
I henhold til CEN/CENELEC’s interne regler er de nationale standardiseringsorganisationer i følgende lande forplig-
tet til at implementere denne europæiske standard: Belgien, Bulgarien, Cypern, Danmark, Den Tidligere Jugoslavi-
ske Republik Makedonien, Estland, Finland, Frankrig, Grækenland, Irland, Island, Italien, Kroatien, Letland, Litauen,
Luxembourg, Malta, Nederlandene, Norge, Polen, Portugal, Rumænien, Schweiz, Slovakiet, Slovenien, Spanien,
Storbritannien, Sverige,Tjekkiet,Tyrkiet,Tyskland, Ungarn og Østrig.
Godkendelse
Teksten i ISO 13849-2:2012 er godkendt af CEN som EN ISO 13849-1:2012 uden ændringer.
3 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
Annex ZA
(informative)
Relationship between this European Standard and the Essential
Requirements of EU Directive 2006/42/EC
This European Standard has been prepared under a mandate given to CEN by the European Commission
and the European Free Trade Association to provide a means of conforming to Essential Requirements of the
New Approach Directive Machinery, 2006/42/EC.
Once this standard is cited in the Official Journal of the European Union under that Directive and has been
implemented as a national standard in at least one Member State, compliance with the normative clauses of
this standard confers, within the limits of the scope of this standard, a presumption of conformity with the
relevant Essential Requirements 1.2.1 of that Directive and associated EFTA regulations.
WARNING — Other requirements and other EU Directives may be applicable to the product(s) falling
within the scope of this standard.
4
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
Anneks ZA
(informativt)
Denne europæiske standard er udarbejdet af CEN i henhold til et mandat fra Europa-Kommissionen og EFTA for at
tilvejebringe en metode til opfyldelse af væsentlige krav i direktiv 2006/42/EF om maskiner, der er et direktiv efter
den nye metode.
Når denne standard er blevet omtalt i Den Europæiske Unions Tidende under dette direktiv og er blevet implemen-
teret som national standard i mindst én medlemsstat, giver overensstemmelse med de normative punkter i denne
standard en formodning om, at de væsentlige krav i 1.2.1 i det pågældende direktiv og tilhørende EFTA-regulativer
er opfyldt inden for denne standards anvendelsesområde.
ADVARSEL– Andre krav og andre EU-direktiver kan gælde for de produkter, der er omfattet af denne standards
anvendelsesområde.
4 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
INTERNATIONAL ISO
STANDARD 13849-2
Second edition
2012-10-15
Reference number
ISO 13849-2:2012(E)
© ISO 2012
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Contents Page
Foreword......................................................................................................................................................................................................................................... iv
Introduction...................................................................................................................................................................................................................................v
1 Scope.................................................................................................................................................................................................................................. 1
2 Normative references....................................................................................................................................................................................... 1
3 Terms and definitions...................................................................................................................................................................................... 1
4 Validation process................................................................................................................................................................................................ 1
4.1 Validation principles........................................................................................................................................................................... 1
4.2 Validation plan......................................................................................................................................................................................... 3
4.3 Generic fault lists.................................................................................................................................................................................... 4
4.4 Specific fault lists................................................................................................................................................................................... 4
4.5 Information for validation.............................................................................................................................................................. 4
4.6 Validation record.................................................................................................................................................................................... 6
5 Validation by analysis....................................................................................................................................................................................... 6
5.1 General............................................................................................................................................................................................................ 6
5.2 Analysis techniques............................................................................................................................................................................. 7
6 Validation by testing.......................................................................................................................................................................................... 7
6.1 General............................................................................................................................................................................................................ 7
6.2 Measurement accuracy..................................................................................................................................................................... 8
6.3 More stringent requirements...................................................................................................................................................... 8
6.4 Number of test samples.................................................................................................................................................................... 8
7 Validation of safety requirements specification for safety functions............................................................ 9
8 Validation of safety functions................................................................................................................................................................... 9
9 Validation of performance levels and categories.............................................................................................................10
9.1 Analysis and testing ......................................................................................................................................................................... 10
9.2 Validation of category specifications................................................................................................................................. 10
9.3 Validation of MTTFd, DCavg and CCF................................................................................................................................... 12
9.4 Validation of measures against systematic failures related to performance level and
category of SRP/CS............................................................................................................................................................................ 13
9.5 Validation of safety-related software................................................................................................................................. 13
9.6 Validation and verification of performance level.................................................................................................... 14
9.7 Validation of combination of safety-related parts.................................................................................................. 14
10 Validation of environmental requirements............................................................................................................................15
11 Validation of maintenance requirements.................................................................................................................................15
12 Validation of technical documentation and information for use.....................................................................16
Annex A (informative) Validation tools for mechanical systems..........................................................................................17
Annex B (informative) Validation tools for pneumatic systems............................................................................................21
Annex C (informative) Validation tools for hydraulic systems................................................................................................31
Annex D (informative) Validation tools for electrical systems................................................................................................40
Annex E (informative) Example of validation of fault behaviour and diagnostic means.............................53
Bibliography.............................................................................................................................................................................................................................. 78
Indholdsfortegnelse
Side
Forord..................................................................................................................................................................................... iv
Indledning.............................................................................................................................................................................. v
1 Anvendelsesområde................................................................................................................................................... 1
2 Normative referencer.................................................................................................................................................. 1
3 Termer og definitioner................................................................................................................................................ 1
4 Valideringsproces........................................................................................................................................................ 1
4.1 Valideringsprincipper........................................................................................................................................ 1
4.2 Valideringsplan.................................................................................................................................................. 3
4.3 Lister over generiske fejl................................................................................................................................... 4
4.4 Lister over specifikke fejl.................................................................................................................................. 4
4.5 Information til validering.................................................................................................................................. 4
4.6 Valideringsregistrering..................................................................................................................................... 6
5 Validering ved analyse................................................................................................................................................ 6
5.1 Generelt.............................................................................................................................................................. 6
5.2 Analyseteknikker............................................................................................................................................... 7
6 Validering ved prøvning............................................................................................................................................. 7
6.1 Generelt.............................................................................................................................................................. 7
6.2 Målenøjagtighed............................................................................................................................................... 8
6.3 Strengere krav................................................................................................................................................... 8
6.4 Antal prøveemner............................................................................................................................................. 8
7 Validering af specifikationen af sikkerhedskrav til sikkerhedsfunktioner........................................................ 9
8 Validering af sikkerhedsfunktioner.......................................................................................................................... 9
9 Validering af PL-niveauer og kategorier.................................................................................................................. 10
9.1 Analyse og prøvning......................................................................................................................................... 10
9.2 Validering af kategorispecifikationer.............................................................................................................. 10
9.3 Validering af MTTFd, DCavg og CCF................................................................................................................. 12
9.4 Validering af foranstaltninger mod systematiske svigt relateret til den
sikkerhedsrelaterede dels PL-niveauer og kategori...................................................................................... 13
9.5 Validering af sikkerhedsrelateret software..................................................................................................... 13
9.6 Validering og verifikation af PL-niveau........................................................................................................... 14
9.7 Validering af kombinationen af sikkerhedsrelaterede dele......................................................................... 14
10 Validering af miljøkrav................................................................................................................................................ 15
11 Validering af vedligeholdelseskrav.......................................................................................................................... 15
12 Validering af teknisk dokumentation og brugerinformation.............................................................................. 16
Anneks A (informativt) Valideringsværktøjer til mekaniske systemer..................................................................... 17
Anneks B (informativt) Valideringsværktøjer til pneumatiske systemer................................................................. 21
Anneks C (informativt) Valideringsværktøjer til hydrauliske systemer.................................................................... 31
Anneks D (informativt) Valideringsværktøjer til elektriske systemer....................................................................... 40
Anneks E (informativt) Eksempel på validering af opførsel ved fejl og diagnosticeringsmidler........................ 53
Bibliografi............................................................................................................................................................................... 78
iii (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 13849-2 was prepared by Technical Committee ISO/TC 199, Safety of machinery.
This second edition cancels and replaces the first edition (ISO 13849-2:2003), which has been technically
revised in order to adapt to ISO 13849-1:2006. In addition, the new Annex E provides an example for the
validation of fault behaviour and diagnostic means.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related
parts of control systems:
— Part 1: General principles for design
— Part 2: Validation
Annexes A to D, which are informative, are structured according to Table 1.
Forord
ISO (the International Organization for Standardization) er en verdensomspændende sammenslutning af nationale
standardiseringsorganer (ISO's medlemsorganer). Internationale standarder udarbejdes normalt af ISO's tekniske
komitéer. Hvert medlemsorgan, som er interesseret i et emne, inden for hvilket der er oprettet en teknisk komité, har
ret til at være repræsenteret i den pågældende komité. Internationale organisationer, både statslige og ikke-statsli-
ge, der har en samarbejdsaftale med ISO, deltager ligeledes i arbejdet. ISO samarbejder tæt med IEC (the Internatio-
nal Electrotechnical Commission) i alle forhold vedrørende elektroteknisk standardisering.
Tekniske komitéers primære opgave er at udarbejde internationale standarder. Forslag til internationale standarder,
der er godkendt af de tekniske komitéer, sendes ud til medlemsorganerne til afstemning. Offentliggørelse som in-
ternational standard kræver godkendelse af mindst 75 % af de medlemsorganer, som afgiver deres stemme.
Der gøres opmærksom på, at dele af denne standard eventuelt kan være genstand for patentrettigheder. ISO kan
ikke drages til ansvar for at identificere sådanne rettigheder.
Denne 2. udgave ophæver og erstatter 1. udgave (ISO 13849-2:2003), hvis indhold er blevet teknisk revideret med
henblik på tilpasning i forhold til ISO 13849-1:2006. Derudover giver det nye anneks E et eksempel på validering af
opførsel ved fejl og diagnosticeringsmidler.
ISO 13849 består af følgende dele med den overordnede titel Maskinsikkerhed – Sikkerhedsrelaterede dele af styre-
systemer:
–– Del 2: Validering
Tabel
Elektrisk
D D.1 D.2 D.3 D.4 til D.21
(inkl. elektronisk)
iv (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Introduction
The structure of safety standards in the field of machinery is as follows:
a) type-A standards (basic safety standards) giving basic concepts, principles for design and general
aspects that can be applied to machinery;
b) type-B standards (generic safety standards) dealing with one safety aspect or one type of safeguard
that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (for example safety distances, surface
temperature, noise);
— type-B2 standards on safeguards (for example two-hand controls, interlocking devices,
pressure-sensitive devices, guards);
c) type-C standards (machine safety standards) dealing with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B standard as stated in ISO 12100.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and built
according to the requirements of that standard, the requirements of that type-C standard take precedence.
This part of ISO 13849 specifies the validation process for the safety functions, categories and performance
levels for the safety-related parts of control systems. It recognizes that the validation of safety-related
parts of control systems can be achieved by a combination of analysis (see Clause 5) and testing (see
Clause 6), and specifies the particular circumstances in which testing ought to be carried out.
Most of the procedures and conditions in this part of ISO 13849 are based on the assumption that the
simplified procedure for estimating the performance level (PL) described in ISO 13849-1:2006, 4.5.4, is
used. This part of ISO 13849 does not provide guidance for situations when other procedures are used
to estimate PL (e.g. Markov modelling), in which case some of its provisions will not apply and additional
requirements can be necessary.
Guidance on the general principles for the design (see ISO 12100) of safety-related parts of control
systems, regardless of the type of technology used (electrical, hydraulic, pneumatic, mechanical, etc.),
is provided in ISO 13849-1. This includes descriptions of some typical safety functions, determination
of their required performance levels, and general requirements of categories and performance levels.
Within this part of ISO 13849, some of the validation requirements are general, whereas others are
specific to the type of technology used.
lndledning
Sikkerhedsstandarder på maskinområdet inddeles efter følgende struktur:
b) type B-standarder (generiske sikkerhedsstandarder), der behandler ét sikkerhedsaspekt eller én type beskyttel-
sesanordning, der kan anvendes til en række maskiner:
c) type C-standarder (maskinsikkerhedsstandarder), der omhandler detaljerede sikkerhedskrav til en bestemt ma-
skine eller gruppe af maskiner.
For maskiner, der er omfattet af en type C-standards anvendelsesområde, og som er konstrueret og fremstillet i
henhold til kravene i type C-standarden, har kravene i type C-standarden forrang.
Denne del af ISO 13849 specificerer valideringsprocessen for sikkerhedsfunktioner, kategorier og PL-niveauer af de
sikkerhedsrelaterede dele af styresystemer. I standarden anerkendes det, at valideringen af sikkerhedsrelaterede
dele af styresystemer kan foretages ved en kombination af analyse (se pkt. 5) og prøvning (se pkt. 6), og de særlige
omstændigheder, hvorunder der bør foretages prøvning, fastlægges.
De fleste af procedurerne og betingelserne i denne del af ISO 13849 tager udgangspunkt i den antagelse, at den
forenklede metode til skøn af PL-niveauet (PL), der er beskrevet i ISO 13849-1:2006, 4.5.4, anvendes. Denne del af
ISO 13849 giver ikke vejledning til de situationer, hvor der anvendes andre metoder til skøn af PL-niveauet (fx
Markov-modeller). I disse tilfælde er nogle af bestemmelserne ikke gældende, og yderligere krav kan være nødven-
dige.
Vejledning i de generelle principper for konstruktion (se ISO 12100) af sikkerhedsrelaterede dele af styresystemer,
uanset den anvendte type teknologi (elektrisk, hydraulisk, pneumatisk, mekanisk, osv.), findes i ISO 13849-1. Dette
omfatter beskrivelse af nogle typiske sikkerhedsfunktioner, bestemmelse af de påkrævede PL-niveauer og generelle
krav til kategorier og PL-niveauer.
I denne del af ISO 13849 er nogle af valideringskravene generelle, mens andre er specifikke for den anvendte type
teknologi.
v (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
1 Scope
This part of ISO 13849 specifies the procedures and conditions to be followed for the validation by
analysis and testing of
— the specified safety functions,
— the category achieved, and
— the performance level achieved
by the safety-related parts of a control system (SRP/CS) designed in accordance with ISO 13849-1.
NOTE Additional requirements for programmable electronic systems, including embedded software, are
given in ISO 13849-1:2006, 4.6, and IEC 61508 .
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-1:2006, Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
4 Validation process
1 Anvendelsesområde
Denne del af ISO 13849 specificerer de procedurer og betingelser, der skal følges for validering ved analyse og prøv-
ning af:
–– de specificerede sikkerhedsfunktioner
af de sikkerhedsrelaterede dele af et styresystem (SRP/CS, safety-related parts of control systems), der er konstrue-
ret i overensstemmelse med ISO 13849-1.
NOTE – Yderligere krav til programmerbare elektroniske systemer, herunder indlejret software, findes i ISO 13849-1:2006, 4.6,
og IEC 61508.
2 Normative referencer
Følgende nævnte dokumenter er absolut nødvendige for anvendelsen af dette dokument. Ved daterede referencer
gælder kun den nævnte udgave. For udaterede referencer gælder den nyeste udgave af det pågældende dokument
(med eventuelle tillæg).
ISO 12100:2010, Safety of machinery – General principles for design – Risk assessment and risk reduction
ISO 13849-1:2006, Safety of machinery – Safety-related parts of control systems – Part 1: General principles for de-
sign
3 Termer og definitioner
I dette dokument gælder termerne og definitionerne i ISO 12100 og ISO 13849-1.
4 Valideringsproces
4.1 Valideringsprincipper
Formålet med valideringsprocessen er at bekræfte, at konstruktionen af SRP/CS understøtter den overordnede spe-
cifikation af sikkerhedskrav for maskinen.
Valideringen skal vise, at hver SRP/CS opfylder kravene i ISO 13849-1, og især følgende:
a) de specificerede sikkerhedsegenskaber ved de sikkerhedsfunktioner, som den pågældende del udfører, som
beskrevet i grundlaget for konstruktionen
1 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
2) the measures for control and avoidance of systematic failures (see ISO 13849-1:2006, Annex G),
3) if applicable, the requirements of the software (see ISO 13849-1:2006, 4.6), and
4) the ability to perform a safety function under expected environmental conditions;
c) the ergonomic design of the operator interface, e.g. so that the operator is not tempted to act in a
hazardous manner, such as defeating the SRP/CS (see ISO 13849-1:2006, 4.8).
Validation should be carried out by persons who are independent of the design of the SRP/CS.
NOTE “Independent person” does not necessarily mean that a third-party test is required.
Validation consists of applying analysis (see Clause 5) and executing functional tests (see Clause 6)
under foreseeable conditions in accordance with the validation plan. Figure 1 gives an overview of the
validation process. The balance between the analysis and testing depends on the technology used for
the safety-related parts and the required performance level. For Categories 2, 3 and 4 the validation of
the safety function shall also include testing under fault conditions.
The analysis should be started as early as possible in, and in parallel with, the design process. Problems
can then be corrected early while they are still relatively easy to correct, i.e. during steps “design and
technical realization of the safety function” and “evaluate the performance level PL” [the fourth and fifth
boxes down in in ISO 13849-1:2006, Figure 3]. It can be necessary for some parts of the analysis to be
delayed until the design is well developed.
Where necessary due to the system’s size, complexity or the effects of integrating it with the control
system (of the machinery), special arrangements should be made for
— validation of the SRP/CS separately before integration, including simulation of the appropriate input
and output signals, and
— validation of the effects of integrating safety-related parts into the remainder of the control system
within the context of its use in the machine.
2) foranstaltningerne til styring og undgåelse af systematiske svigt (se ISO 13849-1:2006, anneks G)
3) kravene til software, hvor det er relevant, (se ISO 13849-1:2006, 4.6)
c) ergonomisk konstruktion af operatørgrænsefladen, fx således at operatøren ikke fristes til at handle på farlig
måde, som fx omgåelse af SRP/CS (se ISO 13849-1:2006, 4.8).
Validering består i anvendelse af analyse (se pkt. 5) og udførelse af funktionsprøvninger (se pkt. 6) under forudseeli-
ge betingelser i overensstemmelse med valideringsplanen. Figur 1 viser en oversigt over valideringsprocessen.
Forholdet mellem analyse eller prøvning afhænger af den teknologi, der anvendes til de sikkerhedsrelaterede dele
og det krævede PL-niveau. For kategori 2, 3 og 4 skal valideringen af sikkerhedsfunktionen også omfatte prøvning
ved fejltilstande.
Analysen bør påbegyndes så tidligt som muligt i og parallelt med konstruktionsprocessen. Problemer kan således
blive løst tidligt, mens de stadig er relativt lette at løse, dvs. på trinnene "konstruktion og teknisk udførelse af sikker-
hedsfunktionen" og "vurder PL-niveau" [fjerde og femte boks i ISO 13849-1:2006, figur 3]. Det kan være nødvendigt
at udsætte dele af analysen, indtil konstruktionen er godt udviklet.
Hvor det er nødvendigt på grund af systemets størrelse, kompleksitet eller virkningerne af at integrere det i styresy-
stemet (til maskinen), bør der træffes særlige foranstaltninger for
–– separat validering af SRP/CS, inden de integreres, herunder simulering af de relevante indgangs- og udgangs-
signaler
2 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
“Modification of the design” in Figure 1 refers to the design process. If the validation cannot be
successfully completed, changes in the design are necessary. The validation of the modified safety-
related parts should then be repeated. This process should be iterated until all safety-related parts of
the safety functions are successfully validated.
Konstruktions-
mæssige Start
overvejelser
Kriterier for
Fejllister Analyse
fejludelukkelse
Er analyse nej
tilstrækkeligt? Prøvning
Specifikation af
sikkerhedsfunktioner
ja
Sikkerhedsfunktion
nej ja Er prøvningen
PL og kategorier: Kategori 2, 3, 4
bestået?
– bestemmelse af kategorien
– MTTFd, DC, CCF ja
– systematiske fejl nej
– software Prøvning af Modifikation af
– verifikation af PL for SRP/CS sikkerhedsfunktion konstruktionen
– kombination af SRP/CS ved fejltilstand
Miljøkrav
Registrering af
Vedligeholdelsesmæssige validering
krav
Teknisk specifikation/
brugerinformation Er alle
sikkerhedsfunk- nej
tioner valideret?
nej
Slut
"Modifikation af konstruktionen" i figur 1 henviser til konstruktionsprocessen. Hvis der ikke kan gennemføres en vel-
lykket validering, er ændringer i konstruktionen nødvendige. Valideringen af de modificerede sikkerhedsrelaterede
dele bør derefter gentages. Denne proces bør gentages, indtil der er foretaget en vellykket validering af alle sikker-
hedsrelaterede dele af sikkerhedsfunktionerne.
4.2 Valideringsplan
Valideringsplanen skal identificere og beskrive kravene til gennemførelse af valideringsprocessen for de specifice-
rede sikkerhedsfunktioner, deres kategorier og PL-niveauer.
Valideringsplanen skal også angive de metoder, der skal anvendes til at validere de specificerede sikkerhedsfunktio-
ner, kategorier og PL-niveauer. Den skal, hvor det er relevant, anføre
a) specifikationsdokumenternes identitet
3 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
For sikkerhedsrelaterede dele, der tidligere er blevet valideret efter samme specifikation, er en henvisning til denne
tidligere validering tilstrækkelig.
–– et felt til bemærkninger, der angiver årsagen til, at fejlene kan udelukkes.
Når listen over specifikke produktrelaterede fejl er udarbejdet på grundlag af de generiske lister, skal den angive
b) andre relevante fejl, der skal medtages, men som ikke er indeholdt i den generiske liste (fx fælles svigt med
samme årsag)
c) de fejl fra den generiske liste, der kan udelukkes, på grundlag af at kriterierne i de generiske lister (se ISO 13849-1:
2006, 7.3) er opfyldt
og undtagelsesvis
d) eventuelle andre fejl, som det ikke er tilladt at udelukke ifølge de generiske lister, men for hvilke der er givet en
logisk begrundelse for udelukkelse (se ISO 13849-1:2006, 7.3).
Når denne liste ikke er baseret på de generiske lister, skal konstruktøren begrunde fejludelukkelser.
a) specifikation af de krævede egenskaber for hver sikkerhedsfunktion samt sikkerhedsfunktionens krævede kate-
gori og PL-niveau
b) tegninger og specifikationer, fx for mekaniske, hydrauliske og pneumatiske dele, trykte strømkredse, montage-
kredse, indvendige ledningsføringer, kapslinger, materialer, montering
4 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Information is required on how the performance level and average probability of a dangerous failure per
hour is determined. The documentation of the quantifiable aspects shall include
— the safety-related block diagram (see ISO 13849-1:2006, Annex B) or designated architecture
(see ISO 13849-1:2006, 6.2),
— the determination of MTTFd, DCavg and CCF, and
— the determination of the category (see Table 2).
Information is required for documentation on systematic aspects of the SRP/CS.
Information is required as to how the combination of several SRP/CS achieves a performance level in
accordance with the performance level required.
e) funktionsbeskrivelse af kredsdiagrammerne
h) for andre sikkerhedsrelaterede dele end dem, der er anført i g), en liste over komponenter med komponentbe-
tegnelser, mærkeværdier, tolerancer, relevante driftsbelastninger, typebetegnelse, data om svigtrate samt kom-
ponentproducent og alle andre data, der er relevante for sikkerheden
i) analyse af alle relevante fejl (se også 4.3 og 4.4), fx dem, der er angivet i tabellerne i anneks A til D, herunder be-
grundelsen for eventuelle fejludelukkelser
–– en specifikation, der er klar og entydig, og som angiver den sikkerhedsmæssige ydeevne, softwaren skal tilveje-
bringe
–– bevis for, at softwaren er konstrueret til at opnå det krævede PL-niveau (se 9.5)
–– detaljerede oplysninger om prøvninger (især prøvningsrapporter), der er foretaget for at bevise, at den krævede
sikkerhedsmæssige ydeevne er opnået.
NOTE – Se krav i ISO 13849-1:2006, 4.6.2 og 4.6.3.
Det skal oplyses, hvordan PL-niveauet og den gennemsnitlige sandsynlighed for et farligt svigt pr. time er bestemt.
Dokumentationen af de kvantificerbare aspekter skal indeholde:
–– det sikkerhedsrelaterede blokdiagram (se ISO 13849-1:2006, anneks B) eller den udpegede arkitektur (se
ISO 13849-1:2006, 6.2)
Der skal gives oplysninger til dokumentation af systematiske aspekter ved SRP/CS.
Det skal oplyses, hvordan kombinationen af flere SRP/CS opnår et PL-niveau, der svarer til det krævede niveau.
B 1 2 3 4
Grundlæggende sikkerhedsprincipper X X X X X
Forventede driftsbelastninger X X X X X
Velgennemprøvede komponenter — X — — —
Velgennemprøvede sikkerhedsprincipper — X X X X
5 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table 2 (continued)
Category for which documentation
Documentation requirement is required
B 1 2 3 4
Mean time to dangerous failure (MTTFd) of each channel X X X X X
The check procedure of the safety function(s) — — X — —
Diagnostic measures performed, including fault reaction — — X X X
Checking intervals, when specified — — X X X
Diagnostic coverage (DCavg) — — X X X
Foreseeable single faults considered in the design and the detection — — X X X
method used
Common-cause failures (CCF) identified and how to prevent them — — X X X
Foreseeable single faults excluded — — — X X
Faults to be detected — — X X X
How the safety function is maintained in the case of each of the faults — — — X X
How the safety function is maintained for each of the combinations of — — — — X
faults
Measures against systematic faults X X X X X
Measures against software faults X — X X X
X documentation required
— documentation not required
NOTE The categories are those given in ISO 13849-1:2006.
5 Validation by analysis
5.1 General
Validation of the SRP/CS shall be carried out by analysis. Inputs to the analysis include the following:
— the safety function(s), their characteristics and the required performance level(s) identified during
the risk analysis (see ISO 13849-1:2006, Figures 1 and 3);
— the quantifiable aspects (MTTFd, DCavg and CCF);
— the system structure (e.g. designated architectures) (see ISO 13849-1:2006, Clause 6);
— the non-quantifiable, qualitative aspects which affect system behaviour (if applicable, software aspects);
— deterministic arguments.
Tabel 2 (fortsat)
Kategori, for hvilken der kræves
Dokumentationskrav dokumentation
B 1 2 3 4
X dokumentation krævet
— dokumentation ikke krævet
NOTE – Kategorierne er dem, der er anført i ISO 13849-1:2006.
4.6 Valideringsregistrering
Validering ved analyse og prøvning skal registreres. Registreringerne skal vise valideringsprocessen for hvert en-
kelt sikkerhedskrav. Der kan krydshenvises til tidligere valideringsregistreringer, forudsat at disse er korrekt identifi-
ceret.
For enhver sikkerhedsrelateret del, der ikke har bestået en del af valideringsprocessen, skal valideringsregistrerin-
gen beskrive, hvilke dele af valideringsanalysen/-prøvningen der ikke er bestået. Det skal sikres, at alle sikkerhedsre-
laterede dele genvalideres succesfuldt efter modifikation.
–– sikkerhedsfunktionerne, deres egenskaber og krævede PL-niveauer, som er identificeret ved risikoanalysen (se
ISO 13849-1:2006, figur 1 og 3)
–– de ikke-kvantificerbare, kvalitative aspekter, som påvirker den måde, hvorpå systemet opfører sig (hvor det er
relevant, softwareaspekter)
–– deterministiske argumenter.
6 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Validation of the safety functions by analysis rather than testing requires the formulation of
deterministic arguments.
NOTE 1 A deterministic argument is an argument based on qualitative aspects (e.g. quality of manufacture,
experience of use). This consideration depends on the application, which, together with other factors, can affect
the deterministic arguments.
NOTE 2 Deterministic arguments differ from other evidence in that they show that the required properties of
the system follow logically from a model of the system. Such arguments can be constructed on the basis of simple,
well-understood concepts.
b) Bottom-up (inductive) techniques are suitable for investigating the consequence of identified
single faults.
EXAMPLE Failure modes and effects analysis (FMEA, see IEC 60812) and failure modes, effects and
criticality analysis (FMECA).
6 Validation by testing
6.1 General
When validation by analysis is not conclusive, testing shall be carried out to complete the validation.
Testing is always complementary to analysis and is often necessary.
Validation tests shall be planned and implemented in a logical manner. In particular:
a) a test plan shall be produced before testing begins that shall include
1) the test specifications,
2) the required outcome of the tests for compliance, and
3) the chronology of the tests;
b) test records shall be produced that include
1) the name of the person carrying out the test,
2) the environmental conditions (see Clause 10),
3) the test procedures and equipment used,
4) the date of the test, and
5) the results of the test;
c) the test records shall be compared with the test plan to ensure that the specified functional and
performance targets are achieved.
The test sample shall be operated as near as possible to its final operating configuration, i.e. with all
peripheral devices and covers attached.
Validering af sikkerhedsfunktionerne ved analyse frem for prøvning kræver, at der formuleres deterministiske argu-
menter.
NOTE 1 – Et deterministisk argument er et argument, der er baseret på kvalitative aspekter (fx fremstillingskvalitet, erfaring
med brug). Denne betragtning afhænger af anvendelsen, som sammen med andre faktorer kan påvirke de deterministiske ar-
gumenter.
NOTE 2 – Deterministiske argumenter adskiller sig fra andre beviser ved at vise, at de krævede systemegenskaber er en logisk
følge af en model af systemet. Sådanne argumenter kan udarbejdes på grundlag af enkle og velforståede begreber.
5.2 Analyseteknikker
Valget af analyseteknik afhænger af den pågældende genstand. Der findes to grundlæggende typer af teknikker.
a) Top-down-teknikker (deduktive teknikker) er egnede til at bestemme de igangsættende hændelser, der kan med-
føre identificerede sluthændelser og beregne sandsynligheden for sluthændelser ud fra sandsynligheden for, at
de igangsættende hændelser indtræffer. De kan også anvendes til at undersøge følgerne af flere identificerede
fejl.
EKSEMPEL – Fejltræsanalyse (fault tree analysis, FTA – se IEC 61025), hændelsestræsanalyse (event tree analysis, ETA).
a) Der skal inden prøvningernes påbegyndelse udarbejdes en prøvningsplan, som skal indeholde
1) prøvningsspecifikationerne
3) prøvningernes rækkefølge.
5) prøvningsresultaterne.
c) Prøvningsregistreringerne skal sammenlignes med prøvningsplanen for at sikre, at de opstillede mål for funkti-
on og ydeevne er nået.
Prøveemnet skal betjenes under forhold så tæt som muligt på den endelige driftskonfiguration, dvs. med alle ydre
anordninger og afdækninger fastgjort.
7 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Hvor validering af sikkerhedsfunktionerne sker ved prøvning, skal valideringen foretages ved, at der afgives forskel-
lige kombinationer af indgangssignaler til SRP/CS. Den reaktion, der derved fremkommer ved udgangene, skal
sammenlignes med de relevante specificerede udgangssignaler.
Det anbefales, at kombinationen af disse indgangssignaler afgives systematisk til styresystemet og maskinen. Et
eksempel på denne logik er: tænd, start, drift, retningsændring, genstart. Hvis det er nødvendigt, skal der anvendes
et udvidet indgangsdataområde for at tage hensyn til unormale eller usædvanlige situationer med det formål at se,
hvordan SRP/CS reagerer. Sådanne kombinationer af indgangsdata skal tage hensyn til forudseelige ukorrekte
driftsmåder.
Formålet med prøvningen er bestemmende for miljøbetingelserne for den pågældende prøvning. Disse kan være
en af følgende:
Det område for betingelser, som anses for stabilt, og i hvilket prøvningerne er gyldige, bør aftales mellem konstruk-
tøren og den eller de personer, der har ansvaret for at udføre prøvningerne. Intervallet bør registreres.
6.2 Målenøjagtighed
Målenøjagtigheden i forbindelse med validering ved prøvning skal stå i et rimeligt forhold til den prøvning, der ud-
føres. Generelt gælder det, at disse målenøjagtigheder skal ligge inden for 5 K for temperaturmålinger og 5 % for
følgende:
a) tidsmålinger
b) trykmålinger
c) kraftmålinger
d) elektriske målinger
f) lineære målinger.
8 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Certain tests can permanently change the performance of some components. Where a permanent change
in a component causes the safety-related part to be incapable of meeting the requirements of further
tests, a new sample or samples shall be used for subsequent tests.
Where a particular test is destructive and equivalent results can be obtained by testing part of the
SRP/CS in isolation, a sample of that safety-related part may be used instead of the whole safety-related
part(s) for the purpose of obtaining the results of the test. This approach shall only be applied where it
has been shown by analysis that testing of a safety-related part(s) is sufficient to demonstrate the safety
performance of the whole safety-related part that performs the safety function.
Validation of the specified characteristics of the safety functions shall be achieved by the application of
appropriate measures from the following list.
— Functional analysis of schematics, reviews of the software (see 9.5).
NOTE 2 Where a machine has complex or a large number of safety functions, an analysis can reduce the
number of functional tests required.
— Simulation.
— Check of the hardware components installed in the machine and details of the associated software
to confirm their correspondence with the documentation (e.g. manufacture, type, version).
Visse prøvninger kan ændre nogle komponenters funktion permanent. Når en permanent ændring i en komponent
bevirker, at de sikkerhedsrelaterede dele ikke kan opfylde kravene ved yderligere prøvninger, skal der bruges nye
prøveemner til de efterfølgende prøvninger.
Hvor en bestemt prøvning er destruktiv, og der kan opnås ækvivalente resultater ved prøvning af en separat del af
SRP/CS, kan der anvendes et prøveeksemplar af denne sikkerhedsrelaterede del i stedet for hele den sikkerhedsre-
laterede del/alle sikkerhedsrelaterede dele med henblik på at opnå resultaterne af prøvningen. Denne metode må
kun anvendes, når det ved analyse er vist, at prøvning af en sikkerhedsrelateret del er tilstrækkelig til at bevise den
sikkerhedsmæssige ydeevne ved hele den sikkerhedsrelaterede del, der udfører sikkerhedsfunktionen.
Specifikationen af sikkerhedskrav bør analyseres, før konstruktionen påbegyndes, da enhver anden aktivitet tager
udgangspunkt i disse krav.
Det skal sikres, at kravene til alle sikkerhedsfunktionerne i maskinens styresystem er dokumenterede.
Med henblik på at validere specifikationen skal der anvendes passende foranstaltninger til at detektere systemati-
ske fejl (fejl, udeladelser eller inkonsistens).
Validering kan foretages ved gennemgang og inspektion af sikkerhedskrav og konstruktionsspecifikation(er) til SRP/
CS, især med henblik på at bevise, at alle aspekter af
er taget i betragtning.
Hvor en produktstandard specificerer sikkerhedskravene til konstruktionen af SRP/CS (fx ISO 11161 for integrerede
fremstillingssystemer eller ISO 13851 for tohåndsbetjeninger), skal der tages hensyn til disse krav.
8 Validering af sikkerhedsfunktioner
Valideringen af sikkerhedsfunktioner skal påvise, at SRP/CS eller kombinationen af SRP/CS udfører sikkerhedsfunk-
tionerne i overensstemmelse med deres specificerede egenskaber.
NOTE 1 – Tab af sikkerhedsfunktion, som ikke er på grund af fejl i hardwaren, skyldes en systematisk fejl, som kan forårsages af
fejl begået på konstruktions- og integreringstrinnene (en fejlfortolkning af sikkerhedsfunktionens egenskaber, en fejl i den logi-
ske konstruktion, en fejl i samlingen af hardware, en indtastningsfejl ved kodningen af software osv.). Nogle af disse systemati-
ske fejl afsløres i løbet af konstruktionsprocessen, mens andre afsløres i løbet af valideringsprocessen eller forbliver ubemær-
kede. Derudover er det også muligt, at der sker fejl (fx at en egenskab ikke bliver kontrolleret) i løbet af valideringsprocessen.
Validering af sikkerhedsfunktionernes specificerede egenskaber skal ske ved anvendelse af de relevante foranstalt-
ninger fra nedenstående liste:
–– Simulering.
9 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
— Functional testing of the safety functions in all operating modes of the machine, to establish
whether they meet the specified characteristics (see ISO 13849-1:2006, Clause 5, for specifications
of some typical safety functions). The functional tests shall ensure that all safety-related outputs
are realized over their complete ranges and respond to safety-related input signals in accordance
with the specification. The test cases are normally derived from the specifications but could also
include some cases derived from analysis of the schematics or software.
— Extended functional testing to check foreseeable abnormal signals or combinations of signals from
any input source, including power interruption and restoration, and incorrect operations.
— Check of the operator–SRP/CS interface for the meeting of ergonomic principles (see
ISO 13849‑1:2006, 4.8).
NOTE 3 Other measures against systematic failures mentioned in 9.4 (e.g. diversity, failure detection by
automatic tests) can also contribute in the detection of functional faults.
9.2.1 Category B
SRP/CSs to Category B shall be validated in accordance with basic safety principles (see Tables A.1, B.1,
C.1 and D.1) by demonstrating that the specification, design, construction and choice of components are
in accordance with ISO 13849-1:2006, 6.2.3. The MTTFd of the channel shall be demonstrated to be at
least 3 years. This shall be achieved by checking that the SRP/CS is in accordance with its specification as
provided in the documents for validation (see 4.5). For the validation of environmental conditions, see 6.1.
NOTE In particular cases, higher values of MTTFd can be required — for example, when PLr = b.
ware for at sikre, at disse er i overensstemmelse med dokumentationen (fx fremstilling, type, version).
–– Udvidet funktionsprøvning for at kontrollere forudseelige unormale signaler eller kombinationer af signaler fra
en vilkårlig indgangskilde, herunder afbrydelse og genetablering af energi samt fejlbetjening.
–– Kontrol af, at grænsefladen mellem operatør og SRP/CS er i overensstemmelse med ergonomiske principper (se
ISO 13849-1:2006, 4.8).
NOTE 3 – Andre foranstaltninger mod systematiske svigt, der er nævnt i 9.4 (fx diversitet, detektering af svigt via automatiske
prøvninger), kan også bidrage ved detektering af funktionsfejl.
–– prøvninger med indlagte fejl i den aktuelle kreds og fejlinitiering på de aktuelle komponenter, især på dele af sy-
stemet, hvor der er tvivl med hensyn til resultaterne af fejlanalysen (se pkt. 6)
–– en simulering af styresystemets opførsel i tilfælde af fejl, fx ved hjælp af hardware- og/eller softwaremodeller.
Til visse anvendelser kan det være nødvendigt at inddele de forbundne sikkerhedsrelaterede dele i flere funktions-
grupper og at udføre fejlsimuleringsprøvninger på disse grupper og deres grænseflader.
Når der foretages validering ved prøvning, bør prøvningerne bl.a. omfatte
–– softwaresimulering af fejl
Det nøjagtige tidspunkt, hvor en fejl indlægges i et system, kan være kritisk. Den værste effekt af at indlægge en fejl
skal bestemmes ved analyse og ved at indlægge fejlen på dette passende kritiske tidspunkt.
9.2.1 Kategori B
SRP/CS i kategori B skal valideres i overensstemmelse med grundlæggende sikkerhedsprincipper (se tabel A.1, B.1,
C.1 og D.1) ved eftervisning af, at specifikation, konstruktion, fremstilling og valg af komponenter er i overensstem-
melse med ISO 13849-1:2006, 6.2.3. Kanalens MTTFd skal påvises at være mindst 3 år. Dette skal opnås ved kontrol
af, at SRP/CS er i overensstemmelse med specifikationen, som den fremgår af dokumenterne til validering (se 4.5).
For validering af miljøbetingelser, se 6.1.
10 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
9.2.2 Category 1
9.2.3 Category 2
NOTE – I bestemte tilfælde kan højere værdier for MTTFd være påkrævet – for eksempel når PLr = b.
9.2.2 Kategori 1
SRP/CS i kategori 1 skal valideres ved eftervisning af følgende:
b) Komponenter er velgennemprøvede (se tabel A.3 og D.3) og opfylder mindst én af følgende betingelser:
1) de har tidligere været anvendt bredt til lignende formål med gode resultater
2) de er fremstillet og verificeret ud fra principper, der viser, at de er egnede og pålidelige til sikkerhedsrelatere-
de anvendelser
c) Velgennemprøvede sikkerhedsprincipper (hvor det er relevant, se tabel A.2, B.2, C.2 og D.2) er implementeret
korrekt, og hvor der er anvendt nyudviklede principper, er der foretaget validering af
2) hvordan fejl er undgået, eller sandsynligheden for, at de opstår, er blevet nedsat til et passende niveau.
Der kan anvendes relevante komponentstandarder til at bevise overensstemmelse med dette punkt (se tabel A.3 og
D.3). Kanalens MTTFd skal påvises at være mindst 30 år.
9.2.3 Kategori 2
SRP/CS i kategori 2 skal valideres ved eftervisning af følgende:
c) Kontroludstyret detekterer alle relevante fejl, der indgår én ad gangen i kontrolprocessen, og genererer et signal,
der iværksætter passende styringstiltag, som:
d) Den eller de kontroller, som kontroludstyret udfører, medfører ikke en usikker tilstand
e) Kontrollen igangsættes
i) DCavg er mindst 60 %
j) Fælles svigt med samme årsag er reduceret tilstrækkeligt (se ISO 13849-1:2006, anneks F).
NOTE 2 – I bestemte tilfælde kan højere værdier for MTTFd og/eller DCavg være påkrævet – for eksempel på grund af et højt PLr.
11 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
9.2.4 Category 3
9.2.5 Category 4
NOTE 2 For the determination of the B10d value, see e.g. IEC 60947-4-1:2010, Annex K.
The MTTFd of each channel of the SRP/CS, including application of the symmetrisation formula (see
ISO 13849-1:2006, Annex D) to dissimilar redundant channels, shall be checked for correct calculation. It
shall be ensured that the MTTFd of individual channels has been restricted to no greater than 100 years
before the symmetrisation formula is applied.
The DC values for components and/or logic blocks shall be checked for plausibility (e.g. against
measures in ISO 13849-1:2006, Annex E). The correct implementation (hardware and software) of
9.2.4 Kategori 3
SRP/CS i kategori 3 skal valideres ved eftervisning af følgende:
d) Enkeltfejl (herunder fælles fejl med samme årsag) detekteres i overensstemmelse med grundlaget for konstruk-
tionen og den anvendte teknologi
f) DCavg er mindst 60 %
g) Fælles svigt med samme årsag er reduceret tilstrækkeligt (se ISO 13849-1:2006, anneks F).
NOTE – I bestemte tilfælde kan højere værdier for MTTFd og/eller DCavg være påkrævet – for eksempel på grund af et højt PLr.
9.2.5 Kategori 4
SRP/CS i kategori 4 skal valideres ved eftervisning af følgende:
c) En enkeltfejl (herunder fælles fejl med samme symptom) medfører ikke tab af sikkerhedsfunktion
d) Enkeltfejl detekteres ved eller før næste krav til sikkerhedsfunktionen om indgriben, hvilket opnås med et DCavg
på mindst 99 %
e) Hvis en enkeltfejl ikke detekteres med et DCavg på mindst 99 %, medfører en akkumulering af fejl ikke tab af sik-
kerhedsfunktion, og omfanget af den akkumulering af fejl, som er taget i betragtning, er i overensstemmelse
med grundlaget for konstruktionen
g) Fælles svigt med samme årsag er reduceret tilstrækkeligt (se ISO 13849-1:2006, anneks F).
MTTFd-værdierne for komponenter (herunder værdier for B10d, T10d og nop) skal kontrolleres for pålidelighed (fx i
forhold til ISO 13849-1:2006, anneks C). For eksempel skal den værdi, der er angivet i leverandørens datablad, sam-
menlignes med ISO 13849-1:2006, anneks C. Hvor påstand om fejludelukkelse betyder, at bestemte komponenter
ikke bidrager til kanalens MTTFd, skal fejludelukkelsens pålidelighed kontrolleres.
NOTE 1 – En fejludelukkelse indebærer, at MTTFd er uendelig. Derfor bidrager komponenten ikke til beregningen af kanalens
MTTFd.
Hver SRP/CS-kanals MTTFd, inklusive anvendelse af symmetriseringsformlen (se ISO 13849-1:2006, anneks D) på
uens redundante kanaler, skal kontrolleres for korrekt beregning. Det skal sikres, at hver enkelt kanals MTTFd er be-
grænset til højst 100 år, før symmetriseringsformlen anvendes.
DC-værdierne for komponenter og/eller logiske blokke skal kontrolleres for pålidelighed (fx i forhold til foranstalt-
12 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
checks and diagnostics, including appropriate fault reaction, shall be validated by testing under typical
environmental conditions in use.
The DCavg of the SRP/CS shall be checked for correct calculation.
The correct implementation of sufficient measures against common-cause failures shall be validated
(e.g. against ISO 13849-1:2006, Annex F). Typical validation measures are static hardware analysis and
functional testing under environmental conditions.
NOTE 3 For the calculation of the MTTFd values of electronic components, an ambient temperature of +40 °C
is taken as a basis. During validation, it is important to ensure that, for MTTFd values, the environmental and
functional conditions (in particular temperature) taken as basis are met. Where a device, or component, is
operated significantly above (e.g. more than 15 °C) the specified temperature of +40 °C, it will be necessary to use
MTTFd values for the increased ambient temperature.
9.4 Validation of measures against systematic failures related to performance level and
category of SRP/CS
The validation of measures against systematic failures (defined in ISO 13849-1:2006, 3.1.7) related to
performance levels and categories of each SRP/CS can typically be provided by
a) inspections of design documents which confirm the application of
1) basic and well-tried safety principles (see Annexes A to D),
2) further measures for avoidance of systematic failures (see ISO 13849-1:2006, G.3), and
3) further measures for the control of systematic failures such as hardware diversity (see
ISO 13849‑1:2006, Annex G), modification protection or failure assertion programming;
b) failure analysis (e.g. FMEA);
c) fault injection tests/fault initiation;
d) inspection and testing of data communication, where used;
e) checking that a quality management system avoids the causes of systematic failures in the
manufacturing process.
In general, software can be considered a “black box” or “grey box” (see ISO 13849-1:2006, 4.6.2), and
validated by the black- or grey-box test, respectively.
Korrekt implementering af tilstrækkelige foranstaltninger mod fælles svigt med samme årsag skal valideres (fx i
forhold til ISO 13849-1:2006, anneks F).Typiske valideringsforanstaltninger er statisk hardwareanalyse og funktions-
prøvning under miljøbetingelser.
NOTE 3 – Til beregningen af elektroniske komponenters MTTFd-værdier anvendes en omgivende temperatur på +40 °C som
grundlag. Under validering er det for MTTFd-værdier vigtigt at sikre, at de miljø- og funktionsbetingelser (især temperaturen),
der anvendes som grundlag, er opfyldt. Hvor en anordning eller komponent anvendes væsentligt over (fx mere end 15 °C) den
specificerede temperatur på +40 °C, er det nødvendigt at anvende MTTFd-værdier for den øgede omgivende temperatur.
9.4 Validering af foranstaltninger mod systematiske svigt relateret til den sikkerhedsrelaterede
dels PL-niveau og kategori
Valideringen af foranstaltninger mod systematiske svigt (defineret i ISO 13849-1:2006, 3.1.7), der er relateret til hver
sikkerhedsrelateret dels PL-niveauer og kategorier kan typisk ske ved
2) yderligere foranstaltninger til at undgå systematiske svigt (se ISO 13849-1:2006, G.3)
3) yderligere foranstaltninger til styring af systematiske svigt, som fx hardwarediversitet (se ISO 13849-1:2006,
anneks G), beskyttelse mod modifikation eller defensivprogrammering.
e) kontrol af, om årsager til systematiske svigt i fremstillingsprocessen undgås ved hjælp af et kvalitetsledelsessy-
stem.
–– foranstaltninger og aktiviteter, der er gennemført ved softwareudviklingen med henblik på at undgå systemati-
ske softwarefejl.
Som første skridt kontrolleres det, at der er dokumentation for specifikationen og konstruktionen af den sikkerheds-
relaterede software. Denne dokumentation skal gennemgås for at sikre, at den er fuldstændig og ikke indeholder
fejlfortolkninger, udeladelser eller inkonsistenser.
NOTE – For mindre programmer kan det være tilstrækkeligt med en analyse af programmet i form af granskning og gennem-
gang af kontrolflow, procedurer osv., hvor softwaredokumentationen (kontrolflowdiagram, modulers eller blokkes kildekoder
og allokeringslister for I/O’er og parameterlister, krydshenvisningslister) anvendes.
Generelt kan software betragtes som "black box" eller "grey box" (se ISO 13849-1:2006, 4.6.2) og valideres ved hen-
holdsvis black box- eller grey box-prøvningen.
13 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Depending on the PLr [ISO 13849-1:2006, 4.6.2 (for SRESW) and 4.6.3 (for SRASW)], the tests should include
— black-box testing of functional behaviour and performance (e.g. timing performance),
— additional extended test cases based upon limit value analyses, recommended for PL d or e,
— I/O tests to ensure that the safety-related input and output signals are used properly, and
— test cases which simulate faults determined analytically beforehand, together with the expected
response, in order to evaluate the adequacy of the software-based measures for control of failures.
Individual software functions which have already been validated do not need to be validated again.
Where a number of such safety function blocks are combined for a specific project, however, the resulting
total safety function shall be validated.
Software documentation shall be checked to confirm that sufficient measures and activities have
been implemented against systematic software faults in accordance with the simplified V-model
(ISO 13849-1:2006, Figure 6).
The measures for software implementation according to ISO 13849-1:2006, 4.6.2 (for SRESW) and 4.6.3
(for SRASW), which depend on the PL to be attained, shall be examined with regard to their proper
implementation.
Should the safety-related software be subsequently modified, it shall be revalidated on an appropriate scale.
Afhængigt af PLr [ISO 13849-1:2006, 4.6.2 (for SRESW) og 4.6.3 (for SRASW)] bør prøvningerne omfatte
–– prøvningssituationer, hvor der simuleres fejl, som forinden er bestemt analytisk, sammen med den forventede
reaktion for at evaluere tilstrækkeligheden af de softwarebaserede foranstaltninger til styring af svigt.
De enkelte softwarefunktioner, der allerede er valideret, behøver ikke blive valideret igen. Hvor et antal af sådanne
blokke af sikkerhedsfunktioner er kombineret til et bestemt projekt, skal den samlede sikkerhedsfunktion, der opstår
derved, dog valideres.
Det skal undersøges, om foranstaltningerne til softwareimplementering i overensstemmelse med ISO 13849-1:
2006, 4.6.2 (for SRESW) og 4.6.3 (for SRASW), som afhænger af det PL-niveau, der skal nås, er korrekt gennemført.
Hvis den sikkerhedsrelaterede software efterfølgende modificeres, skal den valideres på ny i passende omfang.
–– kontrol af korrekt vurdering af PL-niveauet baseret på kategorien, DCavg og MTTFd (i henhold til ISO 13849-1:2006,
4.5.4 og anneks K)
–– verifikation af, at det PL-niveau, der er opnået af SRP/CS, er i overensstemmelse med det PL-niveau, PLr, der kræ-
ves i specifikationen af sikkerhedskrav til maskinen: PL ≥ PLr.
Hvor der anvendes andre metoder til at vurdere det opnåede PL-niveau baseret på den skønnede gennemsnitlige
sandsynlighed for farligt svigt pr. time, skal valideringen tage følgende i betragtning
–– DC
–– CCF
–– strukturen
–– en kontrol af, at SRP/CS-kombinationens samlede PL-niveau er vurderet korrekt baseret på hver enkelt sikker-
hedsrelateret dels PL-niveau (i henhold til ISO 13849-1:2006, 6.3)
14 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
NOTE A summation of the average probability of dangerous failures per hour of all combined SRP/CS
can be used as an alternative to ISO 13849-1:2006, Table 11. It is important to check the non-quantifiable
restrictions of systematic, architectural and CCF aspects which can limit the overall performance level to
lower values.
— consideration of the characteristics of the interfaces, e.g. voltage, current, pressure, data format of
information, signal level;
— failure analysis relating to combination/integration, e.g. by FMEA;
— for redundant systems, fault injection tests relating to combination/integration.
NOTE – En opsummering af alle kombinerede sikkerhedsrelaterede deles gennemsnitlige sandsynlighed for farligt svigt pr.
time kan anvendes som alternativ til ISO 13849-1:2006, tabel 11. Det er vigtigt at kontrollere de ikke-kvantificerbare begrænsnin-
ger af systematiske aspekter samt arkitektur- og CCF-aspekter, som kan begrænse det samlede PL-niveau til lavere værdier.
10 Validering af miljøkrav
Den ydeevne, der er specificeret ved konstruktionen af SRP/CS, skal valideres i forhold til de miljøbetingelser, der er
specificeret for styresystemet.
Validering skal foretages ved analyse og om nødvendigt ved prøvning. Omfanget af analyse og af prøvning vil af-
hænge af de sikkerhedsrelaterede dele, det system, hvori de er installeret, den anvendte teknologi og de miljøbetin-
gelser, der valideres. Anvendelse af data om driftspålidelighed af systemet eller dets komponenter eller bekræftelse
af overensstemmelse med relevante miljøstandarder (fx om vandtæthed, beskyttelse mod vibrationer) kan være en
hjælp ved denne valideringsproces.
–– mekanisk holdbarhed
Når det er nødvendigt at bestemme overensstemmelsen med miljøkravene ved prøvning, skal procedurerne inde-
holdt i de relevante standarder følges i det omfang, dette kræves for anvendelsen.
Når valideringen ved prøvning er afsluttet, skal sikkerhedsfunktionerne fortsat være i overensstemmelse med spe-
cifikationerne af sikkerhedskrav, eller SRP/CS skal generere udgangssignaler for sikker tilstand.
11 Validering af vedligeholdelseskrav
Valideringsprocessen skal vise, at vedligeholdelseskravene som fastlagt i ISO 13849-1:2006, pkt. 9, 2. afsnit, er op-
fyldt.
2) hvis det er relevant, at der er truffet foranstaltninger til at sikre, at kun uddannet vedligeholdelsespersonale
foretager vedligeholdelse
b) en kontrol af, at der er anvendt foranstaltninger til at lette vedligeholdelsen (fx tilvejebringelse af diagnostiske
værktøjer til hjælp ved fejlfinding og reparation).
15 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
–– foranstaltninger mod fejl i forbindelse med vedligeholdelsesarbejde (fx detektering af forkerte indgangsdata ved
hjælp af kontroller af pålidelighed)
–– foranstaltninger mod modifikationer (fx passwordbeskyttelse for at forhindre uautoriseret adgang til program-
met).
16 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Annex A
(informative)
When mechanical systems are used in conjunction with other technologies, Annex A should also be
taken into account.
Tables A.1 and A.2 list basic and well-tried safety principles.
Table A.3 lists well-tried components for a safety-related application based on the application of
well‑tried safety principles and/or a standard for their particular applications. A well-tried component
for some applications could be inappropriate for others.
Tables A.4 and A.5 list fault exclusions and their rationale. For further exclusions, see 4.4.
The precise instant at which the fault occurs can be critical (see 9.1).
Anneks A
(informativt)
Når mekaniske systemer anvendes sammen med andre teknologier, bør anneks A også tages i betragtning.
I tabel A.3 er velgennemprøvede komponenter til sikkerhedsrelateret anvendelse baseret på anvendelse af velgen-
nemprøvede sikkerhedsprincipper og/eller en standard for deres særlige anvendelse anført. En velgennemprøvet
komponent til nogle anvendelser kan være uegnet til andre anvendelser.
I tabel A.4 og A.5 er fejludelukkelser og begrundelsen for dem anført. Se 4.4 for yderligere udelukkelser.
Det præcise tidspunkt, hvor fejlen sker, kan være kritisk (se 9.1).
Korrekt valg, kombination, indretning, samling og Brug producentens anvisninger for anvendelsen, fx katalogblade,
installation af komponenter/system installationsvejledninger, specifikationer og iagttagelse af god
teknisk praksis i lignende komponenter/systemer.
Anvendelse af princippet om afbrydelse af Den sikre tilstand opnås ved at afbryde energitilførslen. Se den
energiforsyning primære handling, der skal til for at standse, i ISO 12100:2010,
6.2.11.3.
Der tilføres energi for at starte en mekanismes bevægelse. Se den
primære handling, der skal til for at starte, i ISO 12100:2010,
6.2.11.3.
Tag hensyn til forskellige tilstande, fx driftsmåde,
vedligeholdelsestilstand.
VIGTIGT – Dette princip må ikke følges, når tab af energi vil skabe
en fare, fx frigørelse af et emne ved tab af en fastholdelseskraft.
17 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table A.1 (continued)
Basic safety principle Remarks
Limitation of speed and similar parameters Consider, e.g. the speed, acceleration, deceleration
required by the application.
Proper reaction time Consider, e.g. spring tiredness, friction, lubrication, tem-
perature, inertia during acceleration and deceleration,
combination of tolerances.
Protection against unexpected start-up Consider unexpected start-up caused by stored energy and
after power supply restoration for different modes (opera-
tion mode, maintenance mode, etc.).
Special equipment for release of stored energy can be
necessary.
Special applications, e.g. to keep energy for clamping
devices or ensure a position, need to be considered sepa-
rately.
Simplification Avoid unnecessary components in the safety-related sys-
tem.
Separation Separation of safety-related functions from other func-
tions.
Proper lubrication Consider the need for lubrication devices, information on
lubricants and lubrication intervals.
Proper prevention of the ingress of fluids and dust Consider IP rating (see IEC 60529).
Begrænsning af hastighed og lignende parametre Tag hensyn til fx hastighed, acceleration og deceleration, der
kræves ved anvendelsen.
Korrekt reaktionstid Tag hensyn til fx fjedertræthed, friktion, smøring, temperatur, inerti
under acceleration og deceleration, kombination af tolerancer.
Beskyttelse mod uventet start Tag hensyn til uventet start forårsaget af oplagret energi og efter
genetablering af energiforsyningen for forskellige tilstande
(driftsmåde, vedligeholdelsestilstand osv.).
Særligt udstyr til bortledning af oplagret energi kan være
nødvendigt.
Det er nødvendigt at tage specielle anvendelser, fx at opretholde
energiforsyningen til fastholdelsesanordninger eller at sikre en
position, i betragtning separat.
Korrekt forebyggelse mod indtrængen af væsker og Tag hensyn til IP-klassifikationen (se IEC 60529).
støv
Øget OFF-kraft En sikker position/tilstand opnås ved at øge OFF-kraften i forhold til
ON-kraften.
Omhyggelig udvælgelse af fastgørelse til Undgå, at fastgørelse alene sker ved friktion.
anvendelsen
Flere dele Reduktion af virkningen af fejl ved hjælp af flere dele, der arbejder
parallelt, fx hvor et svigt i en enkelt af flere fjedre ikke medfører en
farlig tilstand.
18 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table A.2 (continued)
Well-tried safety principle Remarks
Use of well-tried spring (see also Table A.3) A well-tried spring requires
— use of carefully selected materials, manufacturing meth-
ods (e.g. pre-setting and cycling before use) and treatments
(e.g. rolling and shot-peening),
— sufficient guidance of the spring, and
— sufficient safety factor for fatigue stress (i.e. with a high
probability that a fracture will not occur).
Well-tried compression coil springs may also be designed, by
— use of carefully selected materials, manufacturing meth-
ods (e.g. pre-setting and cycling before use) and treatments
(e.g. rolling and shot-peening),
— sufficient guidance of the spring,
— clearance between the turns less than the wire diameter
when unloaded, and
— sufficient force after a fracture(s) is maintained (i.e. a
fracture(s) will not lead to a dangerous condition).
NOTE Compression springs are preferred.
Limited range of force and similar parameters Determine the necessary limitation in relation to the
experience and application. Examples are break pin, break
plate, and torque-limiting clutch.
IMPORTANT — This principle is not to be followed
when the continued integrity of components is essen-
tial to maintaining the required level of control.
Limited range of speed and similar parameters Determine the necessary limitation in relation to the expe-
rience and application. Examples are centrifugal governor,
safe monitoring of speed, and limited displacement.
Limited range of environmental parameters Determine the necessary limitations. Examples are
temperature, humidity, pollution at the installation. See
Clause 10 and consider manufacturer’s application notes.
Limited range of reaction time, limited hysteresis Determine the necessary limitations.
Consider, e.g. spring tiredness, friction, lubrication, tem-
perature, inertia during acceleration and deceleration,
combination of tolerances.
Well-tried
Conditions for “well-tried” Standard or specification
component
Screw All factors influencing the screw connection Mechanical jointing such as screws, nuts,
and the application are to be considered. See washers, rivets, pins, bolts, etc. is stand-
Table A.2. ardized.
Spring See Table A.2, “Use of well-tried spring”. Technical specifications for spring steels
and other special applications are given in
ISO 4960.
Begrænset interval for kraft og lignende parametre Bestem, hvilken begrænsning der er nødvendig ud fra erfaring og
anvendelse. Eksempler er brudstift, brudplade og skridkobling.
VIGTIGT – Dette princip må ikke følges, når den fortsatte
integritet af komponenterne er vigtig for at bevare det krævede
styringsniveau.
Begrænset interval for hastighed og lignende Bestem, hvilken begrænsning der er nødvendig ud fra erfaring og
parametre anvendelse. Eksempler på begrænsninger er mekanisk
hastighedsregulator, sikker overvågning af hastighed og
begrænset forskydning.
Begrænset interval for miljøparametre Bestem, hvilke begrænsninger der er nødvendige. Eksempler på
parametre er temperatur, fugtighed, forurening på
installationsstedet. Se pkt. 10, og tag hensyn til producentens
anvisninger for anvendelsen.
Begrænset interval for reaktionstid, begrænset Bestem, hvilke begrænsninger der er nødvendige.
hysterese
Tag hensyn til fx fjedertræthed, friktion, smøring, temperatur, inerti
under acceleration og deceleration, kombination af tolerancer.
Skrue Alle faktorer med indflydelse på skrueforbindelsen Mekaniske forbindelser med fx skruer,
og anvendelsen skal tages i betragtning. møtrikker, skiver, nitter, stifter, bolte osv. er
Se tabel A.2. standardiserede.
19 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table A.3 (continued)
Well-tried
Conditions for “well-tried” Standard or specification
component
Cam All factors influencing the cam arrangement (e.g. See ISO 14119 (interlocking devices).
part of an interlocking device) are to be consid-
ered.
See Table A.2.
Break-pin All factors influencing the application are to be —
considered. See Table A.2.
Table A.4 — Faults and fault exclusions — Mechanical devices, components and elements
(e.g. cam, follower, chain, clutch, brake, shaft, screw, pin, guide, bearing)
Brud
Stivhed/binding
Løsgørelse
20 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Annex B
(informative)
When pneumatic systems are used in conjunction with other technologies, Annex B should also be taken
into account. Where pneumatic components are electrically connected/controlled, the appropriate fault
lists in Annex D should be considered.
NOTE Additional requirements can exist in national legislation.
Anneks B
(informativt)
Når pneumatiske systemer anvendes sammen med andre teknologier, bør anneks B også tages i betragtning. Når
pneumatiske komponenter er elektrisk forbundet/styret, bør de relevante fejllister i anneks D tages i betragtning.
NOTE – National lovgivning kan indeholde yderligere krav.
Der er ikke angivet en liste over velgennemprøvede komponenter i anneks B i denne udgave. En status af "velgen-
nemprøvet" er hovedsageligt anvendelsesspecifik. Komponenter kan beskrives som "velgennemprøvede", hvis de
er i overensstemmelse med ISO 13849-1:2006, 6.2.2, og ISO 4414:2010, pkt. 5 til 7. En komponent, der er velgennem-
prøvet til nogle anvendelser, kan være uegnet til andre anvendelser.
I tabel B.3 til B.18 er fejludelukkelser og begrundelsen for dem anført. Se 4.4 for yderligere udelukkelser.
Det præcise tidspunkt, hvor fejlen sker, kan være kritisk (se 9.1).
Korrekt dimensionering og formgivning Tag hensyn til fx spænding, belastning, udmattelse, overfladeruhed,
tolerancer og fremstilling.
Korrekt valg, kombination, indretning, samling og Brug producentens anvisninger for anvendelsen, fx katalogblade,
installation af komponenter/system installationsvejledninger, specifikationer og iagttagelse af god teknisk
praksis i lignende komponenter/systemer.
Anvendelse af princippet om afbrydelse af Den sikre tilstand opnås ved at afbryde energitilførslen til alle
energiforsyning relevante anordninger. Se den primære handling, der skal til for at
standse, i ISO 12100:2010, 6.2.11.3.
Der tilføres energi for at starte en mekanismes bevægelse. Se den
primære handling, der skal til for at starte, i ISO 12100:2010, 6.2.11.3.
Tag hensyn til forskellige tilstande, fx driftsmåde,
vedligeholdelsestilstand.
Dette princip må ikke anvendes i visse tilfælde, fx hvor tab af
pneumatisk tryk vil skabe yderligere fare.
Passende fastgørelse Tag hensyn til producentens anvisninger for anvendelsen ved brug af
fx skruesikring, fittings, limning eller spændring.
Overbelastning kan undgås ved at anvende en passende
momentbelastningsteknologi.
Tilstrækkelig undgåelse af forurening af væsken Overvej filtrering og adskillelse af faste partikler og vand i væsken.
21 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table B.1 (continued)
Basic safety principle Remarks
Proper range of switching time Consider, e.g. the length of pipework, pressure, exhaust capacity,
force, spring tiredness, friction, lubrication, temperature, inertia
during acceleration and deceleration, and combination of toler-
ances.
Withstanding environmental conditions Design the equipment so that it is capable of working in all
expected environments and in any foreseeable adverse con-
ditions, e.g. temperature, humidity, vibration, pollution. See
Clause 10 and consider manufacturer’s specification/application
notes.
Protection against unexpected start-up Consider unexpected start-up caused by stored energy and after
power supply restoration for different modes, e.g. operation
mode, maintenance mode.
Special equipment for the release of stored energy can be neces-
sary (see ISO 14118:2000, 5.3.1.3).
Special applications (e.g. to keep energy for clamping devices or
ensure a position) need to be considered separately.
Simplification Avoid unnecessary components in the safety-related system.
Proper temperature range To be considered throughout the whole system.
Separation Separation of the safety-related functions from other functions
(e.g. logical separation).
Passende interval for omkoblingstider Tag hensyn til fx længde af rørledning, tryk, udluftningskapacitet, kraft,
fjedertræthed, friktion, smøring, temperatur, inerti under acceleration
og deceleration og kombination af tolerancer.
Modstand mod miljøforhold Konstruer udstyret således, at det kan fungere i alle forventede miljøer
og under alle forudseelige ugunstige betingelser, fx temperatur,
fugtighed, vibrationer, forurening. Se pkt. 10, og tag hensyn til
producentens specifikation/anvisninger for anvendelsen.
Beskyttelse mod uventet start Tag hensyn til uventet start forårsaget af oplagret energi og efter
genetablering af energiforsyningen for forskellige tilstande, fx
driftsmåde, vedligeholdelsestilstand.
Særligt udstyr til bortledning af oplagret energi kan være nødvendigt
(se ISO 14118:2000, 5.3.1.3).
Det er nødvendigt at tage særlige anvendelser i betragtning separat (fx
at opretholde energiforsyningen til fastholdelsesanordninger eller
sikre en position).
Passende undgåelse for forurening af væsken Overvej behovet for en høj grad af filtrering og adskillelse af faste
partikler og vand i væsken.
22 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table B.2 (continued)
Well-tried safety principle Remarks
Sufficient positive overlapping in spool The positive overlapping ensures the stopping function and pre-
valves vents movements that are not allowed.
Limited hysteresis For example, increased friction or a combination of tolerances
will increase the hysteresis.
Begrænset hysterese Eksempelvis vil øget friktion eller en kombination af tolerancer øge
hysteresen.
Hvis styrefunktionerne udføres af et antal ventiler med hver deres funktion, bør der foretages en fejlanalyse for hver ventil.
Samme procedure bør gennemføres for pilotventiler.
23 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table B.3 (continued)
Fault considered Fault exclusion Remarks
Change in the leakage flow rate None. —
over a long period of use
Bursting of the valve hous- Yes, if construction, dimensioning and
ing or breakage of the moving installation are in accordance with
component(s) as well as breakage/ good engineering practice.
fracture of the mounting or hous-
ing screws
For servo and proportional valves: Yes, in the case of servo and propor- —
pneumatic faults which cause tional directional valves, if these can
uncontrolled behaviour be assessed in terms of technical safety
as conventional directional control
valves, owing to their design and con-
struction.
If the control functions are realized by a number of single-function valves, then a fault analysis should be car-
ried out for each valve. The same procedure should be carried out in the case of piloted valves.
Hvis styrefunktionerne udføres af et antal ventiler med hver deres funktion, bør der foretages en fejlanalyse for hver ventil.
Samme procedure bør gennemføres for pilotventiler.
Manglende åbning, ufuldstændig Ja, hvis føringssystemet til de For en ikke-styret kuglesædeventil
åbning, manglende lukning eller bevægelige komponenter er uden dæmpningssystem er
ufuldstændig lukning (forbliven i en konstrueret på lignende måde som til føringssystemet generelt konstrueret
slutposition eller i en tilfældig en ikke-styret kuglesædeventil uden således, at der er lille sandsynlighed
mellemposition) dæmpningssystem (se bemærkning), for, at den bevægelige komponent
og hvis der anvendes sætter sig fast.
velgennemprøvede fjedre
(se tabel A.2).
For shuntventiler: samtidig lukning af Ja, hvis samtidig lukning ud fra den —
begge indgangsforbindelser bevægelige komponents fremstilling
og konstruktion er usandsynlig.
Lækage Ja, hvis der gælder normale Der gælder normale driftsbetingelser,
driftsbetingelser (se bemærkning), og når producentens betingelser er
der er tilstrækkelig behandling og overholdt.
filtrering af trykluften.
24 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table B.4 (continued)
Fault considered Fault exclusion Remarks
Change in the leakage flow rate None. —
over a long period of use
Bursting of the valve hous- Yes, if construction, dimensioning and
ing or breakage of the moving installation are in accordance with
component(s) as well as breakage/ good engineering practice.
fracture of the mounting or hous-
ing screws
Ændring i volumenstrømmen i tilfælde Ja, hvis diameteren er ≥ 0,8 mm, hvis 2) Der gælder normale
af ikke-indstillelige, cirkulære åbninger der gælder normale driftsbetingelser driftsbetingelser, når producentens
og dyser (se bemærkning 2)], og der sørges for betingelser er overholdt.
tilstrækkelig behandling og filtrering af
trykluften.
25 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Manglende åbning eller ufuldstændig Ja, hvis 1) Denne fejl gælder kun, når der
åbning, når det indstillede tryk anvendes trykventiler til
overskrides (binding eller træg –– føringssystemet til de bevægelige tvangsbevægelser, fx fastholdelse.
bevægelse af den bevægelige komponenter er konstrueret på
komponent [se bemærkning 1)] lignende måde som til en ikke-styret Denne fejl gælder ikke for den
kuglesædeventil eller normale funktion i pneumatiske
Manglende lukning eller ufuldstændig membranventil [se bemærkning 2)], systemer, fx trykbegrænsning,
lukning, hvis trykket falder til under fx til en trykreducerende ventil med tryknedsættelse.
den indstillede værdi (binding eller sekundær trykaflastning
2) For en ikke-styret kuglesædeventil
træg bevægelse af den bevægelige –– de installerede fjedre er eller en membranventil er
komponent [se bemærkning 1)] velgennemprøvede fjedre føringssystemet generelt
(se tabel A.2). konstrueret således, at der er lille
sandsynlighed for, at den
Ændring af trykstyringsforholdet uden Ja, for direkte aktiverede bevægelige komponent sætter sig
ændring af indstillingsanordningen trykbegrænsningsventiler og fast.
[se bemærkning 1)] pressostatventiler, hvis de installerede
fjedre er velgennemprøvede
(se tabel A.2).
26 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Sprængning og lækage Ja, hvis dimensionering, valg af materialer og Når der anvendes plastrør, er det
fastgørelse er i overensstemmelse med god vigtigt at tage hensyn til producentens
teknisk praksis (se bemærkning). data, især hvad angår påvirkning af
miljøet under drift, fx termisk
påvirkning, kemisk påvirkning eller
påvirkning fra stråling. Når der
anvendes stålrør, der ikke er blevet
korrosionsbehandlet, er det særlig
vigtigt at sørge for tilstrækkelig tørring
af trykluften.
Sprængning, afrivning ved Ja, hvis der til slangesamlinger er anvendt Fejludelukkelse overvejes ikke, når
fittingfastgørelsen og slanger i overensstemmelse med ISO 4079-1 eller
lækage lignende slanger (se bemærkning) med de –– den forventede levetid overskrides
tilhørende slangefittings. –– armering kan vise tegn på
udmattelse
–– ydre beskadigelse ikke kan undgås.
27 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table B.10 — Faults and fault exclusions — Pressure transmitters and pressure medium
transducers
Svigt af Ingen.
filtertilstandsindikatoren
eller -overvågningen
28 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Utilsigtet afskruning af Ja, hvis der sørges for en effektiv positiv sikring
indstillingsanordningens mod afskruning.
funktionsdele
29 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Ændring af detekterings-
eller udgangskarakteristika
Fejlbehæftet omformer Ja, for omformere uden bevægelige 1) Dette dækker fx omformning af
[se bemærkning 1)] komponenter, fx refleksdyser, hvis der gælder pneumatisk signal til et elektrisk,
normale driftsbetingelser [se bemærkning 2)], og positionsdetektering
Ændring af detekterings- der sørges for tilstrækkelig behandling og (cylinderkontakt, refleksdyse),
eller udgangskarakteristika filtrering af trykluften. forstærkning af pneumatiske
signaler.
2) Normale driftsbetingelser er
opfyldt, når producentens
betingelser er overholdt.
30 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Annex C
(informative)
When hydraulic systems are used in conjunction with other technologies, Annex C should also be taken
into account. Where hydraulic components are electrically connected/controlled, the appropriate fault
lists in Annex D should be considered.
NOTE Additional requirements can exist in national legislation.
Tables C.1 and C.2 list basic and well-tried safety principles. Air bubbles and cavitation in the hydraulic
fluid should be avoided because they can create additional hazards, e.g. unintended movements.
A list of well-tried components is not given in Annex C of this edition. The status of “well-tried” is
mainly application‑specific. Components can be described as “well-tried” if they are in accordance with
ISO 13849-1:2006, 6.2.2 and ISO 4414:2010, Clauses 5 to 7. A well-tried component for some applications
could be inappropriate for other applications.
Tables C.3 to C.12 list fault exclusions and their rationale. For further exclusions, see 4.4.
The precise instant at which the fault occurs can be critical (see 9.1).
Anneks C
(informativt)
Når hydrauliske systemer anvendes sammen med andre teknologier, bør anneks C også tages i betragtning. Når
hydrauliske komponenter er elektrisk forbundet/styret, bør de relevante fejllister i anneks D tages i betragtning.
NOTE – National lovgivning kan indeholde yderligere krav.
I tabel C.1 og C.2 er grundlæggende og velgennemprøvede sikkerhedsprincipper anført. Luftbobler og hulrum i hy-
draulikvæsken bør undgås, da de kan medføre yderligere farer, fx utilsigtede bevægelser.
Der er ikke angivet en liste over velgennemprøvede komponenter i anneks C i denne udgave. En status af "velgen-
nemprøvet" er hovedsageligt anvendelsesspecifik. Komponenter kan beskrives som "velgennemprøvede", hvis de
er i overensstemmelse med ISO 13849-1:2006, 6.2.2, og ISO 4414:2010, pkt. 5 til 7. En komponent, der er velgennem-
prøvet til nogle anvendelser, kan være uegnet til andre anvendelser.
I tabel C.3 til C.12 er fejludelukkelser og begrundelsen for dem anført. Se 4.4 for yderligere udelukkelser.
Det præcise tidspunkt, hvor fejlen sker, kan være kritisk (se 9.1).
Korrekt dimensionering og formgivning Tag hensyn til fx spænding, belastning, udmattelse, overfladeruhed,
tolerancer, fremstilling.
Korrekt valg, kombination, indretning, samling og Brug producentens anvisninger for anvendelsen, fx katalogblade,
installation af komponenter/system installationsvejledninger, specifikationer og iagttagelse af god teknisk
praksis i lignende komponenter/systemer.
Anvendelse af princippet om afbrydelse af Den sikre tilstand opnås ved at afbryde energitilførslen til alle
energiforsyning relevante anordninger. Se den primære handling, der skal til for at
standse, i ISO 12100:2010, 6.2.11.3.
Der tilføres energi for at starte en mekanismes bevægelse. Se den
primære handling, der skal til for at starte, i ISO 12100:2010, 6.2.11.3.
Tag hensyn til forskellige tilstande, fx driftsmåde,
vedligeholdelsestilstand.
Dette princip må ikke anvendes i visse tilfælde, fx hvor tab af
hydraulisk tryk vil skabe yderligere fare.
Korrekt fastgørelse Tag hensyn til producentens anvisninger for anvendelsen ved brug af
fx skruesikring, fittings, limning, spændring.
Overbelastning kan undgås ved at anvende en passende
momentbelastningsteknologi.
31 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table C.1 (continued)
Basic safety principle Remarks
Sufficient avoidance of contamination of the Consider filtration/separation of solid particles/water in the
fluid fluid.
Consider also an indication of the need for a filter service.
Proper range of switching time Consider, e.g. the length of pipework, pressure, evacuation relief
capacity, spring tiredness, friction, lubrication, temperature/vis-
cosity, inertia during acceleration and deceleration, combination
of tolerances.
Withstanding environmental conditions Design the equipment so that it is capable of working in all
expected environments and in any foreseeable adverse con-
ditions, e.g. temperature, humidity, vibration, pollution. See
Clause 10 and consider the manufacturer’s specification and
application notes.
Protection against unexpected start-up Consider unexpected start-up caused by stored energy and after
power supply restoration for different modes, e.g. operation
mode, maintenance mode.
Special equipment for release of stored energy may be necessary.
Special applications (e.g. to keep energy for clamping devices or
ensure a position) need to be considered separately.
Simplification Avoid unnecessary components in the safety-related system.
Proper temperature range To be considered throughout the whole system.
Separation Separation of safety-related functions from other functions.
Passende interval for omkoblingstider Tag hensyn til fx længde af rørledning, tryk, udluftningskapacitet,
fjedertræthed, friktion, smøring, temperatur/viskositet, inerti under
acceleration og deceleration, kombination af tolerancer.
Modstand over for miljøforhold Konstruer udstyret således, at det kan fungere i alle forventede miljøer
og under alle forudseelige ugunstige betingelser, fx temperatur,
fugtighed, vibrationer, forurening. Se pkt. 10, og tag hensyn til
producentens specifikation og anvisninger for anvendelsen.
Beskyttelse mod uventet start Tag hensyn til uventet start forårsaget af oplagret energi og efter
genetablering af energiforsyningen for forskellige tilstande, fx
driftsmåde, vedligeholdelsestilstand.
Særligt udstyr til bortledning af oplagret energi kan være nødvendigt.
Det er nødvendigt at tage særlige anvendelser (fx at opretholde
energiforsyningen til fastholdelsesanordninger eller sikre en position)
i betragtning separat.
32 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Øget OFF-kraft En løsning kan være, at fladeforholdet for bevægelse af en ventilspole til
sikker position (OFF-position) er væsentligt større end for bevægelse af
spolen til ON-position (en sikkerhedsfaktor).
Begrænset hysterese Eksempelvis vil øget friktion øge hysteresen. En kombination af tolerancer vil
også indvirke på hysteresen.
33 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Ændring af omkoblingstider Ja, i tilfælde af tvangsføring (se tabel A.2) af de 1) En særlig type cartridgeventil fås,
bevægelige komponenter, så længe den hvis
aktiverende kraft er tilstrækkelig stor, eller for
manglende åbning af en særlig type –– den aktive flade for igangsætning af
cartridgeventil, når denne anvendes sammen den sikkerhedsrelaterede
med mindst én anden ventil til styring af væskens omskiftebevægelse er mindst 90 %
hovedstrømning [se bemærkning 1)]. af den bevægelige komponents
(løfteventils) samlede flade
Manglende omkobling Ja, i tilfælde af tvangsføring (se tabel A.2) af de –– det effektive styretryk på den aktive
(forbliven i slut- eller bevægelige komponenter, så længe den flade kan øges til det maksimale
nulposition) eller aktiverende kraft er tilstrækkelig stor, eller for arbejdstryk (i overensstemmelse
ufuldstændig omkobling manglende åbning af en særlig type med ISO 5598:2008, 3.2.429)
(forbliven i en tilfældig cartridgeventil, når denne anvendes sammen afhængigt af forholdet ved den
mellemposition) med mindst én anden ventil til styring af væskens pågældende sædeventil
hovedstrømning [se bemærkning 1)].
–– det effektive styretryk på fladen
modsat den bevægelige
komponents aktive flade aflastes til
en meget lav værdi sammenlignet
med det maksimale arbejdstryk, fx
modtryk i tilfælde af trykventiler eller
forsyningstryk i tilfælde af suge-/
fyldeventiler
–– den bevægelige komponent
(løfteventil) er forsynet med
aflastningsriller i periferien
–– pilotventilerne til denne sædeventil
er konstrueret sammen i en
manifoldblok (dvs. uden
slangeledninger og rør til tilslutning
af disse ventiler).
Automatisk ændring af Ja, i tilfælde af tvangsføring (se tabel A.2) af de 2) Normale installations- og
udgangspositionen (uden bevægelige komponenter, så længe holdekraften driftsbetingelser gælder, når
indgangssignal) er tilstrækkelig stor, eller hvis der anvendes
velgennemprøvede fjedre (se tabel A.2), og der –– producentens betingelser er
gælder normale installations- og driftsbetingelser overholdt
[se bemærkning 2)], eller for manglende åbning –– vægten af de bevægelige
af en særlig type cartridgeventil, når denne komponenter ikke virker på en
anvendes sammen med mindst én anden ventil ugunstig måde set ud fra et
til styring af væskens hovedstrømning [se sikkerhedsmæssigt synspunkt, fx
bemærkning 1)], og hvis der gælder normale horisontal installation
installations- og driftsbetingelser
[se bemærkning 2)]. –– ingen særlige inertikræfter påvirker
de bevægelige komponenter, fx når
bevægelsesretningen tager hensyn
til retningen af de bevægelige
maskindele
–– der ikke forekommer ekstreme
vibrationer og chok.
Lækage Ja, i tilfælde af sædeventiler, hvis der gælder Der gælder normale installations- og
normale installations- og driftsbetingelser (se driftsbetingelser, når producentens
bemærkning), og der er sørget for et tilstrækkeligt betingelser er overholdt.
filtreringssystem.
Hvis styrefunktionerne udføres af et antal ventiler med hver deres funktion, bør der foretages en fejlanalyse for hver ventil.
Samme procedure bør gennemføres for pilotventiler.
34 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table C.3 (continued)
Fault considered Fault exclusion Remarks
Change in the leakage None. —
flow rate over a long
period of use
Bursting of the valve Yes, if construction, dimensioning and instal-
housing or breakage of lation are in accordance with good engineer-
the moving component(s) ing practice.
as well as breakage/frac-
ture of the mounting or
housing screws
For servo and propor- Yes, in the case of servo and proportional
tional valves: hydraulic directional valves, if these can be assessed in
faults which cause uncon- terms of safety as conventional directional
trolled behaviour control valves, owing to their design and con-
struction.
If the control functions are realized by a number of single-function valves, then a fault analysis should be car-
ried out for each valve. The same procedure should be carried out in the case of piloted valves.
Hvis styrefunktionerne udføres af et antal ventiler med hver deres funktion, bør der foretages en fejlanalyse for hver ventil.
Samme procedure bør gennemføres for pilotventiler.
Manglende åbning, Ja, hvis føringssystemet til de bevægelige For en ikke-styret kuglesædeventil
ufuldstændig åbning, komponenter er konstrueret på lignende måde uden dæmpningssystem er
manglende lukning eller som til en ikke-styret kuglesædeventil uden føringssystemet generelt konstrueret
ufuldstændig lukning dæmpningssystem (se bemærkning), og hvis der således, at der er lille sandsynlighed
(forbliven i en slutposition anvendes velgennemprøvede fjedre for, at den bevægelige komponent
eller i en tilfældig (se tabel A.2). sætter sig fast.
mellemposition)
For shuntventiler: samtidig Ja, hvis samtidig lukning ud fra den bevægelige —
lukning af begge komponents fremstilling og konstruktion er
indgangsforbindelser usandsynlig.
Lækage Ja, hvis der gælder normale driftsbetingelser (se Der gælder normale driftsbetingelser,
bemærkning), og der er sørget for et tilstrækkeligt når producentens betingelser er
filtreringssystem. overholdt.
35 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table C.4 (continued)
Fault considered Fault exclusion Remarks
Change in the leakage None. —
flow rate over a long
period of use
Bursting of the valve Yes, if construction, dimensioning and instal-
housing or breakage of lation are in accordance with good engineer-
the moving component(s) ing practice.
as well as breakage/frac-
ture of the mounting or
housing screws
Utilsigtet løsgørelse Ja, hvis der sørges for en effektiv positiv sikring
(afskruning) af mod løsgørelse (afskruning).
indstillingsanordningens
funktionsdele
36 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Manglende åbning eller Ja, for manglende åbning af en særlig type 1) Denne fejl gælder kun, når der
ufuldstændig åbning (vej- cartridgeventil, når denne anvendes sammen anvendes trykventiler til
og tidsmæssigt), når det med mindst én anden ventil til styring af væskens tvangsbevægelser, fx fastholdelse,
indstillede tryk overskrides hovedstrømning [se bemærkning 1] i tabel C.3, og til styring af farlige bevægelser,
(binding eller træg eller hvis føringssystemet til de bevægelige fx ophæng af belastninger. Denne
bevægelse af den komponenter ligner systemet til en ikke-styret fejl gælder ikke for den normale
bevægelige komponent) kuglesædeventil uden dæmpningsanordning [se funktion i hydrauliske systemer, fx
[se bemærkning 1)] bemærkning 2)], og hvis de anvendte fjedre er trykbegrænsning, tryknedsættelse.
velgennemprøvede (se tabel A.2).
Manglende lukning eller 2) For en ikke-styret kuglesædeventil
ufuldstændig lukning (vej- uden dæmpningsanordning er
og tidsmæssigt), hvis trykket føringssystemet generelt
falder til under den konstrueret således, at der er lille
indstillede værdi (binding sandsynlighed for, at den
eller træg bevægelse af den bevægelige komponent sætter sig
bevægelige komponent) [se fast.
bemærkning 1)]
Utilsigtet afskruning af Ja, hvis der sørges for en effektiv positiv sikring
indstillingsanordningens mod afskruning.
funktionsdele
Lækage Ja, for sædeventiler, hvis der gælder normale Der gælder normale driftsbetingelser,
driftsbetingelser (se bemærkning), og der er når producentens betingelser er
sørget for et tilstrækkeligt filtreringssystem. overholdt.
37 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Svigt ved forbindelseselementet (fx Ja, hvis der anvendes svejste fittings –
afrivning, lækage) eller svejste flanger eller bertlede
fittings, og dimensionering, valg af
materialer, fremstilling, konfiguration
og fastgørelse er i overensstemmelse
med god teknisk praksis.
Lækage (tab af tæthed) Ingen (se bemærkning). På grund af slid, ældning, forringelse
af elasticitet osv. er det ikke muligt at
udelukke fejl over et langt tidsrum. Et
pludseligt større svigt af tæthed er ikke
forudsat.
38 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Svigt/brud ved det adskillende element Ja, i tilfælde af cylinder-/ Der skal ikke tages hensyn til en
mellem gas og væske stempeloplagring (se bemærkning). pludselig større lækage.
39 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Annex D
(informative)
D.1 General
When electrical systems are used in conjunction with other technologies, Annex D should also be taken
into account.
The environmental conditions of IEC 60204-1 apply to the validation process. If other environmental
conditions are specified, they should also be taken into account.
Tables D.1 and D.2 list basic and well-tried safety principles.
The components listed in Table D.3 are considered to be “well-tried” when they comply with the
description given in ISO 13849-1:2006, 6.2.4. The standards listed in Table D.3 can be used to demonstrate
their suitability and reliability for a particular application. A well-tried component for some applications
could be inappropriate for other applications.
NOTE Complex electronic components, such as programmable logic controllers (PLCs), microprocessors and
application-specific integrated circuits, cannot be considered equivalent to the “well-tried” components.
Clause D.2 and Tables D.4 to D.18 list fault exclusions and their rationale. For further exclusions, see 4.4.
For validation, both permanent faults and transient disturbances should be considered.
The precise instant at which the fault occurs can be critical (see 9.1).
Anneks D
(informativt)
D.1 Generelt
Når elektriske systemer anvendes sammen med andre teknologier, bør anneks D også tages i betragtning.
Miljøbetingelserne i IEC 60204-1 gælder for valideringsprocessen. Hvis der er specificeret andre miljøbetingelser,
bør disse også tages i betragtning.
De komponenter, der er anført i tabel D.3, anses for at være "velgennemprøvede", når de er i overensstemmelse
med beskrivelsen i ISO 13849-1:2006, 6.2.4. De standarder, der er anført i tabel D.3, kan anvendes til at påvise kom-
ponenternes egnethed og pålidelighed til en bestemt anvendelse. En komponent, der er velgennemprøvet til nogle
anvendelser, kan være uegnet til andre anvendelser.
NOTE – Komplekse elektroniske komponenter, som fx programmerbare logiske styringer (programmable logic controller –
PLC), mikroprocessorer, anvendelsesspecifikke integrerede kredse, kan ikke anses for at være "velgennemprøvede" kompo-
nenter.
I pkt. D.2 og tabel D.4 til D.18 er fejludelukkelser og begrundelsen for dem anført. Se 4.4 for yderligere udelukkelser.
Ved validering bør både permanente fejl og midlertidige forstyrrelser tages i betragtning.
Det præcise tidspunkt, hvor fejlen sker, kan være kritisk (se 9.1).
Anvendelse af egnede materialer og Valg af materiale samt fremstillings- og behandlingsmetoder i relation til fx
fremstillingsmetoder spænding, holdbarhed, elasticitet, friktion, slid, korrosion, temperatur,
ledningsevne, dielektrisk styrke.
Korrekt dimensionering og formgivning Tag hensyn til fx spænding, belastning, udmattelse, overfladeruhed,
tolerancer, fremstilling.
Korrekt valg, kombination, indretning, Brug producentens anvisninger for anvendelsen, fx katalogblade,
samling og installation af komponenter/ installationsvejledninger, specifikationer og iagttagelse af god teknisk praksis.
system
Korrekt beskyttelseskreds Den ene side af styrekredsen, den ene klemme af hver elektromagnetisk
styreindretnings magnetspole eller af enhver anden elektrisk indretning er
forbundet til beskyttelseskredsen (se IEC 60204-1:2005), 9.4.3.1).
40 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table D.1 (continued)
Basic safety principle Remarks
Use of de-energization A safe state is obtained by de-energizing all relevant devices, e.g. by
use of normally closed (NC) contact for inputs (push-buttons and
position switches) and normally open (NO) contact for relays (see also
ISO 12100:2010, 6.2.11.3).
Exceptions can exist in some applications, e.g. where the loss of the
electrical supply will create an additional hazard. Time-delay functions
may be necessary to achieve a system safe state (see IEC 60204-1:2005,
9.2.2).
Transient suppression Use of a suppression device (RC, diode, varistor) parallel to the load, but
not parallel to the contacts.
NOTE A diode increases the switch-off time.
Reduction of response time Minimize delay in de-energizing of switching components.
Compatibility Use components compatible with the voltages and currents used.
Withstanding environmental condi- Design the equipment so that it is capable of working in all expected
tions environments and in any foreseeable adverse conditions, e.g. tempera-
ture, humidity, vibration and electromagnetic interference (EMI) (see
Clause 10).
Secure fixing of input devices Secure input devices, e.g. interlocking switches, position switches, limit
switches, proximity switches, so that position, alignment and switching
tolerance is maintained under all expected conditions, e.g. vibration,
normal wear, ingress of foreign bodies, temperature.
See ISO 14119:1998, Clause 5.
Protection against unexpected start- Prevent unexpected start-up, e.g. after power supply restoration
up (see ISO 12100:2010, 6.2.11.4, ISO 14118, IEC 60204-1).
Protection of the control circuit The control circuit should be protected in accordance with
IEC 60204‑1:2005, 7.2 and 9.1.1.
Sequential switching for circuit of To avoid common mode failure by the welding of both contacts, switch-
serial contacts of redundant signals ing on and off does not happen simultaneously, so that one contact
always switches without current.
Anvendelse af afbrydelse af En sikker tilstand opnås ved at afbryde energiforsyningen til alle relevante
energiforsyning indretninger, fx ved hjælp af en normalt tilsluttet kontakt (NC) til input
(trykknapper og positionsafbrydere) og en normalt åben kontakt (NO) til
relæer (se også ISO 12100:2010, 6.2.11.3).
Der kan være undtagelser i visse tilfælde, fx hvor tab af den elektriske
forsyning vil skabe yderligere fare. Tidsforsinkelsesfunktioner kan være
nødvendige for at opnå sikker systemtilstand (se IEC 60204-1:2005, 9.2.2).
Modstand mod miljøbetingelser Konstruer udstyret således, at det kan fungere i alle forventede miljøer og
under alle forudseelige ugunstige betingelser, fx temperatur, fugtighed,
vibrationer og elektromagnetisk interferens (EMI) (se pkt. 10).
Beskyttelse mod uventet start Forebyg uventet start, fx efter genetablering af energiforsyningen
(se ISO 12100:2010, 6.2.11.4, ISO 14118, IEC 60204-1).
Beskyttelse af styrekredsen Styrekredsen bør beskyttes i overensstemmelse med IEC 60204-1:2005, 7.2 og
9.1.1.
Sekventiel afbrydelse for strømkredse For at undgå fælles svigt med samme symptom i svejsningen af begge
med serieforbundne kontakter til kontakter tændes og afbrydes der ikke på samme tid, således at én kontakt
redundante signaler altid afbrydes uden strøm.
Begrænsning af elektriske parametre Begrænsning af spænding, strøm, energi eller frekvens for at begrænse
bevægelse, fx begrænsning af drejningsmoment, holdekontakt med
begrænset forskydning/tid, nedsat hastighed for at undgå en usikker tilstand.
41 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table D.2 (continued)
Well-tried safety principle Remarks
No undefined states Avoid undefined states in the control system. Design and construct the
control system so that, during normal operation and all expected oper-
ating conditions, its state, e.g. its output(s), can be predicted.
Positive mode actuation Direct action is transmitted by the shape (and not the strength) with
no elastic elements, e.g. spring between actuator and the contacts
(see ISO 14119:1998, 5.1, ISO 12100:2010, 6.2.5).
Failure mode orientation Wherever possible, the device/circuit should fail to the safe state or
condition.
Oriented failure mode Oriented failure mode components or systems should be used wherever
practicable (see ISO 12100:2010, 6.2.12.3).
Overdimensioning De-rate components when used in safety circuits, e.g. by the following means:
— the current passed through switched contacts should be less than half
their rated current;
— the switching frequency of components should be less than half their
rated value;
— the total number of expected switching operations should be no more
than 10 % of the device’s electrical durability.
NOTE De-rating can depend on the design rationale.
Minimizing possibility of faults Separate safety-related functions from the other functions.
Balance complexity/simplicity Balance should be made between
— complexity to reach a better control, and
— simplification in order to have better reliability.
Aktivering med tvangsføring Direkte aktivering overføres ved formen (og ikke ved styrken) uden elastiske
elementer, fx fjeder mellem aktuatoren og kontakterne (se ISO 14119:1998,
5.1, ISO 12100:2010, 6.2.5).
Opførsel ved svigt Hvor det er muligt, bør udstyret/kredsen ved svigt gå til en sikker tilstand eller
betingelse.
Styret (orienteret) svigttilstand Komponenter eller systemer med specificeret tilstand ved svigt bør
anvendes, hvor det er praktisk muligt (se ISO 12100:2010, 6.2.12.3).
42 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table D.3 (continued)
Well-tried component Additional conditions for “well-tried” Standard or specification
Main contactor Only well-tried if IEC 60947-4-1
a) other influences are taken into account,
e.g. vibration,
b) failure is avoided by appropriate meth-
ods, e.g. overdimensioning (see Table D.2),
c) the current to the load is limited by the
thermal protection device, and
d) the circuits are protected by a protection
device against overload.
NOTE Fault exclusion is not possible.
Control and protective switching — IEC 60947-6-2
device or equipment (CPS)
Auxiliary contactor (e.g. contactor Only well-tried if EN 50205
relay)
a) other influences are taken into account, IEC 60947-5-1
e.g. vibration,
IEC 60947-4-1:2001, Annex F
b) there is positively energized action,
c) failure is avoided by appropriate meth-
ods, e.g. overdimensioning (see Table D.2),
d) the current in the contacts is limited by a
fuse or circuit-breaker to avoid the welding
of the contacts, and
e) contacts are positively mechanically
guided when used for monitoring.
NOTE Fault exclusion is not possible.
Relay Only well-tried if IEC 61810-1
a) other influences are taken into account, IEC 61810-2
e.g. vibration,
b) positively energized action,
c) failure avoided by appropriate methods,
e.g. overdimensioning (see Table D.2), and
d) the current in the contacts is limited by
fuse or circuit-breaker to avoid the welding
of the contacts.
NOTE Fault exclusion is not possible.
Transformer — IEC 61558
Cable Cabling external to enclosure should be IEC 60204-1:2005, Clause 12
protected against mechanical damage
(including, e.g. vibration or bending).
Plug and socket — According to an electrical
standard relevant for the
intended application.
For interlocking, see also
ISO 14119.
Temperature switch — For the electrical side,
see EN 60730‑1
43 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table D.3 (continued)
Well-tried component Additional conditions for “well-tried” Standard or specification
Pressure switch — For the electrical side,
see IEC 60947-5-1
For the pressure side, see
Annexes B and C.
Solenoid for valve — —
NOTE 2 References [34] and [35] can be helpful for evaluation of the phenomenon.
NOTE 3 Whiskers on printed circuit boards have not so far been reported. Tracks usually consist of copper
without tin coating. Pads can be coated with tin alloy, but the production process seems not to stimulate the
susceptibility to whisker growing.
Elektromagnetisk ventil — —
D.2 Fejludelukkelse
D.2.1 Generelt
En fejludelukkelse er kun gyldig, hvis delene fungerer inden for deres specificerede nominelle værdier.
D.2.2 Tinwhiskere
Hvis der anvendes blyfri processer og produkter, kan der opstå elektriske kortslutninger på grund af tinwhiskere.
Denne mulighed bør vurderes og overvejes, når fejludelukkelsen "kortslutning ..." anvendes for enhver komponent.
For eksempel hvis risikoen for dannelse af tinwhiskere anses for at være høj, er fejludelukkelsen "kortslutning af en
modstand" nytteløs, da en kortslutning mellem denne komponents kontakter skal overvejes.
NOTE 1 – Dannelse af tinwhiskere er et fænomen, der hovedsageligt er knyttet til rene, blanke tinoverflader. De nålelignende
fremspring kan vokse til en længde på flere hundrede mikrometer og kan være årsag til elektriske kortslutninger. Den fremher-
skende teori er, at whiskere skyldes opbygning af trykspænding i tinbelægning.
NOTE 2 – Reference [34] og [35] kan være nyttige ved vurdering af fænomenet.
NOTE 3 – Der er endnu ikke rapporteret om whiskere på trykte strømkredse. Lederbaner består sædvanligvis af kobber uden
tinbelægning. Kontaktsteder kan være belagt med en tinlegering, men produktionsprocessen synes ikke at fremme tilbøjelig-
heden til dannelse af whiskere.
44 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Kortslutning mellem to Kortslutning mellem ledere, der er Forudsat at både ledere og indkapsling
vilkårlige ledere opfylder de relevante krav
–– permanent forbundne (faste) og beskyttet mod (se IEC 60204-1).
ydre beskadigelser, fx ved hjælp af
ledningskapslinger, kabelkanaler
–– separate ledninger med flere kerner
–– ført inde i en elektrisk indkapsling (se
bemærkning) eller
–– individuelt beskyttet med jording.
Kortslutning mellem to Kortslutning mellem naboledere i Der anvendes som minimum grundplademateriale
nabolederbaner/- overensstemmelse med EP GC i overensstemmelse med IEC 60893-1.
kontaktsteder bemærkningerne.
Krybeafstande og luftafstande er som minimum
dimensioneret efter IEC 60664-5 (IEC 60664-1 for
afstande over 2 mm) med forureningsgrad 2/
overspændingskategori III. Hvis begge lederbaner
drives af en SELV/PELV-energiforsyning, gælder
forureningsgrad 2/overspændingskategori II med en
luftafstand på minimum 0,1 mm.
Den samlede plade monteres i en indkapsling, som
beskytter de ledende dele mod forurening, fx en
indkapsling med en beskyttelse svarende til mindst
IP54, og den/de trykte sider er belagt med
ældningsbestandig lak eller et beskyttende lag, der
dækker alle lederdele.
NOTE 1 – Erfaring har vist, at loddemasker er et tilstrække-
ligt beskyttende lag.
NOTE 2 – Et yderligere beskyttende lag i overensstemmelse
med IEC 60664-3 kan reducere dimensionerne på krybeaf-
stande og luftafstande.
45 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Kortslutning mellem to Kortslutning mellem nabostikben i Ved at anvende hylstre eller andre egnede midler til
vilkårlige nabostikben overensstemmelse med ledninger med flere tråde. Krybe- og luftafstande og
bemærkningen. alle mellemrum bør mindst dimensioneres til
IEC 60664-1 med overspændingskategori III.
Hvis forbindelsen er monteret på
en trykt strømkreds, gælder
overvejelserne vedrørende
fejludelukkelse i tabel D.5.
For PL-niveau e er fejludelukkelse for mekaniske (fx den mekaniske forbindelse mellem en aktuator og et kontaktelement)
og elektriske aspekter ikke tilladt. I dette tilfælde er redundans nødvendig. For nødstopanordninger i overensstemmelse
med IEC 60947-5-5 er fejludelukkelse for mekaniske aspekter tilladt, hvis der tages højde for et maksimalt antal betjeninger.
NOTE – Fejllisterne for mekaniske aspekter er behandlet i anneks A.
46 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table D.8 (continued)
Fault considered Fault exclusion Remarks
Short circuit between adjacent con- Short circuit can be excluded Conductive parts which become
tacts insulated from each other for switches in accordance with loose should not be able to
IEC 60947-5-1 (see remark). bridge the insulation between
contacts.
Simultaneous short circuit between Simultaneous short circuits can be
three terminals of change-over con- excluded for switches in accordance
tacts with IEC 60947-5-1 (see remark).
For PL e, a fault exclusion for mechanical (e.g. the mechanical link between an actuator and a contact element)
and electrical aspects is not allowed. In this case redundancy is necessary. For emergency stop devices in
accordance with IEC 60947-5-5, a fault exclusion for mechanical aspects is allowed if a maximum number of
operations is considered.
NOTE The fault lists for the mechanical aspects are considered in Annex A.
Kortslutning mellem nabokontakter, Kortslutning kan udelukkes for Ledende dele, der løsner sig, bør ikke
der er isolerede fra hinanden afbrydere i overensstemmelse med kunne slå bro over isolationen mellem
IEC 60947-5-1 (se bemærkning). kontakter.
For PL-niveau e er fejludelukkelse for mekaniske (fx den mekaniske forbindelse mellem en aktuator og et kontaktelement)
og elektriske aspekter ikke tilladt. I dette tilfælde er redundans nødvendig. For nødstopanordninger i overensstemmelse
med IEC 60947-5-5 er fejludelukkelse for mekaniske aspekter tilladt, hvis der tages højde for et maksimalt antal betjeninger.
Samtidig kortslutning mellem de tre Samtidig kortslutning kan udelukkes, Krybe- og luftafstande er som
klemmer på en skiftekontakt hvis der er taget hensyn til minimum dimensioneret til
bemærkningerne. IEC 60664-1 med mindst
forureningsgrad 2/overspændings-
Kortslutning mellem to par kontakter Kortslutning kan udelukkes, hvis der er kategori III.
og/eller mellem kontakter og taget hensyn til bemærkningerne.
spoleklemme Ledende dele, der løsner sig, kan ikke
slå bro over isolationen mellem
kontakter og spole.
Samtidig lukning af normalt åbne og Samtidig lukning kan udelukkes, hvis Der anvendes tvangsførte
normalt sluttede kontakter der er taget hensyn til bemærkningen. (eller mekanisk forbundne) kontakter
(se IEC 60947-5-1:2003, anneks L).
47 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Permanent lav modstand ved udgang Ingen (se bemærkning). Se IEC 60947-5-3.
Permanent høj modstand ved udgang Ingen (se bemærkning). Foranstaltninger til at forhindre fejl bør
beskrives.
Ingen afbryderfunktion på grund af Ingen funktion på grund af mekanisk Alle afbryderens dele bør være
mekanisk svigt svigt, når der er taget hensyn til tilstrækkelig godt fastgjort.
bemærkningen. For mekaniske aspekter, se anneks A.
48 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Kortslutning Kortslutning kan udelukkes, hvis der er Spolen er viklet i et enkelt lag, er
taget hensyn til bemærkningen. emaljeret eller af porcelæn, med
aksiale trådtilslutninger og er aksialt
monteret.
49 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table D.15 — Faults and fault exclusions — Discrete electrical components — Resistor networks
Fault considered Fault exclusion Remarks
Open circuit None. —
Short circuit between any two con- None.
nections
Short circuit between any connec- None.
tions.
Random change of value None. Depending upon the type of
0,5 RN < R < 2 RN, where RN is the construction, other ranges can
nominal value of resistance be considered.
50 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Kortslutning Ingen.
51 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Analysen bør identificere yderligere fejl, som bør tages i betragtning, hvis de indvirker på sikkerhedsfunktionen.
NOTE – I denne del af ISO 13849 anses en integreret kreds (IC) for at være kompleks, hvis den består af mere end 1 000 porte og/eller mere
end 24 stikben. Denne definition er vilkårlig.
52 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Annex E
(informative)
E.1 General
This example considers the validation of the PL of a safety function (SF 1), with the exception of
requirements relating to the following aspects of the PL:
— MTTFd values;
— common-cause failures (CCFs);
— software analysis;
— systematic failures.
The example does not cover the validation of
— safety requirements specification (see Clause 7),
— characteristics of safety functions (see Clause 8),
— environmental requirements (see Clause 10),
— maintenance requirements (see Clause 11),
— documentation requirements (see Clause 12).
Three safety functions, SF 1, SF 2 and SF 3, are considered in the example.
SF 1 is a safety-related stopping function of four individual machine actuators initiated by the opening of one
interlocking guard, and this is treated as a separate safety function for each actuator (SF 1.0, SF 1.1, SF 1.2
and SF 1.3). In order to reduce the extent of the example, the validation has been limited to SF 1.0 and SF 1.3.
Annex A provides guidance on how to examine the fault behaviour and diagnostic coverage of a given
circuit is provided. The methods used for determination of the diagnostic coverage are based on failure
mode and effects analysis (FMEA), taking into account ISO 13849-1:2006, Annex E.
NOTE This example does not cover the complete validation process of SRP/CS. In particular, the necessary
validation of the PLC software has not been considered. For the validation of safety-related software, see 9.5.
Anneks E
(informativt)
E.1 Generelt
I dette eksempel behandles validering af en sikkerhedsfunktions (SF 1) PL-niveau med undtagelse af de krav, der
vedrører følgende aspekter af PL-niveauet:
–– MTTFd-værdier
–– softwareanalyse
–– systematiske svigt.
Anneks A indeholder vejledning i, hvordan opførslen ved fejl og den diagnostiske dækning af en given kreds under-
søges. De metoder, der er anvendt til bestemmelse af den diagnostiske dækning, er baseret på en fejleffektanalyse
FMEA, hvor der er taget højde for ISO 13849-1:2006, anneks E.
NOTE – Dette eksempel omfatter ikke sikkerhedsrelaterede deles fuldstændige valideringsproces. Særligt er der ikke taget høj-
de for den nødvendige validering af PLC-software. Se 9.5 for validering af sikkerhedsrelateret software.
Der er fire stationer på maskinen: ilægnings- og udtagningsstationerne samt to arbejdsstationer (se figur E.1). På
den første arbejdsstation sker den pneumatisk drevne isætning af kuglen, og på den anden arbejdsstation sker den
pneumatisk drevne skruefastgørelse.
Et elektrisk drevet rundbord bevæger emnerne rundt på hver af de fire stationer. Emnernes placering i og fjernelse
fra emneholdere, der er monteret på rundbordet, sker manuelt. En inverterstyret elektrisk motor driver et planet-
gear og et drivremsystem, som bevæger rundbordet.
53 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
At the first workstation a ball is inserted into the workpiece by a horizontally mounted pneumatic
cylinder, which is controlled by a monostable 5/2 port directional control valve (1V1, see Figure E.3). The
basic position (valve de-energized) of this cylinder is the retracted position. The depth of the inserted
ball is checked by monitoring a limit switch at the fully extended position of the cylinder, and the applied
pressing pressure is monitored by a pressure sensor in the air supply line for cylinder extension.
The screw-fixing workstation consists of a vertically mounted, rodless pneumatic cylinder carrying
a pneumatically driven rotary screwdriver unit. The screwdriver unit is raised and lowered by the
pneumatic cylinder, which is controlled by a monostable 5/2 port directional control valve (2V1). The
basic position (valve de-energized) of this cylinder is the upper position, with the screwdriver unit
raised. Additionally, a pilot-controlled check valve (2V2) is provided in the lower connection of the
pneumatic cylinder.
Rotary motion of the screwdriver unit is provided by a pneumatic motor, controlled by a monostable 5/2 port
directional control valve (3V1). The basic position (valve de-energized) of this pneumatic motor is the OFF
state. The torque provided by the screwdriver unit is monitored by a pressure sensor in its air supply line.
A single cycle of the machine in automatic mode of operation is initiated by actuating the start
push-button. At the beginning of a cycle, the rotary table holds three workpieces: (i) a newly loaded
workpiece, (ii) a partially finished workpiece (ball inserted), and (iii) a finished workpiece (ball
inserted and screw fixed). Each cycle of the machine consists of the rotary table moving through 90°,
followed by simultaneous ball-insertion and screw‑fixing operations on the newly loaded and partially
finished workpieces. The machine then comes to an operational stop, after which the operator opens
the interlocking guard to unload the finished workpiece and load a new workpiece. The completion of
a workpiece requires three machine cycles to rotate the workpiece by 270° from the loading station
through to the unloading station.
The following modes of operation are provided:
— automatic mode with manual loading and unloading (full motion of the machine with the interlocking
guard closed);
— set-up mode for the rotary table (motion of the rotary table with hold-to-run control and the
interlocking guard open).
The machine presents mechanical hazards arising out of movements of the pneumatically driven machine
actuators (at the ball-insertion and screw‑fixing workstations) and the electrically driven rotary table.
It is for this reason protected by mechanical guards, all of which are fixed, except for an interlocking
guard that provides access to the loading and unloading stations (the hazard zone).
På den første arbejdsstation sættes en kugle i emnet af en horisontalt monteret pneumatisk cylinder, der styres af
en monostabil retningsventil med 5/2-porte (1V1, se figur E.3). Denne cylinders udgangsposition (afbrudt ventil) er
den tilbagetrukne position. Dybden af den isatte kugle kontrolleres ved at overvåge et endestop ved cylinderens
fuldt udtrukne position, og det påførte pressetryk overvåges af en trykføler i cylinderudtrækningens luftforsynings-
linje.
Skruefastgørelsesstationen består af en vertikalt monteret pneumatisk cylinder uden stempelstang, der bærer en
pneumatisk drevet skruetrækkerenhed. Skruetrækkerenheden hæves og sænkes af den pneumatiske cylinder, som
styres af en monostabil retningsventil med 5/2-porte (2V1). Denne cylinders udgangsposition (afbrudt ventil) er den
øverste position, hvor skruetrækkerenheden er hævet. Derudover findes der en pilotstyret kontraventil (2V2) i den
pneumatiske cylinders nederste forbindelse.
En enkelt cyklus af maskinen i automatisk driftsmåde igangsættes ved at aktivere starttrykknappen. Ved begyndel-
sen af en cyklus holder rundbordet tre emner: (i) et netop ilagt emne, (ii) et delvist færdigt emne (kugle isat) og (iii) et
færdigt emne (kugle isat og skrue fastgjort). Hver af maskinens cykler består i, at rundbordet foretager en bevægel-
se på 90° efterfulgt af samtidig kugleisætning og skruefastgørelse på det netop ilagte emne og det delvist færdige
emne. Der sker derefter et driftsstop af maskinen, hvorefter operatøren åbner den tvangskoblede afskærmning for
at udtage det færdige emne og isætte et nyt emne. Færdiggørelsen af et emne kræver tre maskincykler for at dreje
emnet 270° fra ilægningsstationen til udtagningsstationen.
–– automatisk tilstand med manuel ilægning og udtagning (fuld bevægelse af maskinen med den tvangskoblede
afskærmning lukket)
Maskinen udgør mekaniske farer, der opstår ved bevægelser af de pneumatisk drevne maskinaktuatorer (på kugle-
isætnings- og skruefastgørelsesstationen) og af det elektrisk drevne rundbord. Af denne årsag er den beskyttet af
mekaniske afskærmninger, der alle er faste, undtagen en tvangskoblet afskærmning, der giver adgang til ilæg-
nings- og udtagningsstationen (fareområdet).
54 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Key
1 loading station 8 workpiece
2 ball-insertion workstation 9 rotary table
3 ball‑insertion cylinder (A1) 10 pulse sensor (G2)
4 screw‑fixing workstation 11 drive belt
5 unloading station 12 planetary gear
6 screwdriver unit (A3) 13 electric motor (M1)
7 screw insertion (vertical-drive) cylinder (A2) 14 rotation sensor (G1)
Forklaring
1 ilægningsstation 8 emne
2 kugleisætningsstation 9 rundbord
3 kugleisætningscylinder (A1) 10 impulsføler (G2)
4 skruefastgørelsesstation 11 drivrem
5 udtagningsstation 12 planetgear
6 skruetrækkerenhed (A3) 13 elmotor (M1)
7 skrueisætningscylinder (vertikalt drevet) (A2) 14 rotationsføler (G1)
I dette eksempel kan dette betragtes som en separat sikkerhedsfunktion for hver af de fire maskinaktuatorer:
55 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
During the set-up mode for the rotary table with the interlocking guard open (pneumatically driven
machine actuators disabled by SF 1.1, SF 1.2 and SF 1.3), the safe condition of the rotary table movement
is achieved by a combination of the following safety functions:
SF 2: safely-limited speed;
SF 3: hold-to-run mode.
After performing a risk assessment, the following values of PLr were assigned to the safety functions:
PLr d for SF 1 (safety-related stopping and prevention of unexpected start-up);
PLr d for SF 2 (safely-limited speed);
PLr c for SF 3 (hold-to-run mode).
NOTE 2 The selection of PLr c for SF 3 takes account of its use in combination with SF 2, for which PL d is achieved.
The minimum distance between the interlocking guard and these moving parts of the machine was
determined according to ISO 13855, based on the machine stopping performance.
The machine is provided with other safety functions, such as an emergency stop, restart interlock, reset,
and selection of modes for operation, but these are not considered in the example and, consequently,
relevant components are not shown in the circuit diagrams of Figures E.2 and E.3.
I indstillingstilstanden for rundbordet med den tvangskoblede afskærmning åben (pneumatisk drevne maskinaktu-
atorer frakoblet af SF 1.1, SF 1.2 og SF 1.3) opnås den sikre tilstand for rundbordets bevægelse ved en kombination
af følgende sikkerhedsfunktioner:
SF 3: dødmandsfunktion.
Indstillingstilstand (tvangskoblet X X X X X
afskærmning åben)
X: sikkerhedsfunktion aktiv
Minimumafstanden mellem den tvangskoblede afskærmning og disse af maskinens bevægelige dele blev bestemt
i henhold til ISO 13855 med udgangspunkt i maskinens stoptid.
Maskinen er forsynet med andre sikkerhedsfunktioner, fx nødstop, genstartspærre, tilbagestilling samt valg af
driftsmåder, men disse er ikke taget i betragtning i eksemplet, og derfor er de relevante komponenter ikke vist i
kredsdiagrammerne i figur E.2 og E.3.
56 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Standsning
Åben
dødmandsfunktion
Tilbagemelding
Impulsspærring
Inverter
Lukket Standsning
Afskærmning
Indstillet
værdi
Indgang Indgang Faktisk værdi
Udgang Udgang
Cos-/Sin-
koder
pulsføler
Vist i aktiveret position
57 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
In order to achieve the PLr for SF 1 and SF 2, Category 3 has been selected. A diverse redundant and
monitored structure has therefore been adopted for all electrical and pneumatic parts associated with
these safety functions (see Figures E.2 and E.3).
To achieve the PLr for SF 3, a combination of Category 2 and Category 3 has been selected.
The signals from the sensors and control actuators (interlocking guard position switches, hold-to-run
push-button) have been duplicated and connected into two diverse PLCs (different types of hardware for
PLC A and PLC B), which process them using specific software function blocks (SRASW). Each PLC also
controls both the rotary table inverter and the pneumatically driven machine actuators via switching
paths that are independent of the other PLCs’ switching paths.
For diagnostic (cross-monitoring) and synchronization purposes, the two PLCs communicate with each
other via a standard data-bus.
The particular inverter in this example has an additional facility (internal relay) to disable its power
semiconductor control signals (pulse-blocking), which can be considered a second shutdown path [Safe
Torque Off (STO) according to IEC 61800-5-2].
This pulse-blocking feature will not bring a rotating motor to a rapid stop, because disabling the inverter
control of the motor causes an uncontrolled deceleration. However, in this example pulse-blocking would
still cause the rotary table to stop before an operator can access the hazard zone, and so the controlled
deceleration to a standstill that normally precedes pulse-blocking is not a required characteristic of SF 1.0.
In the pneumatic circuit, the supply of air to each of the machine actuators (A1, A2 and A3) is controlled
by a monostable 5/2 port directional control valve (1V1, 2V1 and 3V1) of the pilot-controlled solenoid
type. The control air for all three valves is switched by an additional valve (1V0) of the same type, which
provides a redundant channel of control. The status of this release valve is monitored by a pressure
switch (1S0).The air supply for A2 is taken from the main air supply, whereas for A1 and A3 it is taken
from the control air supply (1V0).
De-energizing of the driving chamber from moving cylinder A1 during penetration of the workspace is
provided by two channels too:
— air bleeding through 1V1 by switching in normal position, and
— de-energizing through 1V0 by switching in normal position.
The status of 1V1 is monitored by a limit switch (1S2).
A pilot-controlled check valve (2V2), which also takes its control air from 1V0, is provided in the lower
connection of A2 (vertically mounted rodless pneumatic cylinder). This provides a redundant channel
for stopping the downward motion and retaining the machine actuator in its basic (upper) position.
The status of 2V1 is monitored by a limit switch (2S2).
The air supply for pneumatic motor A3 (screwdriver unit) is taken from the control air supply (1V0)
rather than the main air supply. This use of 1V0 in addition to 3V1 to switch off the air supply to A3
provides a redundant channel of control, which ensures that A3 will not continue to rotate if 3V1 were
to fail in the energized position. The status of 3V1 is monitored by a pressure sensor (3S1) that provides
an analogue output signal.
In accordance with Category 3, basic and well-tried safety principles are taken into account, and the
requirements of Category B are also satisfied. In particular, the requirements of the standards IEC 60204-
1 and ISO 4414 have been applied.
The attributes of components implementing SRP/CS are explained in detail in Table E.2.
For at nå PLr for SF 1 og SF 2 er kategori 3 valgt. Der er derfor anvendt en diversificeret redundant og overvåget kon-
struktion for alle elektriske og pneumatiske dele knyttet til disse sikkerhedsfunktioner (se figur E.2 og E.3).
Signalerne fra følerne og betjeningsaktuatorerne (positionsafbryder til den tvangskoblede afskærmning, trykknap
med dødmandsfunktion) er gentaget og tilsluttet to forskellige PLC’er (forskellige typer hardware for PLC A og
PLC B), som behandler dem ved hjælp af specifikke softwarefunktionsblokke (SRASW). Hver PLC styrer også både
rundbordsinverteren og de pneumatisk drevne maskinaktuatorer via stier, der er uafhængige af de andre PLC’ers
stier.
Den specifikke inverter i dette eksempel har en ekstra facilitet (internt relæ) til at sætte effekthalvlederens styresigna-
ler ud af drift (impulsspærring), hvilket kan betragtes som en anden nedlukningssti [SafeTorque Off (STO) i henhold
til IEC 61800-5-2].
Denne impulsspærring medfører ikke brat standsning af en drejende motor, fordi frakobling af motorens inverter-
styring skaber en ukontrolleret deceleration. I dette eksempel vil impulsspærring dog stadig bringe rundbordet til
standsning, inden operatøren kan nå ind i fareområdet, og derfor er den styrede deceleration til standsning, som
normalt foregår før impulsspærring, ikke en påkrævet egenskab for SF 1.0.
I den pneumatiske kreds styres luftforsyningen til hver af maskinens aktuatorer (A1, A2 og A3) af en monostabil ret-
ningsventil med 5/2-porte (1V1, 2V1 og 3V1) af typen pilotstyret elektromagnetisk ventil. Styreluften til alle tre venti-
ler indkobles af yderligere en ventil (1V0) af samme type, hvilket giver en redundant styrekanal. Denne udløsnings-
ventils status overvåges af en pressostat (1S0). Luftforsyningen til A2 hentes fra hovedluftforsyningen, mens den til
A1 og A3 hentes fra styreluftforsyningen (1V0).
Afbrydelse af drivkammeret ved at bevæge cylinder A1 under gennemboring af arbejdsområdet sker ligeledes over
to kanaler:
En pilotstyret kontraventil (2V2), som også henter styreluft fra 1V0, findes i den nederste forbindelse til A2 (vertikalt
monteret pneumatisk cylinder uden stempelstang). Dette giver en redundant kanal til at standse den nedadgående
bevægelse og holde maskinaktuatoren i udgangsposition (øverste position).
Luftforsyningen til pneumatisk motor A3 (skruetrækkerenhed) hentes fra styreluftforsyningen (1V0) frem for hoved-
luftforsyningen. Denne anvendelse af 1V0 som supplement til 3V1 til at afbryde luftforsyningen til A3 giver en re-
dundant styrekanal, som sikrer, at A3 ikke fortsætter med at dreje, i tilfælde af at 3V1 svigter i aktiveret position.
Status af 3V1 overvåges af en trykføler (3S1), som giver et analogt udgangssignal.
Der er i overensstemmelse med kategori 3 taget højde for grundlæggende og velgennemprøvede sikkerhedsprin-
cipper, og kravene i kategori B er også opfyldt. Især kravene i standarderne IEC 60204-1 og ISO 4414 er anvendt.
Egenskaberne ved komponenter, der implementerer SRP/CS, er udførligt forklaret i tabel E.2.
58 (da)
Licensed to:Lego System A/S
Table E.2 — Attributes of components implementing SRP/CS (parts list of Figures E.2 and E.3)
Component
Function Element Attribute Possible fault exclusion
label
Well-tried safety principlea
signals (PLC)
K1 Generates redundant Relay contactor IEC 60947-5-1, including Mechanically-linked contacts None.
STOP signal for inverter mechanically linked contact
in case of failure in PLC A elements in accordance with
path IEC 60947-5-1:2003, Annex L,
and EN 50205
T1 Drives rotary table elec- Inverter Inverter has additional shut- Blocking relay with positively None.
tric motor down path using pulse block- mechanically linked contacts
ing.
G1 Measures speed of electric Rotation sensor — None. None.
motor for rotary table (cos/sin encoder)
G2 Monitors motion of rotary Pulse sensor — None. None.
table
1V0 Control of pilot air for Directional-control Spring-biased valve, 5/2-func- Table B.2 overdimensioning/ Pressure build-up at port 4
directional control valves solenoid valve tion, pilot-operated, internal safety factor, safe position (use with exhausted port 5 in nor-
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
1V1, 2V1, 3V1, and for pilot air supply, spool valve of well-tried spring), sufficient mal position, failure of the seal-
check valve 2V2 with overlap positive overlapping in piston ing through extrusion, moving
valves of valve spool without operat-
ing power.
ISO 13849-2:2012(E)
59
Tabel E.2 – Egenskaber ved komponenter, der implementerer SRP/CS (dellister i figur E.2 og E.3)
B1 Overvågning af positionen Tvangskoblings- IEC 60947-5-1:2003, herunder Aktivering med tvangsføring Manglende åbning af kontakter
af den tvangskoblede afbryder tvangsbrydning i (tvangsbrydning) ved betjening kan udelukkes
afskærmning overensstemmelse med
IEC 60947-5-1:2003, anneks K Elektriske fejl, fordi B1
indeholder aktivering med
tvangsføring
K1 Genererer et redundant Relækontaktor IEC 60947-5-1, herunder Mekanisk forbundne kontakter Ingen
STOP-signal for inverteren i mekanisk forbundne
tilfælde af svigt i PLC A-stien kontaktelementer i
overensstemmelse med
IEC 60947-5-1:2003, anneks L,
og EN 50205
T1 Driver rundbordets Inverter Inverteren har en ekstra Spærrerelæ med mekanisk Ingen
elektriske motor nedlukningssti i form af tvangsførte kontakter
impulsspærring
1V0 Regulering af styreluften til Elektromagnetisk Fjederforspændt ventil, Tabel B.2 overdimensionering/ Trykopbygning ved port 4 med
retningsventil 1V1, 2V1, 3V1 retningsventil 5/2-funktion, pilotstyret, intern sikkerhedsfaktor, sikker position tømt port 5 i normal position,
og til kontraventil 2V2 styreluftforsyning, spoleventil (anvendelse af svigt af tætningen i form af
med overlapning velgennemprøvet fjeder), flydepresning, spoleventil
tilstrækkelig positiv overlapning bevæges uden drivkraft
i stempelventiler
59 (da)
DS/EN ISO 13849-2:2014
Table E.2 (continued)
60
Component
Function Element Attribute Possible fault exclusion
label
Well-tried safety principlea
1V1 Control of ball‑insertion See 1V0. See 1V0. See 1V0. See 1V0.
cylinder A1
cylinder A2
Control of screwdriver
unit (pneumatic motor)
A3
2V2 Anti-fall device for Check valve Pilot-operated non-return Table B.2 valve closed by load Opening without pilot air
vertically mounted valve, spring-loaded poppet pressure
screw‑insertion cylin- valve
der (A2) of the screw-
driver unit
1S0 Monitors status of Pressure switch Fixed switch point Basic safety principles are not None.
valve 1V0 required for monitoring (no
safety function).
1S1 Monitors pressure applied Pressure sensor Analogue output signal Basic safety principles are not None.
during ball insertion required for monitoring (no
process safety function).
3S1
Monitors torque (pres-
sure) applied during
screwdriving process
1S2, 1S3 Limit switches for Proximity sensor Magnetic measuring principle Basic safety principles are not None.
ball‑insertion cylinder A1 required for monitoring (no
safety function).
Limit switches for
2S1, 2S2
screw‑insertion cylin-
der A2
A1 Ball-insertion cylinder Pneumatic cylinder Not in scope of this standard according to ISO 13849-1:2006, 3.1.1.
A2 Screw-insertion cylinder Rodless pneumatic Not in scope of this standard according to ISO 13849-1:2006, 3.1.1.
cylinder with
external guide
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
A3 Screwdriver unit Pneumatic motor Not in scope of this standard according to ISO 13849-1:2006, 3.1.1.
a Basic safety principles have also been taken into account in the design of components (see Table D.1 for electrical components and Table B.1 for pneumatic components).
men med
udvendig føring
A3 Skruetrækkerenhed Pneumatisk Ikke inden for denne standards anvendelsesområde ifølge ISO 13849-1:2006, 3.1.1
motor
a
Der er også taget højde for grundlæggende sikkerhedsprincipper i konstruktionen af komponenter (se tabel D.1 for elektriske komponenter og tabel B.1 for pneumatiske komponenter).
60 (da)
DS/EN ISO 13849-2:2014
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
E.4.2 Safety function SF 1 — Safety-related stopping initiated by the opening of the
interlocking guard and prevention of unexpected start-up whenever the interlocking
guard is open
According to the machine specification, opening of the interlocking guard has to initiate the stopping of
four machine actuators: (i) the rotary table (driven by inverter-controlled motor), (ii) the ball-insertion
cylinder, (iii) the screw-insertion cylinder, and (iv) the screwdriver unit. This function can therefore be
represented as shown in Figure E.4.
When the interlocking guard is opened, PLC A initiates a stop of the rotary table by providing a stop
signal to the inverter (T1a). PLC B monitors the resulting deceleration of the rotary table via G2, and
when it detects that this has reached a standstill it de-energizes K1 to initiate pulse-blocking at the
inverter (T1b). If the rotary table does not stop due to a fault in T1a or PLC A, then PLC B will detect this
fault and still provide its own stop signal to the inverter (T1b). This is the second independent channel
for the stopping function. The part of the safety function relating to prevention of unexpected start-up
is performed in the same way.
Opening the interlocking guard also causes PLC A to initiate a first stop of the ball-insertion cylinder, the
screw-insertion cylinder and the screwdriver unit by de-energizing 1V1, 2V1 and 3V1. PLC B initiates a
second stop of these three actuators by de-energizing 1V0.
If the rotary table is already stopped, but the ball-insertion and screw‑fixing workstations are in
operation when the interlocking guard is opened, then PLC A will immediately de-energize 1V1, 2V1 and
3V1, and PLC B will immediately de-energize K1. PLC B will also de-energize 1V0 after a delay, to allow
for the ball‑insertion cylinder (A1) to complete its travel to the retracted position.
While the interlocking guard is in the open position, it needs to be ensured that a fault in the enabling
path of PLC A does not lead to an uncontrolled start-up. This is achieved by the action of PLC B de-
energizing K1 as soon as the rotary table motor has reached a standstill, and also de-energizing 1V0 to
prevent a start-up of the ball‑insertion cylinder or the screw‑insertion cylinder.
The evaluation of the PL for the SRP/CS performing SF 1 has been carried out as follows:
a) Identification of safety-related parts
The safety-related parts of stopping function SF 1.0 and their division into channels can be illustrated
by the safety-related block diagram shown in Figure E.5.
Inverter
Retningsventiler for
kugleisætningscylinderen
Positionsovervågning
af beskyttelses- Elektronisk logik
skærmen
Retningsventiler for
skrueisætningscylinderen
Retningsventiler for
skruetrækkerenheden
Når den tvangskoblede afskærmning åbnes, iværksætter PLC A en standsning af rundbordet ved at sende et stands-
ningssignal til inverteren (T1a). PLC B overvåger den resulterende deceleration af rundbordet via G2, og når den
detekterer, at dette er standset, afbryder den K1 for at iværksætte impulsspærring af inverteren (T1b). Hvis rundbor-
det ikke standser på grund af en fejl i T1a eller PLC A, detekterer PLC B denne fejl og sender sit eget standsningssig-
nal til inverteren (T1b). Dette er den anden uafhængige kanal for standsningsfunktionen. Den del af sikkerhedsfunk-
tionen, der relaterer til forebyggelse af uventet start, udføres på samme måde.
Åbning af den tvangskoblede afskærmning medfører også, at PLC A iværksætter en første standsning af kugleisæt-
ningscylinderen, skrueisætningscylinderen og skruetrækkerenheden ved at afbryde 1V1, 2V1 og 3V1. PLC B iværk-
sætter en yderligere standsning af disse tre aktuatorer ved at afbryde 1V0.
Hvis rundbordet allerede er standset, men kugleisætnings- og skruefastgørelsesstationen er i gang, når den tvangs-
koblede afskærmning åbnes, afbryder PLC A straks 1V1, 2V1 og 3V1, og PLC B afbryder straks K1. PLC B afbryder
også 1V0 efter en forsinkelse for at lade kugleisætningscylinderen (A1) færdiggøre sin bevægelse til tilbagetrukket
position.
Når den tvangskoblede afskærmning er i åben position, er det nødvendigt at sikre, at en fejl i aktiveringsstien for
PLC A ikke fører til ukontrolleret start. Dette opnås, ved at PLC B afbryder energien til K1, så snart rundbordets motor
er standset, og ved at energien til 1V0 afbrydes for at forhindre start af kugleisætningscylinderen eller skrueisæt-
ningscylinderen.
Evalueringen af PL-niveauet for den SRP/CS, der udfører SF 1, er foretaget som følger:
De sikkerhedsrelaterede dele af standsningsfunktion SF 1.0 og deres opdeling i kanaler kan illustreres af det sik-
kerhedsrelaterede blokdiagram, der er vist i figur E.5.
61 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Similarly, the safety-related parts of stopping functions SF 1.1, SF 1.2 and SF 1.3 and their division
into channels can be illustrated by the safety-related block diagram shown in Figure E.6.
The two parts of the diagrams in Figures E.5 and E.6 can each be mapped to the designated
architecture for Category 3, so the diagrams can be simplified as the two SRP/CS (input, logic/output)
shown in Figure E.7.
For each SRP/CS, a PL has been estimated by applying the simplified procedure from
ISO 13849-1:2006, 4.5.4.
b) Estimation of MTTFd of each channel
For the estimation of component MTTFd values, reliability data provided by the manufacturers
has been used.
For the estimation of the MTTFd of a channel, the parts count method has been applied (see
ISO 13849‑1:2006; Annex D). The diverse redundant structure leads to dissimilar MTTFd values
for each channel, so that application of the symmetrisation equation provides an average result of
25 years (medium) for the MTTFd of each channel of both SRP/CSI and SRP/CSL/O of SF 1.0, SF 1.1,
SF 1.2, and SF 1.3 (see ISO 13849-1:2006, D.2).
c) Estimation of DCavg
The DCavg has been calculated for both SRP/CS from the DC of the internal test and monitoring
measures applied to the different components.
A plausibility check of the guard interlocking switches B1 and B2 by PLC A and PLC B according
to ISO 13849-1:2006, Annex E, results in a DCavg high (99 %) for the SRP/CSI of SF 1.0, SF 1.1,
SF 1.2 and SF 1.3.
The following diagnostic measures are provided in the SRP/CSL/O of SF 1.0, SF 1.1, SF 1.2 and SF 1.3:
— monitoring of the relay contactor, K1, by PLC A through the position of K1 contacts;
Tilsvarende kan de sikkerhedsrelaterede dele i standsningsfunktion SF 1.1, SF 1.2 og SF 1.3 og deres opdeling i ka-
naler illustreres af det sikkerhedsrelaterede blokdiagram, der er vist i figur E.6.
De to dele af diagrammerne i figur E.5 og E.6 kan hver især henføres til den udpegede arkitektur for kategori 3, såle-
des at diagrammerne kan forenkles til de to SRP/CS (indgang, logik/udgang), der er vist i figur E.7.
For hver SRP/CS er der skønnet et PL-niveau ved at anvende den forenklede metode fra ISO 13849-1:2006, 4.5.4.
Til skønnet af komponentens MTTFd-værdier er der anvendt data om pålidelighed fra producenterne.
Til skønnet af en kanals MTTFd er sammentællingsmetoden anvendt (se ISO 13849 1:2006, anneks D). Den for-
skelligartede redundante struktur medfører forskellige MTTFd-værdier for hver kanal, således at anvendelse af
symmetriseringsligningen giver et gennemsnitligt resultat på 25 år (middel) for MTTFd for hver kanal i både
SRP/CSI og SRP/CSL/O i SF 1.0, SF 1.1, SF 1.2 og SF 1.3 (se ISO 13849-1:2006, D.2).
c) Skøn af DCavg
DCavg er beregnet for begge SRP/CS ud fra DC fra den interne prøvning og overvågningsforanstaltninger an-
vendt til de forskellige komponenter.
62 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
–– fejldetektering af PLC A, T1a samt 1V1, 2V1 og 3V1 via observation af processen.
I henhold til ISO 13849-1:2006, anneks E, giver disse diagnostiske foranstaltninger et middel DCavg-resultat
(90 %) for SRP/CSL/O i SF 1.0, SF 1.1, SF 1.2 og SF 1.3.
Det skønnes, at de tilstrækkelige foranstaltninger mod fælles svigt med samme årsag (adskillelse, diversitet,
beskyttelse mod overtryk, miljøbetingelser) er truffet for SRP/CS i SF 1.0, SF 1.1, SF 1.2 og SF 1.3, hvilket i henhold
til ISO 13849-1:2006, anneks F, medfører et resultat på 75 point for hver SRP/CS.
–– kategori 3
–– højt DCavg
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, men med DCavg begrænset til
middel (kategori 3), giver et resultat på PL d.
–– kategori 3
–– middel DCavg
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, giver et resultat på PL d.
63 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
f) Determination of the PL for the combination of SRP/CS performing SF 1.0, SF 1.1, SF 1.2 and SF 1.3
According to ISO 13849-1:2006, 6.3, and taking into account that the individual SRP/CS for SF 1.0,
SF 1.1, SF 1.2 and SF 1.3 have the same values of PL, the PL of the overall combination of SRP/CS for
SF 1.0, SF 1.1, SF 1.2 and SF 1.3 is determined as follows:
— PLlow = d
— Nlow = 2
The PL for the combination of SRP/CS for each of SF 1.0, SF 1.1, SF 1.2 and SF 1.3 is therefore PL d.
NOTE Calculation of the resulting PL by adding the PFH values of all subsystems will lead to a more
precise result.
g) Systematic failures
It is estimated that the adequate measures against systematic failure have been applied to the
SRP/CS for SF 1.0, SF 1.1, SF 1.2 and SF 1.3 according to ISO 13849-1:2006, Annex G.
For the SRP/CS, a PL has been estimated by applying the simplified procedure in ISO 13849-1:2006, 4.5.4.
The diagram can be mapped to the designated architecture for Category 3, so the safety function is
performed by one SRP/CS, as shown in Figure E.9.
For the SRP/CS, a PL has been estimated by applying the simplified procedure in ISO 13849-1:2006, 4.5.4.
f) Bestemmelse af PL-niveauet for kombinationen af SRP/CS, der udfører SF 1.0, SF 1.1, SF 1.2 og SF 1.3
I overensstemmelse med ISO 13849-1:2006, 6.3, og under hensyntagen til, at den enkelte SRP/CS for SF 1.0,
SF 1.1, SF 1.2 og SF 1.3 har de samme værdier for PL-niveauet, bestemmes PL-niveauet for den samlede kombi-
nation af SRP/CS for SF 1.0, SF 1.1, SF 1.2 og SF 1.3 som følger:
–– PLlow = d
–– Nlow = 2
PL-niveauet for kombinationen af SRP/CS i hver af SF 1.0, SF 1.1, SF 1.2 og SF 1.3 er derfor PL d.
NOTE – Beregning af det resulterende PL-niveau ved at sammenlægge PFH-værdierne fra alle delsystemer giver et mere
præcist resultat.
g) Systematiske svigt
Det skønnes, at de tilstrækkelige foranstaltninger mod systematiske svigt i henhold til ISO 13849-1:2006, anneks
G, er anvendt på SRP/CS for SF 1.0, SF 1.1, SF 1.2 og SF 1.3.
De sikkerhedsrelaterede dele i sikkerhedsfunktion SF 2 og dens opdeling i kanaler kan illustreres af det sikker-
hedsrelaterede blokdiagram, der er vist i figur E.8.
Til SRP/CS er der skønnet et PL-niveau ved at anvende den forenklede metode i ISO 13849-1:2006, 4.5.4.
Diagrammet kan henføres til den udpegede arkitektur for kategori 3, således at sikkerhedsfunktionen udføres af
én SRP/CS som vist i figur E.9.
Til SRP/CS er der skønnet et PL-niveau ved at anvende den forenklede metode i ISO 13849-1:2006, 4.5.4.
64 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Til skønnet af komponentens MTTFd-værdier er der anvendt data om pålidelighed fra producenterne.
Til skønnet af en kanals MTTFd er sammentællingsmetoden anvendt (se ISO 13849-1:2006, anneks D). Den for-
skelligartede redundante struktur medfører forskellige MTTFd-værdier for hver kanal, således at anvendelse af
symmetriseringsligningen giver et gennemsnitligt resultat på middel MTTFd (over 25 år) for hver kanal i SRP/CS.
c) Skøn af DCavg
DCavg er beregnet for SRP/CS ud fra DC fra den interne prøvning og overvågningsforanstaltninger anvendt til de
forskellige komponenter.
–– overvågning af G2 ved hjælp af PLC B (efter betjening af S4 kontrollerer PLC B for impulser fra G2. Hvis der
ikke er nogen impulser, standser PLC B T1b).
I henhold til ISO 13849-1:2006, anneks E, giver disse diagnostiske foranstaltninger et middel DCavg-resultat
(90 %) for SRP/CS.
Det skønnes, at de tilstrækkelige foranstaltninger mod fælles svigt med samme årsag (adskillelse, diversitet,
beskyttelse mod overtryk, miljøbetingelser) er truffet for SRP/CS, hvilket i henhold til ISO 13849-1:2006, anneks F,
medfører et resultat på 75 point for SRP/CS.
–– kategori 3
–– middel DCavg
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, men med DCavg begrænset til
middel (kategori 3), giver et resultat på PL d.
f) Systematiske svigt
Det skønnes, at de tilstrækkelige foranstaltninger mod systematiske svigt i henhold til ISO 13849-1:2006,
anneks G, er anvendt på SRP/CS.
65 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
The two parts of the diagram can each be mapped to the designated architecture for Category 1 and
Category 3, so the diagram can be simplified as the two SRP/CS (input, logic/output) shown in Figure E.11.
For each SRP/CS, a PL has been estimated by applying the simplified procedure in
ISO 13849-1:2006, 4.5.4.
b) Estimation of MTTFd of each channel
The MTTFd for the SRP/CSI (hold-to-run push-button) is calculated using the manufacturer’s B10d
value to give a result of high MTTFd.
The estimation of the MTTFd of SRP/CSL/O provides, as in SRP/CSL/O of SF 1.0, an average result of
25 years (medium) for the MTTFd (more than 25 years) of each channel.
c) Estimation of DCavg
The DCavg has been calculated for both SRP/CS from the DC of the internal test and monitoring
measures executed on the different components.
Time monitoring of hold-to-run push-button S4 (low-high alternation in a time frame window) by
PLC A and PLC B according to ISO 13849-1:2006, Annex E, results in a DCavg low (75 %) for the SRP/CSI.
The monitoring measures as per SRP/CSL/O of SF 1.0 are provided in the SRP/CSL/O of SF 3, resulting
in a DCavg medium (90 %) for the SRP/CSL/O.
d) Estimation of measures against common-cause failure (CCF)
It is estimated that adequate measures against common-cause failure (separation, diversity,
protection against over-voltage, environmental) have been taken for each SRP/CS, which, according
to ISO 13849-1:2006, Annex F, results in a score of 75 points for both SRP/CS.
e) Determination of PL for each SRP/CS
The PL for each SRP/CS is determined as follows.
De sikkerhedsrelaterede dele i sikkerhedsfunktion SF 3 og deres opdeling i kanaler kan illustreres af det sikker-
hedsrelaterede blokdiagram, der er vist i figur E.10.
De to dele af diagrammet kan hver især henføres til den udpegede arkitektur for kategori 1 og kategori 3, således at
diagrammet kan forenkles til de to SRP/CS (indgang, logik/udgang), der er vist i figur E.11.
For hver SRP/CS er der skønnet et PL-niveau ved at anvende den forenklede metode i ISO 13849-1:2006, 4.5.4.
MTTFd for SRP/CSI (trykknap med dødmandsfunktion) beregnes ved anvendelse af producentens B10d-værdi for
at opnå et højt resultat for MTTFd.
Skønnet af MTTFd for SRP/CSL/O giver, som ved SRP/CSL/O i SF 1.0, et gennemsnitligt resultat på 25 år (middel)
for MTTFd (over 25 år) for hver kanal.
c) Skøn af DCavg
DCavg er beregnet for begge SRP/CS ud fra DC fra den interne prøvning og overvågningsforanstaltninger an-
vendt til de forskellige komponenter.
Tidsovervågning af trykknap med dødmandsfunktion S4 (vekslen mellem lav og høj inden for et tidsvindue)
foretaget af PLC A og PLC B i overensstemmelse med ISO 13849-1:2006, anneks E, medfører et lavt DCavg (75 %)
for SRP/CSI.
Til SRP/CSL/O i SF 3 anvendes de samme overvågningsforanstaltninger som til SRP/CSL/O i SF 1.0, hvilket medfø-
rer et middel DCavg (90 %) for SRP/CSL/O.
Det skønnes, at de tilstrækkelige foranstaltninger mod fælles svigt med samme årsag (adskillelse, diversitet,
beskyttelse mod overspænding, miljøbetingelser) er truffet for hver SRP/CS, hvilket i henhold til ISO 13849-1:
2006, anneks F, medfører et resultat på 75 point for begge SRP/CS.
66 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
— SRP/CSI:
— Category 1;
— High MTTFd of the channel.
Applying these values to ISO 13849-1:2006, Figure 5, gives a result of PL c.
— SRP/CSL/O:
— Category 3;
— Medium MTTFd of each channel;
— Medium DCavg ;
— 75 points for measures against CCF.
Applying these values to ISO 13849-1:2006, Figure 5, gives a result of PL d.
f) Determination of the PL of the combination of SRP/CS performing SF 3
According to ISO 13849-1:2006, 6.3, and taking into account both SRP/CS of SF 3, the PL of the
overall combination of SRP/CS is determined as follows:
— PLlow = c;
— Nlow = 1.
The PL for the combination of SRP/CS of SF 3 is therefore PL c.
g) Systematic failures
It is estimated that the adequate measures against systematic failures have been taken for both
SRP/CS of SF 3 according to ISO 13849-1:2006, Annex G.
E.5 Validation
E.5.1 General
As stated in E.1, the example has been reduced to the validation of fault behaviour and diagnostic means
of safety functions SF 1.0 and SF 1.3.
According to 9.2 and 9.3, validation of fault behaviour and diagnostic means are performed by a review
of design documentation, a failure analysis and complementary fault injection tests.
The following steps are carried out.
a) Identify the diagnostic measures and the units (components, blocks) that they test/monitor.
b) Verify the DC value assigned to each diagnostic measure (DC) for a particular unit.
c) Analyse the fault behaviour of the system and define the test cases.
d) Check for correct calculation of the DCavg for each SRP/CS.
e) Carry out required tests to confirm the DC values.
–– SRP/CSI:
–– kategori 1
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, giver et resultat på PL c.
–– SRP/CSL/O:
–– kategori 3
–– middel DCavg
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, giver et resultat på PL d.
I overensstemmelse med ISO 13849-1:2006, 6.3, og under hensyntagen til begge SRP/CS i SF 3, bestemmes PL-
niveauet for den samlede kombination af SRP/CS som følger:
–– PLlow = c
–– Nlow = 1.
g) Systematiske svigt
Det skønnes, at de tilstrækkelige foranstaltninger mod systematiske svigt i henhold til ISO 13849-1:2006, anneks
G, er truffet for begge SRP/CS i SF 3.
E.5 Validering
E.5.1 Generelt
Som angivet i E.1 er eksemplet reduceret til validering af opførsel ved fejl og diagnosticeringsmidler for sikkerheds-
funktion SF 1.0 og SF 1.3.
I henhold til 9.2 og 9.3 udføres validering af opførsel ved fejl og diagnosticeringsmidler ved en gennemgang af kon-
struktionsdokumentationen, en fejlanalyse og supplerende prøvninger af indlagte fejl.
b) Verifikation af den DC-værdi, der er tildelt hver diagnostisk foranstaltning (DC) til en bestemt enhed
67 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
E.5.3.1 SF 1.0
In order to facilitate the analysis of SF 1.0, its safety-related block diagram is reproduced in Figure E.12.
–– blokke (komponenter), der er relateret til hver SRP/CS og kombinationen af SRP/CS i de sikkerhedsrelaterede
blokdiagrammer, samt
Der anvendes en fejleffektanalyse (FMEA) til at kontrollere de DC-værdier, der er tildelt hver overvåget enhed af hver
SRP/CS, samt systemets opførsel ved fejl.
Efterfølgende betragtes fejleffektanalysen (FMEA) for sikkerhedsfunktion SF 1.0 og SF 1.3, herunder prøvningssitua-
tioner.
E.5.3.1 SF 1.0
For at lette analysen af SF 1.0 er det tilhørende sikkerhedsrelaterede blokdiagram gengivet i figur E.12.
68 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
From the analysis it can be deduced that any single faults in the SRP/CSI will be detected either
immediately, or at the next demand upon the safety function. When a single fault occurs, the safety
function is always performed and re-start is prevented.
As a result of the analysis, it is considered that the assumed values of DC (high) during the design for B1
and B2 are adequate. As the DC of both components is equal (99 %), the DCavg of SRP/CSI is high (99 %),
as was estimated during the design.
These characteristics are typical for Category 3, selected in the design (see E.4.1) in order to comply
with the safety requirement specification given in E.3 (PLr).
In order to check the correct implementation of the diagnostic measures, the tests described in the final
column of Table E.3 could be applied.
Kontakt åbner ikke, når Fejl genkendes Elektrisk motor M1 Et statisk højt
afskærmningen åbnes uafhængigt af PLC A og standses via T1a af niveau påføres
(mekaniske fejl).a PLC B via signalændring PLC A og via K1 og T1b den relevante
i B2, når der er krav til af PLC B, og genstart indgang til
F1
Tvangs- sikkerhedsfunktionen forhindres. begge PLC’er,
koblings- (åbning af beskyttelses- før afskærm-
afbryder B1 skærmen, kontrol af ningen åbnes.
pålidelighed).
En kontrol af pålideligheden af B1 og B2 foretaget af PLC A og PLC B giver et DC på 99 % for B1 (se ISO 13849-1:2006, tabel
E.1).
Kontakt åbner ikke, når Fejl genkendes Elektrisk motor M1 Et statisk højt
afskærmningen åbnes uafhængigt af PLC A og standses via T1a af niveau påføres
(elektriske eller PLC B via signalændring PLC A og via K1 og T1b den relevante
mekaniske fejl). i B1, når der er krav til af PLC B, og genstart indgang til
F3
sikkerhedsfunktionen forhindres. begge PLC’er,
(åbning af beskyttelses- før afskærm-
Tvangs- skærmen, kontrol af ningen åbnes.
koblings- pålidelighed).
afbryder B2 Spontan slutning af Fejl genkendes Elektrisk motor M1 Et statisk højt
kontakt, mens uafhængigt og straks af standses via T1a af niveau påføres
afskærmningen er åben PLC A og PLC B, som PLC A og via K1 og T1b den relevante
F4 (mekaniske fejl). følge af at der ikke er en af PLC B, og genstart indgang til
tilsvarende forhindres. begge PLC’er,
signalændring i B1. mens afskærm-
ningen er åben.
En kontrol af pålideligheden af B1 og B2 foretaget af PLC A og PLC B giver et DC på 99 % for B2 (se ISO 13849-1:2006, tabel
E.1).
NOTE – Ledere er ikke omfattet af fejlanalysen, da det antages, at de kun svigter af systematiske årsager.
a Elektriske fejl kan udelukkes, fordi B1 har en direkte aktiveringstilstand (se IEC 60947-5-1:2003, anneks K).
Af analysen kan det udledes, at enkeltfejl i SRP/CSI enten detekteres straks eller ved næste krav til sikkerhedsfunkti-
onen. Når der opstår en enkeltfejl, udføres sikkerhedsfunktionen altid, og genstart forhindres.
Som følge af analysen antages det, at de forudsatte værdier af DC (høj) under konstruktionen af B1 og B2 er tilstræk-
kelige. Da begge komponenters DC er det samme (99 %), er DCavg af SRP/CSI høj (99 %), som det blev skønnet un-
der konstruktionen.
Disse egenskaber er typiske for kategori 3, som er valgt til konstruktionen (se E.4.1) for at sikre overensstemmelse
med specifikationen af sikkerhedskrav i E.3 (PLr).
For at kontrollere korrekt gennemførelse af de diagnostiske foranstaltninger kan de prøvninger, der er beskrevet i
sidste kolonne i tabel E.3, anvendes.
69 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
mando til drevet eller til en ventil eller er ude af stand til at opretholde en stopkommando på drevet eller en ventil), kan detekteres af
WD-funktionen.
70 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table E.4 (continued)
Component/ Tests for con-
Potential faults Fault detection Effect/reaction
unit firmation
As a result of the indirect monitoring of PLC A by PLC B through G2, PLC A’s indirect monitoring of its own
output card through G1, program sequence monitoring by the internal watchdog, and fault detection through
process observation, PLC A is considered to have a DC of 90 % (see ISO 13849-1:2006, Table E.1).
The above measures can be considered as being in relation to ISO 13849-1:2006, Table E.1, NOTE 2.
NOTE It is considered that most PLC faults occur at the input/output cards and are of the stuck-at type (90 % of all faults
in a PLC), but the WD function of a PLC can only detect some faults that affect program sequencing.
F3 Stuck-at-fault and other Fault is recognized by Electric motor M1 is Set the stop-
complex internal faults PLC B through reading stopped by PLC B via input of the
in control and power of G2 when the safety K1 and T1b after a inverter to high
electronics of the function is demanded. time delay when the before or when
inverter, which prevent guard is opened, and the guard is
Fault is recognized
T1a from stopping the re-start is prevented. opened.
also by PLC A through
motor before or when
reading of G1 at an PLC A informs PLC B
the guard is opened.
operational stop of the when a fault is rec-
electric motor M1 or ognized during the
when the safety func- operational stop. As
tion is demanded. a result of reporting
PLC B, the electric
motor M1 is stopped
and re-start is pre-
vented by PLC B.
F4 Stuck-at-fault and Fault cannot be Electric motor M1 Transfer the
Inverter T1a
other complex internal recognized by PLC B remains stopped by start signal to
faults in control and through reading of PLC B via K1 and T1b the inverter
power electronics of G2 because the motor while the guard is while the guard
the inverter, which M1 remains stopped open. is open.
provides gate signals to by PLC B via K1 and
On closing the guard,
power semiconductors T1b while the guard is
an unintended start-up
of T1a, while the guard open.
of the motor occurs
is open.
Fault will be detected (non-hazardous).
by the operator
PLC A informs PLC B
through process
when a fault is recog-
observation on closing
nized. As a result of
the guard.
reporting PLC B, the
Fault is also rec- unintended start-up
ognized by PLC A of electric motor M1 is
through reading of G1 prevented and re-start
on closing the guard. is prevented by PLC B.
As a result of the indirect monitoring of T1a by PLC B through G2, indirect monitoring of T1a by PLC A through
G1 and fault detection through process observation, T1a is considered to have a DC of 99 %.
a Some internal faults of PLCs that, a priori, do not cause a failure of the safety function (e.g. inability of PLCs to send a
stop command to the drive or to a valve, or inability to keep a stop command on the drive or on a valve) can be detected by
the WD function.
Som følge af den indirekte overvågning af PLC A foretaget af PLC B via G2, PLC A's indirekte overvågning af eget
udgangskort via G1, overvågning af programsekvensen foretaget af den interne vagthund og fejldetektering via
observation af processen antages PLC A at have et DC på 90 % (se ISO 13849-1:2006, tabel E.1).
Ovenstående foranstaltninger kan anses for at have forbindelse til ISO 13849-1:2006, tabel E.1, note 2.
NOTE – Det antages, at de fleste PLC-fejl opstår ved indgangs-/udgangskortene og er af typen stop-ved-fejl (90 % af alle fejl i en PLC), men
WD-funktionen af en PLC kan kun detektere visse fejl, der påvirker programsekvensen.
Som følge af den indirekte overvågning af T1a foretaget af PLC B via G2, indirekte overvågning af T1a foretaget af PLC A via
G1 og fejldetektering via observation af processen antages T1a at have et DC på 99 %.
a Visse interne fejl i PLC’er, der på forhånd ikke medfører svigt af sikkerhedsfunktionen (fx at PLC’er er ude af stand til at sende en stopkom-
mando til drevet eller til en ventil eller er ude af stand til at opretholde en stopkommando på drevet eller en ventil), kan detekteres af
WD-funktionen.
71 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table E.4 (continued)
Component/ Tests for con-
Potential faults Fault detection Effect/reaction
unit firmation
Stuck-at-fault at the Fault is recognized by Electric motor M1 is Keep K1 in the
input/output cards, PLC A monitoring of K1 immediately stopped energized posi-
or stuck-at or wrong mechanically linked by PLC A via T1a when tion when the
coding or no execu- feedback contact when the guard is opened guard is opened.
tion in the CPU, which the safety function is and re-start is pre-
prevents PLC B from demanded. vented.
switching off K1 before
Some faults can be In the case of faults
F5 or when the guard is
detected early by the detected by WD, PLC B
opened.
WDa function of PLC B. tries to inform PLC A
and then to stop the
electric motor M1 and
prevent the re-start
via T1b before the
PLC B safety function is
demanded.
Stuck-at-fault at the Fault is immediately Electric motor M1 is Switch K1 to its
input/output cards, recognized by PLC A kept stopped by PLC A energized posi-
or stuck-at or wrong monitoring of K1 via T1a while the tion while the
coding or no execu- mechanically linked guard is open, and re- guard is open.
tion in the CPU, which feedback contact. start is prevented.
removes the PLC B
F6 Some faults can be In the case of faults
stop command from
detected early by the detected by WD, PLC B
K1 while the guard is
WDa function of PLC B. tries to keep stopped
open.
the electric motor M1
and prevent the re-
start via T1b, and to
inform PLC A.
As a result of the indirect monitoring of PLC B by PLC A through the position of K1 feedback contact and pro-
gram sequence monitoring by the internal watchdog, PLC B is considered to have a DC of 90 %.
NOTE It is considered that most PLC faults occur at input/output cards and are of the stuck-at type (90 % of all faults in
a PLC), but the WD function of a PLC can only detect some faults that affect program sequencing.
The contact does not Fault is recognized by Electric motor M1 is Keep K1 contact
open when the guard is PLC A monitoring of K1 immediately stopped in the ON posi-
opened (electrical fault, mechanically linked by PLC A via T1a when tion when the
F7
e.g. welded contacts). feedback contact when the guard is opened guard is opened.
Relay contac- the safety function is and re-start is pre-
tor K1 demanded. vented.
No dangerous fault — — —
F8 while the guard is open
(fault exclusion).
Monitoring of relay contactor K1 by PLC A through the position of K1 mechanically linked feedback contact
gives a DC of 99 % for K1.
a Some internal faults of PLCs that, a priori, do not cause a failure of the safety function (e.g. inability of PLCs to send a
stop command to the drive or to a valve, or inability to keep a stop command on the drive or on a valve) can be detected by
the WD function.
Som følge af den indirekte overvågning af PLC B foretaget af PLC A via positionen af K1-tilbagemeldingskontakten og den
interne vagthunds overvågning af programsekvensen antages PLC B at have et DC på 90 %.
NOTE – Det antages, at de fleste PLC-fejl opstår ved indgangs-/udgangskortene og er af typen stop-ved-fejl (90 % af alle fejl i en PLC), men
WD-funktionen af en PLC kan kun detektere visse fejl, der påvirker programsekvensen.
Overvågning af relækontaktor K1 foretaget af PLC A via positionen af den mekanisk forbundne K1-tilbagemeldingskontakt
giver et DC på 99 % for K1.
a Visse interne fejl i PLC’er, der på forhånd ikke medfører svigt af sikkerhedsfunktionen (fx at PLC’er er ude af stand til at sende en stopkom-
mando til drevet eller til en ventil eller er ude af stand til at opretholde en stopkommando på drevet eller en ventil), kan detekteres af
WD-funktionen.
72 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table E.4 (continued)
Component/ Tests for con-
Potential faults Fault detection Effect/reaction
unit firmation
Non-opening of inter- Fault is recognized by Electric motor M1 is Keep the input
nal relay contact when PLC A monitoring of immediately stopped of the coil of the
the guard is opened. mechanically linked by PLC A via T1a when blocking relay in
F9 feedback contact for the guard is opened T1b to high level
T1b internal relay and re-start is pre- when the guard
Inverter T1b when the safety func- vented. is opened.
tion is demanded.
No dangerous fault — — —
F10 while the guard is open
(fault exclusion).
Monitoring of the T1b internal (pulse-blocking) relay by PLC A gives a DC of 99 % for T1b.
a Some internal faults of PLCs that, a priori, do not cause a failure of the safety function (e.g. inability of PLCs to send a
stop command to the drive or to a valve, or inability to keep a stop command on the drive or on a valve) can be detected by
the WD function.
From the analysis, it can be deduced that single faults in the SRP/CS will be detected either immediately,
or at an operational stop of electric motor M1, or at the next demand upon the safety function. When a
single fault occurs, the safety function is always performed. Re-start is possible with only one channel
in the case of undetected faults in PLC A and PLC B.
The analysis determines that values of DC assumed during the design of the SRP/CSL/O are adequate.
Taking into account the estimated MTTFd values and the DC values for the various components used in
SRP/CSL/O, a DCavg result of medium (90 %) is achieved, as was estimated during the design.
These characteristics are typical for Category 3, selected in the design (see E.4.1) in order to comply
with the safety requirement specification given in E.3 (PLr).
To check the correct implementation of the diagnostic measures, the tests described in the final column
of Table E.4 could be applied.
E.5.3.2 SF 1.3
In order to facilitate the analysis of SF 1.3, its safety-related block diagram is reproduced in Figure E.13.
For SRP/CSI of SF 1.3, the diagnostic measures and the tested/monitored units are identical to those for
SF 1.0 and therefore the DCavg of SRP/CSI is also high (99 %).
See Table E.5.
Overvågning af internt relæ T1b (impulsspærring) foretaget af PLC A giver et DC på 99 % for T1b.
a Visse interne fejl i PLC’er, der på forhånd ikke medfører svigt af sikkerhedsfunktionen (fx at PLC’er er ude af stand til at sende en stopkom-
mando til drevet eller til en ventil eller er ude af stand til at opretholde en stopkommando på drevet eller en ventil), kan detekteres af
WD-funktionen.
Af analysen kan det udledes, at enkeltfejl i SRP/CS enten detekteres straks eller ved et driftsstop af elmotor M1 eller
ved næste krav til sikkerhedsfunktionen. Når der opstår en enkeltfejl, udføres sikkerhedsfunktionen altid. Det er mu-
ligt at genstarte med kun én kanal i tilfælde af udetekterede fejl i PLC A og PLC B.
Ved analysen bestemmes det, at de DC-værdier, der er antaget ved konstruktionen af SRP/CSL/O, er tilstrækkelige.
Under hensyntagen til de skønnede MTTFd-værdier og DC-værdierne for de forskellige komponenter, der er an-
vendt i SRP/CSL/O, opnås et middel DCavg-resultat (90 %), således som det blev skønnet ved konstruktionen.
Disse egenskaber er typiske for kategori 3, som er valgt til konstruktionen (se E.4.1) for at sikre overensstemmelse
med specifikationen af sikkerhedskrav i E.3 (PLr).
For at kontrollere korrekt gennemførelse af de diagnostiske foranstaltninger, kan de prøvninger, der er beskrevet i
sidste kolonne i tabel E.4, anvendes.
E.5.3.2 SF 1.3
For at lette analysen af SF 1.3 er det tilhørende sikkerhedsrelaterede blokdiagram gengivet i figur E.13.
For SRP/CSI af SF 1.3 er de diagnostiske foranstaltninger og de prøvede/overvågede enheder identiske med dem for
SF 1.0, og dermed er DCavg af SRP/CSI også højt (99 %).
Se tabel E.5.
73 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Stop-ved-fejl ved Nogle fejl (fx ved Pneumatisk motor A3 Et statisk højt
indgangs-/udgangs- udgangskort) standses af PLC B via niveau påføres
kortene eller stop-ved- genkendes af PLC A ved 1V0 efter en tidsfor- 3V1-udgangen
fejl eller forkert kodning læsning af trykføler 3S1 sinkelse, når ved PLC A, før
eller manglende ved et driftsstop af afskærmningen åbnes. afskærmningen
udførelse i CPU’en, pneumatisk motor A3, åbnes.
hvilket forhindrer PLC A eller når der er krav til Ved fejl detekteret af
i at afbryde 3V1, før eller sikkerhedsfunktionen. PLC A ved læsning af
når afskærmningen 3S1 under driftsstoppet
åbnes. Andre fejl kan sender PLC A
detekteres tidligt af information til PLC B.
WDa-funktionen i PLC A. Som følge af
informationen til PLC B
standses pneumatisk
F1 motor A3 via 3V1, og
genstart forhindres af
PLC B.
For fejl detekteret af WD
forsøger PLC A at
standse pneumatisk
motor A3 og forhindre
genstart via 3V1 før krav
til sikkerhedsfunktionen,
eller før pneumatisk
motor A3 når et
driftsstop, hvorefter
PLC A forsøger at
informere PLC B.
PLC A
Stop-ved-fejl ved Nogle fejl (fx ved Pneumatisk motor A3 3V1-udgangen
indgangs-/udgangs- udgangskort) holdes standset af PLC B ved PLC A
kortene eller stop-ved- genkendes af PLC A ved via 1V0, mens ændres til højt
fejl eller forkert kodning læsning af trykføler 3S1, afskærmningen er åben. niveau, mens
eller manglende når afskærmningen afskærmningen
udførelse i CPU’en, lukkes. Når afskærmningen er åben.
hvilket får PLC A til at lukkes, påfører PLC B
indkoble 3V1, mens Andre fejl kan 1V0 en spænding, og
afskærmningen er åben. detekteres tidligt af pneumatisk motor A3
WDa-funktionen i PLC A. genstarter (ufarlig).
Ved fejl detekteret af
PLC A ved læsning af
3S1, når afskærmningen
lukkes, sender PLC A
F2 information til PLC B.
Som følge af
informationen til PLC B
forhindrer PLC B
utilsigtet start af
pneumatisk motor A3
samt genstart.
For fejl detekteret af WD
forsøger PLC A at holde
pneumatisk motor A3
standset og forhindre
genstart via 3V1 samt at
sende information til
PLC B.
74 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table E.5 (continued)
Component/ Potential faults/ Tests for con-
Fault detection Effect/reaction
unit failure firmation
As a result of PLC A’s indirect monitoring of its own output card through 3S1 and program sequence monitor-
ing by the internal watchdog, PLC A is considered to have a DC of 90 %.
NOTE It is considered that most PLC faults occur at input/output cards and are of the stuck-at type (90 % of all faults in
a PLC), but the WD function of a PLC can only detect some faults that affect to program sequencing.
Non-switching (stick- Fault is recognized by Pneumatic motor A3 Keep the electri-
ing at the end posi- PLC A through reading is stopped by PLC B cal and pneu-
tion) or incomplete of pressure sensor via 1V0 after a time matic control
switching (sticking at 3S1 at an operational delay when the guard signals for 3V1
a random intermediate stop of the pneumatic is opened. at a high level
position) or change of motor A3 or when as the guard is
PLC A informs PLC B
F3 switching times, before the safety function is opened.
when a fault is rec-
or when the guard is demanded.
ognized. As a result
opened.
Faults are also of this reporting,
detected by the opera- PLC B stops via 1V0
Directional- tor through process the pneumatic motor
control sole- observation. A3 and any re-start is
noid valve prevented.
3V1
Spontaneous change of — — —
the initial switching posi-
tion (without an input
signal) while the guard
is open.
F4
NOTE This fault can be
excluded because 3V1 has
well-tried springs, and
normal installation and
operating conditions are
applied.
As a result of indirect monitoring of 3V1 by PLC A through 3S1 and fault detection through process observa-
tion, 3V1 is considered to have a DC of 99 %.
Som følge af PLC A’s indirekte overvågning af eget udgangskort via 3S1 og den interne vagthunds overvågning af
programsekvensen antages PLC A at have et DC på 90 %.
NOTE – Det antages, at de fleste PLC-fejl opstår ved indgangs-/udgangskortene og er af typen stop-ved-fejl (90 % af alle fejl i en PLC), men
WD-funktionen af en PLC kan kun detektere visse fejl, der påvirker programsekvensen.
Som følge af den indirekte overvågning af 3V1 foretaget af PLC A via 3S1 og fejldetektering via observation af processen
antages 3V1 at have et DC på 99 %.
75 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table E.5 (continued)
Component/ Potential faults/ Tests for con-
Fault detection Effect/reaction
unit failure firmation
Stuck-at-fault at the Some faults (e.g. Pneumatic motor A3 is Apply a static
input/output cards, output cards) are immediately stopped high level at the
or stuck-at or wrong recognized by PLC B by PLC A via 3V1 when 1V0 output of
coding or no execu- through reading the the guard is opened. PLC B before the
tion in the CPU, which pressure switch 1S0 guard is opened.
In the case of faults
prevents PLC B from when the safety func-
detected by PLC B
switching off 1V0 tion is demanded.
through reading the
before or when the
Others can be detected pressure switch 1S0,
guard is opened.
early by WDa function PLC B informs PLC A
of PLC B. and keeps K1 deacti-
F5 vated. As a result of
reporting, PLC A pre-
vents the re-start.
For faults detected by
the WD, PLC B tries to
inform PLC A and then
to stop the pneumatic
motor A3 via 1V0 and
to prevent the re-start
before the safety func-
PLC B tion is demanded.
Stuck-at-fault at the Some faults (e.g. out- Pneumatic motor A3 is Change the 1V0
input/output cards, put cards) are imme- kept stopped by PLC A output of PLC B
or stuck-at or wrong diately recognized by via 3V1 while the to a high level
coding or no execu- PLC B through reading guard is open. while the guard
tion at the CPU, which the pressure switch is open.
In the case of faults
causes PLC B to switch 1S0.
detected by PLC B
on 1V0 while the guard
Others can be detected through reading the
is open.
early by WDa function pressure switch 1S0,
of PLC B. PLC B informs PLC A
and keeps K1 deacti-
F6
vated. As a result of
reporting, PLC A pre-
vents the re-start.
In the case of faults
detected by WD, PLC B
tries to inform PLC A
and then to keep
stopped the pneumatic
motor A3 via 1V0 and
prevent the re-start.
As a result of the indirect monitoring by PLC B of its own output card through 1S0, indirect monitoring of PLC B
by PLC A through the position of K1 feedback contact and program sequence monitoring by the internal watch-
dog, PLC B is considered to have a DC of 90 %.
NOTE It is considered that most PLC faults occur at input/output cards and are of the stuck-at type (90 % of all faults in
a PLC), but the WD function of a PLC can only detect some faults that affect program sequencing.
Stop-ved-fejl ved Nogle fejl (fx ved Pneumatisk motor A3 Et statisk højt
indgangs-/udgangs- udgangskort) standses straks af PLC A niveau påføres
kortene eller stop-ved- genkendes af PLC B ved via 3V1, når 1V0-udgangen
fejl eller forkert kodning læsning af pressostat afskærmningen åbnes. ved PLC B, før
eller manglende 1S0, når der er krav til afskærmningen
udførelse i CPU’en, sikkerhedsfunktionen. I tilfælde af fejl åbnes.
hvilket forhindrer PLC B detekteret af PLC B via
i at afbryde 1V0, før eller Andre fejl kan læsning af pressostat
når afskærmningen detekteres tidligt af 1S0 sender PLC B
åbnes. WDa-funktionen i PLC B. information til PLC A og
holder K1 deaktiveret.
Som følge af
F5 informationen
forhindrer PLC A
genstart.
For fejl detekteret af WD
forsøger PLC B at sende
information til PLC A og
derefter at standse
pneumatisk motor A3
via 1V0 samt at
forhindre genstart før
næste krav til
PLC B sikkerhedsfunktionen.
Som følge af PLC B’s indirekte overvågning af eget udgangskort via 1S0, indirekte overvågning af PLC B foretaget af PLC A
via positionen af K1-tilbagemeldingskontakten og den interne vagthunds overvågning af programsekvensen antages PLC B
at have et DC på 90 %.
NOTE – Det antages, at de fleste PLC-fejl opstår ved indgangs-/udgangskortene og er af typen stop-ved-fejl (90 % af alle fejl i en PLC), men
WD-funktionen af en PLC kan kun detektere visse fejl, der påvirker programsekvensen.
76 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Table E.5 (continued)
Component/ Potential faults/ Tests for con-
Fault detection Effect/reaction
unit failure firmation
F7 Directional- Non-switching (stick- Fault is recognized by Pneumatic motor A3 is Apply a static
control sole- ing at the end posi- PLC B through reading immediately stopped high level at the
noid valve tion) or incomplete of pressure switch 1S0 by PLC A via 3V1 when 1V0 output of
1V0 switching (sticking at when the safety func- the guard is opened. PLC B before the
a random intermediate tion is demanded. guard is opened.
In the case of faults
position) or change of
detected by PLC B
switching times, before
through reading the
or when the guard is
pressure switch 1S0,
opened.
PLC B informs PLC A
and keeps K1 de-
energized. As a result
of reporting, PLC A
prevents the re-start.
F8 Magnetic Spontaneous change — — —
valve 1V0 of the initial switching
position (without an
input signal) while the
guard is open.
NOTE This fault can
be excluded because
1V0 possesses well-
tried springs and
normal installation and
operating conditions
are applied.
Indirect monitoring of 1V0 by PLC B through 1S0 gives a DC of 99 % for 1V0.
a Some internal faults of PLCs that, a priori, do not cause a failure of the safety function (e.g. inability of PLCs to send a
stop command to the drive or to a valve, or inability to keep a stop command on the drive or on a valve) can be detected by
the WD function.
From the analysis, it can be deduced that most single faults in the SRP/CS will be detected either
immediately, or at an operational stop of the pneumatic motor, A3, or at the next demand upon the safety
function. When a single fault occurs, the safety function is always performed. Re-start is possible with
only one channel in the case of undetected faults in PLC A and PLC B.
The analysis determines that values of DC assumed during the design of the SRP/CSL/O are adequate.
Taking into account the estimated MTTFd values and the DC values for the various components used in
SRP/CSL/O, a DCavg result of medium (90 %) is achieved, as was estimated during the design.
These characteristics are typical for Category 3, selected in the design (see E.4.1) in order to comply
with the safety requirement specification given in E.3 (PLr).
To check the correct implementation of the diagnostic measures, the tests described in the final column
of Table E.5 could be applied.
Automatisk ændring af — — —
udgangspositionen
(uden indgangssignal),
mens afskærmningen
er åben.
Magnetventil
F8
1V0 NOTE – Denne fejl kan
udelukkes, fordi 1V0 har
velgennemprøvede fjedre,
og der gælder normale
installations- og
driftsbetingelser.
Indirekte overvågning af 1V0 foretaget af PLC B via 1S0 giver et DC på 99 % for 1V0.
a Visse interne fejl i PLC’er, der på forhånd ikke medfører svigt af sikkerhedsfunktionen (fx at PLC’er er ude af stand til at sende en stopkom-
mando til drevet eller til en ventil eller er ude af stand til at opretholde en stopkommando på drevet eller en ventil), kan detekteres af
WD-funktionen.
Af analysen kan det udledes, at de fleste enkeltfejl i SRP/CS enten detekteres straks eller ved et driftsstop af pneu-
matisk motor A3 eller ved næste krav til sikkerhedsfunktionen. Når der opstår en enkeltfejl, udføres sikkerhedsfunk-
tionen altid. Det er muligt at genstarte med kun én kanal i tilfælde af udetekterede fejl i PLC A og PLC B.
Ved analysen bestemmes det, at de DC-værdier, der er antaget ved konstruktionen af SRP/CSL/O, er tilstrækkelige.
Under hensyntagen til de skønnede MTTFd-værdier og DC-værdierne for de forskellige komponenter, der er an-
vendt i SRP/CSL/O, opnås et middel DCavg-resultat (90 %), således som det blev skønnet ved konstruktionen.
Disse egenskaber er typiske for kategori 3, som er valgt til konstruktionen (se E.4.1) for at sikre overensstemmelse
med specifikationen af sikkerhedskrav i E.3 (PLr).
For at kontrollere korrekt gennemførelse af de diagnostiske foranstaltninger kan de prøvninger, der er beskrevet i
sidste kolonne i tabel E.5, anvendes.
77 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
Bibliography
[1] ISO 4079-1, Rubber hoses and hose assemblies — Textile-reinforced hydraulic types — Specification
— Part 1: Oil-based fluid applications
[2] ISO 4413:2010, Hydraulic fluid power — General rules and safety requirements for systems and
their components
[3] ISO 4414:2010, Pneumatic fluid power — General rules and safety requirements for systems and
their components
[4] ISO 4960, Cold-reduced carbon steel strip with a mass fraction of carbon over 0,25 %
[5] ISO 5598:2008, Fluid power systems and components — Vocabulary
[6] ISO 11161, Safety of machinery — Integrated manufacturing systems — Basic requirements
[7] ISO 13850, Safety of machinery — Emergency stop — Principles for design
[8] ISO 13851, Safety of machinery — Two-hand control devices — Functional aspects and design principles
[9] ISO 13855, Safety of machinery — Positioning of safeguards with respect to the approach speeds of
parts of the human body
[10] ISO 13856 (all parts), Safety of machinery — Pressure-sensitive protective devices
[11] ISO 14118:2000, Safety of machinery — Prevention of unexpected start-up
[12] ISO 14119:1998, Safety of machinery — Interlocking devices associated with guards — Principles
for design and selection
[13] IEC 60204-1:2005, Safety of machinery — Electrical equipment of machines — Part 1: General
requirements
[14] IEC 60269-1, Low-voltage fuses — Part 1: General requirements
[15] IEC 60529, Degrees of protection provided by enclosures (IP code)
[16] IEC 60664 (all parts), Insulation coordination for equipment within low-voltage systems
[17] IEC 60812, Analysis techniques for system reliability — Procedure for failure mode and effects
analysis (FMEA)
[18] IEC 60893-1, Insulating materials — Industrial rigid laminated sheets based on thermosetting
resins for electrical purposes — Part 1: Definitions, designations and general requirements
[19] IEC 60947 (all parts), Low-voltage switchgear and controlgear
[20] IEC 61025, Fault tree analysis (FTA)
[21] IEC 61078, Analysis techniques for dependability — Reliability block diagram and boolean methods
[22] IEC 61131-1, Programmable controllers — Part 1: General information
[23] IEC 61131-2, Programmable controllers — Part 2: Equipment requirements and tests
[24] IEC 61165, Application of Markov techniques
[25] IEC 61249 (all parts), Materials for printed boards and other interconnecting structures
[26] IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems
Bibliografi
[1] ISO 4079-1, Rubber hoses and hose assemblies – Textile-reinforced hydraulic types – Specification – Part 1:
Oil-based fluid applications
[2] ISO 4413:2010, Hydraulic fluid power – General rules and safety requirements for systems and their compo-
nents
[3] ISO 4414:2010, Pneumatic fluid power – General rules and safety requirements for systems and their compo-
nents
[4] ISO 4960, Cold-reduced carbon steel strip with a mass fraction of carbon over 0,25 %
[6] ISO 11161, Safety of machinery – Integrated manufacturing systems – Basic requirements
[7] ISO 13850, Safety of machinery – Emergency stop – Principles for design
[8] ISO 13851, Safety of machinery –Two-hand control devices – Functional aspects and design principles
[9] ISO 13855, Safety of machinery – Positioning of safeguards with respect to the approach speeds of parts of
the human body
[10] ISO 13856 (all parts), Safety of machinery – Pressure-sensitive protective devices
[12] ISO 14119:1998, Safety of machinery – Interlocking devices associated with guards – Principles for design and
selection
[13] IEC 60204-1:2005, Safety of machinery – Electrical equipment of machines – Part 1: General requirements
[16] IEC 60664 (all parts), Insulation coordination for equipment within low-voltage systems
[17] IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA)
[18] IEC 60893-1, Insulating materials – Industrial rigid laminated sheets based on thermosetting resins for electri-
cal purposes – Part 1: Definitions, designations and general requirements
[21] IEC 61078, Analysis techniques for dependability – Reliability block diagram and boolean methods
[23] IEC 61131-2, Programmable controllers – Part 2: Equipment requirements and tests
[25] IEC 61249 (all parts), Materials for printed boards and other interconnecting structures
78 (da)
Licensed to:Lego System A/S
COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
[27] IEC 61558 (all parts), Safety of power transformers, power supplies, reactors and similar products
[28] IEC 61800-5-2, Adjustable speed electrical power drive systems — Part 5-2: Safety requirements —
Functional
[29] IEC 61810 (all parts), Electromechanical elementary relays
[30] EN 952:1996, Safety of machinery — Safety requirements for fluid power systems and their
components — Hydraulics
[31] EN 953:1996, Safety of machinery — Safety requirements for fluid power systems and their
components — Pneumatics
[32] EN 50205, Relays with forcibly guided (mechanically linked) contacts
[33] EN 60730 (all parts), Automatic electric controls for household and similar use
[34] JESD22A121.01,Test Method for Measuring Whisker Growth on Tin and Alloy Surfaces Finishes1)
[35] JESD201, Environmental Acceptance Requirements for Tin Whisker Susceptibility of Tin and Alloy
Surface Finishes1)
1) JEDEC Solid State Technology Association, 2500 Wilson Boulevard, Arlington, VA 22201-3834, www.jedec.
org/download/search/22a1121-01.pdf
[27] IEC 61558 (all parts), Safety of power transformers, power supplies, reactors and similar products
[28] IEC 61800-5-2, Adjustable speed electrical power drive systems – Part 5-2: Safety requirements – Functional
[30] EN 952:1996, Safety of machinery – Safety requirements for fluid power systems and their components – Hy-
draulics
[31] EN 953:1996, Safety of machinery – Safety requirements for fluid power systems and their components –
Pneumatics
[33] EN 60730 (all parts), Automatic electric controls for household and similar use
[34] JESD22A121.01,Test Method for Measuring Whisker Growth onTin and Alloy Surfaces Finishes
[35] JESD201, Environmental Acceptance Requirements for Tin Whisker Susceptibility of Tin and Alloy Surface Fi-
nishes1)
1)
JEDEC Solid State Technology Association, 2500 Wilson Boulevard, Arlington, VA 22201-3834, www.jedec.org/download/
search/22a1121-01.pdf
79 (da)
Licensed to:Lego System A/S