ISO 15998:2008
(Main)Earth-moving machinery — Machine-control systems (MCS) using electronic components — Performance criteria and tests for functional safety
Earth-moving machinery — Machine-control systems (MCS) using electronic components — Performance criteria and tests for functional safety
ISO 15998:2008 specifies performance criteria and tests for functional safety of safety-related machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment, as defined in ISO 6165.
Engins de terrassement — Systèmes de contrôle-commande utilisant des composants électroniques — Critères et essais de performances de sécurité fonctionnelle
L'ISO 15998:2008 spécifie les critères et les essais de performances de sécurité fonctionnelle, relatifs au développement des systèmes de contrôle-commande de sécurité, utilisant des composants électroniques dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 15998
First edition
2008-04-15
Earth-moving machinery — Machine-
control systems (MCS) using electronic
components — Performance criteria and
tests for functional safety
Engins de terrassement — Systèmes de contrôle-commande utilisant
des composants électroniques — Critères et essais de performances
de sécurité fonctionnelle
Reference number
©
ISO 2008
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO 2008
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2008 – All rights reserved
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
4 General safety requirements . 4
5 Additional requirements for safety-related machine-control systems . 6
6 Documentation. 8
7 Tests for safety-related MCS . 9
Annex A (informative) Guidance for risk assessment. 12
Annex B (informative) Example of schematic breakdown of systems specification . 17
Annex C (informative) List of well-tried components . 18
Annex D (informative) Recommendations for bus-systems for transmission of safety-related
messages. 21
Bibliography . 32
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 15998 was prepared by Technical Committee ISO/TC 127, Earth-moving machinery, Subcommittee SC 3,
Operation and maintenance.
iv © ISO 2008 – All rights reserved
Introduction
Systems consisting of electrical and/or electronic components have been used for many years to perform
safety functions in most application sectors. Computer-based systems, generically referred to as
programmable electronic systems (PES), are at present being used in all application sectors to perform non-
safety-related and, increasingly, safety-related functions. If computer system technology is to be effectively
and safely exploited, it is essential that those responsible for making decisions have sufficient guidance on the
safety aspects on which to base these decisions.
This International Standard addresses systems comprising electrical and/or electronic and/or programmable
electronic components [electrical/electronic/programmable electronic systems (E/E/PES)] used for functional
safety in earth-moving machinery.
In most situations, safety is achieved by a number of protective systems which rely on many technologies (e.g.
mechanical, hydraulic, pneumatic, electrical, electronic, programmable electronic). Any safety strategy must
therefore consider not only all the elements within an individual system, such as sensors, controlling devices
and actuators, but also all the safety-related systems. Therefore, while this International Standard is
concerned with safety-related E/E/PES, it could also provide guidance for safety-related systems based on
other technologies.
This International Standard
⎯ has been conceived with a rapidly developing technology in mind, with a framework sufficiently robust
and comprehensive to meet the demands of that technology,
⎯ provides a method for the development of safety requirement specifications necessary to define the
required functional safety for E/E/PES, and
⎯ presents a methodology for specifying the target level of safety integrity for the safety functions to be
implemented by the E/E/PES, using a risk-based approach.
INTERNATIONAL STANDARD ISO 15998:2008(E)
Earth-moving machinery — Machine-control systems (MCS)
using electronic components — Performance criteria and tests
for functional safety
1 Scope
This International Standard specifies performance criteria and tests for functional safety of safety-related
machine-control systems (MCS) using electronic components in earth-moving machinery and its equipment,
as defined in ISO 6165. The procedures of ECE R79, Annex 6, ISO 13849-1 or IEC 62061 can be used as an
alternative, provided verification and testing is carried out by the manufacturer using Clause 7 of this
International Standard.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 6165:2006, Earth-moving machinery — Basic types — Identification and terms and definitions
ISO 13766, Earth-moving machinery — Electromagnetic compatibility
IEC 60529, Degrees of protection provided by enclosures (IP Code)
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-related
systems — Part 4: Definitions and abbreviations
3 Terms, definitions and abbreviated terms
For the purposes of this document, the terms, definitions and abbreviations given in IEC 61508-4 and the
following apply.
3.1 Terms and definitions
3.1.1
earth-moving machinery
self-propelled or towed machine on wheels, crawlers or legs, having equipment or attachment (working tool),
or both, primarily designed to perform excavation, loading, transportation, drilling, spreading, compacting or
trenching of earth, rock and other materials
[ISO 6165:2006]
3.1.2
machine-control system
MCS
system consisting of the components needed to fulfil the function of the system, including sensors, signal
processing unit, monitor, controls and actuators or several of these
NOTE The extent of the system is not limited to the electronic controls, but is defined by the machine-related function
of the complete system. It therefore consists generally of electronic, non-electronic and connection devices. This can
include mechanical, hydraulic, optical or pneumatic components/systems.
3.1.3
system unit
part of a machine-control system that contains any given number of components and/or parts integrated in
one or more units
EXAMPLE Control unit of the power shift transmission.
NOTE Generally, components and/or parts are installed in a common enclosure, but the system unit can also be built
as a mechanical composite with several functional elements.
3.1.4
connection devices
devices used for power supply and for the transmission of signals and data
3.1.5
basic function
〈machine-control system〉 controlling task
3.1.6
basic function
〈system unit〉 receiving of signals and data, processing and/or actuation
3.1.7
system function
any function that has to be processed by a machine-control system or system unit
NOTE In addition to the basic function, system functions include diagnostics, self-monitoring, signal processing and
data transmission to other systems.
3.1.8
safety concept
concept contained in a description of the methods designed into the system to address system performance
and safe operation in the event of a failure
3.1.9
safety-related machine-control systems
machine-control systems that control the safety-related functions of the machine
3.1.10
safe state
state automatically or manually applied after a malfunction of the machine-control system, where the
controlled equipment, process or system is stopped or switched to a safe mode to prevent unexpected
movements or the potentially hazardous build-up of stored energy (e.g. high-voltage electricity, hydraulic
pressures or compressed springs)
2 © ISO 2008 – All rights reserved
3.1.11
well-tried component
component for a safety-related application which has been widely used in the past with successful results in
similar applications, and which has been made and verified using principles which demonstrate its suitability
and reliability for safety-related applications
NOTE 1 In some well-tried components, certain faults can also be excluded because the fault rate is known to be very
low.
NOTE 2 The decision to accept a particular component as well-tried depends on the application.
3.1.12
substitute function
function which allows a continuous process in the case of a malfunction or failure of the system
3.1.13
emergency motion function
function to be adopted in the case of a malfunction or failure of the system to allow the operator an emergency
motion
EXAMPLE Moving a machine off a public road.
3.1.14
programmable electronic system
PES
system for control, protection or monitoring based on one or more programmable electronic devices, including
all elements of the system, such as power supplies, sensors and other input devices, data busses and other
communication paths, and actuators and other output devices
3.2 Abbreviated terms
PES programmable electronic system
MCS machine-control systems
FMEA failure modes and effects analysis
FTA fault tree analysis
ETA event tree analysis
SIL safety integrity level (see IEC 61508-4:1998, 3.5.6)
IP Code international protection code
EMC electromagnetic compatibility (see ISO 13766:2006, 3.1)
OSI open systems interconnection
ASIC application-specific integrated circuit
RF radio-frequency
4 General safety requirements
4.1 Application
The following performance criteria are valid for all safety-related machine-control systems using electronic
components. These performance criteria are applicable to any type of MCS.
4.2 Description of machine-control system
The system description and overview shall contain
⎯ a list of all system units used by the safety-related functions, and
⎯ a schematic layout of the connection devices and system units, representing the safety-related functions
of the machine-control system.
An example of the structure and content of the system description is given in Annex B.
The basic functions and their interfaces to other system units shall be specified for each system unit. This may
be done in schematic form or through a block diagram.
The connection shall be illustrated in a suitable way; for the electrical system, a circuit diagram is suitable.
The illustration shall unambiguously classify each connection device (e.g. wires) in relation to the system units
(e.g. by terminal identification).
The system units shall be marked by an identification code (e.g. numbers, symbols, characters), so that the
correlation between the illustration of the system and the MCS installed in the machine can be ve
...
NORME ISO
INTERNATIONALE 15998
Première édition
2008-04-15
Engins de terrassement — Systèmes de
contrôle-commande utilisant des
composants électroniques — Critères et
essais de performances de sécurité
fonctionnelle
Earth-moving machinery — Machine-control systems (MCS) using
electronic components — Performance criteria and tests for functional
safety
Numéro de référence
©
ISO 2008
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2008
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2008 – Tous droits réservés
Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application. 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
4 Exigences générales de sécurité . 4
5 Exigences supplémentaires relatives aux systèmes de contrôle-commande relatifs à la
sécurité . 6
6 Documentation. 8
7 Essais pour les MCS relatifs à la sécurité. 9
Annexe A (informative) Recommandations pour l'estimation du risque. 12
Annexe B (informative) Exemple d'un schéma de défaillance d'une spécification du système. 18
Annexe C (informative) Liste des composants éprouvés . 19
Annexe D (informative) Recommandations pour systèmes bus pour la transmission de messages
relatifs à la sécurité . 22
Bibliographie . 34
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 15998 a été élaborée par le comité technique ISO/TC 127, Engins de terrassement, sous-comité SC 3,
Emploi et entretien.
iv © ISO 2008 – Tous droits réservés
Introduction
Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des fonctions liées à la
sécurité dans la plupart des secteurs d'application. Des systèmes à base d'informatique [que l'on nommera de
façon générique systèmes électroniques programmables (PES)] sont actuellement utilisés dans tous les
secteurs d'application pour exécuter des fonctions non liées à la sécurité, mais aussi de plus en plus souvent,
liées à la sécurité. Si l'on veut exploiter efficacement et en toute sécurité la technologie des systèmes
informatiques, il est indispensable de fournir à tous les responsables suffisamment d'éléments liés à la
sécurité pour les guider dans leurs prises de décisions.
La présente Norme internationale établit des recommandations pour les systèmes électriques et/ou
électroniques et/ou avec des organes constitutifs électroniques programmables [systèmes
électriques/électroniques/électroniques programmables (E/E/PES)] qui sont utilisés pour la sécurité
fonctionnelle avec les engins de terrassement.
Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de protection fondés sur
diverses technologies (par exemple mécanique, hydraulique, pneumatique, électrique, électronique,
électronique programmable). En conséquence, toute stratégie de sécurité doit non seulement prendre en
compte tous les éléments d'un système individuel (par exemple les capteurs, les appareils de commande et
les actionneurs), mais également tous les systèmes relatifs à la sécurité. C'est pourquoi la présente Norme
internationale, bien que traitant essentiellement des systèmes électriques/électroniques/électroniques
programmables (E/E/PES) relatifs à la sécurité, fournit néanmoins des orientations de sécurité susceptible de
concerner les systèmes relatifs à la sécurité basés sur d'autres technologies.
La présente Norme internationale
⎯ a été élaborée dans le souci de l'évolution rapide des technologies; le cadre fourni par la présente Norme
internationale est suffisamment solide et étendu pour cette situation,
⎯ fournit une méthode de développement des exigences de sécurité nécessaires pour définir la sécurité
fonctionnelle requise des systèmes E/E/PE,
⎯ donne la méthodologie afin de spécifier le niveau cible d'intégrité de sécurité des fonctions de sécurité
devant être réalisées par les systèmes E/E/PE, en utilisant l'approche fondée sur le risque.
NORME INTERNATIONALE ISO 15998:2008(F)
Engins de terrassement — Systèmes de contrôle-commande
utilisant des composants électroniques — Critères et essais de
performances de sécurité fonctionnelle
1 Domaine d'application
La présente Norme internationale spécifie les critères et les essais de performances de sécurité fonctionnelle,
relatifs au développement des systèmes de contrôle-commande de sécurité, utilisant des composants
électroniques dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165. Les
modes opératoires de l'ECE R79, Annexe 6, de l'ISO 13849-1 ou de la CEI 62061 peuvent être utilisées en
alternative pour peu qu'une vérification et un essai soient menés par le constructeur en utilisant l'Article 7 de
la présente Norme internationale.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 6165:2006, Engins de terrassement — Principaux types — Identification et termes et définitions
ISO 13766, Engins de terrassement — Compatibilité électromagnétique
ISO 14121-1, Sécurité des machines — Appréciation du risque — Partie 1: Principes
CEI 60529, Degrés de protection procurés par les enveloppes (code IP)
CEI 61508-4:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 4: Définitions et abréviations
CEI 61508-5:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 5: Exemples de méthodes de détermination des niveaux
d'intégrité de sécurité
CEI 61508-7:2000, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité — Partie 7: Présentation de techniques et mesures
3 Termes, définitions et abréviations
Pour les besoins du présent document, les termes, les définitions et les abréviations donnés dans la
CEI 61508-4 ainsi que les suivants s'appliquent.
3.1 Termes et définitions
3.1.1
engin de terrassement
engin automoteur ou tracté, à roues, à chenilles ou à jambes, ayant un équipement, des accessoires (outil) ou
les deux, principalement conçu pour assurer des opérations de creusement, de chargement, de transport, de
forage, d'épandage, de compactage ou de tranchage de terre, de roche et d'autres matériaux
NOTE Adapté de ISO 6165:2006, définition 3.1.
3.1.2
systèmes de contrôle-commande
MCS
systèmes de contrôle-commande comprenant plusieurs composants nécessaires à l'exécution de la fonction
du système comprenant généralement des capteurs, une unité de traitement des signaux, des commandes et
des actionneurs
NOTE L'étendue du système ne se limite pas aux commandes électroniques, mais est définie par la fonction relative
à la machine du système complet. Elle comprend par conséquent généralement des dispositifs électroniques, non
électroniques et de connexion. Elle peut comprendre des composants/des systèmes qui peuvent être électroniques,
mécaniques, hydrauliques, optiques ou pneumatiques.
3.1.3
unité système
partie d'un système de contrôle-commande comprenant tout nombre donné de composants et/ou de pièces
intégrés en une ou plusieurs unités
EXEMPLE Unité de commande de la boîte automatique.
NOTE Les composants et/ou les pièces sont généralement disposés dans une enceinte commune, mais l'unité
système peut également être constituée sous forme de composite mécanique avec plusieurs éléments fonctionnels.
3.1.4
dispositifs de connexion
dispositifs utilisés pour l'alimentation électrique et pour la transmission des signaux et des données
3.1.5
fonction de base
〈système de contrôle-commande〉 commande de la (des) tâche(s)
3.1.6
fonction de base
〈unité système〉 recevant les signaux et les données, les traitant et/ou les actionnant
3.1.7
fonction système
toute fonction devant être traitée par un système de contrôle-commande ou une unité système
NOTE Outre la fonction de base, les fonctions système comprennent le diagnostic, l'autosurveillance, le traitement
des signaux et la transmission des données à d'autres systèmes.
3.1.8
concept de sécurité
concept contenu dans la description des méthodes intrinsèques au système traitant des performances de ce
dernier et du fonctionnement en toute sécurité dudit système en cas de panne
3.1.9
systèmes de contrôle-commande relatifs à la sécurité
〈systèmes de contrôle-commande〉 régulant les fonctions de la machine relatives à la sécurité
2 © ISO 2008 – Tous droits réservés
3.1.10
état de sécurité
état appliqué automatiquement ou manuellement après un dysfonctionnement du système de contrôle-
commande lorsque l'équipement, le procédé ou le système commandé est interrompu ou commuté en mode
sécurité afin de prévenir tout mouvement intempestif ou d'éviter l'accumulation d'énergie potentiellement
dangereuse (par exemple électricité sous haute tension, pressions hydrauliques ou ressorts comprimés)
3.1.11
composant éprouvé
composant pour utilisation relative à la sécurité qui a été largement utilisé dans le passé avec des résultats
satisfaisants pour des utilisations similaires et qui a été fabriqué et vérifié en utilisant les principes qui
démontrent qu'il est adapté et fiable pour les utilisations relatives à la sécurité
NOTE 1 Pour quelques composants éprouvés, certains défauts peuvent également être exclus car le taux de
défaillance est connu pour être très faible.
NOTE 2 La décision d'accepter un composant particulier comme composant éprouvé dépend de son utilisation.
3.1.12
fonction de remplacement
fonction permettant l'existence d'un procédé continu en cas de dysfonctionnement ou de défaillance du
système
3.1.13
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.