ISO 25119-1:2018
(Main)Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 1: General principles for design and development
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 1: General principles for design and development
This document sets out general principles for the design and development of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry and on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to mobile municipal equipment (e.g. street-sweeping machines). This document is not applicable to: — aircraft and air-cushion vehicles used in agriculture; — lawn and garden equipment. This document specifies the characteristics and categories required of SRP/CS for carrying out their safety-related functions. It does not identify performance levels for specific applications. NOTE 1 Machine specific type-C standards can specify performance levels (AgPL) for safety-related functions in machines within their scope. Otherwise, the specification of AgPL is the responsibility of the manufacturer. This document is applicable to the safety-related parts of electrical/electronic/programmable electronic systems (E/E/PES), as these relate to mechatronic systems. It covers the possible hazards caused by malfunctioning behaviour of E/E/PES safety-related systems, including interaction of these systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity, flammability, reactivity, corrosion, release of energy, and similar hazards, unless directly caused by malfunctioning behaviour of E/E/PES safety-related systems. It also covers malfunctioning behaviour of E/E/PES safety-related systems involved in protective measures, safeguards, or safety-related functions in response to non-E/E/PES hazards. Examples included within the scope of this document: — SRP/CS limiting current flow in electric hybrids to prevent insulation failure/shock hazards; — electromagnetic interference with the SRP/CS; — SRP/CS designed to prevent fire. Examples not included in the scope of this document: — insulation failure due to friction that leads to electric shock hazards; — nominal electromagnetic radiation impacting nearby machine control systems; — corrosion causing electric cables to overheat. This document is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic). NOTE 2 See also ISO 12100 for design principles related to the safety of machinery. This document is not applicable to safety related parts of control systems manufactured before the date of its publication.
Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 1: Principes généraux pour la conception et le développement
Le présent document établit des principes généraux pour la conception et le développement des parties relatives à la sécurité des systèmes de commande (SRP/CS) utilisées sur les tracteurs agricoles et forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et traînées utilisées en agriculture. Il peut également s'appliquer aux équipements municipaux mobiles (par exemple machines de nettoiement). Le présent document ne s'applique pas: — aux véhicules aéroportés et sur coussin d'air utilisés en agriculture, — aux équipements de jardinage ou horticoles. Le présent document spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser leurs fonctions relatives à la sécurité. Il n'identifie pas de niveaux de performance pour des applications spécifiques. NOTE 1 Les normes spécifiques à une machine donnée (normes de type C) peuvent spécifier des niveaux de performance (AgPL) pour des fonctions relatives à la sécurité dans des machines relevant de leur domaine d'application. Sinon, la spécification de l'AgPL est de la responsabilité du fabricant. Le présent document s'applique aux parties relatives à la sécurité des systèmes électriques/électroniques/électroniques programmables (E/E/PES), dans la mesure où celles-ci sont liées aux systèmes mécatroniques. Il couvre les éventuels phénomènes dangereux dus au dysfonctionnement de systèmes E/E/PES relatifs à la sécurité, y compris l'interaction entre ces systèmes. Il ne traite pas des phénomènes dangereux associés aux événements suivants: choc électrique, incendie, fumées, chaleur, rayonnement, toxicité, inflammabilité, réactivité, corrosion, libération d'énergie, et phénomènes dangereux similaires, à moins qu'ils ne soient causés directement par un dysfonctionnement des systèmes E/E/PES relatifs à la sécurité. Il couvre également le dysfonctionnement des systèmes E/E/PES relatifs à la sécurité qui sont impliqués dans les mesures de protection, protecteurs ou fonctions relatives à la sécurité en réponse aux phénomènes dangereux hors E/E/PES. Exemples faisant partie du domaine d'application du présent document: — SRP/CS limitant le flux de courant dans les hybrides électriques pour empêcher les phénomènes dangereux de panne d'isolement/choc; — interférence électromagnétique avec les SRP/CS; — SRP/CS conçues pour empêcher les incendies. Exemples ne faisant pas partie du domaine d'application du présent document: — panne d'isolement due au frottement qui engendre des phénomènes de chocs électriques; — rayonnement électromagnétique nominal qui impacte les systèmes de commande environnants de la machine; — corrosion engendrant une surchauffe des câbles électriques. Le présent document n'est pas applicable aux systèmes non E/E/PES (par exemple hydraulique, mécanique et pneumatique). NOTE 2 Pour les principes de conception relatifs à la sécurité des machines, voir également l'ISO 12100. Le présent document n'est pas applicable aux parties relatives à la sécurité des systèmes de commande fabriqués avant la date de sa publication.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 25119-1
Second edition
2018-10
Tractors and machinery for
agriculture and forestry — Safety-
related parts of control systems —
Part 1:
General principles for design and
development
Tracteurs et matériels agricoles et forestiers — Parties des systèmes
de commande relatives à la sécurité —
Partie 1: Principes généraux pour la conception et le développement
Reference number
©
ISO 2018
© ISO 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2018 – All rights reserved
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 2
3 Terms and definitions . 2
4 Abbreviated terms . 8
5 Quality management system . 9
6 Management during complete safety lifecycle . 9
6.1 Objectives. 9
6.2 General . 9
6.2.1 Introduction to the safety life cycle concept . 9
6.2.2 External functional safety measures . 9
6.3 Prerequisites . 9
6.4 Requirements — Functional safety management activities across safety life cycle .11
6.4.1 Functional safety culture .11
6.4.2 Continuous improvement .11
6.4.3 Training and qualification .12
6.4.4 Assignment of safety responsibilities .12
6.4.5 Assignment of tasks.12
6.4.6 Planning of all safety management activities during development .12
6.5 Work products .14
7 Assessment of functional safety .14
7.1 Objectives.14
7.2 General .14
7.3 Prerequisites .14
7.4 Requirements .14
7.4.1 Considerations for the assessment of the functional safety .14
7.4.2 Verification .15
7.5 Work products .16
8 Functional safety management activities after start of production (SOP) .16
8.1 Objectives.16
8.2 General .17
8.3 Prerequisites .17
8.4 Requirements .17
8.4.1 Management of production and modification procedures .17
8.4.2 Tasks for preparing and conducting production and end of line inspections .17
8.4.3 Tasks for safe machine operation, maintenance, repair and decommissioning .17
8.5 Work products .17
9 Plan for production and installation of safety-related systems .18
9.1 Objectives.18
9.2 General .18
9.3 Prerequisites .18
9.4 Requirements .18
9.4.1 Production plan .18
9.4.2 Test plan .18
9.4.3 Production and testing .18
9.4.4 Process capability .19
9.4.5 Documentation .19
9.4.6 Non-compliance . . .19
9.4.7 Traceability .19
9.4.8 Storage and transport conditions .19
9.4.9 Modification .19
9.5 Work products .19
Annex A (informative) Example of the structure of a project-specific safety plan .20
Bibliography .23
iv © ISO 2018 – All rights reserved
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Technical Committee ISO/TC 23, Tractors and machinery for agriculture
and forestry, Subcommittee SC 19, Agricultural electronics.
This second edition cancels and replaces the first edition (ISO 25119-1:2010), which has been technically
revised. The main changes compared from the previous edition are as follows:
— the introduction has been modified to add specific information on safety standards;
— Tables 1 to 3 have been deleted and the succeeding tables have been renumbered;
— Clause 5 (management system) has been inserted and the succeeding clauses have been renumbered;
— in 8.5, work products from the safety management activities after SOP have been specified;
— Figure 2 has been modified;
— the document has been editorially revised.
A list of all parts in the ISO 25119 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
Introduction
ISO 25119 (all parts) sets out an approach to the assessment, design and verification, for all safety life
cycle activities, of safety-related parts comprising electrical and/or electronic and/or programmable
electronic systems (E/E/PES) on tractors used in agriculture and forestry, and on self-propelled ride-
on machines and mounted, semi-mounted and trailed machines used in agriculture. It is also applicable
to mobile municipal equipment.
A prerequisite to the application of ISO 25119 (all parts) is the completion of a suitable hazard
identification and risk analysis (e.g. ISO 12100) for the entire machine. As a result, an E/E/PES is
frequently assigned to provide safety-related functions that create safety-related parts of control
systems (SRP/CS). These can consist of hardware or software, can be separate or integrated parts of
a control system, and can either perform solely safety-related functions or form part of an operational
function.
In general, the designer (and to some extent, the user) will combine the design and validation of these
SRP/CS as part of the risk assessment. The objective is to reduce the risk associated with a given hazard
(or hazardous situation) under all conditions of use of the machine. This can be achieved by applying
various measures (both SRP/CS and non-SRP/CS) with the end result of achieving a safe condition.
ISO 25119 (all parts) allocates the ability of safety-related parts to perform a safety-related function
under foreseeable conditions into five performance levels. The performance level of a controlled
channel depends on several factors, such as system structure (category), the extent of fault detection
mechanisms (diagnostic coverage), the reliability of components (mean time to dangerous failure,
common-cause failure), design processes, operating stress, environmental conditions and operation
procedures. Three types of failures that can cause E/E/PES malfunctions leading to potential hazardous
situations are considered: systematic, common-cause and random.
In order to guide the designer during design, verification, and to facilitate the assessment of the achieved
performance level, ISO 25119 (all parts) defines an approach based on a classification of architecture
with different design features and specific behaviour in case of a fault.
The performance levels and categories can be applied to the control systems of all kinds of mobile
machines: from simple systems (e.g. auxiliary valves) to complex systems (e.g. steer by wire), as well as
to the control systems of protective equipment (e.g. interlocking devices, pressure sensitive devices).
ISO 25119 (all parts) adopts a risk-based approach for the determination of the risks, while providing a
means of specifying the required performance level for the safety-related functions to be implemented
by E/E/PES safety-related channels. It gives requirements for the whole safety life cycle of E/E/PES
(design, validation, production, operation, maintenance, decommissioning), necessary for achieving the
required functional safety for E/E/PES that are linked to the performance levels.
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basic safety standards) give basic concepts, principles for design and general
aspects that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
— type-B2 standards on safeguards (e.g. two-hand controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B1 standard as stated in ISO 12100.
vi © ISO 2018 – All rights reserved
This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organizations, market surveillance, etc.).
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e.g. for maintenance (small, medium and large enterprises);
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and
built according to the requirements of that standard, the requirements of that type-C standard take
precedence.
INTERNATIONAL STANDARD ISO 25119-1:2018(E)
Tractors and machinery for agriculture and forestry —
Safety-related parts of control systems —
Part 1:
General principles for design and development
1 Scope
This document sets out general principles for the design and development of safety-related parts of
control systems (SRP/CS) on tractors used in agriculture and forestry and on self-propelled ride-on
machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied
to mobile municipal equipment (e.g. street-sweeping machines).
This document is not applicable to:
— aircraft and air-cushion vehicles used in agriculture;
— lawn and garden equipment.
This document specifies the characteristics and categories required of SRP/CS for carrying out their
safety-related functions. It does not identify performance levels for specific applications.
NOTE 1 Machine specific type-C standards can specify performance levels (AgPL) for safety-related functions
in machines within their scope. Otherwise, the specification of AgPL is the responsibility of the manufacturer.
This document is applicable to the safety-related parts of electrical/electronic/programmable
electronic systems (E/E/PES), as these relate to mechatronic systems. It covers the possible hazards
caused by malfunctioning behaviour of E/E/PES safety-related systems, including interaction of these
systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity,
flammability, reactivity, corrosion, release of energy, and similar hazards, unless directly caused by
malfunctioning behaviour of E/E/PES safety-related systems. It also covers malfunctioning behaviour
of E/E/PES safety-related systems involved in protective measures, safeguards, or safety-related
functions in response to non-E/E/PES hazards.
Examples included within the scope of this document:
— SRP/CS limiting current flow in electric hybrids to prevent insulation failure/shock hazards;
— electromagnetic interference with the SRP/CS;
— SRP/CS designed to prevent fire.
Examples not included in the scope of this document:
— insulation failure due to friction that leads to electric shock hazards;
— nominal electromagnetic radiation impacting nearby machine control systems;
— corrosion causing electric cables to overheat.
This document is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic).
NOTE 2 See also ISO 12100 for design principles related to the safety of machinery.
This document is not applicable to safety related parts of control systems manufactured before the
date of its publication.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 25119-2:2018, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 2: Concept phase
ISO 25119-3:2018, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 3: Series development, hardware and software
ISO 25119-4:2018, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 4: production, operation, modification and supporting processes
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
3.1
agricultural performance level
AgPL
level which specifies the ability of safety-related parts of control systems to perform a safety-related
function under foreseeable conditions
Note 1 to entry: For the purposes of ISO 25119 (all parts), the performance for each function is divided into
five levels (a, b, c, d and e) where the functional safety contributed by the SRP/CS in “a” is low and in “e” is high.
3.2
required agricultural performance level
AgPL
r
performance level(s) (AgPL) required to be achieved for each safety-related function
Note 1 to entry: Depending on the potential behaviours of a faulted UoO, a safety-related function may have more
than one AgPL . For example, a partial loss of a function, the sudden complete loss of a function, and the inability
r
to enable a function, may have three different AgPL ’s.
r
3.3
category
classification of the safety-related parts of a control system with respect to its resistance to dangerous
failures taking into account the subsequent behaviour in the fault condition, which is achieved by the
structural arrangement (architecture) of the parts
3.4
channel
combination of input, logic and output elements necessary to perform a function(s)
3.5
common-cause failure
CCF
multiple failures within a UoO, resulting from a single event, where these failures are not consequences
of each other
Note 1 to entry: Common-cause failures should not be confused with common-mode failures, as common-mode
failures can result from different causes.
2 © ISO 2018 – All rights reserved
3.6
controllability
involved individual's possibility of avoiding harm in the situation that is putting him/her at risk
3.7
dangerous detected failure rate
λ
DD
detected failure rate within the UoO which result in no or minimal increase in risk, but if undetected,
would result in an immediate increase in risk
3.8
dangerous failure
failure (and multiple failures due to common cause) in which an SRP/CS is no longer able to maintain
the intended function and the resultant machine behaviour could result in a hazardous situation
3.9
dangerous failure rate
λ
D
fraction of all components with dangerous failure (3.8) per time unit
Note 1 to entry: λ is the reciprocal value of MTTF .
D D
3.10
diagnostic coverage
DC
fraction of the probability of detected dangerous failures, λ , and the probability of total dangerous
DD
failures, λ (3.9)
D
3.11
diagnostic test interval
interval between online tests used to detect faults in a safety-related system that have a specified
diagnostic coverage (3.10)
3.12
E/E/PES architecture
allocation of safety-related functions to electronic control units (ECU) and classification into hardware
and software, including communication
3.13
environmental condition
physical condition under which a system is used
3.14
exposure
duration of time and frequency in which an individual is in a situation in which the potential hazard exists
3.15
failure
termination of the ability of an element within a UoO to perform as intended
Note 1 to entry: After a failure, the UoO will have a fault.
Note 2 to entry: “Failure” is an event, as distinguished from fault (3.16), which is a state.
Note 3 to entry: The concept as defined does not apply to a UoO consisting of software only.
3.16
fault
state of a UoO characterised by inability to perform a required function, excluding the inability during
preventive maintenance or other planned actions, or due to lack of external resources
Note 1 to entry: A fault is often the result of a failure (3.15), but can exist without prior failure.
Note 2 to entry: For the purposes of ISO 25119 (all parts), a fault is a random fault.
3.17
function
defined behaviour of one or more electronic control units
3.18
functional requirement
requirement for an intended function of the E/E/PES system
3.19
functional safety
system that performs in a way that does not present an unreasonable risk of injury to operators or
bystanders
3.20
functional safety concept
entire collection of functional safety requirements (3.21) including their interactions to achieve
functional safety
Note 1 to entry: It is developed during the concept phase of the safety life cycle.
3.21
functional safety requirement
requirement for a safety-related function of the E/E/PES system
3.22
hardware safety requirement
requirement that applies to safety-related hardware and which is included as an element of a technical
safety requirement
3.23
harm
physical injury or damage to health of persons
3.24
hazard
potential source of harm (3.23)
3.25
hazard analysis and risk assessment
HARA
method to identify and categorize hazardous situations of the UoO and to specify safety goals, AgPL ,
r
related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk
3.26
hazardous situation
circumstance in which a person is exposed to a hazard (3.24) or hazards, exposure (3.14) to which can
have immediate or long-term effects
3.27
intended use
use in accordance with the information provided in the operator's manual
3.28
inspection
systematic formal verification method used to review product quality
Note 1 to entry: During an inspection, the work product is checked by one or more assessors to see whether it
complies with the requirements. The inspection is organized and moderated by an inspection leader. The author
of the work product participates in the inspection but cannot lead the process.
4 © ISO 2018 – All rights reserved
3.29
life of the machine
life cycle
time between production and decommissioning
3.30
manual reset
function within the SRP/CS used to manually restore one or more safety-related functions before
restarting the machine
3.31
machine manufacturer
manufacturer of tractors for agriculture and forestry, self-propelled ride-on machines and mounted,
semi-mounted and trailed machines used in agriculture, and of mobile municipal equipment
Note 1 to entry: See also supplier (3.50).
3.32
mean time to dangerous failure
MTTF
D
average value of the expected time to a dangerous failure (3.8)
Note 1 to entry: MTTF is the reciprocal value of λ .
D D
3.33
monitoring
automatic monitoring
automatic function which ensures that a protective measure (3.36) is initiated if the ability of the SRP/
CS to perform a function is diminished, or if the process conditions are changed such that hazards are
generated
3.34
muting
temporary automatic suspension of a safety-related function by safety-related parts of the control system
3.35
programmable electronic system
PES
system for control, protection or monitoring which uses one or more programmable electronic devices
Note 1 to entry: It comprises all elements of the system, including power supplies, sensors and other input
devices, data highways and other communication paths, and actuators and other output devices.
3.36
protective measure
measure intended to achieve functional safety, as implemented by the designer (intrinsic design,
safeguarding and complementary measures, information for use), and the user (organization, safe
working procedures, supervision, permit to work, systems, additional safeguards, personal protective
equipment, training)
3.37
reasonably foreseeable misuse
use of a machine in a way not intended by the designer, but which can result from readily predictable
human behaviour
3.38
response time
maximum time that can elapse between the occurrence of an error and the attainment of a safe state (3.43)
3.39
risk
combination of the probability of occurrence of harm (3.23) and the severity (3.47) of that harm
3.40
risk analysis
combination of the specification of the limits of the machine, hazard identification and risk estimation
3.41
risk assessment
overall process comprising risk analysis (3.40) and risk evaluation (3.42)
3.42
risk evaluation
judgment on the basis of risk analysis as to whether a given risk is acceptable
3.43
safe state
operating mode of a system with an acceptable level of risk
EXAMPLE Intended operating mode, back-up operating mode, or switched-off modes.
3.44
safety goal
description of how a given hazard is to be avoided
EXAMPLE Avoid propel when neutral is commanded.
Note 1 to entry: It is the top level objective as a result of the hazard analysis and risk assessment and where
safety-related functions are derived.
Note 2 to entry: One safety goal can be related to several hazards and several safety goals can be related to a
single hazard.
3.45
safety-related function
function of the machine whose failure can result in an immediate increase
...
NORME ISO
INTERNATIONALE 25119-1
Deuxième édition
2018-10
Tracteurs et matériels agricoles et
forestiers — Parties des systèmes de
commande relatives à la sécurité —
Partie 1:
Principes généraux pour la conception
et le développement
Tractors and machinery for agriculture and forestry — Safety-related
parts of control systems —
Part 1: General principles for design and development
Numéro de référence
©
ISO 2018
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Termes abrégés . 8
5 Système de management de la qualité . 9
6 Gestion pendant le cycle de vie de sécurité complet . 9
6.1 Objectifs . 9
6.2 Généralités .10
6.2.1 Introduction au concept du cycle de vie de sécurité .10
6.2.2 Mesures de sécurité fonctionnelle externe .10
6.3 Conditions préalables .10
6.4 Exigences — Activités relatives à la gestion de la sécurité fonctionnelle durant le
cycle de vie de sécurité .12
6.4.1 Culture de la sécurité fonctionnelle .12
6.4.2 Amélioration continue .13
6.4.3 Formation et qualification .13
6.4.4 Affectation des responsabilités de sécurité .13
6.4.5 Affectation des tâches . .13
6.4.6 Planification de toutes les activités de gestion de la sécurité pendant le
développement .13
6.5 Produits fabriqués .15
7 Évaluation de la sécurité fonctionnelle .15
7.1 Objectifs .15
7.2 Généralités .15
7.3 Conditions préalables .15
7.4 Exigences .16
7.4.1 Considérations relatives à l'évaluation de la sécurité fonctionnelle .16
7.4.2 Vérification .16
7.5 Produits fabriqués .18
8 Activités de gestion de la sécurité fonctionnelle après démarrage de la production
(SOP) .19
8.1 Objectifs .19
8.2 Généralités .19
8.3 Conditions préalables .19
8.4 Exigences .19
8.4.1 Gestion de la production et procédures de modification.19
8.4.2 Tâches relatives à la préparation et à la conduite des inspections de
production et de fin de ligne .19
8.4.3 Tâches relatives au fonctionnement, à la maintenance, aux réparations et
au démantèlement de la machine en toute sécurité .19
8.5 Produits fabriqués .20
9 Plan de production et d’installation des systèmes relatifs à la sécurité .20
9.1 Objectifs .20
9.2 Généralités .20
9.3 Conditions préalables .20
9.4 Exigences .20
9.4.1 Plan de production .20
9.4.2 Plan d'essai .21
9.4.3 Production et essais .21
9.4.4 Aptitude du processus .21
9.4.5 Documentation .21
9.4.6 Non-conformité .21
9.4.7 Traçabilité .21
9.4.8 Conditions de stockage et de transport .21
9.4.9 Modification .21
9.5 Produits fabriqués .21
Annexe A (informative) Exemple de structure d'un plan de sécurité propre à un projet .23
Bibliographie .26
iv © ISO 2018 – Tous droits réservés
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/iso/fr/avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 23, Tracteurs et matériels agricoles et
forestiers, sous-comité SC 19, Électronique en agriculture.
Cette deuxième édition annule et remplace la première édition (ISO 25119-1:2010), qui a fait l'objet
d'une révision technique.
Les principales modifications par rapport à l’édition précédente sont les suivantes:
— l'introduction a été modifiée pour ajouter des informations spécifiques sur les normes de sécurité;
— les Tableaux 1 à 3 ont été supprimés et les tableaux suivants ont été renumérotés;
— L'Article 5 (Système de management de la qualité) a été inséré et les articles suivants ont été
renumérotés;
— dans le paragraphe 8.5, les produits fabriqués issus des activités de gestion de la sécurité après que
les SOP ont été spécifiés;
— la Figure 2 a été modifiée;
— le document a été révisé sur le plan rédactionnel.
Une liste de toutes les parties de la série ISO 25119 se trouve sur le site web de l’ISO.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/fr/members .html.
Introduction
L'ISO 25119 (toutes ses parties) établit une approche pour l'évaluation, la conception et la vérification,
pour toutes les activités relatives au cycle de vie de sécurité, des parties relatives à la sécurité
comprenant les systèmes électriques et/ou électroniques et/ou électroniques programmables (E/E/
PES) utilisés sur les tracteurs agricoles et forestiers, sur les machines automotrices à conducteur
porté et sur les machines portées, semi-portées et traînées utilisées en agriculture. Elle est également
applicable aux équipements municipaux mobiles.
Le prérequis pour l’application de l’ISO 25119 (toutes ses parties), est la réalisation d’une identification
des risques et d'une analyse de risque (par exemple ISO 12100) adaptées pour la totalité de la machine.
Il en résulte qu'un système E/E/PES est fréquemment chargé d'assurer des fonctions relatives à la
sécurité, créant des parties de systèmes de commande relatives à la sécurité (SRP/CS). Ces parties
peuvent être constituées de matériels et de logiciels, elles peuvent être des parties isolées du système
de commande ou en faire partie intégrante, et elles peuvent soit assurer uniquement des fonctions
relatives à la sécurité, soit faire partie d'une fonction opérationnelle.
En général, le concepteur (et, dans une certaine mesure, l'utilisateur) associe la conception et la
validation de ces SRP/CS dans le cadre de l'appréciation du risque. L'objectif est de réduire le risque lié à
un phénomène dangereux donné (ou à une situation dangereuse) dans toutes les conditions d'utilisation
de la machine. Cela peut être réalisé en appliquant diverses mesures (aussi bien SRP/CS que non SRP/
CS) dans le but final de réaliser une condition de sécurité.
L'ISO 25119 (toutes ses parties) aborde la capacité des parties relatives à la sécurité à réaliser une
fonction relative à la sécurité dans des conditions prévisibles en cinq niveaux de performance. Le
niveau de performance d'un canal contrôlé dépend de plusieurs facteurs, tels que la structure du
système (catégorie), l'étendue du mécanisme de détection de défaut (couverture de diagnostic), la
fiabilité des composants (temps moyen avant défaillance dangereuse, défaillances de cause commune),
le processus de conception, la contrainte en service, les conditions environnementales et les procédures
de fonctionnement. Trois types de défaillance susceptibles de provoquer des dysfonctionnements
des systèmes E/E/PES conduisant à des situations potentiellement dangereuses sont considérés: la
défaillance systématique, la défaillance de cause commune et la défaillance aléatoire.
Afin de guider le concepteur pendant la conception et la vérification, et de faciliter l'évaluation du
niveau de performance atteint, l'ISO 25119 (toutes ses parties) définit une approche fondée sur une
classification d'architecture avec différentes caractéristiques de conception et un comportement
spécifique en cas de défaut.
Les niveaux et catégories de performance peuvent être appliqués aux systèmes de commande de tous
les types de machines mobiles, des systèmes simples (par exemple valves auxiliaires) aux systèmes
complexes (par exemple transmission par fil), ainsi qu'aux systèmes de commande d'équipements de
protection (par exemple dispositifs de verrouillage ou dispositifs sensibles à la pression).
L'ISO 25119 (toutes ses parties) adopte une approche fondée sur le risque pour déterminer les risques,
tout en fournissant un moyen permettant de spécifier le niveau de performance requis pour les fonctions
relatives à la sécurité à mettre en œuvre par les canaux E/E/PES relatifs à la sécurité. Elle fournit
les exigences pour tout le cycle de vie de sécurité des E/E/PES (conception, validation, production,
fonctionnement, maintenance, démantèlement) nécessaires pour assurer la sécurité fonctionnelle
requise pour les E/E/PES liés aux niveaux de performance.
La structure des normes de sécurité dans le domaine des machines est la suivante:
a) normes de type A (normes fondamentales de sécurité), contenant des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines;
vi © ISO 2018 – Tous droits réservés
b) normes de type B (normes génériques de sécurité), traitant d'un aspect de la sécurité ou d'un type
de dispositif conditionnant la sécurité valable pour toutes les machines ou pour une large gamme
de machines:
— normes de type B1 traitant d’aspects particuliers de la sécurité (par exemple: distances de
sécurité, température de surface, bruit);
— normes de type B2 traitant de dispositifs conditionnant la sécurité (par exemple: commandes
bi-manuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs);
c) normes de type C (normes de sécurité par catégorie de machines), traitant des exigences de sécurité
détaillées s'appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type B1 comme mentionné dans l’ISO 12100.
Le présent document concerne, en particulier, les groupes de parties prenantes suivants représentant
les acteurs du marché en ce qui concerne la sécurité des machines:
— les fabricants de machines (petites, moyennes et grandes entreprises);
— les organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des
risques professionnels, surveillance du marché, etc.).
D'autres partenaires peuvent être concernés par le niveau de sécurité des machines atteint à l'aide du
document par les groupes de parties prenantes mentionnés ci-dessus:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/salariés (par exemple: syndicats de salariés, organisations représentant
des personnes ayant des besoins particuliers);
— prestataires de services, par exemple pour la maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (dans le cas de machines destinées à être utilisées par des consommateurs).
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer à l'élaboration
du présent document.
De plus, le présent document est destiné aux organismes de normalisation élaborant des normes de type C.
Les exigences du présent document peuvent être complétées ou modifiées par une norme de type C.
Pour les machines couvertes par le domaine d'application d'une norme de type C et qui ont été conçues et
construites conformément aux exigences de cette norme, les exigences de la norme de type C prévalent.
NORME INTERNATIONALE ISO 25119-1:2018(F)
Tracteurs et matériels agricoles et forestiers — Parties des
systèmes de commande relatives à la sécurité —
Partie 1:
Principes généraux pour la conception et le
développement
1 Domaine d'application
Le présent document établit des principes généraux pour la conception et le développement des parties
relatives à la sécurité des systèmes de commande (SRP/CS) utilisées sur les tracteurs agricoles et
forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées
et traînées utilisées en agriculture. Il peut également s'appliquer aux équipements municipaux mobiles
(par exemple machines de nettoiement).
Le présent document ne s’applique pas:
— aux véhicules aéroportés et sur coussin d’air utilisés en agriculture,
— aux équipements de jardinage ou horticoles.
Le présent document spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser
leurs fonctions relatives à la sécurité. Il n'identifie pas de niveaux de performance pour des applications
spécifiques.
NOTE 1 Les normes spécifiques à une machine donnée (normes de type C) peuvent spécifier des niveaux
de performance (AgPL) pour des fonctions relatives à la sécurité dans des machines relevant de leur domaine
d'application. Sinon, la spécification de l'AgPL est de la responsabilité du fabricant.
Le présent document s'applique aux parties relatives à la sécurité des systèmes électriques/
électroniques/électroniques programmables (E/E/PES), dans la mesure où celles-ci sont liées aux
systèmes mécatroniques. Il couvre les éventuels phénomènes dangereux dus au dysfonctionnement de
systèmes E/E/PES relatifs à la sécurité, y compris l'interaction entre ces systèmes. Il ne traite pas des
phénomènes dangereux associés aux événements suivants: choc électrique, incendie, fumées, chaleur,
rayonnement, toxicité, inflammabilité, réactivité, corrosion, libération d'énergie, et phénomènes
dangereux similaires, à moins qu'ils ne soient causés directement par un dysfonctionnement des
systèmes E/E/PES relatifs à la sécurité. Il couvre également le dysfonctionnement des systèmes E/E/
PES relatifs à la sécurité qui sont impliqués dans les mesures de protection, protecteurs ou fonctions
relatives à la sécurité en réponse aux phénomènes dangereux hors E/E/PES.
Exemples faisant partie du domaine d'application du présent document:
— SRP/CS limitant le flux de courant dans les hybrides électriques pour empêcher les phénomènes
dangereux de panne d’isolement/choc;
— interférence électromagnétique avec les SRP/CS;
— SRP/CS conçues pour empêcher les incendies.
Exemples ne faisant pas partie du domaine d'application du présent document:
— panne d’isolement due au frottement qui engendre des phénomènes de chocs électriques;
— rayonnement électromagnétique nominal qui impacte les systèmes de commande environnants de
la machine;
— corrosion engendrant une surchauffe des câbles électriques.
Le présent document n'est pas applicable aux systèmes non E/E/PES (par exemple hydraulique,
mécanique et pneumatique).
NOTE 2 Pour les principes de conception relatifs à la sécurité des machines, voir également l'ISO 12100.
Le présent document n'est pas applicable aux parties relatives à la sécurité des systèmes de commande
fabriqués avant la date de sa publication.
2 Références normatives
Les documents suivants cités dans le texte constituent, pour tout ou partie de leur contenu, des
exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO 25119-2:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 2: Phase de projet
ISO 25119-3:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels
ISO 25119-4:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 4: Procédés de production, de fonctionnement, de modification et d’entretien
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
L'ISO et la CEI tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp
— IEC Electropedia: disponible à l'adresse http: //www .electropedia .org/
3.1
niveau de performance agricole
AgPL
niveau qui spécifie l'aptitude des parties de systèmes de commande relatives à la sécurité à accomplir
une fonction relative à la sécurité dans des conditions prévisibles
Note 1 à l'article: Pour les besoins de l'ISO 25119 (toutes ses parties), la performance pour chaque fonction est
divisée en cinq niveaux (a, b, c, d et e), où la sécurité fonctionnelle assurée par la SRP/CS est faible dans «a» et
élevée dans «e».
3.2
niveau de performance agricole requis
AgPL
r
niveau(x) de performance (AgPL) nécessaire(s) pour chaque fonction relative à la sécurité
Note 1 à l'article: En fonction des comportements potentiels d'une UoO défectueuse, une fonction relative à la
sécurité peut avoir plusieurs AgPL . Par exemple, une perte partielle d'une fonction, la perte complète soudaine
r
d'une fonction et l'inaptitude à activer une fonction peuvent avoir trois AgPL différents.
r
3.3
catégorie
classification des parties relatives à la sécurité d'un système de commande en fonction de sa résistance
aux défaillances dangereuses, en tenant compte de leur comportement subséquent en état de défaut,
obtenue par un arrangement structurel (architecture) des parties
2 © ISO 2018 – Tous droits réservés
3.4
canal
combinaison d'éléments d'entrée, logiques et de sortie nécessaire à l'exécution d'une ou plusieurs
fonctions
3.5
défaillance de cause commune
CCF
défaillances multiples au sein d'une UoO, qui proviennent d'un seul événement et qui ne résultent pas
les unes des autres
Note 1 à l'article: Il convient de ne pas confondre les défaillances de mode commun avec les défaillances de cause
commune. En effet, les défaillances de mode commun peuvent résulter de différentes causes.
3.6
contrôlabilité
possibilité pour un individu impliqué d'éviter un dommage dans la situation qui l'expose à un risque
3.7
taux de défaillance dangereuse détectée
λ
DD
taux de défaillance détecté au sein de l'UoO, n'impliquant qu'une augmentation du risque nulle ou
minime mais si non détecté, provoquerait une augmentation de risque immédiate
3.8
défaillance dangereuse
défaillance (et défaillance multiple due à une cause commune) par laquelle une SRP/CS n'est plus en
mesure de maintenir la fonction de sécurité et dont le comportement de la machine qui en résulte
pourrait faire apparaître une situation dangereuse
3.9
taux de défaillance dangereuse
λ
D
fraction de tous les composants qui subissent une défaillance dangereuse (3.8) par unité de temps
Note 1 à l'article: λ est la valeur inverse du MTTF .
D D
3.10
couverture de diagnostic
DC
fraction de la probabilité de défaillances dangereuses détectées, λ , et de la probabilité de défaillances
DD
dangereuses totales, λ , (3.9)
D
3.11
intervalle entre essais de diagnostic
intervalle entre les essais en ligne utilisé pour détecter les défauts dans un système relatif à la sécurité
ayant une couverture de diagnostic (3.10) spécifiée
3.12
architecture E/E/PES
affectation de fonctions relatives à la sécurité à des unités de commande électronique (UCE) et
classification en matériel et logiciel, y compris la communication
3.13
condition environnementale
condition physique dans laquelle un système est utilisé
3.14
exposition
durée et fréquence à laquelle un individu se trouve exposé à un phénomène dangereux potentiel
3.15
défaillance
cessation de l'aptitude d'un élément d'UoO à accomplir une fonction comme prévu
Note 1 à l'article: Après une défaillance, l'UoO présente un défaut.
Note 2 à l'article: Une «défaillance» est un passage d'un état à un autre, par opposition à un défaut (3.16), qui est
un état.
Note 3 à l'article: Le concept tel que défini ne s'applique pas aux UoO exclusivement constituées de logiciels.
3.16
défaut
état d'une UoO inapte à accomplir une fonction requise, à l'exclusion de l'inaptitude due à la maintenance
préventive ou à d'autres actions programmées, ou due à un manque de moyens externes
Note 1 à l'article: Un défaut est souvent la conséquence d'une défaillance (3.15), mais il peut exister sans
défaillance préalable.
Note 2 à l'article: Pour les besoins de l'ISO 25119 (toutes ses parties), le terme défaut signifie un défaut aléatoire.
3.17
fonction
comportement défini d'une ou de plusieurs unités de commande électronique
3.18
exigence fonctionnelle
exigence relative à une fonction prévue du système E/E/PES
3.19
sécurité fonctionnelle
système qui fonctionne de manière à ne présenter aucun risque de dommage intolérable aux opérateurs
ou à des tiers
3.20
concept de sécurité fonctionnelle
ensemble des exigences de sécurité fonctionnelle (3.21), y compris leurs interactions en vue d'assurer la
sécurité fonctionnelle
Note 1 à l'article: Le concept de sécurité fonctionnelle est élaboré durant la phase de projet du cycle de vie de
sécurité.
3.21
exigence de sécurité fonctionnelle
exigence d'une fonction relative à la sécurité du système E/E/PES
3.22
exigence de sécurité du matériel
exigence qui s'applique au matériel relatif à la sécurité, et qui est incluse comme élément d'une exigence
de sécurité technique
3.23
dommage
blessure physique ou atteinte à la santé des personnes
3.24
phénomène dangereux
source potentielle de dommage (3.23)
4 © ISO 2018 – Tous droits réservés
3.25
analyse des phénomènes dangereux et appréciation du risque
HARA
méthode d'identification et de catégorisation des situations dangereuses de l'UoO et de spécification
des objectifs de sécurité, AgPLr, liée à la prévention ou la réduction des phénomènes dangereux associés
afin d'éviter tout risque déraisonnable
3.26
situation dangereuse
circonstance dans laquelle une personne est exposée à un phénomène dangereux (3.24) ou plusieurs
phénomènes dangereux, dont l’exposition (3.14) peut entraîner des effets, immédiatement ou à plus
long terme
3.27
utilisation normale
〈d'une machine〉 utilisation conformément aux indications données dans les manuels d'utilisation
3.28
inspection
méthode de vérification formelle et systématique utilisée pour examiner la qualité des produits
Note 1 à l'article: Lors d'une inspection, les produits fabriqués sont vérifiés par un ou plusieurs inspecteurs
pour s'assurer de leur conformité aux exigences. L'inspection est organisée et dirigée par un responsable de
l'inspection. L'auteur des produits fabriqués participe à l'inspection mais ne peut diriger le processus.
3.29
durée de vie de la machine
cycle de vie
temps écoulé entre la production et le démantèlement
3.30
réinitialisation manuelle
fonction interne aux SRP/CS permettant de rétablir manuellement une ou plusieurs fonctions relatives
à la sécurité avant la remise en marche de la machine
3.31
fabricant de la machine
fabricant de tracteurs agricoles et forestiers, de machines automotrices à conducteur porté, de machines
portées, semi-portées et traînées utilisées en agriculture, et d'équipements municipaux mobiles
Note 1 à l'article: Voir également fournisseur (3.50).
3.32
temps moyen avant défaillance dangereuse
MTTF
D
valeur moyenne du temps prévu avant une défaillance dangereuse (3.8)
Note 1 à l'article: MTTF est la valeur inverse de λ .
D D
3.33
contrôle
contrôle automatique
fonction automatique qui assure qu'une mesure de prévention (3.36) est initiée en cas de réduction de
l'aptitude de la SRP/CS à assurer une fonction, ou en cas de modifications des conditions du processus
telles qu'elles provoquent des phénomènes dangereux
3.34
neutralisation
suspension automatique temporaire d'une fonction relative à la sécurité par des parties relatives à la
sécurité du système de commande
3.35
système électronique programmable
PES
système de commande, de protection ou de contrôle, qui utilise un ou plusieurs dispositifs électroniques
programmables
Note 1 à l'article: Cela comprend tous les éléments du système, tels que les sources d'alimentation, les capteurs
et autres dispositifs d'entrée, les inforoutes et autres voies de communication, et les actionneurs et autres
dispositifs de sortie.
3.36
mesure de prévention
mesure destinée à assurer la sécurité fonctionnelle, mise en œuvre par le concepteur (prévention
intrinsèque, protection et mesures de prévention complémentaires, informations pour l'utilisation) et
par l'utilisateur (organisation, méthodes de travail sûres, surveillance, système du permis de travailler,
fourniture et utilisation de moyens de protection supplémentaires, utilisation d'équipements de
protection individuelle, formation)
3.37
mauvais usage raisonnablement prévisible
utilisation d'une machine d'une manière ne correspondant pas aux intentions du concepteur, mais
pouvant résulter d'un comportement humain aisément prévisible
3.38
temps de réponse
temps maximal susceptible de s'écouler entre l'occurrence d'une erreur et l'atteinte d'un état de
sécurité (3.43)
3.39
risque
combinaison de la probabilité d'un dommage (3.23) et de la gravité (3.47) de ce dommage
3.40
analyse du risque
combinaison de la détermination des limites de la machine, de l'identification des phénomènes
dangereux et de l'estimation du risque
3.41
appréciation du risque
processus global d'analyse du risque (3.40) et d'évaluation du risque (3.42)
3.42
évaluation du risque
jugement destiné à établir, sur la base de l'analyse du risque, si un risque donné est acceptable
3.43
état de sécurité
mode de fonctionnement d'un système avec un niveau acceptable de risque
EXEMPLE Le mode de fonctionnement prévu, le mode de fonctionnement de sauvegarde ou les modes
d'interruption.
3.44
objectif de sécurité
description de la manière dont un phénomène dangereux donné doit être évité
EXEMPLE Éviter de mettre les gaz en passant au point mort.
Note 1 à l'article: Il s'agit là de l'objectif de plus haut niveau, résultat de l'analyse des phénomènes dangereux et de
l'appréciation du risque, lorsque les fonctions relatives à la sécurité en ont été déduites.
6 © ISO 2018 – Tous droits réservés
Note 2 à l'article: Un objectif de sécurité peut concerner plusieurs phénomènes dangereux et plusieurs objectifs
de sécurité peuvent concerner un seul et même phénomène dangereux.
3.45
fonction de sécurité
fonction d'une machine dont la défaillance peut provoquer un accroissement immédiat du risque
3.46
partie relative à la sécurité d'un système de commande
SRP/CS
partie ou sous-partie d'un système de commande qui répond aux signaux d'entrée et génère des signaux
de sortie relatifs à la sécurité
Note 1 à l'article: Les parties combinées relatives à la sécurité d'un système de commande débutent au point
où les signaux relatifs à la sécurité sont initiés (par exemple la came de commande et le galet du contacteur de
position) et prennent fin à la sortie des éléments de commande de puissance (par exemple les contacts principaux
du contacteur). Elles comprennent également les systèmes de contrôle.
3.47
gravité
degré du dommage le plus probable pour un individu en danger, en supposant qu’un dommage a eu lieu
3.48
niveau d'exigence du logiciel
SRL
aptitude des parties relatives à la sécurité à accomplir une fonction de sécurité (3.45) du logiciel dans
des conditions prévisibles
Note 1 à l'article: Le SRL est classé en quatre groupes: SRL = B, 1, 2 et 3.
3.49
exigence de sécurité du logiciel
exigence qui s'applique au logiciel relatif à la sécurité, et qui est comprise comme élément d'une exigence
de sécurité technique (3.54)
3.50
fournisseur
fabricant et distributeur de pièces neuves et de rechange de tracteurs agricoles et forestiers, de
machines automotrices à conducteur porté et de machines portées, semi-portées et traînées utilisées
en agriculture, et d'équipements municipaux
3.51
canal symétrique
combinaison numérique du MTTFDC de chaque canal pour un système de canal double ou redondant
3.52
défaillance systématique
défaillance liée de manière déterministe à une certaine cause, qui ne peut être éliminée que par une
modification de la conception ou du procédé de fabrication, des procédures de fonctionnement, de la
documentation ou autres facteurs pertinents
EXEMPLE Erreurs humaines dans les spécifications relatives aux exigences de sécurité, la conception, la
fabrication, l'installation et le fonctionnement du matériel, ou dans la conception et la mise en œœuvre du logiciel.
Note 1 à l'article: Une maintenance corrective sans modification n'élimine généralement pas la cause de la
défaillance.
Note 2 à l'article: Une défaillance systématique peut être induite en simulant la cause de la défaillance.
3.53
concept de sécurité technique
ensemble des exigences de sécurité technique (3.54) nécessaires pour mettre en œuvre le concept de
sécurité fonctionnelle (3.20) et le répartir sur l'architecture du système
Note 1 à l'article: Le concept de sécurité technique fait partie de la spécification du système et est spécifié durant
la conception du système.
3.54
exigence de sécurité technique
exigence qui s'applique aux SRP/CS telle qu'elle s'applique à un concept de sécurité technique (3.53) donné
3.55
unité d'observation
unités d'observation
UoO
système ou fonction électrique, électronique, électriquement programmable, et son domaine
d'application, contexte et objectif
Note 1 à l'article: L'UoO peut englober une ou plusieurs fonctions relatives à la sécurité susceptibles d'être
réparties dans plusieurs systèmes, ainsi que leurs interactions relatives à la sécurité.
3.56
revue informelle
méthode de vérification systématique et informelle utilisée pour examiner la qualité d'un produit
Note 1 à l'article: Au cours d'une revue informelle, l'auteur d'un produit fabriqué fournit un rapport étape par
étape à un ou plusieurs inspecteurs. Il s'agit d'établir une compréhension commune du produit fabriqué, et
d'identifier toutes erreurs, tous défauts, toutes divergences ou problèmes dans le produit fabriqué. Une revue
informelle est moins rigoureuse qu'une inspection.
3.57
produits fabriqués
documentation résultat d'une activité de conception ou de développement
4 Termes abrégés
Pour les besoins du présent document, les termes abrégés suivants s'appliquent.
AgPL niveau de performance agricole (agricultural performance level)
AgPL niveau de performance agricole requis (required agricultural performance level)
r
CAD conception assistée par ordinateur (computer-aided design)
Cat catégorie de matériel
CCF défaillance de cause commune (common-cause failure)
DC couverture de diagnostic (diagnostic coverage)
DC couverture moyenne de diagnostic (average diagnostic coverage)
avg
UCE unité de commande électronique
ETA analyse par arbre d'événements (event tree analysis)
E/E/PES systèmes électriques/électroniques/électroniques programmables (electrical/electronic/
programmable electronic systems)
8 © ISO 2018 – Tous droits réservés
CEM compatibilité électromagnétique
AMDE analyse des modes de défaillance et de leurs effets
FSM gestion de la sécurité fonctionnelle ( functional safety management)
FTA analyse par arbre de panne ( fault tree analysis)
HARA analyse des phénomènes dangereux et appréciation du risque (hazard analysis and risk assessment)
HIL matériel incorporé (hardware in the loop)
MTTF temps moyen avant défaillance (mean time to failure)
MTTF temps moyen avant défaillance dangereuse (mean time to dangerous failure)
D
MTTF temps moyen avant défaillance dangereuse pour chaque canal (mean time to dangerous failure
DC
for each channel)
PES système électronique programmable (programmable electronic system)
QM mesures de la qualité
RAM mémoire vive (random-access memory)
SOP démarrage de la production (start of production)
SRL niveau d'exigence du logiciel (software requirement level)
SRP/CS parties relatives à la sécurité d'un système de commande (safety-related parts of control systems)
UoO unité d'observation
5 Système de management de la qualité
Un système de management de la qualité est une partie importante de la sécurité fonctionnelle. Les
utilisateurs du présent document doivent démontrer la conformité aux Articles 6 à 9:
— en appliquant les principes de management de la qualité tels que ceux qui figurent dans l'ISO 9001,
en prenant pour recommandation les Articles 6 à 9; ou
— en appliquant les paragraphes spécifiques des Articles 6 à 9 tels qu'ils sont rédigés dans le présent
document.
NOTE Les possibilités ci-dessus ne concernent que le présent document.
6 Gestion pendant le cycle de vie de sécurité complet
6.1 Objectifs
Le principal objectif du présent article est de définir les responsabilités des personnes, départements
et organisations en charge de chaque phase pendant le cycle de vie de sécurité complet ou des activités
au sein des différentes phases. Cela concerne aussi bien les activités nécessaires pour assurer le niveau
requis de sécurité fonctionnelle pour l'UoO que les mesures de confirmation d'acceptation du niveau de
sécurité fonctionnelle. Un autre objectif est la définition des activités de gestion pendant le cycle de vie
de sécurité complet.
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.