EN ISO 13849-2 2014 Maskinsikkerhed - Sikkerhedsrelaterede Dele Af Styresysteme...

Dansk standard DS/EN ISO 13849-2:2014
5. udgave
2014-07-17
Maskinsikkerhed –
Sikkerhedsrelaterede dele af
styresystemer – Del 2: Validering
Safety of machinery – Safety-related parts of
control systems – Part 2: Validation
Licensed to:Lego System A/S

COPYRIGHT © Danish Standards Foundation. Not for commercial use or reproduction. DS/EN ISO 13849-2:2014
DS/EN ISO 13849-2:2014

København
DS projekt: M268253
ICS: 13.110
Første del af denne publikations betegnelse er:

DS/EN ISO, hvilket betyder, at det er en international standard, der har status både som europæisk og dansk standard.
Denne publikations overensstemmelse er:

IDT med: ISO 13849-2:2012.
IDT med: EN ISO 13849-2:2012.
DS-publikationen er på dansk og engelsk.
Denne publikation erstatter: DS/EN ISO 13849-2:2012 som kun forelå i engelsksproget version. Der er ikke foretaget
ændringer i denne nye udgave, ud over at den danske oversættelse er indføjet.
I tilfælde af tvivl om korrektheden af den danske oversættelse henvises til den engelske version.
DS-publikationstyper
Dansk Standard udgiver forskellige publikationstyper.
Typen på denne publikation fremgår af forsiden.
Der kan være tale om:

Dansk standard
• standard, der er udarbejdet på nationalt niveau, eller som er baseret på et andet lands nationale standard, eller
• standard, der er udarbejdet på internationalt og/eller europæisk niveau, og som har fået status som dansk standard
DS-information
• publikation, der er udarbejdet på nationalt niveau, og som ikke har opnået status som standard, eller
• publikation, der er udarbejdet på internationalt og/eller europæisk niveau, og som ikke har fået status som standard, fx en
teknisk rapport, eller
• europæisk præstandard
DS-håndbog
• samling af standarder, eventuelt suppleret med informativt materiale
DS-hæfte
• publikation med informativt materiale
Til disse publikationstyper kan endvidere udgives

• tillæg og rettelsesblade
DS-publikationsform
Publikationstyperne udgives i forskellig form som henholdsvis
• fuldtekstpublikation (publikationen er trykt i sin helhed)
• godkendelsesblad (publikationen leveres i kopi med et trykt DS-omslag)
• elektronisk (publikationen leveres på et elektronisk medie)
DS-betegnelse
Alle DS-publikationers betegnelse begynder med DS efterfulgt af et eller flere præfikser og et nr., fx DS 383, DS/EN 5414 osv. Hvis der efter nr.
er angivet et A eller Cor, betyder det, enten at det er et tillæg eller et rettelsesblad til hovedstandarden, eller at det er indført i
hovedstandarden.
DS-betegnelse angives på forsiden.
Overensstemmelse med anden publikation:

Overensstemmelse kan enten være IDT, EQV, NEQ eller MOD
• IDT: Når publikationen er identisk med en given publikation.
• EQV: Når publikationen teknisk er i overensstemmelse med en given publikation, men
præsentationen er ændret.
• NEQ: Når publikationen teknisk eller præsentationsmæssigt ikke er i overensstemmelse med en
given standard, men udarbejdet på baggrund af denne.
• MOD: Når publikationen er modificeret i forhold til en given publikation.

EUROPEAN STANDARD EN ISO 13849-2

NORME EUROPÉENNE
EUROPÄISCHE NORM October 2012
ICS 13.110 Supersedes EN ISO 13849-2:2008
English Version
Safety of machinery - Safety-related parts of control systems -

Part 2: Validation (ISO 13849-2:2012)
Sécurité des machines - Parties des systèmes de Sicherheit von Maschinen - Sicherheitsbezogene Teile von
commande relatives à la sécurité - Partie 2: Validation (ISO Steuerungen - Teil 2: Validierung (ISO 13849-2:2012)
13849-2:2012)
This European Standard was approved by CEN on 14 October 2012.
CEN members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European
Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical references concerning such national
standards may be obtained on application to the CEN-CENELEC Management Centre or to any CEN member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by translation
under the responsibility of a CEN member into its own language and notified to the CEN-CENELEC Management Centre has the same
status as the official versions.
CEN members are the national standards bodies of Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia,
Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania,
Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey and United
Kingdom.
EUROPEAN COMMITTEE FOR STANDARDIZATION

COMITÉ EUROPÉEN DE NORMALISATION
EUROPÄISCHES KOMITEE FÜR NORMUNG
Management Centre: Avenue Marnix 17, B-1000 Brussels
© 2012 CEN All rights of exploitation in any form and by any means reserved Ref. No. EN ISO 13849-2:2012: E
worldwide for CEN national Members.

EN ISO 13849-2:2012 (E)
Contents Page
Foreword ..............................................................................................................................................................3
Annex ZA (informative) Relationship between this European Standard and the Essential
Requirements of EU Directive 2006/42/EC .........................................................................................4
2
DS/EN ISO 13849-2:2014
Indholdsfortegnelse
Side
Forord..................................................................................................................................................................................... 3
Anneks ZA (informativt)
Sammenhæng mellem denne europæiske standard og
de væsentlige krav i EU-direktiv 2006/42/EF................................................................... 4
2 (da)
EN ISO 13849-2:2012 (E)
Foreword
This document (EN ISO 13849-2:2012) has been prepared by Technical Committee ISO/TC 199 “Safety of
machinery” in collaboration with Technical Committee CEN/TC 114 “Safety of machinery” the secretariat of
which is held by DIN.
This European Standard shall be given the status of a national standard, either by publication of an identical
text or by endorsement, at the latest by April 2013, and conflicting national standards shall be withdrawn at the
latest by April 2013.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. CEN [and/or CENELEC] shall not be held responsible for identifying any or all such patent rights.
This document supersedes EN ISO 13849-2:2008.
This document has been prepared under a mandate given to CEN by the European Commission and the
European Free Trade Association, and supports essential requirements of EU Directive.
For relationship with EU Directive, see informative Annex ZA, which is an integral part of this document.
According to the CEN/CENELEC Internal Regulations, the national standards organisations of the following
countries are bound to implement this European Standard: Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech
Republic, Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece,
Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal,
Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey and the United Kingdom.
Endorsement notice
The text of ISO 13849-2:2012 has been approved by CEN as a EN ISO 13849-2:2012 without any
modification.
3
DS/EN ISO 13849-2:2014
Forord
Dette dokument (EN ISO 13849-2:2012) er udarbejdet af teknisk komité ISO/TC 199, Safety of machinery, i samar-
bejde med teknisk komité CEN/TC 114, Safety of machinery, hvis sekretariat varetages af DIN.
Denne europæiske standard skal inden april 2013 have status som national standard enten ved udgivelse af en
identisk tekst eller ved formel godkendelse, og modstridende nationale standarder skal være trukket tilbage senest
april 2013.
Der gøres opmærksom på, at dele af denne standard eventuelt kan være genstand for patentrettigheder. CEN [og/
eller CENELEC] kan ikke drages til ansvar for at identificere sådanne rettigheder.
Dette dokument erstatter EN ISO 13849-2:2008.
Dette dokument er udarbejdet af CEN i henhold til et mandat fra Europa-Kommissionen og EFTA, og det underbyg-
ger væsentlige krav i ét eller flere EU-direktiver.
Sammenhængen med EU-direktiver er angivet i det informative anneks ZA, der er en integreret del af dette doku-
ment.
I henhold til CEN/CENELEC’s interne regler er de nationale standardiseringsorganisationer i følgende lande forplig-
tet til at implementere denne europæiske standard: Belgien, Bulgarien, Cypern, Danmark, Den Tidligere Jugoslavi-
ske Republik Makedonien, Estland, Finland, Frankrig, Grækenland, Irland, Island, Italien, Kroatien, Letland, Litauen,
Luxembourg, Malta, Nederlandene, Norge, Polen, Portugal, Rumænien, Schweiz, Slovakiet, Slovenien, Spanien,
Storbritannien, Sverige,Tjekkiet,Tyrkiet,Tyskland, Ungarn og Østrig.
Godkendelse
Teksten i ISO 13849-2:2012 er godkendt af CEN som EN ISO 13849-1:2012 uden ændringer.
3 (da)
EN ISO 13849-2:2012 (E)
Annex ZA
(informative)
Relationship between this European Standard and the Essential
Requirements of EU Directive 2006/42/EC
This European Standard has been prepared under a mandate given to CEN by the European Commission
and the European Free Trade Association to provide a means of conforming to Essential Requirements of the
New Approach Directive Machinery, 2006/42/EC.
Once this standard is cited in the Official Journal of the European Union under that Directive and has been
implemented as a national standard in at least one Member State, compliance with the normative clauses of
this standard confers, within the limits of the scope of this standard, a presumption of conformity with the
relevant Essential Requirements 1.2.1 of that Directive and associated EFTA regulations.
WARNING — Other requirements and other EU Directives may be applicable to the product(s) falling
within the scope of this standard.
4
DS/EN ISO 13849-2:2014
Anneks ZA
(informativt)
Sammenhæng mellem denne europæiske standard og de væsentlige krav i

EU-direktiv 2006/42/EF
Denne europæiske standard er udarbejdet af CEN i henhold til et mandat fra Europa-Kommissionen og EFTA for at
tilvejebringe en metode til opfyldelse af væsentlige krav i direktiv 2006/42/EF om maskiner, der er et direktiv efter
den nye metode.
Når denne standard er blevet omtalt i Den Europæiske Unions Tidende under dette direktiv og er blevet implemen-
teret som national standard i mindst én medlemsstat, giver overensstemmelse med de normative punkter i denne
standard en formodning om, at de væsentlige krav i 1.2.1 i det pågældende direktiv og tilhørende EFTA-regulativer
er opfyldt inden for denne standards anvendelsesområde.
ADVARSEL– Andre krav og andre EU-direktiver kan gælde for de produkter, der er omfattet af denne standards
anvendelsesområde.
4 (da)

INTERNATIONAL ISO
STANDARD 13849-2
Second edition
2012-10-15
Safety of machinery — Safety-related

parts of control systems —
Part 2:
Validation
Sécurité des machines — Parties des systèmes de commande relatives
à la sécurité —
Partie 2: Validation
Reference number
ISO 13849-2:2012(E)
© ISO 2012
ISO 13849-2:2012(E)
Contents Page
Foreword......................................................................................................................................................................................................................................... iv
Introduction...................................................................................................................................................................................................................................v
1 Scope.................................................................................................................................................................................................................................. 1
2 Normative references....................................................................................................................................................................................... 1
3 Terms and definitions...................................................................................................................................................................................... 1
4 Validation process................................................................................................................................................................................................ 1
4.1 Validation principles........................................................................................................................................................................... 1
4.2 Validation plan......................................................................................................................................................................................... 3
4.3 Generic fault lists.................................................................................................................................................................................... 4
4.4 Specific fault lists................................................................................................................................................................................... 4
4.5 Information for validation.............................................................................................................................................................. 4
4.6 Validation record.................................................................................................................................................................................... 6
5 Validation by analysis....................................................................................................................................................................................... 6
5.1 General............................................................................................................................................................................................................ 6
5.2 Analysis techniques............................................................................................................................................................................. 7
6 Validation by testing.......................................................................................................................................................................................... 7
6.1 General............................................................................................................................................................................................................ 7
6.2 Measurement accuracy..................................................................................................................................................................... 8
6.3 More stringent requirements...................................................................................................................................................... 8
6.4 Number of test samples.................................................................................................................................................................... 8
7 Validation of safety requirements specification for safety functions............................................................ 9
8 Validation of safety functions................................................................................................................................................................... 9
9 Validation of performance levels and categories.............................................................................................................10
9.1 Analysis and testing ......................................................................................................................................................................... 10
9.2 Validation of category specifications................................................................................................................................. 10
9.3 Validation of MTTFd, DCavg and CCF................................................................................................................................... 12
9.4 Validation of measures against systematic failures related to performance level and
category of SRP/CS............................................................................................................................................................................ 13
9.5 Validation of safety-related software................................................................................................................................. 13
9.6 Validation and verification of performance level.................................................................................................... 14
9.7 Validation of combination of safety-related parts.................................................................................................. 14
10 Validation of environmental requirements............................................................................................................................15
11 Validation of maintenance requirements.................................................................................................................................15
12 Validation of technical documentation and information for use.....................................................................16
Annex A (informative) Validation tools for mechanical systems..........................................................................................17
Annex B (informative) Validation tools for pneumatic systems............................................................................................21
Annex C (informative) Validation tools for hydraulic systems................................................................................................31
Annex D (informative) Validation tools for electrical systems................................................................................................40
Annex E (informative) Example of validation of fault behaviour and diagnostic means.............................53
Bibliography.............................................................................................................................................................................................................................. 78
© ISO 2012 – All rights reserved iii

DS/EN ISO 13849-2:2014
Indholdsfortegnelse
Side
Forord..................................................................................................................................................................................... iv
Indledning.............................................................................................................................................................................. v
1 Anvendelsesområde................................................................................................................................................... 1
2 Normative referencer.................................................................................................................................................. 1
3 Termer og definitioner................................................................................................................................................ 1
4 Valideringsproces........................................................................................................................................................ 1
4.1 Valideringsprincipper........................................................................................................................................ 1
4.2 Valideringsplan.................................................................................................................................................. 3
4.3 Lister over generiske fejl................................................................................................................................... 4
4.4 Lister over specifikke fejl.................................................................................................................................. 4
4.5 Information til validering.................................................................................................................................. 4
4.6 Valideringsregistrering..................................................................................................................................... 6
5 Validering ved analyse................................................................................................................................................ 6
5.1 Generelt.............................................................................................................................................................. 6
5.2 Analyseteknikker............................................................................................................................................... 7
6 Validering ved prøvning............................................................................................................................................. 7
6.1 Generelt.............................................................................................................................................................. 7
6.2 Målenøjagtighed............................................................................................................................................... 8
6.3 Strengere krav................................................................................................................................................... 8
6.4 Antal prøveemner............................................................................................................................................. 8
7 Validering af specifikationen af sikkerhedskrav til sikkerhedsfunktioner........................................................ 9
8 Validering af sikkerhedsfunktioner.......................................................................................................................... 9
9 Validering af PL-niveauer og kategorier.................................................................................................................. 10
9.1 Analyse og prøvning......................................................................................................................................... 10
9.2 Validering af kategorispecifikationer.............................................................................................................. 10
9.3 Validering af MTTFd, DCavg og CCF................................................................................................................. 12
9.4 Validering af foranstaltninger mod systematiske svigt relateret til den
sikkerhedsrelaterede dels PL-niveauer og kategori...................................................................................... 13
9.5 Validering af sikkerhedsrelateret software..................................................................................................... 13
9.6 Validering og verifikation af PL-niveau........................................................................................................... 14
9.7 Validering af kombinationen af sikkerhedsrelaterede dele......................................................................... 14
10 Validering af miljøkrav................................................................................................................................................ 15
11 Validering af vedligeholdelseskrav.......................................................................................................................... 15
12 Validering af teknisk dokumentation og brugerinformation.............................................................................. 16
Anneks A (informativt) Valideringsværktøjer til mekaniske systemer..................................................................... 17
Anneks B (informativt) Valideringsværktøjer til pneumatiske systemer................................................................. 21
Anneks C (informativt) Valideringsværktøjer til hydrauliske systemer.................................................................... 31
Anneks D (informativt) Valideringsværktøjer til elektriske systemer....................................................................... 40
Anneks E (informativt) Eksempel på validering af opførsel ved fejl og diagnosticeringsmidler........................ 53
Bibliografi............................................................................................................................................................................... 78
iii (da)
ISO 13849-2:2012(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 13849-2 was prepared by Technical Committee ISO/TC 199, Safety of machinery.
This second edition cancels and replaces the first edition (ISO 13849-2:2003), which has been technically
revised in order to adapt to ISO 13849-1:2006. In addition, the new Annex E provides an example for the
validation of fault behaviour and diagnostic means.
ISO 13849 consists of the following parts, under the general title Safety of machinery — Safety-related
parts of control systems:
— Part 1: General principles for design
— Part 2: Validation
Annexes A to D, which are informative, are structured according to Table 1.
Table 1 — Structure of Annexes A to D of this part of ISO 13849

List of basic safety List of well-tried List of well-tried Fault lists and
Annex Technology principles safety principles components fault exclusions
Table(s)
A Mechanical A.1 A.2 A.3 A.4, A.5
B Pneumatic B.1 B.2 — B.3 to B.18
C Hydraulic C.1 C.2 — C.3 to C.12
Electrical (includes
D D.1 D.2 D.3 D.4 to D.21
electronics)
iv © ISO 2012 – All rights reserved

DS/EN ISO 13849-2:2014
Forord
ISO (the International Organization for Standardization) er en verdensomspændende sammenslutning af nationale
standardiseringsorganer (ISO's medlemsorganer). Internationale standarder udarbejdes normalt af ISO's tekniske
komitéer. Hvert medlemsorgan, som er interesseret i et emne, inden for hvilket der er oprettet en teknisk komité, har
ret til at være repræsenteret i den pågældende komité. Internationale organisationer, både statslige og ikke-statsli-
ge, der har en samarbejdsaftale med ISO, deltager ligeledes i arbejdet. ISO samarbejder tæt med IEC (the Internatio-
nal Electrotechnical Commission) i alle forhold vedrørende elektroteknisk standardisering.
Internationale standarder udarbejdes i overensstemmelse med reglerne i ISO/IEC Directives, Part 2.
Tekniske komitéers primære opgave er at udarbejde internationale standarder. Forslag til internationale standarder,
der er godkendt af de tekniske komitéer, sendes ud til medlemsorganerne til afstemning. Offentliggørelse som in-
ternational standard kræver godkendelse af mindst 75 % af de medlemsorganer, som afgiver deres stemme.
Der gøres opmærksom på, at dele af denne standard eventuelt kan være genstand for patentrettigheder. ISO kan
ikke drages til ansvar for at identificere sådanne rettigheder.
ISO 13849-2 er udarbejdet af teknisk komité ISO/TC 199, Safety of machinery.
Denne 2. udgave ophæver og erstatter 1. udgave (ISO 13849-2:2003), hvis indhold er blevet teknisk revideret med
henblik på tilpasning i forhold til ISO 13849-1:2006. Derudover giver det nye anneks E et eksempel på validering af
opførsel ved fejl og diagnosticeringsmidler.
ISO 13849 består af følgende dele med den overordnede titel Maskinsikkerhed – Sikkerhedsrelaterede dele af styre-
systemer:
–– Del 1: Generelle principper for konstruktion
–– Del 2: Validering
Anneks A til D, som er informative, er struktureret i overensstemmelse med tabel 1.
Tabel 1 – Strukturering af anneks A til D i denne del af ISO 13849

Liste over Liste over
Liste over
grundlæggende velgennemprøvede Fejllister og
velgennemprøvede
Anneks Teknologi sikkerheds- sikkerheds- fejludelukkelser
komponenter
principper principper
Tabel
A Mekanisk A.1 A.2 A.3 A.4, A.5
B Pneumatisk B.1 B.2 — B.3 til B.18
C Hydraulisk C.1 C.2 — C.3 til C.12
Elektrisk
D D.1 D.2 D.3 D.4 til D.21
(inkl. elektronisk)
iv (da)
ISO 13849-2:2012(E)
Introduction
The structure of safety standards in the field of machinery is as follows:
a) type-A standards (basic safety standards) giving basic concepts, principles for design and general
aspects that can be applied to machinery;
b) type-B standards (generic safety standards) dealing with one safety aspect or one type of safeguard
that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (for example safety distances, surface
temperature, noise);
— type-B2 standards on safeguards (for example two-hand controls, interlocking devices,
pressure-sensitive devices, guards);
c) type-C standards (machine safety standards) dealing with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B standard as stated in ISO 12100.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and built
according to the requirements of that standard, the requirements of that type-C standard take precedence.
This part of ISO 13849 specifies the validation process for the safety functions, categories and performance
levels for the safety-related parts of control systems. It recognizes that the validation of safety-related
parts of control systems can be achieved by a combination of analysis (see Clause 5) and testing (see
Clause 6), and specifies the particular circumstances in which testing ought to be carried out.
Most of the procedures and conditions in this part of ISO 13849 are based on the assumption that the
simplified procedure for estimating the performance level (PL) described in ISO 13849-1:2006, 4.5.4, is
used. This part of ISO 13849 does not provide guidance for situations when other procedures are used
to estimate PL (e.g. Markov modelling), in which case some of its provisions will not apply and additional
requirements can be necessary.
Guidance on the general principles for the design (see ISO 12100) of safety-related parts of control
systems, regardless of the type of technology used (electrical, hydraulic, pneumatic, mechanical, etc.),
is provided in ISO 13849-1. This includes descriptions of some typical safety functions, determination
of their required performance levels, and general requirements of categories and performance levels.
Within this part of ISO 13849, some of the validation requirements are general, whereas others are
specific to the type of technology used.
© ISO 2012 – All rights reserved v

DS/EN ISO 13849-2:2014
lndledning
Sikkerhedsstandarder på maskinområdet inddeles efter følgende struktur:
a) type A-standarder (grundlæggende sikkerhedsstandarder), der indeholder grundlæggende begreber, principper

for konstruktion og generelle forhold, der kan gælde for alle maskiner
b) type B-standarder (generiske sikkerhedsstandarder), der behandler ét sikkerhedsaspekt eller én type beskyttel-
sesanordning, der kan anvendes til en række maskiner:
–– type B1-standarder om særlige sikkerhedsaspekter (fx sikkerhedsafstande, overfladetemperatur, støj)
–– type B2-standarder om beskyttelsesanordninger (fx tohåndsbetjeninger, tvangskoblingsanordninger, trykføl-

somme anordninger, afskærmninger)
c) type C-standarder (maskinsikkerhedsstandarder), der omhandler detaljerede sikkerhedskrav til en bestemt ma-
skine eller gruppe af maskiner.
Dette dokument er en type B-standard, som angivet i ISO 12100.
Kravene i dette dokument kan suppleres eller ændres af en type C-standard.
For maskiner, der er omfattet af en type C-standards anvendelsesområde, og som er konstrueret og fremstillet i
henhold til kravene i type C-standarden, har kravene i type C-standarden forrang.
Denne del af ISO 13849 specificerer valideringsprocessen for sikkerhedsfunktioner, kategorier og PL-niveauer af de
sikkerhedsrelaterede dele af styresystemer. I standarden anerkendes det, at valideringen af sikkerhedsrelaterede
dele af styresystemer kan foretages ved en kombination af analyse (se pkt. 5) og prøvning (se pkt. 6), og de særlige
omstændigheder, hvorunder der bør foretages prøvning, fastlægges.
De fleste af procedurerne og betingelserne i denne del af ISO 13849 tager udgangspunkt i den antagelse, at den
forenklede metode til skøn af PL-niveauet (PL), der er beskrevet i ISO 13849-1:2006, 4.5.4, anvendes. Denne del af
ISO 13849 giver ikke vejledning til de situationer, hvor der anvendes andre metoder til skøn af PL-niveauet (fx
Markov-modeller). I disse tilfælde er nogle af bestemmelserne ikke gældende, og yderligere krav kan være nødven-
dige.
Vejledning i de generelle principper for konstruktion (se ISO 12100) af sikkerhedsrelaterede dele af styresystemer,
uanset den anvendte type teknologi (elektrisk, hydraulisk, pneumatisk, mekanisk, osv.), findes i ISO 13849-1. Dette
omfatter beskrivelse af nogle typiske sikkerhedsfunktioner, bestemmelse af de påkrævede PL-niveauer og generelle
krav til kategorier og PL-niveauer.
I denne del af ISO 13849 er nogle af valideringskravene generelle, mens andre er specifikke for den anvendte type
teknologi.
v (da)
INTERNATIONAL STANDARD ISO 13849-2:2012(E)
Safety of machinery — Safety-related parts of control

systems —
Part 2:
Validation
1 Scope
This part of ISO 13849 specifies the procedures and conditions to be followed for the validation by
analysis and testing of
— the specified safety functions,
— the category achieved, and
— the performance level achieved
by the safety-related parts of a control system (SRP/CS) designed in accordance with ISO 13849-1.
NOTE Additional requirements for programmable electronic systems, including embedded software, are
given in ISO 13849-1:2006, 4.6, and IEC 61508 .
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-1:2006, Safety of machinery — Safety-related parts of control systems — Part 1: General
principles for design
3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO 12100 and ISO 13849-1 apply.
4 Validation process
4.1 Validation principles

The purpose of the validation process is to confirm that the design of the SRP/CS supports the overall
safety requirements specification for the machinery.
The validation shall demonstrate that each SRP/CS meets the requirements of ISO 13849-1 and, in
particular, the following:
a) the specified safety characteristics of the safety functions provided by that part, as set out in the
design rationale;
b) the requirements of the specified performance level (see ISO 13849-1:2006, 4.5):
1) the requirements of the specified category (see ISO 13849-1:2006, 6.2),
© ISO 2012 – All rights reserved 1

DS/EN ISO 13849-2:2014
Maskinsikkerhed – Sikkerhedsrelaterede dele af styresystemer –

Del 2: Validering
1 Anvendelsesområde
Denne del af ISO 13849 specificerer de procedurer og betingelser, der skal følges for validering ved analyse og prøv-
ning af:
–– de specificerede sikkerhedsfunktioner
–– den opnåede kategori
–– det opnåede PL-niveau
af de sikkerhedsrelaterede dele af et styresystem (SRP/CS, safety-related parts of control systems), der er konstrue-
ret i overensstemmelse med ISO 13849-1.
NOTE – Yderligere krav til programmerbare elektroniske systemer, herunder indlejret software, findes i ISO 13849-1:2006, 4.6,
og IEC 61508.
2 Normative referencer
Følgende nævnte dokumenter er absolut nødvendige for anvendelsen af dette dokument. Ved daterede referencer
gælder kun den nævnte udgave. For udaterede referencer gælder den nyeste udgave af det pågældende dokument
(med eventuelle tillæg).
ISO 12100:2010, Safety of machinery – General principles for design – Risk assessment and risk reduction
ISO 13849-1:2006, Safety of machinery – Safety-related parts of control systems – Part 1: General principles for de-
sign
3 Termer og definitioner
I dette dokument gælder termerne og definitionerne i ISO 12100 og ISO 13849-1.
4 Valideringsproces
4.1 Valideringsprincipper
Formålet med valideringsprocessen er at bekræfte, at konstruktionen af SRP/CS understøtter den overordnede spe-
cifikation af sikkerhedskrav for maskinen.
Valideringen skal vise, at hver SRP/CS opfylder kravene i ISO 13849-1, og især følgende:
a) de specificerede sikkerhedsegenskaber ved de sikkerhedsfunktioner, som den pågældende del udfører, som
beskrevet i grundlaget for konstruktionen
b) kravene til det fastlagte PL-niveau (se ISO 13849-1:2006, 4.5):
1) kravene til den specificerede kategori (se ISO 13849-1:2006, 6.2)
1 (da)
ISO 13849-2:2012(E)
2) the measures for control and avoidance of systematic failures (see ISO 13849-1:2006, Annex G),
3) if applicable, the requirements of the software (see ISO 13849-1:2006, 4.6), and
4) the ability to perform a safety function under expected environmental conditions;
c) the ergonomic design of the operator interface, e.g. so that the operator is not tempted to act in a
hazardous manner, such as defeating the SRP/CS (see ISO 13849-1:2006, 4.8).
Validation should be carried out by persons who are independent of the design of the SRP/CS.
NOTE “Independent person” does not necessarily mean that a third-party test is required.
Validation consists of applying analysis (see Clause 5) and executing functional tests (see Clause 6)
under foreseeable conditions in accordance with the validation plan. Figure 1 gives an overview of the
validation process. The balance between the analysis and testing depends on the technology used for
the safety-related parts and the required performance level. For Categories 2, 3 and 4 the validation of
the safety function shall also include testing under fault conditions.
The analysis should be started as early as possible in, and in parallel with, the design process. Problems
can then be corrected early while they are still relatively easy to correct, i.e. during steps “design and
technical realization of the safety function” and “evaluate the performance level PL” [the fourth and fifth
boxes down in in ISO 13849-1:2006, Figure 3]. It can be necessary for some parts of the analysis to be
delayed until the design is well developed.
Where necessary due to the system’s size, complexity or the effects of integrating it with the control
system (of the machinery), special arrangements should be made for
— validation of the SRP/CS separately before integration, including simulation of the appropriate input
and output signals, and
— validation of the effects of integrating safety-related parts into the remainder of the control system
within the context of its use in the machine.
2 © ISO 2012 – All rights reserved

DS/EN ISO 13849-2:2014
2) foranstaltningerne til styring og undgåelse af systematiske svigt (se ISO 13849-1:2006, anneks G)
3) kravene til software, hvor det er relevant, (se ISO 13849-1:2006, 4.6)
4) evnen til at udføre en sikkerhedsfunktion under forventede miljøbetingelser.
c) ergonomisk konstruktion af operatørgrænsefladen, fx således at operatøren ikke fristes til at handle på farlig
måde, som fx omgåelse af SRP/CS (se ISO 13849-1:2006, 4.8).
Valideringen bør foretages af personer, der er uafhængige af konstruktionen af SRP/CS.

NOTE – "Uafhængig person" betyder ikke nødvendigvis, at der er behov for tredjepartsprøvning.
Validering består i anvendelse af analyse (se pkt. 5) og udførelse af funktionsprøvninger (se pkt. 6) under forudseeli-
ge betingelser i overensstemmelse med valideringsplanen. Figur 1 viser en oversigt over valideringsprocessen.
Forholdet mellem analyse eller prøvning afhænger af den teknologi, der anvendes til de sikkerhedsrelaterede dele
og det krævede PL-niveau. For kategori 2, 3 og 4 skal valideringen af sikkerhedsfunktionen også omfatte prøvning
ved fejltilstande.
Analysen bør påbegyndes så tidligt som muligt i og parallelt med konstruktionsprocessen. Problemer kan således
blive løst tidligt, mens de stadig er relativt lette at løse, dvs. på trinnene "konstruktion og teknisk udførelse af sikker-
hedsfunktionen" og "vurder PL-niveau" [fjerde og femte boks i ISO 13849-1:2006, figur 3]. Det kan være nødvendigt
at udsætte dele af analysen, indtil konstruktionen er godt udviklet.
Hvor det er nødvendigt på grund af systemets størrelse, kompleksitet eller virkningerne af at integrere det i styresy-
stemet (til maskinen), bør der træffes særlige foranstaltninger for
–– separat validering af SRP/CS, inden de integreres, herunder simulering af de relevante indgangs- og udgangs-
signaler
–– validering af virkningerne af at integrere sikkerhedsrelaterede dele i resten af styresystemet i overensstemmelse

med brugen af systemet i maskinen.
2 (da)
ISO 13849-2:2012(E)
Figure 1 — Overview of the validation process
“Modification of the design” in Figure 1 refers to the design process. If the validation cannot be
successfully completed, changes in the design are necessary. The validation of the modified safety-
related parts should then be repeated. This process should be iterated until all safety-related parts of
the safety functions are successfully validated.
4.2 Validation plan

The validation plan shall identify and describe the requirements for carrying out the validation process
for the specified safety functions, their categories and performance levels.
The validation plan shall also identify the means to be employed to validate the specified safety functions,
categories and performance levels. It shall set out, where appropriate
a) the identity of the specification documents,
b) the operational and environmental conditions during testing,

DS/EN ISO 13849-2:2014
Konstruktions-
mæssige Start
overvejelser
Dokumenter Valideringsplan Valideringsprincipper
Kriterier for
Fejllister Analyse
fejludelukkelse
Er analyse nej
tilstrækkeligt? Prøvning
Specifikation af
sikkerhedsfunktioner
ja
Sikkerhedsfunktion
nej ja Er prøvningen
PL og kategorier: Kategori 2, 3, 4
bestået?
– bestemmelse af kategorien
– MTTFd, DC, CCF ja
– systematiske fejl nej
– software Prøvning af Modifikation af
– verifikation af PL for SRP/CS sikkerhedsfunktion konstruktionen
– kombination af SRP/CS ved fejltilstand
Miljøkrav
Registrering af
Vedligeholdelsesmæssige validering
krav
Teknisk specifikation/
brugerinformation Er alle
sikkerhedsfunk- nej
tioner valideret?
nej
Slut
Figur 1 – Oversigt over valideringsprocessen
"Modifikation af konstruktionen" i figur 1 henviser til konstruktionsprocessen. Hvis der ikke kan gennemføres en vel-
lykket validering, er ændringer i konstruktionen nødvendige. Valideringen af de modificerede sikkerhedsrelaterede
dele bør derefter gentages. Denne proces bør gentages, indtil der er foretaget en vellykket validering af alle sikker-
hedsrelaterede dele af sikkerhedsfunktionerne.
4.2 Valideringsplan
Valideringsplanen skal identificere og beskrive kravene til gennemførelse af valideringsprocessen for de specifice-
rede sikkerhedsfunktioner, deres kategorier og PL-niveauer.
Valideringsplanen skal også angive de metoder, der skal anvendes til at validere de specificerede sikkerhedsfunktio-
ner, kategorier og PL-niveauer. Den skal, hvor det er relevant, anføre
a) specifikationsdokumenternes identitet
b) driftsmæssige og miljømæssige forhold under prøvning
3 (da)
ISO 13849-2:2012(E)
c) the analyses and tests to be applied,

d) the reference to test standards to be applied, and
e) the persons or parties responsible for each step in the validation process.
Safety-related parts which have previously been validated to the same specification need only a
reference to that previous validation.
4.3 Generic fault lists

The validation process involves consideration of the behaviour of the SRP/CS for all faults to be
considered. A basis for fault consideration is given in the tables of fault lists in Annexes A to D, which are
based on experience and which contain
— the components/elements to be included, e.g. conductors/cables (see Annex D),
— the faults to be taken into account, e.g. short circuits between conductors,
— the permitted fault exclusions, taking into account environmental, operating and application
aspects, and
— a remarks section giving the reasons for the fault exclusions.
Only permanent faults are taken into account in the fault lists.
4.4 Specific fault lists

If necessary, a specific product-related fault list shall be generated as a reference document for the
validation process of the safety-related part(s). The list can be based on the appropriate generic list(s)
found in the annexes.
Where the specific product-related fault list is based on the generic list(s) it shall state
a) the faults taken from the generic list(s) to be included,
b) any other relevant faults to be included but not given in the generic list (e.g. common-cause failures),
c) the faults taken from the generic list(s) which may be excluded on the basis that the criteria given in
the generic list(s) (see ISO 13849-1:2006, 7.3) are satisfied, and
exceptionally
d) any other faults for which the generic list(s) do not permit an exclusion, but for which justification
and rationale for an exclusion is presented (see ISO 13849-1:2006, 7.3).
Where this list is not based on the generic list(s), the designer shall give the rationale for fault exclusions.
4.5 Information for validation

The information required for validation will vary with the technology used, the category or categories
and performance level(s) to be demonstrated, the design rationale of the system, and the contribution of
the SRP/CS to the reduction of the risk. Documents containing sufficient information from the following
list shall be included in the validation process to demonstrate that the safety-related parts perform the
specified safety functions to the required performance level or levels and category or categories:
a) specification of the required characteristics of each safety function, and its required category and
performance level;
b) drawings and specifications, e.g. for mechanical, hydraulic and pneumatic parts, printed circuit
boards, assembled boards, internal wiring, enclosure, materials, mounting;

DS/EN ISO 13849-2:2014
c) hvilke analyser og prøvninger der skal foretages
d) en henvisning til de prøvningsstandarder, der skal anvendes
e) de personer eller parter, der er ansvarlige for hvert trin i valideringsprocessen.
For sikkerhedsrelaterede dele, der tidligere er blevet valideret efter samme specifikation, er en henvisning til denne
tidligere validering tilstrækkelig.
4.3 Lister over generiske fejl

I valideringsprocessen indgår overvejelser om, hvordan SRP/CS opfører sig for hver fejl, der skal tages i betragt-
ning. Et grundlag for fejlbetragtninger er angivet i tabellerne over fejllister i anneks A til D, der er baseret på erfaring,
og som indeholder
–– de komponenter/elementer, der skal indgå, fx ledere/kabler (se anneks D)
–– de fejl, der skal tages hensyn til, fx kortslutning mellem ledere
–– de tilladte fejludelukkelser under hensyntagen til miljømæssige, driftsmæssige og anvendelsesmæssige aspek-

ter
–– et felt til bemærkninger, der angiver årsagen til, at fejlene kan udelukkes.
Kun permanente fejl er taget i betragtning i fejllisterne.
4.4 Lister over specifikke fejl

Der skal om nødvendigt udarbejdes en liste over specifikke produktrelaterede fejl i form af et referencedokument
for valideringsprocessen for den eller de sikkerhedsrelaterede dele. Listen kan baseres på de relevante generiske
lister i annekserne.
Når listen over specifikke produktrelaterede fejl er udarbejdet på grundlag af de generiske lister, skal den angive
a) hvilke fejl fra den generiske liste der skal medtages
b) andre relevante fejl, der skal medtages, men som ikke er indeholdt i den generiske liste (fx fælles svigt med
samme årsag)
c) de fejl fra den generiske liste, der kan udelukkes, på grundlag af at kriterierne i de generiske lister (se ISO 13849-1:
2006, 7.3) er opfyldt
og undtagelsesvis
d) eventuelle andre fejl, som det ikke er tilladt at udelukke ifølge de generiske lister, men for hvilke der er givet en
logisk begrundelse for udelukkelse (se ISO 13849-1:2006, 7.3).
Når denne liste ikke er baseret på de generiske lister, skal konstruktøren begrunde fejludelukkelser.
4.5 Information til validering

De oplysninger, der er nødvendige for validering, vil afhænge af den anvendte teknologi, den eller de kategorier og
PL-niveauer, der skal eftervises, begrundelsen for systemets konstruktion og bidraget fra SRP/CS til risikonedsæt-
telsen. Dokumenter, der indeholder tilstrækkelig information fra nedenstående liste, skal indgå i valideringsproces-
sen for at vise, at de sikkerhedsrelaterede dele udfører de specificerede sikkerhedsfunktioner i overensstemmelse
med det/de krævede PL-niveauer og den/de krævede kategorier:
a) specifikation af de krævede egenskaber for hver sikkerhedsfunktion samt sikkerhedsfunktionens krævede kate-
gori og PL-niveau
b) tegninger og specifikationer, fx for mekaniske, hydrauliske og pneumatiske dele, trykte strømkredse, montage-
kredse, indvendige ledningsføringer, kapslinger, materialer, montering
4 (da)
ISO 13849-2:2012(E)
c) block diagram(s) with a functional description of the blocks;

d) circuit diagram(s), including interfaces/connections;
e) functional description of the circuit diagram(s);
f) time sequence diagram(s) for switching components, signals relevant for safety;
g) description of the relevant characteristics of components previously validated;
h) for safety-related parts other than those listed in g), component lists with item designations, rated
values, tolerances, relevant operating stresses, type designation, failure-rate data and component
manufacturer, and any other data relevant to safety;
i) analysis of all relevant faults (see also 4.3 and 4.4), such as those listed in the tables of Annexes A to
D, including the justification of any excluded faults;
j) an analysis of the influence of processed materials;
k) information for use, e.g. installation and operation manual/instruction handbook.
Where software is relevant to the safety function(s), the software documentation shall include
— a specification which is clear and unambiguous and which states the safety performance the
software is required to achieve,
— evidence that the software is designed to achieve the required performance level (see 9.5), and
— details of tests (in particular test reports) carried out to prove that the required safety
performance is achieved.
NOTE See ISO 13849-1:2006, 4.6.2 and 4.6.3, for requirements.
Information is required on how the performance level and average probability of a dangerous failure per
hour is determined. The documentation of the quantifiable aspects shall include
— the safety-related block diagram (see ISO 13849-1:2006, Annex B) or designated architecture
(see ISO 13849-1:2006, 6.2),
— the determination of MTTFd, DCavg and CCF, and
— the determination of the category (see Table 2).
Information is required for documentation on systematic aspects of the SRP/CS.
Information is required as to how the combination of several SRP/CS achieves a performance level in
accordance with the performance level required.
Table 2 — Documentation requirements for categories in respect of performance levels
Category for which documentation

Documentation requirement is required
B 1 2 3 4
Basic safety principles X X X X X
Expected operating stresses X X X X X
Influences of processed material X X X X X
Performance during other relevant external influences X X X X X
Well-tried components — X — — —
Well-tried safety principles — X X X X

DS/EN ISO 13849-2:2014
c) blokdiagram(mer) med funktionsbeskrivelse af blokkene
d) kredsdiagram(mer) med grænseflader/forbindelser
e) funktionsbeskrivelse af kredsdiagrammerne
f) tidsfølgediagram(mer) til koblingsudstyr samt signaler, der er relevante for sikkerheden
g) beskrivelse af de relevante egenskaber ved komponenter, der tidligere er valideret
h) for andre sikkerhedsrelaterede dele end dem, der er anført i g), en liste over komponenter med komponentbe-
tegnelser, mærkeværdier, tolerancer, relevante driftsbelastninger, typebetegnelse, data om svigtrate samt kom-
ponentproducent og alle andre data, der er relevante for sikkerheden
i) analyse af alle relevante fejl (se også 4.3 og 4.4), fx dem, der er angivet i tabellerne i anneks A til D, herunder be-
grundelsen for eventuelle fejludelukkelser
j) en analyse af indflydelsen fra bearbejdede materialer
k) brugerinformation, fx installations- og driftsmanual/brugsanvisning.
Når software er relevant for sikkerhedsfunktionerne, skal softwaredokumentationen indeholde:
–– en specifikation, der er klar og entydig, og som angiver den sikkerhedsmæssige ydeevne, softwaren skal tilveje-
bringe
–– bevis for, at softwaren er konstrueret til at opnå det krævede PL-niveau (se 9.5)
–– detaljerede oplysninger om prøvninger (især prøvningsrapporter), der er foretaget for at bevise, at den krævede
sikkerhedsmæssige ydeevne er opnået.
NOTE – Se krav i ISO 13849-1:2006, 4.6.2 og 4.6.3.
Det skal oplyses, hvordan PL-niveauet og den gennemsnitlige sandsynlighed for et farligt svigt pr. time er bestemt.
Dokumentationen af de kvantificerbare aspekter skal indeholde:
–– det sikkerhedsrelaterede blokdiagram (se ISO 13849-1:2006, anneks B) eller den udpegede arkitektur (se
ISO 13849-1:2006, 6.2)
–– bestemmelsen af MTTFd, DCavg og CCF
–– bestemmelsen af kategorien (se tabel 2).
Der skal gives oplysninger til dokumentation af systematiske aspekter ved SRP/CS.
Det skal oplyses, hvordan kombinationen af flere SRP/CS opnår et PL-niveau, der svarer til det krævede niveau.
Tabel 2 – Dokumentationskrav til kategorier under hensyntagen til PL-niveauer

Kategori, for hvilken der kræves
Dokumentationskrav dokumentation
B 1 2 3 4
Grundlæggende sikkerhedsprincipper X X X X X
Forventede driftsbelastninger X X X X X
Indflydelse fra bearbejdet materiale X X X X X
Ydeevne under andre relevante ydre påvirkninger X X X X X
Velgennemprøvede komponenter — X — — —
Velgennemprøvede sikkerhedsprincipper — X X X X
5 (da)
ISO 13849-2:2012(E)
Table 2 (continued)
Category for which documentation
Documentation requirement is required
B 1 2 3 4
Mean time to dangerous failure (MTTFd) of each channel X X X X X
The check procedure of the safety function(s) — — X — —
Diagnostic measures performed, including fault reaction — — X X X
Checking intervals, when specified — — X X X
Diagnostic coverage (DCavg) — — X X X
Foreseeable single faults considered in the design and the detection — — X X X
method used
Common-cause failures (CCF) identified and how to prevent them — — X X X
Foreseeable single faults excluded — — — X X
Faults to be detected — — X X X
How the safety function is maintained in the case of each of the faults — — — X X
How the safety function is maintained for each of the combinations of — — — — X
faults
Measures against systematic faults X X X X X
Measures against software faults X — X X X
X documentation required
— documentation not required
NOTE The categories are those given in ISO 13849-1:2006.
4.6 Validation record

Validation by analysis and testing shall be recorded. The record shall demonstrate the validation process
for each of the safety requirements. Cross-reference may be made to previous validation records,
provided they are properly identified.
For any safety-related part which has failed an element of the validation process, the validation record
shall describe which elements in the validation analysis/testing have been failed. It shall be ensured that
all safety-related parts are successfully re-validated after modification.
5 Validation by analysis
5.1 General
Validation of the SRP/CS shall be carried out by analysis. Inputs to the analysis include the following:
— the safety function(s), their characteristics and the required performance level(s) identified during
the risk analysis (see ISO 13849-1:2006, Figures 1 and 3);
— the quantifiable aspects (MTTFd, DCavg and CCF);
— the system structure (e.g. designated architectures) (see ISO 13849-1:2006, Clause 6);
— the non-quantifiable, qualitative aspects which affect system behaviour (if applicable, software aspects);
— deterministic arguments.

DS/EN ISO 13849-2:2014
Tabel 2 (fortsat)
Kategori, for hvilken der kræves
Dokumentationskrav dokumentation
B 1 2 3 4
Middeltid til farligt svigt (MTTFd) for hver kanal X X X X X
Kontrolprocedure for sikkerhedsfunktionen/-funktionerne — — X — —
Diagnostiske foranstaltninger, der er udført, herunder fejlreaktion — — X X X
Kontrolintervaller, når disse er specificeret — — X X X
Diagnostisk dækning (DCavg) — — X X X
Forudseelige enkeltfejl, der er taget i betragtning ved konstruktionen, og — — X X X

den anvendte detekteringsmetode
Identificerede fælles svigt med samme årsag (CCF), og hvordan de — — X X X

forhindres
Forudseelige enkeltfejl, der er udelukket — — — X X
Fejl, der skal detekteres — — X X X
Hvordan sikkerhedsfunktionen opretholdes i hvert tilfælde af fejl — — — X X
Hvordan sikkerhedsfunktionen opretholdes for hver kombination af fejl — — — — X
Foranstaltninger mod systematiske fejl X X X X X
Foranstaltninger mod softwarefejl X — X X X
X dokumentation krævet
— dokumentation ikke krævet
NOTE – Kategorierne er dem, der er anført i ISO 13849-1:2006.
4.6 Valideringsregistrering
Validering ved analyse og prøvning skal registreres. Registreringerne skal vise valideringsprocessen for hvert en-
kelt sikkerhedskrav. Der kan krydshenvises til tidligere valideringsregistreringer, forudsat at disse er korrekt identifi-
ceret.
For enhver sikkerhedsrelateret del, der ikke har bestået en del af valideringsprocessen, skal valideringsregistrerin-
gen beskrive, hvilke dele af valideringsanalysen/-prøvningen der ikke er bestået. Det skal sikres, at alle sikkerhedsre-
laterede dele genvalideres succesfuldt efter modifikation.
5 Validering ved analyse

5.1 Generelt
Valideringen af SRP/CS skal foretages ved analyse. Input til analysen omfatter:
–– sikkerhedsfunktionerne, deres egenskaber og krævede PL-niveauer, som er identificeret ved risikoanalysen (se
ISO 13849-1:2006, figur 1 og 3)
–– de kvantificerbare aspekter (MTTFd, DCavg og CCF)
–– systemstrukturen (fx udpegede arkitekturer) (se ISO 13849-1:2006, pkt. 6)
–– de ikke-kvantificerbare, kvalitative aspekter, som påvirker den måde, hvorpå systemet opfører sig (hvor det er
relevant, softwareaspekter)
–– deterministiske argumenter.
6 (da)
ISO 13849-2:2012(E)
Validation of the safety functions by analysis rather than testing requires the formulation of
deterministic arguments.
NOTE 1 A deterministic argument is an argument based on qualitative aspects (e.g. quality of manufacture,
experience of use). This consideration depends on the application, which, together with other factors, can affect
the deterministic arguments.
NOTE 2 Deterministic arguments differ from other evidence in that they show that the required properties of
the system follow logically from a model of the system. Such arguments can be constructed on the basis of simple,
well-understood concepts.
5.2 Analysis techniques

The selection of an analysis technique depends upon the particular object. Two basic techniques
exist, as follows.
a) Top-down (deductive) techniques are suitable for determining the initiating events that can lead
to identified top events, and calculating the probability of top events from the probability of the
initiating events. They can also be used to investigate the consequences of identified multiple faults.
EXAMPLE Fault tree analysis (FTA, see IEC 61025), event tree analysis (ETA).
b) Bottom-up (inductive) techniques are suitable for investigating the consequence of identified
single faults.
EXAMPLE Failure modes and effects analysis (FMEA, see IEC 60812) and failure modes, effects and
criticality analysis (FMECA).
6 Validation by testing
6.1 General
When validation by analysis is not conclusive, testing shall be carried out to complete the validation.
Testing is always complementary to analysis and is often necessary.
Validation tests shall be planned and implemented in a logical manner. In particular:
a) a test plan shall be produced before testing begins that shall include
1) the test specifications,
2) the required outcome of the tests for compliance, and
3) the chronology of the tests;
b) test records shall be produced that include
1) the name of the person carrying out the test,
2) the environmental conditions (see Clause 10),
3) the test procedures and equipment used,
4) the date of the test, and
5) the results of the test;
c) the test records shall be compared with the test plan to ensure that the specified functional and
performance targets are achieved.
The test sample shall be operated as near as possible to its final operating configuration, i.e. with all
peripheral devices and covers attached.

DS/EN ISO 13849-2:2014
Validering af sikkerhedsfunktionerne ved analyse frem for prøvning kræver, at der formuleres deterministiske argu-
menter.
NOTE 1 – Et deterministisk argument er et argument, der er baseret på kvalitative aspekter (fx fremstillingskvalitet, erfaring
med brug). Denne betragtning afhænger af anvendelsen, som sammen med andre faktorer kan påvirke de deterministiske ar-
gumenter.
NOTE 2 – Deterministiske argumenter adskiller sig fra andre beviser ved at vise, at de krævede systemegenskaber er en logisk
følge af en model af systemet. Sådanne argumenter kan udarbejdes på grundlag af enkle og velforståede begreber.
5.2 Analyseteknikker
Valget af analyseteknik afhænger af den pågældende genstand. Der findes to grundlæggende typer af teknikker.
a) Top-down-teknikker (deduktive teknikker) er egnede til at bestemme de igangsættende hændelser, der kan med-
føre identificerede sluthændelser og beregne sandsynligheden for sluthændelser ud fra sandsynligheden for, at
de igangsættende hændelser indtræffer. De kan også anvendes til at undersøge følgerne af flere identificerede
fejl.
EKSEMPEL – Fejltræsanalyse (fault tree analysis, FTA – se IEC 61025), hændelsestræsanalyse (event tree analysis, ETA).
b) Bottom-up-teknikker (induktive teknikker) er egnede til at undersøge følgerne af identificerede enkeltfejl.

EKSEMPEL – Fejleffektanalyse (failure modes and effects analysis, FMEA – se IEC 60812) og fejleffektanalyse og kritisk ana-
lyse (failure modes, effects and criticality analysis, FMECA).
6 Validering ved prøvning

6.1 Generelt
Når resultaterne af validering ved analyse ikke er overbevisende, skal der foretages prøvning for at fuldende valide-
ringen. Prøvning er altid et supplement til analysen og er ofte nødvendig.
Valideringsprøvninger skal planlægges og gennemføres på en logisk måde. Særligt gælder følgende:
a) Der skal inden prøvningernes påbegyndelse udarbejdes en prøvningsplan, som skal indeholde
1) prøvningsspecifikationerne
2) det krævede resultat af overensstemmelsesprøvningerne
3) prøvningernes rækkefølge.
b) Der skal udarbejdes prøvningsregistreringer, som indeholder
1) navnet på den person, der udfører prøvningen
2) miljøbetingelserne (se pkt. 10)
3) prøvningsprocedurer og -udstyr, der er anvendt
4) datoen for prøvningen
5) prøvningsresultaterne.
c) Prøvningsregistreringerne skal sammenlignes med prøvningsplanen for at sikre, at de opstillede mål for funkti-
on og ydeevne er nået.
Prøveemnet skal betjenes under forhold så tæt som muligt på den endelige driftskonfiguration, dvs. med alle ydre
anordninger og afdækninger fastgjort.
7 (da)
ISO 13849-2:2012(E)
This testing may be applied manually or automatically, e.g. by computer.

Where applied, validation of the safety functions by testing shall be carried out by applying input signals,
in various combinations, to the SRP/CS. The resultant response at the outputs shall be compared to the
appropriate specified outputs.
It is recommended that the combination of these input signals be applied systematically to the control
system and the machine. An example of this logic is power-on, start-up, operation, directional changes,
restart-up. Where necessary, an expanded range of input data shall be applied to take into account
anomalous or unusual situations, in order to see how the SRP/CS responds. Such combinations of input
data shall take into account foreseeable incorrect operation(s).
The objectives of the test will determine the environmental condition for that test, which can be one or
another of the following:
— the environmental conditions of intended use;
— the conditions at a particular rating;
— a given range of conditions if drift is expected.
The range of conditions which is considered stable and over which the tests are valid should be agreed
between the designer and the person(s) responsible for carrying out the tests and should be recorded.
6.2 Measurement accuracy

The accuracy of measurements during the validation by testing shall be appropriate for the test carried
out. In general, these measurement accuracies shall be within 5 K for temperature measurements and
5 % for the following:
a) time measurements;
b) pressure measurements;
c) force measurements;
d) electrical measurements;
e) relative humidity measurements;
f) linear measurements.
Deviations from these measurement accuracies shall be justified.
6.3 More stringent requirements

If, according to its accompanying documentation, the requirements for the SRP/CS exceed those within
this part of ISO 13849, the more stringent requirements shall apply.
NOTE More stringent requirements can apply if the control system has to withstand particularly adverse
service conditions, e.g. rough handling, humidity effects, hydrolysation, ambient temperature variations, effects
of chemical agents, corrosion, high strength of electromagnetic fields — for example, due to close proximity of
transmitters.
6.4 Number of test samples

Unless otherwise specified, the tests shall be made on a single production sample of the safety-related
part being tested.
Safety-related part(s) under test shall not be modified during the course of the tests.

DS/EN ISO 13849-2:2014
Prøvning kan udføres manuelt eller automatisk (fx på computer).
Hvor validering af sikkerhedsfunktionerne sker ved prøvning, skal valideringen foretages ved, at der afgives forskel-
lige kombinationer af indgangssignaler til SRP/CS. Den reaktion, der derved fremkommer ved udgangene, skal
sammenlignes med de relevante specificerede udgangssignaler.
Det anbefales, at kombinationen af disse indgangssignaler afgives systematisk til styresystemet og maskinen. Et
eksempel på denne logik er: tænd, start, drift, retningsændring, genstart. Hvis det er nødvendigt, skal der anvendes
et udvidet indgangsdataområde for at tage hensyn til unormale eller usædvanlige situationer med det formål at se,
hvordan SRP/CS reagerer. Sådanne kombinationer af indgangsdata skal tage hensyn til forudseelige ukorrekte
driftsmåder.
Formålet med prøvningen er bestemmende for miljøbetingelserne for den pågældende prøvning. Disse kan være
en af følgende:
–– miljøbetingelserne under tilsigtet anvendelse
–– betingelserne ved en given nominel værdi
–– et givent interval af betingelser, hvis der forventes afdrift.
Det område for betingelser, som anses for stabilt, og i hvilket prøvningerne er gyldige, bør aftales mellem konstruk-
tøren og den eller de personer, der har ansvaret for at udføre prøvningerne. Intervallet bør registreres.
6.2 Målenøjagtighed
Målenøjagtigheden i forbindelse med validering ved prøvning skal stå i et rimeligt forhold til den prøvning, der ud-
føres. Generelt gælder det, at disse målenøjagtigheder skal ligge inden for 5 K for temperaturmålinger og 5 % for
følgende:
a) tidsmålinger
b) trykmålinger
c) kraftmålinger
d) elektriske målinger
e) målinger af relativ fugtighed
f) lineære målinger.
Afvigelser fra disse målenøjagtigheder skal begrundes.
6.3 Strengere krav

Hvis der i den ledsagende dokumentation er opstillet krav til SRP/CS, som er mere omfattende end kravene i denne
del af ISO 13849, skal de strengere krav gælde.
NOTE – Strengere krav kan gælde, hvis styresystemet skal kunne modstå særligt hårde driftsbetingelser, fx voldsom håndte-
ring, fugtpåvirkning, hydrolyse, skiftende omgivende temperatur, påvirkninger fra kemiske stoffer, korrosion, elektromagneti-
ske felter med høj styrke – eksempelvis i nærheden af sendere.
6.4 Antal prøveemner

Medmindre andet er angivet, skal prøvningen udføres på en enkelt produktionsprøve af de sikkerhedsrelaterede
dele, der prøves.
Sikkerhedsrelaterede dele, der prøves, må ikke ændres under prøvningsforløbet.
8 (da)
ISO 13849-2:2012(E)
Certain tests can permanently change the performance of some components. Where a permanent change
in a component causes the safety-related part to be incapable of meeting the requirements of further
tests, a new sample or samples shall be used for subsequent tests.
Where a particular test is destructive and equivalent results can be obtained by testing part of the
SRP/CS in isolation, a sample of that safety-related part may be used instead of the whole safety-related
part(s) for the purpose of obtaining the results of the test. This approach shall only be applied where it
has been shown by analysis that testing of a safety-related part(s) is sufficient to demonstrate the safety
performance of the whole safety-related part that performs the safety function.
7 Validation of safety requirements specification for safety functions

Prior to the validation of the design of the SRP/CS, or the combination of SRP/CS providing the safety
function, the requirements specification for the safety function shall be verified to ensure consistency
and completeness for its intended use.
The safety requirements specification should be analysed before starting the design, since every other
activity is based on these requirements.
It shall be ensured that requirements for all safety functions of the machine control system are documented.
In order to validate the specification, appropriate measures to detect systematic faults (errors, omissions
or inconsistencies) shall be applied.
Validation may be performed by reviews and inspections of the SRP/CS safety requirements and design
specification(s), in particular to prove that all aspects of
— the intended application requirements and safety needs, and
— the operational and environmental conditions and possible human errors (e.g. misuse)
have been considered.
Where a product standard specifies the safety requirements for the design of a SRP/CS (e.g. ISO 11161
for integrated manufacturing systems or ISO 13851 for two-hand control devices), these shall be taken
into account.
8 Validation of safety functions

The validation of safety functions shall demonstrate that the SRP/CS, or combination of SRP/CSs,
provides the safety function(s) in accordance with their specified characteristics.
NOTE 1 A loss of the safety function in the absence of a hardware fault is due to a systematic fault, which can
be caused by errors made during the design and integration stages (a misinterpretation of the safety function
characteristics, an error in the logic design, an error in hardware assembly, an error in typing the code of software,
etc.). Some of these systematic faults will be revealed during the design process, while others will be revealed
during the validation process or will remain unnoticed. In addition, it is also possible for an error to be made (e.g.
failure to check a characteristic) during the validation process.
Validation of the specified characteristics of the safety functions shall be achieved by the application of
appropriate measures from the following list.
— Functional analysis of schematics, reviews of the software (see 9.5).
NOTE 2 Where a machine has complex or a large number of safety functions, an analysis can reduce the
number of functional tests required.
— Simulation.
— Check of the hardware components installed in the machine and details of the associated software
to confirm their correspondence with the documentation (e.g. manufacture, type, version).

DS/EN ISO 13849-2:2014
Visse prøvninger kan ændre nogle komponenters funktion permanent. Når en permanent ændring i en komponent
bevirker, at de sikkerhedsrelaterede dele ikke kan opfylde kravene ved yderligere prøvninger, skal der bruges nye
prøveemner til de efterfølgende prøvninger.
Hvor en bestemt prøvning er destruktiv, og der kan opnås ækvivalente resultater ved prøvning af en separat del af
SRP/CS, kan der anvendes et prøveeksemplar af denne sikkerhedsrelaterede del i stedet for hele den sikkerhedsre-
laterede del/alle sikkerhedsrelaterede dele med henblik på at opnå resultaterne af prøvningen. Denne metode må
kun anvendes, når det ved analyse er vist, at prøvning af en sikkerhedsrelateret del er tilstrækkelig til at bevise den
sikkerhedsmæssige ydeevne ved hele den sikkerhedsrelaterede del, der udfører sikkerhedsfunktionen.
7 Validering af specifikationen af sikkerhedskrav til sikkerhedsfunktioner

Før valideringen af konstruktionen af SRP/CS eller kombinationen af SRP/CS, der tilvejebringer sikkerhedsfunktio-
nen, skal specifikationen af krav til sikkerhedsfunktionen verificeres for at sikre, at den er i overensstemmelse med
og fuldstændig egnet til sin beregnede anvendelse.
Specifikationen af sikkerhedskrav bør analyseres, før konstruktionen påbegyndes, da enhver anden aktivitet tager
udgangspunkt i disse krav.
Det skal sikres, at kravene til alle sikkerhedsfunktionerne i maskinens styresystem er dokumenterede.
Med henblik på at validere specifikationen skal der anvendes passende foranstaltninger til at detektere systemati-
ske fejl (fejl, udeladelser eller inkonsistens).
Validering kan foretages ved gennemgang og inspektion af sikkerhedskrav og konstruktionsspecifikation(er) til SRP/
CS, især med henblik på at bevise, at alle aspekter af
–– de beregnede anvendelseskrav og sikkerhedsbehov og
–– drifts- og miljøbetingelserne samt eventuelle menneskelige fejl (fx misbrug)
er taget i betragtning.
Hvor en produktstandard specificerer sikkerhedskravene til konstruktionen af SRP/CS (fx ISO 11161 for integrerede
fremstillingssystemer eller ISO 13851 for tohåndsbetjeninger), skal der tages hensyn til disse krav.
8 Validering af sikkerhedsfunktioner
Valideringen af sikkerhedsfunktioner skal påvise, at SRP/CS eller kombinationen af SRP/CS udfører sikkerhedsfunk-
tionerne i overensstemmelse med deres specificerede egenskaber.
NOTE 1 – Tab af sikkerhedsfunktion, som ikke er på grund af fejl i hardwaren, skyldes en systematisk fejl, som kan forårsages af
fejl begået på konstruktions- og integreringstrinnene (en fejlfortolkning af sikkerhedsfunktionens egenskaber, en fejl i den logi-
ske konstruktion, en fejl i samlingen af hardware, en indtastningsfejl ved kodningen af software osv.). Nogle af disse systemati-
ske fejl afsløres i løbet af konstruktionsprocessen, mens andre afsløres i løbet af valideringsprocessen eller forbliver ubemær-
kede. Derudover er det også muligt, at der sker fejl (fx at en egenskab ikke bliver kontrolleret) i løbet af valideringsprocessen.
Validering af sikkerhedsfunktionernes specificerede egenskaber skal ske ved anvendelse af de relevante foranstalt-
ninger fra nedenstående liste:
–– Funktionsanalyse af skemaer, gennemgange af softwaren (se 9.5).

NOTE 2 – Hvor en maskine har komplekse eller et stort antal sikkerhedsfunktioner, kan en analyse reducere antallet af nødven-
dige funktionsprøvninger.
–– Simulering.
–– Kontrol af de hardwarekomponenter, der er installeret i maskinen, og detailoplysninger om den tilhørende soft-
9 (da)
ISO 13849-2:2012(E)
— Functional testing of the safety functions in all operating modes of the machine, to establish
whether they meet the specified characteristics (see ISO 13849-1:2006, Clause 5, for specifications
of some typical safety functions). The functional tests shall ensure that all safety-related outputs
are realized over their complete ranges and respond to safety-related input signals in accordance
with the specification. The test cases are normally derived from the specifications but could also
include some cases derived from analysis of the schematics or software.
— Extended functional testing to check foreseeable abnormal signals or combinations of signals from
any input source, including power interruption and restoration, and incorrect operations.
— Check of the operator–SRP/CS interface for the meeting of ergonomic principles (see
ISO 13849‑1:2006, 4.8).
NOTE 3 Other measures against systematic failures mentioned in 9.4 (e.g. diversity, failure detection by
automatic tests) can also contribute in the detection of functional faults.
9 Validation of performance levels and categories
9.1 Analysis and testing

For the SRP/CS or combination of SRP/CSs that provides the safety function(s), validation shall
demonstrate that the required performance levels (PLr) and categories in the safety requirements
specification are fulfilled. Principally, this will require failure analysis using circuit diagrams (see
Clause 5) and, where the failure analysis is inconclusive:
— fault injection tests on the actual circuit and fault initiation on actual components, particularly in parts
of the system where there is doubt regarding the results obtained from failure analysis (see Clause 6);
— a simulation of control system behaviour in the event of a fault, e.g. by means of hardware and/or
software models.
In some applications it may be necessary to divide the connected safety-related parts into several
functional groups and to subject these groups and their interfaces to fault simulation tests.
When validating by testing, the tests should include, as appropriate,
— fault injection tests into a production sample,
— fault injection tests into a hardware model,
— software simulation of faults, and
— subsystem failure, e.g. power supplies.
The precise instant at which a fault is injected into a system can be critical. The worst-case effect of a
fault injection shall be determined by analysis and by injecting the fault at this appropriate critical time.
9.2 Validation of category specifications
9.2.1 Category B
SRP/CSs to Category B shall be validated in accordance with basic safety principles (see Tables A.1, B.1,
C.1 and D.1) by demonstrating that the specification, design, construction and choice of components are
in accordance with ISO 13849-1:2006, 6.2.3. The MTTFd of the channel shall be demonstrated to be at
least 3 years. This shall be achieved by checking that the SRP/CS is in accordance with its specification as
provided in the documents for validation (see 4.5). For the validation of environmental conditions, see 6.1.
NOTE In particular cases, higher values of MTTFd can be required — for example, when PLr = b.

DS/EN ISO 13849-2:2014
ware for at sikre, at disse er i overensstemmelse med dokumentationen (fx fremstilling, type, version).
–– Funktionsprøvning af sikkerhedsfunktionerne i alle maskinens driftsmåder for at fastslå, om de opfylder de spe-

cificerede egenskaber (se ISO 13849-1:2006, pkt. 5, for specifikationer af nogle typiske sikkerhedsfunktioner).
Funktionsprøvningerne skal sikre, at alle sikkerhedsrelaterede udgangssignaler realiseres over hele deres om-
råde og reagerer på de sikkerhedsrelaterede indgangssignaler i overensstemmelse med specifikationen. Prøv-
ningssituationerne er normalt afledt af specifikationerne men kan også omfatte tilfælde, der er afledt af analyse
af skemaer eller software.
–– Udvidet funktionsprøvning for at kontrollere forudseelige unormale signaler eller kombinationer af signaler fra
en vilkårlig indgangskilde, herunder afbrydelse og genetablering af energi samt fejlbetjening.
–– Kontrol af, at grænsefladen mellem operatør og SRP/CS er i overensstemmelse med ergonomiske principper (se
ISO 13849-1:2006, 4.8).
NOTE 3 – Andre foranstaltninger mod systematiske svigt, der er nævnt i 9.4 (fx diversitet, detektering af svigt via automatiske
prøvninger), kan også bidrage ved detektering af funktionsfejl.
9 Validering af PL-niveauer og kategorier

9.1 Analyse og prøvning
For SRP/CS eller de kombinationer af SRP/CS, der udfører sikkerhedsfunktionerne, skal en validering påvise, at de
krævede PL-niveauer (PLr) og kategorier i specifikationen af sikkerhedskrav er nået. Dette vil hovedsageligt kræve
fejlanalyse med anvendelse af kredsdiagrammer (se pkt. 5) og, hvor fejlanalysen er utilstrækkelig:
–– prøvninger med indlagte fejl i den aktuelle kreds og fejlinitiering på de aktuelle komponenter, især på dele af sy-
stemet, hvor der er tvivl med hensyn til resultaterne af fejlanalysen (se pkt. 6)
–– en simulering af styresystemets opførsel i tilfælde af fejl, fx ved hjælp af hardware- og/eller softwaremodeller.
Til visse anvendelser kan det være nødvendigt at inddele de forbundne sikkerhedsrelaterede dele i flere funktions-
grupper og at udføre fejlsimuleringsprøvninger på disse grupper og deres grænseflader.
Når der foretages validering ved prøvning, bør prøvningerne bl.a. omfatte
–– prøvninger med indlagte fejl i en produktionsprøve
–– prøvninger med indlagte fejl i en hardwaremodel
–– softwaresimulering af fejl
–– svigt af delsystem, fx energiforsyninger.
Det nøjagtige tidspunkt, hvor en fejl indlægges i et system, kan være kritisk. Den værste effekt af at indlægge en fejl
skal bestemmes ved analyse og ved at indlægge fejlen på dette passende kritiske tidspunkt.
9.2 Validering af kategorispecifikationer
9.2.1 Kategori B
SRP/CS i kategori B skal valideres i overensstemmelse med grundlæggende sikkerhedsprincipper (se tabel A.1, B.1,
C.1 og D.1) ved eftervisning af, at specifikation, konstruktion, fremstilling og valg af komponenter er i overensstem-
melse med ISO 13849-1:2006, 6.2.3. Kanalens MTTFd skal påvises at være mindst 3 år. Dette skal opnås ved kontrol
af, at SRP/CS er i overensstemmelse med specifikationen, som den fremgår af dokumenterne til validering (se 4.5).
For validering af miljøbetingelser, se 6.1.
10 (da)
ISO 13849-2:2012(E)
9.2.2 Category 1
SRP/CSs to Category 1 shall be validated by demonstrating the following:

a) they meet the requirements of Category B;
b) components are well-tried (see Tables A.3 and D.3), meeting at least one of the following conditions:
1) they have been widely used in the past with successful results in similar applications;
2) they have been made and verified using principles which demonstrate their suitability and
reliability for safety-related applications;
c) well-tried safety principles (where applicable, see Tables A.2, B.2, C.2 and D.2) have been implemented
correctly, and, where newly developed principles have been used, validation has been made of
1) how the expected modes of failure have been avoided, and
2) how faults have been avoided or their probability reduced to a suitable level.
Relevant component standards may be used to demonstrate compliance with this subclause (see Tables
A.3 and D.3). The MTTFd of the channel shall be demonstrated to be at least 30 years.
9.2.3 Category 2

b) the well-tried safety principles used (if applicable) are in accordance with 9.2.2 c);
c) the checking equipment detects all relevant faults applied, one at a time, during the checking process
and generates an appropriate control action which
1) initiates a safe state or, when this is not possible,
2) provides a warning of the hazard;
d) the check(s) provided by the checking equipment do not introduce an unsafe state;
e) the initiation of the check is carried out
1) at the machine start-up and prior to the initiation of a hazardous situation, and
2) periodically, during operation in accordance with the design specification and if the risk
assessment and kind of operations show that it is necessary;
NOTE 1 The need for, and extent of, checks during operation are determined by the designer’s risk
assessment and the kind of operation necessary.
f) the MTTFd of the functional channel (MTTFd,L) is at least 3 years;

g) the MTTFd,TE is larger than half of MTTFd,L;
h) the test rate ≥ 100 × expected demand rate;
i) the DCavg is at least 60 %;
j) common-cause failures are sufficiently reduced (see ISO 13849-1:2006, Annex F).
NOTE 2 In particular cases, higher values of MTTFd and/or DCavg can be required — for example, owing to high PLr.

DS/EN ISO 13849-2:2014
NOTE – I bestemte tilfælde kan højere værdier for MTTFd være påkrævet – for eksempel når PLr = b.
9.2.2 Kategori 1
SRP/CS i kategori 1 skal valideres ved eftervisning af følgende:
a) De opfylder kravene til kategori B
b) Komponenter er velgennemprøvede (se tabel A.3 og D.3) og opfylder mindst én af følgende betingelser:
1) de har tidligere været anvendt bredt til lignende formål med gode resultater
2) de er fremstillet og verificeret ud fra principper, der viser, at de er egnede og pålidelige til sikkerhedsrelatere-
de anvendelser
c) Velgennemprøvede sikkerhedsprincipper (hvor det er relevant, se tabel A.2, B.2, C.2 og D.2) er implementeret
korrekt, og hvor der er anvendt nyudviklede principper, er der foretaget validering af
1) hvordan de forventede svigttilstande er undgået
2) hvordan fejl er undgået, eller sandsynligheden for, at de opstår, er blevet nedsat til et passende niveau.
Der kan anvendes relevante komponentstandarder til at bevise overensstemmelse med dette punkt (se tabel A.3 og
D.3). Kanalens MTTFd skal påvises at være mindst 30 år.
9.2.3 Kategori 2
b) De anvendte velgennemprøvede sikkerhedsprincipper (hvis det er relevant) er i overensstemmelse med 9.2.2 c)
c) Kontroludstyret detekterer alle relevante fejl, der indgår én ad gangen i kontrolprocessen, og genererer et signal,
der iværksætter passende styringstiltag, som:
1) skaber en sikker tilstand eller, hvis dette ikke er muligt,
2) afgiver et signal om faren
d) Den eller de kontroller, som kontroludstyret udfører, medfører ikke en usikker tilstand
e) Kontrollen igangsættes
1) ved maskinstart og inden begyndelsen på en farlig tilstand
2) periodisk under driften i overensstemmelse med konstruktionsspecifikationen, og hvis risikovurderingen og

driftsformen viser, at det er nødvendigt.
NOTE 1 – Behovet for og omfanget af kontroller under drift bestemmes af konstruktørens risikovurdering og den driftsform, der
er nødvendig.
f) Den funktionelle kanals MTTFd (MTTFd,L) er mindst 3 år
g) MTTFd,TE er større end halvdelen af MTTFd,L
h) Prøvningshyppigheden er ≥ 100 × den forventede indgribningshyppighed
i) DCavg er mindst 60 %
j) Fælles svigt med samme årsag er reduceret tilstrækkeligt (se ISO 13849-1:2006, anneks F).
NOTE 2 – I bestemte tilfælde kan højere værdier for MTTFd og/eller DCavg være påkrævet – for eksempel på grund af et højt PLr.
11 (da)
ISO 13849-2:2012(E)
9.2.4 Category 3

b) the well-tried safety principles (if applicable) meet the requirements of 9.2.2 c);
c) a single fault does not lead to the loss of the safety function;
d) single faults (including common cause faults) are detected in accordance with the design rationale
and the technology applied;
e) the MTTFd of each channel is at least 3 years;
f) the DCavg is at least 60 %;
g) common-cause failures are sufficiently reduced (see ISO 13849-1:2006, Annex F).
NOTE In particular cases, higher values of MTTFd and/or DCavg can be required — for example, due to high PLr.
9.2.5 Category 4

b) the well-tried safety principles (if applicable) are in accordance with 9.2.2 c);
c) a single fault (including common-mode faults) does not lead to the loss of the safety function;
d) single faults are detected at or before the next demand on the safety function, this being achieved
with a DCavg of at least 99 %;
e) if a single fault is not detected with a DCavg of at least 99 %, an accumulation of faults does not lead
to the loss of the safety function(s), and the extent of the accumulation of faults considered is in
accordance with the design rationale;
f) the MTTFd of each channel is at least 30 years;
g) common-cause failures are sufficiently reduced (see ISO 13849-1:2006, Annex F).
9.3 Validation of MTTFd, DCavg and CCF

The validation of MTTFd, DCavg and CCF is typically performed by analysis and visual inspection.
The MTTFd values for components (including B10d, T10d and nop values) shall be checked for plausibility
(e.g. against ISO 13849-1:2006, Annex C). For example, the value given on the supplier datasheet is to be
compared with ISO 13849-1:2006, Annex C. Where fault exclusion claims mean that particular components
do not contribute to the channel MTTFd, the plausibility of the fault exclusion shall be checked.
NOTE 1 A fault exclusion implies infinite MTTFd; therefore, the component will not contribute to the calculation
of channel MTTFd.
NOTE 2 For the determination of the B10d value, see e.g. IEC 60947-4-1:2010, Annex K.
The MTTFd of each channel of the SRP/CS, including application of the symmetrisation formula (see
ISO 13849-1:2006, Annex D) to dissimilar redundant channels, shall be checked for correct calculation. It
shall be ensured that the MTTFd of individual channels has been restricted to no greater than 100 years
before the symmetrisation formula is applied.
The DC values for components and/or logic blocks shall be checked for plausibility (e.g. against
measures in ISO 13849-1:2006, Annex E). The correct implementation (hardware and software) of

DS/EN ISO 13849-2:2014
9.2.4 Kategori 3
b) De velgennemprøvede sikkerhedsprincipper (hvis det er relevant) opfylder kravene i 9.2.2 c)
c) En enkeltfejl medfører ikke tab af sikkerhedsfunktion
d) Enkeltfejl (herunder fælles fejl med samme årsag) detekteres i overensstemmelse med grundlaget for konstruk-
tionen og den anvendte teknologi
e) Hver kanals MTTFd er mindst 3 år
f) DCavg er mindst 60 %
g) Fælles svigt med samme årsag er reduceret tilstrækkeligt (se ISO 13849-1:2006, anneks F).
NOTE – I bestemte tilfælde kan højere værdier for MTTFd og/eller DCavg være påkrævet – for eksempel på grund af et højt PLr.
9.2.5 Kategori 4
b) De velgennemprøvede sikkerhedsprincipper (hvis det er relevant) er i overensstemmelse med 9.2.2 c)
c) En enkeltfejl (herunder fælles fejl med samme symptom) medfører ikke tab af sikkerhedsfunktion
d) Enkeltfejl detekteres ved eller før næste krav til sikkerhedsfunktionen om indgriben, hvilket opnås med et DCavg
på mindst 99 %
e) Hvis en enkeltfejl ikke detekteres med et DCavg på mindst 99 %, medfører en akkumulering af fejl ikke tab af sik-
kerhedsfunktion, og omfanget af den akkumulering af fejl, som er taget i betragtning, er i overensstemmelse
med grundlaget for konstruktionen
f) Hver kanals MTTFd er mindst 30 år
g) Fælles svigt med samme årsag er reduceret tilstrækkeligt (se ISO 13849-1:2006, anneks F).
9.3 Validering af MTTFd, DCavg og CCF

Valideringen af MTTFd, DCavg og CCF sker typisk ved analyse og visuel inspektion.
MTTFd-værdierne for komponenter (herunder værdier for B10d, T10d og nop) skal kontrolleres for pålidelighed (fx i
forhold til ISO 13849-1:2006, anneks C). For eksempel skal den værdi, der er angivet i leverandørens datablad, sam-
menlignes med ISO 13849-1:2006, anneks C. Hvor påstand om fejludelukkelse betyder, at bestemte komponenter
ikke bidrager til kanalens MTTFd, skal fejludelukkelsens pålidelighed kontrolleres.
NOTE 1 – En fejludelukkelse indebærer, at MTTFd er uendelig. Derfor bidrager komponenten ikke til beregningen af kanalens
MTTFd.
NOTE 2 – Vedrørende bestemmelsen af B10d-værdien, se fx IEC 60947-4-1:2010, anneks K.
Hver SRP/CS-kanals MTTFd, inklusive anvendelse af symmetriseringsformlen (se ISO 13849-1:2006, anneks D) på
uens redundante kanaler, skal kontrolleres for korrekt beregning. Det skal sikres, at hver enkelt kanals MTTFd er be-
grænset til højst 100 år, før symmetriseringsformlen anvendes.
DC-værdierne for komponenter og/eller logiske blokke skal kontrolleres for pålidelighed (fx i forhold til foranstalt-
12 (da)
ISO 13849-2:2012(E)
checks and diagnostics, including appropriate fault reaction, shall be validated by testing under typical
environmental conditions in use.
The DCavg of the SRP/CS shall be checked for correct calculation.
The correct implementation of sufficient measures against common-cause failures shall be validated
(e.g. against ISO 13849-1:2006, Annex F). Typical validation measures are static hardware analysis and
functional testing under environmental conditions.
NOTE 3 For the calculation of the MTTFd values of electronic components, an ambient temperature of +40 °C
is taken as a basis. During validation, it is important to ensure that, for MTTFd values, the environmental and
functional conditions (in particular temperature) taken as basis are met. Where a device, or component, is
operated significantly above (e.g. more than 15 °C) the specified temperature of +40 °C, it will be necessary to use
MTTFd values for the increased ambient temperature.
9.4 Validation of measures against systematic failures related to performance level and
category of SRP/CS
The validation of measures against systematic failures (defined in ISO 13849-1:2006, 3.1.7) related to
performance levels and categories of each SRP/CS can typically be provided by
a) inspections of design documents which confirm the application of
1) basic and well-tried safety principles (see Annexes A to D),
2) further measures for avoidance of systematic failures (see ISO 13849-1:2006, G.3), and
3) further measures for the control of systematic failures such as hardware diversity (see
ISO 13849‑1:2006, Annex G), modification protection or failure assertion programming;
b) failure analysis (e.g. FMEA);
c) fault injection tests/fault initiation;
d) inspection and testing of data communication, where used;
e) checking that a quality management system avoids the causes of systematic failures in the
manufacturing process.
9.5 Validation of safety-related software

The validation of both safety-related embedded software (SRESW) and safety-related application
software (SRASW) shall include
— the specified functional behaviour and performance criteria (e.g. timing performance) of the
software when executed on the target hardware,
— verification that the software measures are sufficient for the specified PLr of the safety function, and
— measures and activities taken during software development to avoid systematic software faults.
As a first step, check that there is documentation for the specification and design of the safety-
related software. This documentation shall be reviewed for completeness and absence of erroneous
interpretations, omissions or inconsistencies.
NOTE In the case of small programs, an analysis of the program by means of reviews or walk-through of
control flow, procedures, etc. using the software documentation (control flow chart, source code of modules or
blocks, I/O and variable allocation lists, cross-reference lists) can be sufficient.
In general, software can be considered a “black box” or “grey box” (see ISO 13849-1:2006, 4.6.2), and
validated by the black- or grey-box test, respectively.

DS/EN ISO 13849-2:2014
ninger i ISO 13849-1:2006, anneks E).

Korrekt implementering (hardware og software) af kontroller og diagnostik, herunder passende fejlreaktion, skal
valideres ved prøvning under miljøbetingelser, der er typiske for brugen.
Den sikkerhedsrelaterede dels DCavg skal kontrolleres for korrekt beregning.
Korrekt implementering af tilstrækkelige foranstaltninger mod fælles svigt med samme årsag skal valideres (fx i
forhold til ISO 13849-1:2006, anneks F).Typiske valideringsforanstaltninger er statisk hardwareanalyse og funktions-
prøvning under miljøbetingelser.
NOTE 3 – Til beregningen af elektroniske komponenters MTTFd-værdier anvendes en omgivende temperatur på +40 °C som
grundlag. Under validering er det for MTTFd-værdier vigtigt at sikre, at de miljø- og funktionsbetingelser (især temperaturen),
der anvendes som grundlag, er opfyldt. Hvor en anordning eller komponent anvendes væsentligt over (fx mere end 15 °C) den
specificerede temperatur på +40 °C, er det nødvendigt at anvende MTTFd-værdier for den øgede omgivende temperatur.
9.4 Validering af foranstaltninger mod systematiske svigt relateret til den sikkerhedsrelaterede
dels PL-niveau og kategori
Valideringen af foranstaltninger mod systematiske svigt (defineret i ISO 13849-1:2006, 3.1.7), der er relateret til hver
sikkerhedsrelateret dels PL-niveauer og kategorier kan typisk ske ved
a) inspektion af konstruktionsdokumenter, der bekræfter anvendelsen af
1) grundlæggende og velgennemprøvede sikkerhedsprincipper (se anneks A til D)
2) yderligere foranstaltninger til at undgå systematiske svigt (se ISO 13849-1:2006, G.3)
3) yderligere foranstaltninger til styring af systematiske svigt, som fx hardwarediversitet (se ISO 13849-1:2006,
anneks G), beskyttelse mod modifikation eller defensivprogrammering.
b) fejlanalyse (fx FMEA)
c) prøvninger ved indlægning/iværksættelse af fejl
d) inspektion og prøvning af datakommunikation, hvor dette anvendes
e) kontrol af, om årsager til systematiske svigt i fremstillingsprocessen undgås ved hjælp af et kvalitetsledelsessy-
stem.
9.5 Validering af sikkerhedsrelateret software

Valideringen af både sikkerhedsrelateret, indlejret software (SRESW) og sikkerhedsrelateret anvendelsessoftware
(SRASW) skal omfatte
–– softwarens specificerede funktionsopførsel og ydeevnekriterier (fx timing-egenskaber), når den anvendes på

den beregnede hardware
–– verifikation af, at softwareforanstaltningerne er tilstrækkelige til sikkerhedsfunktionens specificerede PLr
–– foranstaltninger og aktiviteter, der er gennemført ved softwareudviklingen med henblik på at undgå systemati-
ske softwarefejl.
Som første skridt kontrolleres det, at der er dokumentation for specifikationen og konstruktionen af den sikkerheds-
relaterede software. Denne dokumentation skal gennemgås for at sikre, at den er fuldstændig og ikke indeholder
fejlfortolkninger, udeladelser eller inkonsistenser.
NOTE – For mindre programmer kan det være tilstrækkeligt med en analyse af programmet i form af granskning og gennem-
gang af kontrolflow, procedurer osv., hvor softwaredokumentationen (kontrolflowdiagram, modulers eller blokkes kildekoder
og allokeringslister for I/O’er og parameterlister, krydshenvisningslister) anvendes.
Generelt kan software betragtes som "black box" eller "grey box" (se ISO 13849-1:2006, 4.6.2) og valideres ved hen-
holdsvis black box- eller grey box-prøvningen.
13 (da)
ISO 13849-2:2012(E)
Depending on the PLr [ISO 13849-1:2006, 4.6.2 (for SRESW) and 4.6.3 (for SRASW)], the tests should include
— black-box testing of functional behaviour and performance (e.g. timing performance),
— additional extended test cases based upon limit value analyses, recommended for PL d or e,
— I/O tests to ensure that the safety-related input and output signals are used properly, and
— test cases which simulate faults determined analytically beforehand, together with the expected
response, in order to evaluate the adequacy of the software-based measures for control of failures.
Individual software functions which have already been validated do not need to be validated again.
Where a number of such safety function blocks are combined for a specific project, however, the resulting
total safety function shall be validated.
Software documentation shall be checked to confirm that sufficient measures and activities have
been implemented against systematic software faults in accordance with the simplified V-model
(ISO 13849-1:2006, Figure 6).
The measures for software implementation according to ISO 13849-1:2006, 4.6.2 (for SRESW) and 4.6.3
(for SRASW), which depend on the PL to be attained, shall be examined with regard to their proper
implementation.
Should the safety-related software be subsequently modified, it shall be revalidated on an appropriate scale.
9.6 Validation and verification of performance level

For the simplified procedure for estimating PL of the SRP/CS according to ISO 13849-1:2006, 4.5.4,
and ISO 13849-1:2006, Annexes B to F and Annex K, the following verification and validation steps
shall be performed:
— checking for correct evaluation of PL based on the category, DCavg and MTTFd (according to
ISO 13849‑1:2006, 4.5.4 and Annex K);
— verification that the PL achieved by the SRP/CS satisfies the required performance level PLr in the
safety requirements specification for the machinery: PL ≥ PLr.
Where other methods are used to evaluate the achieved PL, based on the estimated average probability
of a dangerous failure per hour, validation shall consider
— the MTTFd value for each component,
— the DC,
— the CCF,
— the structure, and
— the documentation, application and calculation, which shall be checked for correctness.
9.7 Validation of combination of safety-related parts

Where the safety function is implemented by two or more safety-related parts, validation of the
combination — by analysis and, if necessary, by testing — shall be undertaken to establish that the
combination achieves the performance level specified in the design. Existing recorded validation results
of safety-related parts can be taken into account. The following validation steps shall be performed:
— inspection of design documents describing the overall safety function(s);
— a check that the overall PL of the SRP/CS combination has been correctly evaluated, based on the PL
of each individual safety-related part (according to ISO 13849-1:2006, 6.3);

DS/EN ISO 13849-2:2014
Afhængigt af PLr [ISO 13849-1:2006, 4.6.2 (for SRESW) og 4.6.3 (for SRASW)] bør prøvningerne omfatte
–– black box-prøvning af funktionsopførsel og ydeevne (fx timing-egenskaber)
–– yderligere udvidede prøvninger baseret på grænseværdianalyser anbefalet for PL d eller e
–– I/O-prøvninger for at sikre, at de sikkerhedsrelaterede indgangs- og udgangssignaler anvendes korrekt
–– prøvningssituationer, hvor der simuleres fejl, som forinden er bestemt analytisk, sammen med den forventede
reaktion for at evaluere tilstrækkeligheden af de softwarebaserede foranstaltninger til styring af svigt.
De enkelte softwarefunktioner, der allerede er valideret, behøver ikke blive valideret igen. Hvor et antal af sådanne
blokke af sikkerhedsfunktioner er kombineret til et bestemt projekt, skal den samlede sikkerhedsfunktion, der opstår
derved, dog valideres.
Softwaredokumentation skal kontrolleres for at bekræfte, at der er gennemført tilstrækkelige foranstaltninger og

aktiviteter mod systematiske softwarefejl i overensstemmelse med den forenklede V-model (ISO 13849-1:2006, fi-
gur 6).
Det skal undersøges, om foranstaltningerne til softwareimplementering i overensstemmelse med ISO 13849-1:
2006, 4.6.2 (for SRESW) og 4.6.3 (for SRASW), som afhænger af det PL-niveau, der skal nås, er korrekt gennemført.
Hvis den sikkerhedsrelaterede software efterfølgende modificeres, skal den valideres på ny i passende omfang.
9.6 Validering og verifikation af PL-niveau

Til den forenklede metode til skøn af den sikkerhedsrelaterede dels PL-niveau i henhold til ISO 13849-1:2006, 4.5.4,
og ISO 13849-1:2006, anneks B til F og anneks K, skal følgende verifikations- og valideringstrin gennemføres:
–– kontrol af korrekt vurdering af PL-niveauet baseret på kategorien, DCavg og MTTFd (i henhold til ISO 13849-1:2006,
4.5.4 og anneks K)
–– verifikation af, at det PL-niveau, der er opnået af SRP/CS, er i overensstemmelse med det PL-niveau, PLr, der kræ-
ves i specifikationen af sikkerhedskrav til maskinen: PL ≥ PLr.
Hvor der anvendes andre metoder til at vurdere det opnåede PL-niveau baseret på den skønnede gennemsnitlige
sandsynlighed for farligt svigt pr. time, skal valideringen tage følgende i betragtning
–– MTTFd-værdien for hver komponent
–– DC
–– CCF
–– strukturen
–– den dokumentation, anvendelse og beregning, hvis korrekthed skal kontrolleres.
9.7 Validering af kombinationen af sikkerhedsrelaterede dele

Når sikkerhedsfunktionen udgøres af to eller flere sikkerhedsrelaterede dele, skal kombinationen – ved analyse og
om nødvendigt ved prøvning – valideres for at fastslå, at kombinationen har opnået PL-niveauet specificeret i kon-
struktionen. Eksisterende registrerede resultater af validering af sikkerhedsrelaterede dele kan tages i betragtning.
Følgende valideringstrin skal gennemføres:
–– inspektion af konstruktionsdokumenter, der beskriver den eller de samlede sikkerhedsfunktioner
–– en kontrol af, at SRP/CS-kombinationens samlede PL-niveau er vurderet korrekt baseret på hver enkelt sikker-
hedsrelateret dels PL-niveau (i henhold til ISO 13849-1:2006, 6.3)
14 (da)
ISO 13849-2:2012(E)
NOTE A summation of the average probability of dangerous failures per hour of all combined SRP/CS
can be used as an alternative to ISO 13849-1:2006, Table 11. It is important to check the non-quantifiable
restrictions of systematic, architectural and CCF aspects which can limit the overall performance level to
lower values.
— consideration of the characteristics of the interfaces, e.g. voltage, current, pressure, data format of
information, signal level;
— failure analysis relating to combination/integration, e.g. by FMEA;
— for redundant systems, fault injection tests relating to combination/integration.
10 Validation of environmental requirements

The performance specified in the design of the SRP/CS shall be validated with respect to the environmental
conditions specified for the control system.
Validation shall be carried out by analysis and, if necessary, by testing. The extent of the analysis and
of the testing will depend upon the safety-related parts, the system in which they are installed, the
technology used, and the environmental condition(s) being validated. The use of operational reliability
data on the system or its components, or the confirmation of compliance to appropriate environmental
standards (e.g. for waterproofing, vibration protection) can assist this validation process.
Where applicable, validation shall address
— expected mechanical stresses from shock, vibration, ingress of contaminants,
— mechanical durability,
— electrical ratings and power supplies,
— climatic conditions (temperature and humidity), and
— electromagnetic compatibility (immunity).
When testing is needed to determine compliance with the environmental requirements, the procedures
outlined in the relevant standards shall be followed as far as required for the application.
After the completion of validation by testing, the safety functions shall continue to be in accordance
with the specifications for the safety requirements, or the SRP/CS shall provide output(s) for a safe state.
11 Validation of maintenance requirements

The validation process shall demonstrate that the provisions for maintenance requirements specified in
ISO 13849-1:2006, Clause 9, Paragraph 2, have been implemented.
Validation of maintenance requirements shall include the following, as applicable:
a) a review of the information for use confirming that
1) maintenance instructions are complete [including procedures, required tools, frequency
of inspections, time interval for changing components subjected to wear (T10d) etc.] and
understandable,
2) if appropriate, there are provisions for the maintenance to be performed only by skilled
maintenance personnel;
b) a check that measures for ease of maintainability (e.g. provision of diagnostic tools to aid fault-
finding and repair) have been applied.

DS/EN ISO 13849-2:2014
NOTE – En opsummering af alle kombinerede sikkerhedsrelaterede deles gennemsnitlige sandsynlighed for farligt svigt pr.
time kan anvendes som alternativ til ISO 13849-1:2006, tabel 11. Det er vigtigt at kontrollere de ikke-kvantificerbare begrænsnin-
ger af systematiske aspekter samt arkitektur- og CCF-aspekter, som kan begrænse det samlede PL-niveau til lavere værdier.
–– overvejelse af grænsefladernes egenskaber, fx spænding, strøm, tryk, informationers dataformat, signalniveau
–– fejlanalyse med hensyn til kombination/integrering, fx ved FMEA
–– for redundante systemer, prøvninger af indlagte fejl i forbindelse med kombination/integrering.
10 Validering af miljøkrav
Den ydeevne, der er specificeret ved konstruktionen af SRP/CS, skal valideres i forhold til de miljøbetingelser, der er
specificeret for styresystemet.
Validering skal foretages ved analyse og om nødvendigt ved prøvning. Omfanget af analyse og af prøvning vil af-
hænge af de sikkerhedsrelaterede dele, det system, hvori de er installeret, den anvendte teknologi og de miljøbetin-
gelser, der valideres. Anvendelse af data om driftspålidelighed af systemet eller dets komponenter eller bekræftelse
af overensstemmelse med relevante miljøstandarder (fx om vandtæthed, beskyttelse mod vibrationer) kan være en
hjælp ved denne valideringsproces.
Hvor det er relevant, skal valideringen omfatte:
–– forventede mekaniske spændinger fra chok, vibrationer, indtrængen af forurening
–– mekanisk holdbarhed
–– elektriske nominelle værdier og energiforsyninger
–– klimatiske forhold (temperatur og fugtighed)
–– elektromagnetisk kompatibilitet (immunitet).
Når det er nødvendigt at bestemme overensstemmelsen med miljøkravene ved prøvning, skal procedurerne inde-
holdt i de relevante standarder følges i det omfang, dette kræves for anvendelsen.
Når valideringen ved prøvning er afsluttet, skal sikkerhedsfunktionerne fortsat være i overensstemmelse med spe-
cifikationerne af sikkerhedskrav, eller SRP/CS skal generere udgangssignaler for sikker tilstand.
11 Validering af vedligeholdelseskrav
Valideringsprocessen skal vise, at vedligeholdelseskravene som fastlagt i ISO 13849-1:2006, pkt. 9, 2. afsnit, er op-
fyldt.
Validering af vedligeholdelseskrav skal i det omfang, det er relevant, omfatte følgende:
a) en gennemgang af brugerinformationen, som bekræfter
1) at vedligeholdelsesinstruktioner er fuldstændige [inklusive procedurer, nødvendigt værktøj, inspektionshyp-

pighed, tidsinterval for udskiftning af komponenter, der udsættes for slitage (T10d) osv.] og forståelige
2) hvis det er relevant, at der er truffet foranstaltninger til at sikre, at kun uddannet vedligeholdelsespersonale
foretager vedligeholdelse
b) en kontrol af, at der er anvendt foranstaltninger til at lette vedligeholdelsen (fx tilvejebringelse af diagnostiske
værktøjer til hjælp ved fejlfinding og reparation).
15 (da)
ISO 13849-2:2012(E)
In addition, the following measures shall be included when applied:

— measures against mistakes during maintenance (e.g. detection of wrong input data via
plausibility checks);
— measures against modification (e.g. password protection to prevent access to the program by
unauthorized persons).
12 Validation of technical documentation and information for use

The validation process shall demonstrate that the requirements for technical documentation specified
in ISO 13849-1:2006, Clause 10, and for information for use specified in ISO 13849-1:2006, Clause 11,
have been implemented.

DS/EN ISO 13849-2:2014
Derudover skal følgende foranstaltninger indgå i det omfang, de er anvendt:
–– foranstaltninger mod fejl i forbindelse med vedligeholdelsesarbejde (fx detektering af forkerte indgangsdata ved
hjælp af kontroller af pålidelighed)
–– foranstaltninger mod modifikationer (fx passwordbeskyttelse for at forhindre uautoriseret adgang til program-
met).
12 Validering af teknisk dokumentation og brugerinformation

Valideringsprocessen skal vise, at kravene til teknisk dokumentation som fastlagt i ISO 13849-1:2006, pkt. 10, og til
brugerinformation ISO 13849-1:2006, pkt. 11, er opfyldt.
16 (da)
ISO 13849-2:2012(E)
Annex A
(informative)
Validation tools for mechanical systems
When mechanical systems are used in conjunction with other technologies, Annex A should also be
taken into account.
Tables A.1 and A.2 list basic and well-tried safety principles.
Table A.3 lists well-tried components for a safety-related application based on the application of
well‑tried safety principles and/or a standard for their particular applications. A well-tried component
for some applications could be inappropriate for others.
Tables A.4 and A.5 list fault exclusions and their rationale. For further exclusions, see 4.4.
The precise instant at which the fault occurs can be critical (see 9.1).
Table A.1 — Basic safety principles
Basic safety principle Remarks

Use of suitable materials and adequate manufac- Selection of material, manufacturing methods and treat-
turing ment in relation to, e.g. stress, durability, elasticity, fric-
tion, wear, corrosion, temperature.
Correct dimensioning and shaping Consider, e.g. stress, strain, fatigue, surface roughness,
tolerances, sticking, manufacturing.
Proper selection, combination, arrangements, Apply manufacturer’s application notes, e.g. catalogue
assembly and installation of components/system sheets, installation instructions, specifications, and use of
good engineering practice in similar components/systems.
Use of de-energization principle The safe state is obtained by a release of energy. See pri-
mary action for stopping in ISO 12100:2010, 6.2.11.3.
Energy is supplied for starting the movement of a mecha-
nism. See primary action for starting in ISO 12100:2010,
6.2.11.3.
Consider different modes, e.g. operation mode, mainte-
nance mode.
IMPORTANT — This principle is not to be followed
when loss of energy would create a hazard, e.g. release
of workpiece caused by loss of clamping force.
Proper fastening For the application of screw locking, consider manufac-
turer’s application notes.
Overloading can be avoided and adequate resistance to
release can be achieved by applying adequate torque load-
ing technology.
Limitation of the generation and/or transmission Examples are break pin, break plate, and torque-limiting
of force and similar parameters clutch.
when the continued integrity of components is essen-
tial to maintain the required level of control.
Limitation of range of environmental parameters Examples are temperature, humidity and pollution at the
installation place. See Clause 10 and consider manufac-
turer’s application notes.

DS/EN ISO 13849-2:2014
Anneks A
(informativt)
Valideringsværktøjer til mekaniske systemer
Når mekaniske systemer anvendes sammen med andre teknologier, bør anneks A også tages i betragtning.
I tabel A.1 og A.2 er grundlæggende og velgennemprøvede sikkerhedsprincipper anført.
I tabel A.3 er velgennemprøvede komponenter til sikkerhedsrelateret anvendelse baseret på anvendelse af velgen-
nemprøvede sikkerhedsprincipper og/eller en standard for deres særlige anvendelse anført. En velgennemprøvet
komponent til nogle anvendelser kan være uegnet til andre anvendelser.
I tabel A.4 og A.5 er fejludelukkelser og begrundelsen for dem anført. Se 4.4 for yderligere udelukkelser.
Det præcise tidspunkt, hvor fejlen sker, kan være kritisk (se 9.1).
Tabel A.1 – Grundlæggende sikkerhedsprincipper

Grundlæggende sikkerhedsprincip Bemærkninger
Anvendelse af egnede materialer og Valg af materiale samt fremstillings- og behandlingsmetoder i

fremstillingsmetoder relation til fx spænding, holdbarhed, elasticitet, friktion, slid,
korrosion, temperatur.
Korrekt dimensionering og formgivning Tag hensyn til fx spænding, belastning, udmattelse,

overfladeruhed, tolerancer, binding og fremstilling.
Korrekt valg, kombination, indretning, samling og Brug producentens anvisninger for anvendelsen, fx katalogblade,
installation af komponenter/system installationsvejledninger, specifikationer og iagttagelse af god
teknisk praksis i lignende komponenter/systemer.
Anvendelse af princippet om afbrydelse af Den sikre tilstand opnås ved at afbryde energitilførslen. Se den
energiforsyning primære handling, der skal til for at standse, i ISO 12100:2010,
6.2.11.3.
Der tilføres energi for at starte en mekanismes bevægelse. Se den
primære handling, der skal til for at starte, i ISO 12100:2010,
6.2.11.3.
Tag hensyn til forskellige tilstande, fx driftsmåde,
vedligeholdelsestilstand.
VIGTIGT – Dette princip må ikke følges, når tab af energi vil skabe
en fare, fx frigørelse af et emne ved tab af en fastholdelseskraft.
Korrekt fastgørelse Tag hensyn til producentens anvisninger for anvendelse af

skruelås.
Overbelastning kan undgås, og tilstrækkelig modstandsevne mod
frigørelse kan opnås ved at anvende en passende
momentbelastningsteknologi.
Begrænsning af generering og/eller overførsel af Eksempler er brudstift, brudplade, skridkobling.

kraft og lignende parametre
VIGTIGT – Dette princip må ikke følges, når den fortsatte
integritet af komponenterne er vigtig for at bevare det krævede
styringsniveau.
Begrænsning af området af miljøparametre Eksempler på parametre er temperatur, fugtighed og forurening på

installationsstedet. Se pkt. 10, og tag hensyn til producentens
anvisninger for anvendelsen.
17 (da)
ISO 13849-2:2012(E)
Table A.1 (continued)
Limitation of speed and similar parameters Consider, e.g. the speed, acceleration, deceleration
required by the application.
Proper reaction time Consider, e.g. spring tiredness, friction, lubrication, tem-
perature, inertia during acceleration and deceleration,
combination of tolerances.
Protection against unexpected start-up Consider unexpected start-up caused by stored energy and
after power supply restoration for different modes (opera-
tion mode, maintenance mode, etc.).
Special equipment for release of stored energy can be
necessary.
Special applications, e.g. to keep energy for clamping
devices or ensure a position, need to be considered sepa-
rately.
Simplification Avoid unnecessary components in the safety-related sys-
tem.
Separation Separation of safety-related functions from other func-
tions.
Proper lubrication Consider the need for lubrication devices, information on
lubricants and lubrication intervals.
Proper prevention of the ingress of fluids and dust Consider IP rating (see IEC 60529).
Table A.2 — Well-tried safety principles
Well-tried safety principle Remarks

Use of carefully selected materials and manufac- Selection of suitable material, adequate manufacturing
turing methods and treatments related to the application.
Use of components with oriented failure mode The predominant failure mode of a component is known
in advance and is always the same. See ISO 12100:2010,
6.2.12.3.
Overdimensioning/safety factor Safety factors are as given in standards or by good experi-
ence in safety-related applications.
Safe position The moving part of the component is held in a safe posi-
tion, by mechanical means (friction alone is not sufficient).
Force is required to move from the safe position.
Increased OFF force A safe position/state is obtained by an increased OFF force
in relation to the ON force.
Careful selection, combination, arrangement, —
assembly and installation of components/system
related to the application
Careful selection of fastening related to the appli- Avoid relying only on friction.
cation
Positive mechanical action To achieve positive mechanical action, all moving mechani-
cal components required to perform the safety function
shall inevitably move connected components, e.g. a cam
directly opens the contacts of an electrical switch rather
than relying on a spring. See ISO 12100:2010, 6.2.5.
Multiple parts Reducing the effect of faults by providing multiple parts
acting in parallel, e.g. where a failure of one of several
springs does not lead to a dangerous condition.

DS/EN ISO 13849-2:2014
Tabel A.1 (fortsat)

Begrænsning af hastighed og lignende parametre Tag hensyn til fx hastighed, acceleration og deceleration, der
kræves ved anvendelsen.
Korrekt reaktionstid Tag hensyn til fx fjedertræthed, friktion, smøring, temperatur, inerti
under acceleration og deceleration, kombination af tolerancer.
Beskyttelse mod uventet start Tag hensyn til uventet start forårsaget af oplagret energi og efter
genetablering af energiforsyningen for forskellige tilstande
(driftsmåde, vedligeholdelsestilstand osv.).
Særligt udstyr til bortledning af oplagret energi kan være
nødvendigt.
Det er nødvendigt at tage specielle anvendelser, fx at opretholde
energiforsyningen til fastholdelsesanordninger eller at sikre en
position, i betragtning separat.
Forenkling Undgå unødvendige komponenter i det sikkerhedsrelaterede

system.
Adskillelse Adskillelse af sikkerhedsrelaterede funktioner fra andre funktioner.
Korrekt smøring Tag hensyn til behovet for smøringsanordninger, oplysninger om

smøremidler og smøringsintervaller.
Korrekt forebyggelse mod indtrængen af væsker og Tag hensyn til IP-klassifikationen (se IEC 60529).
støv
Tabel A.2 – Velgennemprøvede sikkerhedsprincipper

Velgennemprøvet sikkerhedsprincip Bemærkninger
Brug af omhyggeligt udvalgte materialer og Valg af egnede materialer, passende fremstillings- og

fremstillingsprocesser behandlingsmetoder for anvendelsen.
Anvendelse af komponenter med specificeret En komponents hyppigst forekommende svigttilstand er kendt på

svigttilstand forhånd og er altid den samme. Se ISO 12100:2010, 6.2.12.3.
Overdimensionering/sikkerhedsfaktor Sikkerhedsfaktorerne er anført i standarder eller givet ved gode

erfaringer med sikkerhedsrelaterede anvendelser.
Sikker position Komponentens bevægelige del fastholdes mekanisk i en sikker

position (friktion alene er ikke tilstrækkeligt). For at skifte fra den
sikre position er det nødvendigt at påføre en kraft.
Øget OFF-kraft En sikker position/tilstand opnås ved at øge OFF-kraften i forhold til
ON-kraften.
Omhyggelig udvælgelse, kombination, indretning, —

samling og installation af komponenter/system for
anvendelsen
Omhyggelig udvælgelse af fastgørelse til Undgå, at fastgørelse alene sker ved friktion.
anvendelsen
Tvangsføring For at opnå tvangsføring skal alle bevægelige mekaniske

komponenter, der er nødvendige for at udføre
sikkerhedsfunktionen, uundgåeligt få de komponenter, de er
forbundet med, til at bevæge sig, fx en kam, der i stedet for at være
afhængig af en fjederkraft direkte åbner kontakterne i en elektrisk
afbryder. Se ISO 12100:2010, 6.2.5.
Flere dele Reduktion af virkningen af fejl ved hjælp af flere dele, der arbejder
parallelt, fx hvor et svigt i en enkelt af flere fjedre ikke medfører en
farlig tilstand.
18 (da)
ISO 13849-2:2012(E)
Use of well-tried spring (see also Table A.3) A well-tried spring requires
— use of carefully selected materials, manufacturing meth-
ods (e.g. pre-setting and cycling before use) and treatments
(e.g. rolling and shot-peening),
— sufficient guidance of the spring, and
— sufficient safety factor for fatigue stress (i.e. with a high
probability that a fracture will not occur).
Well-tried compression coil springs may also be designed, by
— use of carefully selected materials, manufacturing meth-
ods (e.g. pre-setting and cycling before use) and treatments
(e.g. rolling and shot-peening),
— sufficient guidance of the spring,
— clearance between the turns less than the wire diameter
when unloaded, and
— sufficient force after a fracture(s) is maintained (i.e. a
fracture(s) will not lead to a dangerous condition).
NOTE Compression springs are preferred.
Limited range of force and similar parameters Determine the necessary limitation in relation to the
experience and application. Examples are break pin, break
plate, and torque-limiting clutch.
when the continued integrity of components is essen-
tial to maintaining the required level of control.
Limited range of speed and similar parameters Determine the necessary limitation in relation to the expe-
rience and application. Examples are centrifugal governor,
safe monitoring of speed, and limited displacement.
Limited range of environmental parameters Determine the necessary limitations. Examples are
temperature, humidity, pollution at the installation. See
Clause 10 and consider manufacturer’s application notes.
Limited range of reaction time, limited hysteresis Determine the necessary limitations.
Consider, e.g. spring tiredness, friction, lubrication, tem-
perature, inertia during acceleration and deceleration,
combination of tolerances.
Table A.3 — Well-tried components
Well-tried
Conditions for “well-tried” Standard or specification
component
Screw All factors influencing the screw connection Mechanical jointing such as screws, nuts,
and the application are to be considered. See washers, rivets, pins, bolts, etc. is stand-
Table A.2. ardized.
Spring See Table A.2, “Use of well-tried spring”. Technical specifications for spring steels
and other special applications are given in
ISO 4960.

DS/EN ISO 13849-2:2014
Tabel A.2 (fortsat)

Anvendelse af velgennemprøvet fjeder (se også En velgennemprøvet fjeder kræver

tabel A.3)
–– brug af omhyggeligt udvalgte materialer, fremstillingsmetoder
(fx indstilling og funktionscyklus inden anvendelse) og
behandlinger (fx valsning og kuglehærdning)
–– tilstrækkelig føring af fjederen
–– tilstrækkelig sikkerhedsfaktor for udmattelsesspænding (dvs.
med stor sandsynlighed for, at der ikke sker brud).
Velgennemprøvede spiralfjedre kan også konstrueres ved
–– brug af omhyggeligt udvalgte materialer, fremstillingsmetoder
(fx indstilling og funktionscyklus inden anvendelse) og
behandlinger (fx valsning og kuglehærdning)
–– tilstrækkelig føring af fjederen
–– mindre afstand mellem vindingerne end tråddiameteren i
ubelastet tilstand
–– opretholdelse af tilstrækkelig kraft efter brud (dvs. brud vil ikke
medføre en farlig tilstand).
NOTE – Trykfjedre foretrækkes.
Begrænset interval for kraft og lignende parametre Bestem, hvilken begrænsning der er nødvendig ud fra erfaring og
anvendelse. Eksempler er brudstift, brudplade og skridkobling.
VIGTIGT – Dette princip må ikke følges, når den fortsatte
integritet af komponenterne er vigtig for at bevare det krævede
styringsniveau.
Begrænset interval for hastighed og lignende Bestem, hvilken begrænsning der er nødvendig ud fra erfaring og
parametre anvendelse. Eksempler på begrænsninger er mekanisk
hastighedsregulator, sikker overvågning af hastighed og
begrænset forskydning.
Begrænset interval for miljøparametre Bestem, hvilke begrænsninger der er nødvendige. Eksempler på
parametre er temperatur, fugtighed, forurening på
installationsstedet. Se pkt. 10, og tag hensyn til producentens
anvisninger for anvendelsen.
Begrænset interval for reaktionstid, begrænset Bestem, hvilke begrænsninger der er nødvendige.
hysterese
Tag hensyn til fx fjedertræthed, friktion, smøring, temperatur, inerti
under acceleration og deceleration, kombination af tolerancer.
Tabel A.3 – Velgennemprøvede komponenter

Velgennemprøvet
Betingelser for "velgennemprøvet" Standard eller specifikation
komponent
Skrue Alle faktorer med indflydelse på skrueforbindelsen Mekaniske forbindelser med fx skruer,
og anvendelsen skal tages i betragtning. møtrikker, skiver, nitter, stifter, bolte osv. er
Se tabel A.2. standardiserede.
Fjeder Se tabel A.2, "Anvendelse af velgennemprøvet Tekniske specifikationer for fjederstål og

fjeder". andre specielle anvendelser er indeholdt i
ISO 4960.
19 (da)
ISO 13849-2:2012(E)
Well-tried
Conditions for “well-tried” Standard or specification
component
Cam All factors influencing the cam arrangement (e.g. See ISO 14119 (interlocking devices).
part of an interlocking device) are to be consid-
ered.
See Table A.2.
Break-pin All factors influencing the application are to be —
considered. See Table A.2.
Table A.4 — Faults and fault exclusions — Mechanical devices, components and elements
(e.g. cam, follower, chain, clutch, brake, shaft, screw, pin, guide, bearing)
Fault considered Fault exclusion Remarks

Wear/corrosion Yes, in the case of carefully selected material, (over)dimen- See ISO 13849-1:2006, 7.3.
sioning, manufacturing process, treatment and proper
lubrication, according to the specified lifetime (see also
Table A.2).
Untightening/ loos- Yes, in the case of carefully selected material, manufactur-
ening ing process, locking means and treatment, according to the
specified lifetime (see also Table A.2).
Fracture Yes, in the case of carefully selected material, (over)dimen-
sioning, manufacturing process, treatment and proper
lubrication, according to the specified lifetime (see also
Table A.2).
Deformation by Yes, in the case of carefully selected material, (over)dimen-
overstressing sioning, treatment and manufacturing process, according
to specified lifetime (see also Table A.2).
Stiffness/sticking Yes, in the case of carefully selected material, (over)
dimensioning, manufacturing process, treatment and
proper lubrication, according to specified lifetime (see also
Table A.2).
Table A.5 — Faults and fault exclusions — Pressure-coil springs

Wear/corrosion Yes, in case of use of well-tried springs See ISO 13849-1:2006, 7.3.
and carefully selected fastenings (see
Force reduction by setting and frac-
Table A.2).
ture
Fracture
Stiffness/sticking
Loosening
Deformation by overstressing

DS/EN ISO 13849-2:2014
Tabel A.3 (fortsat)

Velgennemprøvet
Betingelser for "velgennemprøvet" Standard eller specifikation
komponent
Kam Alle faktorer med indflydelse på kamarrangementet Se ISO 14119 (tvangskoblingsanordninger).

(fx en del af en tvangskoblingsanordning) skal tages
i betragtning.
Se tabel A.2.
Brudstift Alle faktorer med indflydelse på anvendelsen skal —

tages i betragtning. Se tabel A.2.
Tabel A.4 – Fejl og fejludelukkelser – Mekaniske anordninger, komponenter og elementer

(fx kam, stødstang, kæde, kobling, bremse, aksel, skrue, stift, føring, leje)
Antaget fejl Fejludelukkelse Bemærkninger
Slid/korrosion Ja, i tilfælde af omhyggeligt udvalgt materiale, Se ISO 13849-1:2006, 7.3.

(over)dimensionering, fremstillingsproces, behandling og
korrekt smøring i overensstemmelse med den specificerede
levetid (se også tabel A.2).
Manglende Ja, i tilfælde af omhyggeligt udvalgt materiale,

efterspænding/ fremstillingsproces, låsemiddel og behandling i
løsgørelse overensstemmelse med den specificerede levetid
(se også tabel A.2).
Brud Ja, i tilfælde af omhyggeligt udvalgt materiale,

Deformation ved Ja, i tilfælde af omhyggeligt udvalgt materiale,

overbelastning (over)dimensionering, fremstillingsproces og behandling i
overensstemmelse med den specificerede levetid
(se også tabel A.2).
Stivhed/binding Ja, i tilfælde af omhyggeligt udvalgt materiale,

Tabel A.5 – Fejl og fejludelukkelser – Trykspiralfjedre

Slid/korrosion Ja, i tilfælde af at der anvendes Se ISO 13849-1:2006, 7.3.

velgennemprøvede fjedre og omhyggeligt
Nedsættelse af kraft ved indstilling og udvalgte fastgørelser (se tabel A.2).
brud
Brud
Stivhed/binding
Løsgørelse
Deformation ved overbelastning
20 (da)
ISO 13849-2:2012(E)
Annex B
(informative)
Validation tools for pneumatic systems
When pneumatic systems are used in conjunction with other technologies, Annex B should also be taken
into account. Where pneumatic components are electrically connected/controlled, the appropriate fault
lists in Annex D should be considered.
NOTE Additional requirements can exist in national legislation.
Tables B.1 and B.2 list basic and well-tried safety principles.

A list of well-tried components is not given in Annex B of this edition. The status of “well-tried” is
mainly application‑specific. Components can be described as “well-tried” if they are in accordance with
ISO 13849-1:2006, 6.2.2 and ISO 4414:2010, Clauses 5 to 7. A well-tried component for some applications
could be inappropriate for other applications.
Tables B.3 to B.18 list fault exclusions and their rationale. For further exclusions, see 4.4.
Table B.1 — Basic safety principles

Use of suitable materials and adequate Selection of material, manufacturing methods and treatment in
manufacturing relation to, e.g. stress, durability, elasticity, friction, wear, corro-
sion, temperature.
Correct dimensioning and shaping Consider, e.g. stress, strain, fatigue, surface roughness, toler-
ances, and manufacturing.
Proper selection, combination, arrangement, Apply manufacturer’s application notes, e.g. catalogue sheets,
assembly and installation of components/ installation instructions, specifications and use of good engineer-
system ing practice in similar components/systems.
Use of de-energization principle The safe state is obtained by release of energy to all relevant
devices. See primary action for stopping in ISO 12100:2010,
6.2.11.3.
Energy is supplied for starting the movement of a mechanism.
See primary action for starting in ISO 12100:2010, 6.2.11.3.
Consider different modes, e.g. operation mode, maintenance
mode.
This principle shall not be used in some applications, e.g. where
the loss of pneumatic pressure will create an additional hazard.
Proper fastening For the application of, e.g. screw locking, fittings, gluing or clamp
ring, consider manufacturer’s application notes.
Overloading can be avoided by applying adequate torque loading
technology.
Pressure limitation Examples are pressure-relief valve, pressure-reducing/control
valve.
Speed limitation/ speed reduction An example is the speed limitation placed on a piston by a flow
valve or throttle.
Sufficient avoidance of contamination of the Consider filtration and separation of solid particles and water in
fluid the fluid.

DS/EN ISO 13849-2:2014
Anneks B
(informativt)
Valideringsværktøjer til pneumatiske systemer
Når pneumatiske systemer anvendes sammen med andre teknologier, bør anneks B også tages i betragtning. Når
pneumatiske komponenter er elektrisk forbundet/styret, bør de relevante fejllister i anneks D tages i betragtning.
NOTE – National lovgivning kan indeholde yderligere krav.
I tabel B.1 og B.2 er grundlæggende og velgennemprøvede sikkerhedsprincipper anført.
Der er ikke angivet en liste over velgennemprøvede komponenter i anneks B i denne udgave. En status af "velgen-
nemprøvet" er hovedsageligt anvendelsesspecifik. Komponenter kan beskrives som "velgennemprøvede", hvis de
er i overensstemmelse med ISO 13849-1:2006, 6.2.2, og ISO 4414:2010, pkt. 5 til 7. En komponent, der er velgennem-
prøvet til nogle anvendelser, kan være uegnet til andre anvendelser.
I tabel B.3 til B.18 er fejludelukkelser og begrundelsen for dem anført. Se 4.4 for yderligere udelukkelser.
Tabel B.1 – Grundlæggende sikkerhedsprincipper

Anvendelse af egnede materialer og Valg af materiale samt fremstillings- og behandlingsmetoder i relation

fremstillingsmetoder til fx spænding, holdbarhed, elasticitet, friktion, slid, korrosion,
temperatur.
Korrekt dimensionering og formgivning Tag hensyn til fx spænding, belastning, udmattelse, overfladeruhed,
tolerancer og fremstilling.
installation af komponenter/system installationsvejledninger, specifikationer og iagttagelse af god teknisk
praksis i lignende komponenter/systemer.
Anvendelse af princippet om afbrydelse af Den sikre tilstand opnås ved at afbryde energitilførslen til alle
energiforsyning relevante anordninger. Se den primære handling, der skal til for at
standse, i ISO 12100:2010, 6.2.11.3.
primære handling, der skal til for at starte, i ISO 12100:2010, 6.2.11.3.
Dette princip må ikke anvendes i visse tilfælde, fx hvor tab af
pneumatisk tryk vil skabe yderligere fare.
Passende fastgørelse Tag hensyn til producentens anvisninger for anvendelsen ved brug af
fx skruesikring, fittings, limning eller spændring.
Overbelastning kan undgås ved at anvende en passende
Trykbegrænsning Eksempler er trykaflastningsventil, tryknedsættende/trykregulerende

ventil.
Hastighedsbegrænsning/hastighedsnedsættelse Et eksempel er hastighedsbegrænsning af et stempel ved hjælp af en

gennemstrømningsventil eller en drossel.
Tilstrækkelig undgåelse af forurening af væsken Overvej filtrering og adskillelse af faste partikler og vand i væsken.
21 (da)
ISO 13849-2:2012(E)
Table B.1 (continued)
Proper range of switching time Consider, e.g. the length of pipework, pressure, exhaust capacity,
force, spring tiredness, friction, lubrication, temperature, inertia
during acceleration and deceleration, and combination of toler-
ances.
Withstanding environmental conditions Design the equipment so that it is capable of working in all
expected environments and in any foreseeable adverse con-
ditions, e.g. temperature, humidity, vibration, pollution. See
Clause 10 and consider manufacturer’s specification/application
notes.
Protection against unexpected start-up Consider unexpected start-up caused by stored energy and after
power supply restoration for different modes, e.g. operation
mode, maintenance mode.
Special equipment for the release of stored energy can be neces-
sary (see ISO 14118:2000, 5.3.1.3).
Special applications (e.g. to keep energy for clamping devices or
ensure a position) need to be considered separately.
Simplification Avoid unnecessary components in the safety-related system.
Proper temperature range To be considered throughout the whole system.
Separation Separation of the safety-related functions from other functions
(e.g. logical separation).
Table B.2 — Well-tried safety principles

Overdimensioning/safety factor Safety factors are as given in standards or by good experience in
safety-related applications.
Safe position The moving part of the component is held in one of the possible
positions by mechanical means (friction only is not enough).
Force is needed to change the position.
Increased OFF force One solution can be that the area ratio for moving a valve spool
to the safe position (OFF position) is significantly larger than for
moving the spool to ON position (a safety factor).
Valve closed by load pressure These are generally seat valves, e.g. poppet valves, ball valves.
Consider how to apply the load pressure in order to keep the
valve closed even if, for example, the spring closing the valve
breaks.
Positive mechanical action The positive mechanical action is used for moving parts inside
pneumatic components. See also Table A.2.
Multiple parts See Table A.2.
Use of well-tried spring See Table A.2.
Speed limitation/speed reduction by resist- Examples are fixed orifices and fixed throttles.
ance to defined flow
Force limitation/force reduction This can be achieved by a well-tried pressure relief valve which
is, e.g. equipped with a well-tried spring, correctly dimensioned
and selected.
Appropriate range of working conditions The limitation of working conditions, e.g. pressure range, flow
rate and temperature range, should be considered.
Proper avoidance of contamination of the Consider the need for a high degree of filtration and separation of
fluid solid particles and water in the fluid.

DS/EN ISO 13849-2:2014
Tabel B.1 (fortsat)

Passende interval for omkoblingstider Tag hensyn til fx længde af rørledning, tryk, udluftningskapacitet, kraft,
fjedertræthed, friktion, smøring, temperatur, inerti under acceleration
og deceleration og kombination af tolerancer.
Modstand mod miljøforhold Konstruer udstyret således, at det kan fungere i alle forventede miljøer
og under alle forudseelige ugunstige betingelser, fx temperatur,
fugtighed, vibrationer, forurening. Se pkt. 10, og tag hensyn til
producentens specifikation/anvisninger for anvendelsen.
genetablering af energiforsyningen for forskellige tilstande, fx
driftsmåde, vedligeholdelsestilstand.
Særligt udstyr til bortledning af oplagret energi kan være nødvendigt
(se ISO 14118:2000, 5.3.1.3).
Det er nødvendigt at tage særlige anvendelser i betragtning separat (fx
at opretholde energiforsyningen til fastholdelsesanordninger eller
sikre en position).
Forenkling Undgå unødvendige komponenter i det sikkerhedsrelaterede system.
Passende temperaturinterval Skal tages i betragtning i hele systemet.
Adskillelse Adskillelse af de sikkerhedsrelaterede funktioner fra andre funktioner

(fx logisk adskillelse).
Tabel B.2 – Velgennemprøvede sikkerhedsprincipper

Overdimensionering/sikkerhedsfaktor Sikkerhedsfaktorerne er anført i standarder eller givet ved gode

erfaringer med sikkerhedsrelaterede anvendelser.
Sikker position Komponentens bevægelige del fastholdes mekanisk i en af de mulige

positioner (friktion alene er ikke tilstrækkeligt). For at skifte fra
positionen er det nødvendigt at påføre en kraft.
Øget OFF-kraft En løsning kan være, at fladeforholdet for bevægelse af en ventilspole

til sikker position (OFF-position) er væsentligt større end for bevægelse
af spolen til ON-position (en sikkerhedsfaktor).
Ventil lukket ved belastningstryk Disse er generelt sædeventiler, fx løfteventiler, kugleventiler.

Overvej, hvordan belastningstrykket skal påføres for at holde ventilen
lukket, selvom den fjeder, der lukker ventilen, for eksempel knækker.
Tvangsføring Tvangsføringen anvendes til bevægelige dele i pneumatiske

komponenter. Se også tabel A.2.
Flere dele Se tabel A.2.
Anvendelse af velgennemprøvet fjeder Se tabel A.2.
Hastighedsbegrænsning/hastighedsnedsættelse Eksempler er faste åbninger og faste drosler.

ved modstand mod en defineret
gennemstrømning
Kraftbegrænsning/kraftnedsættelse Dette kan opnås med en velgennemprøvet trykaflastningsventil, der fx

er forsynet med en velgennemprøvet fjeder og er korrekt
dimensioneret og valgt.
Passende område for driftsbetingelser Begrænsningen af driftsbetingelser, fx trykinterval, volumenstrøm og

temperaturinterval, bør tages i betragtning.
Passende undgåelse for forurening af væsken Overvej behovet for en høj grad af filtrering og adskillelse af faste
partikler og vand i væsken.
22 (da)
ISO 13849-2:2012(E)
Sufficient positive overlapping in spool The positive overlapping ensures the stopping function and pre-
valves vents movements that are not allowed.
Limited hysteresis For example, increased friction or a combination of tolerances
will increase the hysteresis.
Table B.3 — Faults and fault exclusions — Directional control valves

Change of switching times Yes, in the case of positive mechanical —
action (see Table A.2) of the moving
components, as long as the actuating
force is sufficiently large.
Non-switching (sticking at the end Yes, in the case of positive mechanical
or zero position) or incomplete action (see Table A.2) of the moving
switching (sticking at a random components, as long as the actuating
intermediate position) force is sufficiently large.
Spontaneous change of the initial Yes, in the case of positive mechanical Normal installation and operating
switching position (without an action (see Table A.2) of the moving conditions apply when
input signal) components, as long as the holding
— the conditions laid down by the
force is sufficiently large, or if well-
manufacturer have been taken
tried springs are used (see Table A.2)
into account,
and normal installation and operating
conditions apply (see remark), or in the — the weight of the moving com-
case of spool valves with elastic sealing ponent is not acting unfavourably
and if normal installation and operat- in terms of safety
ing conditions apply (see remark). (e.g. horizontal installation),
— there are no inertia forces act-
ing adversely on moving compo-
nents (e.g. direction of valve com-
ponent motion takes into account
magnitude and direction of inertia
forces), and
— no extreme vibration and shock
stresses occur.
Leakage Yes, in the case of spool-type valves 1) In the case of spool-type valves
with elastic seal, in so far as a suffi- with elastic seal, the effects due to
cient positive overlap is present [see leakage can usually be excluded.
remark 1)], normal conditions of opera- However, a small amount of leak-
tion apply, and an adequate treatment age can occur over a long period
and filtration of the compressed air is of time.
provided; or, in the case of seat valves,
2) Normal conditions of operation
if normal conditions of operation apply
apply when the conditions laid
[see remark 2)], and adequate treat-
down by the manufacturer are
ment and filtration of the compressed
taken into account.
air is provided.
If the control functions are realized by a number of single-function valves, then a fault analysis should be car-
ried out for each valve. The same procedure should be carried out in the case of piloted valves.

DS/EN ISO 13849-2:2014
Tabel B.2 (fortsat)

Tilstrækkelig positiv overlapning i spoleventiler Positiv overlapning sikrer standsningsfunktionen og forhindrer

bevægelser, der ikke er tilladte.
Begrænset hysterese Eksempelvis vil øget friktion eller en kombination af tolerancer øge
hysteresen.
Tabel B.3 – Fejl og fejludelukkelser – Retningsventiler

Ændring af omkoblingstider Ja, i tilfælde af tvangsføring (se tabel —

A.2) af de bevægelige komponenter, så
længe den aktiverende kraft er
tilstrækkelig stor.
Manglende omkobling (forbliven i slut- Ja, i tilfælde af tvangsføring (se tabel

eller nulposition) eller ufuldstændig A.2) af de bevægelige komponenter, så
omkobling (forbliven i en tilfældig længe den aktiverende kraft er
mellemposition) tilstrækkelig stor.
Automatisk ændring af Ja, i tilfælde af tvangsføring (se tabel Normale installations- og

udgangspositionen (uden A.2) af de bevægelige komponenter, så driftsbetingelser gælder, når
indgangssignal) længe holdekraften er tilstrækkelig
stor, eller hvis der anvendes –– producentens betingelser er
velgennemprøvede fjedre (se tabel overholdt
A.2), og der gælder normale –– vægten af de bevægelige
installations- og driftsbetingelser (se komponenter ikke virker ugunstigt
bemærkning), eller i tilfælde af ud fra et sikkerhedsmæssigt
spoleventiler med elastisk tætning, og synspunkt (fx horisontal installation)
der gælder normale installations- og
driftsbetingelser (se bemærkning). –– ingen inertikræfter indvirker
ugunstigt på bevægelige
komponenter (fx tager retningen af
ventilkomponentens bevægelse
højde for inertikræfternes størrelse
og retning)
–– der ikke forekommer ekstreme
vibrationer og chok.
Lækage Ja, i tilfælde af ventiler af spoletypen 1) I tilfælde af ventiler af spoletypen

med elastisk tætning, hvor der er med elastisk tætning kan
tilstrækkelig positiv overlapning [se virkningerne som følge af lækage
bemærkning 1)], og hvis der gælder sædvanligvis udelukkes. Der kan
normale driftsbetingelser, og der dog forekomme en smule lækage
sørges for tilstrækkelig behandling og over et langt tidsrum.
filtrering af trykluften eller i tilfælde af
sædeventiler, hvis der gælder normale 2) Der gælder normale
driftsbetingelser [se bemærkning 2)], driftsbetingelser, når producentens
og der sørges for tilstrækkelig betingelser er overholdt.
behandling og filtrering af trykluften.
Hvis styrefunktionerne udføres af et antal ventiler med hver deres funktion, bør der foretages en fejlanalyse for hver ventil.
Samme procedure bør gennemføres for pilotventiler.
23 (da)
ISO 13849-2:2012(E)
Change in the leakage flow rate None. —
over a long period of use
Bursting of the valve hous- Yes, if construction, dimensioning and
ing or breakage of the moving installation are in accordance with
component(s) as well as breakage/ good engineering practice.
fracture of the mounting or hous-
ing screws
For servo and proportional valves: Yes, in the case of servo and propor- —
pneumatic faults which cause tional directional valves, if these can
uncontrolled behaviour be assessed in terms of technical safety
as conventional directional control
valves, owing to their design and con-
struction.
Table B.4 — Faults and fault exclusions — Stop (shut-off) valves/non-return (check)

valves/quick‑action venting valves/shuttle valves, etc.

Change of switching times None. —
Non-opening, incomplete opening, Yes, if the guidance system for the For a non-controlled ball seat
non-closure or incomplete closure moving component(s) is designed in valve without a damping system,
(sticking at an end position or at a manner similar to that for a non- the guidance system is generally
an arbitrary intermediate posi- controlled ball seat valve without a designed such that any sticking of
tion) damping system (see remark) and the moving component is unlikely.
if well-tried springs are used (see
Table A.2).
Spontaneous change of the initial Yes, for normal installation and operat- Normal installation and operating
switching position (without an ing conditions (see remark) and if there conditions are met when
input signal) is sufficient closing force on the basis
of the pressures and areas provided.
manufacturer are being followed,
— no special inertial forces affect
the moving components, e.g. direc-
tion of motion takes into account
the orientation of the moving
machine parts, and
— no extreme vibration or shock
stresses occur.
For shuttle valves: simultaneous Yes, if, on the basis of the construction —
closing of both input connections and design of the moving component,
simultaneous closing is unlikely.
Leakage Yes, if normal conditions of opera- Normal conditions of operation
tion apply (see remark) and there is apply when the conditions laid
adequate treatment and filtration of down by the manufacturer are
the compressed air. taken into account.

DS/EN ISO 13849-2:2014
Tabel B.3 (fortsat)

Ændring i lækagens volumenstrøm Ingen. —

over en lang anvendelsesperiode
Sprængning af ventilhuset eller brud Ja, hvis fremstilling, dimensionering

af den eller de bevægelige og installation er i overensstemmelse
komponenter samt brud/revne i med god teknisk praksis.
monteringsskruerne eller skruerne til
huset
For servo- og proportionalventiler: Ja, i tilfælde af servo- og —

pneumatiske fejl, der kan medføre proportionalretningsventiler, hvis
ukontrolleret opførsel disse ud fra et sikkerhedsteknisk
synspunkt kan betragtes som
konventionelle retningsventiler på
grund af deres konstruktion og
fremstilling.
Tabel B.4 – Fejl og fejludelukkelser - Stopventiler (afspærringsventiler)/kontraventiler/

hurtigudluftningsventiler/shuntventiler osv.
Ændring af omkoblingstider Ingen. —
Manglende åbning, ufuldstændig Ja, hvis føringssystemet til de For en ikke-styret kuglesædeventil
åbning, manglende lukning eller bevægelige komponenter er uden dæmpningssystem er
ufuldstændig lukning (forbliven i en konstrueret på lignende måde som til føringssystemet generelt konstrueret
slutposition eller i en tilfældig en ikke-styret kuglesædeventil uden således, at der er lille sandsynlighed
mellemposition) dæmpningssystem (se bemærkning), for, at den bevægelige komponent
og hvis der anvendes sætter sig fast.
velgennemprøvede fjedre
(se tabel A.2).
Automatisk ændring af Ja, for normale installations- og Normale installations- og

udgangspositionen (uden driftsbetingelser (se bemærkning), og driftsbetingelser er opfyldt, når
indgangssignal) hvis der er tilstrækkelig lukkekraft fra
de tilstedeværende tryk og flader. –– producentens betingelser er
overholdt
–– ingen særlige inertikræfter påvirker
de bevægelige komponenter, fx at
bevægelsesretningen tager hensyn
til retningen af de bevægelige
maskindele, og
vibrationer eller chok.
For shuntventiler: samtidig lukning af Ja, hvis samtidig lukning ud fra den —
begge indgangsforbindelser bevægelige komponents fremstilling
og konstruktion er usandsynlig.
Lækage Ja, hvis der gælder normale Der gælder normale driftsbetingelser,
driftsbetingelser (se bemærkning), og når producentens betingelser er
der er tilstrækkelig behandling og overholdt.
filtrering af trykluften.
24 (da)
ISO 13849-2:2012(E)
Change in the leakage flow rate None. —
ing screws
Table B.5 — Faults and fault exclusions — Flow valves

Change in flow rate without any Yes, for flow control valves without 1) The setting device is not consid-
change in setting device moving parts [see remark 1)], e.g. ered to be a moving part. Changes
throttle valves, if normal operating in flow rate due to changes in
conditions apply [see remark 2)], and pressure differences are physi-
adequate treatment and filtration of cally limited in this type of valve
the compressed air is provided. and are not covered by this
assumed fault.
Change in the flow rate in the case Yes, if the diameter is ≥ 0,8 mm, nor-
of non-adjustable, circular orifices mal operating conditions apply [see 2) Normal operating conditions
and nozzles remark 2)], and if adequate treatment apply when the conditions laid
and filtration of the compressed air is down by the manufacturer are
provided. taken into account.
For proportional flow valves: None. —
change in the flow rate due to an
unintended change in the set value
Spontaneous change in the setting Yes, where there is an effective protec-
device tion of the setting device adapted to
the particular case, based upon techni-
cal safety specification(s).
Unintended loosening (unscrew- Yes, if an effective positive locking
ing) of the operating element(s) of device against loosening (unscrewing)
the setting device is provided.
component(s) as well as the break- good engineering practice.
age/fracture of the mounting or
housing screws

DS/EN ISO 13849-2:2014
Tabel B.4 (fortsat)

Ændring i lækagens volumenstrøm Ingen. —


huset
Tabel B.5 – Fejl og fejludelukkelser – Strømreguleringsventiler

Ændring af volumenstrøm uden Ja, for strømreguleringsventiler uden 1) Indstillingsanordningen betragtes

ændring af indstillingsanordning bevægelige dele [se bemærkning 1)], ikke som en bevægelig del.
fx drosselventiler, hvis der gælder Ændringer i volumenstrømmen
normale driftsbetingelser [se som følge af ændringer i
bemærkning 2)], og der sørges for trykforskelle er begrænset fysisk i
tilstrækkelig behandling og filtrering af denne type ventil og er ikke dækket
trykluften. af denne antagne fejl.
Ændring i volumenstrømmen i tilfælde Ja, hvis diameteren er ≥ 0,8 mm, hvis 2) Der gælder normale
af ikke-indstillelige, cirkulære åbninger der gælder normale driftsbetingelser driftsbetingelser, når producentens
og dyser (se bemærkning 2)], og der sørges for betingelser er overholdt.
tilstrækkelig behandling og filtrering af
trykluften.
For proportionalventiler: ændring i Ingen. —

volumenstrømmen som følge af en
utilsigtet ændring i den indstillede
værdi
Automatisk ændring i Ja, når der findes en effektiv

indstillingsanordningen beskyttelse af indstillingsanordningen,
som er tilpasset det enkelte tilfælde,
baseret på tekniske
sikkerhedsspecifikationer.
Utilsigtet løsgørelse (afskruning) af Ja, hvis der sørges for en effektiv

indstillingsanordningens funktionsdele positiv sikring mod løsgørelse
(afskruning).

huset
25 (da)
ISO 13849-2:2012(E)
Table B.6 — Faults and fault exclusions — Pressure valves

Non-opening or insufficient Yes, if 1) This fault applies only when
opening when exceeding the set the pressure valve(s) is used for
— the guidance system for the moving
pressure (sticking or sluggish forced actions, e.g. clamping.
component(s) is similar to the case of
movement of the moving compo-
a non-controlled ball seat or mem- This fault does not apply to its
nent) [see remark 1)]
brane valve [see remark 2)], e.g. for a normal function in the pneumatic
Non-closing or insufficient closing pressure-reducing valve with second- systems, e.g. pressure limitation,
if pressure drops below the set ary pressure relief, and pressure decrease.
value (sticking or sluggish move-
ment of the moving component) — the installed springs are well-tried 2) For a non-controlled ball seat
[see remark 1)] springs (see Table A.2). valve or for a membrane valve,
the guidance system is generally
Change of the pressure control Yes, for directly actuated pressure- designed such that any sticking of
behaviour without changing the limiting valves and pressure-switching the moving component is unlikely.
setting device [see remark 1)] valves if the installed spring(s) are
well-tried (see Table A.2).
For proportional pressure valves: None.
change in the pressure control
behaviour due to unintended
change in the set value [see
remark 1)]
Spontaneous change in the setting Yes, where there is effective protec- —
device tion of the setting device within the
requirements of the application, e.g.
lead seals.
Unintended unscrewing of the Yes, if an effective positive locking
operating element of the setting device against unscrewing is provided.
device
Leakage Yes, for seat valves, membrane valves Normal operating conditions are
and spool valves with elastic sealing met when the conditions laid
in normal operating conditions (see down by the manufacturer are
remark) and if adequate treatment followed.
and filtration of the compressed air is
provided.
Change of the leakage flow rate, None. —
ing screws

DS/EN ISO 13849-2:2014
Tabel B.6 – Fejl og fejludelukkelser – Trykventiler

Manglende åbning eller ufuldstændig Ja, hvis 1) Denne fejl gælder kun, når der
åbning, når det indstillede tryk anvendes trykventiler til
overskrides (binding eller træg –– føringssystemet til de bevægelige tvangsbevægelser, fx fastholdelse.
bevægelse af den bevægelige komponenter er konstrueret på
komponent [se bemærkning 1)] lignende måde som til en ikke-styret Denne fejl gælder ikke for den
kuglesædeventil eller normale funktion i pneumatiske
Manglende lukning eller ufuldstændig membranventil [se bemærkning 2)], systemer, fx trykbegrænsning,
lukning, hvis trykket falder til under fx til en trykreducerende ventil med tryknedsættelse.
den indstillede værdi (binding eller sekundær trykaflastning
2) For en ikke-styret kuglesædeventil
træg bevægelse af den bevægelige –– de installerede fjedre er eller en membranventil er
komponent [se bemærkning 1)] velgennemprøvede fjedre føringssystemet generelt
(se tabel A.2). konstrueret således, at der er lille
sandsynlighed for, at den
Ændring af trykstyringsforholdet uden Ja, for direkte aktiverede bevægelige komponent sætter sig
ændring af indstillingsanordningen trykbegrænsningsventiler og fast.
[se bemærkning 1)] pressostatventiler, hvis de installerede
fjedre er velgennemprøvede
(se tabel A.2).
For proportionalventiler: ændring i Ingen.

trykstyringsforholdet på grund af
utilsigtet ændring af den indstillede
værdi [se bemærkning 1)]
Automatisk ændring i Ja, når indstillingsanordningen er —

indstillingsanordningen beskyttet effektivt under hensyntagen
til kravene til anvendelsen,
fx plomberinger.
Utilsigtet afskruning af Ja, hvis der sørges for en effektiv

indstillingsanordningens funktionsdele positiv sikring mod afskruning.
Lækage Ja, for sædeventiler, membranventiler Normale driftsbetingelser er opfyldt,

og spoleventiler med elastisk tætning når producentens betingelser er
under normale driftsbetingelser (se overholdt.
bemærkning), og hvis der sørges for
tilstrækkelig behandling og filtrering af
trykluften.
Ændring af lækagens volumenstrøm Ingen. —


huset
26 (da)
ISO 13849-2:2012(E)
Table B.7 — Faults and fault exclusions — Pipework

Bursting and leakage Yes, if the dimensioning, choice of materials When using plastic pipes, it is
and fixing are in accordance with good engi- necessary to consider the manu-
neering practice (see remark). facturer’s data, in particular with
respect to operational environ-
mental influences, e.g. thermal
influences, chemical influences or
influences due to radiation. When
using steel pipes that have not been
treated with a corrosion-resistant
medium, it is particularly important
to provide sufficient drying of the
compressed air.
Failure at the connector Yes, if using bite-type fittings or threaded —
(e.g. tearing off, leakage) pipes (i.e. steel fittings, steel pipes) and if
dimensioning, choice of materials, manufac-
ture, configuration and fixing are in accord-
ance with good engineering practice.
Clogging (blockage) Yes, for pipework in the power circuit.
Yes, for the control and measurement pipe-
work if the nominal diameter is ≥ 2 mm.
Kinking of plastic pipes Yes, if properly protected and installed, taking
with a small nominal into account the relevant manufacturer’s data,
diameter e.g. minimum bending radius.
Table B.8 — Faults and fault exclusions — Hose assemblies

Bursting, tearing off at Yes, if hose assemblies use hoses manufac- Fault exclusion is not considered
the fitting attachment and tured to ISO 4079-1 or similar hoses (see when
leakage remark) with the corresponding hose fittings.
— the intended lifetime is expired,
— fatigue behaviour of reinforce-
ment can occur,
— external damage is unavoidable.
Clogging (blockage) Yes, for hose assemblies in the power circuit, —
and, in the case of the control and measure-
ment hose assemblies, if the nominal diameter
is ≥ 2 mm.

DS/EN ISO 13849-2:2014
Tabel B.7 – Fejl og fejludelukkelser – Rørledninger

Sprængning og lækage Ja, hvis dimensionering, valg af materialer og Når der anvendes plastrør, er det
fastgørelse er i overensstemmelse med god vigtigt at tage hensyn til producentens
teknisk praksis (se bemærkning). data, især hvad angår påvirkning af
miljøet under drift, fx termisk
påvirkning, kemisk påvirkning eller
påvirkning fra stråling. Når der
anvendes stålrør, der ikke er blevet
korrosionsbehandlet, er det særlig
vigtigt at sørge for tilstrækkelig tørring
af trykluften.
Svigt ved Ja, hvis der anvendes skæreringsfittings eller —

forbindelseselementet, fx gevindrør (dvs. stålfittings, stålrør), og hvis
afrivning, lækage dimensionering, valg af materialer, fremstilling,
konfiguration og fastgørelse er i
overensstemmelse med god teknisk praksis.
Tilstopning (blokering) Ja, for rørledninger i effektkredsen.

Ja, for styre- og målerørledninger, hvis den
nominelle diameter er ≥ 2 mm.
Snoning af plastrør med lille Ja, hvis de er korrekt beskyttet og installeret

nominel diameter under hensyntagen til relevante data fra
producenten, fx mindste bøjeradius.
Tabel B.8 – Fejl og fejludelukkelser – Slangeledninger

Sprængning, afrivning ved Ja, hvis der til slangesamlinger er anvendt Fejludelukkelse overvejes ikke, når
fittingfastgørelsen og slanger i overensstemmelse med ISO 4079-1 eller
lækage lignende slanger (se bemærkning) med de –– den forventede levetid overskrides
tilhørende slangefittings. –– armering kan vise tegn på
udmattelse
–– ydre beskadigelse ikke kan undgås.
Tilstopning (blokering) Ja, for slangeledninger i effektkredsen samt for —

styre- og måleslangeledninger, hvis den
27 (da)
ISO 13849-2:2012(E)
Table B.9 — Faults and fault exclusions — Connectors

Bursting, breaking of Yes, if dimensioning, choice of material, manu- —
screws or stripping of facture, configuration and connection to the
threads piping and/or to the pipe/hose fittings are in
accordance with good engineering practice.
Leakage (loss of airtight- None. Due to wear, ageing, deterioration
ness) of elasticity, etc. it is not possible to
exclude faults over a long period. A
sudden major failure of the airtight-
ness is not assumed.
Clogging (blockage) Yes, for applications in the power circuit and, —
in the case of control and measurement con-
nectors, if the nominal diameter is ≥ 2 mm.
Table B.10 — Faults and fault exclusions — Pressure transmitters and pressure medium
transducers

Loss or change of air/ None. —
oil‑tightness of pressure
chambers
Bursting of the pressure Yes, if dimensioning, choice of material, con-
chambers as well as frac- figuration and attachment are in accordance
ture of the attachment or with good engineering practice.
cover screws
Table B.11 — Faults and fault exclusions — Compressed air treatment — Filters

Blockage of the filter ele- None. —
ment
Rupture or partial rup- Yes, if the filter element is sufficiently resist-
ture of the filter element ant to pressure.
Failure of the filter condi- None.
tion indicator or monitor
Bursting of the filter Yes, if dimensioning, choice of material,
housing or fracture of arrangement in the system and fixing are in
the cover or connecting accordance with good engineering practice.
elements

DS/EN ISO 13849-2:2014
Tabel B.9 – Fejl og fejludelukkelser – Forbindelseselementer

Sprængning, brud af skruer Ja, hvis dimensionering, valg af materiale, —

eller afrivning af gevind fremstilling, konfiguration og tilslutning til
rørsystemet og/eller rør-/slangefittingsene er i
overensstemmelse med god teknisk praksis.
Lækage (tab af lufttæthed) Ingen. På grund af slid, ældning, forringelse

af elasticitet osv. er det ikke muligt at
udelukke fejl over et langt tidsrum. Et
pludseligt større svigt af lufttæthed er
ikke forudsat.
Tilstopning (blokering) Ja, for anvendelser i effektkredsen samt for styre- —

og måleforbindelseselementer, hvis den
Tabel B.10 – Fejl og fejludelukkelser – Tryktransmittere og trykmiddeltransducere

Tab eller ændring af luft-/ Ingen. —

olietæthed i trykkamre
Sprængning af trykkamrene Ja, hvis dimensionering, valg af materiale,

samt brud af fastgørelsen konfiguration og fastgørelse er i
eller dækselskruerne overensstemmelse med god teknisk praksis.
Tabel B.11 – Fejl og fejludelukkelser – Trykluftbehandling – Filtre

Blokering af filterelementet Ingen. —
Brud eller delvist brud af Ja, hvis filterelementet er tilstrækkelig

filterelementet modstandsdygtigt over for tryk.
Svigt af Ingen.
filtertilstandsindikatoren
eller -overvågningen
Sprængning af filterhuset Ja, hvis dimensionering, valg af materiale,

eller brud af dæksel- eller placering i systemet og fastgørelse er i
forbindelseselementerne overensstemmelse med god teknisk praksis.
28 (da)
ISO 13849-2:2012(E)
Table B.12 — Faults and fault exclusions — Compressed-air treatment — Oilers

Change in the set value None. —
(oil volume per unit time)
without change to the set-
ting device
Spontaneous change in Yes, if effective protection of the setting device
the setting device is provided, adapted to the particular case.
Unintended unscrewing Yes, if an effective positive locking device
of the operating element against unscrewing is provided.
of the setting device
Bursting of the housing Yes, if the dimensioning, choice of materials,
or fracture of the cover, arrangement in the system and fixing are in
fixing or connecting ele- accordance with good engineering practice.
ments.
Table B.13 — Faults and fault exclusions — Compressed air treatment — Silencers

Blockage (clogging) of the Yes, if the design and construction of the Clogging of the silencer element
silencer silencer element fulfils the remark. and/or an increase in the exhaust
air back-pressure above a certain
critical value is unlikely if the
silencer has a suitably large diam-
eter and is designed to meet the
operating conditions.
Table B.14 — Faults and fault exclusions — Accumulators and pressure vessels

Fracture/bursting of the Yes, if construction, choice of equipment, —
accumulator/pressure choice of materials and arrangement in the
vessel or connectors or system are in accordance with good engineer-
stripping of the threads of ing practice.
the fixing screws
Table B.15 — Faults and fault exclusions — Sensors

Faulty sensor (see None. Sensors in this table include signal
remark) capture, processing and output, in
particular for pressure, flow rate,
temperature, etc.
Change of the detection or None. —
output characteristics

DS/EN ISO 13849-2:2014
Tabel B.12 – Fejl og fejludelukkelser – Trykluftbehandling – Smøreapparater

Ændring af den indstillede Ingen. —

værdi (oliemængde pr.
tidsenhed) uden ændring af
indstillingsanordningen
Automatisk ændring i Ja, hvis der sørges for effektiv beskyttelse af

indstillingsanordningen indstillingsanordningen tilpasset det enkelte
tilfælde.
Utilsigtet afskruning af Ja, hvis der sørges for en effektiv positiv sikring
indstillingsanordningens mod afskruning.
funktionsdele
Sprængning af huset eller Ja, hvis dimensionering, valg af materiale,

brud af dækslet, placering i systemet og fastgørelse er i
fastgørelsen eller overensstemmelse med god teknisk praksis.
forbindelseselementerne
Tabel B.13 – Fejl og fejludelukkelser – Trykluftbehandling – Lyddæmpere

Blokering (tilstopning) af Ja, hvis konstruktion og fremstilling af Tilstopning af lyddæmperens element

lyddæmperen lyddæmperens element opfylder bemærkningen. og/eller en forøgelse af
udstødningsluftens modtryk over en
bestemt kritisk værdi er usandsynlig,
hvis lyddæmperen har en tilstrækkelig
stor diameter og er konstrueret til at
opfylde driftsbetingelserne.
Tabel B.14 – Fejl og fejludelukkelser – Akkumulatorer og trykbeholdere

Brud/sprængning af Ja, hvis fremstilling, valg af udstyr, valg af —

akkumulatoren/ materialer og placering i systemet er i
trykbeholderen eller overensstemmelse med god teknisk praksis.
forbindelseselementerne
eller afrivning af
fastgørelsesskruernes
gevind
Tabel B.15 – Fejl og fejludelukkelser – Følere

Fejlbehæftet føler Ingen. Følere i denne tabel omfatter

(se bemærkning) opfangning, behandling og afgivelse
af signaler, især for tryk,
volumenstrøm, temperatur osv.
Ændring af detekterings- Ingen. —

eller
udgangskarakteristikaene
29 (da)
ISO 13849-2:2012(E)
Table B.16 — Faults and fault exclusions — Information processing — Logical elements

Faulty logical element For corresponding fault assumptions and fault —
(e.g. AND element, OR exclusions, see Tables B.3, B.4 and B.5 and the
element, logic-storage- relevant related components.
element) due to, e.g.
change in the switching
time, failing to switch or
incomplete switching
Table B.17 — Faults and fault exclusions — Information processing — Time-delay devices

Faulty time-delay device, Yes, for time-delay devices without moving Normal operating conditions are
e.g. pneumatic and pneu- components, e.g. fixed resistance, if normal met when the conditions laid down
matic/mechanical time operating conditions (see remark) apply and by the manufacturer are followed.
and counting elements adequate treatment and filtration of the com-
pressed air is provided.
Change of detection or
Bursting of the housing Yes, if construction, dimensioning and instal- —
or fracture of the cover or lation are in accordance with good engineer-
fixing elements ing practice.
Table B.18 — Faults and fault exclusions — Information processing — Converters

Faulty converter [see Yes, for converters without moving compo- 1) This covers, for example, the
remark 1)] nents, e.g. reflex nozzle, if normal operating conversion of a pneumatic signal
conditions apply [see remark 2)] and adequate into an electrical one, the position
Change of the detection or
treatment and filtration of the compressed air detection (cylinder switch, reflex
is provided. nozzle), the amplification of pneu-
matic signals.
2) Normal operating conditions are
met when the conditions laid down
by the manufacturer are followed.
Bursting of the housing Yes, if construction, dimensioning and instal- —
or fracture of the cover or lation are in accordance with good engineer-
fixing elements ing practice.

DS/EN ISO 13849-2:2014
Tabel B.16 – Fejl og fejludelukkelser – Informationsbehandling – Logiske elementer

Fejlbehæftet logisk element For tilsvarende fejlantagelser og fejludelukkelser, —

(fx AND-element, OR- se tabel B.3, B.4 og B.5 og de relevante relaterede
element, logisk lagrings- komponenter.
element) som følge af fx
ændring af omkoblingstid,
manglende omkobling eller
ufuldstændig omkobling
Tabel B.17 – Fejl og fejludelukkelser – Informationsbehandling – Tidsforsinkelsesanordninger

Fejlbehæftet Ja, for tidsforsinkelsesanordninger uden Normale driftsbetingelser er opfyldt,

tidsforsinkelsesanordning, bevægelige komponenter, fx fast modstand, hvis når producentens betingelser er
fx pneumatiske og der gælder normale driftsbetingelser overholdt.
pneumatiske/mekaniske (se bemærkning), og der sørges for tilstrækkelig
tids- og tælleelementer behandling og filtrering af trykluften.
Ændring af detekterings-
eller udgangskarakteristika
Sprængning af huset eller Ja, hvis fremstilling, dimensionering og —

brud af dækslet eller installation er i overensstemmelse med god
fastgørelseselementerne teknisk praksis.
Tabel B.18 – Fejl og fejludelukkelser – Informationsbehandling – Omformere

Fejlbehæftet omformer Ja, for omformere uden bevægelige 1) Dette dækker fx omformning af
[se bemærkning 1)] komponenter, fx refleksdyser, hvis der gælder pneumatisk signal til et elektrisk,
normale driftsbetingelser [se bemærkning 2)], og positionsdetektering
Ændring af detekterings- der sørges for tilstrækkelig behandling og (cylinderkontakt, refleksdyse),
eller udgangskarakteristika filtrering af trykluften. forstærkning af pneumatiske
signaler.
2) Normale driftsbetingelser er
opfyldt, når producentens
betingelser er overholdt.
Sprængning af huset eller Ja, hvis fremstilling, dimensionering og —

brud af dækslet eller installation er i overensstemmelse med god
fastgørelseselementerne teknisk praksis.
30 (da)
ISO 13849-2:2012(E)
Annex C
(informative)
Validation tools for hydraulic systems
When hydraulic systems are used in conjunction with other technologies, Annex C should also be taken
into account. Where hydraulic components are electrically connected/controlled, the appropriate fault
lists in Annex D should be considered.
NOTE Additional requirements can exist in national legislation.
Tables C.1 and C.2 list basic and well-tried safety principles. Air bubbles and cavitation in the hydraulic
fluid should be avoided because they can create additional hazards, e.g. unintended movements.
A list of well-tried components is not given in Annex C of this edition. The status of “well-tried” is
mainly application‑specific. Components can be described as “well-tried” if they are in accordance with
ISO 13849-1:2006, 6.2.2 and ISO 4414:2010, Clauses 5 to 7. A well-tried component for some applications
Tables C.3 to C.12 list fault exclusions and their rationale. For further exclusions, see 4.4.
Table C.1 — Basic safety principles

Use of suitable materials and adequate Selection of material, manufacturing methods and treatment in
manufacturing relation to e.g. stress, durability, elasticity, friction, wear, corro-
sion, temperature, hydraulic fluid.
Correct dimensioning and shaping Consider, e.g. stress, strain, fatigue, surface roughness, toler-
ances, manufacturing.
Proper selection, combination, arrange- Apply manufacturer’s application notes, e.g. catalogue sheets,
ments, assembly and installation of compo- installation instructions, specifications, and use of good engi-
nents/system neering practice in similar components/systems.
Use of de-energization principle The safe state is obtained by release of energy to all relevant
devices. See primary action for stopping in ISO 12100:2010,
6.2.11.3.
Energy is supplied for starting the movement of a mechanism.
See primary action for starting in ISO 12100:2010, 6.2.11.3.
Consider different modes, e.g. operation mode, maintenance
mode.
This principle shall not be used in some applications, e.g. where
the loss of hydraulic pressure will create an additional hazard.
Proper fastening For the application of e.g. screw locking, fittings, gluing, clamp
ring, consider manufacturers application notes.
Overloading can be avoided by applying adequate torque loading
technology.
Pressure limitation Examples are pressure-relief valve, pressure-reducing/control
valve.
Speed limitation/speed reduction An example is the speed limitation of a piston by a flow valve or a
throttle.

DS/EN ISO 13849-2:2014
Anneks C
(informativt)
Valideringsværktøjer til hydrauliske systemer
Når hydrauliske systemer anvendes sammen med andre teknologier, bør anneks C også tages i betragtning. Når
hydrauliske komponenter er elektrisk forbundet/styret, bør de relevante fejllister i anneks D tages i betragtning.
NOTE – National lovgivning kan indeholde yderligere krav.
I tabel C.1 og C.2 er grundlæggende og velgennemprøvede sikkerhedsprincipper anført. Luftbobler og hulrum i hy-
draulikvæsken bør undgås, da de kan medføre yderligere farer, fx utilsigtede bevægelser.
Der er ikke angivet en liste over velgennemprøvede komponenter i anneks C i denne udgave. En status af "velgen-
nemprøvet" er hovedsageligt anvendelsesspecifik. Komponenter kan beskrives som "velgennemprøvede", hvis de
er i overensstemmelse med ISO 13849-1:2006, 6.2.2, og ISO 4414:2010, pkt. 5 til 7. En komponent, der er velgennem-
prøvet til nogle anvendelser, kan være uegnet til andre anvendelser.
I tabel C.3 til C.12 er fejludelukkelser og begrundelsen for dem anført. Se 4.4 for yderligere udelukkelser.
Tabel C.1 – Grundlæggende sikkerhedsprincipper

Anvendelse af egnede materialer og Valg af materiale samt fremstillings- og behandlingsmetoder i relation

fremstillingsmetoder til fx spænding, holdbarhed, elasticitet, friktion, slid, korrosion,
temperatur, hydraulikvæske.
tolerancer, fremstilling.
installation af komponenter/system installationsvejledninger, specifikationer og iagttagelse af god teknisk
praksis i lignende komponenter/systemer.
Anvendelse af princippet om afbrydelse af Den sikre tilstand opnås ved at afbryde energitilførslen til alle
energiforsyning relevante anordninger. Se den primære handling, der skal til for at
standse, i ISO 12100:2010, 6.2.11.3.
primære handling, der skal til for at starte, i ISO 12100:2010, 6.2.11.3.
Dette princip må ikke anvendes i visse tilfælde, fx hvor tab af
hydraulisk tryk vil skabe yderligere fare.
Korrekt fastgørelse Tag hensyn til producentens anvisninger for anvendelsen ved brug af
fx skruesikring, fittings, limning, spændring.
Overbelastning kan undgås ved at anvende en passende
Trykbegrænsning Eksempler er trykaflastningsventil, tryknedsættende/trykregulerende

ventil.
Hastighedsbegrænsning/hastighedsnedsættelse Et eksempel er hastighedsbegrænsning af et stempel med en

gennemstrømningsventil eller en drosselventil.
31 (da)
ISO 13849-2:2012(E)
Table C.1 (continued)
Sufficient avoidance of contamination of the Consider filtration/separation of solid particles/water in the
fluid fluid.
Consider also an indication of the need for a filter service.
Proper range of switching time Consider, e.g. the length of pipework, pressure, evacuation relief
capacity, spring tiredness, friction, lubrication, temperature/vis-
cosity, inertia during acceleration and deceleration, combination
of tolerances.
Withstanding environmental conditions Design the equipment so that it is capable of working in all
expected environments and in any foreseeable adverse con-
ditions, e.g. temperature, humidity, vibration, pollution. See
Clause 10 and consider the manufacturer’s specification and
application notes.
Protection against unexpected start-up Consider unexpected start-up caused by stored energy and after
power supply restoration for different modes, e.g. operation
mode, maintenance mode.
Special equipment for release of stored energy may be necessary.
Special applications (e.g. to keep energy for clamping devices or
ensure a position) need to be considered separately.
Simplification Avoid unnecessary components in the safety-related system.
Proper temperature range To be considered throughout the whole system.
Separation Separation of safety-related functions from other functions.

DS/EN ISO 13849-2:2014
Tabel C.1 (fortsat)

Nødvendig undgåelse af forurening af væsken Overvej filtrering/adskillelse af faste partikler/vand i væsken.

Overvej også en angivelse af, hvornår der er behov for filtereftersyn.
Passende interval for omkoblingstider Tag hensyn til fx længde af rørledning, tryk, udluftningskapacitet,
fjedertræthed, friktion, smøring, temperatur/viskositet, inerti under
acceleration og deceleration, kombination af tolerancer.
Modstand over for miljøforhold Konstruer udstyret således, at det kan fungere i alle forventede miljøer
og under alle forudseelige ugunstige betingelser, fx temperatur,
fugtighed, vibrationer, forurening. Se pkt. 10, og tag hensyn til
producentens specifikation og anvisninger for anvendelsen.
genetablering af energiforsyningen for forskellige tilstande, fx
driftsmåde, vedligeholdelsestilstand.
Særligt udstyr til bortledning af oplagret energi kan være nødvendigt.
Det er nødvendigt at tage særlige anvendelser (fx at opretholde
energiforsyningen til fastholdelsesanordninger eller sikre en position)
i betragtning separat.
Forenkling Undgå unødvendige komponenter i det sikkerhedsrelaterede system.
Passende temperaturinterval Skal tages i betragtning i hele systemet.
Adskillelse Adskillelse af sikkerhedsrelaterede funktioner fra andre funktioner.
32 (da)
ISO 13849-2:2012(E)
Table C.2 — Well-tried safety principles

Overdimensioning/safety factor Safety factors are as given in standards or by good experience in
safety-related applications.
Safe position The moving part of the component is held in one of the possible posi-
tions by mechanical means (friction only is not enough). Force is
needed to change the position.
Increased OFF force One solution can be that the area ratio for moving a valve spool to the
safe position (OFF position) is significantly larger than for moving the
spool to the ON position (a safety factor).
Valve closed by load pressure Examples are seat and cartridge valves.
Consider how to apply the load pressure in order to keep the valve
closed even if, e.g. the spring closing the valve breaks.
Positive mechanical action The positive mechanical action is used for moving parts inside hydrau-
lic components. See also Table A.2.
Multiple parts See Table A.2.
Use of well-tried spring See Table A.2.
Speed limitation/speed reduction by Examples are fixed orifices and fixed throttles.
resistance to defined flow
Force limitation/force reduction This can be achieved by a well-tried pressure-relief valve which is, e.g.
equipped with a well-tried spring, correctly dimensioned and selected.
Appropriate range of working condi- The limitation of working conditions, e.g. pressure range, flow rate
tions and temperature range, should be considered.
Monitoring of the condition of the fluid Consider a high degree of filtration/separation of solid particles/water
in the fluid. Consider also the chemical/physical conditions of the fluid.
Consider an indication of the need for a filter service.
Sufficient positive overlapping in pis- The positive overlapping ensures the stopping function and prevents
ton valves non-permitted movements.
Limited hysteresis For example increased friction will increase the hysteresis. A combina-
tion of tolerances will also influence the hysteresis.

DS/EN ISO 13849-2:2014
Tabel C.2 – Velgennemprøvede sikkerhedsprincipper

Overdimensionering/sikkerhedsfaktor Sikkerhedsfaktorerne er anført i standarder eller givet ved gode erfaringer

med sikkerhedsrelaterede anvendelser.
Sikker position Komponentens bevægelige del fastholdes mekanisk i en af de mulige

positioner (friktion alene er ikke tilstrækkeligt). For at skifte fra positionen er
det nødvendigt at påføre en kraft.
Øget OFF-kraft En løsning kan være, at fladeforholdet for bevægelse af en ventilspole til
sikker position (OFF-position) er væsentligt større end for bevægelse af
spolen til ON-position (en sikkerhedsfaktor).
Ventil lukket ved belastningstryk Eksempler er sæde- og cartridgeventiler.

Overvej, hvordan belastningstrykket skal påføres for at holde ventilen lukket,
selvom den fjeder, der lukker ventilen, fx knækker.
Tvangsføring Tvangsføringen anvendes til bevægelige dele i hydrauliske komponenter.

Se også tabel A.2.
Flere dele Se tabel A.2.
Anvendelse af velgennemprøvet fjeder Se tabel A.2.
Hastighedsbegrænsning/ Eksempler er faste åbninger og faste drosler.

hastighedsnedsættelse ved modstand
over for en defineret gennemstrømning
Kraftbegrænsning/kraftnedsættelse Dette kan opnås med en velgennemprøvet trykaflastningsventil, der fx er

forsynet med en velgennemprøvet fjeder og korrekt dimensioneret og valgt.
Passende område for driftsbetingelser Begrænsningen af driftsbetingelser, fx trykinterval, volumenstrøm og

temperaturinterval, bør tages i betragtning.
Overvågning af væsketilstanden Overvej en høj grad af filtrering/adskillelse af faste partikler/vand i væsken.

Tag også hensyn til væskens kemiske/fysiske tilstand.
Overvej en angivelse af, hvornår der er behov for filtereftersyn.
Tilstrækkelig positiv overlapning i Positiv overlapning sikrer standsningsfunktionen og forhindrer ikke-tilladte

stempelventiler bevægelser.
Begrænset hysterese Eksempelvis vil øget friktion øge hysteresen. En kombination af tolerancer vil
også indvirke på hysteresen.
33 (da)
ISO 13849-2:2012(E)
Table C.3 — Faults and fault exclusions — Directional control valves

Change of switching times Yes, in the case of positive mechanical action 1) A special type of cartridge seat
(see Table A.2) of the moving components as valve is obtained if
long as the actuating force is sufficiently large;
— the active area for initiating the
or, in respect of the non-opening of a special
safety-related switching movement
type of cartridge seat valve, when used with at
is at least 90 % of the total area of
least one other valve, to control the main flow
the moving component (poppet),
of the fluid [see remark 1)].
Non-switching (sticking Yes, in the case of positive mechanical action — the effective control pressure on
at an end or zero position) (see Table A.2) of the moving components as the active area can be increased up
or incomplete switch- long as the actuating force is sufficiently large; to the maximum working pressure
ing (sticking at a random or, in respect of the non-opening of a special (in accordance with ISO 5598:2008,
intermediate position) type of cartridge seat valve, when used with at 3.2.429) in line with the behaviour
least one other valve, to control the main flow of the seat valve in question,
of the fluid [see remark 1)]. — the effective control pressure on
the area opposite the active area of
the moving component is vented to
a very low value compared with the
maximum operating pressure, e.g.
return pressure in case of pressure
dump valves or supply pressure in
case of suction/fill valves,
— the moving component (poppet)
is provided with peripheral balanc-
ing grooves, and
— the pilot valve(s) to this seat
valve is designed together in a
manifold block (i.e. without hose
assemblies and pipes for the con-
nection of these valves).
Spontaneous change of Yes, in the case of positive mechanical action 2) Normal installation and operat-
the initial switching posi- (see Table A.2) of the moving components as ing conditions apply when
tion (without an input long as the holding force is sufficiently large;
— the conditions laid down by
signal) or if well-tried springs are used (see Table A.2)
the manufacturer are taken into
and normal installation and operating condi-
account,
tions apply [see remark 2)]; or, in respect of
the non-opening of a special type of cartridge — the weight of the moving com-
seat valve, when used with at least one other ponent does not act in an unfavour-
valve, to control the main flow of the fluid able sense in terms of safety, e.g.
[see remark 1)] and if normal installation and horizontal installation,
operating conditions apply [see remark 2)].
machine parts, and
— no extreme vibration and shock
stresses occur.
Leakage Yes, in the case of seat valves, if normal instal- Normal installation and operating
lation and operating conditions apply (see conditions apply when the condi-
remark) and an adequate filtration system is tions laid down by the manufac-
provided. turer are taken into account.

DS/EN ISO 13849-2:2014
Tabel C.3 – Fejl og fejludelukkelser – Retningsventiler

Ændring af omkoblingstider Ja, i tilfælde af tvangsføring (se tabel A.2) af de 1) En særlig type cartridgeventil fås,
bevægelige komponenter, så længe den hvis
aktiverende kraft er tilstrækkelig stor, eller for
manglende åbning af en særlig type –– den aktive flade for igangsætning af
cartridgeventil, når denne anvendes sammen den sikkerhedsrelaterede
med mindst én anden ventil til styring af væskens omskiftebevægelse er mindst 90 %
hovedstrømning [se bemærkning 1)]. af den bevægelige komponents
(løfteventils) samlede flade
Manglende omkobling Ja, i tilfælde af tvangsføring (se tabel A.2) af de –– det effektive styretryk på den aktive
(forbliven i slut- eller bevægelige komponenter, så længe den flade kan øges til det maksimale
nulposition) eller aktiverende kraft er tilstrækkelig stor, eller for arbejdstryk (i overensstemmelse
ufuldstændig omkobling manglende åbning af en særlig type med ISO 5598:2008, 3.2.429)
(forbliven i en tilfældig cartridgeventil, når denne anvendes sammen afhængigt af forholdet ved den
mellemposition) med mindst én anden ventil til styring af væskens pågældende sædeventil
hovedstrømning [se bemærkning 1)].
–– det effektive styretryk på fladen
modsat den bevægelige
komponents aktive flade aflastes til
en meget lav værdi sammenlignet
med det maksimale arbejdstryk, fx
modtryk i tilfælde af trykventiler eller
forsyningstryk i tilfælde af suge-/
fyldeventiler
–– den bevægelige komponent
(løfteventil) er forsynet med
aflastningsriller i periferien
–– pilotventilerne til denne sædeventil
er konstrueret sammen i en
manifoldblok (dvs. uden
slangeledninger og rør til tilslutning
af disse ventiler).
Automatisk ændring af Ja, i tilfælde af tvangsføring (se tabel A.2) af de 2) Normale installations- og
udgangspositionen (uden bevægelige komponenter, så længe holdekraften driftsbetingelser gælder, når
indgangssignal) er tilstrækkelig stor, eller hvis der anvendes
velgennemprøvede fjedre (se tabel A.2), og der –– producentens betingelser er
gælder normale installations- og driftsbetingelser overholdt
[se bemærkning 2)], eller for manglende åbning –– vægten af de bevægelige
af en særlig type cartridgeventil, når denne komponenter ikke virker på en
anvendes sammen med mindst én anden ventil ugunstig måde set ud fra et
til styring af væskens hovedstrømning [se sikkerhedsmæssigt synspunkt, fx
bemærkning 1)], og hvis der gælder normale horisontal installation
installations- og driftsbetingelser
[se bemærkning 2)]. –– ingen særlige inertikræfter påvirker
de bevægelige komponenter, fx når
maskindele
vibrationer og chok.
Lækage Ja, i tilfælde af sædeventiler, hvis der gælder Der gælder normale installations- og
normale installations- og driftsbetingelser (se driftsbetingelser, når producentens
bemærkning), og der er sørget for et tilstrækkeligt betingelser er overholdt.
filtreringssystem.
34 (da)
ISO 13849-2:2012(E)
Change in the leakage None. —
flow rate over a long
period of use
Bursting of the valve Yes, if construction, dimensioning and instal-
housing or breakage of lation are in accordance with good engineer-
the moving component(s) ing practice.
as well as breakage/frac-
ture of the mounting or
housing screws
For servo and propor- Yes, in the case of servo and proportional
tional valves: hydraulic directional valves, if these can be assessed in
faults which cause uncon- terms of safety as conventional directional
trolled behaviour control valves, owing to their design and con-
struction.
Table C.4 — Faults and fault exclusions — Stop (shut–off) valves/non-return (check)

valves/shuttle valves, etc.

Change of switching times None. —
Non-opening, incomplete Yes, if the guidance system for the moving For a non-controlled ball seat valve
opening, non-closure or component(s) is designed in a manner similar without damping system, the guid-
incomplete closure (stick- to that for a non-controlled ball seat valve ance system is generally designed
ing at an end position or without a damping system (see remark) and if in such a manner that any stick-
at an arbitrary intermedi- well-tried springs are used (see Table A.2). ing of the moving component is
ate position) unlikely.
Spontaneous change of Yes, for normal installation and operating con- Normal installation and operating
the initial switching posi- ditions (see remark) and if there is sufficient conditions are met when
tion (without an input closing force on the basis of the pressures and
signal) areas provided.
manufacturer are followed and
machine parts, and
— no extreme vibration or shock
stresses occur.
For shuttle valves: simul- Yes, if, on the basis of the construction and —
taneous closing of both design of the moving component, this simulta-
input connections neous closing is unlikely.
Leakage Yes, if normal conditions of operation apply Normal conditions of operation
(see remark) and an adequate filtration sys- apply when the conditions laid
tem is provided. down by the manufacturer are
taken into account.

DS/EN ISO 13849-2:2014
Tabel C.3 (fortsat)

Ændring i lækagens Ingen. —

volumenstrøm over en lang
anvendelsesperiode
Sprængning af ventilhuset Ja, hvis fremstilling, dimensionering og

eller brud af den eller de installation er i overensstemmelse med god
bevægelige komponenter teknisk praksis.
samt brud/revne i
monteringsskruerne eller
skruerne til huset
For servo- og Ja, i tilfælde af servo- og

proportionalventiler: proportionalretningsventiler, hvis disse ud fra et
hydrauliske fejl, der kan sikkerhedsmæssigt synspunkt kan betragtes som
medføre ukontrolleret konventionelle retningsventiler på grund af deres
opførsel konstruktion og fremstilling.
Tabel C.4 – Fejl og fejludelukkelser – Stopventiler (afspærringsventiler)/kontraventiler/shuntventiler osv.

Ændring af omkoblingstider Ingen. —
Manglende åbning, Ja, hvis føringssystemet til de bevægelige For en ikke-styret kuglesædeventil
ufuldstændig åbning, komponenter er konstrueret på lignende måde uden dæmpningssystem er
manglende lukning eller som til en ikke-styret kuglesædeventil uden føringssystemet generelt konstrueret
ufuldstændig lukning dæmpningssystem (se bemærkning), og hvis der således, at der er lille sandsynlighed
(forbliven i en slutposition anvendes velgennemprøvede fjedre for, at den bevægelige komponent
eller i en tilfældig (se tabel A.2). sætter sig fast.
mellemposition)
Automatisk ændring af Ja, for normale installations- og driftsbetingelser Normale installations- og

udgangspositionen (uden (se bemærkning), og hvis der er tilstrækkelig driftsbetingelser er opfyldt, når
indgangssignal) lukkekraft fra de tilstedeværende tryk og flader.
–– producentens betingelser er
overholdt
–– ingen særlige inertikræfter påvirker
de bevægelige komponenter, fx at
maskindele
vibrationer eller chok.
For shuntventiler: samtidig Ja, hvis samtidig lukning ud fra den bevægelige —
lukning af begge komponents fremstilling og konstruktion er
indgangsforbindelser usandsynlig.
Lækage Ja, hvis der gælder normale driftsbetingelser (se Der gælder normale driftsbetingelser,
bemærkning), og der er sørget for et tilstrækkeligt når producentens betingelser er
filtreringssystem. overholdt.
35 (da)
ISO 13849-2:2012(E)
Change in the leakage None. —
period of use
housing screws
Table C.5 — Faults and fault exclusions — Flow valves

Change in the flow rate Yes, in the case of flow valves without mov- 1) The setting device is not consid-
without change in the set- ing parts [see remark 1)], e.g. throttle valves, ered to be a moving part. Changes
ting device if normal operating conditions apply [see in flow rate due to changes in the
remark 2)] and an adequate filtration system pressure differences and viscosity
is provided [see remark 3)]. are physically limited in this type
of valve and are not covered by this
Change in the flow rate in Yes, if the diameter is > 0,8 mm, normal oper-
assumed fault.
the case of non-adjusta- ating conditions apply [see remark 2)] and an
ble, circular orifices and adequate filtration system is provided. 2) Normal operating conditions are
nozzles met when the conditions laid down
by the manufacturer are followed.
3) Where a non-return valve is inte-
grated into the flow valve, then, in
addition, the fault assumptions for
non-return valves have to be taken
into account.
For proportional flow None. —
valves: change in the flow
rate due to an unintended
change in the set value
Spontaneous change in Yes, where there is an effective protection
the setting device of the setting device adapted to the par-
ticular case, based upon technical safety
specification(s).
Unintended loosening Yes, if an effective positive locking device
(unscrewing) of the oper- against loosening (unscrewing) is provided.
ating element(s) of the
setting device
as well as the breakage/
fracture of the mounting
or housing screws

DS/EN ISO 13849-2:2014
Tabel C.4 (fortsat)

Ændring i lækagens Ingen. —

anvendelsesperiode

samt brud/revne i
skruerne til huset
Tabel C.5 – Fejl og fejludelukkelser – Strømreguleringsventiler

Ændring af volumenstrøm Ja, for strømreguleringsventiler uden bevægelige 1) Indstillingsanordningen betragtes

uden ændring af dele [se bemærkning 1)], fx drosselventiler, hvis ikke som en bevægelig del.
indstillingsanordningen der gælder normale driftsbetingelser [se Ændringer i volumenstrømmen
bemærkning 2)], og der er sørget for et som følge af ændringer i
tilstrækkeligt filtreringssystem trykforskelle og viskositet er
[se bemærkning 3)]. begrænset fysisk i denne type ventil
og er ikke dækket af denne antagne
Ændring i Ja, hvis diameteren er > 0,8 mm, hvis der gælder fejl.
volumenstrømmen i tilfælde normale driftsbetingelser [se bemærkning 2)], og
af ikke-indstillelige, der er sørget for et tilstrækkeligt 2) Normale driftsbetingelser er
cirkulære åbninger og dyser filtreringssystem. opfyldt, når producentens
betingelser er overholdt.
3) Når der er indbygget en stopventil i
strømreguleringsventilen, skal
antagelsen af fejl i stopventilen
også tages i betragtning.
For proportionalventiler: Ingen. —

ændring i
volumenstrømmen som
følge af en utilsigtet
ændring i den indstillede
værdi
Automatisk ændring i Ja, når der findes en effektiv beskyttelse af

indstillingsanordningen indstillingsanordningen, som er tilpasset det
enkelte tilfælde baseret på tekniske
sikkerhedsspecifikationer.
Utilsigtet løsgørelse Ja, hvis der sørges for en effektiv positiv sikring
(afskruning) af mod løsgørelse (afskruning).
indstillingsanordningens
funktionsdele

samt brud/revne i
skruerne til huset
36 (da)
ISO 13849-2:2012(E)
Table C.6 — Faults and fault exclusions — Pressure valves

Non-opening or insuf- Yes, in respect of the non-opening of a special 1) This fault applies only when the
ficient opening (spatially type of cartridge seat valve, when used with pressure valve(s) is (are) used for
and temporarily) when at least one other valve, to control the main forced actions, e.g. clamping, and
exceeding the set pres- flow of the fluid [see remark 1)] of Table C.3); for the control of hazardous move-
sure (sticking or slug- or if the guidance system for the moving ment, e.g. suspension of loads. This
gish movement of the component(s) is similar to the case of a non- fault does not apply to its normal
moving component) [see controlled ball seat valve without a damping function in hydraulic systems,
remark 1)] device [see remark 2)] and if the installed e.g. pressure limitation, pressure
springs are well-tried (see Table A.2). decrease.
Non-closing or insuf-
ficient closing (spatially 2) For a non-controlled ball seat
and temporarily) if the valve without a damping device,
pressure drops below the guidance system is generally
the set value (sticking or designed in such a manner that any
sluggish movement of the sticking of the moving component is
moving component) [see unlikely.
remark 1)]
Change of the pressure Yes, in the case of directly actuated pressure-
control behaviour without relief valves, if the installed spring(s) are well-
changing the setting tried (see Table A.2).
device [see remark 1)]
For proportional pres- None.
sure valves: change in the
pressure control behav-
iour due to unintended
change in the set value
[see remark 1)]
Spontaneous change in Yes, where there is an effective protection of —
the setting device the setting device adapted to the particular
case in relation to technical safety specifica-
tions
(e.g. lead seals).
Unintended unscrewing Yes, if an effective positive locking device
of the operating element against unscrewing is provided.
of the setting device
Leakage Yes for seat valves if normal operating condi- Normal operating conditions apply
tions apply (see remark) and if an adequate when the conditions laid down by
filtration system is provided. the manufacturer are taken into
account.
Change of the leakage None. —
period of use
housing screws

DS/EN ISO 13849-2:2014
Tabel C.6 – Fejl og fejludelukkelser – Trykventiler

Manglende åbning eller Ja, for manglende åbning af en særlig type 1) Denne fejl gælder kun, når der
ufuldstændig åbning (vej- cartridgeventil, når denne anvendes sammen anvendes trykventiler til
og tidsmæssigt), når det med mindst én anden ventil til styring af væskens tvangsbevægelser, fx fastholdelse,
indstillede tryk overskrides hovedstrømning [se bemærkning 1] i tabel C.3, og til styring af farlige bevægelser,
(binding eller træg eller hvis føringssystemet til de bevægelige fx ophæng af belastninger. Denne
bevægelse af den komponenter ligner systemet til en ikke-styret fejl gælder ikke for den normale
bevægelige komponent) kuglesædeventil uden dæmpningsanordning [se funktion i hydrauliske systemer, fx
[se bemærkning 1)] bemærkning 2)], og hvis de anvendte fjedre er trykbegrænsning, tryknedsættelse.
velgennemprøvede (se tabel A.2).
Manglende lukning eller 2) For en ikke-styret kuglesædeventil
ufuldstændig lukning (vej- uden dæmpningsanordning er
og tidsmæssigt), hvis trykket føringssystemet generelt
falder til under den konstrueret således, at der er lille
indstillede værdi (binding sandsynlighed for, at den
eller træg bevægelse af den bevægelige komponent sætter sig
bevægelige komponent) [se fast.
bemærkning 1)]
Ændring af Ja, i tilfælde af direkte aktiverede

trykstyringsforholdet uden trykaflastningsventiler, hvis de anvendte fjedre er
ændring af velgennemprøvede (se tabel A.2).
indstillingsanordningen [se
bemærkning 1)]
For proportionalventiler: Ingen.

ændring i
trykstyringsforholdet på
grund af utilsigtet ændring
af den indstillede værdi [se
bemærkning 1)]
Automatisk ændring i Ja, når der findes en effektiv beskyttelse af —

indstillingsanordningen indstillingsanordningen, som er tilpasset det
enkelte tilfælde ud fra tekniske
sikkerhedsspecifikationer (fx blyforseglinger).
Utilsigtet afskruning af Ja, hvis der sørges for en effektiv positiv sikring
indstillingsanordningens mod afskruning.
funktionsdele
Lækage Ja, for sædeventiler, hvis der gælder normale Der gælder normale driftsbetingelser,
driftsbetingelser (se bemærkning), og der er når producentens betingelser er
sørget for et tilstrækkeligt filtreringssystem. overholdt.
Ændring af lækagens Ingen. —

anvendelsesperiode

samt brud/revne i
skruerne til huset
37 (da)
ISO 13849-2:2012(E)
Table C.7 — Faults and fault exclusions — Metal pipework

Bursting and leakage Yes, if the dimensioning, choice of —
materials and fixing are in accord-
ance with good engineering practice.
Failure at the connector (e.g. tearing Yes, if welded fittings or welded —
off, leakage) flanges or flared fittings are used,
and dimensioning, choice of materi-
als, manufacture, configuration and
fixing are in accordance with good
engineering practice.
Clogging (blockage) Yes, for pipework in the power circuit,
and for control and measurement
pipework if the nominal diameter
is ≥ 3 mm.
Table C.8 — Faults and fault exclusions — Hose assemblies

Bursting, tearing off at the fitting None. —
attachment and leakage
Clogging (blockage) Yes, for hose assemblies in the power
circuit, and for control and measure-
ment hose assemblies if the nominal
diameter is ≥ 3 mm.
Table C.9 — Faults and fault exclusions — Connectors

Bursting, breaking of screws or strip- Yes, if dimensioning, choice of mate- —
ping of threads rial, manufacture, configuration and
connection to the piping and/or to
the fluid technology component are
in accordance with good engineering
practice.
Leakage (loss of the leak-tightness) None (see remark). Due to wear, ageing, deteriora-
tion of elasticity, etc., it is not
possible to exclude faults over
a long period. A sudden major
failure of the leak-tightness is
not assumed.
Clogging (blockage) Yes, for applications in the power —
circuit, and for control and meas-
urement connectors if the nominal
diameter is ≥ 3 mm.

DS/EN ISO 13849-2:2014
Tabel C.7 – Fejl og fejludelukkelser – Metalrørledninger

Sprængning og lækage Ja, hvis dimensionering, valg af –

materialer og fastgørelse er i
overensstemmelse med god teknisk
praksis.
Svigt ved forbindelseselementet (fx Ja, hvis der anvendes svejste fittings –
afrivning, lækage) eller svejste flanger eller bertlede
fittings, og dimensionering, valg af
materialer, fremstilling, konfiguration
og fastgørelse er i overensstemmelse
med god teknisk praksis.
Tilstopning (blokering) Ja, for rørledninger i effektkredsen, og

for styre- og målerørledninger, hvis
den nominelle diameter er ≥ 3 mm.
Tabel C.8 – Fejl og fejludelukkelser – Slangeledninger

Sprængning, afrivning ved Ingen. —

fittingfastgørelsen og lækage
Tilstopning (blokering) Ja, for slangeledninger i effektkredsen,

og for styre- og måleslangeledninger,
hvis den nominelle diameter
er ≥ 3 mm.
Tabel C.9 – Fejl og fejludelukkelser – Forbindelseselementer

Sprængning, brud af skruer eller Ja, hvis dimensionering, valg af —

afrivning af gevind materiale, fremstilling, konfiguration
og tilslutning til rørsystem og/eller til
fluidtekniske komponenter er i
praksis.
Lækage (tab af tæthed) Ingen (se bemærkning). På grund af slid, ældning, forringelse
af elasticitet osv. er det ikke muligt at
udelukke fejl over et langt tidsrum. Et
pludseligt større svigt af tæthed er ikke
forudsat.
Tilstopning (blokering) Ja, for anvendelser i effektkredsen og —

for styre- og
måleforbindelseselementer, hvis den
38 (da)
ISO 13849-2:2012(E)
Table C.10 — Faults and fault exclusions — Filters

Blockage of the filter element None. —
Rupture of the filter element Yes, if the filter element is sufficiently
resistant to pressure and an effective
bypass valve or an effective monitor-
ing of dirt is provided.
Failure of the bypass valve Yes, if the guidance system of the
bypass valve is designed similarly
to that for a non-controlled ball seat
valve without a damping device (see
Table C.4) and if well-tried springs are
used (see Table A.2).
Failure of the dirt indicator or dirt None.
monitor
Bursting of the filter housing or Yes, if dimensioning, choice of mate-
fracture of the cover or connecting rial, arrangement in the system and
elements fixing are in accordance with good
engineering practice.
Table C.11 —Faults and fault exclusions — Energy storage

Fracture/bursting of the energy Yes, if construction, choice of —
storage vessel or connectors or cover equipment, choice of materials and
screws as well as stripping of the arrangement in the system are in
screw threads accordance with good engineering
practice.
Leakage at the separating element None.
between the gas and the operating
fluid
Failure/breakage of the separating Yes, in the case of cylinder/piston A sudden major leakage is not to
element between the gas and the storage (see remark). be considered.
operating fluid
Failure of the filling valve on the gas Yes, if the filling valve is installed in —
side accordance with good engineering
practice and if adequate protection
against external influences is pro-
vided.
Table C.12 — Faults and fault exclusions — Sensors

Faulty sensor (see remark) None. Types of sensors include signal
capture, processing and output,
in particular for pressure, flow
rate and temperature.
Change of the detection or output None. —
characteristics

DS/EN ISO 13849-2:2014
Tabel C.10 – Fejl og fejludelukkelser – Filtre

Blokering af filterelementet Ingen. —
Brud af filterelementet Ja, hvis filterelementet er tilstrækkelig

modstandsdygtigt over for tryk, og der
findes en effektiv bypass-ventil eller
effektiv tilsmudsningsovervågning.
Svigt af bypass-ventilen Ja, hvis styringssystemet til bypass-

ventilen er konstrueret på lignende
måde som systemet til en ikke-styret
kuglesædeventil uden
dæmpningsanordning (se tabel C.4),
og hvis der anvendes
velgennemprøvede fjedre
(se tabel A.2).
Svigt af tilsmudsningsindikatoren eller Ingen.

tilsmudsningsovervågningen
Sprængning af filterhuset eller brud af Ja, hvis dimensionering, valg af

dækslet eller forbindelseselementerne materiale, placering i systemet og
fastgørelse er i overensstemmelse
med god teknisk praksis.
Tabel C.11 – Fejl og fejludelukkelser – Oplagring af energi

Brud/sprængning af Ja, hvis fremstilling, valg af udstyr, —

energioplagringsbeholderen eller valg af materialer og placering i
forbindelseselementerne eller systemet er i overensstemmelse med
dækselskruerne samt afrivning af god teknisk praksis.
skruegevindene
Lækage ved det adskillende element Ingen.

mellem gas og væske
Svigt/brud ved det adskillende element Ja, i tilfælde af cylinder-/ Der skal ikke tages hensyn til en
mellem gas og væske stempeloplagring (se bemærkning). pludselig større lækage.
Svigt af fyldeventilen på gassiden Ja, hvis fyldeventilen er installeret i —

praksis, og hvis der er sørget for
tilstrækkelig beskyttelse mod ydre
påvirkninger.
Tabel C.12 – Fejl og fejludelukkelser – Følere

Fejlbehæftet føler (se bemærkning) Ingen. Typer af følere omfatter opfangning,

behandling og afgivelse af signaler,
især for tryk, volumenstrøm og
temperatur.
Ændring af detekterings- eller Ingen. —

udgangskarakteristika
39 (da)
ISO 13849-2:2012(E)
Annex D
(informative)
Validation tools for electrical systems
D.1 General
When electrical systems are used in conjunction with other technologies, Annex D should also be taken
into account.
The environmental conditions of IEC 60204-1 apply to the validation process. If other environmental
conditions are specified, they should also be taken into account.
Tables D.1 and D.2 list basic and well-tried safety principles.
The components listed in Table D.3 are considered to be “well-tried” when they comply with the
description given in ISO 13849-1:2006, 6.2.4. The standards listed in Table D.3 can be used to demonstrate
their suitability and reliability for a particular application. A well-tried component for some applications
NOTE Complex electronic components, such as programmable logic controllers (PLCs), microprocessors and
application-specific integrated circuits, cannot be considered equivalent to the “well-tried” components.
Clause D.2 and Tables D.4 to D.18 list fault exclusions and their rationale. For further exclusions, see 4.4.
For validation, both permanent faults and transient disturbances should be considered.
Table D.1 — Basic safety principles

Use of suitable materials and ade- Selection of material, manufacturing methods and treatment in relation
quate manufacturing to e.g. stress, durability, elasticity, friction, wear, corrosion, tempera-
ture, conductivity, dielectric rigidity.
Correct dimensioning and shaping Consider, e.g. stress, strain, fatigue, surface roughness, tolerances,
manufacturing.
Proper selection, combination, Apply manufacturer’s application notes, e.g. catalogue sheets, installa-
arrangements, assembly and installation instructions, specifications, and use of good engineering practice.
tion of components/system
Correct protective bonding One side of the control circuit, one terminal of the operating coil of each
electromagnetic operated device, or one terminal of another electrical
device is connected to the protective bonding circuit (see IEC 60204-
1:2005, 9.4.3.1).
Insulation monitoring Use of an insulation monitoring device which either indicates an
earth fault or interrupts the circuit automatically after an earth fault
(see IEC 60204‑1:2005, 6.3.3).

DS/EN ISO 13849-2:2014
Anneks D
(informativt)
Valideringsværktøjer til elektriske systemer
D.1 Generelt
Når elektriske systemer anvendes sammen med andre teknologier, bør anneks D også tages i betragtning.
Miljøbetingelserne i IEC 60204-1 gælder for valideringsprocessen. Hvis der er specificeret andre miljøbetingelser,
bør disse også tages i betragtning.
I tabel D.1 og D.2 er grundlæggende og velgennemprøvede sikkerhedsprincipper anført.
De komponenter, der er anført i tabel D.3, anses for at være "velgennemprøvede", når de er i overensstemmelse
med beskrivelsen i ISO 13849-1:2006, 6.2.4. De standarder, der er anført i tabel D.3, kan anvendes til at påvise kom-
ponenternes egnethed og pålidelighed til en bestemt anvendelse. En komponent, der er velgennemprøvet til nogle
anvendelser, kan være uegnet til andre anvendelser.
NOTE – Komplekse elektroniske komponenter, som fx programmerbare logiske styringer (programmable logic controller –
PLC), mikroprocessorer, anvendelsesspecifikke integrerede kredse, kan ikke anses for at være "velgennemprøvede" kompo-
nenter.
I pkt. D.2 og tabel D.4 til D.18 er fejludelukkelser og begrundelsen for dem anført. Se 4.4 for yderligere udelukkelser.
Ved validering bør både permanente fejl og midlertidige forstyrrelser tages i betragtning.
Tabel D.1 – Grundlæggende sikkerhedsprincipper

Anvendelse af egnede materialer og Valg af materiale samt fremstillings- og behandlingsmetoder i relation til fx
fremstillingsmetoder spænding, holdbarhed, elasticitet, friktion, slid, korrosion, temperatur,
ledningsevne, dielektrisk styrke.
tolerancer, fremstilling.
Korrekt valg, kombination, indretning, Brug producentens anvisninger for anvendelsen, fx katalogblade,
samling og installation af komponenter/ installationsvejledninger, specifikationer og iagttagelse af god teknisk praksis.
system
Korrekt beskyttelseskreds Den ene side af styrekredsen, den ene klemme af hver elektromagnetisk
styreindretnings magnetspole eller af enhver anden elektrisk indretning er
forbundet til beskyttelseskredsen (se IEC 60204-1:2005), 9.4.3.1).
Isolationsovervågning Anvendelse af indretninger til isolationsovervågning, som enten indikerer en

jordfejl eller automatisk afbryder kredsen efter en jordfejl
(se IEC 60204-1:2005, 6.3.3).
40 (da)
ISO 13849-2:2012(E)
Table D.1 (continued)
Use of de-energization A safe state is obtained by de-energizing all relevant devices, e.g. by
use of normally closed (NC) contact for inputs (push-buttons and
position switches) and normally open (NO) contact for relays (see also
ISO 12100:2010, 6.2.11.3).
Exceptions can exist in some applications, e.g. where the loss of the
electrical supply will create an additional hazard. Time-delay functions
may be necessary to achieve a system safe state (see IEC 60204-1:2005,
9.2.2).
Transient suppression Use of a suppression device (RC, diode, varistor) parallel to the load, but
not parallel to the contacts.
NOTE A diode increases the switch-off time.
Reduction of response time Minimize delay in de-energizing of switching components.
Compatibility Use components compatible with the voltages and currents used.
Withstanding environmental condi- Design the equipment so that it is capable of working in all expected
tions environments and in any foreseeable adverse conditions, e.g. tempera-
ture, humidity, vibration and electromagnetic interference (EMI) (see
Clause 10).
Secure fixing of input devices Secure input devices, e.g. interlocking switches, position switches, limit
switches, proximity switches, so that position, alignment and switching
tolerance is maintained under all expected conditions, e.g. vibration,
normal wear, ingress of foreign bodies, temperature.
See ISO 14119:1998, Clause 5.
Protection against unexpected start- Prevent unexpected start-up, e.g. after power supply restoration
up (see ISO 12100:2010, 6.2.11.4, ISO 14118, IEC 60204-1).
Protection of the control circuit The control circuit should be protected in accordance with
IEC 60204‑1:2005, 7.2 and 9.1.1.
Sequential switching for circuit of To avoid common mode failure by the welding of both contacts, switch-
serial contacts of redundant signals ing on and off does not happen simultaneously, so that one contact
always switches without current.
Table D.2 — Well-tried safety principles

Positively mechanically linked con- Use of positively mechanically linked contacts for, e.g. monitoring func-
tacts tion in Category 2, 3, and 4 systems (see EN 50205, IEC 60947-4-1:2001,
Annex F, IEC 60947-5-1:2003 + A1:2009, Annex L).
Fault avoidance in cables To avoid short circuits between two adjacent conductors, either
— use cable with shielding connected to the protective bonding circuit
on each separate conductor, or
— in flat cables, use one earthed conductor between each signal con-
ductor.
Separation distance Use of sufficient distance between position terminals, components and
wiring to avoid unintended connections.
Energy limitation Use of a capacitor for supplying a finite amount of energy, e.g. in a timer
application.
Limitation of electrical parameters Limiting voltage, current, energy or frequency to restrict movement,
e.g. torque limitation, hold-to-run with displacement/time limited,
reduced speed, to avoid an unsafe state.

DS/EN ISO 13849-2:2014
Tabel D.1 (fortsat)

Anvendelse af afbrydelse af En sikker tilstand opnås ved at afbryde energiforsyningen til alle relevante
energiforsyning indretninger, fx ved hjælp af en normalt tilsluttet kontakt (NC) til input
(trykknapper og positionsafbrydere) og en normalt åben kontakt (NO) til
relæer (se også ISO 12100:2010, 6.2.11.3).
Der kan være undtagelser i visse tilfælde, fx hvor tab af den elektriske
forsyning vil skabe yderligere fare. Tidsforsinkelsesfunktioner kan være
nødvendige for at opnå sikker systemtilstand (se IEC 60204-1:2005, 9.2.2).
Undertrykkelse af spændingsvariation Anvendelse af en undertrykkelsesindretning (RC, diode, varistor), som er

parallel med belastningen men ikke er parallel med kontakterne.
NOTE – En diode øger slukketiden.
Reduktion af svartid Minimer forsinkelse af afbrydelsen af energi til afbrydere.
Kompatibilitet Anvend komponenter, der er kompatible med de anvendte spændinger og

strømstyrker.
Modstand mod miljøbetingelser Konstruer udstyret således, at det kan fungere i alle forventede miljøer og
under alle forudseelige ugunstige betingelser, fx temperatur, fugtighed,
vibrationer og elektromagnetisk interferens (EMI) (se pkt. 10).
Sikker fastgørelse af indgangsindretninger Fastgør indgangsindretninger, fx tvangskoblingsafbrydere,

positionsafbrydere, endestop, følere, således at positions-, opretnings- og
afbrydertolerance opretholdes under alle forventede betingelser, fx
vibrationer, normalt slid, indtrængen af fremmedlegemer, temperatur.
Se ISO 14119:1998, pkt. 5.
Beskyttelse mod uventet start Forebyg uventet start, fx efter genetablering af energiforsyningen
(se ISO 12100:2010, 6.2.11.4, ISO 14118, IEC 60204-1).
Beskyttelse af styrekredsen Styrekredsen bør beskyttes i overensstemmelse med IEC 60204-1:2005, 7.2 og
9.1.1.
Sekventiel afbrydelse for strømkredse For at undgå fælles svigt med samme symptom i svejsningen af begge
med serieforbundne kontakter til kontakter tændes og afbrydes der ikke på samme tid, således at én kontakt
redundante signaler altid afbrydes uden strøm.
Tabel D.2 - Velgennemprøvede sikkerhedsprincipper

Mekanisk tvangsførte kontakter Anvendelse af mekanisk tvangsførte kontakter til fx overvågningsfunktion i

systemer i kategori 2, 3 og 4 (se EN 50205, IEC 60947-4-1:2001, anneks F,
IEC 60947-5-1:2003 + A1:2009, anneks L).
Undgåelse af fejl i kabler For at undgå kortslutning mellem to naboledere

–– skal der enten anvendes afskærmede kabler tilsluttet beskyttelseskredsen
på hver enkelt leder
–– eller der skal i flade kabler anvendes en jordleder mellem hver signalleder.
Afstand Sørg for tilstrækkelig afstand mellem positionsklemmer, komponenter og

ledningsføring for at undgå utilsigtede forbindelser.
Energibegrænsning Anvendelse af en kapacitor til at give en afgrænset mængde energi, fx ved

brug af tidsstyring.
Begrænsning af elektriske parametre Begrænsning af spænding, strøm, energi eller frekvens for at begrænse
bevægelse, fx begrænsning af drejningsmoment, holdekontakt med
begrænset forskydning/tid, nedsat hastighed for at undgå en usikker tilstand.
41 (da)
ISO 13849-2:2012(E)
No undefined states Avoid undefined states in the control system. Design and construct the
control system so that, during normal operation and all expected oper-
ating conditions, its state, e.g. its output(s), can be predicted.
Positive mode actuation Direct action is transmitted by the shape (and not the strength) with
no elastic elements, e.g. spring between actuator and the contacts
(see ISO 14119:1998, 5.1, ISO 12100:2010, 6.2.5).
Failure mode orientation Wherever possible, the device/circuit should fail to the safe state or
condition.
Oriented failure mode Oriented failure mode components or systems should be used wherever
practicable (see ISO 12100:2010, 6.2.12.3).
Overdimensioning De-rate components when used in safety circuits, e.g. by the following means:
— the current passed through switched contacts should be less than half
their rated current;
— the switching frequency of components should be less than half their
rated value;
— the total number of expected switching operations should be no more
than 10 % of the device’s electrical durability.
NOTE De-rating can depend on the design rationale.
Minimizing possibility of faults Separate safety-related functions from the other functions.
Balance complexity/simplicity Balance should be made between
— complexity to reach a better control, and
— simplification in order to have better reliability.
Table D.3 — Well-tried components
Well-tried component Additional conditions for “well-tried” Standard or specification

Switch with positive mode actuation — IEC 60947-5-1:2003, Annex K
(direct opening action), e.g.:
— push-button;
— position switch;
— cam-operated selector switch, e.g.
for mode of operation
Emergency stop device — ISO 13850
IEC 60947-5-5
Fuse — IEC 60269-1
Circuit-breaker — IEC 60947-2
Switches, disconnectors — IEC 60947-3
Differential circuit-breaker/RCD — IEC 60947-2:2006, Annex B
(residual current device)

DS/EN ISO 13849-2:2014
Tabel D.2 - Velgennemprøvede sikkerhedsprincipper (fortsat)

Ingen udefinerede tilstande Undgå udefinerede tilstande i styresystemet. Konstruer og fremstil

styresystemet således, at dets tilstand ved normal drift og under alle
forventede driftsbetingelser, fx udgangssignaler, kan forudsiges.
Aktivering med tvangsføring Direkte aktivering overføres ved formen (og ikke ved styrken) uden elastiske
elementer, fx fjeder mellem aktuatoren og kontakterne (se ISO 14119:1998,
5.1, ISO 12100:2010, 6.2.5).
Opførsel ved svigt Hvor det er muligt, bør udstyret/kredsen ved svigt gå til en sikker tilstand eller
betingelse.
Styret (orienteret) svigttilstand Komponenter eller systemer med specificeret tilstand ved svigt bør
anvendes, hvor det er praktisk muligt (se ISO 12100:2010, 6.2.12.3).
Overdimensionering Neddimensionér komponenter, der anvendes i sikkerhedskredse, fx ved:

–– at strøm, der føres gennem afbrydere, bør være mindre end halvdelen af
deres mærkestrøm
–– at komponenters brydefrekvens bør være mindre end halvdelen af
mærkeværdien
–– at det samlede antal forventede brydeoperationer højst bør være 10 % af
indretningens elektriske holdbarhed.
NOTE – Neddimensionering kan afhænge af grundlaget for konstruktionen.
Minimering af fejlmuligheder Adskil sikkerhedsrelaterede funktioner fra andre funktioner.
Afvej kompleksitet og enkelhed Der bør ske en afvejning af:

–– kompleksitet for at opnå bedre styring og
–– forenkling for at få større pålidelighed.
Tabel D.3 – Velgennemprøvede komponenter

Yderligere betingelser for
Velgennemprøvet komponent Standard eller specifikation
"velgennemprøvet"
Kontakt med aktivering med — IEC 60947-5-1:2003, anneks K

tvangsføring (tvangsbrydning), fx:
–– trykknap
–– positionsafbryder
–– kambetjent omskifter, fx til
driftsmåde
Nødstopanordning — ISO 13850

IEC 60947-5-5
Sikring — IEC 60269-1
Maksimalafbryder — IEC 60947-2
Afbrydere, adskillere — IEC 60947-3
Fejlstrømsafbryder — IEC 60947-2:2006, anneks B
42 (da)
ISO 13849-2:2012(E)
Main contactor Only well-tried if IEC 60947-4-1
a) other influences are taken into account,
e.g. vibration,
b) failure is avoided by appropriate meth-
ods, e.g. overdimensioning (see Table D.2),
c) the current to the load is limited by the
thermal protection device, and
d) the circuits are protected by a protection
device against overload.
NOTE Fault exclusion is not possible.
Control and protective switching — IEC 60947-6-2
device or equipment (CPS)
Auxiliary contactor (e.g. contactor Only well-tried if EN 50205
relay)
a) other influences are taken into account, IEC 60947-5-1
e.g. vibration,
IEC 60947-4-1:2001, Annex F
b) there is positively energized action,
c) failure is avoided by appropriate meth-
ods, e.g. overdimensioning (see Table D.2),
d) the current in the contacts is limited by a
fuse or circuit-breaker to avoid the welding
of the contacts, and
e) contacts are positively mechanically
guided when used for monitoring.
Relay Only well-tried if IEC 61810-1
a) other influences are taken into account, IEC 61810-2
e.g. vibration,
b) positively energized action,
c) failure avoided by appropriate methods,
e.g. overdimensioning (see Table D.2), and
d) the current in the contacts is limited by
fuse or circuit-breaker to avoid the welding
of the contacts.
Transformer — IEC 61558
Cable Cabling external to enclosure should be IEC 60204-1:2005, Clause 12
protected against mechanical damage
(including, e.g. vibration or bending).
Plug and socket — According to an electrical
standard relevant for the
intended application.
For interlocking, see also
ISO 14119.
Temperature switch — For the electrical side,
see EN 60730‑1

DS/EN ISO 13849-2:2014
Tabel D.3 (fortsat)

"velgennemprøvet"
Hovedkontaktor Kun velgennemprøvet, hvis IEC 60947-4-1

a) der er taget hensyn til andre
påvirkninger, fx vibrationer
b) svigt er undgået ved passende
metoder, fx overdimensionering
(se tabel D.2)
c) strømmen til belastningen er
begrænset af den termiske
beskyttelsesindretning
d) kredsene er beskyttet med en
beskyttelsesindretning mod
overbelastning.
NOTE – Fejludelukkelse er ikke mulig.
Afbrydermateriel til styring og — IEC 60947-6-2

beskyttelse
Hjælpekontaktor (fx kontaktorrelæ) Kun velgennemprøvet, hvis EN 50205

a) der er taget hensyn til andre IEC 60947-5-1
IEC 60947-4-1:2001, anneks F
b) funktionen er tvangsført
c) svigt er undgået ved passende
metoder, fx overdimensionering
(se tabel D.2)
d) strømmen i kontakterne er
begrænset med en sikring eller en
maksimalafbryder for at undgå
svejsning af kontakterne
e) kontakter er mekanisk tvangsførte,
når de anvendes til overvågning.
Relæ Kun velgennemprøvet, hvis IEC 61810-1

a) der er taget hensyn til andre IEC 61810-2
b) funktionen er tvangsført
c) svigt er undgået ved passende
metoder fx overdimensionering (se
tabel D.2)
d) strømmen i kontakterne er
begrænset med en sikring eller en
maksimalafbryder for at undgå
svejsning af kontakterne.
Transformer — IEC 61558
Ledning Ledninger uden for indkapslinger bør IEC 60204-1:2005, pkt. 12

beskyttes mod mekanisk beskadigelse
(herunder, fx vibrationer eller bøjning).
Stikprop og stikkontakt — Ifølge en elektrisk standard, der er

relevant for den beregnede
anvendelse.
For tvangskobling, se også ISO 14119.
Temperaturafbryder — For den elektriske del, se EN 60730-1
43 (da)
ISO 13849-2:2012(E)
Pressure switch — For the electrical side,
see IEC 60947-5-1
For the pressure side, see
Annexes B and C.
Solenoid for valve — —
D.2 Fault exclusion

D.2.1 General
A fault exclusion is valid only if the parts operate within their specified ratings.
D.2.2 “Tin whiskers”

If lead-free processes and products are applied, electrical short circuits due to the growth of “tin
whiskers” can occur. This possibility should be evaluated and considered when applying the fault
exclusion “short circuit…” of any component. For example, if the risk of tin whisker growth is considered
high, the fault exclusion “short circuit of a resistor” is useless, since a short between the contacts of this
component has to be considered.
NOTE 1 Tin whisker growth is a phenomenon related mainly to pure bright tin finishes. The needle-like
protrusions can grow to several hundred micrometres in length and can cause electrical short circuits. The
prevailing theory is that the whiskers are caused by compressive stress build-up in tin plating.
NOTE 2 References [34] and [35] can be helpful for evaluation of the phenomenon.
NOTE 3 Whiskers on printed circuit boards have not so far been reported. Tracks usually consist of copper
without tin coating. Pads can be coated with tin alloy, but the production process seems not to stimulate the
susceptibility to whisker growing.
D.2.3 Short circuits on PCB-mounted parts

Short circuits for parts which are mounted on a printed circuit board (PCB) can only be excluded if the
fault exclusion “short circuit between two adjacent tracks/pads”, described in Table D.5, is made.
D.2.4 Fault exclusions and integrated circuits

As it is not possible to exclude faults that can cause the malfunction of an integrated circuit (see
Tables D.20 and D.21), a single fault can lead to loss of a safety function (including its check/test)
implemented in a single integrated circuit. Consequently, it is highly unlikely that the multi-channel
functionality necessary for the fault tolerance and/or detection requirements of category 2, 3 or 4 can
be achieved using a single integrated circuit, unless it satisfies the special architecture requirements of
IEC 61508-2:2010, Annex E.

DS/EN ISO 13849-2:2014
Tabel D.3 (fortsat)

"velgennemprøvet"
Pressostat — For den elektriske del, se IEC 60947-5-1

For tryksiden, se anneks B og C.
Elektromagnetisk ventil — —
D.2 Fejludelukkelse
D.2.1 Generelt
En fejludelukkelse er kun gyldig, hvis delene fungerer inden for deres specificerede nominelle værdier.
D.2.2 Tinwhiskere
Hvis der anvendes blyfri processer og produkter, kan der opstå elektriske kortslutninger på grund af tinwhiskere.
Denne mulighed bør vurderes og overvejes, når fejludelukkelsen "kortslutning ..." anvendes for enhver komponent.
For eksempel hvis risikoen for dannelse af tinwhiskere anses for at være høj, er fejludelukkelsen "kortslutning af en
modstand" nytteløs, da en kortslutning mellem denne komponents kontakter skal overvejes.
NOTE 1 – Dannelse af tinwhiskere er et fænomen, der hovedsageligt er knyttet til rene, blanke tinoverflader. De nålelignende
fremspring kan vokse til en længde på flere hundrede mikrometer og kan være årsag til elektriske kortslutninger. Den fremher-
skende teori er, at whiskere skyldes opbygning af trykspænding i tinbelægning.
NOTE 2 – Reference [34] og [35] kan være nyttige ved vurdering af fænomenet.
NOTE 3 – Der er endnu ikke rapporteret om whiskere på trykte strømkredse. Lederbaner består sædvanligvis af kobber uden
tinbelægning. Kontaktsteder kan være belagt med en tinlegering, men produktionsprocessen synes ikke at fremme tilbøjelig-
heden til dannelse af whiskere.
D.2.3 Korslutninger på dele monteret på trykte strømkredse

Kortslutninger for dele, der er monteret på en trykt strømkreds, kan kun udelukkes, hvis fejludelukkelsen "kortslut-
ning mellem to nabolederbaner/-kontaktsteder" beskrevet i tabel D.5 foretages.
D.2.4 Fejludelukkelser og integrerede kredse

Da det ikke er muligt at udelukke fejl, der kan medføre fejlfunktion af en integreret kreds (se tabel D.20 og D.21), kan
en enkeltfejl medføre tab af en sikkerhedsfunktion (herunder dennes kontrol/prøvning), som er implementeret i en
enkelt integreret kreds. Som følge heraf er det højst usandsynligt, at den flerkanalfunktionalitet, der er nødvendig
for fejltolerancen og/eller detekteringskravene i kategori 2, 3 eller 4, kan opnås ved anvendelse af en enkelt integre-
ret kreds, medmindre denne funktionalitet opfylder de særlige krav til arkitektur i IEC 61508-2:2010, anneks E.
44 (da)
ISO 13849-2:2012(E)
Table D.4 — Faults and fault exclusions — Conductors/cables

Short circuit between any Short circuits between conductors which are Provided both the conductors and
two conductors enclosure meet the appropriate
— permanently connected (fixed) and pro-
requirements (see IEC 60204-1).
tected against external damage, e.g. by cable
ducting, armouring,
— separate multicore cables,
— within an electrical enclosure (see remark),
or
— individually shielded with earth connec-
tion.
Short circuit of any con- Short circuits between conductor and any
ductor to an exposed con- exposed conductive part within an electrical
ductive part or to earth or enclosure (see remark).
to the protective bonding
conductor
Open circuit of any con- None. —
ductor
Table D.5 — Faults and fault exclusions — Printed circuit boards/assemblies

Short circuit between two Short circuits between adja- As base material, EP GC according to IEC 60893-1 is
adjacent tracks/pads cent conductors in accordance used as a minimum.
with remarks.
The clearances and creepage distances are dimen-
sioned to at least IEC 60664-5 (IEC 60664-1 for dis-
tances greater than 2 mm) with pollution degree 2/
overvoltage category III; if both tracks are powered
by a SELV/PELV power supply, pollution degree 2/
overvoltage category II applies, with a minimum
clearance of 0,1 mm.
The assembled board is mounted in an enclosure
giving protection against conductive contamina-
tion, e.g. an enclosure with a protection of at least
IP54, and the printed side(s) is (are) coated with an
ageing-resistant varnish or protective layer covering
all conductor paths.
NOTE 1 Experience has shown that solder masks are
satisfactory as a protective layer.
NOTE 2 A further protective layer covering according
to IEC 60664-3 can reduce the creepage distances and
clearances dimensions.
Open circuit of any track None. —

DS/EN ISO 13849-2:2014
Tabel D.4 – Fejl og fejludelukkelser – Ledere/ledninger

Kortslutning mellem to Kortslutning mellem ledere, der er Forudsat at både ledere og indkapsling
vilkårlige ledere opfylder de relevante krav
–– permanent forbundne (faste) og beskyttet mod (se IEC 60204-1).
ydre beskadigelser, fx ved hjælp af
ledningskapslinger, kabelkanaler
–– separate ledninger med flere kerner
–– ført inde i en elektrisk indkapsling (se
bemærkning) eller
–– individuelt beskyttet med jording.
Kortslutning mellem en Kortslutning mellem leder og en blotlagt ledende

vilkårlig leder og en blotlagt del inde i en elektrisk indkapsling (se
ledende del eller jord eller bemærkning).
beskyttelseslederen
Afbrydelse af en vilkårlig Ingen. —

leder
Tabel D.5 – Fejl og fejludelukkelser – Trykte strømkredse/printplader

Kortslutning mellem to Kortslutning mellem naboledere i Der anvendes som minimum grundplademateriale
nabolederbaner/- overensstemmelse med EP GC i overensstemmelse med IEC 60893-1.
kontaktsteder bemærkningerne.
Krybeafstande og luftafstande er som minimum
dimensioneret efter IEC 60664-5 (IEC 60664-1 for
afstande over 2 mm) med forureningsgrad 2/
overspændingskategori III. Hvis begge lederbaner
drives af en SELV/PELV-energiforsyning, gælder
forureningsgrad 2/overspændingskategori II med en
luftafstand på minimum 0,1 mm.
Den samlede plade monteres i en indkapsling, som
beskytter de ledende dele mod forurening, fx en
indkapsling med en beskyttelse svarende til mindst
IP54, og den/de trykte sider er belagt med
ældningsbestandig lak eller et beskyttende lag, der
dækker alle lederdele.
NOTE 1 – Erfaring har vist, at loddemasker er et tilstrække-
ligt beskyttende lag.
NOTE 2 – Et yderligere beskyttende lag i overensstemmelse
med IEC 60664-3 kan reducere dimensionerne på krybeaf-
stande og luftafstande.
Afbrydelse af en vilkårlig Ingen. —

lederbane
45 (da)
ISO 13849-2:2012(E)
Table D.6 — Faults and fault exclusions — Terminal block

Short circuit between Short circuit between adjacent 1) The terminals and connections used are in
adjacent terminals terminals in accordance with accordance with IEC 60947-7-1 or IEC 60947-7-2
remarks 1) or 2). and the requirements of IEC 60204-1:2006, 13.1.1,
are satisfied.
2) The design in itself ensures that a short circuit
is avoided, e.g. by shaping shrink-down plastic tub-
ing over connection point.
Open circuit of individual None. —
terminals
Table D.7 — Faults and fault exclusions — Multi–pin connector

Short circuit between any Short circuit between adja- By using ferrules or other suitable means for
two adjacent pins cent pins in accordance with multi-stranded wires. Creepage distances and
remark. clearances and all gaps should be dimensioned to
at least IEC 60664-1 with overvoltage category III.
If the connector is mounted on
a PCB, the fault exclusion con-
siderations of Table D.5 apply.
Interchanged or incor- None. —
rectly inserted connector
when not prevented by
mechanical means
Short circuit of any None. The core of the cable is considered a part of the
conductor (see remark) multi‑pin connector.
to earth or a conductive
part or to the protective
conductor
Open circuit of individual None. —
connector pins
Table D.8 — Faults and fault exclusions — Switches — Electromechanical position switches,

manually operated switches (e.g. push-button, reset actuator, DIP switch,
magnetically operated contacts, reed switch, pressure switch, temperature switch)

Contact will not close Pressure-sensitive devices in accord- —
ance with ISO 13856
Contact will not open Contacts in accordance with —
IEC 60947-5-1:2003, Annex K, are
expected to open.
For PL e, a fault exclusion for mechanical (e.g. the mechanical link between an actuator and a contact element)
and electrical aspects is not allowed. In this case redundancy is necessary. For emergency stop devices in
accordance with IEC 60947-5-5, a fault exclusion for mechanical aspects is allowed if a maximum number of
operations is considered.
NOTE The fault lists for the mechanical aspects are considered in Annex A.

DS/EN ISO 13849-2:2014
Tabel D.6 – Fejl og fejludelukkelser – Klemrækker

Kortslutning mellem Kortslutning mellem naboklemmer 1) De anvendte klemmer er i overensstemmelse

naboklemmer i overensstemmelse med med IEC 60947-7-1 eller IEC 60947-7-2, og kravene i
bemærkning 1) eller 2). IEC 60204-1:2006, 13.1.1, er opfyldt.
2) Selve konstruktionen sikrer, at kortslutning
undgås, fx ved hjælp af krympeplast over
forbindelsessteder.
Afbrydelse af enkelte Ingen. —

klemmer
Tabel D.7 – Fejl og fejludelukkelser – Stikforbindelser

Kortslutning mellem to Kortslutning mellem nabostikben i Ved at anvende hylstre eller andre egnede midler til
vilkårlige nabostikben overensstemmelse med ledninger med flere tråde. Krybe- og luftafstande og
bemærkningen. alle mellemrum bør mindst dimensioneres til
IEC 60664-1 med overspændingskategori III.
Hvis forbindelsen er monteret på
en trykt strømkreds, gælder
overvejelserne vedrørende
fejludelukkelse i tabel D.5.
Ombyttede eller ukorrekt Ingen. —

indsatte forbindelses-
elementer, når dette ikke er
forhindret mekanisk
Kortslutning af en leder Ingen. Ledningskernen anses for at være en del af det

(se bemærkning) til jord flerpolede stik.
eller til en ledende del eller
til beskyttelseslederen
Afbrydelse af enkelte Ingen. —

stikben
Tabel D.8 – Fejl og fejludelukkelser – Afbrydere – Elektromekaniske positionsafbrydere,

manuelt betjente afbrydere (fx trykknap, tilbagestillingsaktuator, DIP-afbryder, magnetisk betjente
kontakter, reed-afbryder, pressostat, temperaturafbryder)
Kontakten vil ikke slutte Trykfølsomme anordninger i —

overensstemmelse med ISO 13856.
Kontakten vil ikke åbne Kontakter i overensstemmelse med —

IEC 60947-5-1:2003, anneks K,
forventes at åbne.
For PL-niveau e er fejludelukkelse for mekaniske (fx den mekaniske forbindelse mellem en aktuator og et kontaktelement)
og elektriske aspekter ikke tilladt. I dette tilfælde er redundans nødvendig. For nødstopanordninger i overensstemmelse
med IEC 60947-5-5 er fejludelukkelse for mekaniske aspekter tilladt, hvis der tages højde for et maksimalt antal betjeninger.
NOTE – Fejllisterne for mekaniske aspekter er behandlet i anneks A.
46 (da)
ISO 13849-2:2012(E)
Short circuit between adjacent con- Short circuit can be excluded Conductive parts which become
tacts insulated from each other for switches in accordance with loose should not be able to
IEC 60947-5-1 (see remark). bridge the insulation between
contacts.
Simultaneous short circuit between Simultaneous short circuits can be
three terminals of change-over con- excluded for switches in accordance
tacts with IEC 60947-5-1 (see remark).
For PL e, a fault exclusion for mechanical (e.g. the mechanical link between an actuator and a contact element)
and electrical aspects is not allowed. In this case redundancy is necessary. For emergency stop devices in
accordance with IEC 60947-5-5, a fault exclusion for mechanical aspects is allowed if a maximum number of
operations is considered.
NOTE The fault lists for the mechanical aspects are considered in Annex A.
Table D.9 — Faults and fault exclusions — Switches — Electromechanical devices

(e.g. relay, contactor relays)

All contacts remain in the energized None. —
position when the coil is de-energized
(e.g. due to mechanical fault)
All contacts remain in the de-ener- None.
gized position when power is applied
(e.g. due to mechanical fault, open
circuit of coil)
Contact will not open None.
Contact will not close None.
Simultaneous short circuit between Simultaneous short circuit can be The creepage and clearance
the three terminals of a change-over excluded if remarks are taken into distances are dimensioned to at
contact account. least IEC 60664-1 with at least
pollution degree 2/overvoltage
Short circuit between two pairs of Short circuit can be excluded if
category III.
contacts and/or between contacts remarks are taken into account.
and coil terminal Conductive parts which become
loose cannot bridge the insula-
tion between contacts and the
coil.
Simultaneous closing of normally Simultaneous closing of contacts can Positively driven (or mechani-
open and normally closed contacts be excluded if remark is taken into cally linked) contacts are
account. used (see IEC 60947-5-1:2003,
Annex L).

DS/EN ISO 13849-2:2014
Tabel D.8 (fortsat)

Kortslutning mellem nabokontakter, Kortslutning kan udelukkes for Ledende dele, der løsner sig, bør ikke
der er isolerede fra hinanden afbrydere i overensstemmelse med kunne slå bro over isolationen mellem
IEC 60947-5-1 (se bemærkning). kontakter.
Samtidig kortslutning mellem tre Samtidige kortslutninger kan

klemmer på skiftekontakter udelukkes for afbrydere i
overensstemmelse med IEC 60947-5-1
(se bemærkning).
For PL-niveau e er fejludelukkelse for mekaniske (fx den mekaniske forbindelse mellem en aktuator og et kontaktelement)
og elektriske aspekter ikke tilladt. I dette tilfælde er redundans nødvendig. For nødstopanordninger i overensstemmelse
med IEC 60947-5-5 er fejludelukkelse for mekaniske aspekter tilladt, hvis der tages højde for et maksimalt antal betjeninger.
NOTE – Fejllisterne for mekaniske aspekter er behandlet i anneks A.
Tabel D.9 – Fejl og fejludelukkelser – Afbrydere – Elektromekaniske anordninger

(fx relæer, kontaktorrelæer)
Alle kontakter forbliver i Ingen. —

spændingsposition, når spolen
afbrydes (fx på grund af en mekanisk
fejl)
Alle kontakter forbliver i spændingsløs Ingen.

position, når spolen tilsluttes (fx på
grund af en mekanisk fejl, åben kreds i
spole)
Kontakten vil ikke åbne Ingen.
Kontakten vil ikke slutte Ingen.
Samtidig kortslutning mellem de tre Samtidig kortslutning kan udelukkes, Krybe- og luftafstande er som
klemmer på en skiftekontakt hvis der er taget hensyn til minimum dimensioneret til
bemærkningerne. IEC 60664-1 med mindst
forureningsgrad 2/overspændings-
Kortslutning mellem to par kontakter Kortslutning kan udelukkes, hvis der er kategori III.
og/eller mellem kontakter og taget hensyn til bemærkningerne.
spoleklemme Ledende dele, der løsner sig, kan ikke
slå bro over isolationen mellem
kontakter og spole.
Samtidig lukning af normalt åbne og Samtidig lukning kan udelukkes, hvis Der anvendes tvangsførte
normalt sluttede kontakter der er taget hensyn til bemærkningen. (eller mekanisk forbundne) kontakter
(se IEC 60947-5-1:2003, anneks L).
47 (da)
ISO 13849-2:2012(E)
Table D.10 — Faults and fault exclusions — Switches — Proximity switches

Permanently low resistance at output None (see remark). See IEC 60947-5-3.
Permanently high resistance at out- None (see remark). Fault prevention measures
put should be described.
Interruption in power supply None. —
No operation of switch due to No operation due to mechanical All parts of the switch should
mechanical failure failure when remark is taken into be sufficiently well fixed.
account. For mechanical aspects, see
Annex A.
Short circuit between the three con- None. —
nections of a change-over switch
Table D.11 — Faults and fault exclusions — Switches — Solenoid valves

Does not energize None. —
Does not de-energize None.
NOTE The fault lists for the mechanical aspects of pneumatic and hydraulic valves are considered in Annexes B and C
respectively.

DS/EN ISO 13849-2:2014
Tabel D.10 – Fejl og fejludelukkelser – Afbrydere – Følere

Permanent lav modstand ved udgang Ingen (se bemærkning). Se IEC 60947-5-3.
Permanent høj modstand ved udgang Ingen (se bemærkning). Foranstaltninger til at forhindre fejl bør
beskrives.
Afbrydelse af energiforsyning Ingen. —
Ingen afbryderfunktion på grund af Ingen funktion på grund af mekanisk Alle afbryderens dele bør være
mekanisk svigt svigt, når der er taget hensyn til tilstrækkelig godt fastgjort.
bemærkningen. For mekaniske aspekter, se anneks A.
Kortslutning mellem en omskifters tre Ingen. —

forbindelser
Tabel D.11 – Fejl og fejludelukkelser – Afbrydere – Elektromagnetiske ventiler

Trækker ikke Ingen. —

Bryder ikke Ingen.
NOTE – Fejllisterne for de mekaniske aspekter ved pneumatiske og hydrauliske ventiler er behandlet i henholdsvis anneks B og C.
48 (da)
ISO 13849-2:2012(E)
Table D.12 — Faults and fault exclusions — Discrete electrical components — Transformers

Open circuit of individual winding None. —
Short circuit between different wind- Short circuit between different wind- 1) The requirements of the rel-
ings ings can be excluded if remarks 1) evant parts of IEC 61558 should
and 2) are taken into account. be met.
Short circuit in one winding A short circuit in one winding can be 2) Between different wind-
excluded if remark 1) is taken into ings, doubled or reinforced
account. insulation or a protective
Change in effective turns ratio Change in effective turns ratio can screen applies. Testing accord-
be excluded if remark 1) is taken into ing to IEC 61558‑1:2005,
account. See also remark 3). Clause 18, applies. Appropri-
ate test voltages are given in
IEC 61558‑1:2005, Table 8 a).
Short circuits in coils and wind-
ings need to be avoided by tak-
ing appropriate steps, e.g.
— impregnating the coils so as
to fill all the cavities between
individual coils and the body of
the coil and the core, and
— using winding conductors
well within their insulation and
high-temperature ratings.
3) In the event of a secondary
short circuit, heating above a
specified operating temperature
should not occur.
Table D.13 — Faults and fault exclusions — Discrete electrical components — Inductances

Open circuit None. —
Short circuit Short circuit can be excluded if Coil is single-layered, enamelled
remark is taken into account. or potted, with axial wire con-
nections and axial-mounted.
Random change of value None. Depending upon the type of
0,5 LN < L < LN + tolerance, where LN construction, other ranges can
is the nominal value of the inductors be considered.

DS/EN ISO 13849-2:2014
Tabel D.12 – Fejl og fejludelukkelser – Diskrete elektriske komponenter – Transformere

Afbrydelse af en enkelt vikling Ingen. —
Kortslutning mellem forskellige Kortslutning mellem forskellige 1) Kravene i de relevante dele af

viklinger viklinger kan udelukkes, hvis der er IEC 61558 bør være opfyldt.
taget hensyn til bemærkning 1) og 2).
2) Mellem forskellige vindinger skal
Kortslutning i én vikling Kortslutning i én vikling kan udelukkes, der anvendes dobbelt eller
hvis der er taget hensyn til forstærket isolering eller en
bemærkning 1). beskyttelsesskærm. Prøvning skal
være i overensstemmelse med
Ændring af det effektive Ændring af det effektive IEC 61558-1:2005, pkt. 18. Egnede
viklingsforhold viklingsforhold kan udelukkes, hvis der prøvespændinger er angivet i
er taget hensyn til bemærkning 1). IEC 61558-1:2005, tabel 8 a).
Se også bemærkning 3).
Det er nødvendigt at undgå
kortslutning i spoler og viklinger ved at
træffe egnede foranstaltninger, fx
–– at imprægnere spolerne for at fylde
alle hulrum mellem de enkelte
spoler og spolens krop og kernen og
–– at anvende viklingsledere med høje
krav til isolation og
temperaturbestandighed.
3) I tilfælde af sekundær kortslutning
bør opvarmning til over en
specificeret driftstemperatur ikke
forekomme.
Tabel D.13 – Fejl og fejludelukkelser – Diskrete elektriske komponenter – Induktans

Åben kreds Ingen. —
Kortslutning Kortslutning kan udelukkes, hvis der er Spolen er viklet i et enkelt lag, er
taget hensyn til bemærkningen. emaljeret eller af porcelæn, med
aksiale trådtilslutninger og er aksialt
monteret.
Tilfældig ændring af værdi Ingen. Afhængigt af opbygningstypen kan

0,5 LN < L < LN + tolerance, hvor LN er andre områder tages i betragtning.
den nominelle værdi af induktorerne
49 (da)
ISO 13849-2:2012(E)
Table D.14 — Faults and fault exclusions — Discrete electrical components — Resistors

Short circuit Short circuit can be excluded if 1) The resistor is of the film
remark 1) or 2) is taken into account. type, or wire-wound single-layer
type with protection to prevent
unwinding of wire in the event
of breakage, with axial wire
connections, axial-mounted and
varnished.
2) Resistors in surface-mount
technology must be of the thin
film metal type in package types
MELF, mini MELF or µMELF.
3) For example, if the risk of tin-
whisker growth is considered
high, the fault exclusion “short
circuit of a resistor” is useless,
since a short between the con-
tacts of this component has to be
considered.
0,5 RN < R < 2 RN, where RN is the construction, other ranges can
nominal value of resistance [see also be considered.
remark 3)]
Table D.15 — Faults and fault exclusions — Discrete electrical components — Resistor networks
Short circuit between any two con- None.
nections
Short circuit between any connec- None.
tions.
0,5 RN < R < 2 RN, where RN is the construction, other ranges can
nominal value of resistance be considered.
Table D.16 — Faults and fault exclusions — Discrete electrical components — Potentiometers

Open circuit of individual connection None. —
Short circuit between all connections None.
nections
0,5 Rp < R < 2 Rp, where Rp is the construction, other ranges can
nominal value of resistance be considered.

DS/EN ISO 13849-2:2014
Tabel D.14 – Fejl og fejludelukkelser – Diskrete elektriske komponenter – Modstande

Kortslutning Kortslutning kan udelukkes, hvis der er 1) Modstanden er af filmtypen eller af

taget hensyn til bemærkning 1) eller 2). trådtypen viklet i et enkelt lag med
beskyttelse for at forhindre tråden i
at løsne sig i tilfælde af brud, med
aksiale trådtilslutninger, aksial
montering og lakeret.
2) Modstande, der anvendes i SMD-
teknologi (surface-mount
technology), skal være af en type,
der er beklædt med tynd metalfilm
og i emballagetypen MELF,
mini-MELF eller µMELF.
3) For eksempel hvis risikoen for
dannelse af tinwhiskere anses for at
være høj, er fejludelukkelsen
"kortslutning af en modstand"
nytteløs, da en kortslutning mellem
denne komponents kontakter skal
overvejes.

0,5 RN < R < 2 RN, hvor RN er den andre områder tages i betragtning.
nominelle værdi af modstanden
[se også bemærkning 3)]
Tabel D.15 – Fejl og fejludelukkelser – Diskrete elektriske komponenter – Modstandsnetværk

Kortslutning mellem to vilkårlige Ingen.

forbindelser
Kortslutning mellem vilkårlige Ingen.

forbindelser

0,5 RN < R < 2 RN, hvor RN er den andre områder tages i betragtning.
Tabel D.16 – Fejl og fejludelukkelser – Diskrete elektriske komponenter – Potentiometre

Afbrydelse af en enkelt forbindelse Ingen. –
Kortslutning mellem alle forbindelser Ingen.

forbindelser

0,5 Rp < R < 2 Rp, hvor Rp er den andre områder tages i betragtning.
50 (da)
ISO 13849-2:2012(E)
Table D.17 — Faults and fault exclusions — Discrete electrical components — Capacitors

Short circuit None.
0,5 CN < C < CN + tolerance, construction, other ranges can
where CN is the nominal value of be considered.
capacitance
Changing value tan, δ None. —
Table D.18 — Faults and fault exclusions — Electronic components — Discrete semiconductors

(e.g. diodes, Zener diodes, transistors, triacs, thyristors, voltage regulators, quartz crystal,
phototransistors, light-emitting diodes [LEDs])
Open circuit of any connection None. —
nections
Short circuit between all connections None.
Change in characteristics None.
Table D.19 — Faults and fault exclusions — Electronic components — Optocouplers

Open circuit of individual connection None. —
Short circuit between any two input None.
connections
Short circuit between any two output None.
connections
Short circuit between any two con- Short circuit between input and out- The optocoupler is built in
nections of input and output put can be excluded if the remarks are accordance with overvolt-
taken into account. age category III according to
IEC 60664-1. If a SELV/PELV
power supply is used, pollution
degree 2/overvoltage category II
applies.
NOTE See Table D.5.
Measures are taken to ensure
that an internal failure of the
optocoupler cannot result in
excessive temperature of its
insulating material.

DS/EN ISO 13849-2:2014
Tabel D.17 – Fejl og fejludelukkelser – Diskrete elektriske komponenter – Kapacitorer

Kortslutning Ingen.

0,5 CN < C < CN + tolerance, andre områder tages i betragtning.
hvor CN er den nominelle værdi af
kapacitansen
Ændring af værdien tan, δ Ingen. —
Tabel D.18 – Fejl og fejludelukkelser – Elektroniske komponenter – Diskrete halvledere

(fx dioder, zener-dioder, transistorer, triac, tyristorer, spændingsregulatorer, kvartskrystal,
fototransistorer, lysemitterende dioder [LED])
Afbrydelse af en vilkårlig forbindelse Ingen. —

forbindelser
Kortslutning mellem alle forbindelser Ingen.
Ændring af egenskaber Ingen.
Tabel D.19 – Fejl og fejludelukkelser – Elektroniske komponenter – Optokoblere

Afbrydelse af en enkelt forbindelse Ingen. —

indgangsforbindelser

udgangsforbindelser
Kortslutning mellem to vilkårlige Kortslutning mellem indgang og Optokobleren er opbygget i

indgangs- og udgangsforbindelser udgang kan udelukkes, hvis der er overensstemmelse med
taget hensyn til bemærkningerne. overspændingskategori III i henhold til
IEC 60664-1. Hvis der anvendes en
SELV-/PELV-energiforsyning, gælder
forureningsgrad 2/
overspændingskategori II.
NOTE – Se tabel D.5.
Der skal træffes foranstaltninger til at
sikre, at internt svigt i en optokobler
ikke kan medføre for høje temperaturer
i dennes isoleringsmateriale.
51 (da)
ISO 13849-2:2012(E)
Table D.20 — Faults and fault exclusions — Electronic components — Non–programmable

integrated circuits
Fault considered Fault exclusions Remarks
Open circuit of each individual con- None. —
nection
nections
Stuck-at-fault (i.e. short circuit to 1 None.
and 0 with isolated input or discon-
nected output). Static “0” and “1”
signal at all inputs and outputs, either
individually or simultaneously
Parasitic oscillation of outputs None.
Changing values (e.g. input/output None.
voltage of analogue devices)
NOTE In this part of ISO 13849, ICs with less than 1 000 gates and/or less than 24 pins, operational amplifiers, shift
registers and hybrid modules are considered non-complex. This definition is arbitrary.
Table D.21 — Faults and fault exclusions — Electronic components — Programmable and/or

complex integrated circuits
Fault considered Fault exclusions Remarks

Faults in all or part of the function None. —
including software faults
Open circuit of each individual con- None.
nection
nections
Stuck-at-fault (i.e. short circuit to 1 None.
and 0 with isolated input or discon-
nected output). Static “0” and “1”
signal at all inputs and outputs, either
individually or simultaneously
Parasitic oscillation of outputs None.
Changing value, e.g. input/output None.
voltage of analogue devices
Undetected faults in the hardware None.
which go unnoticed because of the
complexity of the integrated circuit
The analysis should identify additional faults, which should be considered if they influence the operation of the
safety function.
NOTE In this part of ISO 13849, an IC is considered complex if it consists of more than 1 000 gates and/or more than
24 pins. This definition is arbitrary.

DS/EN ISO 13849-2:2014
Tabel D.20 – Fejl og fejludelukkelser – Elektroniske komponenter – Ikke-programmerbare integrerede

kredse
Afbrydelse af hver enkelt forbindelse Ingen. —

forbindelser
Stop-ved-fejl (dvs. kortslutning til 1 og Ingen.

0 ved isoleret indgang eller afbrudt
udgang). Statisk "0"- og "1"-signal ved
alle indgange og udgange, enten hver
for sig eller samtidigt
Udganges parasitsvingninger Ingen.
Ændring af værdier (fx analoge Ingen.

anordningers indgangs-/
udgangsspænding)
NOTE – I denne del af ISO 13849 anses integrerede kredse (IC) med mindre end 1 000 porte og/eller mindre end 24 stikben, funktionsforstær-
kere, skifteregistre og hybridmoduler for at være ikke-komplekse. Denne definition er vilkårlig.
Tabel D.21 – Fejl og fejludelukkelser – Elektroniske komponenter – Programmerbare og/eller komplekse

integrerede kredse
Fejl i hele eller en del af funktionen, Ingen. —

herunder softwarefejl
Afbrydelse af hver enkelt forbindelse Ingen.

forbindelser
Stop-ved-fejl (dvs. kortslutning til 1 og Ingen.

0 ved isoleret indgang eller afbrudt
udgang). Statisk "0"- og "1"-signal ved
alle indgange og udgange, enten hver
for sig eller samtidigt
Udganges parasitsvingning Ingen.
Ændring af værdi, fx analoge Ingen.

anordningers indgangs-/
udgangsspænding
Udetekterede fejl i hardware, der ikke Ingen.

opdages på grund af den integrerede
kreds’ kompleksitet
Analysen bør identificere yderligere fejl, som bør tages i betragtning, hvis de indvirker på sikkerhedsfunktionen.
NOTE – I denne del af ISO 13849 anses en integreret kreds (IC) for at være kompleks, hvis den består af mere end 1 000 porte og/eller mere
end 24 stikben. Denne definition er vilkårlig.
52 (da)
ISO 13849-2:2012(E)
Annex E
(informative)
Example of validation of fault behaviour and diagnostic means
E.1 General
This example considers the validation of the PL of a safety function (SF 1), with the exception of
requirements relating to the following aspects of the PL:
— MTTFd values;
— common-cause failures (CCFs);
— software analysis;
— systematic failures.
The example does not cover the validation of
— safety requirements specification (see Clause 7),
— characteristics of safety functions (see Clause 8),
— environmental requirements (see Clause 10),
— maintenance requirements (see Clause 11),
— documentation requirements (see Clause 12).
Three safety functions, SF 1, SF 2 and SF 3, are considered in the example.
SF 1 is a safety-related stopping function of four individual machine actuators initiated by the opening of one
interlocking guard, and this is treated as a separate safety function for each actuator (SF 1.0, SF 1.1, SF 1.2
and SF 1.3). In order to reduce the extent of the example, the validation has been limited to SF 1.0 and SF 1.3.
Annex A provides guidance on how to examine the fault behaviour and diagnostic coverage of a given
circuit is provided. The methods used for determination of the diagnostic coverage are based on failure
mode and effects analysis (FMEA), taking into account ISO 13849-1:2006, Annex E.
NOTE This example does not cover the complete validation process of SRP/CS. In particular, the necessary
validation of the PLC software has not been considered. For the validation of safety-related software, see 9.5.
E.2 Description of machine

The example is based upon an automatic assembly machine, with manual loading and unloading of
workpieces. The machine is intended to perform two sequential operations: ball insertion and screw
fixing on each workpiece.
There are four stations on the machine: the loading and unloading stations and two workstations (see
Figure E.1). The first workstation is the pneumatically driven ball-insertion stage, and the second the
pneumatically driven screw-fixing stage.
An electrically-driven rotary table moves workpieces around each of the four stations. The workpieces
are manually placed on, and removed from, workpiece holders mounted on the rotary table. An inverter-
controlled electric motor drives a planetary gear and drive-belt system which moves the rotary table.

DS/EN ISO 13849-2:2014
Anneks E
(informativt)
Eksempel på validering af opførsel ved fejl og diagnosticeringsmidler
E.1 Generelt
I dette eksempel behandles validering af en sikkerhedsfunktions (SF 1) PL-niveau med undtagelse af de krav, der
vedrører følgende aspekter af PL-niveauet:
–– MTTFd-værdier
–– fælles svigt med samme årsag (CCF)
–– softwareanalyse
–– systematiske svigt.
Eksemplet omfatter ikke validering af
–– specifikationen af sikkerhedskrav (se pkt. 7)
–– sikkerhedsfunktionernes egenskaber (se pkt. 8)
–– miljøkrav (se pkt. 10)
–– vedligeholdelseskrav (se pkt. 11)
–– dokumentationskrav (se pkt. 12).
Tre sikkerhedsfunktioner, SF 1, SF 2 og SF 3, betragtes i eksemplet.
SF 1 er fire separate maskinaktuatorers sikkerhedsrelaterede standsningsfunktion, som igangsættes ved åbning af

én tvangskoblet afskærmning, hvilket behandles som en særskilt sikkerhedsfunktion for hver aktuator (SF 1.0,
SF 1.1, SF 1.2 og SF 1.3). For at mindske eksemplets omfang er valideringen blevet begrænset til SF 1.0 og SF 1.3.
Anneks A indeholder vejledning i, hvordan opførslen ved fejl og den diagnostiske dækning af en given kreds under-
søges. De metoder, der er anvendt til bestemmelse af den diagnostiske dækning, er baseret på en fejleffektanalyse
FMEA, hvor der er taget højde for ISO 13849-1:2006, anneks E.
NOTE – Dette eksempel omfatter ikke sikkerhedsrelaterede deles fuldstændige valideringsproces. Særligt er der ikke taget høj-
de for den nødvendige validering af PLC-software. Se 9.5 for validering af sikkerhedsrelateret software.
E.2 Beskrivelse af maskinen

Eksemplet tager udgangspunkt i en automatisk produktionsmaskine med manuel ilægning og udtagning af emner.
Maskinen er beregnet til at udføre to på hinanden følgende operationer: isætning af en kugle og fastgørelse af
skruer på hvert emne.
Der er fire stationer på maskinen: ilægnings- og udtagningsstationerne samt to arbejdsstationer (se figur E.1). På
den første arbejdsstation sker den pneumatisk drevne isætning af kuglen, og på den anden arbejdsstation sker den
pneumatisk drevne skruefastgørelse.
Et elektrisk drevet rundbord bevæger emnerne rundt på hver af de fire stationer. Emnernes placering i og fjernelse
fra emneholdere, der er monteret på rundbordet, sker manuelt. En inverterstyret elektrisk motor driver et planet-
gear og et drivremsystem, som bevæger rundbordet.
53 (da)
ISO 13849-2:2012(E)
At the first workstation a ball is inserted into the workpiece by a horizontally mounted pneumatic
cylinder, which is controlled by a monostable 5/2 port directional control valve (1V1, see Figure E.3). The
basic position (valve de-energized) of this cylinder is the retracted position. The depth of the inserted
ball is checked by monitoring a limit switch at the fully extended position of the cylinder, and the applied
pressing pressure is monitored by a pressure sensor in the air supply line for cylinder extension.
The screw-fixing workstation consists of a vertically mounted, rodless pneumatic cylinder carrying
a pneumatically driven rotary screwdriver unit. The screwdriver unit is raised and lowered by the
pneumatic cylinder, which is controlled by a monostable 5/2 port directional control valve (2V1). The
basic position (valve de-energized) of this cylinder is the upper position, with the screwdriver unit
raised. Additionally, a pilot-controlled check valve (2V2) is provided in the lower connection of the
pneumatic cylinder.
Rotary motion of the screwdriver unit is provided by a pneumatic motor, controlled by a monostable 5/2 port
directional control valve (3V1). The basic position (valve de-energized) of this pneumatic motor is the OFF
state. The torque provided by the screwdriver unit is monitored by a pressure sensor in its air supply line.
A single cycle of the machine in automatic mode of operation is initiated by actuating the start
push-button. At the beginning of a cycle, the rotary table holds three workpieces: (i) a newly loaded
workpiece, (ii) a partially finished workpiece (ball inserted), and (iii) a finished workpiece (ball
inserted and screw fixed). Each cycle of the machine consists of the rotary table moving through 90°,
followed by simultaneous ball-insertion and screw‑fixing operations on the newly loaded and partially
finished workpieces. The machine then comes to an operational stop, after which the operator opens
the interlocking guard to unload the finished workpiece and load a new workpiece. The completion of
a workpiece requires three machine cycles to rotate the workpiece by 270° from the loading station
through to the unloading station.
The following modes of operation are provided:
— automatic mode with manual loading and unloading (full motion of the machine with the interlocking
guard closed);
— set-up mode for the rotary table (motion of the rotary table with hold-to-run control and the
interlocking guard open).
The machine presents mechanical hazards arising out of movements of the pneumatically driven machine
actuators (at the ball-insertion and screw‑fixing workstations) and the electrically driven rotary table.
It is for this reason protected by mechanical guards, all of which are fixed, except for an interlocking
guard that provides access to the loading and unloading stations (the hazard zone).

DS/EN ISO 13849-2:2014
På den første arbejdsstation sættes en kugle i emnet af en horisontalt monteret pneumatisk cylinder, der styres af
en monostabil retningsventil med 5/2-porte (1V1, se figur E.3). Denne cylinders udgangsposition (afbrudt ventil) er
den tilbagetrukne position. Dybden af den isatte kugle kontrolleres ved at overvåge et endestop ved cylinderens
fuldt udtrukne position, og det påførte pressetryk overvåges af en trykføler i cylinderudtrækningens luftforsynings-
linje.
Skruefastgørelsesstationen består af en vertikalt monteret pneumatisk cylinder uden stempelstang, der bærer en
pneumatisk drevet skruetrækkerenhed. Skruetrækkerenheden hæves og sænkes af den pneumatiske cylinder, som
styres af en monostabil retningsventil med 5/2-porte (2V1). Denne cylinders udgangsposition (afbrudt ventil) er den
øverste position, hvor skruetrækkerenheden er hævet. Derudover findes der en pilotstyret kontraventil (2V2) i den
pneumatiske cylinders nederste forbindelse.
Skruetrækkerenhedens drejebevægelse frembringes af en pneumatisk motor, som styres af en monostabil ret-

ningsventil med 5/2-porte (3V1). Denne pneumatiske motors udgangsposition (afbrudt ventil) er OFF-tilstanden. Det
drejningsmoment, der frembringes af skruetrækkerenheden, overvåges af en trykføler i luftforsyningslinjen.
En enkelt cyklus af maskinen i automatisk driftsmåde igangsættes ved at aktivere starttrykknappen. Ved begyndel-
sen af en cyklus holder rundbordet tre emner: (i) et netop ilagt emne, (ii) et delvist færdigt emne (kugle isat) og (iii) et
færdigt emne (kugle isat og skrue fastgjort). Hver af maskinens cykler består i, at rundbordet foretager en bevægel-
se på 90° efterfulgt af samtidig kugleisætning og skruefastgørelse på det netop ilagte emne og det delvist færdige
emne. Der sker derefter et driftsstop af maskinen, hvorefter operatøren åbner den tvangskoblede afskærmning for
at udtage det færdige emne og isætte et nyt emne. Færdiggørelsen af et emne kræver tre maskincykler for at dreje
emnet 270° fra ilægningsstationen til udtagningsstationen.
Der findes følgende typer driftsmåder:
–– automatisk tilstand med manuel ilægning og udtagning (fuld bevægelse af maskinen med den tvangskoblede
afskærmning lukket)
–– indstillingstilstand for rundbordet (bevægelse af rundbordet med holdekontakt med dødmandskontaktfunktion

og åben tvangskoblet afskærmning).
Maskinen udgør mekaniske farer, der opstår ved bevægelser af de pneumatisk drevne maskinaktuatorer (på kugle-
isætnings- og skruefastgørelsesstationen) og af det elektrisk drevne rundbord. Af denne årsag er den beskyttet af
mekaniske afskærmninger, der alle er faste, undtagen en tvangskoblet afskærmning, der giver adgang til ilæg-
nings- og udtagningsstationen (fareområdet).
54 (da)
ISO 13849-2:2012(E)
Key
1 loading station 8 workpiece
2 ball-insertion workstation 9 rotary table
3 ball‑insertion cylinder (A1) 10 pulse sensor (G2)
4 screw‑fixing workstation 11 drive belt
5 unloading station 12 planetary gear
6 screwdriver unit (A3) 13 electric motor (M1)
7 screw insertion (vertical-drive) cylinder (A2) 14 rotation sensor (G1)
Figure E.1 — Machine used in example: automatic assembly machine
E.3 Specification of safety function requirements

In the automatic mode of operation, protection against hazardous movements is provided by the
following safety function:
SF 1 safety-related stopping initiated by the opening of the interlocking guard and prevention
of unexpected start-up whenever the interlocking guard is open.
For the purposes of the example, this can be considered a separate safety function for each of the four
individual machine actuators:

DS/EN ISO 13849-2:2014
Forklaring
1 ilægningsstation 8 emne
2 kugleisætningsstation 9 rundbord
3 kugleisætningscylinder (A1) 10 impulsføler (G2)
4 skruefastgørelsesstation 11 drivrem
5 udtagningsstation 12 planetgear
6 skruetrækkerenhed (A3) 13 elmotor (M1)
7 skrueisætningscylinder (vertikalt drevet) (A2) 14 rotationsføler (G1)
Figur E.1 – Maskine anvendt i eksemplet: automatisk produktionsmaskine
E.3 Specifikation af krav til sikkerhedsfunktioner

I den automatiske driftsmåde ydes der beskyttelse mod farlige bevægelser af følgende sikkerhedsfunktion:
SF 1 sikkerhedsrelateret standsning, igangsat af åbningen af den tvangskoblede afskærmning og forebyg-

gelse af uventet start, når den tvangskoblede afskærmning er åben.
I dette eksempel kan dette betragtes som en separat sikkerhedsfunktion for hver af de fire maskinaktuatorer:
55 (da)
ISO 13849-2:2012(E)
SF 1.0 electric motor of the rotary table (M1);

SF 1.1 ball‑insertion cylinder (A1);
SF 1.2 screw‑insertion cylinder (A2);
SF 1.3 pneumatic motor of the screwdriver unit (A3).
NOTE 1 For the example, safety-related stop and protection against unexpected start-up are considered a
single safety function because they are implemented in the same combination of SRP/CS.
During the set-up mode for the rotary table with the interlocking guard open (pneumatically driven
machine actuators disabled by SF 1.1, SF 1.2 and SF 1.3), the safe condition of the rotary table movement
is achieved by a combination of the following safety functions:
SF 2: safely-limited speed;
SF 3: hold-to-run mode.
Table E.1 — Active safety functions according to mode of operation

Safety function
Mode of operation
SF 1.0 SF 1.1 SF 1.2 SF 1.3 SF 2 SF 3
Automatic mode (interlocking guard X X X X
closed)
Set-up mode (interlocking guard open) X X X X X
X: safety function active
After performing a risk assessment, the following values of PLr were assigned to the safety functions:
PLr d for SF 1 (safety-related stopping and prevention of unexpected start-up);
PLr d for SF 2 (safely-limited speed);
PLr c for SF 3 (hold-to-run mode).
NOTE 2 The selection of PLr c for SF 3 takes account of its use in combination with SF 2, for which PL d is achieved.
When SF 1 is demanded, it initiates the following actions:

— the rotary table performs a controlled stop in accordance with Stop Category 2 of IEC 60204-1;
— the horizontally mounted pneumatic cylinder (A1) of the ball-insertion workstation and the vertically
mounted pneumatic cylinder (A2) of the screw‑fixing workstation return to and/or remain in their
basic positions (i.e. retracted and upper respectively);
— the screwdriver unit (A3) stops immediately.
NOTE 3 For the example, the risk assessment determined that loss of controlled deceleration of the rotary
table as a result of an inverter malfunction was acceptable, and movement of pneumatic cylinders A1 and A2 to
their basic positions non-hazardous.
The minimum distance between the interlocking guard and these moving parts of the machine was
determined according to ISO 13855, based on the machine stopping performance.
The machine is provided with other safety functions, such as an emergency stop, restart interlock, reset,
and selection of modes for operation, but these are not considered in the example and, consequently,
relevant components are not shown in the circuit diagrams of Figures E.2 and E.3.

DS/EN ISO 13849-2:2014
SF 1.0 rundbordets elmotor (M1)
SF 1.1 kugleisætningscylinder (A1)
SF 1.2 skrueisætningscylinder (A2)
SF 1.3 skruetrækkerenhedens (A3) pneumatiske motor.

NOTE 1 – I eksemplet betragtes den sikkerhedsrelaterede standsning og beskyttelsen mod uventet start som en enkelt sikker-
hedsfunktion, fordi de indgår i den samme kombination af SRP/CS.
I indstillingstilstanden for rundbordet med den tvangskoblede afskærmning åben (pneumatisk drevne maskinaktu-
atorer frakoblet af SF 1.1, SF 1.2 og SF 1.3) opnås den sikre tilstand for rundbordets bevægelse ved en kombination
af følgende sikkerhedsfunktioner:
SF 2: sikkert begrænset hastighed
SF 3: dødmandsfunktion.
Tabel E.1 – Aktive sikkerhedsfunktioner i overensstemmelse med driftsmåden

Sikkerhedsfunktion
Driftsmåde
SF 1.0 SF 1.1 SF 1.2 SF 1.3 SF 2 SF 3
Automatisk tilstand (tvangskoblet X X X X

afskærmning lukket)
Indstillingstilstand (tvangskoblet X X X X X
afskærmning åben)
X: sikkerhedsfunktion aktiv
Efter udførelse af en risikovurdering blev følgende PLr-værdier tildelt sikkerhedsfunktionerne:
PLr d for SF 1 (sikkerhedsrelateret standsning og forebyggelse af uventet start)
PLr d for SF 2 (sikkert begrænset hastighed)
PLr c for SF 3 (dødmandsfunktion).

NOTE 2 – Ved valget af PLr c for SF 3 er der taget højde for funktionens anvendelse i kombination med SF 2, for hvilken PL d er
opnået.
Når der er krav til SF 1, igangsættes følgende handlinger:
–– rundbordet udfører en kontrolleret standsning i overensstemmelse med stopkategori 2 i IEC 60204-1
–– kugleisætningsstationens horisontalt monterede pneumatiske cylinder (A1) og skruefastgørelsesstationens ver-

tikalt monterede pneumatiske cylinder (A2) vender tilbage til og/eller forbliver i deres udgangsposition (dvs.
henholdsvis tilbagetrukket og øverste position)
–– skruetrækkerenheden (A3) standser omgående.

NOTE 3 – I eksemplet viste risikovurderingen, at rundbordets tab af kontrolleret deceleration som følge af fejlfunktion i inverte-
ren var acceptabelt, og at bevægelsen af pneumatisk cylinder A1 og A2 til deres udgangsposition var ufarlig.
Minimumafstanden mellem den tvangskoblede afskærmning og disse af maskinens bevægelige dele blev bestemt
i henhold til ISO 13855 med udgangspunkt i maskinens stoptid.
Maskinen er forsynet med andre sikkerhedsfunktioner, fx nødstop, genstartspærre, tilbagestilling samt valg af
driftsmåder, men disse er ikke taget i betragtning i eksemplet, og derfor er de relevante komponenter ikke vist i
kredsdiagrammerne i figur E.2 og E.3.
56 (da)
ISO 13849-2:2012(E)
Figure E.2 — Automatic assembly machine — Electrical circuit diagram
Figure E.3 — Automatic assembly machine — Pneumatic circuit diagram
E.4 Design of SRP/CS

E.4.1 General
The control system for the example has been implemented using a combination of electromechanical,
electronic and pneumatic technologies.

DS/EN ISO 13849-2:2014
Standsning
Åben
dødmandsfunktion
Tilbagemelding
Impulsspærring
Inverter
Lukket Standsning
Afskærmning
Indstillet
værdi
Indgang Indgang Faktisk værdi
Udgang Udgang
Cos-/Sin-
koder
pulsføler
Vist i aktiveret position
Figur E.2 – Automatisk produktionsmaskine – Elektrisk kredsdiagram
Figur E.3 – Automatisk produktionsmaskine – Pneumatisk kredsdiagram
E.4 Konstruktion af SRP/CS

E.4.1 Generelt
Styresystemet i eksemplet er implementeret ved anvendelse af en kombination af elektromekaniske, elektroniske
og pneumatiske teknologier.
57 (da)
ISO 13849-2:2012(E)
In order to achieve the PLr for SF 1 and SF 2, Category 3 has been selected. A diverse redundant and
monitored structure has therefore been adopted for all electrical and pneumatic parts associated with
these safety functions (see Figures E.2 and E.3).
To achieve the PLr for SF 3, a combination of Category 2 and Category 3 has been selected.
The signals from the sensors and control actuators (interlocking guard position switches, hold-to-run
push-button) have been duplicated and connected into two diverse PLCs (different types of hardware for
PLC A and PLC B), which process them using specific software function blocks (SRASW). Each PLC also
controls both the rotary table inverter and the pneumatically driven machine actuators via switching
paths that are independent of the other PLCs’ switching paths.
For diagnostic (cross-monitoring) and synchronization purposes, the two PLCs communicate with each
other via a standard data-bus.
The particular inverter in this example has an additional facility (internal relay) to disable its power
semiconductor control signals (pulse-blocking), which can be considered a second shutdown path [Safe
Torque Off (STO) according to IEC 61800-5-2].
This pulse-blocking feature will not bring a rotating motor to a rapid stop, because disabling the inverter
control of the motor causes an uncontrolled deceleration. However, in this example pulse-blocking would
still cause the rotary table to stop before an operator can access the hazard zone, and so the controlled
deceleration to a standstill that normally precedes pulse-blocking is not a required characteristic of SF 1.0.
In the pneumatic circuit, the supply of air to each of the machine actuators (A1, A2 and A3) is controlled
by a monostable 5/2 port directional control valve (1V1, 2V1 and 3V1) of the pilot-controlled solenoid
type. The control air for all three valves is switched by an additional valve (1V0) of the same type, which
provides a redundant channel of control. The status of this release valve is monitored by a pressure
switch (1S0).The air supply for A2 is taken from the main air supply, whereas for A1 and A3 it is taken
from the control air supply (1V0).
De-energizing of the driving chamber from moving cylinder A1 during penetration of the workspace is
provided by two channels too:
— air bleeding through 1V1 by switching in normal position, and
— de-energizing through 1V0 by switching in normal position.
The status of 1V1 is monitored by a limit switch (1S2).
A pilot-controlled check valve (2V2), which also takes its control air from 1V0, is provided in the lower
connection of A2 (vertically mounted rodless pneumatic cylinder). This provides a redundant channel
for stopping the downward motion and retaining the machine actuator in its basic (upper) position.
The status of 2V1 is monitored by a limit switch (2S2).
The air supply for pneumatic motor A3 (screwdriver unit) is taken from the control air supply (1V0)
rather than the main air supply. This use of 1V0 in addition to 3V1 to switch off the air supply to A3
provides a redundant channel of control, which ensures that A3 will not continue to rotate if 3V1 were
to fail in the energized position. The status of 3V1 is monitored by a pressure sensor (3S1) that provides
an analogue output signal.
In accordance with Category 3, basic and well-tried safety principles are taken into account, and the
requirements of Category B are also satisfied. In particular, the requirements of the standards IEC 60204-
1 and ISO 4414 have been applied.
The attributes of components implementing SRP/CS are explained in detail in Table E.2.

DS/EN ISO 13849-2:2014
For at nå PLr for SF 1 og SF 2 er kategori 3 valgt. Der er derfor anvendt en diversificeret redundant og overvåget kon-
struktion for alle elektriske og pneumatiske dele knyttet til disse sikkerhedsfunktioner (se figur E.2 og E.3).
For at nå PLr for SF 3 er der valgt en kombination af kategori 2 og kategori 3.
Signalerne fra følerne og betjeningsaktuatorerne (positionsafbryder til den tvangskoblede afskærmning, trykknap
med dødmandsfunktion) er gentaget og tilsluttet to forskellige PLC’er (forskellige typer hardware for PLC A og
PLC B), som behandler dem ved hjælp af specifikke softwarefunktionsblokke (SRASW). Hver PLC styrer også både
rundbordsinverteren og de pneumatisk drevne maskinaktuatorer via stier, der er uafhængige af de andre PLC’ers
stier.
I forbindelse med diagnosticering (krydsovervågning) og synkronisering kommunikerer de to PLC’er med hinan-

den via en almindelig databus.
Den specifikke inverter i dette eksempel har en ekstra facilitet (internt relæ) til at sætte effekthalvlederens styresigna-
ler ud af drift (impulsspærring), hvilket kan betragtes som en anden nedlukningssti [SafeTorque Off (STO) i henhold
til IEC 61800-5-2].
Denne impulsspærring medfører ikke brat standsning af en drejende motor, fordi frakobling af motorens inverter-
styring skaber en ukontrolleret deceleration. I dette eksempel vil impulsspærring dog stadig bringe rundbordet til
standsning, inden operatøren kan nå ind i fareområdet, og derfor er den styrede deceleration til standsning, som
normalt foregår før impulsspærring, ikke en påkrævet egenskab for SF 1.0.
I den pneumatiske kreds styres luftforsyningen til hver af maskinens aktuatorer (A1, A2 og A3) af en monostabil ret-
ningsventil med 5/2-porte (1V1, 2V1 og 3V1) af typen pilotstyret elektromagnetisk ventil. Styreluften til alle tre venti-
ler indkobles af yderligere en ventil (1V0) af samme type, hvilket giver en redundant styrekanal. Denne udløsnings-
ventils status overvåges af en pressostat (1S0). Luftforsyningen til A2 hentes fra hovedluftforsyningen, mens den til
A1 og A3 hentes fra styreluftforsyningen (1V0).
Afbrydelse af drivkammeret ved at bevæge cylinder A1 under gennemboring af arbejdsområdet sker ligeledes over
to kanaler:
–– luftudtagning gennem 1V1 ved kobling i normal position og
–– afbrydelse gennem 1V0 ved kobling i normal position.
Status af 1V1 overvåges af et endestop (1S2).
En pilotstyret kontraventil (2V2), som også henter styreluft fra 1V0, findes i den nederste forbindelse til A2 (vertikalt
monteret pneumatisk cylinder uden stempelstang). Dette giver en redundant kanal til at standse den nedadgående
bevægelse og holde maskinaktuatoren i udgangsposition (øverste position).
Status af 2V1 overvåges af et endestop (2S2).
Luftforsyningen til pneumatisk motor A3 (skruetrækkerenhed) hentes fra styreluftforsyningen (1V0) frem for hoved-
luftforsyningen. Denne anvendelse af 1V0 som supplement til 3V1 til at afbryde luftforsyningen til A3 giver en re-
dundant styrekanal, som sikrer, at A3 ikke fortsætter med at dreje, i tilfælde af at 3V1 svigter i aktiveret position.
Status af 3V1 overvåges af en trykføler (3S1), som giver et analogt udgangssignal.
Der er i overensstemmelse med kategori 3 taget højde for grundlæggende og velgennemprøvede sikkerhedsprin-
cipper, og kravene i kategori B er også opfyldt. Især kravene i standarderne IEC 60204-1 og ISO 4414 er anvendt.
Egenskaberne ved komponenter, der implementerer SRP/CS, er udførligt forklaret i tabel E.2.
58 (da)
Table E.2 — Attributes of components implementing SRP/CS (parts list of Figures E.2 and E.3)
Component
Function Element Attribute Possible fault exclusion
label
Well-tried safety principlea

B1 Monitoring position of Interlocking IEC 60947-5-1:2003, Positive mode actuation Failure of switch contacts to
interlocking guard switch including direct opening open when operated can be
action in accordance with excluded.
IEC 60947‑5‑1:2003, Annex K
Electrical faults because B1
© ISO 2012 – All rights reserved

possesses positive mode of
actuation.
B2 Monitoring position of Interlocking IEC 60947-5-1 None. None.
interlocking guard switch
S4 Generates hold-to-run Normally open — None. None.
motion during set-up push-button
mode
PLC A Processing safety-related Programmable IEC 61131-1 and IEC 61131-2 None. None.
and non safety-related logic controller
PLC B

signals (PLC)
K1 Generates redundant Relay contactor IEC 60947-5-1, including Mechanically-linked contacts None.
STOP signal for inverter mechanically linked contact
in case of failure in PLC A elements in accordance with
path IEC 60947-5-1:2003, Annex L,
and EN 50205
T1 Drives rotary table elec- Inverter Inverter has additional shut- Blocking relay with positively None.
tric motor down path using pulse block- mechanically linked contacts
ing.
G1 Measures speed of electric Rotation sensor — None. None.
motor for rotary table (cos/sin encoder)
G2 Monitors motion of rotary Pulse sensor — None. None.
table
1V0 Control of pilot air for Directional-control Spring-biased valve, 5/2-func- Table B.2 overdimensioning/ Pressure build-up at port 4
directional control valves solenoid valve tion, pilot-operated, internal safety factor, safe position (use with exhausted port 5 in nor-
1V1, 2V1, 3V1, and for pilot air supply, spool valve of well-tried spring), sufficient mal position, failure of the seal-
check valve 2V2 with overlap positive overlapping in piston ing through extrusion, moving
valves of valve spool without operat-
ing power.
ISO 13849-2:2012(E)
59
Tabel E.2 – Egenskaber ved komponenter, der implementerer SRP/CS (dellister i figur E.2 og E.3)

Komponent- Velgennemprøvet
Funktion Element Egenskab Mulig fejludelukkelse
etiket sikkerhedsprincipa
B1 Overvågning af positionen Tvangskoblings- IEC 60947-5-1:2003, herunder Aktivering med tvangsføring Manglende åbning af kontakter
af den tvangskoblede afbryder tvangsbrydning i (tvangsbrydning) ved betjening kan udelukkes
afskærmning overensstemmelse med
IEC 60947-5-1:2003, anneks K Elektriske fejl, fordi B1
indeholder aktivering med
tvangsføring
B2 Overvågning af positionen Tvangskoblings- IEC 60947-5-1 Ingen Ingen

af den tvangskoblede afbryder
afskærmning
S4 Genererer bevægelse af Normalt åben — Ingen Ingen

dødmandsfunktion ved trykknap
indstillingstilstand
PLC A Behandling af Programmerbar IEC 61131-1 og IEC 61131-2 Ingen Ingen

sikkerhedsrelaterede og logisk styring
PLC B ikke-sikkerhedsrelaterede (PLC)
signaler
K1 Genererer et redundant Relækontaktor IEC 60947-5-1, herunder Mekanisk forbundne kontakter Ingen
STOP-signal for inverteren i mekanisk forbundne
tilfælde af svigt i PLC A-stien kontaktelementer i
overensstemmelse med
IEC 60947-5-1:2003, anneks L,
og EN 50205
T1 Driver rundbordets Inverter Inverteren har en ekstra Spærrerelæ med mekanisk Ingen
elektriske motor nedlukningssti i form af tvangsførte kontakter
impulsspærring
G1 Måler hastigheden af Rotationsføler — Ingen Ingen

rundbordets elmotor (cos-/sin-koder)
G2 Overvåger rundbordets Impulsføler — Ingen Ingen

bevægelse
1V0 Regulering af styreluften til Elektromagnetisk Fjederforspændt ventil, Tabel B.2 overdimensionering/ Trykopbygning ved port 4 med
retningsventil 1V1, 2V1, 3V1 retningsventil 5/2-funktion, pilotstyret, intern sikkerhedsfaktor, sikker position tømt port 5 i normal position,
og til kontraventil 2V2 styreluftforsyning, spoleventil (anvendelse af svigt af tætningen i form af
med overlapning velgennemprøvet fjeder), flydepresning, spoleventil
tilstrækkelig positiv overlapning bevæges uden drivkraft
i stempelventiler
59 (da)
DS/EN ISO 13849-2:2014
Table E.2 (continued)
60
Component
Function Element Attribute Possible fault exclusion
label
Well-tried safety principlea
1V1 Control of ball‑insertion See 1V0. See 1V0. See 1V0. See 1V0.
cylinder A1

2V1
Control of screw‑insertion
3V1
ISO 13849-2:2012(E)
cylinder A2
Control of screwdriver
unit (pneumatic motor)
A3
2V2 Anti-fall device for Check valve Pilot-operated non-return Table B.2 valve closed by load Opening without pilot air
vertically mounted valve, spring-loaded poppet pressure
screw‑insertion cylin- valve
der (A2) of the screw-
driver unit
1S0 Monitors status of Pressure switch Fixed switch point Basic safety principles are not None.

valve 1V0 required for monitoring (no
safety function).
1S1 Monitors pressure applied Pressure sensor Analogue output signal Basic safety principles are not None.
during ball insertion required for monitoring (no
process safety function).
3S1
Monitors torque (pres-
sure) applied during
screwdriving process
1S2, 1S3 Limit switches for Proximity sensor Magnetic measuring principle Basic safety principles are not None.
ball‑insertion cylinder A1 required for monitoring (no
safety function).
Limit switches for
2S1, 2S2
screw‑insertion cylin-
der A2
A1 Ball-insertion cylinder Pneumatic cylinder Not in scope of this standard according to ISO 13849-1:2006, 3.1.1.
A2 Screw-insertion cylinder Rodless pneumatic Not in scope of this standard according to ISO 13849-1:2006, 3.1.1.
cylinder with
external guide
A3 Screwdriver unit Pneumatic motor Not in scope of this standard according to ISO 13849-1:2006, 3.1.1.
a Basic safety principles have also been taken into account in the design of components (see Table D.1 for electrical components and Table B.1 for pneumatic components).
© ISO 2012 – All rights reserved

Tabel E.2 (fortsat)
Komponent- Velgennemprøvet
Funktion Element Egenskab Mulig fejludelukkelse
etiket sikkerhedsprincipa

1V1 Styring af Se 1V0 Se 1V0 Se 1V0 Se 1V0
kugleisætningscylinder A1
2V1 Styring af
skrueisætningscylinder A2
3V1 Styring af
skruetrækkerenhed
(pneumatisk motor) A3
2V2 Faldsikring for Kontraventil Pilotstyret stopventil, Tabel B.2 ventil lukket ved Åbning uden styreluft
skruetrækkerenhedens fjederbelastet løfteventil belastningstryk
vertikalt monterede
skrueisætningscylinder (A2)
1S0 Overvåger status af ventil Pressostat Fast afbryderpunkt Grundlæggende Ingen
1V0 sikkerhedsprincipper er ikke
nødvendige for overvågning
(ingen sikkerhedsfunktion)
1S1 Overvåger tryk, der påføres Trykføler Analogt udgangssignal Grundlæggende Ingen
under kugleisætningen sikkerhedsprincipper er ikke
3S1 Overvåger (ingen sikkerhedsfunktion)
drejningsmoment (tryk), der
påføres under
skrueisætningen
1S2, 1S3 Endestop for Induktiv føler Magnetisk måleprincip Grundlæggende Ingen
kugleisætningscylinder A1 sikkerhedsprincipper er ikke
2S1, 2S2 Endestop for (ingen sikkerhedsfunktion)
skrueisætningscylinder A2
A1 Kugleisætningscylinder Pneumatisk Ikke inden for denne standards anvendelsesområde ifølge ISO 13849-1:2006, 3.1.1
cylinder
A2 Skrueisætningscylinder Pneumatisk Ikke inden for denne standards anvendelsesområde ifølge ISO 13849-1:2006, 3.1.1
cylinder uden
stempelstang
men med
udvendig føring
A3 Skruetrækkerenhed Pneumatisk Ikke inden for denne standards anvendelsesområde ifølge ISO 13849-1:2006, 3.1.1
motor
a
Der er også taget højde for grundlæggende sikkerhedsprincipper i konstruktionen af komponenter (se tabel D.1 for elektriske komponenter og tabel B.1 for pneumatiske komponenter).
60 (da)
DS/EN ISO 13849-2:2014
ISO 13849-2:2012(E)
E.4.2 Safety function SF 1 — Safety-related stopping initiated by the opening of the
interlocking guard and prevention of unexpected start-up whenever the interlocking
guard is open
According to the machine specification, opening of the interlocking guard has to initiate the stopping of
four machine actuators: (i) the rotary table (driven by inverter-controlled motor), (ii) the ball-insertion
cylinder, (iii) the screw-insertion cylinder, and (iv) the screwdriver unit. This function can therefore be
represented as shown in Figure E.4.
Figure E.4 — Function blocks — SF 1.0, SF 1.1, SF 1.2 and SF 1.3
When the interlocking guard is opened, PLC A initiates a stop of the rotary table by providing a stop
signal to the inverter (T1a). PLC B monitors the resulting deceleration of the rotary table via G2, and
when it detects that this has reached a standstill it de-energizes K1 to initiate pulse-blocking at the
inverter (T1b). If the rotary table does not stop due to a fault in T1a or PLC A, then PLC B will detect this
fault and still provide its own stop signal to the inverter (T1b). This is the second independent channel
for the stopping function. The part of the safety function relating to prevention of unexpected start-up
is performed in the same way.
Opening the interlocking guard also causes PLC A to initiate a first stop of the ball-insertion cylinder, the
screw-insertion cylinder and the screwdriver unit by de-energizing 1V1, 2V1 and 3V1. PLC B initiates a
second stop of these three actuators by de-energizing 1V0.
If the rotary table is already stopped, but the ball-insertion and screw‑fixing workstations are in
operation when the interlocking guard is opened, then PLC A will immediately de-energize 1V1, 2V1 and
3V1, and PLC B will immediately de-energize K1. PLC B will also de-energize 1V0 after a delay, to allow
for the ball‑insertion cylinder (A1) to complete its travel to the retracted position.
While the interlocking guard is in the open position, it needs to be ensured that a fault in the enabling
path of PLC A does not lead to an uncontrolled start-up. This is achieved by the action of PLC B de-
energizing K1 as soon as the rotary table motor has reached a standstill, and also de-energizing 1V0 to
prevent a start-up of the ball‑insertion cylinder or the screw‑insertion cylinder.
The evaluation of the PL for the SRP/CS performing SF 1 has been carried out as follows:
a) Identification of safety-related parts
The safety-related parts of stopping function SF 1.0 and their division into channels can be illustrated
by the safety-related block diagram shown in Figure E.5.

DS/EN ISO 13849-2:2014
E.4.2 Sikkerhedsfunktion SF 1 – Sikkerhedsrelateret standsning igangsat af åbningen af den

tvangskoblede afskærmning og forebyggelse af uventet start, når den tvangskoblede
afskærmning er åben
I henhold til maskinspecifikationen skal åbning af den tvangskoblede afskærmning iværksætte standsning af de fire
maskinaktuatorer: (i) rundbordet (drevet af den inverterstyrede motor), (ii) kugleisætningscylinderen, (iii) skrueisæt-
ningscylinderen og (iv) skruetrækkerenheden. Denne funktion kan derfor fremstilles som vist i figur E.4.
Inverter
Retningsventiler for
kugleisætningscylinderen
Positionsovervågning
af beskyttelses- Elektronisk logik
skærmen
skrueisætningscylinderen
skruetrækkerenheden
Figur E.4 – Funktionsblokke – SF 1.0, SF 1.1, SF 1.2 og SF 1.3
Når den tvangskoblede afskærmning åbnes, iværksætter PLC A en standsning af rundbordet ved at sende et stands-
ningssignal til inverteren (T1a). PLC B overvåger den resulterende deceleration af rundbordet via G2, og når den
detekterer, at dette er standset, afbryder den K1 for at iværksætte impulsspærring af inverteren (T1b). Hvis rundbor-
det ikke standser på grund af en fejl i T1a eller PLC A, detekterer PLC B denne fejl og sender sit eget standsningssig-
nal til inverteren (T1b). Dette er den anden uafhængige kanal for standsningsfunktionen. Den del af sikkerhedsfunk-
tionen, der relaterer til forebyggelse af uventet start, udføres på samme måde.
Åbning af den tvangskoblede afskærmning medfører også, at PLC A iværksætter en første standsning af kugleisæt-
ningscylinderen, skrueisætningscylinderen og skruetrækkerenheden ved at afbryde 1V1, 2V1 og 3V1. PLC B iværk-
sætter en yderligere standsning af disse tre aktuatorer ved at afbryde 1V0.
Hvis rundbordet allerede er standset, men kugleisætnings- og skruefastgørelsesstationen er i gang, når den tvangs-
koblede afskærmning åbnes, afbryder PLC A straks 1V1, 2V1 og 3V1, og PLC B afbryder straks K1. PLC B afbryder
også 1V0 efter en forsinkelse for at lade kugleisætningscylinderen (A1) færdiggøre sin bevægelse til tilbagetrukket
position.
Når den tvangskoblede afskærmning er i åben position, er det nødvendigt at sikre, at en fejl i aktiveringsstien for
PLC A ikke fører til ukontrolleret start. Dette opnås, ved at PLC B afbryder energien til K1, så snart rundbordets motor
er standset, og ved at energien til 1V0 afbrydes for at forhindre start af kugleisætningscylinderen eller skrueisæt-
ningscylinderen.
Evalueringen af PL-niveauet for den SRP/CS, der udfører SF 1, er foretaget som følger:
a) Identifikation af sikkerhedsrelaterede dele
De sikkerhedsrelaterede dele af standsningsfunktion SF 1.0 og deres opdeling i kanaler kan illustreres af det sik-
kerhedsrelaterede blokdiagram, der er vist i figur E.5.
61 (da)
ISO 13849-2:2012(E)
Figure E.5 — Safety-related block diagram — SF 1.0
Similarly, the safety-related parts of stopping functions SF 1.1, SF 1.2 and SF 1.3 and their division
into channels can be illustrated by the safety-related block diagram shown in Figure E.6.
* SF 1.1 ** SF 1.2 *** SF 1.3
Figure E.6 — Safety-related block diagram — SF 1.1, SF 1.2 and SF 1.3
The two parts of the diagrams in Figures E.5 and E.6 can each be mapped to the designated
architecture for Category 3, so the diagrams can be simplified as the two SRP/CS (input, logic/output)
shown in Figure E.7.
Figure E.7 — Combination of SRP/CS performing safety functions
For each SRP/CS, a PL has been estimated by applying the simplified procedure from
ISO 13849-1:2006, 4.5.4.
b) Estimation of MTTFd of each channel
For the estimation of component MTTFd values, reliability data provided by the manufacturers
has been used.
For the estimation of the MTTFd of a channel, the parts count method has been applied (see
ISO 13849‑1:2006; Annex D). The diverse redundant structure leads to dissimilar MTTFd values
for each channel, so that application of the symmetrisation equation provides an average result of
25 years (medium) for the MTTFd of each channel of both SRP/CSI and SRP/CSL/O of SF 1.0, SF 1.1,
SF 1.2, and SF 1.3 (see ISO 13849-1:2006, D.2).
c) Estimation of DCavg
The DCavg has been calculated for both SRP/CS from the DC of the internal test and monitoring
measures applied to the different components.
A plausibility check of the guard interlocking switches B1 and B2 by PLC A and PLC B according
to ISO 13849-1:2006, Annex E, results in a DCavg high (99 %) for the SRP/CSI of SF 1.0, SF 1.1,
SF 1.2 and SF 1.3.
The following diagnostic measures are provided in the SRP/CSL/O of SF 1.0, SF 1.1, SF 1.2 and SF 1.3:
— monitoring of the relay contactor, K1, by PLC A through the position of K1 contacts;

DS/EN ISO 13849-2:2014
Figur E.5 – Sikkerhedsrelateret blokdiagram – SF 1.0
Tilsvarende kan de sikkerhedsrelaterede dele i standsningsfunktion SF 1.1, SF 1.2 og SF 1.3 og deres opdeling i ka-
naler illustreres af det sikkerhedsrelaterede blokdiagram, der er vist i figur E.6.
* SF 1.1 ** SF 1.2 *** SF 1.3
Figur E.6 – Sikkerhedsrelateret blokdiagram – SF 1.1, SF 1.2 og SF 1.3
De to dele af diagrammerne i figur E.5 og E.6 kan hver især henføres til den udpegede arkitektur for kategori 3, såle-
des at diagrammerne kan forenkles til de to SRP/CS (indgang, logik/udgang), der er vist i figur E.7.
Figur E.7 – Kombination af SRP/CS, der udfører sikkerhedsfunktioner
For hver SRP/CS er der skønnet et PL-niveau ved at anvende den forenklede metode fra ISO 13849-1:2006, 4.5.4.
b) Skøn af MTTFd for hver kanal
Til skønnet af komponentens MTTFd-værdier er der anvendt data om pålidelighed fra producenterne.
Til skønnet af en kanals MTTFd er sammentællingsmetoden anvendt (se ISO 13849 1:2006, anneks D). Den for-
skelligartede redundante struktur medfører forskellige MTTFd-værdier for hver kanal, således at anvendelse af
symmetriseringsligningen giver et gennemsnitligt resultat på 25 år (middel) for MTTFd for hver kanal i både
SRP/CSI og SRP/CSL/O i SF 1.0, SF 1.1, SF 1.2 og SF 1.3 (se ISO 13849-1:2006, D.2).
c) Skøn af DCavg
DCavg er beregnet for begge SRP/CS ud fra DC fra den interne prøvning og overvågningsforanstaltninger an-
vendt til de forskellige komponenter.
En kontrol af pålideligheden af afskærmningsafbryder B1 og B2 ved hjælp af PLC A og PLC B i overensstemmel-

se med ISO 13849-1:2006, anneks E, medfører et højt DCavg (99 %) for SRP/CSI i SF 1.0, SF 1.1, SF 1.2 og SF 1.3.
SRP/CSL/O i SF 1.0, SF 1.1, SF 1.2 og SF 1.3 indeholder følgende diagnostiske foranstaltninger:
–– overvågning af relækontaktoren, K1, ved hjælp af PLC A via positionen af K1-kontakter
62 (da)
ISO 13849-2:2012(E)
— cross-monitoring between PLC A and PLC B;

— indirect monitoring of T1a and PLC A by PLC B through G2;
— indirect monitoring of the PLC A output card by itself through 1S2, 2S2, 3S1 and G1;
— program sequence monitoring by an internal watchdog in PLC A and in PLC B;
— indirect monitoring of T1a by PLC A through G1;
— monitoring of T1b by PLC A through the position of pulse-blocking relay contact;
— indirect monitoring of the PLC B by PLC A through the position of K1 contacts;
— indirect monitoring of the PLC B output card by itself through 1S0;
— indirect monitoring of 1V1 by the PLC A through 1S2;
— indirect monitoring of 1V0 by the PLC B through 1S0;
— fault detection of PLC A, T1a and 1V1, 2V1 and 3V1 through process observation.
According to ISO 13849-1:2006, Annex E, these diagnostic measures provide a DCavg result of
medium (90 %) for the SRP/CSL/O of SF 1.0, SF 1.1, SF 1.2 and SF 1.3.
d) Estimation of measures against common-cause failure (CCF)
It is estimated that adequate measures against common-cause failure (separation, diversity, protection
against over-pressure, environmental) have been taken for both SRP/CS of SF 1.0, SF 1.1, SF 1.2 and
SF 1.3, which, according to ISO 13849-1:2006, Annex F, results in a score of 75 points for each SRP/CS.
e) Determination of PL for each SRP/CS
The PL for each SRP/CS is determined as follows:
— SRP/CSI of SF 1.0, SF 1.1, SF 1.2 and SF 1.3:
— Category 3;
— medium MTTFd of each channel;
— high DCavg ;
— 75 points for measures against CCF.
Applying these values to ISO 13849-1:2006, Figure 5, but with DCavg restricted to medium
(Category 3), gives a result of PL d.
— SRP/CSL/O of SF 1.0, SF 1.1, SF 1.2 and SF 1.3:
— Category 3;
— medium DCavg ;
Applying these values to ISO 13849-1:2006, Figure 5, gives a result of PL d.

DS/EN ISO 13849-2:2014
–– gensidig overvågning mellem PLC A og PLC B
–– indirekte overvågning af T1a og PLC A ved hjælp af PLC B via G2
–– indirekte selvovervågning af PLC A-udgangskortet via 1S2, 2S2, 3S1 og G1
–– overvågning af programsekvens ved hjælp af en intern vagthund i PLC A og i PLC B
–– indirekte overvågning af T1a ved hjælp af PLC A via G1
–– overvågning af T1b ved hjælp af PLC A via positionen af impulsspærringens relækontakt
–– indirekte overvågning af PLC B ved hjælp af PLC A via positionen af K1-kontakter
–– indirekte selvovervågning af PLC B-udgangskortet via 1S0
–– indirekte overvågning af 1V1 ved hjælp af PLC A via 1S2
–– indirekte overvågning af 1V0 ved hjælp af PLC B via 1S0
–– fejldetektering af PLC A, T1a samt 1V1, 2V1 og 3V1 via observation af processen.
I henhold til ISO 13849-1:2006, anneks E, giver disse diagnostiske foranstaltninger et middel DCavg-resultat
(90 %) for SRP/CSL/O i SF 1.0, SF 1.1, SF 1.2 og SF 1.3.
d) Skøn af foranstaltninger mod fælles svigt med samme årsag (CCF)
Det skønnes, at de tilstrækkelige foranstaltninger mod fælles svigt med samme årsag (adskillelse, diversitet,
beskyttelse mod overtryk, miljøbetingelser) er truffet for SRP/CS i SF 1.0, SF 1.1, SF 1.2 og SF 1.3, hvilket i henhold
til ISO 13849-1:2006, anneks F, medfører et resultat på 75 point for hver SRP/CS.
e) Bestemmelse af PL-niveau for hver SRP/CS
PL-niveauet for SRP/CS bestemmes som følger:
–– SRP/CSI i SF 1.0, SF 1.1, SF 1.2 og SF 1.3:
–– kategori 3
–– middel MTTFd for hver kanal
–– højt DCavg
–– 75 point for foranstaltninger mod CCF.
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, men med DCavg begrænset til
middel (kategori 3), giver et resultat på PL d.
–– SRP/CSL/O i SF 1.0, SF 1.1, SF 1.2 og SF 1.3:
–– kategori 3
–– middel DCavg
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, giver et resultat på PL d.
63 (da)
ISO 13849-2:2012(E)
f) Determination of the PL for the combination of SRP/CS performing SF 1.0, SF 1.1, SF 1.2 and SF 1.3
According to ISO 13849-1:2006, 6.3, and taking into account that the individual SRP/CS for SF 1.0,
SF 1.1, SF 1.2 and SF 1.3 have the same values of PL, the PL of the overall combination of SRP/CS for
SF 1.0, SF 1.1, SF 1.2 and SF 1.3 is determined as follows:
— PLlow = d
— Nlow = 2
The PL for the combination of SRP/CS for each of SF 1.0, SF 1.1, SF 1.2 and SF 1.3 is therefore PL d.
NOTE Calculation of the resulting PL by adding the PFH values of all subsystems will lead to a more
precise result.
g) Systematic failures
It is estimated that the adequate measures against systematic failure have been applied to the
SRP/CS for SF 1.0, SF 1.1, SF 1.2 and SF 1.3 according to ISO 13849-1:2006, Annex G.
E.4.3 Safety function SF 2 — Safely-limited speed (SLS)

When the machine is in the set-up mode and the interlocking guard is in the open position, the rotary
table can only move at a safely limited speed (SLS), which is measured by both G1 and G2. PLC A monitors
the signal from G1 and PLC B monitors the signal from G2, with both PLCs performing the desired/actual
speed comparisons independently. If the speed is not successfully reduced to the limited value by the
inverter T1a, then PLC A can react by providing a stop signal to the inverter (T1a), and PLC B can react
by activating a delayed pulse-blocking on the inverter (T1b) via K1.
The safety-related parts of safety function SF 2 and its division into channels can be illustrated by
the safety-related block diagram shown in Figure E.8.
Figure E.8 — Safety-related block diagram — SF 2
For the SRP/CS, a PL has been estimated by applying the simplified procedure in ISO 13849-1:2006, 4.5.4.
The diagram can be mapped to the designated architecture for Category 3, so the safety function is
performed by one SRP/CS, as shown in Figure E.9.
Figure E.9 — SRP/CS performing the safety function SF 2
For the SRP/CS, a PL has been estimated by applying the simplified procedure in ISO 13849-1:2006, 4.5.4.

DS/EN ISO 13849-2:2014
f) Bestemmelse af PL-niveauet for kombinationen af SRP/CS, der udfører SF 1.0, SF 1.1, SF 1.2 og SF 1.3
I overensstemmelse med ISO 13849-1:2006, 6.3, og under hensyntagen til, at den enkelte SRP/CS for SF 1.0,
SF 1.1, SF 1.2 og SF 1.3 har de samme værdier for PL-niveauet, bestemmes PL-niveauet for den samlede kombi-
nation af SRP/CS for SF 1.0, SF 1.1, SF 1.2 og SF 1.3 som følger:
–– PLlow = d
–– Nlow = 2
PL-niveauet for kombinationen af SRP/CS i hver af SF 1.0, SF 1.1, SF 1.2 og SF 1.3 er derfor PL d.
NOTE – Beregning af det resulterende PL-niveau ved at sammenlægge PFH-værdierne fra alle delsystemer giver et mere
præcist resultat.
g) Systematiske svigt
Det skønnes, at de tilstrækkelige foranstaltninger mod systematiske svigt i henhold til ISO 13849-1:2006, anneks
G, er anvendt på SRP/CS for SF 1.0, SF 1.1, SF 1.2 og SF 1.3.
E.4.3 Sikkerhedsfunktion SF 2 – sikkert begrænset hastighed (SLS – safely-limited speed)

Når maskinen befinder sig i indstillingstilstand, og den tvangskoblede afskærmning er i åben position, kan rundbor-
det kun bevæge sig i en sikkert begrænset hastighed (SLS), som måles af både G1 og G2. PLC A overvåger signalet
fra G1, og PLC B overvåger signalet fra G2, mens begge PLC’er udfører den ønskede/faktiske hastighedssammen-
ligning uafhængigt af hinanden. Hvis det ikke lykkes at nedsætte hastigheden til den begrænsede værdi med inver-
teren T1a, kan PLC A reagere ved at sende et standsningssignal til inverteren (T1a), og PLC B kan reagere ved at ak-
tivere en forsinket impulsspærring på inverteren (T1b) via K1.
De sikkerhedsrelaterede dele i sikkerhedsfunktion SF 2 og dens opdeling i kanaler kan illustreres af det sikker-
hedsrelaterede blokdiagram, der er vist i figur E.8.
Figur E.8 – Sikkerhedsrelateret blokdiagram – SF 2
Til SRP/CS er der skønnet et PL-niveau ved at anvende den forenklede metode i ISO 13849-1:2006, 4.5.4.
Diagrammet kan henføres til den udpegede arkitektur for kategori 3, således at sikkerhedsfunktionen udføres af
én SRP/CS som vist i figur E.9.
Figur E.9 – SRP/CS, der udfører sikkerhedsfunktion SF 2
Til SRP/CS er der skønnet et PL-niveau ved at anvende den forenklede metode i ISO 13849-1:2006, 4.5.4.
64 (da)
ISO 13849-2:2012(E)

For the estimation of component MTTFd values, reliability data provided by the manufacturers
has been used.
For the estimation of the MTTFd of a channel, the parts count method has been applied (see
ISO 13849‑1:2006; Annex D). The diverse redundant structure leads to dissimilar MTTFd values for
each channel, so application of the symmetrisation equation provides an average result of medium
MTTFd (more than 25 years) for each channel of the SRP/CS.
The DCavg has been calculated for the SRP/CS from the DC of the internal test and monitoring
measures applied to the different components.
The following diagnostic measures are provided:
— monitoring of the relay contactor, K1, by PLC A through the position of K1 contacts;
— cross-monitoring between PLC A and PLC B;
— indirect monitoring of G1, T1a and PLC A by PLC B through G2;
— monitoring of T1b by PLC A through the position of pulse-blocking relay contact;
— program sequence monitoring by an internal watchdog in PLC A and in PLC B;
— indirect monitoring of G2 and PLC B by PLC A through the position of K1 contacts;
— monitoring of G1 by PLC A;
— monitoring of G1 and T1a (plausibility of sin/cos information);
— monitoring of G2 by PLC B (after pushing S4, PLC B checks for pulses from G2; if there are none,
PLC B stops T1b).
According to ISO 13849-1:2006, Annex E, these diagnostic measures provide a DCavg result of
medium (90 %) for the SRP/CS.
It is estimated that the adequate measures against common-cause failure (separation, diversity,
protection against over-pressure, environmental) have been taken for the SRP/CS, which according
to ISO 13849-1:2006, Annex F, results in a score of 75 points for the SRP/CS.
e) Determination of the PL for the SRP/CS
The PL for the SRP/CS is determined as follows:
— Category 3;
— medium DCavg ;
Applying these values to ISO 13849-1:2006, Figure 5, but with DCavg restricted to medium
(Category 3), gives a result of PL d.
f) Systematic failures
It is estimated that adequate measures against systematic failures have been applied to the SRP/CS
according to ISO 13849-1:2006, Annex G.

DS/EN ISO 13849-2:2014
b) Skøn af hver kanals MTTFd
Til skønnet af komponentens MTTFd-værdier er der anvendt data om pålidelighed fra producenterne.
Til skønnet af en kanals MTTFd er sammentællingsmetoden anvendt (se ISO 13849-1:2006, anneks D). Den for-
skelligartede redundante struktur medfører forskellige MTTFd-værdier for hver kanal, således at anvendelse af
symmetriseringsligningen giver et gennemsnitligt resultat på middel MTTFd (over 25 år) for hver kanal i SRP/CS.
c) Skøn af DCavg
DCavg er beregnet for SRP/CS ud fra DC fra den interne prøvning og overvågningsforanstaltninger anvendt til de
forskellige komponenter.
Der er gennemført følgende diagnostiske foranstaltninger:
–– overvågning af relækontakt, K1, ved hjælp af PLC A via positionen af K1-kontakter
–– gensidig overvågning mellem PLC A og PLC B
–– indirekte overvågning af G1, T1a og PLC A ved hjælp af PLC B via G2
–– overvågning af T1b ved hjælp af PLC A via positionen af impulsspærringens relækontakt
–– overvågning af programsekvens ved hjælp af en intern vagthund i PLC A og i PLC B
–– indirekte overvågning af G2 og PLC B ved hjælp af PLC A via positionen af K1-kontakter
–– overvågning af G1 ved hjælp af PLC A
–– overvågning af G1 og T1a (pålidelighed af sin-/cos-oplysninger)
–– overvågning af G2 ved hjælp af PLC B (efter betjening af S4 kontrollerer PLC B for impulser fra G2. Hvis der
ikke er nogen impulser, standser PLC B T1b).
I henhold til ISO 13849-1:2006, anneks E, giver disse diagnostiske foranstaltninger et middel DCavg-resultat
(90 %) for SRP/CS.
beskyttelse mod overtryk, miljøbetingelser) er truffet for SRP/CS, hvilket i henhold til ISO 13849-1:2006, anneks F,
medfører et resultat på 75 point for SRP/CS.
e) Bestemmelse af PL-niveauet for SRP/CS
PL-niveauet for SRP/CS bestemmes som følger:
–– kategori 3
–– middel DCavg
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, men med DCavg begrænset til
middel (kategori 3), giver et resultat på PL d.
f) Systematiske svigt
Det skønnes, at de tilstrækkelige foranstaltninger mod systematiske svigt i henhold til ISO 13849-1:2006,
anneks G, er anvendt på SRP/CS.
65 (da)
ISO 13849-2:2012(E)
E.4.4 Safety function SF 3 — Hold-to-run mode

Movement of the rotary table (at a safely limited speed) with the interlocking guard open is initiated and
continues while the push-button S4 is actuated, and stops when the push-button is released. When the
push-button is in the released position, unexpected start-up has to be prevented. The signal from the
push-button S4 is processed by both PLCs.
The safety-related parts of safety function SF 3 and their division into channels can be illustrated
by the safety-related block diagram shown in Figure E.10.
Figure E.10 — Safety-related block diagram — SF 3
The two parts of the diagram can each be mapped to the designated architecture for Category 1 and
Category 3, so the diagram can be simplified as the two SRP/CS (input, logic/output) shown in Figure E.11.
Figure E.11 — Combination of SRP/CS performing the safety function SF 3
For each SRP/CS, a PL has been estimated by applying the simplified procedure in
ISO 13849-1:2006, 4.5.4.
The MTTFd for the SRP/CSI (hold-to-run push-button) is calculated using the manufacturer’s B10d
value to give a result of high MTTFd.
The estimation of the MTTFd of SRP/CSL/O provides, as in SRP/CSL/O of SF 1.0, an average result of
25 years (medium) for the MTTFd (more than 25 years) of each channel.
The DCavg has been calculated for both SRP/CS from the DC of the internal test and monitoring
measures executed on the different components.
Time monitoring of hold-to-run push-button S4 (low-high alternation in a time frame window) by
PLC A and PLC B according to ISO 13849-1:2006, Annex E, results in a DCavg low (75 %) for the SRP/CSI.
The monitoring measures as per SRP/CSL/O of SF 1.0 are provided in the SRP/CSL/O of SF 3, resulting
in a DCavg medium (90 %) for the SRP/CSL/O.
It is estimated that adequate measures against common-cause failure (separation, diversity,
protection against over-voltage, environmental) have been taken for each SRP/CS, which, according
to ISO 13849-1:2006, Annex F, results in a score of 75 points for both SRP/CS.
e) Determination of PL for each SRP/CS
The PL for each SRP/CS is determined as follows.

DS/EN ISO 13849-2:2014
E.4.4 Sikkerhedsfunktion SF 3 – dødmandsfunktion

Bevægelse af rundbordet (ved en sikkert begrænset hastighed), mens den tvangskoblede afskærmning er åben,
igangsættes og fortsætter, mens trykknap S4 er aktiveret, og standser, når trykknappen slippes. Når trykknappen er
sluppet, skal uventet start være forhindret. Signalet fra trykknap S4 behandles af begge PLC’er.
De sikkerhedsrelaterede dele i sikkerhedsfunktion SF 3 og deres opdeling i kanaler kan illustreres af det sikker-
hedsrelaterede blokdiagram, der er vist i figur E.10.
Figur E.10 – Sikkerhedsrelateret blokdiagram – SF 3
De to dele af diagrammet kan hver især henføres til den udpegede arkitektur for kategori 1 og kategori 3, således at
diagrammet kan forenkles til de to SRP/CS (indgang, logik/udgang), der er vist i figur E.11.
Figur E.11 – Kombination af SRP/CS, der udfører sikkerhedsfunktion SF 3
For hver SRP/CS er der skønnet et PL-niveau ved at anvende den forenklede metode i ISO 13849-1:2006, 4.5.4.
b) Skøn af MTTFd for hver kanal
MTTFd for SRP/CSI (trykknap med dødmandsfunktion) beregnes ved anvendelse af producentens B10d-værdi for
at opnå et højt resultat for MTTFd.
Skønnet af MTTFd for SRP/CSL/O giver, som ved SRP/CSL/O i SF 1.0, et gennemsnitligt resultat på 25 år (middel)
for MTTFd (over 25 år) for hver kanal.
c) Skøn af DCavg
DCavg er beregnet for begge SRP/CS ud fra DC fra den interne prøvning og overvågningsforanstaltninger an-
vendt til de forskellige komponenter.
Tidsovervågning af trykknap med dødmandsfunktion S4 (vekslen mellem lav og høj inden for et tidsvindue)
foretaget af PLC A og PLC B i overensstemmelse med ISO 13849-1:2006, anneks E, medfører et lavt DCavg (75 %)
for SRP/CSI.
Til SRP/CSL/O i SF 3 anvendes de samme overvågningsforanstaltninger som til SRP/CSL/O i SF 1.0, hvilket medfø-
rer et middel DCavg (90 %) for SRP/CSL/O.
beskyttelse mod overspænding, miljøbetingelser) er truffet for hver SRP/CS, hvilket i henhold til ISO 13849-1:
2006, anneks F, medfører et resultat på 75 point for begge SRP/CS.
e) Bestemmelse af PL-niveau for hver SRP/CS
PL-niveauet for hver SRP/CS bestemmes som følger:
66 (da)
ISO 13849-2:2012(E)
— SRP/CSI:
— Category 1;
— High MTTFd of the channel.
Applying these values to ISO 13849-1:2006, Figure 5, gives a result of PL c.
— SRP/CSL/O:
— Category 3;
— Medium MTTFd of each channel;
— Medium DCavg ;
Applying these values to ISO 13849-1:2006, Figure 5, gives a result of PL d.
f) Determination of the PL of the combination of SRP/CS performing SF 3
According to ISO 13849-1:2006, 6.3, and taking into account both SRP/CS of SF 3, the PL of the
overall combination of SRP/CS is determined as follows:
— PLlow = c;
— Nlow = 1.
The PL for the combination of SRP/CS of SF 3 is therefore PL c.
g) Systematic failures
It is estimated that the adequate measures against systematic failures have been taken for both
SRP/CS of SF 3 according to ISO 13849-1:2006, Annex G.
E.5 Validation
E.5.1 General
As stated in E.1, the example has been reduced to the validation of fault behaviour and diagnostic means
of safety functions SF 1.0 and SF 1.3.
According to 9.2 and 9.3, validation of fault behaviour and diagnostic means are performed by a review
of design documentation, a failure analysis and complementary fault injection tests.
The following steps are carried out.
a) Identify the diagnostic measures and the units (components, blocks) that they test/monitor.
b) Verify the DC value assigned to each diagnostic measure (DC) for a particular unit.
c) Analyse the fault behaviour of the system and define the test cases.
d) Check for correct calculation of the DCavg for each SRP/CS.
e) Carry out required tests to confirm the DC values.

DS/EN ISO 13849-2:2014
–– SRP/CSI:
–– kategori 1
–– høj MTTFd for kanalen.
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, giver et resultat på PL c.
–– SRP/CSL/O:
–– kategori 3
–– middel DCavg
Anvendelse af disse værdier i overensstemmelse med ISO 13849-1:2006, figur 5, giver et resultat på PL d.
f) Bestemmelse af PL-niveauet for den kombination af SRP/CS, der udfører SF 3
I overensstemmelse med ISO 13849-1:2006, 6.3, og under hensyntagen til begge SRP/CS i SF 3, bestemmes PL-
niveauet for den samlede kombination af SRP/CS som følger:
–– PLlow = c
–– Nlow = 1.
PL-niveauet for kombinationen af SRP/CS i SF 3 er derfor PL c.
g) Systematiske svigt
Det skønnes, at de tilstrækkelige foranstaltninger mod systematiske svigt i henhold til ISO 13849-1:2006, anneks
G, er truffet for begge SRP/CS i SF 3.
E.5 Validering
E.5.1 Generelt
Som angivet i E.1 er eksemplet reduceret til validering af opførsel ved fejl og diagnosticeringsmidler for sikkerheds-
funktion SF 1.0 og SF 1.3.
I henhold til 9.2 og 9.3 udføres validering af opførsel ved fejl og diagnosticeringsmidler ved en gennemgang af kon-
struktionsdokumentationen, en fejlanalyse og supplerende prøvninger af indlagte fejl.
Følgende trin gennemføres:
a) Identifikation af de diagnosticeringsmidler og enheder (komponenter, blokke), de anvendes til at prøve/overvå-

ge
b) Verifikation af den DC-værdi, der er tildelt hver diagnostisk foranstaltning (DC) til en bestemt enhed
c) Analyse af systemets opførsel ved fejl og definition af prøvningssituationerne.
d) Kontrol af korrekt beregning af DCavg for hver SRP/CS
e) Udførelse af nødvendige prøvninger for at bekræfte DC-værdier.
67 (da)
ISO 13849-2:2012(E)
E.5.2 Validation of fault behaviour and DCavg

A check of the design documentation (safety-related block diagram and list of diagnostic measures for
the SRP/CS) confirms that
— blocks (components) related to each SRP/CS and the combination of SRP/CS, in the safety-related
block diagrams, and
— diagnostic measures and monitored units
assumed in the design rationale are correct for all safety functions.
A FMEA is used to check the values of DC assigned to each monitored unit of each SRP/CS, and also the
fault behaviour of the system.
As safety function SF 1 has to fulfil both safety-related stopping and subsequent prevention of unexpected
start-up, the failure analysis for each associated component is considered in a separate row for each of
these requirements.
For the analysis, the appropriate fault lists given in Annexes A, B, C and D have been used.
The FMEA for safety functions SF 1.0 and SF 1.3, including test cases, are now considered.
E.5.3 FMEA and DCavg for SF 1.0 and SF 1.3
E.5.3.1 SF 1.0
In order to facilitate the analysis of SF 1.0, its safety-related block diagram is reproduced in Figure E.12.
Figure E.12 — Safety-related block diagram — SF 1.0
See Tables E.3 and E.4.

DS/EN ISO 13849-2:2014
E.5.2 Validering af opførsel ved fejl og DCavg

En kontrol af konstruktionsdokumentationen (sikkerhedsrelateret blokdiagram og liste over diagnostiske foranstalt-
ninger til SRP/CS) bekræfter, at
–– blokke (komponenter), der er relateret til hver SRP/CS og kombinationen af SRP/CS i de sikkerhedsrelaterede
blokdiagrammer, samt
–– diagnostiske foranstaltninger og overvågede enheder,
der er antaget i grundlaget for konstruktionen, er korrekte til alle sikkerhedsfunktioner.
Der anvendes en fejleffektanalyse (FMEA) til at kontrollere de DC-værdier, der er tildelt hver overvåget enhed af hver
SRP/CS, samt systemets opførsel ved fejl.
Da sikkerhedsfunktion SF 1 både skal sikre sikkerhedsrelateret standsning og efterfølgende forebyggelse af uventet

start, betragtes fejlanalysen for hver tilhørende komponent i en separat række for hvert af disse krav.
Til analysen er de relevante fejllister i anneks A, B, C og D anvendt.
Efterfølgende betragtes fejleffektanalysen (FMEA) for sikkerhedsfunktion SF 1.0 og SF 1.3, herunder prøvningssitua-
tioner.
E.5.3 FMEA og DCavg for SF 1.0 og SF 1.3
E.5.3.1 SF 1.0
For at lette analysen af SF 1.0 er det tilhørende sikkerhedsrelaterede blokdiagram gengivet i figur E.12.
Figur E.12 – Sikkerhedsrelateret blokdiagram – SF 1.0
Se tabel E.3 og E.4.
68 (da)
ISO 13849-2:2012(E)
Table E.3 — FMEA and estimation of DC for components of SRP/CSI of SF 1.0
Component/ Tests for con-

Potential fault Fault detection Effect/reaction
unit firmation
Contact does not open Fault is recognized Electric motor M1 is Apply a static
when the guard is independently by stopped via T1a by the high level at the
opened (mechanical PLC A and PLC B PLC A and via K1 and relevant input
faults). a through signal change T1b by the PLC B and of both PLCs
F1 in B2 when the safety re-start is prevented. before the guard
Interlocking function is demanded is opened.
switch B1 (opening of the safety
guard, plausibility
check).
No dangerous fault — — —
F2 while the guard is open
(fault exclusion).
A plausibility check of B1 and B2 by PLC A and PLC B gives a DC of 99 % for B1 (see ISO 13849-1:2006,
Table E.1).
Contact does not open Fault is recognized Electric motor M1 is Apply a static
when the guard is independently by stopped via T1a by the high level at the
opened (electrical or PLC A and PLC B PLC A and via K1 and relevant input
mechanical faults) through signal change T1b by the PLC B and of both PLCs
F3 in B1 when the safety re-start is prevented. before the guard
function is demanded is opened.
(opening of the safety
Interlocking guard, plausibility
switch B2 check).
Spontaneous contact Fault is recognized Electric motor M1 is Apply a static
closure while the guard independently and stopped via T1a by the high level at the
is open (mechanical immediately by PLC A PLC A and via K1 and relevant input of
F4 faults). and PLC B as a result T1b by the PLC B and both PLCs while
of there being no re-start is prevented. the guard is
corresponding signal open.
change in B1.
A plausibility check of B1 and B2 by PLC A and PLC B gives a DC of 99 % for B2 (see ISO 13849-1:2006,
Table E.1).
NOTE Conductors are not included in the fault analysis because it is considered that they only fail due to systematic
causes.
a Electrical faults can be excluded because B1 posses a direct mode of actuation (see IEC 60947‑5‑1:2003, Annex K).
From the analysis it can be deduced that any single faults in the SRP/CSI will be detected either
immediately, or at the next demand upon the safety function. When a single fault occurs, the safety
function is always performed and re-start is prevented.
As a result of the analysis, it is considered that the assumed values of DC (high) during the design for B1
and B2 are adequate. As the DC of both components is equal (99 %), the DCavg of SRP/CSI is high (99 %),
as was estimated during the design.
These characteristics are typical for Category 3, selected in the design (see E.4.1) in order to comply
with the safety requirement specification given in E.3 (PLr).
In order to check the correct implementation of the diagnostic measures, the tests described in the final
column of Table E.3 could be applied.

DS/EN ISO 13849-2:2014
Tabel E.3 – FMEA og skøn af DC for komponenter i SRP/CSI i SF 1.0

Komponent/ Prøvninger til
Potentiel fejl Fejldetektering Virkning/reaktion
enhed bekræftelse
Kontakt åbner ikke, når Fejl genkendes Elektrisk motor M1 Et statisk højt
afskærmningen åbnes uafhængigt af PLC A og standses via T1a af niveau påføres
(mekaniske fejl).a PLC B via signalændring PLC A og via K1 og T1b den relevante
i B2, når der er krav til af PLC B, og genstart indgang til
F1
Tvangs- sikkerhedsfunktionen forhindres. begge PLC’er,
koblings- (åbning af beskyttelses- før afskærm-
afbryder B1 skærmen, kontrol af ningen åbnes.
pålidelighed).
Ingen farlige fejl, mens — — —

F2 afskærmningen er åben
(fejludelukkelse).
En kontrol af pålideligheden af B1 og B2 foretaget af PLC A og PLC B giver et DC på 99 % for B1 (se ISO 13849-1:2006, tabel
E.1).
Kontakt åbner ikke, når Fejl genkendes Elektrisk motor M1 Et statisk højt
afskærmningen åbnes uafhængigt af PLC A og standses via T1a af niveau påføres
(elektriske eller PLC B via signalændring PLC A og via K1 og T1b den relevante
mekaniske fejl). i B1, når der er krav til af PLC B, og genstart indgang til
F3
sikkerhedsfunktionen forhindres. begge PLC’er,
(åbning af beskyttelses- før afskærm-
Tvangs- skærmen, kontrol af ningen åbnes.
koblings- pålidelighed).
afbryder B2 Spontan slutning af Fejl genkendes Elektrisk motor M1 Et statisk højt
kontakt, mens uafhængigt og straks af standses via T1a af niveau påføres
afskærmningen er åben PLC A og PLC B, som PLC A og via K1 og T1b den relevante
F4 (mekaniske fejl). følge af at der ikke er en af PLC B, og genstart indgang til
tilsvarende forhindres. begge PLC’er,
signalændring i B1. mens afskærm-
ningen er åben.
En kontrol af pålideligheden af B1 og B2 foretaget af PLC A og PLC B giver et DC på 99 % for B2 (se ISO 13849-1:2006, tabel
E.1).
NOTE – Ledere er ikke omfattet af fejlanalysen, da det antages, at de kun svigter af systematiske årsager.
a Elektriske fejl kan udelukkes, fordi B1 har en direkte aktiveringstilstand (se IEC 60947-5-1:2003, anneks K).
Af analysen kan det udledes, at enkeltfejl i SRP/CSI enten detekteres straks eller ved næste krav til sikkerhedsfunkti-
onen. Når der opstår en enkeltfejl, udføres sikkerhedsfunktionen altid, og genstart forhindres.
Som følge af analysen antages det, at de forudsatte værdier af DC (høj) under konstruktionen af B1 og B2 er tilstræk-
kelige. Da begge komponenters DC er det samme (99 %), er DCavg af SRP/CSI høj (99 %), som det blev skønnet un-
der konstruktionen.
Disse egenskaber er typiske for kategori 3, som er valgt til konstruktionen (se E.4.1) for at sikre overensstemmelse
med specifikationen af sikkerhedskrav i E.3 (PLr).
For at kontrollere korrekt gennemførelse af de diagnostiske foranstaltninger kan de prøvninger, der er beskrevet i
sidste kolonne i tabel E.3, anvendes.
69 (da)
ISO 13849-2:2012(E)
Table E.4 — FMEA and estimation of DC of components for SRP/CSL/O of SF 1.0

Potential faults Fault detection Effect/reaction
unit firmation
F1 Stuck-at-fault at the Fault is recognized by Electric motor M1 is Apply a static
input/output cards, PLC B through reading stopped by PLC B via high level at the
or stuck-at or wrong of G2 to compare its K1 and T1b after a stop output of
coding or no execution time-related signal time delay when the PLC A before the
in the CPU, which pre- with the expected guard is opened, and guard is open.
vents PLC A from send- change in the number re-start is prevented.
ing a stop command to of revolutions.
In the case of faults
T1a before or when the
Some faults (e.g. detected by PLC A
guard is opened.
output cards) are through reading of G1
recognized by PLC A during the operational
through reading of G1 stop, PLC A informs
at an operational stop PLC B. As a result of
of the electric motor reporting PLC B, the
M1 or when the safety electric motor M1 is
function is demanded. stopped and re-start is
prevented by PLC B.
Other faults can be
detected early by the In the case of faults
internal watchdog detected by WD, PLC A
(WDa) function of tries to stop electric
PLC A. motor M1 and prevent
the re-start via T1a
before the safety func-
tion is demanded or
before electrical motor
M1 comes to an opera-
tional stop, and then to
PLC A inform PLC B.
F2 Stuck-at-fault at the Faults cannot be Electric motor M1 Transfer the
input/ output cards, recognized by PLC B remains stopped by start signal to
or stuck-at or wrong through reading of PLC B via K1 and T1b the inverter
coding or no execu- G2 because the motor while the guard is while the guard
tion in the CPU, which M1 remains stopped open. is open.
removes the PLC A by PLC B via K1 and
stop command from T1b while the guard is
detected by PLC A
T1a while the guard is open.
through reading of G1
open.
Some faults (e.g. on closing the guard,
output cards) are PLC A informs PLC B.
recognized by PLC A As a result of reporting
through reading of G1 PLC B, the unintended
on closing the guard. start-up of electric
motor M1 is prevented
The above and
by PLC B.
additional faults are
detected by opera- In the case of faults
tor through process detected by WD, PLC A
observation on closing tries to keep electric
the guard, or by PLC B motor M1 stopped and
when the safety func- to prevent the re-start
tion is next demanded via T1a, and to inform
(opening of the guard). PLC B.
Other faults can be
detected early by WDa
function of PLC A.
a Some internal faults of PLCs that, a priori, do not cause a failure of the safety function (e.g. inability of PLCs to send a
stop command to the drive or to a valve, or inability to keep a stop command on the drive or on a valve) can be detected by
the WD function.

DS/EN ISO 13849-2:2014
Tabel E.4 – FMEA og skøn af DC for komponenter i SRP/CSL/O i SF 1.0

enhed bekræftelse
Stop-ved-fejl ved Fejlen genkendes af Elmotor M1 standses af Et statisk højt

indgangs-/udgangs- PLC B ved læsning af G2 PLC B via K1 og T1b niveau påføres
kortene eller stop-ved- for at sammenligne efter en tidsforsinkelse, stopudgangen
fejl eller forkert kodning dennes tidsrelaterede når afskærmningen fra PLC A, før
eller manglende ud- signal med den åbnes, og genstart afskærmningen
førelse i CPU’en, hvilket forventede ændring i forhindres. åbnes.
forhindrer, at PLC A kan antallet af omdrejninger.
sende en stop- Ved fejl detekteret af
kommando til T1a, før Nogle fejl (fx ved PLC A ved læsning af
eller når afskærmningen udgangskort) G1 under driftsstoppet
åbnes. genkendes af PLC A ved sender PLC A
læsning af G1 ved et information til PLC B.
driftsstop af elmotor Som følge af
M1, eller når der er krav informationen til PLC B
F1
til sikkerhedsfunktionen. standses elmotor M1,
og genstart forhindres
Andre fejl kan af PLC B.
detekteres tidligt af den
interne vagthunds- Ved fejl detekteret af WD
funktion (WDa) i PLC A. forsøger PLC A at
standse elmotor M1 og
forhindre genstart via
T1a før krav til sikker-
hedsfunktionen, eller før
elmotor M1 når et
driftsstop, hvorefter
PLC A forsøger at
informere PLC B.
PLC A
Stop-ved-fejl ved Fejl kan ikke genkendes Elmotor M1 forbliver Startsignalet
indgangs-/udgangs- af PLC B ved læsning af standset af PLC B via K1 overføres til
kortene eller stop-ved- G2, fordi motor M1 og T1b, mens inverteren,
fejl eller forkert kodning forbliver standset af afskærmningen er åben. mens afskærm-
eller manglende PLC B via K1 og T1b, ningen er åben.
udførelse i CPU’en, mens afskærmningen Ved fejl detekteret af
hvilket fjerner PLC A- er åben. PLC A ved læsning af
stopkommandoen fra G1, når afskærmningen
T1a, mens afskærm- Nogle fejl (fx ved lukkes, sender PLC A
ningen er åben. udgangskort) information til PLC B.
genkendes af PLC A ved Som følge af
læsning af G1, når informationen til PLC B
afskærmningen lukkes. forhindrer PLC B
utilsigtet start af elmotor
F2 Ovenstående og M1.
yderligere fejl
detekteres af operatøren Ved fejl detekteret af WD
ved observation af forsøger PLC A at holde
processen, når elmotor M1 standset og
afskærmningen lukkes, forhindre genstart via
eller af PLC B ved næste T1a samt at sende
krav til sikkerheds- information til PLC B.
funktionen (åbning af
afskærmningen).
Andre fejl kan
detekteres tidligt af
WDa-funktionen i
PLC A.
a Visse interne fejl i PLC’er, der på forhånd ikke medfører svigt af sikkerhedsfunktionen (fx at PLC’er er ude af stand til at sende en stopkom-
mando til drevet eller til en ventil eller er ude af stand til at opretholde en stopkommando på drevet eller en ventil), kan detekteres af
WD-funktionen.
70 (da)
ISO 13849-2:2012(E)
unit firmation
As a result of the indirect monitoring of PLC A by PLC B through G2, PLC A’s indirect monitoring of its own
output card through G1, program sequence monitoring by the internal watchdog, and fault detection through
process observation, PLC A is considered to have a DC of 90 % (see ISO 13849-1:2006, Table E.1).
The above measures can be considered as being in relation to ISO 13849-1:2006, Table E.1, NOTE 2.
NOTE It is considered that most PLC faults occur at the input/output cards and are of the stuck-at type (90 % of all faults
in a PLC), but the WD function of a PLC can only detect some faults that affect program sequencing.
F3 Stuck-at-fault and other Fault is recognized by Electric motor M1 is Set the stop-
complex internal faults PLC B through reading stopped by PLC B via input of the
in control and power of G2 when the safety K1 and T1b after a inverter to high
electronics of the function is demanded. time delay when the before or when
inverter, which prevent guard is opened, and the guard is
Fault is recognized
T1a from stopping the re-start is prevented. opened.
also by PLC A through
motor before or when
reading of G1 at an PLC A informs PLC B
the guard is opened.
operational stop of the when a fault is rec-
electric motor M1 or ognized during the
when the safety func- operational stop. As
tion is demanded. a result of reporting
PLC B, the electric
motor M1 is stopped
and re-start is pre-
vented by PLC B.
F4 Stuck-at-fault and Fault cannot be Electric motor M1 Transfer the
Inverter T1a
other complex internal recognized by PLC B remains stopped by start signal to
faults in control and through reading of PLC B via K1 and T1b the inverter
power electronics of G2 because the motor while the guard is while the guard
the inverter, which M1 remains stopped open. is open.
provides gate signals to by PLC B via K1 and
On closing the guard,
power semiconductors T1b while the guard is
an unintended start-up
of T1a, while the guard open.
of the motor occurs
is open.
Fault will be detected (non-hazardous).
by the operator
PLC A informs PLC B
through process
when a fault is recog-
observation on closing
nized. As a result of
the guard.
reporting PLC B, the
Fault is also rec- unintended start-up
ognized by PLC A of electric motor M1 is
through reading of G1 prevented and re-start
on closing the guard. is prevented by PLC B.
As a result of the indirect monitoring of T1a by PLC B through G2, indirect monitoring of T1a by PLC A through
G1 and fault detection through process observation, T1a is considered to have a DC of 99 %.
the WD function.

DS/EN ISO 13849-2:2014
Tabel E.4 (fortsat)

enhed bekræftelse
Som følge af den indirekte overvågning af PLC A foretaget af PLC B via G2, PLC A's indirekte overvågning af eget
udgangskort via G1, overvågning af programsekvensen foretaget af den interne vagthund og fejldetektering via
observation af processen antages PLC A at have et DC på 90 % (se ISO 13849-1:2006, tabel E.1).
Ovenstående foranstaltninger kan anses for at have forbindelse til ISO 13849-1:2006, tabel E.1, note 2.
NOTE – Det antages, at de fleste PLC-fejl opstår ved indgangs-/udgangskortene og er af typen stop-ved-fejl (90 % af alle fejl i en PLC), men
WD-funktionen af en PLC kan kun detektere visse fejl, der påvirker programsekvensen.
Stop-ved-fejl og andre Fejl genkendes af PLC B Elmotor M1 standses af Inverterens

komplekse interne fejl i ved læsning af G2, når PLC B via K1 og T1b stopindgang
inverterens styre- og der er krav til sikker- efter en tidsforsinkelse, sættes til høj, før
effektelektronik, som hedsfunktionen. når afskærmningen eller når
forhindrer T1a i at åbnes, og genstart afskærmningen
standse motoren, før Fejl genkendes også af forhindres. åbnes.
eller når afskærmningen PLC A ved læsning af
åbnes. G1 ved et driftsstop af PLC A sender
F3 elmotor M1, eller når information til PLC B,
der er krav til når der genkendes en
sikkerhedsfunktionen. fejl under driftsstoppet.
Som følge af
informationen til PLC B
standses elmotor M1,
og genstart forhindres
af PLC B.
Inverter T1a Stop-ved-fejl og andre Fejl kan ikke genkendes Elmotor M1 forbliver Startsignalet
komplekse interne fejl i af PLC B ved læsning af standset af PLC B via K1 overføres til
inverterens styre- og G2, fordi motor M1 og T1b, mens inverteren,
effektelektronik, hvilket forbliver standset af afskærmningen er åben. mens
giver styresignaler til PLC B via K1 og T1b, afskærmningen
effekthalvlederne i T1a, mens afskærmningen Når afskærmningen er åben.
mens afskærmningen er åben. lukkes, sker en utilsigtet
er åben. start af motoren
Fejl detekteres af (ufarlig).
F4
operatøren ved
observation af PLC A sender
processen, når information til PLC B,
afskærmningen lukkes. når der genkendes en
fejl. Som følge af
Fejl genkendes også af informationen til PLC B
PLC A ved læsning af forhindrer PLC B
G1, når afskærmningen utilsigtet start af elmotor
lukkes. M1 samt genstart.
Som følge af den indirekte overvågning af T1a foretaget af PLC B via G2, indirekte overvågning af T1a foretaget af PLC A via
G1 og fejldetektering via observation af processen antages T1a at have et DC på 99 %.
WD-funktionen.
71 (da)
ISO 13849-2:2012(E)
unit firmation
Stuck-at-fault at the Fault is recognized by Electric motor M1 is Keep K1 in the
input/output cards, PLC A monitoring of K1 immediately stopped energized posi-
or stuck-at or wrong mechanically linked by PLC A via T1a when tion when the
coding or no execu- feedback contact when the guard is opened guard is opened.
tion in the CPU, which the safety function is and re-start is pre-
prevents PLC B from demanded. vented.
switching off K1 before
Some faults can be In the case of faults
F5 or when the guard is
detected early by the detected by WD, PLC B
opened.
WDa function of PLC B. tries to inform PLC A
and then to stop the
electric motor M1 and
prevent the re-start
via T1b before the
PLC B safety function is
demanded.
Stuck-at-fault at the Fault is immediately Electric motor M1 is Switch K1 to its
input/output cards, recognized by PLC A kept stopped by PLC A energized posi-
or stuck-at or wrong monitoring of K1 via T1a while the tion while the
coding or no execu- mechanically linked guard is open, and re- guard is open.
tion in the CPU, which feedback contact. start is prevented.
removes the PLC B
F6 Some faults can be In the case of faults
stop command from
detected early by the detected by WD, PLC B
K1 while the guard is
WDa function of PLC B. tries to keep stopped
open.
the electric motor M1
and prevent the re-
start via T1b, and to
inform PLC A.
As a result of the indirect monitoring of PLC B by PLC A through the position of K1 feedback contact and pro-
gram sequence monitoring by the internal watchdog, PLC B is considered to have a DC of 90 %.
NOTE It is considered that most PLC faults occur at input/output cards and are of the stuck-at type (90 % of all faults in
a PLC), but the WD function of a PLC can only detect some faults that affect program sequencing.
The contact does not Fault is recognized by Electric motor M1 is Keep K1 contact
open when the guard is PLC A monitoring of K1 immediately stopped in the ON posi-
opened (electrical fault, mechanically linked by PLC A via T1a when tion when the
F7
e.g. welded contacts). feedback contact when the guard is opened guard is opened.
Relay contac- the safety function is and re-start is pre-
tor K1 demanded. vented.
(fault exclusion).
Monitoring of relay contactor K1 by PLC A through the position of K1 mechanically linked feedback contact
gives a DC of 99 % for K1.
the WD function.

DS/EN ISO 13849-2:2014
Tabel E.4 (fortsat)

enhed bekræftelse
Stop-ved-fejl ved Fejl genkendes ved Elmotor M1 standses K1 holdes i

indgangs-/udgangs- PLC A’s overvågning af straks af PLC A via T1a, spændings-
kortene eller stop-ved- den mekanisk når afskærmningen position, når
fejl eller forkert kodning forbundne åbnes, og genstart afskærmningen
eller manglende K1-tilbagemeldings- forhindres. åbnes.
udførelse i CPU’en, kontakt, når der er krav
hvilket forhindrer PLC B til sikkerhedsfunktionen. Ved fejl detekteret af WD
F5 forsøger PLC B at sende
i at afbryde K1, før eller
når afskærmningen Visse fejl kan detekteres information til PLC A og
åbnes. tidligt af WDa-funktionen derefter at standse
i PLC B. elmotor M1 samt
forhindre genstart via
T1b før næste krav til
PLC B sikkerhedsfunktionen.
Stop-ved-fejl ved Fejl genkendes straks Elmotor M1 holdes K1 omkobles til

indgangs-/ ved PLC A-overvågning standset af PLC A via spændings-
udgangskortene eller af den mekanisk T1a, mens afskærm- position, mens
stop-ved-fejl eller forkert forbundne K1- ningen er åben, og afskærmningen
kodning eller tilbagemeldingskontakt. genstart forhindres. er åben.
F6 manglende udførelse i
CPU’en, hvilket fjerner Visse fejl kan detekteres Ved fejl detekteret af WD
PLC B-stop- tidligt af WDa-funktionen forsøger PLC B at holde
kommandoen fra K1, i PLC B. elmotor M1 standset og
mens afskærmningen forhindre genstart via
er åben. T1b samt at sende
information til PLC A.
Som følge af den indirekte overvågning af PLC B foretaget af PLC A via positionen af K1-tilbagemeldingskontakten og den
interne vagthunds overvågning af programsekvensen antages PLC B at have et DC på 90 %.
Kontakten åbner ikke, Fejl genkendes ved Elmotor M1 standses K1-kontakten

når afskærmningen PLC A’s overvågning af straks af PLC A via T1a, holdes i ON-
åbnes (elektrisk fejl, den mekanisk når afskærmningen position, når
F7 fx svejste kontakter). forbundne K1-tilbage- åbnes, og genstart afskærmningen
Relæ- meldingskontakt, når forhindres. åbnes.
kontaktor K1 der er krav til
sikkerhedsfunktionen.

(fejludelukkelse).
Overvågning af relækontaktor K1 foretaget af PLC A via positionen af den mekanisk forbundne K1-tilbagemeldingskontakt
giver et DC på 99 % for K1.
WD-funktionen.
72 (da)
ISO 13849-2:2012(E)
unit firmation
Non-opening of inter- Fault is recognized by Electric motor M1 is Keep the input
nal relay contact when PLC A monitoring of immediately stopped of the coil of the
the guard is opened. mechanically linked by PLC A via T1a when blocking relay in
F9 feedback contact for the guard is opened T1b to high level
T1b internal relay and re-start is pre- when the guard
Inverter T1b when the safety func- vented. is opened.
tion is demanded.
(fault exclusion).
Monitoring of the T1b internal (pulse-blocking) relay by PLC A gives a DC of 99 % for T1b.
the WD function.
From the analysis, it can be deduced that single faults in the SRP/CS will be detected either immediately,
or at an operational stop of electric motor M1, or at the next demand upon the safety function. When a
single fault occurs, the safety function is always performed. Re-start is possible with only one channel
in the case of undetected faults in PLC A and PLC B.
The analysis determines that values of DC assumed during the design of the SRP/CSL/O are adequate.
Taking into account the estimated MTTFd values and the DC values for the various components used in
SRP/CSL/O, a DCavg result of medium (90 %) is achieved, as was estimated during the design.
To check the correct implementation of the diagnostic measures, the tests described in the final column
of Table E.4 could be applied.
E.5.3.2 SF 1.3
In order to facilitate the analysis of SF 1.3, its safety-related block diagram is reproduced in Figure E.13.
Figure E.13 — Safety-related block diagram for SF 1.3
For SRP/CSI of SF 1.3, the diagnostic measures and the tested/monitored units are identical to those for
SF 1.0 and therefore the DCavg of SRP/CSI is also high (99 %).
See Table E.5.

DS/EN ISO 13849-2:2014
Tabel E.4 (fortsat)

enhed bekræftelse
Manglende åbning af Fejl genkendes ved Elmotor M1 standses Indgangen til

den interne relækontakt, PLC A’s overvågning af straks af PLC A via T1a, spærrerelæets
når afskærmningen den mekanisk når afskærmningen spole i T1b
åbnes. forbundne tilbage- åbnes, og genstart holdes på et højt
F9
meldingskontakt til forhindres. niveau, når
Inverter T1b internt relæ T1b, når der afskærmningen
er krav til sikker- åbnes.
hedsfunktionen.

(fejludelukkelse).
Overvågning af internt relæ T1b (impulsspærring) foretaget af PLC A giver et DC på 99 % for T1b.
WD-funktionen.
Af analysen kan det udledes, at enkeltfejl i SRP/CS enten detekteres straks eller ved et driftsstop af elmotor M1 eller
ved næste krav til sikkerhedsfunktionen. Når der opstår en enkeltfejl, udføres sikkerhedsfunktionen altid. Det er mu-
ligt at genstarte med kun én kanal i tilfælde af udetekterede fejl i PLC A og PLC B.
Ved analysen bestemmes det, at de DC-værdier, der er antaget ved konstruktionen af SRP/CSL/O, er tilstrækkelige.
Under hensyntagen til de skønnede MTTFd-værdier og DC-værdierne for de forskellige komponenter, der er an-
vendt i SRP/CSL/O, opnås et middel DCavg-resultat (90 %), således som det blev skønnet ved konstruktionen.
For at kontrollere korrekt gennemførelse af de diagnostiske foranstaltninger, kan de prøvninger, der er beskrevet i
E.5.3.2 SF 1.3
For at lette analysen af SF 1.3 er det tilhørende sikkerhedsrelaterede blokdiagram gengivet i figur E.13.
Figur E.13 – Sikkerhedsrelateret blokdiagram for SF 1.3
For SRP/CSI af SF 1.3 er de diagnostiske foranstaltninger og de prøvede/overvågede enheder identiske med dem for
SF 1.0, og dermed er DCavg af SRP/CSI også højt (99 %).
Se tabel E.5.
73 (da)
ISO 13849-2:2012(E)
Table E.5 — FMEA of SRP/CSL/O of SF 1.3
Component/ Potential faults/ Tests for con-

Fault detection Effect/reaction
unit failure firmation
Stuck-at-fault at the Some faults (e.g. Pneumatic motor A3 Apply a static
input/output cards, output cards) are is stopped by PLC B high level at the
or stuck-at or wrong recognized by PLC A via 1V0 after a time 3V1 output of
coding or no execu- through reading of delay when the guard PLC A before the
tion in the CPU, which pressure sensor 3S1 at is opened. guard is opened.
prevents PLC A from an operational stop of
switching off 3V1 the pneumatic motor
detected by PLC A
before or when the A3 or when the safety
through reading of 3S1
guard is opened. function is demanded.
during the operational
Other faults can be stop, PLC A informs
detected early by the PLC B. As a result of
WDa function of PLC A. reporting PLC B, the
pneumatic motor A3
is stopped via 3V1 and
F1
re-start is prevented
by PLC B.
For faults detected by
the WD, PLC A tries
to stop the pneumatic
motor A3 and to pre-
vent the re-start via
3V1 before the safety
function is demanded
or before the pneu-
matic motor A3 comes
to an operational stop
and then to inform
PLC B.
PLC A
Stuck-at-fault at the Some faults (e.g. Pneumatic motor A3 is Change the 3V1
input/output cards, output cards) are kept stopped by PLC B output of PLC A
or stuck-at or wrong recognized by PLC A via 1V0 while the to a high level
coding or no execu- through reading of guard is open. while the guard
tion in the CPU, which pressure sensor 3S1 is open.
On closing the guard,
causes PLC A to switch on closing the guard.
PLC B energizes 1V0
on 3V1 while the guard
Other faults can be and pneumatic motor
is open.
detected early by the A3 will restart-up (non
WDa function of the hazardous).
PLC A.
detected by PLC A
through reading of 3S1
on closing the guard,
F2 PLC A informs PLC B.
As a result of reporting
PLC B, the unintended
start-up of pneumatic
motor A3 is prevented
and re-start is pre-
vented by PLC B.
the WD, PLC A tries
to keep stopped the
pneumatic motor A3
and to prevent the
re-start via 3V1, and to
inform PLC B.

DS/EN ISO 13849-2:2014
Tabel E.5 – FMEA af SRP/CSL/O af SF 1.3

enhed bekræftelse
Stop-ved-fejl ved Nogle fejl (fx ved Pneumatisk motor A3 Et statisk højt
indgangs-/udgangs- udgangskort) standses af PLC B via niveau påføres
kortene eller stop-ved- genkendes af PLC A ved 1V0 efter en tidsfor- 3V1-udgangen
fejl eller forkert kodning læsning af trykføler 3S1 sinkelse, når ved PLC A, før
eller manglende ved et driftsstop af afskærmningen åbnes. afskærmningen
udførelse i CPU’en, pneumatisk motor A3, åbnes.
hvilket forhindrer PLC A eller når der er krav til Ved fejl detekteret af
i at afbryde 3V1, før eller sikkerhedsfunktionen. PLC A ved læsning af
når afskærmningen 3S1 under driftsstoppet
åbnes. Andre fejl kan sender PLC A
detekteres tidligt af information til PLC B.
WDa-funktionen i PLC A. Som følge af
standses pneumatisk
F1 motor A3 via 3V1, og
genstart forhindres af
PLC B.
For fejl detekteret af WD
forsøger PLC A at
standse pneumatisk
motor A3 og forhindre
genstart via 3V1 før krav
til sikkerhedsfunktionen,
eller før pneumatisk
motor A3 når et
driftsstop, hvorefter
PLC A forsøger at
informere PLC B.
PLC A
Stop-ved-fejl ved Nogle fejl (fx ved Pneumatisk motor A3 3V1-udgangen
indgangs-/udgangs- udgangskort) holdes standset af PLC B ved PLC A
kortene eller stop-ved- genkendes af PLC A ved via 1V0, mens ændres til højt
fejl eller forkert kodning læsning af trykføler 3S1, afskærmningen er åben. niveau, mens
eller manglende når afskærmningen afskærmningen
udførelse i CPU’en, lukkes. Når afskærmningen er åben.
hvilket får PLC A til at lukkes, påfører PLC B
indkoble 3V1, mens Andre fejl kan 1V0 en spænding, og
afskærmningen er åben. detekteres tidligt af pneumatisk motor A3
WDa-funktionen i PLC A. genstarter (ufarlig).
Ved fejl detekteret af
PLC A ved læsning af
3S1, når afskærmningen
lukkes, sender PLC A
F2 information til PLC B.
Som følge af
forhindrer PLC B
utilsigtet start af
pneumatisk motor A3
samt genstart.
forsøger PLC A at holde
pneumatisk motor A3
standset og forhindre
genstart via 3V1 samt at
sende information til
PLC B.
74 (da)
ISO 13849-2:2012(E)
As a result of PLC A’s indirect monitoring of its own output card through 3S1 and program sequence monitor-
ing by the internal watchdog, PLC A is considered to have a DC of 90 %.
a PLC), but the WD function of a PLC can only detect some faults that affect to program sequencing.
Non-switching (stick- Fault is recognized by Pneumatic motor A3 Keep the electri-
ing at the end posi- PLC A through reading is stopped by PLC B cal and pneu-
tion) or incomplete of pressure sensor via 1V0 after a time matic control
switching (sticking at 3S1 at an operational delay when the guard signals for 3V1
a random intermediate stop of the pneumatic is opened. at a high level
position) or change of motor A3 or when as the guard is
PLC A informs PLC B
F3 switching times, before the safety function is opened.
when a fault is rec-
or when the guard is demanded.
ognized. As a result
opened.
Faults are also of this reporting,
detected by the opera- PLC B stops via 1V0
Directional- tor through process the pneumatic motor
control sole- observation. A3 and any re-start is
noid valve prevented.
3V1
Spontaneous change of — — —
the initial switching posi-
tion (without an input
signal) while the guard
is open.
F4
NOTE This fault can be
excluded because 3V1 has
well-tried springs, and
normal installation and
operating conditions are
applied.
As a result of indirect monitoring of 3V1 by PLC A through 3S1 and fault detection through process observa-
tion, 3V1 is considered to have a DC of 99 %.

DS/EN ISO 13849-2:2014
Tabel E.5 (fortsat)

enhed bekræftelse
Som følge af PLC A’s indirekte overvågning af eget udgangskort via 3S1 og den interne vagthunds overvågning af
programsekvensen antages PLC A at have et DC på 90 %.
Manglende omkobling Fejl genkendes af PLC A Pneumatisk motor A3 De elektriske og

(forbliven i slutposition) ved læsning af trykføler standses af PLC B via pneumatiske
eller ufuldstændig 3S1 ved et driftsstop af 1V0 efter en styresignaler til
omkobling (forbliven i pneumatisk motor A3, tidsforsinkelse, når 3V1 holdes på et
en tilfældig mellem- eller når der er krav til afskærmningen åbnes. højt niveau, når
position) eller ændring sikkerhedsfunktionen. afskærmningen
af omkoblingstider, før PLC A sender åbnes.
F3 eller når afskærmningen Fejl detekteres også af information til PLC B,
åbnes. operatøren ved når der genkendes en
observation af fejl. Som følge af denne
processen. information standser
PLC B via 1V0
Elektro- pneumatisk motor A3,
magnetisk og enhver genstart
retningsventil forhindres.
3V1
Automatisk ændring af — — —
udgangspositionen
(uden indgangssignal),
mens afskærmningen
er åben.
F4
NOTE – Denne fejl kan
udelukkes, fordi 3V1 har
velgennemprøvede fjedre,
og der gælder normale
installations- og
driftsbetingelser.
Som følge af den indirekte overvågning af 3V1 foretaget af PLC A via 3S1 og fejldetektering via observation af processen
antages 3V1 at have et DC på 99 %.
75 (da)
ISO 13849-2:2012(E)
Stuck-at-fault at the Some faults (e.g. Pneumatic motor A3 is Apply a static
input/output cards, output cards) are immediately stopped high level at the
or stuck-at or wrong recognized by PLC B by PLC A via 3V1 when 1V0 output of
coding or no execu- through reading the the guard is opened. PLC B before the
tion in the CPU, which pressure switch 1S0 guard is opened.
prevents PLC B from when the safety func-
detected by PLC B
switching off 1V0 tion is demanded.
through reading the
before or when the
Others can be detected pressure switch 1S0,
guard is opened.
early by WDa function PLC B informs PLC A
of PLC B. and keeps K1 deacti-
F5 vated. As a result of
reporting, PLC A pre-
vents the re-start.
the WD, PLC B tries to
inform PLC A and then
to stop the pneumatic
motor A3 via 1V0 and
to prevent the re-start
before the safety func-
PLC B tion is demanded.
Stuck-at-fault at the Some faults (e.g. out- Pneumatic motor A3 is Change the 1V0
input/output cards, put cards) are imme- kept stopped by PLC A output of PLC B
or stuck-at or wrong diately recognized by via 3V1 while the to a high level
coding or no execu- PLC B through reading guard is open. while the guard
tion at the CPU, which the pressure switch is open.
causes PLC B to switch 1S0.
detected by PLC B
on 1V0 while the guard
Others can be detected through reading the
is open.
early by WDa function pressure switch 1S0,
of PLC B. PLC B informs PLC A
and keeps K1 deacti-
F6
vated. As a result of
reporting, PLC A pre-
vents the re-start.
detected by WD, PLC B
tries to inform PLC A
and then to keep
stopped the pneumatic
motor A3 via 1V0 and
prevent the re-start.
As a result of the indirect monitoring by PLC B of its own output card through 1S0, indirect monitoring of PLC B
by PLC A through the position of K1 feedback contact and program sequence monitoring by the internal watch-
dog, PLC B is considered to have a DC of 90 %.
a PLC), but the WD function of a PLC can only detect some faults that affect program sequencing.

DS/EN ISO 13849-2:2014
Tabel E.5 (fortsat)

enhed bekræftelse
Stop-ved-fejl ved Nogle fejl (fx ved Pneumatisk motor A3 Et statisk højt
indgangs-/udgangs- udgangskort) standses straks af PLC A niveau påføres
kortene eller stop-ved- genkendes af PLC B ved via 3V1, når 1V0-udgangen
fejl eller forkert kodning læsning af pressostat afskærmningen åbnes. ved PLC B, før
eller manglende 1S0, når der er krav til afskærmningen
udførelse i CPU’en, sikkerhedsfunktionen. I tilfælde af fejl åbnes.
hvilket forhindrer PLC B detekteret af PLC B via
i at afbryde 1V0, før eller Andre fejl kan læsning af pressostat
når afskærmningen detekteres tidligt af 1S0 sender PLC B
åbnes. WDa-funktionen i PLC B. information til PLC A og
holder K1 deaktiveret.
Som følge af
F5 informationen
forhindrer PLC A
genstart.
forsøger PLC B at sende
information til PLC A og
derefter at standse
pneumatisk motor A3
via 1V0 samt at
forhindre genstart før
næste krav til
PLC B sikkerhedsfunktionen.
Stop-ved-fejl ved Nogle fejl (fx ved Pneumatisk motor A3 1V0-udgangen

indgangs-/udgangs- udgangskort) holdes standset af ved PLC B
kortene eller stop-ved- genkendes straks af PLC A via 3V1, mens ændres til højt
fejl eller forkert kodning PLC B ved læsning af afskærmningen er åben. niveau, mens
eller manglende pressostat 1S0. afskærmningen
udførelse i CPU’en, I tilfælde af fejl er åben.
hvilket får PLC B til at Andre fejl kan detekteret af PLC B via
indkoble 1V0, mens detekteres tidligt af læsning af pressostat
afskærmningen er åben. WDa-funktionen i PLC B. 1S0 sender PLC B
holder K1 deaktiveret.
Som følge af
F6
informationen
forhindrer PLC A
genstart.
I tilfælde af fejl
detekteret af WD
forsøger PLC B at sende
derefter at holde
pneumatisk motor A3
standset via 1V0 samt at
forhindre genstart.
Som følge af PLC B’s indirekte overvågning af eget udgangskort via 1S0, indirekte overvågning af PLC B foretaget af PLC A
via positionen af K1-tilbagemeldingskontakten og den interne vagthunds overvågning af programsekvensen antages PLC B
at have et DC på 90 %.
76 (da)
ISO 13849-2:2012(E)
F7 Directional- Non-switching (stick- Fault is recognized by Pneumatic motor A3 is Apply a static
control sole- ing at the end posi- PLC B through reading immediately stopped high level at the
noid valve tion) or incomplete of pressure switch 1S0 by PLC A via 3V1 when 1V0 output of
1V0 switching (sticking at when the safety func- the guard is opened. PLC B before the
a random intermediate tion is demanded. guard is opened.
position) or change of
detected by PLC B
switching times, before
through reading the
or when the guard is
pressure switch 1S0,
opened.
PLC B informs PLC A
and keeps K1 de-
energized. As a result
of reporting, PLC A
prevents the re-start.
F8 Magnetic Spontaneous change — — —
valve 1V0 of the initial switching
position (without an
input signal) while the
guard is open.
NOTE This fault can
be excluded because
1V0 possesses well-
tried springs and
normal installation and
operating conditions
are applied.
Indirect monitoring of 1V0 by PLC B through 1S0 gives a DC of 99 % for 1V0.
the WD function.
From the analysis, it can be deduced that most single faults in the SRP/CS will be detected either
immediately, or at an operational stop of the pneumatic motor, A3, or at the next demand upon the safety
function. When a single fault occurs, the safety function is always performed. Re-start is possible with
only one channel in the case of undetected faults in PLC A and PLC B.
The analysis determines that values of DC assumed during the design of the SRP/CSL/O are adequate.
Taking into account the estimated MTTFd values and the DC values for the various components used in
SRP/CSL/O, a DCavg result of medium (90 %) is achieved, as was estimated during the design.
To check the correct implementation of the diagnostic measures, the tests described in the final column
of Table E.5 could be applied.

DS/EN ISO 13849-2:2014
Tabel E.5 (fortsat)

enhed bekræftelse
Manglende omkobling Fejl genkendes af PLC B Pneumatisk motor A3 Et statisk højt

(forbliven i slutposition) ved læsning af standses straks af PLC A niveau påføres
eller ufuldstændig pressostat 1S0, når der via 3V1, når 1V0-udgangen
omkobling (forbliven i er krav til sikkerheds- afskærmningen åbnes. ved PLC B, før
en tilfældig mellem- funktionen. afskærmningen
Elektro- position) eller ændring I tilfælde af fejl åbnes.
magnetisk af omkoblingstider, før detekteret af PLC B via
F7 læsning af pressostat
retningsventil eller når afskærmningen
1V0 åbnes. 1S0 sender PLC B
holder K1 afbrudt. Som
følge af informationen
forhindrer PLC A
genstart.
Automatisk ændring af — — —
udgangspositionen
(uden indgangssignal),
mens afskærmningen
er åben.
Magnetventil
F8
1V0 NOTE – Denne fejl kan
udelukkes, fordi 1V0 har
velgennemprøvede fjedre,
og der gælder normale
installations- og
driftsbetingelser.
Indirekte overvågning af 1V0 foretaget af PLC B via 1S0 giver et DC på 99 % for 1V0.
WD-funktionen.
Af analysen kan det udledes, at de fleste enkeltfejl i SRP/CS enten detekteres straks eller ved et driftsstop af pneu-
matisk motor A3 eller ved næste krav til sikkerhedsfunktionen. Når der opstår en enkeltfejl, udføres sikkerhedsfunk-
tionen altid. Det er muligt at genstarte med kun én kanal i tilfælde af udetekterede fejl i PLC A og PLC B.
Ved analysen bestemmes det, at de DC-værdier, der er antaget ved konstruktionen af SRP/CSL/O, er tilstrækkelige.
Under hensyntagen til de skønnede MTTFd-værdier og DC-værdierne for de forskellige komponenter, der er an-
vendt i SRP/CSL/O, opnås et middel DCavg-resultat (90 %), således som det blev skønnet ved konstruktionen.
For at kontrollere korrekt gennemførelse af de diagnostiske foranstaltninger kan de prøvninger, der er beskrevet i
77 (da)
ISO 13849-2:2012(E)
Bibliography
[1] ISO 4079-1, Rubber hoses and hose assemblies — Textile-reinforced hydraulic types — Specification
— Part 1: Oil-based fluid applications
[2] ISO 4413:2010, Hydraulic fluid power — General rules and safety requirements for systems and
their components
[3] ISO 4414:2010, Pneumatic fluid power — General rules and safety requirements for systems and
their components
[4] ISO 4960, Cold-reduced carbon steel strip with a mass fraction of carbon over 0,25 %
[5] ISO 5598:2008, Fluid power systems and components — Vocabulary
[6] ISO 11161, Safety of machinery — Integrated manufacturing systems — Basic requirements
[7] ISO 13850, Safety of machinery — Emergency stop — Principles for design
[8] ISO 13851, Safety of machinery — Two-hand control devices — Functional aspects and design principles
[9] ISO 13855, Safety of machinery — Positioning of safeguards with respect to the approach speeds of
parts of the human body
[10] ISO 13856 (all parts), Safety of machinery — Pressure-sensitive protective devices
[11] ISO 14118:2000, Safety of machinery — Prevention of unexpected start-up
[12] ISO 14119:1998, Safety of machinery — Interlocking devices associated with guards — Principles
for design and selection
[13] IEC 60204-1:2005, Safety of machinery — Electrical equipment of machines — Part 1: General
requirements
[14] IEC 60269-1, Low-voltage fuses — Part 1: General requirements
[15] IEC 60529, Degrees of protection provided by enclosures (IP code)
[16] IEC 60664 (all parts), Insulation coordination for equipment within low-voltage systems
[17] IEC 60812, Analysis techniques for system reliability — Procedure for failure mode and effects
analysis (FMEA)
[18] IEC 60893-1, Insulating materials — Industrial rigid laminated sheets based on thermosetting
resins for electrical purposes — Part 1: Definitions, designations and general requirements
[19] IEC 60947 (all parts), Low-voltage switchgear and controlgear
[20] IEC 61025, Fault tree analysis (FTA)
[21] IEC 61078, Analysis techniques for dependability — Reliability block diagram and boolean methods
[22] IEC 61131-1, Programmable controllers — Part 1: General information
[23] IEC 61131-2, Programmable controllers — Part 2: Equipment requirements and tests
[24] IEC 61165, Application of Markov techniques
[25] IEC 61249 (all parts), Materials for printed boards and other interconnecting structures
[26] IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems

DS/EN ISO 13849-2:2014
Bibliografi
[1] ISO 4079-1, Rubber hoses and hose assemblies – Textile-reinforced hydraulic types – Specification – Part 1:
Oil-based fluid applications
[2] ISO 4413:2010, Hydraulic fluid power – General rules and safety requirements for systems and their compo-
nents
[3] ISO 4414:2010, Pneumatic fluid power – General rules and safety requirements for systems and their compo-
nents
[4] ISO 4960, Cold-reduced carbon steel strip with a mass fraction of carbon over 0,25 %
[5] ISO 5598:2008, Fluid power systems and components – Vocabulary
[6] ISO 11161, Safety of machinery – Integrated manufacturing systems – Basic requirements
[7] ISO 13850, Safety of machinery – Emergency stop – Principles for design
[8] ISO 13851, Safety of machinery –Two-hand control devices – Functional aspects and design principles
[9] ISO 13855, Safety of machinery – Positioning of safeguards with respect to the approach speeds of parts of
the human body
[10] ISO 13856 (all parts), Safety of machinery – Pressure-sensitive protective devices
[11] ISO 14118:2000, Safety of machinery – Prevention of unexpected start-up
[12] ISO 14119:1998, Safety of machinery – Interlocking devices associated with guards – Principles for design and
selection
[13] IEC 60204-1:2005, Safety of machinery – Electrical equipment of machines – Part 1: General requirements
[14] IEC 60269-1, Low-voltage fuses – Part 1: General requirements
[15] IEC 60529, Degrees of protection provided by enclosures (IP code)
[16] IEC 60664 (all parts), Insulation coordination for equipment within low-voltage systems
[17] IEC 60812, Analysis techniques for system reliability – Procedure for failure mode and effects analysis (FMEA)
[18] IEC 60893-1, Insulating materials – Industrial rigid laminated sheets based on thermosetting resins for electri-
cal purposes – Part 1: Definitions, designations and general requirements
[19] IEC 60947 (all parts), Low-voltage switchgear and controlgear
[20] IEC 61025, Fault tree analysis (FTA)
[21] IEC 61078, Analysis techniques for dependability – Reliability block diagram and boolean methods
[22] IEC 61131-1, Programmable controllers – Part 1: General information
[23] IEC 61131-2, Programmable controllers – Part 2: Equipment requirements and tests
[24] IEC 61165, Application of Markov techniques
[25] IEC 61249 (all parts), Materials for printed boards and other interconnecting structures
[26] IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems
78 (da)
ISO 13849-2:2012(E)
[27] IEC 61558 (all parts), Safety of power transformers, power supplies, reactors and similar products
[28] IEC 61800-5-2, Adjustable speed electrical power drive systems — Part 5-2: Safety requirements —
Functional
[29] IEC 61810 (all parts), Electromechanical elementary relays
[30] EN 952:1996, Safety of machinery — Safety requirements for fluid power systems and their
components — Hydraulics
[31] EN 953:1996, Safety of machinery — Safety requirements for fluid power systems and their
components — Pneumatics
[32] EN 50205, Relays with forcibly guided (mechanically linked) contacts
[33] EN 60730 (all parts), Automatic electric controls for household and similar use
[34] JESD22A121.01,Test Method for Measuring Whisker Growth on Tin and Alloy Surfaces Finishes1)
[35] JESD201, Environmental Acceptance Requirements for Tin Whisker Susceptibility of Tin and Alloy
Surface Finishes1)
1) JEDEC Solid State Technology Association, 2500 Wilson Boulevard, Arlington, VA 22201-3834, www.jedec.
org/download/search/22a1121-01.pdf

DS/EN ISO 13849-2:2014
[27] IEC 61558 (all parts), Safety of power transformers, power supplies, reactors and similar products
[28] IEC 61800-5-2, Adjustable speed electrical power drive systems – Part 5-2: Safety requirements – Functional
[29] IEC 61810 (all parts), Electromechanical elementary relays
[30] EN 952:1996, Safety of machinery – Safety requirements for fluid power systems and their components – Hy-
draulics
[31] EN 953:1996, Safety of machinery – Safety requirements for fluid power systems and their components –
Pneumatics
[32] EN 50205, Relays with forcibly guided (mechanically linked) contacts
[33] EN 60730 (all parts), Automatic electric controls for household and similar use
[34] JESD22A121.01,Test Method for Measuring Whisker Growth onTin and Alloy Surfaces Finishes
[35] JESD201, Environmental Acceptance Requirements for Tin Whisker Susceptibility of Tin and Alloy Surface Fi-
nishes1)
1)
JEDEC Solid State Technology Association, 2500 Wilson Boulevard, Arlington, VA 22201-3834, www.jedec.org/download/
search/22a1121-01.pdf
79 (da)

EN ISO 13849-2 2014 Maskinsikkerhed - Sikkerhedsrelaterede Dele Af Styresysteme...

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

EN ISO 13849-2 2014 Maskinsikkerhed - Sikkerhedsrelaterede Dele Af Styresysteme...

Uploaded by

Copyright:

Available Formats

Dansk standard DS/EN ISO 13849-2:2014

Licensed to:Lego System A/S

DS/EN ISO 13849-2:2014

Første del af denne publikations betegnelse er:

Denne publikations overensstemmelse er:

DS-publikationen er på dansk og engelsk.

Der kan være tale om:

Til disse publikationstyper kan endvidere udgives

Overensstemmelse med anden publikation:

Licensed to:Lego System A/S

EUROPEAN STANDARD EN ISO 13849-2

ICS 13.110 Supersedes EN ISO 13849-2:2008

Safety of machinery - Safety-related parts of control systems -

This European Standard was approved by CEN on 14 October 2012.

EUROPEAN COMMITTEE FOR STANDARDIZATION

Management Centre: Avenue Marnix 17, B-1000 Brussels

Licensed to:Lego System A/S

EN ISO 13849-2:2012 (E)

DS/EN ISO 13849-2:2014

EN ISO 13849-2:2012 (E)

This document supersedes EN ISO 13849-2:2008.

DS/EN ISO 13849-2:2014

Dette dokument erstatter EN ISO 13849-2:2008.

EN ISO 13849-2:2012 (E)

DS/EN ISO 13849-2:2014

Sammenhæng mellem denne europæiske standard og de væsentlige krav i

Licensed to:Lego System A/S

Safety of machinery — Safety-related

© ISO 2012 – All rights reserved ﻿ iii

DS/EN ISO 13849-2:2014

Table 1 — Structure of Annexes A to D of this part of ISO 13849

iv ﻿ © ISO 2012 – All rights reserved

DS/EN ISO 13849-2:2014

Internationale standarder udarbejdes i overensstemmelse med reglerne i ISO/IEC Directives, Part 2.

ISO 13849-2 er udarbejdet af teknisk komité ISO/TC 199, Safety of machinery.

–– Del 1: Generelle principper for konstruktion

Anneks A til D, som er informative, er struktureret i overensstemmelse med tabel 1.

Tabel 1 – Strukturering af anneks A til D i denne del af ISO 13849

A Mekanisk A.1 A.2 A.3 A.4, A.5

B Pneumatisk B.1 B.2 — B.3 til B.18

C Hydraulisk C.1 C.2 — C.3 til C.12

© ISO 2012 – All rights reserved ﻿ v

DS/EN ISO 13849-2:2014

a) type A-standarder (grundlæggende sikkerhedsstandarder), der indeholder grundlæggende begreber, principper

–– type B1-standarder om særlige sikkerhedsaspekter (fx sikkerhedsafstande, overfladetemperatur, støj)

–– type B2-standarder om beskyttelsesanordninger (fx tohåndsbetjeninger, tvangskoblingsanordninger, trykføl-

Dette dokument er en type B-standard, som angivet i ISO 12100.

Kravene i dette dokument kan suppleres eller ændres af en type C-standard.

INTERNATIONAL STANDARD ISO 13849-2:2012(E)

Safety of machinery — Safety-related parts of control

3 Terms and definitions

4.1 Validation principles

© ISO 2012 – All rights reserved ﻿ 1

DS/EN ISO 13849-2:2014

Maskinsikkerhed – Sikkerhedsrelaterede dele af styresystemer –

–– den opnåede kategori

–– det opnåede PL-niveau

b) kravene til det fastlagte PL-niveau (se ISO 13849-1:2006, 4.5):

1) kravene til den specificerede kategori (se ISO 13849-1:2006, 6.2)

2 ﻿ © ISO 2012 – All rights reserved

DS/EN ISO 13849-2:2014

4) evnen til at udføre en sikkerhedsfunktion under forventede miljøbetingelser.

Valideringen bør foretages af personer, der er uafhængige af konstruktionen af SRP/CS.

© ISO 2012 – All rights reserved iii

iv © ISO 2012 – All rights reserved

© ISO 2012 – All rights reserved v

INTERNATIONAL STANDARD ISO 13849-2:2012(E)

© ISO 2012 – All rights reserved 1

2 © ISO 2012 – All rights reserved

© ISO 2012 – All rights reserved 3

4 © ISO 2012 – All rights reserved

© ISO 2012 – All rights reserved 5

6 © ISO 2012 – All rights reserved

© ISO 2012 – All rights reserved 7