EURUSD
Your shopping cart is empty.
ISO

ISO 25119-2:2019

(Main)

Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase

Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase

This document specifies the concept phase of the development of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry and on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to mobile municipal equipment (such as street-sweeping machines). This document is not applicable to: — aircraft and air-cushion vehicles used in agriculture; — lawn and garden equipment. This document specifies the characteristics and categories required of SRP/CS for carrying out their safety-related functions. It does not identify performance levels for specific applications. NOTE 1 Machine specific type-C standards can specify performance levels (AgPL) for safety-related functions in machines within their scope. Otherwise, the specification of AgPL is the responsibility of the manufacturer. This document is applicable to the safety-related parts of electrical/electronic/programmable electronic systems (E/E/PES), as these relate to mechatronic systems. It covers the possible hazards caused by malfunctioning behaviour of E/E/PES safety-related systems, including interaction of these systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity, flammability, reactivity, corrosion, release of energy, and similar hazards., unless directly caused by malfunctioning behaviour of E/E/PES safety-related systems. It also covers malfunctioning behaviour of E/E/PES safety-related systems involved in protection measures, safeguards, or safety-related functions in response to non-E/E/PES hazards. Examples included within the scope of this document: — SRP/CS's limiting current flow in electric hybrids to prevent insulation failure/shock hazards; — electromagnetic interference with the SRP/CS; — SRP/CS's designed to prevent fire. Examples not included within the scope of this document: — insulation failure due to friction that leads to electric shock hazards; — nominal electromagnetic radiation impacting nearby machine control systems; — corrosion causing electric cables to overheat. This document is not applicable to non-E/E/PES systems (such as hydraulic, mechanic or pneumatic). NOTE 2 See also ISO 12100 for design principles related to the safety of machinery. This document is not applicable to safety-related parts of control systems manufactured before the date of its publication.

Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 2: Phase de projet

Le présent document spécifie la phase de conception du développement des parties relatives à la sécurité des systèmes de commande (SRP/CS) utilisés sur les tracteurs agricoles et forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et traînées utilisées en agriculture. Il peut également s'appliquer aux équipements municipaux mobiles (par exemple machines de nettoiement). Le présent document ne s'applique pas: — aux véhicules aéroportés et sur coussin d'air utilisés en agriculture, — aux équipements de jardinage ou horticoles. Le présent document spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser leurs fonctions relatives à la sécurité. Il n'identifie pas de niveaux de performance pour des applications spécifiques. NOTE 1 Les normes spécifiques à une machine donnée (normes de type C) peuvent spécifier des niveaux de performance (AgPL) pour des fonctions relatives à la sécurité dans des machines relevant de leur domaine d'application. Sinon, la spécification de l'AgPL est de la responsabilité du fabricant. Le présent document s'applique aux parties relatives à la sécurité des systèmes électriques/électroniques/électroniques programmables (E/E/PES), dans la mesure où celles-ci sont liées aux systèmes mécatroniques. Il couvre les éventuels phénomènes dangereux dus au dysfonctionnement de systèmes E/E/PES relatifs à la sécurité, y compris l'interaction entre ces systèmes. Il ne traite pas des phénomènes dangereux associés aux événements suivants: choc électrique, incendie, fumées, chaleur, rayonnement, toxicité, inflammabilité, réactivité, corrosion, libération d'énergie et phénomènes dangereux similaires, à moins qu'ils ne soient causés directement par un dysfonctionnement des systèmes E/E/PES relatifs à la sécurité. Il couvre également le dysfonctionnement des systèmes E/E/PES relatifs à la sécurité qui sont impliqués dans les mesures de protection, protecteurs ou fonctions relatives à la sécurité en réponse aux phénomènes dangereux hors E/E/PES. Exemples faisant partie du domaine d'application du présent document: — SRP/CS limitant le flux de courant dans les hybrides électriques pour empêcher les phénomènes dangereux de panne d'isolement/choc; — interférence électromagnétique avec les SRP/CS; et — SRP/CS conçues pour empêcher les incendies. Exemples ne faisant pas partie du domaine d'application: — panne d'isolement due au frottement qui engendre des phénomènes de chocs électriques; — rayonnement électromagnétique nominal qui impacte les systèmes de commande environnants de la machine; — corrosion engendrant une surchauffe des câbles électriques. Le présent document n'est pas applicable aux systèmes non E/E/PES (par exemple hydraulique, mécanique et pneumatique). NOTE 2 Pour les principes de conception relatifs à la sécurité des machines, voir également l'ISO 12100. Le présent document n'est pas applicable aux parties relatives à la sécurité des systèmes de commande fabriqués avant la date de sa publication.

General Information

Status
Published
Publication Date
12-Aug-2019
ICS
35.240.99 - IT applications in other fields
65.060.01 - Agricultural machines and equipment in general
Technical Committee
ISO/TC 23/SC 19 - Agricultural electronics
Drafting Committee
ISO/TC 23/SC 19/WG 8 - Safety and security
Current Stage
9092 - International Standard to be revised
Start Date
06-Oct-2025
Completion Date
07-Dec-2025
Ref Project

Relations

Revises
ISO 25119-2:2018 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase
Effective Date
23-Apr-2020
ISO 25119-2:2019 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase Released:8/13/2019ISO 25119-2:2019 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase Released:8/13/2019
PreviousNext
Standard
ISO 25119-2:2019 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase Released:8/13/2019
English language
47 pages
sale 15% off
Preview
sale 15% off
Preview
ISO 25119-2:2019 - Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 2: Phase de projet Released:8/13/2019ISO 25119-2:2019 - Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 2: Phase de projet Released:8/13/2019
PreviousNext
Standard
ISO 25119-2:2019 - Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 2: Phase de projet Released:8/13/2019
French language
50 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


INTERNATIONAL ISO
STANDARD 25119-2
Third edition
2019-08
Tractors and machinery for
agriculture and forestry — Safety-
related parts of control systems —
Part 2:
Concept phase
Tracteurs et matériels agricoles et forestiers — Parties des systèmes
de commande relatives à la sécurité —
Partie 2: Phase de projet
Reference number
©
ISO 2019
© ISO 2019
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2019 – All rights reserved

Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 2
3 Terms and definitions . 2
4 Abbreviated terms . 2
5 Concept — UoO . 3
5.1 Objectives. 3
5.2 Prerequisites . 3
5.3 Requirements . 3
5.3.1 Basic requirements and ambient conditions . 3
5.3.2 Limits of UoO and its interfaces with other UoO . 4
5.3.3 Mapping and allocation of relevant functions to involved UoO, sources of stress . 4
5.3.4 Additional determinations . 4
5.4 Work products . 4
6 HARA — Determination of the AgPL . 5
r
6.1 Objectives. 5
6.2 Prerequisites . 5
6.3 Requirements . 5
6.3.1 Procedures for preparing a HARA . 5
6.3.2 Tasks in the HARA . 5
6.3.3 Participants in HARA . . 5
6.3.4 Classification of a potential harm . 5
6.3.5 Classification of exposure in the situation observed . 6
6.3.6 Classification of a possible avoidance of harm . 6
6.3.7 Selecting the AgPL .
r 7
6.4 Work products . 9
7 Functional safety concept. 9
7.1 Objectives. 9
7.2 Prerequisites . 9
7.3 Requirements . 9
7.3.1 Safety goals . 9
7.3.2 Functional safety requirements . 9
7.3.3 Value of MTTF .10
D
7.3.4 Value of DC .10
7.3.5 Selection of categories, MTTF , DC and SRL .10
DC
7.3.6 Achieving the AgPL .11
r
7.3.7 Compatibility with other functional safety standards .12
7.3.8 Joining E/E/PES.12
7.3.9 Alternate combinations of SRP/CS to achieve overall AgPL.12
7.4 Work products .12
Annex A (normative) Designated architectures for SRP/CS.13
Annex B (informative) Simplified method to estimate channel MTTF .20
DC
Annex C (informative) Determination of diagnostic coverage (DC) .24
Annex D (informative) Estimates for common-cause failure (CCF) .29
Annex E (informative) Systematic failure .31
Annex F (informative) Characteristics of safety-related functions that are often
fundamental to risk reduction .34
Annex G (informative) Example of a risk analysis .37
Annex H (normative) Compatibility with other functional safety standards .42
Annex I (informative) Joined systems alternative compliance method .44
Annex J (normative) Alternate combinations of SRP/CS to achieve overall AgPL .45
Bibliography .47
iv © ISO 2019 – All rights reserved

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Technical Committee ISO/TC 23, Tractors and machinery for agriculture
and forestry, Subcommittee SC 19, Agricultural electronics.
This third edition cancels and replaces the second edition (ISO 25119-2:2018), of which it constitutes a
minor revision. The changes compared to the previous edition are as follows.
— A minor revision was made to Annex H to improve the clarity and understanding of the requirements
to be followed by the end user about subsystems, elements, or components designed according to
ISO 26262.
A list of all parts in the ISO 25119 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
Introduction
ISO 25119 (all parts) sets out an approach to the assessment, design and verification, for all safety life
cycle activities, of safety-related parts comprising electrical and/or electronic and/or programmable
electronic systems (E/E/PES) on tractors used in agriculture and forestry, and on self-propelled ride-
on machines and mounted, semi-mounted and trailed machines used in agriculture. It is also applicable
to mobile municipal equipment.
A prerequisite to the application of ISO 25119 (all parts) is the completion of a suitable hazard
identification and risk analysis (such as ISO 12100) for the entire machine. As a result, an E/E/PES
is frequently assigned to provide safety-related functions that create safety-related parts of control
systems (SRP/CS). These can consist of hardware or software, can be separate or integrated parts of
a control system, and can either perform solely safety-related functions or form part of an operational
function.
In general, the designer (and to some extent, the user) will combine the design and validation of these
SRP/CS as part of the risk assessment. The objective is to reduce the risk associated with a given hazard
(or hazardous situation) under all conditions of use of the machine. This can be achieved by applying
various measures (both SRP/CS and non-SRP/CS) with the end result of achieving a safe condition.
ISO 25119 (all parts) allocates the ability of safety-related parts to perform a safety-related function
under foreseeable conditions into five performance levels. The performance level of a controlled
channel depends on several factors, including system structure (category), the extent of fault detection
mechanisms (diagnostic coverage), the reliability of components (mean time to dangerous failure,
common-cause failure), design processes, operating stress, environmental conditions and operation
procedures. Three types of failures that can cause E/E/PES malfunctions leading to potential hazardous
situations are considered: systematic, common-cause and random.
In order to guide the designer during design, verification, and to facilitate the assessment of the achieved
performance level, ISO 25119 (all parts) defines an approach based on a classification of architecture
with different design features and specific behaviour in case of a fault.
The performance levels and categories can be applied to the control systems of all kinds of mobile
machines: from simple systems (such as auxiliary valves) to complex systems (such as steer by wire), as
well as to the control systems of protective equipment (such as interlocking devices, pressure sensitive
devices).
ISO 25119 (all parts) adopts a risk-based approach for the determination of the risks, while providing a
means of specifying the required performance level for the safety-related functions to be implemented
by E/E/PES safety-related channels. It gives requirements for the whole safety life-cycle of E/E/PES
(design, validation, production, operation, maintenance, decommissioning), necessary for achieving the
required functional safety for E/E/PES that are linked to the performance levels.
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basic safety standards) give basic concepts, principles for design and general
aspects that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
— type-B2 standards on safeguards (e.g. two-hand controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B1 standard as stated in ISO 12100.
vi © ISO 2019 – All rights reserved

This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organizations, market surveillance, etc.).
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e.g. for maintenance (small, medium and large enterprises);
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and
built according to the requirements of that standard, the requirements of that type-C standard take
precedence.
INTERNATIONAL STANDARD ISO 25119-2:2019(E)
Tractors and machinery for agriculture and forestry —
Safety-related parts of control systems —
Part 2:
Concept phase
1 Scope
This document specifies the concept phase of the development of safety-related parts of control
systems (SRP/CS) on tractors used in agriculture and forestry and on self-propelled ride-on machines
and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to mobile
municipal equipment (such as street-sweeping machines).
This document is not applicable to:
— aircraft and air-cushion vehicles used in agriculture;
— lawn and garden equipment.
This document specifies the characteristics and categories required of SRP/CS for carrying out their
safety-related functions. It does not identify performance levels for specific applications.
NOTE 1 Machine specific type-C standards can specify performance levels (AgPL) for safety-related functions
in machines within their scope. Otherwise, the specification of AgPL is the responsibility of the manufacturer.
This document is applicable to the safety-related parts of electrical/electronic/programmable
electronic systems (E/E/PES), as these relate to mechatronic systems. It covers the possible hazards
caused by malfunctioning behaviour of E/E/PES safety-related systems, including interaction of these
systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity,
flammability, reactivity, corrosion, release of energy, and similar hazards., unless directly caused by
malfunctioning behaviour of E/E/PES safety-related systems. It also covers malfunctioning behaviour
of E/E/PES safety-related systems involved in protection measures, safeguards, or safety-related
functions in response to non-E/E/PES hazards.
Examples included within the scope of this document:
— SRP/CS’s limiting current flow in electric hybrids to prevent insulation failure/shock hazards;
— electromagnetic interference with the SRP/CS;
— SRP/CS’s designed to prevent fire.
Examples not included within the scope of this document:
— insulation failure due to friction that leads to electric shock hazards;
— nominal electromagnetic radiation impacting nearby machine control systems;
— corrosion causing electric cables to overheat.
This document is not applicable to non-E/E/PES systems (such as hydraulic, mechanic or pneumatic).
NOTE 2 See also ISO 12100 for design principles related to the safety of machinery.
This document is not applicable to safety-related parts of control systems manufactured before the
date of its publication.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 25119-1:2018, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 1: General principles for design and development
ISO 25119-3:2018, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 3: Series development, hardware and software
ISO 25119-4:2018, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 4: Production, operation, modification and supporting processes
3 Terms and definitions
For the purposes of this document, the terms and definitions in ISO 25119-1 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
4 Abbreviated terms
For the purposes of this document, the following abbreviated terms apply.
ADC analogue to digital converter
AgPL agricultural performance level
AgPL required agricultural performance level
r
Cat hardware category
CCF common-cause failure
CRC cyclic redundancy check
DC diagnostic coverage
DC average diagnostic coverage
avg
ECU electronic control unit
ETA event tree analysis
E/E/PES electrical/electronic/programmable electronic systems
EMC electromagnetic compatibility
FMEA failure mode and effects analysis
EPROM erasable programmable read-only memory
FTA fault tree analysis
HARA hazard analysis and risk assessment
2 © ISO 2019 – All rights reserved

HIL hardware in the loop
MTTF mean time to failure
MTTF mean time to dangerous failure
D
MTTF mean time to dangerous failure for each channel
DC
PES programmable electronic system
QM quality measures
RAM random-access memory
SOP start of production
SRL software requirement level
SRP/CS safety-related parts of control systems
UoO unit of observation
5 Concept — UoO
5.1 Objectives
The objective of this phase is to develop an adequate understanding of the UoO in order to satisfactorily
complete all of the tasks defined in the safety life cycle (see ISO 25119-1:2018, Figure 2). For each UoO,
a suitable method shall be used to determine the required performance level. Suitable methods include
risk analysis (described below), other standards, legal requirements and test body expertise or a
combination of these.
5.2 Prerequisites
The necessary prerequisites are a description of the safety-related function to be provided by the UoO,
its interfaces, already-known safety and reliability requirements and the scope of application.
5.3 Requirements
5.3.1 Basic requirements and ambient conditions
The following information shall be available for the safety-related function of the UoO:
a) the scope, context, purpose and known elements;
b) functional requirements;
c) other requirements and ambient conditions that should be taken into account include:
— technical or physical requirements, such as operating, environmental and surrounding
conditions and constraints;
— legal requirements, especially safety-related legislation, regulations and standards (national
and international);
d) historical safety and reliability requirements and the level of safety and reliability achieved for
similar or related UoO.
5.3.2 Limits of UoO and its interfaces with other UoO
The following information shall be considered in order to gain an understanding of the operation of the
UoO in its environment:
— the limits of the UoO;
— its interfaces and interactions with other UoO and components;
— requirements for the safety-related functions related to other UoO.
5.3.3 Mapping and allocation of relevant functions to involved UoO, sources of stress
The sources of stress which could affect the safety and reliability of the UoO shall be determined,
including the following:
— the interaction of different UoO;
— stresses of a physical or chemical nature (energy content, toxicity, explosiveness, corrosiveness,
reactivity, combustibility, etc.);
— other external events [temperature, shock, electromagnetic compatibility (EMC), etc.];
— reasonable foreseeable human operating errors;
— stresses originating from the UoO, and events triggering failure (e.g. during assembly or
maintenance).
5.3.4 Additional determinations
In addition to the activities described in 5.3.2, the following determinations or actions shall be
implemented:
— determination as to whether the UoO is a new development or a modification, adaptation or
derivative of an existing UoO and, in the case of modification, the carrying out of an impact analysis
to adjust the safety life cycle accordingly;
— preparing a plan and a specification to verify and validate the requirements regarding the UoO
defined in 5.3.1;
— definition of project management for the appropriate phases in the life cycle;
— adequate input data for the reliability assessment;
— adequate procedures and application of tools and technologies;
— utilization of suitably qualified staff.
5.4 Work products
The work products if applicable of the UoO shall be:
a) elements included within the UoO;
b) specification of the basic requirements and ambient conditions;
c) limits of the UoO and its interfaces with other UoO;
d) sources of stress;
e) additional determinations.
4 © ISO 2019 – All rights reserved

6 HARA — Determination of the AgPL
r
6.1 Objectives
The main objectives are to analyse risks associated with a faulted UoO (one not performing safety-
related functions as intended, such as not stopping properly, propelling while in neutral, steering in
the wrong direction) and then, assign an appropriate AgPL . Risk is defined as the combination of the
r
probability of occurrence of harm and the severity of that harm (see ISO 25119-1:2018, 3.39). When
considering the probability of the occurrence of harm, when appropriate, the probability of being
exposed to a hazardous situation with a faulted UoO can be taken into account.
The procedure described in 6.2 to 6.4 provides guidance for determining the AgPL based on the HARA.
r
6.2 Prerequisites
The UoO definition associated with each safety-related function.
6.3 Requirements
6.3.1 Procedures for preparing a HARA
The HARA shall take into account the entire safety-related function so that an appropriate specification
for the SRP/CS can be provided. If decisions are made later in the safety life cycle changing the scope of
application, the HARA shall be reworked accordingly. To identify the changes and their impacts on the
work products, an impact analysis shall be carried out in accordance with ISO 25119-4.
6.3.2 Tasks in the HARA
The operating conditions, in which the malfunctioning behaviour of the UoO will result in hazardous
situations, when correctly used and when incorrectly used in a reasonably foreseeable way, shall be
taken into account.
6.3.3 Participants in HARA
The HARA shall involve sufficient people to ensure that all relevant expertise is available.
NOTE Involving individuals from different disciplines often provides valuable input to the HARA.
6.3.4 Classification of a potential harm
The potential severity of harm shall be determined and documented.
Potentially harmful effects shall be deduced by considering all hazardous situations resulting from
malfunctions of the safety-related function in relevant operating conditions, modes and situations.
A categorization shall be used in the description of the harm. For this reason, a classification of the
severity of harm is presented in four categories: S0, S1, S2 and S3 (see Table 1).
The actions of the operator of the involved machine and bystanders (e.g. people lending assistance,
other operators of machinery, other traffic participants, etc.) shall be taken into account and their
exposure to harm documented.
The objective of the assessment and classification of a potential harm shall be focused on and limited
to harm to people. If the analysis of the malfunction of the safety-related function is clearly limited to
property and does not involve harm to people, then these malfunctions need not be classified as safety-
related.
No advanced risk assessment need to be carried out for functions assigned to harm class S0.
Table 1 — Classification of injuries
S0 S1 S2 S3
No injuries, damage Light and moderate Severe and life-threatening Life-threatening injuries
limited to property injuries, requires medical injuries (survival prob- (survival uncertain), severe
attention, total recovery able), permanent partial disability
loss in work capacity
6.3.5 Classification of exposure in the situation observed
A HARA shall take into account the exposure effects of possible malfunctions of the safety-related
function in all specific relevant regional working and operating conditions. These situations range
from daily routine activities to extreme, rare situations. The variable “E” shall be used to categorize
the different frequencies or duration of exposure. Five categories, designated E0, E1, E2, E3 and E4,
are used (see Table 2), where “E” serves as an estimation of how often and how long an operator or
bystander is exposed to a hazard where a failure could result in harm to the operator or bystander.
The most appropriate method for each hazardous situation, frequency or duration, shall be used for the
determination of AgPL . When more than one category is determined to be appropriate for a particular
r
hazardous situation, the method returning the highest category shall be used.
NOTE A hazard capable of producing harm can result from a combination of machine conditions (such as
environmental and/or operational).
Table 2 — Classification of exposure to the hazardous situation
Description E0 E1 E2 E3 E4
Improbable
Rare events Sometimes Often Frequently
Definition of (theoretically
(less than once (more than once (more than once (almost every
frequency possible; once
per year) per year) per month) operation)
during lifetime)
Definition of
duration
0,01 % to less 0,1 % to less 1 % to less than Greater than or
Less than 0,01 %
t than 0,1 % than 1 % 10 % equal to 10 %
exp
t
avop
t exposure time.
exp
t average operating time.
av op
6.3.6 Classification of a possible avoidance of harm
Assessing possible avoidance of harm involves appraising whether a typical trained machine operator
has a level of control over the harm that could arise and can avoid it or, the situation is completely
uncontrollable. Similarly, an untrained bystander may have a level of control to avoid a harmful
situation. The variable C shall be used to classify the ability to avoid harm. The value of C for a possible
avoidance of harm shall consider only the ability of persons to avoid the harm following the malfunction
of the safety-related function and shall not take into account the reliability or any measures provided
in the SRP/CS which mitigate risk in the event of a malfunction. The classifications C0, C1, C2 and C3
represent “easily controllable”, “simply controllable”, “mostly controllable” and “none” (see Table 3).
6 © ISO 2019 – All rights reserved

Table 3 — Classification of avoidance of harm
C0 C1 C2 C3
Easily controllable Simply controllable Mostly controllable None
The operator or bystander More than 99 % of people More than 90 % of people The typical trained oper-
controls the situation, and control the situation. In control the situation. In ator or bystander cannot
harm is avoided. more than 99 % of the more than 90 % of the generally avoid the harm.
occurrences, the situation occurrences, the situation
does not result in harm. does not result in harm.
6.3.7 Selecting the AgPL
r
Figure 1 gives guidance for the determination of AgPL by combining the severity (S), exposure (E), and
r
controllability (C) values for each identified hazardous situation.
NOTE Experience of the safe use of the same or similar machinery and general competence in the
safeguarding of machinery is required to establish the AgPL when applying Figure 1.
r
AgPL are designated from AgPL = a to AgPL = e. AgPL = a has the least stringent system requirements
r r r r
and AgPL = e has the most stringent system requirements. In addition to these levels, there is a
r
quality measure designation, QM, which implicitly requires system development in accordance with
a recognized quality management standard (e.g. ISO 9001). QM applies only to functions where the
risk is sufficiently low to allow the function to be classified as non-safety-related for the purposes of
ISO 25119 (all parts).
The identified hazards that define the AgPL related to the safety-related function of the UoO (see 7.3.2)
r
and their associated AgPL shall be described and documented in a HARA report.
r
An example HARA and resulting AgPL is given in Annex G.
r
Key
S severity
E exposure to hazardous situation
C controllability
QM quality measures
a, b, c, d, e required agricultural performance level (AgPL )
r
NOTE See 6.3.7 for the description of QM.
Figure 1 — Determination of AgPL
r
8 © ISO 2019 – All rights reserved

6.4 Work products
The following shall be determined and documented:
a) HARA report.
NOTE Document retention per ISO 25119-4.
7 Functional safety concept
7.1 Objectives
Derived from the results of the previous phases, the objectives of the requirements of this phase are to
define high level design concepts and requirements at the system level.
7.2 Prerequisites
— Results of HARA.
— AgPL for the safety-related functions.
r
7.3 Requirements
7.3.1 Safety goals
Each hazardous situation with an AgPL greater than QM shall be associated with a safety goal. A safety
r
goal may address multiple hazardous situations. If similar safety goals are determined, these may be
combined into one safety goal.
NOTE Safety goals are top-level safety objectives for the UoO. They lead to the functional safety requirements
needed to avoid an unreasonable risk for each hazardous situation.
7.3.2 Functional safety requirements
Functional safety requirements realize the safety goals in a more specific way ensuring the functional
safety of the respective UoO. Adequate functional safety requirements shall be derived from the safety
goals. The functional safety requirements inherit the AgPL of the hazardous situations and related
r
safety goals.
If functional safety requirements address similar hazardous situations with different AgPL ’s, the
r
functional safety requirements shall implement the highest AgPL .
r
Safe states, if applicable, shall be evaluated for each functional safety requirement that is derived from
the relevant safety goal. The transition to and the maintenance of safe states shall be defined in the
technical safety requirements.
When defining functional safety requirements, the following shall be considered:
— systematic failure (see Annex E);
— the ability to perform a safety-related function under expected environmental conditions (such as
those set out in ISO 15003);
— other typical functions (see Annex F).
7.3.3 Value of MTTF
D
For the purposes of ISO 25119 (all parts), MTTF shall be:
D
— classified as low, medium or high;
— taken into account for each safety-related channel of an SRP/CS individually (MTTF ).
DC
It may be calculated directly per Table 4 or determined by methods found in Annex B.
NOTE MTTF is the reciprocal value of λ .
D D
Table 4 — Mean time to dangerous failure
Denotation MTTF requirement
D
Low from 3 years to less than 10 years
Medium from 10 years to less than 30 years
High 30 years and greater
7.3.4 Value of DC
The value of DC shall be classified as low, medium or high for the purposes of ISO 25119 (all parts). It
may be calculated directly per Table 5 or determined by methods found in Annex C.
NOTE 1 Diagnostic coverage can exist for the whole or parts of a high-risk functional system, e.g. for sensors
and/or logic system and/or final elements.
NOTE 2 For SRP/CS consisting of several parts, an average value, DC , is used (see Annex C).
avg
Table 5 — Diagnostic coverage (DC)
DC ∑λ /∑λ × 100 %
DD D
Low from 0 % to less than 60 %
Medium from 60 % to less than 90 %
High 90 % and greater
7.3.5 Selection of categories, MTTF , DC and SRL
DC
The AgPL is a function of the following four aspects:
— category (see Annex A);
— MTTF (see Annex B);
DC
— DC (see Annex C);
— SRL specified in ISO 25119-3:2018, Clause 7.
Additionally, the following items shall be considered during system design:
— CCF for categories 3 and 4 architectures (see Annex D);
— modifications made to SRP/CS with an AgPL equal to “a” or higher should only be performed by
responsible persons (or service providers) authorized by the manufacturer of the system. Practicable
protection against unauthorized modification according to ISO 25119-4:2018, Clause 11 shall be
considered.
As indicated at Figure 2, it may be possible to use more than one combination of reliability (DC, SRL)
and architecture (Cat) to achieve the AgPL . For example, it is possible for single-channel architecture
r
10 © ISO 2019 – All rights reserved

of high reliability to achieve the same AgPL as that provided by dual-channel architecture of lower
reliability (see Figure 2).
Key
low MTTF
DC
medium MTTF
DC
high MTTF
DC
Figure 2 — Relationship between AgPL, categories, MTTF , DC and SRL
DC
The AgPL is shown on the vertical axis of Figure 2. The hardware categories are listed on the horizontal
axis with each category having an associated diagnostic coverage (DC), mean time to dangerous failure
(MTTF ) and software requirement level (SRL) for a given AgPL.
DC
For the AgPL, the designer shall select one hardware category.
NOTE Choosing a higher category for a given AgPL could allow lower MTTF and/or SRL.
DC
7.3.6 Achieving the AgPL
r
A safety-related function may be implemented by one or more SRP/CS. The designer may use any of the
technologies available singularly, or in combination. Each element may consist of a different technology
or technologies that are based on E/E/PES. SRP/CS may be combined with safety measures from other
technologies such as mechanical safety functions (e.g. mechanically linked contacts).
NOTE Failures of non-E/E/PES are not within the scope of this document.
The functional safety concept shall be developed by specifying the characteristics of individual SRP/
CS or combinations of SRP/CS that meet the functional safety requirements. Selection of hardware
categories, MTTF , DC and SRL shall be made such that the resultant AgPL of the individual or
DC
combination SRP/CS meets or exceeds all AgPL ’s of the assigned functional safety requirements.
r
A typical control channel with its associated elements being tasked to perform a safety-related function
is shown in Figure 3, with input (I), E/E/PES (L), output/power control element (O) and interconnecting
means (e.g. electrical, optical). All interconnecting means are included in the SRP/CS.
EXAMPLE Input comprising a speed sensor linked to a light-activated signal converter.
Key
I input device (e.g. sensor)
L logic
O output device (e.g. actuator)
S interconnecting signal input
I
S interconnecting signal output
O
Figure 3 — Diagram of combination of safety-related parts
7.3.7 Compatibility with other functional safety standards
The use of SRP/CS derived from the application of other functional safety standards is allowed only per
Annex H.
7.3.8 Joining E/E/PES
Guidance regarding the combination of E/E/PES (for example, tractor and implement) is found in
Annex I.
7.3.9 Alternate combinations of SRP/CS to achieve overall AgPL
The alternate methods found in Annex J shall be used for the determination of the overall AgPL when it
is practical to join multiple SRP/CS with existing separate AgPLs.
7.4 Work products
The work products of functional safety concept shall be:
a) safety goals;
b) functional safety requirements and associated AgPL ;
r
c) selected categories, MTTF , DC and SRL;
DC
d) CCF if applicable.
12 © ISO 2019 – All rights reserved

Annex A
(normative)
Designated architectures for SRP/CS
A.1 General
Figure 3 and Figures A.1 to A.3 define the architecture required for each respective hardware category.
All architectures shall apply well-tried safety principles, such as:
— avoidance of certain faults, e.g. avoidance of short circuit by separation;
— reducing the probability of faults, e.g. over-dimensioning or derating of components;
— controlling the fault mode, e.g. by ensuring an open circuit when it is vital to remove power in the
event of fault (normally open contact);
— detecting faults prior to exposure to the hazard when practicable.
The use of well-tried components is recommended for Category B and shall be provided for Categories 1
to 4. A well-tried component for a safety-related application shall be a component which has been
a) widely used in the past with successful results in similar applications, or
b) made and verified using principles which demonstrate suitability and reliability for safety-related
applications.
Newly developed components may be considered as being equivalent to well-tried components if they
correspond to b), above.
The figures do not show examples but general architectures. A deviation from these architectures is
always possible. Nevertheless, any deviation from these categories will require justification, by means
of appropriate analytical tools, that the architecture meets the required category.
NOTE 1 Redundancy, such as redundant sensors, can be used to improve diagnostic coverage.
NOTE 2 Other hardware architectures can be found, for example, in IEC 61508-6:2010, Annex B.
A.2 Category B (basic)
A.2.1 General
See Figure 3 for th
...


NORME ISO
INTERNATIONALE 25119-2
Troisième édition
2019-08
Tracteurs et matériels agricoles et
forestiers — Parties des systèmes de
commande relatives à la sécurité —
Partie 2:
Phase de projet
Tractors and machinery for agriculture and forestry — Safety-related
parts of control systems —
Part 2: Concept phase
Numéro de référence
©
ISO 2019
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2019
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2019 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Termes abrégés . 2
5 Concept — UoO . 3
5.1 Objectifs . 3
5.2 Conditions préalables . 3
5.3 Exigences . 3
5.3.1 Exigences fondamentales et conditions ambiantes . 3
5.3.2 Limites de l'UoO et ses interfaces avec d'autres UoO . 4
5.3.3 Mise en correspondance et affectation des fonctions pertinentes aux UoO
impliquées, sources de contrainte . 4
5.3.4 Déterminations supplémentaires . 4
5.4 Produits fabriqués . 5
6 HARA: Détermination de l'AgPLr . 5
6.1 Objectifs . 5
6.2 Conditions préalables . 5
6.3 Exigences . 5
6.3.1 Procédures de préparation d'une analyse HARA . 5
6.3.2 Les tâches d'une analyse HARA . 5
6.3.3 Participants à l'analyse HARA . 5
6.3.4 Classification d'un dommage potentiel . 6
6.3.5 Classification de l'exposition dans la situation observée . 6
6.3.6 Classification des possibilités d'éviter un dommage . 7
6.3.7 Sélection de l'AgPLr . 7
6.4 Produits fabriqués . 8
7 Concept de sécurité fonctionnelle . 9
7.1 Objectifs . 9
7.2 Conditions préalables . 9
7.3 Exigences . 9
7.3.1 Objectifs de sécurité . 9
7.3.2 Exigences de sécurité fonctionnelle . 9
7.3.3 Valeur de MTTF .
D 9
7.3.4 Valeur de DC .10
7.3.5 Sélection des catégories MTTF , DC et SRL .10
DC
7.3.6 Obtention de l'AgPLr .11
7.3.7 Compatibilité avec d'autres fonctions de sécurité .12
7.3.8 Combinaison d'E/E/PES .12
7.3.9 Variantes de combinaisons de SRP/CS pour atteindre l'AgPL global .12
7.4 Produits fabriqués .12
Annexe A (normative) Architectures désignées pour les SRP/CS .13
Annexe B (informative) Méthode simplifiée d'estimation du MTTF d'un canal .21
DC
Annexe C (informative) Détermination de la couverture de diagnostic (DC) .25
Annexe D (informative) Estimations relatives à la défaillance de cause commune (CCF) .31
Annexe E (informative) Défaillance systématique .33
Annexe F (informative) Caractéristiques des fonctions relatives à la sécurité souvent
fondamentales pour la réduction des risques .36
Annexe G (informative) Exemple d'analyse du risque .39
Annexe H (normative) Compatibilité avec les autres normes relatives à la sécurité fonctionnelle 44
Annexe I (informative) Méthode alternative de conformité des systèmes assemblés .47
Annexe J (normative) Autres combinaisons de SRP/CS pour atteindre l'AgPL global.48
Bibliographie .50
iv © ISO 2019 – Tous droits réservés

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/iso/fr/avant -propos .html.
Le présent document a été élaboré par le comité technique ISO/TC 23, Tracteurs et matériels agricoles et
forestiers, sous-comité SC 19, Électronique en agriculture.
Cette troisième édition annule et remplace la deuxième édition (ISO 25119-2:2018), qui a fait l’objet
d’une révision technique.
Les principales modifications par rapport à l’édition précédente sont les suivantes:
— Une révision mineure a été faite sur l’Annexe H pour améliorer la clareté et la compréhension des
exigences à suivre par l’utilisateur final concernant les sous-systèmes ou composants conçus suivant
l’ISO 26262.
Une liste de toutes les parties de la série ISO 25119 se trouve sur le site Web de l’ISO.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/fr/members .html.
Introduction
L'ISO 25119 (toutes ses parties) établit une approche pour l'évaluation, la conception et la vérification,
pour toutes les activités relatives au cycle de vie de sécurité, des parties relatives à la sécurité
comprenant les systèmes électriques et/ou électroniques et/ou électroniques programmables (E/E/
PES) utilisés sur les tracteurs agricoles et forestiers, sur les machines automotrices à conducteur
porté et sur les machines portées, semi-portées et traînées utilisées en agriculture. Elle est également
applicable aux équipements municipaux mobiles.
Le prérequis pour l’application de l’ISO 25119 (toutes ses parties), est la réalisation d’une identification
des risques et d'une analyse de risque (par exemple ISO 12100) adaptées pour la totalité de la machine.
Il en résulte qu'un système E/E/PES est fréquemment chargé d'assurer des fonctions relatives à la
sécurité, créant des parties de systèmes de commande relatives à la sécurité (SRP/CS). Ces parties
peuvent être constituées de matériels et de logiciels, elles peuvent être des parties isolées du système
de commande ou en faire partie intégrante, et elles peuvent soit assurer uniquement des fonctions
relatives à la sécurité, soit faire partie d'une fonction opérationnelle.
En général, le concepteur (et, dans une certaine mesure, l'utilisateur) associe la conception et la
validation de ces SRP/CS dans le cadre de l'appréciation du risque. L'objectif est de réduire le risque lié à
un phénomène dangereux donné (ou à une situation dangereuse) dans toutes les conditions d'utilisation
de la machine. Cela peut être réalisé en appliquant diverses mesures (aussi bien SRP/CS que non SRP/
CS) dans le but final de réaliser une condition de sécurité.
L'ISO 25119 (toutes ses parties) aborde la capacité des parties relatives à la sécurité à réaliser une
fonction relative à la sécurité dans des conditions prévisibles en cinq niveaux de performance. Le
niveau de performance d'un canal contrôlé dépend de plusieurs facteurs, tels que la structure du
système (catégorie), l'étendue du mécanisme de détection de défaut (couverture de diagnostic), la
fiabilité des composants (temps moyen avant défaillance dangereuse, défaillances de cause commune),
le processus de conception, la contrainte en service, les conditions environnementales et les procédures
de fonctionnement. Trois types de défaillance susceptibles de provoquer des dysfonctionnements
des systèmes E/E/PES conduisant à des situations potentiellement dangereuses sont considérés: la
défaillance systématique, la défaillance de cause commune et la défaillance aléatoire.
Afin de guider le concepteur pendant la conception et la vérification, et de faciliter l'évaluation du
niveau de performance atteint, l'ISO 25119 (toutes ses parties) définit une approche fondée sur une
classification d'architecture avec différentes caractéristiques de conception et un comportement
spécifique en cas de défaut.
Les niveaux et catégories de performance peuvent être appliqués aux systèmes de commande de tous
les types de machines mobiles, des systèmes simples (par exemple valves auxiliaires) aux systèmes
complexes (par exemple transmission par fil), ainsi qu'aux systèmes de commande d'équipements de
protection (par exemple dispositifs de verrouillage ou dispositifs sensibles à la pression).
L'ISO 25119 (toutes ses parties) adopte une approche fondée sur le risque pour déterminer les risques,
tout en fournissant un moyen permettant de spécifier le niveau de performance requis pour les fonctions
relatives à la sécurité à mettre en œuvre par les canaux E/E/PES relatifs à la sécurité. Elle fournit
les exigences pour tout le cycle de vie de sécurité des E/E/PES (conception, validation, production,
fonctionnement, maintenance, démantèlement) nécessaires pour assurer la sécurité fonctionnelle
requise pour les E/E/PES liés aux niveaux de performance.
La structure des normes de sécurité dans le domaine des machines est la suivante:
a) Normes de type A (normes de sécurité fondamentales) précisant des notions fondamentales, des
principes de conception et des aspects généraux valables pour tous les types de machines.
b) Normes de type B (normes génériques de sécurité) traitant d’un ou plusieurs aspects de la sécurité,
ou d’un ou plusieurs types de protecteur valable pour une large gamme de machines:
— normes de type B1 traitant d’aspects particuliers de la sécurité (par exemple: distances de sécurité,
température de surface, bruit);
vi © ISO 2019 – Tous droits réservés

— normes de type B2 traitant de dispositifs conditionnant la sécurité (par exemple: commandes bi-
manuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).
c) Normes de type C (normes de sécurité par catégorie de machines) indiquant des spécifications de
sécurité détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type B1 comme mentionné dans l’ISO 12100.
Le présent document concerne, en particulier, les groupes de parties prenantes suivants représentant
les acteurs du marché en ce qui concerne la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— les organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des
risques professionnels, surveillance du marché, etc.).
D'autres partenaires peuvent être concernés par le niveau de sécurité des machines atteint à l'aide du
document par les groupes de parties prenantes mentionnés ci-dessus:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/salariés (par exemple: syndicats de salariés, organisations représentant
des personnes ayant des besoins particuliers);
— prestataires de services, par exemple pour la maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (dans le cas de machines destinées à être utilisées par des consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer à l'élaboration
du présent document.
De plus, le présent document est destiné aux organismes de normalisation élaborant des normes de type C.
Les exigences du présent document peuvent être complétées ou modifiées par une norme de type C.
Pour les machines couvertes par le domaine d'application d'une norme de type C et qui ont été conçues et
construites conformément aux exigences de cette norme, les exigences de la norme de type C prévalent.
NORME INTERNATIONALE ISO 25119-2:2019(F)
Tracteurs et matériels agricoles et forestiers — Parties des
systèmes de commande relatives à la sécurité —
Partie 2:
Phase de projet
1 Domaine d'application
Le présent document spécifie la phase de conception du développement des parties relatives à la sécurité
des systèmes de commande (SRP/CS) utilisés sur les tracteurs agricoles et forestiers, sur les machines
automotrices à conducteur porté et sur les machines portées, semi-portées et traînées utilisées en
agriculture. Il peut également s'appliquer aux équipements municipaux mobiles (par exemple machines
de nettoiement).
Le présent document ne s’applique pas:
— aux véhicules aéroportés et sur coussin d’air utilisés en agriculture,
— aux équipements de jardinage ou horticoles.
Le présent document spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser
leurs fonctions relatives à la sécurité. Il n'identifie pas de niveaux de performance pour des applications
spécifiques.
NOTE 1 Les normes spécifiques à une machine donnée (normes de type C) peuvent spécifier des niveaux
de performance (AgPL) pour des fonctions relatives à la sécurité dans des machines relevant de leur domaine
d'application. Sinon, la spécification de l'AgPL est de la responsabilité du fabricant.
Le présent document s'applique aux parties relatives à la sécurité des systèmes électriques/
électroniques/électroniques programmables (E/E/PES), dans la mesure où celles-ci sont liées aux
systèmes mécatroniques. Il couvre les éventuels phénomènes dangereux dus au dysfonctionnement de
systèmes E/E/PES relatifs à la sécurité, y compris l'interaction entre ces systèmes. Il ne traite pas des
phénomènes dangereux associés aux événements suivants: choc électrique, incendie, fumées, chaleur,
rayonnement, toxicité, inflammabilité, réactivité, corrosion, libération d'énergie et phénomènes
dangereux similaires, à moins qu'ils ne soient causés directement par un dysfonctionnement des
systèmes E/E/PES relatifs à la sécurité. Il couvre également le dysfonctionnement des systèmes E/E/
PES relatifs à la sécurité qui sont impliqués dans les mesures de protection, protecteurs ou fonctions
relatives à la sécurité en réponse aux phénomènes dangereux hors E/E/PES.
Exemples faisant partie du domaine d'application du présent document:
— SRP/CS limitant le flux de courant dans les hybrides électriques pour empêcher les phénomènes
dangereux de panne d’isolement/choc;
— interférence électromagnétique avec les SRP/CS; et
— SRP/CS conçues pour empêcher les incendies.
Exemples ne faisant pas partie du domaine d'application:
— panne d’isolement due au frottement qui engendre des phénomènes de chocs électriques;
— rayonnement électromagnétique nominal qui impacte les systèmes de commande environnants de
la machine;
— corrosion engendrant une surchauffe des câbles électriques.
Le présent document n'est pas applicable aux systèmes non E/E/PES (par exemple hydraulique,
mécanique et pneumatique).
NOTE 2 Pour les principes de conception relatifs à la sécurité des machines, voir également l'ISO 12100.
Le présent document n'est pas applicable aux parties relatives à la sécurité des systèmes de commande
fabriqués avant la date de sa publication.
2 Références normatives
Les documents suivants cités dans le texte constituent, pour tout ou partie de leur contenu, des
exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO 25119-1:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 1: Principes généraux pour la conception et le développement
ISO 25119-3:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels
ISO 25119-4:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 4: Procédés de production, de fonctionnement, de modification et d'entretien
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 25119-1:2018 ainsi
que les suivants s'appliquent.
L'ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp
— IEC Electropedia: disponible à l'adresse http: //www .electropedia .org/
4 Termes abrégés
Pour les besoins du présent document, les termes abrégés suivants s'appliquent.
ADC convertisseur analogique-numérique
AgPL niveau de performance agricole
AgPLr niveau de performance agricole requis
Cat catégorie de matériel
CCF défaillance de cause commune
CRC contrôle de redondance cyclique
DC couverture de diagnostic
DCavg couverture moyenne de diagnostic
UCE unité de commande électronique
ETA analyse par arbre d'événements
2 © ISO 2019 – Tous droits réservés

E/E/PES systèmes électriques/électroniques/électroniques programmables
CEM compatibilité électromagnétique
AMDE analyse des modes de défaillance et de leurs effets
EPROM mémoire morte reprogrammable
FTA analyse par arbre de panne
HARA analyse des phénomènes dangereux et appréciation du risque
HIL matériel incorporé
MTTF temps moyen avant défaillance
MTTF temps moyen avant défaillance dangereuse
D
MTTF temps moyen avant défaillance dangereuse pour chaque canal
DC
PES système électronique programmable
QM mesures de la qualité
RAM mémoire vive
SOP démarrage de la production
SRL niveau d'exigence du logiciel
SRP/CS parties relatives à la sécurité d'un système de commande
UoO unité d'observation
5 Concept — UoO
5.1 Objectifs
Cette phase a pour objectif de développer une compréhension adéquate de l'UoO afin de réaliser de
manière satisfaisante toutes les tâches définies dans le cycle de vie de sécurité (voir ISO 25119-1:2018,
Figure 2). Pour chaque UoO, une méthode appropriée doit être utilisée pour déterminer le niveau de
performance requis. Les méthodes appropriées comprennent l'analyse du risque (décrite ci-dessous),
d'autres normes, des exigences légales et l'expertise d'un organisme d'essai ou une combinaison de
ceux-ci.
5.2 Conditions préalables
Les conditions préalables sont une description de la fonction relative à la sécurité à assurer par l'UoO,
de ses interfaces, des exigences de sécurité et de fiabilité connues et du domaine d'application.
5.3 Exigences
5.3.1 Exigences fondamentales et conditions ambiantes
Les informations suivantes doivent être disponibles pour la fonction relative à la sécurité de l'UoO:
a) le domaine d'application, le contexte, l'objectif et les éléments connus;
b) les exigences fonctionnelles;
c) d’autres exigences et conditions ambiantes qu’il convient de prendre en compte, comprennant:
— les exigences techniques ou physiques, par exemple les conditions et les contraintes de
fonctionnement, environnementales et environnantes,
— les exigences légales, notamment la législation, la réglementation, les normes (nationales et
internationales) relatives à la sécurité;
d) les exigences historiques relatives à la sécurité et à la fiabilité, et le niveau de sécurité et de fiabilité
atteint pour des UoO similaires ou apparentées.
5.3.2 Limites de l'UoO et ses interfaces avec d'autres UoO
Pour avoir une compréhension du fonctionnement de l'UoO dans son environnement, les informations
suivantes doivent être prises en compte:
— les limites de l'UoO;
— ses interfaces et interactions avec d'autres UoO et composants;
— les exigences applicables aux fonctions relatives à la sécurité concernant les autres UoO.
5.3.3 Mise en correspondance et affectation des fonctions pertinentes aux UoO impliquées,
sources de contrainte
Les sources de contrainte qui pourraient affecter la sécurité et la fiabilité de l'UoO doivent être
déterminées. Cela comprend:
— l'interaction des différentes UoO;
— les contraintes de nature physique ou chimique (teneur en énergie, toxicité, explosivité, corrosivité,
réactivité, combustibilité, etc.);
— d'autres événements externes (température, choc, CEM, etc.);
— les erreurs de fonctionnement humaines raisonnablement prévisibles; et
— les contraintes provenant de l'UoO et les événements déclenchant une défaillance (par exemple
pendant l'assemblage ou la maintenance).
5.3.4 Déterminations supplémentaires
Outre les activités décrites en 5.3.2, les déterminations ou actions suivantes doivent être effectuées:
— déterminer si l'UoO est un nouveau développement ou une modification, une adaptation ou la dérivée
d'une UoO existante, et, en cas de modification, réaliser une analyse d'impact pour régler le cycle de
vie de sécurité en conséquence;
— préparer un plan et une spécification pour vérifier et valider les exigences relatives à l'UoO définie
en 5.3.1;
— définir la gestion de projet pour les phases appropriées dans le cycle de vie;
— utiliser des données d'entrée adéquates relatives à l'évaluation de la fiabilité;
— utiliser des procédures, outils d'application et technologies adéquats;
— employer un personnel ayant la qualification appropriée.
4 © ISO 2019 – Tous droits réservés

5.4 Produits fabriqués
Les éventuels produits fabriqués de l'UoO doivent être:
a) des éléments inclus dans l'UoO;
b) la spécification des exigences fondamentales et des conditions ambiantes;
c) les limites de l'UoO et ses interfaces avec d'autres UoO;
d) les sources de contrainte;
e) des déterminations supplémentaires.
6 HARA: Détermination de l'AgPLr
6.1 Objectifs
Les objectifs principaux consistent à analyser les risques associés à une UoO défectueuse (une
unité qui n'exécute pas les fonctions relatives à la sécurité comme prévu, telle que ne s'arrêtant pas
convenablement, se déplaçant alors qu'elle est au point mort, direction active dans le mauvais sens),
puis à attribuer un AgPLr approprié. Le risque est défini comme une combinaison de la probabilité d'un
dommage et de la gravité de ce dommage (ISO 25119-1:2018, 3.39). Lors de la prise en compte de la
probabilité d'apparition du dommage, si c'est approprié, la probabilité d'être exposé à une situation
dangereuse avec une UoO défectueuse peut être prise en compte.
La procédure décrite en 6.2 à 6.4 fournit une méthodologie appropriée pour déterminer l'AgPLr à partir
de l'analyse HARA.
6.2 Conditions préalables
La définition de l'UoO associée à chaque fonction relative à la sécurité.
6.3 Exigences
6.3.1 Procédures de préparation d'une analyse HARA
L'analyse HARA doit prendre en compte la totalité de la fonction relative à la sécurité, de manière à
pouvoir fournir une spécification appropriée pour les SRP/CS. Si des décisions sont prises plus tard
durant le cycle de vie de sécurité et si elles changent le domaine d'application, l'analyse HARA doit être
revue en conséquence. Pour identifier les changements et leurs impacts sur les produits fabriqués, une
analyse d'impact doit être effectuée conformément à l'ISO 25119-4.
6.3.2 Les tâches d'une analyse HARA
Il doit être tenu compte des conditions opérationnelles dans lesquelles le dysfonctionnement de l'UoO
conduira à des situations dangereuses, en cas d'utilisation correcte et en cas d'utilisation incorrecte
raisonnablement prévisible.
6.3.3 Participants à l'analyse HARA
L'analyse HARA doit impliquer les personnes suffisantes pour s'assurer de disposer de l'ensemble de
l'expertise pertinente.
NOTE Le fait d'impliquer des personnes de disciplines différentes constitue souvent un apport intéressant
pour l'analyse HARA.
6.3.4 Classification d'un dommage potentiel
La gravité potentielle d'un dommage doit être déterminée et documentée.
Les effets potentiellement préjudiciables doivent être déduits en tenant compte de toutes les situations
dangereuses résultant des dysfonctionnements de la fonction relative à la sécurité dans les conditions,
les modes et les situations d'exploitation pertinents.
Une catégorisation doit être utilisée pour la description des dommages. Pour cette raison, la gravité du
dommage est classée en quatre catégories: S0, S1, S2 et S3 (voir Tableau 1).
Les actions de l'opérateur de la machine impliquée et les tiers présents (par exemple les réparateurs, les
autres opérateurs de machines, les autres usagers de la route, etc.) doivent être pris en compte et leur
exposition au danger doit être documentée.
L'objectif de l'évaluation et la classification des dangers potentiels doivent être axés sur le danger
pour les personnes et s'y limiter. Si l'analyse du dysfonctionnement de la fonction relative à la sécurité
se limite clairement aux biens matériels et n'implique pas de danger pour les personnes, ce type de
dysfonctionnement n'a pas besoin d'être classé comme étant relatif à la sécurité.
Aucune appréciation du risque approfondie n'est censée être effectuée pour les fonctions affectées à la
classe de dommage S0.
Tableau 1 — Classification des blessures
S0 S1 S2 S3
Absence de blessures, Blessures légères et Blessures graves et Blessures potentiellement
dommages limités aux modérées, nécessitant potentiellement mortelles mortelles (survie incertaine),
biens matériels de consulter un médecin, (survie probable), perte handicap grave
rétablissement complet partielle permanente de
capacité de travail
6.3.5 Classification de l'exposition dans la situation observée
Une analyse HARA doit tenir compte des effets d'exposition des dysfonctionnements possibles de la
fonction relative à la sécurité dans toutes les conditions opérationnelles et conditions régionales de
travail spécifiques correspondantes. Ces situations varient des activités de routine quotidiennes aux
situations extrêmes rares. La variable « E » doit être utilisée pour catégoriser les différentes fréquences
ou durées d'exposition. Cinq catégories, désignées E0, E1, E2, E3 et E4, sont utilisées (voir Tableau 2),
où E est une estimation de la fréquence et de la durée d'exposition d'un opérateur ou d'un tiers à un
phénomène dangereux lors duquel une défaillance est susceptible de mettre en danger l'opérateur ou
le tiers. La méthode la plus appropriée pour chaque situation dangereuse, sa fréquence ou sa durée,
doit être utilisée pour déterminer l'AgPLr. S'il est déterminé que plusieurs catégories conviennent à une
situation dangereuse particulière, c'est la méthode fournissant la catégorie la plus élevée qui doit être
utilisée.
NOTE Un risque susceptible de produire une situation dangereuse peut résulter d'une combinaison d'états
de la machine (par exemple de nature environnementale et/ou opérationnelle).
6 © ISO 2019 – Tous droits réservés

Tableau 2 — Classification de l'exposition à la situation dangereuse
Description E0 E1 E2 E3 E4
Improbable
Événements Fréquemment
(théoriquement Parfois Souvent
Définition de rares (presque à
possible, une fois (plus d'une fois (plus d'une fois
la fréquence (moins d'une fois chaque mise en
pendant toute la par an) par mois)
par an) fonctionnement)
durée de vie)
Définition de
la durée
Inférieure à de 0,01 % à de 0,1 % à moins de 1 % à moins de Supérieure ou
0,01 % moins de 0,1 % de 1 % 10 % égale à 10 %
t
exp
t
avop
texp durée d'exposition
tav op durée de fonctionnement moyen
6.3.6 Classification des possibilités d'éviter un dommage
L'évaluation des possibilités d'éviter un dommage implique de déterminer si un opérateur-type formé
à la machine dispose d'un niveau de maîtrise de la situation dangereuse susceptible de se produire et
s'il peut l'éviter, ou si la situation est totalement incontrôlable. De même, un tiers présent non formé
peut disposer d'un niveau de maîtrise lui permettant d'éviter une situation dangereuse. La variable C
doit être utilisée pour classer l'aptitude à éviter les situations dangereuses. La valeur de C pour une
possibilité d'éviter les situations dangereuses ne doit tenir compte que de l'aptitude des personnes à
éviter les situations dangereuses faisant suite au dysfonctionnement de la fonction relative à la sécurité
et elle ne doit pas tenir compte de la fiabilité ni d'autres mesures prévues dans les SRP/CS et qui
réduisent le risque en cas de dysfonctionnement. Les catégories utilisées (C0, C1, C2 et C3) représentent
respectivement une catégorie « facilement contrôlable », « contrôlable », « généralement contrôlable »
et « non contrôlable » (voir Tableau 3).
Tableau 3 — Classification des possibilités d'éviter un dommage
C0 C1 C2 C3
Facilement contrôlable Contrôlable Généralement contrôlable Aucune
L'opérateur ou le tiers Plus de 99 % des personnes Plus de 90 % des personnes En général, l'opérateur-type
présent contrôle la situation contrôlent la situation. Dans contrôlent la situation. Dans formé ou le tiers présent
et le danger est évité. plus de 99 % des occurrences, plus de 90 % des occurrences, ne parvient pas à éviter le
la situation ne débouche pas la situation ne débouche pas danger.
sur un cas dangereux. sur un cas dangereux.
6.3.7 Sélection de l'AgPLr
La Figure 1 donne des indications pour déterminer l'AgPLr en associant les valeurs de gravité (S),
d'exposition (E) et de contrôlabilité (C) pour chaque situation dangereuse identifiée.
NOTE L'expérience de l'utilisation en toute sécurité de la même machine ou d'une machine semblable et la
compétence générale de sauvegarde des machines est nécessaire pour établir l'AgPLr en appliquant la Figure 1.
Les AgPLr sont désignés de AgPL = a à AgPL = e. Le niveau AgPL = a présente les exigences du système
les moins strictes, et AgPL = e présente les exigences du système les plus élevées. Outre ces niveaux,
il existe une désignation de mesure de la qualité, QM, qui exige implicitement un développement de
système conformément à une norme reconnue de management de la qualité (par exemple ISO 9001).
QM ne s'applique qu'aux fonctions pour lesquelles le risque est suffisamment faible pour permettre à la
fonction d'être classée en tant que non relative à la sécurité au titre de l'ISO 25119 (toutes les parties).
Les phénomènes dangereux identifiés qui définissent les AgPLr liés à la fonction relative à la sécurité
de l'UoO (voir 7.3.2) et leurs AgPLr associés doivent être décrits et documentés dans un rapport HARA.
Un exemple d'analyse HARA et du niveau AgPLr qui en résulte est donné dans l'Annexe G.
Légende
S gravité
E exposition à la situation dangereuse
C contrôlabilité
QM mesures de la qualité
a, b, c, d, e niveaux de performance agricole requis (AgPLr)
NOTE Voir 6.3.7 pour la définition de QM.
Figure 1 — Détermination de l'AgPLr
6.4 Produits fabriqués
Ce qui suit doit être déterminé et documenté:
a) Rapport HARA;
NOTE Conservation des documents selon l'ISO 25119-4: 2018.
8 © ISO 2019 – Tous droits réservés

7 Concept de sécurité fonctionnelle
7.1 Objectifs
Dérivés des résultats des phases précédentes, les objectifs des exigences de cette phrase consistent à
définir le concept de haut niveau et les exigences au niveau système.
7.2 Conditions préalables
— Résultats d'analyse HARA;
— AgPLr pour les fonctions relatives à la sécurité.
7.3 Exigences
7.3.1 Objectifs de sécurité
Chaque situation dangereuse avec un AgPLr supérieur à QM doit être associée à un objectif de sécurité.
Un objectif de sécurité peut concerner des situations dangereuses multiples. Si des objectifs de sécurité
semblables sont déterminés, ils peuvent être associés pour former un objectif de sécurité unique.
NOTE Les objectifs de sécurité sont des objectifs de sécurité de haut niveau pour l'UoO. Ils conduisent aux
exigences de sécurité fonctionnelle requises pour éviter un risque déraisonnable pour chacune des situations
dangereuses.
7.3.2 Exigences de sécurité fonctionnelle
Les exigences de sécurité fonctionnelle réalisent les objectifs de sécurité d'une manière plus précise
en assurant la sécurité fonctionnelle de l'UoO correspondante. Les exigences de sécurité fonctionnelle
appropriées doivent être déduites des objectifs de sécurité. Les exigences de sécurité fonctionnelle
héritent des situations dangereuses et des objectifs de sécurité correspondants.
Si les exigences de sécurité fonctionnelle traitent des situations dangereuses semblables avec des AgPLr
différents, elles doivent mettre en œuvre les AgPLr les plus élevés.
Le cas échéant, les états de sécurité doivent être évalués pour chacune des exigences de sécurité
fonctionnelle dérivée de l'objectif de sécurité correspondant. La transition vers les états de sécurité et
leur maintenance doivent être définies dans les exigences techniques de sécurité.
La définition des exigences de sécurité fonctionnelle doit prendre en compte ce qui suit:
— défaillance systématique (voir Annexe E);
— aptitude à accomplir une fonction relative à la sécurité dans des conditions environnementales
prévues (par exemple celles établies dans l'ISO 15003);
— autres fonctions types (voir Annexe F).
7.3.3 Valeur de MTTF
D
Pour les besoins de l'ISO 25119 (toutes ses parties), la valeur de MTTF doit être:
D
— classée basse, moyenne ou élevée;
— prise en compte individuellement pour chaque canal relatif à la sécurité d'une SRP/CS (MTTF ).
DC
Elle peut être calculée directement au moyen du Tableau 4 ou déterminée par les méthodes données en
Annexe B.
NOTE MTTFD est la valeur inverse de λD.
Tableau 4 — Temps moyen avant défaillance dangereuse
Indice Exigence MTTFD
Faible de 3 ans à moins de 10 ans
Moyenne de 10 ans à moins de 30 ans
Élevée supérieure ou égale à 30 ans
7.3.4 Valeur de DC
La valeur de DC doit être classée en tant que faible, moyenne ou élevée pour les besoins de l'ISO 25119
(toutes ses parties). Elle peut être calculée directement au moyen du Tableau 5 ou déterminée par les
méthodes données en Annexe C.
NOTE 1 La couverture de diagnostic peut exister pour tout ou partie d'un système à risque fonctionnel élevé,
par exemple pour les capteurs et/ou le système logique et/ou les entités finales.
NOTE 2 Pour les SRP/CS comprenant plusieurs parties, une valeur moyenne, DCavg, est utilisée (voir
Annexe C).
Tableau 5 — Couverture de diagnostic (DC)
DC
∑∑λλ/×100%
DD D
Faible de 0 % à moins de 60 %
Moyenne de 60 % à moins de 90 %
Élevée supérieure ou égale à 90 %
7.3.5 Sélection des catégories MTTF , DC et SRL
DC
L'AgPL est fonction des quatre aspects suivants:
— catégorie (voir Annexe A);
— MTTF (voir Annexe B);
DC
— DC (voir Annexe C);
— SRL (spécifié dans l'ISO 25119-3:2018, Article 7).
En outre, les entités suivantes doivent être prises en compte pendant la conception du système:
— CCF pour les catégories d'architecture 3 et 4 (voir Annexe D);
— il convient que les modifications apportées aux SRP/CS avec un AgPL supérieur ou égal à « a » ne soit
effectuées que par des personnes responsables (ou des prestataires) autorisées par le fabricant du
système. Une protection réalisable contre les modifications non autorisées selon l’ISO 25119-4:2018,
Article 11 doit être envisagée.
Comme indiqué à la Figure 2, il est éventuellement possible d'utiliser plusieurs combinaisons de la
fiabilité (DC, SRL) et de l'architecture (Cat) pour atteindre l'AgPLr. Par exemple, il est possib
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You

ISO
ISO 11783-7:2022(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 7: Implement messages application layer

This document describes the implement messages application layer of the network, specifying the message set and defining the messages used for communication with and between tractors and connected implements.

  • Standard
    29 pages
    English language
    sale 15% off
  • Standard
    33 pages
    French language
    sale 15% off
ISO
ISO 11783-13:2022(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 13: File server

The message set specified in this document is designed to support the needs of tractors and implements in using the services of a file server (FS). An FS is a distinct control function (CF) on the mobile implement control system that enables all CFs to store or retrieve data from a file-based storage device.

  • Standard
    60 pages
    English language
    sale 15% off
  • Standard
    64 pages
    French language
    sale 15% off
  • Standard
    64 pages
    French language
    sale 15% off
ISO
ISO 25119-4:2018/Amd 1:2020(Amendment)
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 4: Production, operation, modification and supporting processes — Amendment 1
  • Standard
    3 pages
    English language
    sale 15% off
  • Standard
    3 pages
    French language
    sale 15% off
ISO
ISO 25119-1:2018/Amd 1:2020(Amendment)
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 1: General principles for design and development — Amendment 1
  • Standard
    2 pages
    English language
    sale 15% off
  • Standard
    2 pages
    French language
    sale 15% off
ISO
ISO 25119-3:2018/Amd 1:2020(Amendment)
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software — Amendment 1
  • Standard
    3 pages
    English language
    sale 15% off
  • Standard
    3 pages
    French language
    sale 15% off
ISO
ISO 11783-5:2019(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 5: Network management

This document describes the management of source addresses (SAs) for control functions (CFs) of electronic control units (ECUs), the association of addresses with the functional identification of a device and the detection and reporting of network-related errors. It also specifies procedures for initialization of network-connected ECUs.

  • Standard
    30 pages
    English language
    sale 15% off
  • Standard
    31 pages
    French language
    sale 15% off
ISO
ISO 11783-2:2019(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 2: Physical layer

ISO 11783 specifies a serial data network for control and communications on forestry or agricultural tractors and mounted, semi-mounted, towed or self-propelled implements. Its purpose is to standardize the method and format of transfer of data between sensors, actuators, control elements, and information-storage and -display units, whether mounted on, or part of, the tractor or implement. ISO 11783 also provides an open interconnect system for on-board electronic systems used by agriculture and forestry equipment. It is intended to enable electronic control units (ECUs) to communicate with each other, providing a standardized system. This document defines and describes the network's 250 kbit/s, twisted, non-shielded, quad-cable physical layer and an alternative cable and architecture named twisted pair physical layer (TPPL) based on a 250 kbit/s, un-shielded, twisted pair cable network layer which is fully backward compatible to twisted quad based machines and devices. NOTE Where not differently specified, requirements are valid for both twisted quad and TPPL.

  • Standard
    66 pages
    English language
    sale 15% off
  • Standard
    68 pages
    French language
    sale 15% off
ISO
ISO 11783-12:2019(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 12: Diagnostics services

ISO 11783, as a whole, specifies a serial data network for control and communications on forestry or agricultural tractors and mounted, semi-mounted, towed, or self-propelled implements. Its purpose is to standardize the method and format of transfer of data between sensors, actuators, control elements and information storage, and display units, whether mounted on, or part of, the tractor or implement. This document describes the network's diagnostic system. NOTE The name and contact information of the Maintenance Agency for this document can be found at http://www.iso.org/mara.

  • Standard
    31 pages
    English language
    sale 15% off
  • Standard
    34 pages
    French language
    sale 15% off
ISO
ISO 11783-3:2018(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 3: Data link layer

This document specifies the application, the network layer protocols and the mapping to the controller area network (CAN) data link layer protocol as specified in ISO 11898-1. The application layer specifies protocol data units (PDU), which can be mapped to Classical CAN data frames using the Classical Extended Frame Format (CEFF). For PDUs exceeding the length of the CEFF-formatted data frames, this document specifies transport layer protocols and the mapping to CEFF-formatted data frames.

  • Standard
    62 pages
    English language
    sale 15% off
  • Standard
    65 pages
    French language
    sale 15% off
ISO
ISO 25119-4:2018(Main)
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 4: Production, operation, modification and supporting processes

This document sets out general principles for the design and development of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry and on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to mobile municipal equipment (e.g. street-sweeping machines). This document is not applicable to: — aircraft and air-cushion vehicles used in agriculture; — lawn and garden equipment. This document specifies the characteristics and categories required of SRP/CS for carrying out their safety-related functions. It does not identify performance levels for specific applications. NOTE 1 Machine specific type-C standards can specify performance levels (AgPL) for safety-related functions in machines within their scope. Otherwise, the specification of AgPL is the responsibility of the manufacturer. This document is applicable to the safety-related parts of electrical/electronic/programmable electronic systems (E/E/PES), as these relate to mechatronic systems. It covers the possible hazards caused by malfunctioning behaviour of E/E/PES safety-related systems, including interaction of these systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity, flammability, reactivity, corrosion, release of energy, and similar hazards, unless directly caused by malfunctioning behaviour of E/E/PES safety-related systems. It also covers malfunctioning behaviour of E/E/PES safety-related systems involved in protective measures, safeguards, or safety-related functions in response to non-E/E/PES hazards. Examples included within the scope of this document: — SRP/CS limiting current flow in electric hybrids to prevent insulation failure/shock hazards; — electromagnetic interference with the SRP/CS; — SRP/CS designed to prevent fire. Examples not included in the scope of this document: — insulation failure due to friction that leads to electric shock hazards; — nominal electromagnetic radiation impacting nearby machine control systems; — corrosion causing electric cables to overheat. This document is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic). NOTE 2 See also ISO 12100 for design principles related to the safety of machinery. This document is not applicable to safety related parts of control systems manufactured before the date of its publication.

  • Standard
    22 pages
    English language
    sale 15% off
  • Standard
    23 pages
    French language
    sale 15% off