この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語、定義、記号および略語
3.1 用語と定義
このドキュメントの目的のために、ISO 12100 および IEC 60050-191 に記載されている用語と定義、および以下が適用されます。
3.1.1
制御システムの安全関連部分
SRP/CS
安全関連の入力信号に応答し、安全関連の出力信号を生成する制御システムの一部。
注記1:制御システムの組み合わされた安全関連部品は、安全関連入力信号が開始されるポイント(たとえば、位置スイッチの作動カムとローラーを含む)で始まり、出力で終了します。電力制御要素 (たとえば、コンタクタの主接点を含む) の
注記2監視システムが診断に使用される場合、それらもSRP/CSと見なされます。
3.1.2
カテゴリー
制御システムの安全関連部品の、故障に対する耐性と故障状態でのその後の動作に関する分類であり、部品の構造的配置、故障検出、および/またはそれらの信頼性によって達成されます。
3.1.3
障害
必要な機能を実行できないことを特徴とするアイテムの状態。ただし、予防保守またはその他の計画されたアクション中の実行不能、または外部リソースの不足による不能は除きます。
注記 1:欠陥は多くの場合、アイテム自体の故障の結果ですが、以前の故障がなくても存在する場合があります。
注記 2: ISO 13849 のこの部分では、「故障」はランダムな故障を意味します。
[出典: IEC 60050-191:1990, 05-01.]
3.1.4
失敗
必要な機能を実行するアイテムの能力の終了
注記1:故障の後、アイテムには故障があります。
注記 2: 「障害」はイベントであり、状態である「障害」とは区別されます。
注記 3:定義された概念は、ソフトウェアのみから構成される品目には適用されません。
注記 4:管理下にあるプロセスの可用性にのみ影響する障害は、ISO 13849 のこの部分の範囲外です。
[出典: IEC 60050-191:1990, 04-01.]
3.1.5
危険な失敗
SRP/CS を危険または機能不全の状態にする可能性のある障害
注記1潜在能力が発揮されるか否かは,システムのチャネル構造に依存する可能性がある。冗長システムでは、危険なハードウェア障害が全体的な危険または機能不全の状態につながる可能性が低くなります。
注記2: [出典: IEC 61508-4, 3.6.7, modified.]
3.1.6
共通原因障害
CCF
単一のイベントに起因するさまざまな項目の障害で、これらの障害が相互の結果ではない場合
注記1:共通原因故障を共通モード故障と混同してはならない(ISO 12100:2010, 3.36を参照)
[出典: IEC 60050-191-am1:1999, 04-23.]
3.1.7
系統的失敗
設計または製造プロセス、操作手順、文書化、またはその他の関連要因の変更によってのみ排除できる特定の原因に決定論的に関連する故障。
注記 1:変更を伴わない是正保守では、通常、障害の原因を取り除くことはできません。
注記2故障の原因をシミュレートすることにより、系統的な故障を誘発することができます。
注記3:系統的故障の原因の例には、次の人的エラーが含まれます。 — 安全要件の仕様 — ハードウェアの設計、製造、設置、操作、および — ソフトウェアの設計、実装など。
[出典: IEC 60050-191:1990, 04-19.]
3.1.8
ミュート
SRP/CS による安全機能の一時的な自動停止
3.1.9
手動リセット
機械を再起動する前に 1 つ以上の安全機能を手動で復元するために使用される SRP/CS 内の機能。
3.1.10
危害
身体的損傷または健康被害
[出典: ISO 12100:2010, 3.5.]
3.1.11
危険
危害の潜在的な原因
注記 1危険源は、その発生源 (例: 機械的危険、電気的危険) または潜在的な危害の性質 (例: 感電の危険、切断の危険、毒性の危険、火災の危険) を定義するために限定することができます。
注記2:この定義で想定される危険: — 機械の意図された使用中に永続的に存在するもの (例: 危険な可動要素の動き, 溶接段階での電気アーク, 不健康な姿勢, 騒音放出, 高温); —または予期せぬ事態が発生する可能性があります (例: 爆発、意図しない/予期しない起動の結果としての押しつぶされる危険、破損の結果としての排出、加速/減速の結果としての落下)
[出典: ISO 12100:2010, 3.6, 修正]
3.1.12
危険な状況
人が少なくとも 1 つの危険にさらされている状況
注記1:曝露は、直ちにまたは一定期間にわたって害をもたらす可能性がある.
[出典: ISO 12100:2010, 3.10.]
3.1.13
危険
危害の発生確率とその危害の重大度の組み合わせ
[出典: ISO 12100:2010, 3.12.]
3.1.14
残存リスク
保護措置を講じた後に残るリスク
注記 1:図 2 を参照。
[出典: ISO 12100:2010, 3.13, 修正]
3.1.15
リスクアセスメント
リスク分析とリスク評価からなるプロセス全体
[出典: ISO 12100:2010, 3.17.]
3.1.16
リスク分析
機械の限界仕様、ハザードの特定、およびリスク推定の組み合わせ
[出典: ISO 12100:2010, 3.15.]
3.1.17
リスク評価
リスク分析に基づいて、リスク削減目標が達成されたかどうかの判断
[出典: ISO 12100:2010, 3.16.]
3.1.18
機械の使用目的
取扱説明書に記載されている情報に従って機械を使用する
[出典: ISO 12100:2010, 3.23.]
3.1.19
合理的に予測可能な誤用
設計者が意図していないが、容易に予測可能な人間の行動に起因する可能性のある方法での機械の使用
[出典: ISO 12100:2010, 3.24.]
3.1.20
安全機能
その故障がリスクの即時増加をもたらす可能性がある機械の機能
[出典: ISO 12100:2010, 3.30.]
3.1.21
モニタリング
構成要素又は要素がその機能を実行する能力が低下した場合,又はプロセス条件が変更されてリスク低減量が減少した場合に,保護手段が開始されることを保証する安全機能。
3.1.22
プログラム可能な電子システム
PES
電源,センサー及びその他の入力装置,接触器及びその他の出力装置などのシステムのすべての要素を含む,1 つ以上のプログラム可能な電子装置上での動作に依存する制御,保護又は監視のためのシステム。
[出典: IEC 61508-4:1998, 3.3.2, 修正]
3.1.23
パフォーマンスレベル
pl
予見可能な条件下で安全機能を実行する制御システムの安全関連部分の能力を指定するために使用される離散レベル。
注記4.5.1 参照。
3.1.24
必要なパフォーマンス レベル
plr
各安全機能に必要なリスク低減を達成するために適用されるパフォーマンスレベル (PL)
注記 1:図 2 および A.1 を参照。
3.1.25
危険な故障までの平均時間
MTTF D
危険な故障までの平均時間の期待
[出典: IEC 62061:2005, 3.2.34, 修正]
3.1.26
診断範囲
DC
検出された危険な故障の故障率と合計の危険な故障の故障率との比率として決定される診断の有効性の尺度。
注記 1:診断範囲は安全関連システムの全体または一部に存在する. 例えば, 診断範囲はセンサーおよび/または論理システムおよび/または最終要素に存在する可能性がある.
[出典: IEC 61508-4:1998, 3.8.6, 修正]
3.1.27
保護措置
リスク低減を目的とした措置
例 1:
設計者による実装: 固有の設計、保護および補完的な保護手段、使用に関する情報。
例 2:
ユーザーによる実装: 組織 (安全な作業手順、監督、作業許可システム)、追加の保護手段の提供と使用、個人用保護具、トレーニング。
[出典: ISO 12100:2010, 3.19, 修正]
3.1.28
ミッションタイム
TM
SRP/CS の使用目的をカバーする期間
3.1.29
試験率
rt
SRP/CS の障害を検出するための自動テストの頻度、診断テスト間隔の逆数
3.1.30
需要率
rD
SRP/CS の安全関連アクションに対する要求の頻度
3.1.31
修理率
rr
オンラインテストまたはシステムの明らかな故障による危険な故障の検出から、修理またはシステム/コンポーネントの交換後の操作の再開までの時間の逆数。
注記 1修理時間には、故障検出に必要な時間は含まれません。
3.1.32
機械制御システム
機械要素の部品、オペレータ、外部制御装置、またはこれらの任意の組み合わせからの入力信号に応答し、意図した方法で機械を動作させる出力信号を生成するシステム。
注記 1:機械制御システムは、任意の技術または異なる技術の任意の組み合わせを使用できます (例: 電気/電子、油圧、空気圧、機械)
3.1.33
安全度レベル
シル
E/E/PE 安全関連システムに割り当てられる安全機能の安全度数要件を指定するための個別レベル (可能な 4 つのうちの 1 つ)レベル 1 が最も低い
[出典: IEC 61508-4:1998, 3.5.6.]
3.1.34
限られた可変言語
LVL
定義済みのアプリケーション固有のライブラリ関数を組み合わせて安全要件仕様を実装する機能を提供する言語のタイプ。
注記 1 LVL (ラダーロジック、機能ブロック図) の典型的な例は、IEC 61131-3 に記載されています。
注記2 LVL: PLCを使用したシステムの代表例。
[出典: IEC 61511-1:2003, 3.2.80.1.2, 修正]
3.1.35
完全変数言語
ATCO
多種多様な機能やアプリケーションを実装する能力を提供する言語のタイプ
例:
C, C++、アセンブラ。
注記 1: FVL を使用するシステムの典型的な例: 組込みシステム。
注記 2:機械の分野では、FVL は組み込みソフトウェアに見られ、アプリケーション ソフトウェアにはめったに見られません。
[出典: IEC 61511-1:2003, 3.2.80.1.3, 変更]
3.1.36
アプリケーションソフトウェア
アプリケーションに固有のソフトウェアで、機械メーカーによって実装され、通常、SRP/CS 要件を満たすために必要な適切な入力、出力、計算、および決定を制御するロジック シーケンス、制限、および式が含まれています。
3.1.37
組み込みソフトウェア
ファームウェア
システムソフトウェア
制御メーカーが提供するシステムの一部であり、機械のユーザーが変更できないソフトウェア
注記 1:組み込みソフトウェアは、通常、FVL で記述されます。
3.1.38
高需要または連続モード
SRP/CS に対する要求の頻度が 1 年に 1 回を超える操作モード、または安全関連の制御機能が通常操作の一部として機械を安全な状態に保持する操作モード
[出典: IEC 62061:2012, 3.2.27, 修正]
3.1.39
使用実績あり
要素の特定の構成に関する操作経験の分析に基づく実証。要素を使用するすべての安全機能が要求される性能レベル (PL r ) を達成するために、危険な系統的障害の可能性が十分に低いこと。
[出典: IEC 61508-4:2010, 3.8.18, 修正]
3.2 記号と略語
表 1 を参照してください。
表 1 —記号と略語
| 記号または略語 | 説明 | 定義または発生 |
|---|---|---|
| a, b, c, d, e | 性能レベルの表記 | 表 3 |
| AOPD | アクティブ光電子保護装置 (例: 光バリア) | 附属書 H |
| B, 1, 2, 3, 4 | カテゴリの表記 | 表 7 |
| B_ | コンポーネントの 10% が危険な状態に陥るまでのサイクル数 (空気圧および電気機械コンポーネントの場合) | 附属書C |
| ネコ。 | カテゴリー | 3.1.2 |
| CC | 電流変換器 | 附属書Ⅰ |
| CCF | よくある故障 | 3.1.6 |
| DC | 診断範囲 | 3.1.26 |
| DC平均 | 平均診断範囲 | E.2 |
| F, F1, F2 | 危険にさらされる頻度および/または時間 | A.2.2 |
| FB | 機能ブロック | 4.6.3 |
| ATCO | 完全可変言語 | 3.1.35 |
| FMEA | 故障モードと影響分析 | 7.2 |
| I, I1, I2 | センサーなどの入力デバイス | 6.2 |
| 私、j | 計数のための指標 | 附属書 D |
| 入出力 | 入力/出力 | 表 E.1 |
| iはab 、 iはbc | 相互接続手段 | 図 4 |
| K1A, K1B | コンタクタ | 附属書Ⅰ |
| L, L1, L2 | 論理 | 6.2 |
| LVL | 限られた可変言語 | 3.1.34 |
| M | エンジン | 附属書Ⅰ |
| MTTF | 平均故障時間 | 附属書C |
| MTTF D | 危険な故障までの平均時間 | 3.1.25 |
| n 、 N 、 | アイテム数 | 6.3, D.1 |
| N低 | SRP/CS の組み合わせで PLが低いSRP/CS の数 | 6.3 |
| n_ | 年間平均稼働数 | 附属書C |
| O, O1, O2 、OTE | アクチュエータなどの出力デバイス | 6.2 |
| P, P1, P2 | 危険回避の可能性 | A.2.3 |
| PES | プログラム可能な電子システム | 3.1.22 |
| PFH D | 1 時間あたりの危険な故障の平均確率 | 表 3 および表 K.1 |
| pl | パフォーマンスレベル | 3.1.23 |
| シーケンサ | プログラマブル ロジック コントローラ | 附属書Ⅰ |
| 低くpl | SRP/CS の組み合わせにおける SRP/CS の最低のパフォーマンス レベル | 6.3 |
| plr | 必要なパフォーマンス レベル | 3.1.24 |
| rD | 需要率 | 3.1.30 |
| rt | 試験率 | 3.1.29 |
| RS | 回転センサー | 附属書Ⅰ |
| S, S1, S2 | 損傷の重症度 | A.2.1 |
| SW1A, SW1B, SW2 | 位置スイッチ | 附属書Ⅰ |
| シル | 安全度レベル | 表 4 |
| SRASW | 安全関連のアプリケーションソフトウェア | 4.6.3 |
| SRESW | 安全関連組み込みソフトウェア | 4.6.2 |
| SRP | 安全関連部品 | 全般的 |
| SRP/CS | 制御システムの安全関連部分 | 3.1.1 |
| te | 試験装置 | 6.2 |
| TM | ミッションタイム | 3.1.28 |
| T_ | コンポーネントの 10% が危険なほど故障するまでの平均時間 | 附属書C |
参考文献
プログラム可能な電子システムに関する出版物
| [1] | IEC 61000-4-4, 電磁適合性 (EMC) — Part 4: テストおよび測定技術 — セクション 4: 電気的高速過渡/バースト イミュニティ テスト |
| [2] | IEC 61496-1, 機械の安全性 — 電気に敏感な保護装置 — Part 1: 一般的な要件とテスト |
| [3] | IEC 61496-2, 機械の安全性 — 電気に敏感な保護装置 — Part 2: アクティブ光電子保護装置を使用する機器の特定要件 |
| [4] | IEC 61496-3, 機械の安全性 — 電気に敏感な保護装置 — Part 3: 拡散反射 (AOPDDR) に反応するアクティブ光電子保護装置の特定要件 |
| [5] | IEC 61508-1:1998, 電気/電子/プログラマブル電子安全関連システムの機能安全 — Part 1: 一般要件 |
| [6] | IEC 61508-2:2000, 電気/電子/プログラマブル電子安全関連システムの機能安全 — Part 2: 電気/電子/プログラマブル電子安全関連システムの要件 |
| [7] | IEC 61508-5:1998, 電気/電子/プログラマブル電子安全関連システムの機能的安全性 — Part 5: 安全度レベルの決定方法の例 |
| [8] | IEC 61508-6:2000, 電気/電子/プログラマブル電子安全関連システムの機能安全 — Part 6: IEC 61508-2 および IEC 61508-3 の適用に関するガイドライン |
| [9] | IEC 61508-7:2000, 電気/電子/プログラマブル電子安全関連システムの機能安全 — Part 7: 技術と手段の概要 |
| [10] | ガイドライン HSE, Programmable Electronic Systems in Safety-related Applications 、Part 1 (ISBN 0 11 883906 6) および 2 (ISBN 0 11 883906 3) |
| [11] | CECR-184, マイクロプロセッサ制御システムにおける個人の安全(Elektronikcentralen, デンマーク) |
その他の出版物
| [12] | ISO 13850, 機械の安全 — 非常停止 — 設計の原則 |
| [13] | ISO 13851, 機械の安全性 — 両手制御装置 — 機能面と設計原則 |
| [14] | ISO 13856-1, 機械の安全性 — 感圧保護装置 — Part 1: 感圧マットおよび感圧床の設計および試験の一般原則 |
| [15] | ISO 13856-2, 機械の安全性 — 感圧保護装置 — Part 2: 感圧エッジと感圧バーの設計とテストの一般原則 |
| [16] | ISO 11428, エルゴノミクス — 視覚的な危険信号 — 一般的な要件、設計およびテスト |
| [17] | ISO 9001, 品質管理システム — 要件 |
| [18] | ISO 9355-1, ディスプレイおよび制御アクチュエータの設計に関する人間工学的要件 — Part 1: ディスプレイおよび制御アクチュエータとの人間の相互作用 |
| [19] | ISO 9355-2, ディスプレイおよび制御アクチュエータの設計に関する人間工学的要件 — Part 2: ディスプレイ |
| [20] | ISO 9355-3, ディスプレイおよび制御アクチュエータの設計に関する人間工学的要件 — Part 3: 制御アクチュエータ |
| [21] | ISO 11429, エルゴノミクス — 聴覚と視覚による危険と情報信号のシステム |
| [22] | ISO 7731, エルゴノミクス — 公共および作業エリアの危険信号 — 可聴危険信号 |
| [23] | ISO 4413, 油圧流体動力 - システムとそのコンポーネントの一般規則と安全要件 |
| [24] | ISO 4414, 空気圧流体動力 - システムとそのコンポーネントの一般規則と安全要件 |
| [25] | ISO 13855:2010, 機械の安全性 - 人体の各部の接近速度に対する保護具の配置 |
| [26] | ISO 14118, 機械の安全性 - 予期しない起動の防止 |
| [27] | ISO 1997, 空気圧流体動力 - テストによるコンポーネントの信頼性の評価 |
| [28] | IEC 60204-1:2005, 機械の安全性 — 機械の電気機器 — Part 1: 一般要件 |
| [29] | IEC 60447, マンマシン インターフェース (MMI) の基本および安全原則 - 作動原理 |
| [30] | IEC 60529, エンクロージャによって提供される保護の等級 (IP コード) |
| [31] | IEC 60812, システム信頼性のための分析技術 — 故障モードおよび影響分析 (FMEA) の手順 |
| [32] | IEC 6094, 低電圧開閉装置および制御装置 |
| [33] | IEC 61000-6-2, 電磁適合性 (EMC) — Part 6-2: 一般規格 — 産業環境に対する耐性 |
| [34] | IEC 61800-3, 可変速電力駆動システム — Part 3: EMC 要件および特定の試験方法 |
| [35] | IEC 6181, 電磁基本リレー |
| [36] | IEC 6130, 光ファイバー相互接続デバイスおよび受動コンポーネント — 基本的なテストおよび測定手順 |
| [37] | IEC 6131, 機械の安全性 — 表示、マーキング、作動 |
| [38] | IEC 61131-3, プログラマブル コントローラ — Part 3: プログラミング言語 |
| [39] | EN 457, 機械の安全性 - 可聴危険信号 - 一般要件、設計および試験 |
| [40] | EN 614-1, 機械の安全 — 人間工学に基づいた設計の原則 — Part 1: 用語と一般原則 |
| [41] | EN 982, 機械の安全性 - 流体動力システムとそのコンポーネントの安全要件 - 油圧 |
| [42] | EN 983, 機械の安全性 - 流体動力システムとそのコンポーネントの安全要件 - 空気圧 |
| [43] | EN 1005-3, 機械の安全性 - 人間の身体能力 - Part 3: 機械の操作に推奨される力の制限 |
| [44] | EN 1088, 機械の安全 — ガードに関連するインターロック装置 — 設計と選択の原則 |
| [45] | EN 50205, 強制ガイド付き (機械的にリンクされた) 接点を備えたリレー |
| [46] | SN 2950, コンポーネントの故障率 |
| [47] | Goble WM, 制御システム — 評価とリハビリテーション。第2版。アメリカ計測器協会 (ISA)、ノースカロライナ州、1998 年 |
| [48] | BGIA レポート 2/2008e, 機械制御の機能的安全性 – ISO 13849 の適用、ドイツ社会事故保険 (DGUV)、2009 年 6 月、ISBN 978-3-88383-793-2, インターネットから無料でダウンロード: www.dguv.de/ifa/13849e |
データベース
| [49] | SN 29500, コンポーネントの故障率、Edition 1999-11, Siemens AG 1999 |
| [50] | IEC/TR 62380, 信頼性データ ハンドブック — 電子部品、PCB, および機器の信頼性予測のためのユニバーサル モデル4 |
| [51] | 電子機器の信頼性予測、MIL-HDBK-217国防総省、ワシントン D.C.、1982 年 |
| [52] | Reliability Prediction Procedure for Electronic Equipment 、Telcordia SR-332, Issue 01, 2001 年 5 月 ( telecom-info.telcordia.com )、Bellcore TR-332, Issue 06 |
| [53] | EPRD, 電子部品信頼性データ(RAC-STD-6100)、信頼性分析センター、201 Mill Street, Rome, NY 13440 |
| [54] | NPRD-95, 非電子部品信頼性データ(RAC-STD-6200)、信頼性分析センター、201 Mill Street, Rome, NY 13440 |
| [55] | British Handbook for Reliability Data for Components used in Telecommunication Systems 、British Telecom (HRD5, 最終号) |
| [56] | 中国軍用規格、GJB/z 299B |
3 Terms, definitions, symbols and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100 and IEC 60050-191 and the following apply.
3.1.1
safety–related part of a control system
SRP/CS
part of a control system that responds to safety-related input signals and generates safety-related output signals
Note 1 to entry: The combined safety-related parts of a control system start at the point where the safety-related input signals are initiated (including, for example, the actuating cam and the roller of the position switch) and end at the output of the power control elements (including, for example, the main contacts of a contactor).
Note 2 to entry: If monitoring systems are used for diagnostics, they are also considered as SRP/CS.
3.1.2
category
classification of the safety-related parts of a control system in respect of their resistance to faults and their subsequent behaviour in the fault condition, and which is achieved by the structural arrangement of the parts, fault detection and/or by their reliability
3.1.3
fault
state of an item characterized by the inability to perform a required function, excluding the inability during preventive maintenance or other planned actions, or due to lack of external resources
Note 1 to entry: A fault is often the result of a failure of the item itself, but may exist without prior failure.
Note 2 to entry: In this part of ISO 13849, “fault” means random fault.
[SOURCE: IEC 60050‑191:1990, 05-01.]
3.1.4
failure
termination of the ability of an item to perform a required function
Note 1 to entry: After a failure, the item has a fault.
Note 2 to entry: “Failure” is an event, as distinguished from “fault”, which is a state.
Note 3 to entry: The concept as defined does not apply to items consisting of software only.
Note 4 to entry: Failures which only affect the availability of the process under control are outside of the scope of this part of ISO 13849.
[SOURCE: IEC 60050–191:1990, 04-01.]
3.1.5
dangerous failure
failure which has the potential to put the SRP/CS in a hazardous or fail-to-function state
Note 1 to entry: Whether or not the potential is realized can depend on the channel architecture of the system; in redundant systems a dangerous hardware failure is less likely to lead to the overall dangerous or fail-to-function state.
Note 2 to entry: [SOURCE: IEC 61508–4, 3.6.7, modified.]
3.1.6
common cause failure
CCF
failures of different items, resulting from a single event, where these failures are not consequences of each other
Note 1 to entry: Common cause failures should not be confused with common mode failures (see ISO 12100:2010, 3.36).
[SOURCE: IEC 60050‑191-am1:1999, 04-23.]
3.1.7
systematic failure
failure related in a deterministic way to a certain cause, which can only be eliminated by a modification of the design or of the manufacturing process, operational procedures, documentation or other relevant factors
Note 1 to entry: Corrective maintenance without modification will usually not eliminate the failure cause.
Note 2 to entry: A systematic failure can be induced by simulating the failure cause.
Note 3 to entry: Examples of causes of systematic failures include human error in— the safety requirements specification,— the design, manufacture, installation, operation of the hardware, and— the design, implementation, etc., of the software.
[SOURCE: IEC 60050‑191:1990, 04-19.]
3.1.8
muting
temporary automatic suspension of a safety function(s) by the SRP/CS
3.1.9
manual reset
function within the SRP/CS used to restore manually one or more safety functions before re-starting a machine
3.1.10
harm
physical injury or damage to health
[SOURCE: ISO 12100:2010, 3.5.]
3.1.11
hazard
potential source of harm
Note 1 to entry: A hazard can be qualified in order to define its origin (e.g. mechanical hazard, electrical hazard) or the nature of the potential harm (e.g. electric shock hazard, cutting hazard, toxic hazard, fire hazard).
Note 2 to entry: The hazard envisaged in this definition:— either is permanently present during the intended use of the machine (e.g. motion of hazardous moving elements, electric arc during a welding phase, unhealthy posture, noise emission, high temperature);— or may appear unexpectedly (e.g. explosion, crushing hazard as a consequence of an unintended/unexpected start-up, ejection as a consequence of a breakage, fall as a consequence of acceleration/deceleration).
[SOURCE: ISO 12100:2010, 3.6, modified.]
3.1.12
hazardous situation
circumstance in which a person is exposed to at least one hazard
Note 1 to entry: The exposure can result in harm immediately or over a period of time.
[SOURCE: ISO 12100:2010, 3.10.]
3.1.13
risk
combination of the probability of occurrence of harm and the severity of that harm
[SOURCE: ISO 12100:2010, 3.12.]
3.1.14
residual risk
risk remaining after protective measures have been taken
Note 1 to entry: See Figure 2.
[SOURCE: ISO 12100:2010, 3.13, modified.]
3.1.15
risk assessment
overall process comprising risk analysis and risk evaluation
[SOURCE: ISO 12100:2010, 3.17.]
3.1.16
risk analysis
combination of the specification of the limits of the machine, hazard identification and risk estimation
[SOURCE: ISO 12100:2010, 3.15.]
3.1.17
risk evaluation
judgement, on the basis of risk analysis, of whether risk reduction objectives have been achieved
[SOURCE: ISO 12100:2010, 3.16.]
3.1.18
intended use of a machine
use of the machine in accordance with the information provided in the instructions for use
[SOURCE: ISO 12100:2010, 3.23.]
3.1.19
reasonably foreseeable misuse
use of a machine in a way not intended by the designer, but which may result from readily predictable human behaviour
[SOURCE: ISO 12100:2010, 3.24.]
3.1.20
safety function
function of the machine whose failure can result in an immediate increase of the risk(s)
[SOURCE: ISO 12100:2010, 3.30.]
3.1.21
monitoring
safety function which ensures that a protective measure is initiated if the ability of a component or an element to perform its function is diminished or if the process conditions are changed in such a way that a decrease of the amount of risk reduction is generated
3.1.22
programmable electronic system
PES
system for control, protection or monitoring dependent for its operation on one or more programmable electronic devices, including all elements of the system such as power supplies, sensors and other input devices, contactors and other output devices
[SOURCE: IEC 61508‑4:1998, 3.3.2, modified.]
3.1.23
performance level
pl
discrete level used to specify the ability of safety-related parts of control systems to perform a safety function under foreseeable conditions
Note 1 to entry: See 4.5.1.
3.1.24
required performance level
plr
performance level (PL) applied in order to achieve the required risk reduction for each safety function
Note 1 to entry: See Figures 2 and A.1.
3.1.25
mean time to dangerous failure
MTTFD
expectation of the mean time to dangerous failure
[SOURCE: IEC 62061:2005, 3.2.34, modified.]
3.1.26
diagnostic coverage
DC
measure of the effectiveness of diagnostics, which may be determined as the ratio between the failure rate of detected dangerous failures and the failure rate of total dangerous failures
Note 1 to entry: Diagnostic coverage can exist for the whole or parts of a safety-related system. For example, diagnostic coverage could exist for sensors and/or logic system and/or final elements.
[SOURCE: IEC 61508‑4:1998, 3.8.6, modified.]
3.1.27
protective measure
measure intended to achieve risk reduction
EXAMPLE 1:
Implemented by the designer: inherent design, safeguarding and complementary protective measures, information for use.
EXAMPLE 2:
Implemented by the user: organization (safe working procedures, supervision, permit-to-work systems), provision and use of additional safeguards, personal protective equipment, training.
[SOURCE: ISO 12100:2010, 3.19, modified.]
3.1.28
mission time
TM
period of time covering the intended use of an SRP/CS
3.1.29
test rate
rt
frequency of automatic tests to detect faults in a SRP/CS, reciprocal value of diagnostic test interval
3.1.30
demand rate
rD
frequency of demands for a safety-related action of the SRP/CS
3.1.31
repair rate
rr
reciprocal value of the period of time between detection of a dangerous failure by either an online test or obvious malfunction of the system and the restart of operation after repair or system/component replacement
Note 1 to entry: The repair time does not include the span of time needed for failure-detection.
3.1.32
machine control system
system which responds to input signals from parts of machine elements, operators, external control equipment or any combination of these and generates output signals causing the machine to behave in the intended manner
Note 1 to entry: The machine control system can use any technology or any combination of different technologies (e.g. electrical/electronic, hydraulic, pneumatic, mechanical).
3.1.33
safety integrity level
SIL
discrete level (one out of a possible four) for specifying the safety integrity requirements of the safety functions to be allocated to the E/E/PE safety-related systems, where safety integrity level 4 has the highest level of safety integrity and safety integrity level 1 has the lowest
[SOURCE: IEC 61508‑4:1998, 3.5.6.]
3.1.34
limited variability language
LVL
type of language that provides the capability of combining predefined, application-specific library functions to implement the safety requirements specifications
Note 1 to entry: Typical examples of LVL (ladder logic, function block diagram) are given in IEC 61131–3.
Note 2 to entry: A typical example of a system using LVL: PLC.
[SOURCE: IEC 61511‑1:2003, 3.2.80.1.2, modified.]
3.1.35
full variability language
FVL
type of language that provides the capability of implementing a wide variety of functions and applications
EXAMPLE:
C, C++, Assembler.
Note 1 to entry: A typical example of systems using FVL: embedded systems.
Note 2 to entry: In the field of machinery, FVL is found in embedded software and rarely in application software.
[SOURCE: IEC 61511‑1:2003, 3.2.80.1.3, modified.]
3.1.36
application software
software specific to the application, implemented by the machine manufacturer, and generally containing logic sequences, limits and expressions that control the appropriate inputs, outputs, calculations and decisions necessary to meet the SRP/CS requirements
3.1.37
embedded software
firmware
system software
software that is part of the system supplied by the control manufacturer and which is not accessible for modification by the user of the machinery
Note 1 to entry: Embedded software is usually written in FVL.
3.1.38
high demand or continuous mode
mode of operation in which the frequency of demands on a SRP/CS is greater than one per year or the safety related control function retains the machine in a safe state as part of normal operation
[SOURCE: IEC 62061:2012, 3.2.27, modified.]
3.1.39
proven in use
demonstration, based on an analysis of operational experience for a specific configuration of an element, that the likelihood of dangerous systematic faults is low enough so that every safety function that uses the element achieves its required performance level (PLr)
[SOURCE: IEC 61508‑4:2010, 3.8.18, modified.]
3.2 Symbols and abbreviated terms
See Table 1.
Table 1—Symbols and abbreviated terms
| Symbol or abbreviation | Description | Definition or occurrence |
|---|---|---|
| a, b, c, d, e | Denotation of performance levels | Table 3 |
| AOPD | Active optoelectronic protective device (e.g. light barrier) | Annex H |
| B, 1, 2, 3, 4 | Denotation of categories | Table 7 |
| B10D | Number of cycles until 10 % of the components fail dangerously (for pneumatic and electromechanical components) | Annex C |
| Cat. | Category | 3.1.2 |
| CC | Current converter | Annex I |
| CCF | Common cause failure | 3.1.6 |
| DC | Diagnostic coverage | 3.1.26 |
| DCavg | Average diagnostic coverage | E.2 |
| F, F1, F2 | Frequency and/or time of exposure to the hazard | A.2.2 |
| FB | Function block | 4.6.3 |
| FVL | Full variability language | 3.1.35 |
| FMEA | Failure modes and effects analysis | 7.2 |
| I, I1, I2 | Input device, e.g. sensor | 6.2 |
| i, j | Index for counting | Annex D |
| I/O | Inputs/outputs | Table E.1 |
| iab, ibc | Interconnecting means | Figure 4 |
| K1A, K1B | Contactors | Annex I |
| L, L1, L2 | Logic | 6.2 |
| LVL | Limited variability language | 3.1.34 |
| M | Motor | Annex I |
| MTTF | Mean time to failure | Annex C |
| MTTFD | Mean time to dangerous failure | 3.1.25 |
| n, N, | Number of items | 6.3, D.1 |
| Nlow | Number of SRP/CS with PLlow in a combination of SRP/CS | 6.3 |
| nop | Mean number of annual operations | Annex C |
| O, O1, O2, OTE | Output device, e.g. actuator | 6.2 |
| P, P1, P2 | Possibility of avoiding the hazard | A.2.3 |
| PES | Programmable electronic system | 3.1.22 |
| PFHD | average probability of dangerous failure per hour | Table 3 and Table K.1 |
| pl | Performance level | 3.1.23 |
| PLC | Programmable logic controller | Annex I |
| pllow | Lowest performance level of a SRP/CS in a combination of SRP/CS | 6.3 |
| plr | Required performance level | 3.1.24 |
| rD | Demand rate | 3.1.30 |
| rt | Test rate | 3.1.29 |
| RS | Rotation sensor | Annex I |
| S, S1, S2 | Severity of injury | A.2.1 |
| SW1A, SW1B, SW2 | Position switches | Annex I |
| SIL | Safety integrity level | Table 4 |
| SRASW | Safety-related application software | 4.6.3 |
| SRESW | Safety-related embedded software | 4.6.2 |
| SRP | Safety-related part | General |
| SRP/CS | Safety-related part of a control system | 3.1.1 |
| te | Test equipment | 6.2 |
| TM | Mission time | 3.1.28 |
| T10D | Mean time until 10 % of the components fail dangerously | Annex C |
Bibliography
Publications on programmable electronic systems
| [1] | IEC 61000-4-4, Electromagnetic compatibility (EMC) — Part 4: Testing and measurement techniques — Section 4: Electrical fast transient/burst immunity test |
| [2] | IEC 61496-1, Safety of machinery — Electro-sensitive protective equipment — Part 1: General requirements and tests |
| [3] | IEC 61496-2, Safety of machinery — Electro-sensitive protective equipment — Part 2: Particular requirements for equipment using active opto-electronic protective devices |
| [4] | IEC 61496-3, Safety of machinery — Electro-sensitive protective equipment — Part 3: Particular requirements for active opto-electronic protective devices responsive to diffuse reflection (AOPDDR) |
| [5] | IEC 61508-1:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 1: General requirements |
| [6] | IEC 61508-2:2000, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems |
| [7] | IEC 61508-5:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 5: Examples of methods for the determination of safety integrity levels |
| [8] | IEC 61508-6:2000, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 6: Guidelines on the application of IEC 61508‑2 and IEC 61508‑3 |
| [9] | IEC 61508-7:2000, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 7: Overview of techniques and measures |
| [10] | Guidelines HSE, Programmable Electronic Systems in Safety-related Applications, Parts 1 (ISBN 0 11 883906 6) and 2 (ISBN 0 11 883906 3) |
| [11] | CECR-184, Personal Safety in Microprocessor Control Systems (Elektronikcentralen, Denmark) |
Further publications
| [12] | ISO 13850, Safety of machinery — Emergency stop — Principles for design |
| [13] | ISO 13851, Safety of machinery — Two-hand control devices — Functional aspects and design principles |
| [14] | ISO 13856-1, Safety of machinery — Pressure-sensitive protective devices — Part 1: General principles for design and testing of pressure-sensitive mats and pressure-sensitive floors |
| [15] | ISO 13856-2, Safety of machinery — Pressure-sensitive protective devices — Part 2: General principles for design and testing of pressure-sensitive edges and pressure-sensitive bars |
| [16] | ISO 11428, Ergonomics — Visual danger signals — General requirements, design and testing |
| [17] | ISO 9001, Quality management systems — Requirements |
| [18] | ISO 9355-1, Ergonomic requirements for the design of displays and control actuators — Part 1: Human interactions with displays and control actuators |
| [19] | ISO 9355-2, Ergonomic requirements for the design of displays and control actuators — Part 2: Displays |
| [20] | ISO 9355-3, Ergonomic requirements for the design of displays and control actuators — Part 3: Control actuators |
| [21] | ISO 11429, Ergonomics — System of auditory and visual danger and information signals |
| [22] | ISO 7731, Ergonomics — Danger signals for public and work areas — Auditory danger signals |
| [23] | ISO 4413, Hydraulic fluid power — General rules and safety requirements for systems and their components |
| [24] | ISO 4414, Pneumatic fluid power — General rules and safety requirements for systems and their components |
| [25] | ISO 13855:2010, Safety of machinery — Positioning of protective equipment with respect to the approach speeds of parts of the human body |
| [26] | ISO 14118, Safety of machinery — Prevention of unexpected start-up |
| [27] | ISO 19973 (all parts), Pneumatic fluid power — Assessment of component reliability by testing |
| [28] | IEC 60204-1:2005, Safety of machinery — Electrical equipment of machines — Part 1: General requirements |
| [29] | IEC 60447, Basic and safety principles for man-machine interface (MMI) — Actuating principles |
| [30] | IEC 60529, Degrees of protection provided by enclosures (IP code) |
| [31] | IEC 60812, Analysis techniques for system reliability — Procedure for failure mode and effects analysis (FMEA) |
| [32] | IEC 60947 (all parts), Low-voltage switchgear and controlgear |
| [33] | IEC 61000-6-2, Electromagnetic compatibility (EMC) — Part 6-2: Generic standards — Immunity for industrial environments |
| [34] | IEC 61800-3, Adjustable speed electrical power drive systems — Part 3: EMC requirements and specific test methods |
| [35] | IEC 61810 (all parts), Electromagnetic elementary relays |
| [36] | IEC 61300 (all parts), Fibre optic interconnecting devices and passive components — Basic test and measurement procedures |
| [37] | IEC 61310 (all parts), Safety of machinery — Indication, marking and actuation |
| [38] | IEC 61131-3, Programmable controllers — Part 3: Programming languages |
| [39] | EN 457, Safety of machinery — Auditory danger signals — General requirements, design and testing |
| [40] | EN 614-1, Safety of machinery — Ergonomic design principles — Part 1: Terminology and general principles |
| [41] | EN 982, Safety of machinery — Safety requirements for fluid power systems and their components — Hydraulic |
| [42] | EN 983, Safety of machinery — Safety requirements for fluid power systems and their components — Pneumatic |
| [43] | EN 1005-3, Safety of machinery — Human physical performance — Part 3: Recommended force limits for machinery operation |
| [44] | EN 1088, Safety of machinery — Interlocking devices associated with guards — Principles for design and selection |
| [45] | EN 50205, Relays with forcibly guided (mechanically linked) contacts |
| [46] | SN 29500 (all parts), Failure rates of components |
| [47] | Goble W.M., Control systems — Evaluation and Rehability. 2nd Edition. Instrument Society of America (ISA), North Carolina, 1998 |
| [48] | BGIA-Report 2/2008e, Functional safety of machine controls – Application of ISO 13849, German Social Accident Insurance (DGUV), June 2009, ISBN 978-3-88383-793-2, free download in the Internet: www.dguv.de/ifa/13849e |
Databases
| [49] | SN 29500, Failure rates of components, Edition 1999-11, Siemens AG 1999 |
| [50] | IEC/TR 62380, Reliability data handbook — Universal model for reliability prediction of electronics components, PCBs and equipment4 |
| [51] | Reliability Prediction of Electronic Equipment, MIL-HDBK-217E. Department of Defense, Washington, DC, 1982 |
| [52] | Reliability Prediction Procedure for Electronic Equipment, Telcordia SR-332, Issue 01, May 2001 ( telecom-info.telcordia.com ), Bellcore TR-332, Issue 06 |
| [53] | EPRD, Electronic Parts Reliability Data (RAC-STD-6100), Reliability Analysis Centre, 201 Mill Street, Rome, NY 13440 |
| [54] | NPRD-95, Non-electronic Parts Reliability Data (RAC-STD-6200), Reliability Analysis Centre, 201 Mill Street, Rome, NY 13440 |
| [55] | British Handbook for Reliability Data for Components used in Telecommunication Systems, British Telecom (HRD5, last issue) |
| [56] | Chinese Military Standard, GJB/z 299B |