ISO 25119-1:2010
(Main)Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 1: General principles for design and development
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 1: General principles for design and development
ISO 25119-1:2010 sets out general principles for the design and development of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry, and on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to municipal equipment (e.g. street‑sweeping machines). It specifies the characteristics and categories required of SRP/CS for carrying out their safety functions. ISO 25119-1:2010 is applicable to the safety-related parts of electrical/electronic/programmable electronic systems (E/E/PES). As these relate to mechatronic systems, it does not specify which safety functions or categories are to be used in a particular case. It is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic, or pneumatic).
Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux pour la conception et le développement
L'ISO 25119-1:2010 établit des principes généraux pour la conception et le développement des parties relatives à la sécurité des systèmes de commande (SRP/CS) utilisées sur les tracteurs et matériels agricoles et forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et remorquées utilisées pour les équipements agricoles. Elle peut être également applicable aux équipements municipaux (par exemple machines de balayage des rues). Elle spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser leurs fonctions de sécurité. L'ISO 25119-1:2010 est applicable aux parties relatives à la sécurité des systèmes électriques/électroniques/électroniques programmables (E/E/PES). Dans la mesure où celles-ci sont liées aux systèmes mécatroniques, elle ne spécifie ni les fonctions de sécurité ni les catégories censées être utilisées dans un cas particulier. Elle n'est pas applicable aux systèmes non-E/E/PES (par exemple hydraulique, mécanique et pneumatique).
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 25119-1
First edition
2010-06-01
Tractors and machinery for agriculture
and forestry — Safety-related parts of
control systems —
Part 1:
General principles for design and
development
Tracteurs et matériels agricoles et forestiers — Parties des systèmes de
commande relatives à la sécurité —
Partie 1: Principes généraux pour la conception et le développement
Reference number
ISO 25119-1:2010(E)
©
ISO 2010
---------------------- Page: 1 ----------------------
ISO 25119-1:2010(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2010
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2010 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 25119-1:2010(E)
Contents Page
Foreword .iv
Introduction.v
1 Scope.1
2 Normative references.1
3 Terms and definitions .1
4 Abbreviated terms .8
5 Management during complete safety life cycle.9
5.1 Objectives .9
5.2 General .9
5.3 Prerequisites.9
5.4 Requirements — Functional safety management activities across safety life cycle.11
5.5 Work products .15
6 Assessment of functional safety .15
6.1 Objectives .15
6.2 General .15
6.3 Prerequisites.15
6.4 Requirements.15
6.5 Work products .17
7 Safety management activities after start of production (SOP).18
7.1 Objectives .18
7.2 General .18
7.3 Prerequisites.18
7.4 Requirements.18
7.5 Work products .18
8 Production and installation of safety-related systems.19
8.1 Objectives .19
8.2 General .19
8.3 Prerequisites.19
8.4 Requirements.19
8.5 Work products .20
Annex A (informative) Example of the structure of a project-specific safety plan .21
Bibliography.24
© ISO 2010 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 25119-1:2010(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 25119-1 was prepared by Technical Committee ISO/TC 23, Tractors and machinery for agriculture and
forestry, Subcommittee SC 19, Agricultural electronics.
ISO 25119 consists of the following parts, under the general title Tractors and machinery for agriculture and
forestry — Safety-related parts of control systems:
⎯ Part 1: General principles for design and development
⎯ Part 2: Concept phase
⎯ Part 3: Series development, hardware and software
⎯ Part 4: Production, operation, modification and supporting processes
iv © ISO 2010 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 25119-1:2010(E)
Introduction
ISO 25119 sets out an approach to the design and assessment, for all safety life cycle activities, of
safety-relevant systems comprising of electrical and/or electronic and/or programmable electronic components
(E/E/PES) on tractors used in agriculture and forestry, and on self-propelled ride-on machines and mounted,
semi-mounted and trailed machines used in agriculture. It is also applicable to municipal equipment. It covers
the possible hazards caused by the functional behaviour of E/E/PES safety-related systems, as distinct from
hazards arising from the E/E/PES equipment itself (e.g. electric shock, fire, nominal performance level of
E/E/PES dedicated to active and passive safety).
The control system parts of the machines concerned are frequently assigned to provide the critical functions of
the safety-related parts of control systems (SRP/CS). These can consist of hardware or software, can be
separate or integrated parts of a control system, and can either perform solely critical functions or form part of
an operational function.
In general, the designer (and to some extent, the user) will combine the design and validation of these
SRP/CS as part of the risk assessment. The objective is to reduce the risk associated with a given hazard (or
hazardous situation) under all conditions of use of the machine. This can be achieved by applying various
protective measures (both SRP/CS and non-SRP/CS) with the end result of achieving a safe condition.
ISO 25119 allocates the ability of safety-related parts to perform a critical function under foreseeable
conditions into five performance levels. The performance level of a controlled channel depends on several
factors, including system structure (category), the extent of fault detection mechanisms (diagnostic coverage),
the reliability of components (mean time to dangerous failure, common-cause failure), design processes,
operating stress, environmental conditions and operation procedures. Three types of failures are considered:
systematic, common-cause and random.
In order to guide the designer during design, and to facilitate the assessment of the achieved performance
level, ISO 25119 defines an approach based on a classification of structures with different design features and
specific behaviour in case of a fault.
The performance levels and categories can be applied to the control systems of all kinds of mobile machines:
from simple systems (e.g. auxiliary valves) to complex systems (e.g. steer by wire), as well as to the control
systems of protective equipment (e.g. interlocking devices, pressure sensitive devices).
ISO 25119 adopts a customer risk-based approach for the determination of the risks, while providing a means
of specifying the target performance level for the safety-related functions to be implemented by E/E/PES
safety-related channels. It gives requirements for the whole safety life cycle of E/E/PES (design, validation,
production, operation, maintenance, decommissioning), necessary for achieving the required functional safety
for E/E/PES that are linked to the performance levels.
© ISO 2010 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 25119-1:2010(E)
Tractors and machinery for agriculture and forestry —
Safety-related parts of control systems —
Part 1:
General principles for design and development
1 Scope
This part of ISO 25119 sets out general principles for the design and development of safety-related parts of
control systems (SRP/CS) on tractors used in agriculture and forestry, and on self-propelled ride-on machines
and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to municipal
equipment (e.g. street-sweeping machines). It specifies the characteristics and categories required of SRP/CS
for carrying out their safety functions.
This part of ISO 25119 is applicable to the safety-related parts of electrical/electronic/programmable electronic
systems (E/E/PES). As these relate to mechatronic systems, it does not specify which safety functions or
categories are to be used in a particular case.
It is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic).
NOTE See also ISO 12100 for design principles related to the safety of machinery.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 25119-2:2010, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 2: Concept phase
ISO 25119-3:2010, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 3: Series development, hardware, software
ISO 25119-4:2010, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 4: production, operation, modification and supporting processes
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
agricultural performance level
AgPL
level which specifies the ability of safety-related parts to perform a safety-related function under foreseeable
conditions
NOTE For the purposes of ISO 25119, the performance for each hazardous situation is divided into fives levels, a, b,
c, d and e, where the functional safety contributed by the SRP/CS in “a” is low and in “e” is high.
© ISO 2010 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 25119-1:2010(E)
3.2
required agricultural performance level
AgPL
r
performance level (AgPL) needed to achieve the required functional safety for each safety-related function
3.3
category
classification of the safety-related parts of a control system with respect to its resistance to faults and its
subsequent behaviour in the fault condition, and which is achieved by the structural arrangement of the parts
and/or by their reliability
3.4
channel
series combination of input, logic, and output elements
3.5
common-cause failure
CCF
failures of different items, resulting from a single event, where these failures are not consequences of each
other
NOTE Common-cause failures ought not be confused with common mode failures (see ISO 12100).
3.6
controllability
involved individual's possibility of avoiding harm in the situation that is putting him/her at risk
3.7
dangerous detected failure rate
λ
dd
dangerous failure rate of those components where fault detection is realized
3.8
dangerous failure
failure in which an SRP/CS is no longer able to maintain the required performance level, even if the
safety-related function is maintained by other (redundant) system components (due to reduction of the
resulting performance level)
3.9
dangerous failure rate
λ
d
fraction of all components with dangerous failure per time unit
3.10
diagnostic coverage
DC
fraction of the probability of detected dangerous failures, λ , and the probability of total dangerous failures, λ ,
dd d
expressed by:
DC =λλ
∑∑dd d
NOTE 1 Diagnostic coverage can exist for the whole or parts of a high-risk functional system, e.g. for sensors and/or
logic system and/or final elements.
NOTE 2 The value of DC is defined according to Table 1.
NOTE 3 For SRP/CS consisting of several parts, an average value, DC , is used (see ISO 25119-2:2010, Annex C).
avg
2 © ISO 2010 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 25119-1:2010(E)
Table 1 — Diagnostic coverage (DC)
Denotation Range
Low DC < 60 %
Medium 60 % u DC < 90 %
High 90 % u DC
3.11
diagnostic test interval
interval between online tests used to detect faults in a safety-related system that have a specified diagnostic
coverage
3.12
E/E/PES-system architecture
allocation of critical functions to electronic control units (ECU) and classification into hardware and software,
including communication
3.13
environmental condition
physical condition under which a system is used
3.14
exposure
duration of time and frequency in which an individual is in a situation in which the potential hazard exists
3.15
failure
termination of the ability of an item to perform a required function
NOTE 1 Failures which do not affect the availability of the process under control are outside the scope of ISO 25119.
NOTE 2 After a failure, the item will have a fault.
NOTE 3 “Failure” is an event, as distinguished from “fault”, which is a state.
NOTE 4 The concept as defined does not apply to items consisting of software only.
3.16
fault
state of an item characterized by inability to perform a required function, excluding the inability during
preventive maintenance or other planned actions, or due to lack of external resources
NOTE 1 A fault is often the result of a failure of the item itself, but may exist without prior failure.
NOTE 2 For the purposes of ISO 25119, a fault is a random fault.
3.17
function
defined behaviour of one or more electronic control units
3.18
functional concept
basic functions and interactions necessary to achieve a desired behaviour
NOTE It is developed during the concept phase of the safety life cycle.
© ISO 2010 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 25119-1:2010(E)
3.19
functional requirement
requirement for an intended function of the E/E/PES system
3.20
functional safety
system that performs in a way that does not present an unreasonable risk of injury to operators or bystanders
3.21
functional safety concept
entire collection of safety-related functions and interactions necessary to achieve a desired behaviour
NOTE It is developed during the concept phase of the safety life cycle.
3.22
functional safety requirement
requirement for a safety-related function of the E/E/PES system
3.23
hardware safety requirement
requirement that applies to safety-related hardware and which is included as an element of a technical safety
requirement
3.24
harm
physical injury
3.25
hazard
potential source of harm
3.26
hazardous situation
circumstance in which a person is exposed to a hazard or hazards, exposure to which can have immediate or
long-term effects
3.27
intended use
〈of a machine〉 use in accordance with the information provided in the operator's manual
3.28
inspection
systematic, formal verification method used to review product quality
NOTE During an inspection, the work product is checked by one or more assessors to see whether it complies with
the requirements. The inspection is organized and moderated by an inspection leader. The author of the work product
participates in the inspection but cannot lead the process.
3.29
life of the machine
life cycle
time between production and decommissioning
3.30
manual reset
function within the safety-related parts of the control system used to manually restore one or more
safety-related functions before restarting the machine
4 © ISO 2010 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 25119-1:2010(E)
3.31
manufacturer
machine manufacturer
manufacturer of tractors for agriculture and forestry, self-propelled ride-on machines and mounted, semi-
mounted and trailed machines used in agriculture, and of municipal equipment
cf. supplier (3.50)
3.32
mean time to dangerous failure
MTTF
d
average value of the expected time to a dangerous failure
NOTE 1 It is defined by the ranges low, medium and high. See Table 2.
NOTE 2 For the purposes of ISO 25119, it is important that MTTF be taken into account for each channel of an
d
SRP/CS individually (MTTF ).
dC
NOTE 3 MTTF is the reciprocal value of λ .
d d
Table 2 — Mean time to dangerous failure
Denotation Range
Low 3 years < MTTF < 10 years
d
Medium 10 years < MTTF < 30 years
d
High MTTF > 30 years
d
3.33
monitoring
automatic monitoring
automatic function which ensures that a protective measure is initiated if the ability of a component or an
element to perform its function is diminished, or if the process conditions are changed such that hazards are
generated
3.34
muting
temporary automatic suspension of a safety-related function by safety-related parts of the control system
3.35
programmable electronic system
PES
system for control, protection or monitoring which uses one or more programmable electronic devices
NOTE It comprises all elements of the system, including power supplies, sensors and other input devices, data
highways and other communication paths, and actuators and other output devices.
3.36
protective measure
measure intended to achieve functional safety, as implemented by the designer (intrinsic design, safeguarding
and complementary measures, information for use), and the user (organization, safe working procedures,
supervision, permit to work, systems, additional safeguards, personal protective equipment, training)
3.37
reasonably foreseeable misuse
use of a machine in a way not intended by the designer, but which can result from readily predictable human
behaviour
© ISO 2010 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO 25119-1:2010(E)
3.38
response time
maximum time that can elapse between the occurrence of an error and the attainment of a safe state
3.39
risk
combination of the probability of occurrence of harm and the severity of that harm
3.40
risk analysis
combination of the specification of the limits of the machine, hazard identification and risk estimation
3.41
risk assessment
overall process comprising risk analysis and risk evaluation
3.42
risk evaluation
judgment on the basis of risk analysis as to whether a given risk is tolerable
3.43
safe state
operating mode of a system with an acceptable level of risk
EXAMPLE Intended operating mode, back-up operating mode, or switched-off modes.
3.44
safety goal
description of how a given hazard is to be avoided
NOTE 1 It is the top level safety requirement, derived from the hazard analysis and risk assessment.
NOTE 2 The existence of several safety goals for one item is possible.
3.45
safety-related function
function of the machine whose failure can result in an immediate increase of risk
3.46
safety-related part of a control system
SRP/CS
part or subpart of a control system that responds to input signals and generates safety-related output signals
NOTE The combined safety-related parts of a control system start at the point where the safety-related signals are
initiated (e.g. the actuating cam and the roller of the position switch) and end at the output of the power control elements
(e.g. the main contacts of the contactor), and include monitoring systems.
3.47
severity
measure of the most likely degree of harm to an endangered individual
3.48
software requirement level
SRL
ability of safety-related parts to perform a software safety-related function under foreseeable conditions
NOTE The SRL is categorized into four groups: SRL = B, 1, 2 and 3.
6 © ISO 2010 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 25119-1:2010(E)
3.49
software safety requirement
requirement that applies to safety-related software and that is included as an element of a technical safety
requirement
3.50
supplier
manufacturer and distributor of new and spare parts for tractors for agriculture and forestry, self-propelled
ride-on machines and mounted, semi-mounted and trailed machines used in agriculture, and municipal
equipment
cf. manufacturer (3.31)
3.51
symmetric channel
numerical combination of single-channel MTTF for a dual- or redundant-channel system
dc
3.52
systematic failure
failure related in a deterministic way to a certain cause, which can only be eliminated by a modification of the
design or of the manufacturing process, operational procedures, documentation or other relevant factors
NOTE 1 Corrective maintenance without modification will usually not eliminate the failure cause.
NOTE 2 A systematic failure can be induced by simulating the failure cause.
EXAMPLE Human error in the safety requirements specification, the design, manufacture, installation, operation of
the hardware, or the design and implementation of the software.
3.53
technical safety concept
entire collection of technical safety requirements necessary to implement the functional safety concept and to
partition it on the system architecture
NOTE It is part of the system specification, specified during system design.
3.54
technical safety requirement
requirement that applies to the SRP/CS as applied to a given technical safety concept
3.55
unit of observation
electrical, electronic, electrically-programmable system or function
NOTE The unit of observation can encompass safety-related function(s) that may be distributed across multiple
systems.
3.56
walk-through
systematic, informal verification method used to review product quality
NOTE During a walk-through, the author of a work product provides a step-by-step report to one or more assessors.
The objective is to create a common understanding of the work product, and to identify any errors, defects, discrepancies
or problems in the work product. A walk-through is less stringent than an inspection.
3.57
work product
output of a design or development activity
© ISO 2010 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO 25119-1:2010(E)
4 Abbreviated terms
For the purposes of this document, the following abbreviated terms apply.
AgPL agricultural performance level
AgPL required agricultural performance level
r
CAD computer-aided design
Cat hardware category
CCF common-cause failure
DC diagnostic coverage
DC average diagnostic coverage
avg
ECU electronic control unit
ETA event tree analysis
E/E/PES electrical/electronic/programmable electronic systems
EMC electromagnetic compatibility
EUC equipment under control
FMEA failure mode and effects analysis
FMECA failure mode effects and criticality analysis
EPROM erasable programmable read-only memory
FSM functional safety management
FTA fault tree analysis
HAZOP hazard and operability study
HIL hardware in the loop
MTTF mean time to failure
MTTF mean time to dangerous failure
d
MTTF mean time to dangerous failure for each channel
dC
PES programmable electronic system
QM quality measures
RAM random-access memory
SOP start of production
SRL software requirement level
SRP safety-related parts
8 © ISO 2010 – All rights reserved
---------------------- Page: 13 ----------------------
ISO 25119-1:2010(E)
SRP/CS safety-related parts of control systems
SRS safety-related system
5 Management during complete safety life cycle
5.1 Objectives
The main objective, set out in this clause, is to define the responsibilities of the persons, departments and
organizations responsible for each phase during the overall safety life cycle or for activities within the various
phases. This relates to both the activities necessary to ensure the required level of functional safety for the
item, and to the confirmation measures endorsing that level of functional safety. Another objective is to define
management activities during the complete safety life cycle.
The E/E/PES should be designed and constructed so that the principles of risk analysis, risk assessment and
an iterative process for the design of safety-related parts of control systems are fully taken into account (see
Figure 1).
NOTE ISO 25119 addresses only the evaluation of the safety aspects of the E/E/PES.
5.2 General
5.2.1 Introduction to the safety life cycle concept
The safety life cycle (see Figure 2) combines the most important safety-related activities in the concept phase,
during series development, and at the start of production (SOP). These activities are described in detail in
ISO 25119-2 and ISO 25119-3. Planning, coordination and verification of these activities across all phases of
the life cycle are a central management task.
NOTE The activities during the concept phase and series development and after SOP are described in detail in
ISO 25119-2, ISO 25119-3 and ISO 25119-4.
5.2.2 External functional safety measures
These measures cannot be influenced by the unit of observation described in the system definition. External
functional safety includes the characteristics of involved persons (physical, language, etc.) or of the
environment. It is described in the system definition. In risk analysis, consideration can be given to external
functional safety.
NOTE 1 Proof of the effectiveness of external functional safety is not within the scope of ISO 25119.
NOTE 2 Other technologies such as mechanics an
...
NORME ISO
INTERNATIONALE 25119-1
Première édition
2010-06-01
Tracteurs et matériels agricoles et
forestiers — Parties des systèmes de
commande relatives à la sécurité —
Partie 1:
Principes généraux pour la conception et
le développement
Tractors and machinery for agriculture and forestry — Safety-related
parts of control systems —
Part 1: General principles for design and development
Numéro de référence
ISO 25119-1:2010(F)
©
ISO 2010
---------------------- Page: 1 ----------------------
ISO 25119-1:2010(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2010
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2010 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 25119-1:2010(F)
Sommaire Page
Avant-propos .iv
Introduction.v
1 Domaine d'application .1
2 Références normatives.1
3 Termes et définitions .1
4 Termes abrégés .8
5 Gestion pendant le cycle de vie de sécurité complet.9
5.1 Objectifs .9
5.2 Généralités .9
5.3 Conditions préalables.10
5.4 Exigences — Activités relatives à la gestion de la sécurité fonctionnelle durant le cycle
de vie de sécurité .12
5.5 Produits fabriqués.15
6 Évaluation de la sécurité fonctionnelle.16
6.1 Objectifs .16
6.2 Généralités .16
6.3 Conditions préalables.16
6.4 Exigences.17
6.5 Produits fabriqués.18
7 Activités de gestion de la sécurité suite au démarrage de la production (SOP).19
7.1 Objectifs .19
7.2 Généralités .19
7.3 Conditions préalables.19
7.4 Exigences.20
7.5 Produits fabriqués.20
8 Production et installation des systèmes relatifs à la sécurité.20
8.1 Objectifs .20
8.2 Généralités .21
8.3 Conditions préalables.21
8.4 Exigences.21
8.5 Produits fabriqués.22
Annexe A (informative) Exemple de structure d'un plan de sécurité propre à un projet .23
Bibliographie.26
© ISO 2010 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 25119-1:2010(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 25119-1 a été élaborée par le comité technique ISO/TC 23, Tracteurs et matériels agricoles et forestiers,
sous-comité SC 19, Électronique en agriculture.
L'ISO 25119 comprend les parties suivantes, présentées sous le titre général Tracteurs et matériels agricoles
et forestiers — Parties des systèmes de commande relatives à la sécurité:
⎯ Partie 1: Principes généraux pour la conception et le développement
⎯ Partie 2: Phase de projet
⎯ Partie 3: Développement en série, matériels et logiciels
⎯ Partie 4: Procédés de production, de fonctionnement, de modification et d'entretien
iv © ISO 2010 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 25119-1:2010(F)
Introduction
L'ISO 25119 établit une approche pour la conception et l'évaluation de toutes les activités relatives au cycle
de vie de sécurité des systèmes relatifs à la sécurité constitués de composants électriques et/ou
électroniques et/ou électroniques programmables (E/E/PES) utilisés sur les tracteurs agricoles et forestiers,
sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et remorquées
utilisées en agriculture. Elle est également applicable aux équipements municipaux. Elle couvre les éventuels
phénomènes dangereux dus au comportement fonctionnel des systèmes E/E/PES relatifs à la sécurité,
indépendamment des phénomènes dangereux dus à l'équipement E/E/PES lui-même (par exemple choc
électrique, incendie, niveau de performance nominal du E/E/PES dédié à la sécurité passive et active).
Les parties des systèmes de commande des machines concernées sont fréquemment prévues pour assurer
les fonctions critiques des parties relatives à la sécurité des systèmes de commande (SRP/CS). Ces parties
peuvent être constituées de matériels et de logiciels, elles peuvent être des parties isolées du système de
commande ou en faire partie intégrante, et elles peuvent soit assurer uniquement des fonctions critiques, soit
faire partie d'une fonction opérationnelle.
En général, le concepteur (et, dans une certaine mesure, l'utilisateur) associe la conception et la validation de
ces SRP/CS dans le cadre de l'appréciation du risque. L'objectif est de réduire le risque lié à un phénomène
dangereux donné (ou à une situation dangereuse) dans toutes les conditions d'utilisation de la machine. Cela
peut être réalisé en appliquant diverses mesures de prévention (aussi bien SRP/CS que non-SRP/CS) dans
le but final de réaliser une condition de sécurité.
L'ISO 25119 aborde la capacité des parties relatives à la sécurité à réaliser une fonction critique dans des
conditions prévisibles en cinq niveaux de performance. Le niveau de performance d'un canal contrôlé dépend
de plusieurs facteurs, tels que la structure du système (catégorie), l'étendue du mécanisme de détection de
défaut (couverture de diagnostic), la fiabilité des composants (temps moyen avant défaillance dangereuse,
défaillances de cause commune), le processus de conception, la contrainte en service, les conditions
environnementales et les procédures de fonctionnement. Trois types de défaillances sont considérées: les
défaillances systématiques, les défaillances de cause commune et les défaillances aléatoires.
Afin de guider le concepteur pendant la conception et faciliter l'évaluation du niveau de performance atteint,
l'ISO 25119 définit une approche fondée sur une classification de structures avec différentes caractéristiques
de conception et un comportement spécifique en cas de défaut.
Les niveaux et catégories de performance peuvent être appliqués aux systèmes de commande de tous les
types de machines mobiles, des systèmes simples (par exemple valves auxiliaires) aux systèmes complexes
(par exemple transmission par fil), ainsi qu'aux systèmes de commande d'équipements de protection (par
exemple dispositifs de verrouillage ou dispositifs sensibles à la pression).
l'ISO 25119 adopte une approche fondée sur le risque du client pour déterminer les risques, tout en
fournissant un moyen permettant de spécifier le niveau de performance cible pour les fonctions relatives à la
sécurité à mettre en œuvre par les canaux E/E/PES relatifs à la sécurité. Elle fournit les exigences pour tout le
cycle de vie de sécurité des E/E/PES (conception, validation, production, fonctionnement, maintenance,
démantèlement) nécessaires pour assurer la sécurité fonctionnelle requise pour les E/E/PES liés aux niveaux
de performance.
© ISO 2010 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO 25119-1:2010(F)
Tracteurs et matériels agricoles et forestiers — Parties des
systèmes de commande relatives à la sécurité —
Partie 1:
Principes généraux pour la conception et le développement
1 Domaine d'application
La présente partie de l'ISO 25119 établit des principes généraux pour la conception et le développement des
parties relatives à la sécurité des systèmes de commande (SRP/CS) utilisées sur les tracteurs agricoles et
forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et
remorquées utilisées en agriculture. Elle peut être également applicable aux équipements municipaux (par
exemple machines de balayage des rues). Elle spécifie les caractéristiques et les catégories requises des
SRP/CS pour réaliser leurs fonctions de sécurité.
La présente partie de l'ISO 25119 est applicable aux parties relatives à la sécurité des systèmes
électriques/électroniques/électroniques programmables (E/E/PES). Dans la mesure où celles-ci sont liées aux
systèmes mécatroniques, elle ne spécifie ni les fonctions de sécurité ni les catégories censées être utilisées
dans un cas particulier.
Elle n'est pas applicable aux systèmes non-E/E/PES (par exemple hydraulique, mécanique et pneumatique).
NOTE Pour les principes de conception relatifs à la sécurité des machines, voir également l'ISO 12100.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence (y compris les éventuels amendements) s'applique.
ISO 25119-2:2010, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 2: Phase de projet
ISO 25119-3:2010, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels
ISO 25119-4:2010, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 4: Procédés de production, de fonctionnement, de modification et d'entretien
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
3.1
niveau de performance agricole
AgPL
niveau qui spécifie l'aptitude des parties relatives à la sécurité à accomplir une fonction relative à la sécurité
dans des conditions prévisibles
NOTE Pour les besoins de l'ISO 25119, la performance pour chaque situation dangereuse est divisée en cinq
niveaux, a, b, c, d et e, où la sécurité fonctionnelle assurée par le SRP/CS dans «a» est faible et dans «e» est élevée.
© ISO 2010 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO 25119-1:2010(F)
3.2
niveau de performance agricole requis
AgPL
r
niveau de performance (AgPL) nécessaire pour obtenir la sécurité fonctionnelle requise pour chaque fonction
de sécurité
3.3
catégorie
classification des parties relatives à la sécurité d'un système de commande en fonction de sa résistance aux
défaillances et de son comportement subséquent dans les conditions de défaillance, et qui est réalisée par la
disposition de la structure des parties et/ou par leur fiabilité
3.4
canal
combinaison en série d'éléments d'entrée, logiques et de sortie
3.5
défaillance de cause commune
CCF
défaillances qui affectent plusieurs entités à partir d'un seul événement et qui ne résultent pas les unes des
autres
NOTE Il convient de ne pas confondre les défaillances de cause commune avec les défaillances de mode commun.
(voir l'ISO 12100).
3.6
contrôlabilité
possibilité pour un individu impliqué d'éviter un dommage dans la situation qui l'expose à un risque
3.7
taux de défaillance dangereuse détectée
λ
dd
taux de défaillance dangereuse des composants faisant l'objet d'une détection de défaut
3.8
défaillance dangereuse
défaillance par laquelle un SRP/CS n'est plus en mesure de maintenir le niveau de performance requis,
même si la fonction de sécurité est maintenue par d'autres composants (redondants) du système (du fait de la
réduction du niveau de performance qui en résulte)
3.9
taux de défaillance dangereuse
λ
d
fraction de tous les composants qui subissent une défaillance dangereuse par unité de temps
3.10
couverture de diagnostic
DC
fraction de la probabilité de défaillances dangereuses détectées, λ , et de la probabilité de défaillances
dd
dangereuses totales, λ , exprimée par
d
DC =λλ
∑∑dd d
NOTE 1 La couverture de diagnostic peut exister pour tout ou partie d'un système à risque fonctionnel élevé, par
exemple pour les capteurs et/ou le système logique et/ou les entités finales.
NOTE 2 La valeur de DC est définie conformément au Tableau 1.
NOTE 3 Pour le SRP/CS comprenant plusieurs parties, une valeur moyenne, DC , est utilisée (voir
avg
l'ISO 25119-2:2010, Annexe C).
2 © ISO 2010 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 25119-1:2010(F)
Tableau 1 — Couverture de diagnostic (DC)
Notation Plage
Faible DC < 60 %
Moyenne 60 % u DC < 90 %
Élevée 90 % u DC
3.11
intervalle entre essais de diagnostic
intervalle entre les essais en ligne utilisé pour détecter les défauts dans un système relatif à la sécurité ayant
une couverture de diagnostic spécifiée
3.12
architecture de système E/E/PES
affectation de fonctions critiques à des unités de commande électronique (UCE) et classification en matériel et
logiciel, y compris la communication
3.13
condition environnementale
condition physique dans laquelle un système est utilisé
3.14
exposition
durée et fréquence à laquelle un individu se trouve exposé à un phénomène dangereux potentiel
3.15
défaillance
cessation de l'aptitude d'une entité à accomplir une fonction requise
NOTE 1 Les défaillances qui n'affectent pas la disponibilité du processus en commande ne s'inscrivent pas dans le
domaine d'application de l'ISO 25119.
NOTE 2 Après défaillance, l'entité présente un défaut.
NOTE 3 Une «défaillance» est un passage d'un état à un autre, par opposition à un défaut, qui est un état.
NOTE 4 La notion de défaillance, telle qu'elle est définie, ne s'applique pas à une entité constituée seulement de
logiciel.
3.16
défaut
état d'une entité inapte à accomplir une fonction requise, non comprise l'inaptitude due à la maintenance
préventive ou à d'autres actions programmées ou due à un manque de moyens externes
NOTE 1 Un défaut est souvent la conséquence d'une défaillance de l'entité elle-même, mais il peut exister sans
défaillance préalable.
NOTE 2 Pour les besoins de l'ISO 25119, le terme défaut signifie un défaut aléatoire.
3.17
fonction
comportement défini d'une ou de plusieurs unités de commande électronique
© ISO 2010 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO 25119-1:2010(F)
3.18
concept fonctionnel
fonctions de base et interactions nécessaires pour obtenir un comportement souhaité
NOTE Le concept fonctionnel est élaboré durant la phase de projet du cycle de vie de sécurité.
3.19
exigence fonctionnelle
exigence relative à une fonction prévue du système E/E/PES
3.20
sécurité fonctionnelle
système qui fonctionne de sorte à ne présenter aucun risque de dommage intolérable aux opérateurs ou à
des tiers
3.21
concept de sécurité fonctionnelle
ensemble des fonctions relatives à la sécurité et interactions nécessaires pour obtenir un comportement
souhaité
NOTE Le concept de sécurité fonctionnelle est élaboré durant la phase de projet du cycle de vie de sécurité.
3.22
exigence de sécurité fonctionnelle
exigence d'une fonction relative à la sécurité du système E/E/PES
3.23
exigence de sécurité du matériel
exigence qui s'applique au matériel relatif à la sécurité, et qui est incluse comme élément d'une exigence de
sécurité technique
3.24
dommage
blessure physique
3.25
phénomène dangereux
source potentielle de dommage
3.26
situation dangereuse
circonstance dans laquelle une personne est exposée à un (des) phénomène(s) dangereux(s) pouvant
entraîner des effets, immédiatement ou à plus long terme
3.27
utilisation normale
〈d'une machine〉 utilisation conformément aux indications données dans les manuels d'utilisation
3.28
inspection
méthode de vérification formelle et systématique utilisée pour examiner la qualité des produits
NOTE Lors d'une inspection, les produits fabriqués sont vérifiés par un ou plusieurs inspecteurs pour s'assurer de
leur conformité aux exigences. L'inspection est organisée et dirigée par un responsable de l'inspection. L'auteur des
produits fabriqués participe à l'inspection mais ne peut diriger le processus.
3.29
durée de vie de la machine
cycle de vie
temps écoulé entre la production et le démantèlement
4 © ISO 2010 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 25119-1:2010(F)
3.30
réinitialisation manuelle
fonction au sein des parties relatives à la sécurité du système de commande utilisée pour restaurer
manuellement une ou plusieurs fonctions de sécurité avant le redémarrage de la machine
3.31
fabricant
fabricant de la machine
fabricant de tracteurs agricoles et forestiers, de machines automotrices à conducteur porté, de machines
portées, semi-portées et remorquées utilisées en agriculture, et d'équipements municipaux
Voir fournisseur (3.50).
3.32
temps moyen avant défaillance dangereuse
MTTF
d
valeur moyenne du temps prévu avant une défaillance dangereuse
NOTE 1 Elle est définie par les plages faible, moyenne et élevée.
Voir Tableau 2.
NOTE 2 Pour les besoins der l'ISO 25119, il est important que le MTTF soit pris en compte individuellement pour
d
chaque canal d'un SRP/CS (MTTF ).
dC
NOTE 3 MTTF est la valeur inverse de λ .
d d
Tableau 2 — Temps moyen avant défaillance dangereuse (MTTF )
d
Notation Plage
Faible 3 ans < MTTF < 10 ans
d
Moyenne 10 ans < MTTF < 30 ans
d
Élevée MTTF > 30 ans
d
3.33
contrôle
contrôle automatique
fonction de sécurité qui assure qu'une mesure de prévention est initiée en cas de réduction de l'aptitude d'un
composant ou d'une entité à accomplir sa fonction, ou de modifications des conditions du processus telles
qu'elles provoquent des phénomènes dangereux
3.34
neutralisation
suspension automatique temporaire d'une fonction relative à la sécurité par des parties relatives à la sécurité
du système de commande
3.35
système électronique programmable
PES
système de commande, de protection ou de contrôle, qui utilise un ou plusieurs dispositifs électroniques
programmables
NOTE Cela comprend tous les éléments du système, tels que les sources d'alimentation, les capteurs et autres
dispositifs d'entrée, les inforoutes et autres voies de communication, et les actionneurs et autres dispositifs de sortie.
© ISO 2010 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO 25119-1:2010(F)
3.36
mesure de prévention
mesure destinée à assurer la sécurité fonctionnelle, mise en œuvre par le concepteur (prévention intrinsèque,
protection et mesures de prévention complémentaires, informations pour l'utilisation) et par l'utilisateur
(organisation, méthodes de travail sûres, surveillance, système du permis de travailler, fourniture et utilisation
de moyens de protection supplémentaires, utilisation d'équipements de protection individuelle, formation)
3.37
mauvais usage raisonnablement prévisible
utilisation d'une machine d'une manière ne correspondant pas aux intentions du concepteur, mais pouvant
résulter d'un comportement humain aisément prévisible
3.38
temps de réponse
temps maximal susceptible de s'écouler entre l'occurrence d'une erreur et l'atteinte d'un état de sécurité
3.39
risque
combinaison de la probabilité d'un dommage et de la gravité de ce dommage
3.40
analyse du risque
combinaison de la détermination des limites de la machine, de l'identification des phénomènes dangereux et
de l'estimation du risque
3.41
appréciation du risque
processus global d'analyse et d'évaluation du risque
3.42
évaluation du risque
jugement destiné à établir, sur la base de l'analyse du risque, si un risque donné est tolérable
3.43
état de sécurité
mode de fonctionnement d'un système avec un niveau acceptable de risque
EXEMPLE Le mode de fonctionnement prévu, le mode de fonctionnement de sauvegarde ou les modes
d'interruption.
3.44
objectif de sécurité
description de la manière dont un phénomène dangereux donné doit être évité
NOTE 1 Il s'agit de l'exigence de sécurité de plus haut niveau, dérivée de l'analyse des phénomènes dangereux et de
l'appréciation du risque.
NOTE 2 L'existence de plusieurs objectifs de sécurité pour une seule entité est possible.
3.45
fonction de sécurité
fonction d'une machine dont la défaillance peut provoquer un accroissement immédiat du risque
3.46
partie relative à la sécurité d'un système de commande
SRP/CS
partie ou sous-partie d'un système de commande qui répond aux signaux d'entrée et génère des signaux de
sortie relatifs à la sécurité
NOTE Les parties combinées relatives à la sécurité d'un système de commande débutent au point où les signaux
relatifs à la sécurité sont initiés (par exemple la came de commande et le galet du contacteur de position) et prennent fin à
la sortie des éléments de commande de puissance (par exemple les contacts principaux du contacteur); elles
comprennent également les systèmes de contrôle.
6 © ISO 2010 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO 25119-1:2010(F)
3.47
gravité
mesure du degré de dommage le plus probable pour un individu en danger
3.48
niveau d'exigence du logiciel
SRL
aptitude des parties relatives à la sécurité à accomplir une fonction relative à la sécurité du logiciel dans des
conditions prévisibles
NOTE Le SRL est classé en quatre groupes: SRL = B, 1, 2 et 3.
3.49
exigence de sécurité du logiciel
exigence qui s'applique au logiciel relatif à la sécurité, et qui est comprise comme élément d'une exigence de
sécurité technique
3.50
fournisseur
fabricant et distributeur de pièces neuves et de rechange de tracteurs agricoles et forestiers, de machines
automotrices à conducteur porté et de machines portées, semi-portées et remorquées utilisées en agriculture,
et d'équipements municipaux
Voir fabricant (3.31).
3.51
canal symétrique
combinaison numérique du MTTF de chaque canal pour un système de canal double ou redondant
dc
3.52
défaillance systématique
défaillance liée de manière déterministe à une certaine cause, qui ne peut être éliminée que par une
modification de la conception ou du procédé de fabrication, des procédures de fonctionnement, de la
documentation ou autres facteurs pertinents
NOTE 1 Une maintenance corrective sans modification n'élimine généralement pas la cause de la défaillance.
NOTE 2 Une défaillance systématique peut être induite en simulant la cause de la défaillance.
EXEMPLE Erreurs humaines dans les spécifications relatives aux exigences de sécurité; la conception, la
fabrication, l'installation et le fonctionnement du matériel; et la conception et la mise en œuvre du logiciel.
3.53
concept de sécurité technique
ensemble des exigences de sécurité technique nécessaires pour mettre en œuvre le concept de sécurité
fonctionnelle et le répartir sur l'architecture du système
NOTE Le concept de sécurité technique fait partie de la spécification du système et est spécifié durant la conception
du système.
3.54
exigence de sécurité technique
exigence qui s'applique au SRP/CS telle qu'elle s'applique à un concept de sécurité technique donné
3.55
unité d'observation
système ou fonction électrique, électronique, électriquement programmable
NOTE L'unité d'observation peut englober une (des) fonction(s) de sécurité susceptible(s) d'être distribuée(s) dans
plusieurs systèmes.
© ISO 2010 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
ISO 25119-1:2010(F)
3.56
revue informelle
méthode de vérification systématique et informelle utilisée pour examiner la qualité d'un produit
NOTE Au cours d'une revue informelle, l'auteur d'un produit fabriqué fournit un rapport étape par étape à un ou
plusieurs inspecteurs. Il s'agit d'établir une compréhension commune du produit fabriqué, et d'identifier tout
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.