Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 4: Production, operation, modification and supporting processes

ISO 25119-4:2010 provides general principles for the production, operation, modification and supporting processes of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry, and on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to municipal equipment (e.g. street‑sweeping machines). It specifies the characteristics and categories required of SRP/CS for carrying out their safety functions. ISO 25119-4:2010 is applicable to the safety-related parts of electrical/electronic/programmable electronic systems (E/E/PES). As these relate to mechatronic systems, it does not specify which safety functions or categories are to be used in a particular case. It is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic).

Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 4: Procédés de production, de fonctionnement, de modification et d'entretien

L'ISO 25119-4:2010 fournit des principes généraux pour les procédés de production, de fonctionnement, de modification et d'entretien des parties relatives à la sécurité des systèmes de commande (SRP/CS) utilisés sur les tracteurs et matériels agricoles et forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et remorquées utilisées pour les équipements agricoles. Elle peut être également applicable aux équipements municipaux (par exemple machines de balayage des rues). Elle spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser leurs fonctions de sécurité. L'ISO 25119-4:2010 est applicable aux parties relatives à la sécurité des systèmes électriques/électroniques/électroniques programmables (E/E/PES). Dans la mesure où celles-ci sont liées aux systèmes mécatroniques, elle ne spécifie ni les fonctions de sécurité ni les catégories censées être utilisées dans un cas particulier. Elle n'est pas applicable aux systèmes non-E/E/PES (par exemple hydraulique, mécanique et pneumatique).

General Information

Status
Withdrawn
Publication Date
26-May-2010
Withdrawal Date
26-May-2010
Current Stage
9599 - Withdrawal of International Standard
Completion Date
12-Oct-2018
Ref Project

Relations

Buy Standard

Standard
ISO 25119-4:2010 - Tractors and machinery for agriculture and forestry -- Safety-related parts of control systems
English language
22 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 25119-4:2010 - Tracteurs et matériels agricoles et forestiers -- Parties des systemes de commande relatives a la sécurité
French language
23 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 25119-4
First edition
2010-06-01


Tractors and machinery for agriculture
and forestry — Safety-related parts
of control systems —
Part 4:
Production, operation, modification
and supporting processes
Tracteurs et matériels agricoles et forestiers — Parties des systèmes
de commande relatives à la sécurité —
Partie 4: Procédés de production, de fonctionnement, de modification
et d'entretien





Reference number
ISO 25119-4:2010(E)
©
ISO 2010

---------------------- Page: 1 ----------------------
ISO 25119-4:2010(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.


COPYRIGHT PROTECTED DOCUMENT


©  ISO 2010
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland

ii © ISO 2010 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 25119-4:2010(E)
Contents Page
Foreword .v
Introduction.vi
1 Scope.1
2 Normative references.1
3 Terms and definitions .1
4 Abbreviated terms .2
5 Configuration management.3
5.1 Objectives .3
5.2 General .3
5.3 Prerequisites.3
5.4 Requirements.3
5.5 Work products .3
6 Verification and validation.3
6.1 Objectives .3
6.2 General .3
6.3 Prerequisites.3
6.4 Requirements.4
6.5 Work products .5
7 Product release.5
7.1 Objectives .5
7.2 General .5
7.3 Prerequisites.6
7.4 Requirements.6
7.5 Work products .7
8 Production, production testing.7
8.1 Objectives .7
8.2 General .7
8.3 Prerequisites.7
8.4 Requirements.8
8.5 Work products .8
9 Operation planning and maintenance (instructions for operating, servicing, repair, and
decommissioning).9
9.1 Objectives .9
9.2 General .9
9.3 Prerequisites.9
9.4 Requirements.9
9.5 Work products .10
10 Modifications (change management) .11
10.1 General .11
10.2 Objectives .11
10.3 General .11
10.4 Prerequisites.11
10.5 Requirements.11
10.6 Work products .14
11 Procedure for suppliers of SRS, subsystems and components .15
11.1 Objectives .15
© ISO 2010 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 25119-4:2010(E)
11.2 General.15
11.3 Prerequisites .15
11.4 Requirements.15
11.5 Work products.17
12 Technical documentation .17
12.1 Objectives.17
12.2 Requirements.17
Annex A (informative) Technical documentation checklist .19
Bibliography .22

iv © ISO 2010 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 25119-4:2010(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 25119-4 was prepared by Technical Committee ISO/TC 23, Tractors and machinery for agriculture and
forestry, Subcommittee SC 19, Agricultural electronics.
ISO 25119 consists of the following parts, under the general title Tractors and machinery for agriculture and
forestry — Safety-related parts of control systems:
⎯ Part 1: General principles for design and development
⎯ Part 2: Concept phase
⎯ Part 3: Series development, hardware and software
⎯ Part 4: Production, operation, modification and supporting processes
© ISO 2010 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 25119-4:2010(E)
Introduction
ISO 25119 sets out an approach to the design and assessment, for all safety life cycle activities, of
safety-relevant systems comprising electrical and/or electronic and/or programmable electronic components
(E/E/PES) on tractors used in agriculture and forestry, and on self-propelled ride-on machines and mounted,
semi-mounted and trailed machines used in agriculture. It is also applicable to municipal equipment. It covers
the possible hazards caused by the functional behaviour of E/E/PES safety-related systems, as distinct from
hazards arising from the E/E/PES equipment itself (electric shock, fire, nominal performance level of E/E/PES
dedicated to active and passive safety, etc.).
The control system parts of the machines concerned are frequently assigned to provide the critical functions of
the safety-related parts of control systems (SRP/CS). These can consist of hardware or software, can be
separate or integrated parts of a control system, and can either perform solely critical functions or form part of
an operational function.
In general, the designer (and to some extent, the user) will combine the design and validation of these
SRP/CS as part of the risk assessment. The objective is to reduce the risk associated with a given hazard (or
hazardous situation) under all conditions of use of the machine. This can be achieved by applying various
protective measures (both SRP/CS and non-SRP/CS) with the end result of achieving a safe condition.
ISO 25119 allocates the ability of safety-related parts to perform a critical function under foreseeable
conditions into five performance levels. The performance level of a controlled channel depends on several
factors, including system structure (category), the extent of fault detection mechanisms (diagnostic coverage),
the reliability of components (mean time to dangerous failure, common-cause failure), design processes,
operating stress, environmental conditions and operation procedures. Three types of failures are considered:
systematic, common-cause and random.
In order to guide the designer during design, and to facilitate the assessment of the achieved performance
level, ISO 25119 defines an approach based on a classification of structures with different design features and
specific behaviour in case of a fault.
The performance levels and categories can be applied to the control systems of all kinds of mobile machines:
from simple systems (e.g. auxiliary valves) to complex systems (e.g. steer by wire), as well as to the control
systems of protective equipment (e.g. interlocking devices, pressure sensitive devices).
ISO 25119 adopts a customer risk-based approach for the determination of the risks, while providing a means
of specifying the target performance level for the safety-related functions to be implemented by E/E/PES
safety-related channels. It gives requirements for the whole safety life cycle of E/E/PES (design, validation,
production, operation, maintenance, decommissioning), necessary for achieving the required functional safety
for E/E/PES that are linked to the performance levels.

vi © ISO 2010 – All rights reserved

---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 25119-4:2010(E)

Tractors and machinery for agriculture and forestry —
Safety-related parts of control systems —
Part 4:
Production, operation, modification and supporting processes
1 Scope
This part of ISO 25119 provides general principles for the production, operation, modification and supporting
processes of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry, and
on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It
can also be applied to municipal equipment (e.g. street-sweeping machines). It specifies the characteristics
and categories required of SRP/CS for carrying out their safety functions.
This part of ISO 25119 is applicable to the safety-related parts of electrical/electronic/programmable electronic
systems (E/E/PES). As these relate to mechatronic systems, it does not specify which safety functions or
categories are to be used in a particular case.
It is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic).
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 3600, Tractors, machinery for agriculture and forestry, powered lawn and garden equipment —
Operator's manuals — Content and presentation
ISO 25119-1:2010, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 1: General principles for design and development
ISO 25119-2:2010, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 2: Concept phase
ISO 25119-3:2010, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 3: Series development, hardware and software
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 25119-1 apply.
© ISO 2010 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO 25119-4:2010(E)
4 Abbreviated terms
For the purposes of this document, the following abbreviated terms apply.
AGPL agricultural performance level
AGPL required agricultural performance level
r
CAD computer-aided design
Cat hardware category
CCF common-cause failure
DC diagnostic coverage
DC average diagnostic coverage
avg
ECU electronic control unit
ETA event tree analysis
E/E/PES electrical/electronic/programmable electronic systems
EMC electromagnetic compatibility
EUC equipment under control
FMEA failure mode and effects analysis
FMECA failure mode effects and criticality analysis
EPROM erasable programmable read-only memory
FSM functional safety management
FTA fault tree analysis
HAZOP hazard and operability study
HIL hardware in the loop
MTTF mean time to failure
MTTF mean time to dangerous failure
d
PES programmable electronic system
QM quality measures
RAM random-access memory
SOP start of production
SRL software requirement level
SRP safety-related parts
SRP/CS safety-related parts of control systems
SRS safety-related system

2 © ISO 2010 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 25119-4:2010(E)
5 Configuration management
5.1 Objectives
The first objective is to ensure that the SRP/CS and associated documents for a given function can be
uniquely identified and reproduced at any time.
The second objective is to ensure that the relations and differences between earlier and current versions of
the SRP/CS and associated documents can be traced.
5.2 General
All ISO 25119 work products shall be handled by a configuration management system.
5.3 Prerequisites
See the prerequisites for each phase of the safety life cycle.
5.4 Requirements
Software tools and software development environments shall be subject to configuration management.
Configuration management data shall be maintained in accordance with a company document retention policy.
5.5 Work products
The applicable work product is the listing of SRP/CS with reference to associated documents for a given
configuration.
6 Verification and validation
6.1 Objectives
One objective is to provide proof that the safety-related requirements are appropriate for the E/E/PES system
and have duly been met.
A further objective is to provide proof that the safety goals at the machine level are satisfied.
6.2 General
The purpose of the preceding verification stages (e.g. reviews, safety analyses, component integration tests)
was to demonstrate that the results of each particular phase complied with the relevant design and
specification requirements described in ISO 25119-3.
6.3 Prerequisites
The following are the prerequisites for this phase:
⎯ project plan according to ISO 25119-1:2010, 5.4.7 — deadlines, resources, equipment, degree of maturity,
etc.;
⎯ machine test plan — part of the existing quality assurance process;
⎯ risk analysis according to ISO 25119-2:2010, Clause 6 — identification of potential hazards;
© ISO 2010 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO 25119-4:2010(E)
⎯ safety goals, as well as safe states;
⎯ technical safety concept according to ISO 25119-3:2010, Clause 5 — technical safety requirements.
6.4 Requirements
6.4.1 SRP design validation/verification
The design of the SRP of the control system shall be validated/verified (see ISO 25119-1:2010, Figure 1).
The validation/verification shall demonstrate that each SRP meets
⎯ all the requirements of the specified category (see ISO 25119-2:2010, Annex A), and
⎯ the specified safety characteristics for that part as set out in the design requirements.
6.4.2 Scope of safety validation/verification
Within the safety life cycle, validation/verification of safety attributes shall be carried out for the following:
⎯ complete system at machine level (e.g. bench testing, hardware in the loop testing, test machine);
⎯ hardware;
⎯ software.
6.4.3 Activities
The following sequence shall be followed for a structured safety validation/verification:
⎯ validation/verification planning;
⎯ validation/verification specification;
⎯ validation/verification execution;
⎯ report on validation/verification result.
All variants or versions of the E/E/PES system that were subject to the validation/verification activities shall be
clearly labelled.
6.4.4 Validation/verification plan
A validation/verification plan shall be developed for the safety goals and technical safety requirements, and
shall include the following items:
⎯ validation/verification and possible variants;
⎯ degree of maturity of the system;
⎯ validation/verification goals;
⎯ validation/verification techniques;
⎯ statement of independence between the person in charge of validation/verification and the developer;
4 © ISO 2010 – All rights reserved

---------------------- Page: 10 ----------------------
ISO 25119-4:2010(E)
⎯ equipment and environmental conditions required, including calibration specifications for tools;
⎯ specified reference to the overall project plan;
⎯ pass/fail criteria for all tests.
6.4.5 Validation/verification, test specification of hardware and software
The item function shall be validated/verified at E/E/PES system level, considering fulfilment of the
hardware/software safety requirements.
6.4.6 Validation/verification test specification of the complete system
The characteristics of the SRP/CS shall be validated/verified at machine level, considering fulfilment of the
functional safety concept.
6.4.7 Validation/verification test specification
The following methods and measures shall be used and specified:
⎯ tests (black-box, HIL, machine testing, field testing, etc.);
⎯ analysis (e.g. simulation);
⎯ reviews of relevant documents (input from hardware/software, e.g. FMEA, circuit diagram).
6.5 Work products
The following work products are applicable to this phase:
a) detailed validation/verification plan;
b) test specification;
c) validation/verification report that shall include proof that validation/verification goals have been met for
1) the complete system at machine level,
2) hardware, and
3) software.
7 Product release
7.1 Objectives
The objective of this phase is to specify the conditions for product release as the completion of the E/E/PES
systems development. Product release confirms that the requirements for functional safety in the machine
have been met.
7.2 General
Figure 1 shows the approvals needed for an E/E/PES system development and the order of their completion
that will satisfy the conditions for product release.
© ISO 2010 – All rights reserved 5

---------------------- Page: 11 ----------------------
ISO 25119-4:2010(E)

Figure 1 — Approval hierarchy
7.3 Prerequisites
The following are the prerequisites for this phase:
⎯ confirmation report: hardware;
⎯ confirmation report: software;
⎯ confirmation report: machine level;
⎯ assessment report on functional safety.
7.4 Requirements
7.4.1 Conditions for product release
Product release may only be approved if the following results are available from previous stages in the life
cycle (see Annex A):
⎯ an accepted assessment;
⎯ hardware confirmation;
6 © ISO 2010 – All rights reserved

---------------------- Page: 12 ----------------------
ISO 25119-4:2010(E)
⎯ software confirmation;
⎯ system confirmation (including data parameterization);
⎯ confirmation at machine level;
⎯ for the E/E/PES system, only when a release for the total machine is available.
7.4.2 Documentation of product release
Product release shall be documented and shall contain the following:
⎯ name and signature of the person in charge of the release;
⎯ version(s) of the released E/E/PES system;
⎯ configuration of the released E/E/PES system;
⎯ references to associated documents;
⎯ release date.
NOTE The release document for functional safety could be part of the document for product release of the E/E/PES
system or a separate document.
7.5 Work products
The applicable work product is the product release report document.
8 Production, production testing
8.1 Objectives
The objectives of this phase are to develop a production and installation plan for SRS, and to ensure that the
required functional safety is maintained during the production process by the relevant product manufacturer,
or person or organization in charge of the process (machine manufacturer, supplier, sub-supplier, etc.).
8.2 General
By including safety-relevant characteristics in production planning and checking, this phase defines the steps
required to ensure that functional safety is maintained during the production process as well.
8.3 Prerequisites
The following are the prerequisites for production and production testing:
⎯ assembly notes (documentation of the parts or functions that can be affected by assembly);
⎯ test notes;
⎯ product release document;
⎯ test criteria (safety-relevant characteristics to be tested);
⎯ product monitoring — required for safety-relevant characteristics and ensuring that the safety-relevant
characteristics of components are maintained in line with their specifications in the machine
manufacturer's production process.
© ISO 2010 – All rights reserved 7

---------------------- Page: 13 ----------------------
ISO 25119-4:2010(E)
8.4 Requirements
8.4.1 Production plan
A production plan taking the assembly instructions into account shall include
⎯ identification of safety-related characteristics;
⎯ sequence and methods of production steps;
⎯ assembly equipment/tools.
8.4.2 Production test plan
The test plan shall include
⎯ identification of safety-related characteristics,
⎯ sequence and methods of testing steps,
⎯ test equipment/tools, test criteria, and
⎯ production test frequency.
8.4.3 Personnel
Production and testing shall be carried out by trained personnel, according to the production and test plans.
8.4.4 Process capability
Process capability shall be ensured by means of standard industry requirements.
8.4.5 Documentation
The implementation of testing according to the test plan shall be documented. As a minimum, test
documentation shall include test date, tester, unique part identification and test results.
8.4.6 Non-compliance
A procedure for non-compliance with a test criterion of SRP/CS shall be established. Reworking is permissible
only upon proof of appropriate process control.
8.4.7 Storage and transport conditions
Any special handling and packaging requirements of SRP/CS shall be followed when storing and transporting
the product.
8.5 Work products
The following work products are applicable to this phase:
a) documentation of tests performed according to the test plan;
b) non-compliance procedure;
c) storage and transport conditions.
8 © ISO 2010 – All rights reserved

---------------------- Page: 14 ----------------------
ISO 25119-4:2010(E)
9 Operation planning and maintenance (instructions for operating, servicing, repair,
and decommissioning)
9.1 Objectives
The objective of this phase is to define the scope of the servicing, customer information and repair instructions
of SRS, in order to maintain the required functional safety during operation, field observation, servicing, repair
and decommissioning.
9.2 General
This clause presents the areas with safety-relevant characteristics relevant to the development of repair
instructions and user information, and the planning, execution and monitoring of maintenance work.
9.3 Prerequisites
The following are the prerequisites for operation planning and maintenance:
⎯ product release — release document regarding functional safety;
⎯ quality management system (an i
...

NORME ISO
INTERNATIONALE 25119-4
Première édition
2010-06-01



Tracteurs et matériels agricoles
et forestiers — Parties des systèmes
de commande relatives à la sécurité —
Partie 4:
Procédés de production,
de fonctionnement, de modification
et d'entretien
Tractors and machinery for agriculture and forestry — Safety-related
parts of control systems —
Part 4: Production, operation, modification and supporting processes





Numéro de référence
ISO 25119-4:2010(F)
©
ISO 2010

---------------------- Page: 1 ----------------------
ISO 25119-4:2010(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.


DOCUMENT PROTÉGÉ PAR COPYRIGHT


©  ISO 2010
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse

ii © ISO 2010 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 25119-4:2010(F)
Sommaire Page
Avant-propos .v
Introduction.vi
1 Domaine d'application .1
2 Références normatives.1
3 Termes et définitions .2
4 Termes abrégés .2
5 Gestion de la configuration.3
5.1 Objectifs .3
5.2 Généralités .3
5.3 Conditions préalables.3
5.4 Exigences.3
5.5 Produits fabriqués.3
6 Vérification et validation.3
6.1 Objectifs .3
6.2 Généralités .3
6.3 Conditions préalables.4
6.4 Exigences.4
6.5 Produits fabriqués.5
7 Libération du produit .6
7.1 Objectifs .6
7.2 Généralités .6
7.3 Conditions préalables.7
7.4 Exigences.7
7.5 Produits fabriqués.7
8 Production, essais de production .8
8.1 Objectifs .8
8.2 Généralités .8
8.3 Conditions préalables.8
8.4 Exigences.8
8.5 Produits fabriqués.9
9 Planification de fonctionnement et maintenance (instructions de fonctionnement,
entretien, réparation et démantèlement).9
9.1 Objectifs .9
9.2 Généralités .9
9.3 Conditions préalables.10
9.4 Exigences.10
9.5 Produits fabriqués.11
10 Modifications (gestion des modifications) .11
10.1 Généralités .11
10.2 Objectifs .11
10.3 Généralités .12
10.4 Conditions préalables.12
10.5 Exigences.12
10.6 Produits fabriqués.15
11 Procédure relative aux fournisseurs de systèmes, sous-systèmes et composants relatifs
à la sécurité.16
© ISO 2010 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO 25119-4:2010(F)
11.1 Objectifs.16
11.2 Généralités .16
11.3 Conditions préalables .16
11.4 Exigences .16
11.5 Produits fabriqués .18
12 Documentation technique.18
12.1 Objectifs.18
12.2 Exigences .18
Annexe A (informative) Liste de vérification de la documentation technique.20
Bibliographie .23

iv © ISO 2010 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 25119-4:2010(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 25119-4 a été élaborée par le comité technique ISO/TC 23, Tracteurs et matériels agricoles et forestiers,
sous-comité SC 19, Électronique en agriculture.
L'ISO 25119 comprend les parties suivantes, présentées sous le titre général Tracteurs et matériels agricoles
et forestiers — Parties des systèmes de commande relatives à la sécurité:
⎯ Partie 1: Principes généraux pour la conception et le développement
⎯ Partie 2: Phase de projet
⎯ Partie 3: Développement en série, matériels et logiciels
⎯ Partie 4: Procédés de production, de fonctionnement, de modification et d'entretien
© ISO 2010 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO 25119-4:2010(F)
Introduction
L'ISO 25119 établit une approche pour la conception et l'évaluation de toutes les activités relatives au cycle
de vie de sécurité des systèmes relatifs à la sécurité constitués de composants électriques et/ou
électroniques et/ou électroniques programmables (E/E/PES) utilisés sur les tracteurs agricoles et forestiers,
sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et remorquées
utilisées en agriculture. Elle est également applicable aux équipements municipaux. Elle couvre les éventuels
phénomènes dangereux dus au comportement fonctionnel des systèmes E/E/PES relatifs à la sécurité,
indépendamment des phénomènes dangereux dus à l'équipement E/E/PES lui-même (par exemple choc
électrique, incendie, niveau de performance nominal du E/E/PES dédié à la sécurité passive et active).
Les parties des systèmes de commande des machines concernées sont fréquemment prévues pour assurer
les fonctions critiques des parties relatives à la sécurité des systèmes de commande (SRP/CS). Ces parties
peuvent être constituées de matériels et de logiciels, elles peuvent être des parties isolées du système de
commande ou en faire partie intégrante, et elles peuvent soit assurer uniquement des fonctions critiques, soit
faire partie d'une fonction opérationnelle.
En général, le concepteur (et, dans une certaine mesure, l'utilisateur) associe la conception et la validation de
ces SRP/CS dans le cadre de l'appréciation du risque. L'objectif est de réduire le risque lié à un phénomène
dangereux donné (ou à une situation dangereuse) dans toutes les conditions d'utilisation de la machine. Cela
peut être réalisé en appliquant diverses mesures de prévention (aussi bien SRP/CS que non-SRP/CS) dans
le but final de réaliser une condition de sécurité.
L'ISO 25119 aborde la capacité des parties relatives à la sécurité à réaliser une fonction critique dans des
conditions prévisibles en cinq niveaux de performance. Le niveau de performance d'un canal contrôlé dépend
de plusieurs facteurs, tels que la structure du système (catégorie), l'étendue du mécanisme de détection de
défaut (couverture de diagnostic), la fiabilité des composants (temps moyen avant défaillance dangereuse,
défaillances de cause commune), le processus de conception, la contrainte en service, les conditions
environnementales et les procédures de fonctionnement. Trois types de défaillances sont considérées: les
défaillances systématiques, les défaillances de cause commune et les défaillances aléatoires.
Afin de guider le concepteur pendant la conception et faciliter l'évaluation du niveau de performance atteint,
l'ISO 25119 définit une approche fondée sur une classification de structures avec différentes caractéristiques
de conception et un comportement spécifique en cas de défaut.
Les niveaux et catégories de performance peuvent être appliqués aux systèmes de commande de tous les
types de machines mobiles, des systèmes simples (par exemple valves auxiliaires) aux systèmes complexes
(par exemple transmission par fil), ainsi qu'aux systèmes de commande d'équipements de protection (par
exemple dispositifs de verrouillage ou dispositifs sensibles à la pression).
l'ISO 25119 adopte une approche fondée sur le risque du client pour déterminer les risques, tout en
fournissant un moyen permettant de spécifier le niveau de performance cible pour les fonctions relatives à la
sécurité à mettre en œuvre par les canaux E/E/PES relatifs à la sécurité. Elle fournit les exigences pour tout le
cycle de vie de sécurité des E/E/PES (conception, validation, production, fonctionnement, maintenance,
démantèlement) nécessaires pour assurer la sécurité fonctionnelle requise pour les E/E/PES liés aux niveaux
de performance.

vi © ISO 2010 – Tous droits réservés

---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 25119-4:2010(F)

Tracteurs et matériels agricoles et forestiers — Parties
des systèmes de commande relatives à la sécurité —
Partie 4:
Procédés de production, de fonctionnement, de modification
et d'entretien
1 Domaine d'application
La présente partie de l'ISO 25119 fournit des principes généraux pour les procédés de production, de
fonctionnement, de modification et d'entretien des parties relatives à la sécurité des systèmes de commande
(SRP/CS) utilisés sur les tracteurs agricoles et forestiers, sur les machines automotrices à conducteur porté et
sur les machines portées, semi-portées et remorquées utilisées en agriculture. Elle peut être également
applicable aux équipements municipaux (par exemple machines de balayage des rues). Elle spécifie les
caractéristiques et les catégories requises des SRP/CS pour réaliser leurs fonctions de sécurité.
La présente partie de l'ISO 25119 est applicable aux parties relatives à la sécurité des systèmes
électriques/électroniques/électroniques programmables (E/E/PES). Dans la mesure où celles-ci sont liées aux
systèmes mécatroniques, elle ne spécifie ni les fonctions de sécurité ni les catégories censées être utilisées
dans un cas particulier.
Elle n'est pas applicable aux systèmes non-E/E/PES (par exemple hydraulique, mécanique et pneumatique).
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence (y compris les éventuels amendements) s'applique.
ISO 3600, Tracteurs, matériels agricoles et forestiers, matériel à moteur pour jardins et pelouses — Manuels
d'utilisation — Contenu et présentation
ISO 25119-1:2010, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 1: Principes généraux pour la conception et le développement
ISO 25119-2:2010, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 2: Phase de projet
ISO 25119-3:2010, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels
© ISO 2010 – Tous droits réservés 1

---------------------- Page: 7 ----------------------
ISO 25119-4:2010(F)
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 25119-1 s'appliquent.
4 Termes abrégés
Pour les besoins du présent document, les termes abrégés suivants s'appliquent.
AgPL niveau de performance agricole (agricultural performance level)
AgPL niveau de performance agricole requis (required agricultural performance level)
r
CAD conception assistée par ordinateur (computer-aided design)
Cat catégorie de matériel
CCF défaillance de cause commune (common-cause failure)
DC couverture de diagnostic (diagnostic coverage)
DC couverture moyenne de diagnostic (average diagnostic coverage)
avg
UCE unité de commande électronique
ETA analyse par arbre d'événements (event tree analysis)
E/E/PES systèmes électriques/électroniques/électroniques programmables (electrical/electronic/
programmable electronic systems)
CEM compatibilité électromagnétique
EUC équipement commandé (equipment under control)
AMDE analyse des modes de défaillance et de leurs effets
AMDEC analyse des modes de défaillance, de leurs effets et de leur criticité
EPROM mémoire morte reprogrammable (erasable programmable read-only memory)
FSM gestion de la sécurité fonctionnelle (functional safety management)
FTA analyse par arbre de panne (fault tree analysis)
HAZOP étude des phénomènes dangereux et de l'exploitabilité (hazard and operability study)
HIL matériel incorporé (hardware in the loop)
MTTF temps moyen avant défaillance (mean time to failure)
MTTF temps moyen avant défaillance dangereuse (mean time to dangerous failure)
d
PES système électronique programmable (programmable electronic system)
QM management (mesures) de la qualité (quality measures)
RAM mémoire vive (random-access memory)
SOP démarrage de la production (start of production)
2 © ISO 2010 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO 25119-4:2010(F)
SRL niveau d'exigence du logiciel (software requirement level)
SRP parties relatives à la sécurité (safety-related parts)
SRP/CS parties relatives à la sécurité d'un système de commande (safety-related parts of control
systems)
SRS système relatif à la sécurité (safety-related system)
5 Gestion de la configuration
5.1 Objectifs
Le premier objectif est de s'assurer que les SRP/CS et les documents associés pour une fonction donnée
peuvent être identifiés de manière unique et reproduits à tout moment.
Le second objectif est de s'assurer que les relations et les différences entre les versions antérieures et la
version en vigueur des SRP/CS et documents associés peuvent être tracées.
5.2 Généralités
Tous les produits fabriqués de l'ISO 25119 doivent être traités par un système de gestion de la configuration.
5.3 Conditions préalables
Se reporter aux conditions préalables pour chaque phase du cycle de vie de sécurité.
5.4 Exigences
Les outils logiciels et les environnements de développement de logiciel doivent faire l'objet d'une gestion de la
configuration.
Les données de gestion de la configuration doivent être conservées conformément à la politique de la société
en matière de conservation des documents.
5.5 Produits fabriqués
Les produits fabriqués applicables sont les listing des SRP/CS, avec référence aux documents associés pour
une configuration donnée.
6 Vérification et validation
6.1 Objectifs
Un objectif est de démontrer que les exigences relatives à la sécurité sont appropriées au système E/E/PES
et qu'elles sont satisfaites.
Un autre objectif est de démontrer que les buts relatifs à la sécurité au niveau de la machine sont atteints.
6.2 Généralités
Les précédentes étapes de vérification (par exemple revues, analyses de sécurité, essais d'intégration des
composants) avaient pour objectif de démontrer que les résultats de chaque phase particulière étaient
conformes aux exigences de conception et de spécification pertinentes décrites dans l'ISO 25119-3.
© ISO 2010 – Tous droits réservés 3

---------------------- Page: 9 ----------------------
ISO 25119-4:2010(F)
6.3 Conditions préalables
Pour cette phase, les conditions préalables sont les suivantes:
⎯ plan de projet, conformément à l'ISO 25119-1:2010, 5.4.7 — délais, ressources, équipements, degré de
maturité, etc.;
⎯ plan d'essai de machine — partie du processus d'assurance qualité existant;
⎯ analyse du risque, conformément à ISO 25119-2:2010, Article 6 — identification des phénomènes
dangereux potentiels;
⎯ objectifs de sécurit et états de sécurité;
⎯ concept de sécurité technique, conformément à ISO 25119-3:2010, Article 5 — exigences de sécurité
technique.
6.4 Exigences
6.4.1 Validation/vérification de la conception des SRP
La conception des SRP du système de commande doit être validée/vérifiée (voir l'ISO 25119-1:2010,
Figure 1).
La validation/vérification doit démontrer que chaque SRP satisfait
⎯ à toutes les exigences de la catégorie spécifiée (voir l'ISO 25119-2:2010, Annexe A), et
⎯ aux caractéristiques de sécurité spécifiées pour la partie considérée, comme établi dans les exigences de
conception.
6.4.2 Domaine d'application de la validation/vérification de sécurité
Dans le cadre du cycle de vie de sécurité, la validation/vérification des attributs de sécurité doivent être
réalisées pour les éléments suivants:
⎯ le système complet au niveau de la machine (par exemple essais au banc, essais du matériel incorporé,
machine d'essai);
⎯ le matériel;
⎯ le logiciel.
6.4.3 Activités
Dans le cadre d'une validation/vérification de sécurité structurée, la séquence suivante doit être suivie:
⎯ planification de la validation/vérification;
⎯ spécification de la validation/vérification;
⎯ exécution de la validation/vérification;
⎯ rapport du résultat de la validation/vérification.
Toutes les variantes ou versions du système E/E/PES ayant fait l'objet des activités de validation/vérification
doivent être clairement identifiées.
4 © ISO 2010 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO 25119-4:2010(F)
6.4.4 Plan de validation/vérification
Un plan de validation/vérification doit être élaboré pour les objectifs de sécurité et les exigences de sécurité
technique, y compris les éléments suivants:
⎯ objet de la validation/vérification et variantes possibles;
⎯ degré de maturité du système;
⎯ buts de la validation/vérification;
⎯ techniques de validation/vérification;
⎯ déclaration d'indépendance de la personne en charge de la validation/vérification à l'égard du
développeur;
⎯ équipements et conditions environnementales requis, y compris les spécifications d'étalonnage des
outils;
⎯ référence spécifiée au plan de projet global;
⎯ critères d'échec/réussite pour tous les essais.
6.4.5 Validation/vérification, spécification d'essai du matériel et du logiciel
La fonction de l'élément doit être validée/vérifiée au niveau du système E/E/PES, en fonction de la conformité
aux exigences de sécurité du matériel/logiciel.
6.4.6 Spécification d'essai de validation/vérification du système complet
Les caractéristiques des SRP/CS doivent être validées/vérifiées au niveau de la machine, en fonction de la
conformité au concept de sécurité fonctionnelle.
6.4.7 Spécification d'essai de validation/vérification
Les méthodes et les mesures suivantes doivent être utilisées et spécifiées:
⎯ essais (par exemple boîte noire, HIL, essais de machine, essais sur le terrain, etc.);
⎯ analyse (par exemple simulation);
⎯ revues des documents pertinents (données d'entrée du matériel/logiciel, par exemple AMDE, schéma de
circuit).
6.5 Produits fabriqués
Les produits fabriqués suivants sont applicables à cette phase:
a) Un plan de validation/vérification détaillé.
b) Une spécification d'essai.
c) Un rapport de validation/vérification qui doit comprendre la preuve que les buts de la
validation/vérification ont été atteints pour
1) le système complet au niveau de la machine,
2) le matériel, et
3) le logiciel.
© ISO 2010 – Tous droits réservés 5

---------------------- Page: 11 ----------------------
ISO 25119-4:2010(F)
7 Libération du produit
7.1 Objectifs
Cette phase a pour objectif de spécifier les conditions de libération du produit à l'achèvement du
développement du système E/E/PES. La libération du produit confirme que les exigences relatives à la
sécurité fonctionnelle de la machine ont été satisfaites.
7.2 Généralités
La Figure 1 montre les étapes d'approbation nécessaires pour le développement d'un système E/E/PES et
leur ordre de réalisation afin de respecter les conditions requises pour la libération du produit.


Figure 1 — Hiérarchie d'approbation


6 © ISO 2010 – Tous droits réservés

---------------------- Page: 12 ----------------------
ISO 25119-4:2010(F)
7.3 Conditions préalables
Cette phase a les conditions préalables suivantes:
⎯ rapport de confirmation: matériel;
⎯ rapport de confirmation: logiciel;
⎯ rapport de confirmation: niveau de la machine;
⎯ rapport d'évaluation de la sécurité fonctionnelle.
7.4 Exigences
7.4.1 Conditions de libération du produit
La libération du produit ne peut être approuvée que si les résultats suivants sont obtenus des étapes
précédentes du cycle de vie (voir Annexe A):
⎯ évaluation acceptée;
⎯ confirmation pour le matériel;
⎯ confirmation pour le logiciel;
⎯ confirmation pour le système (y compris le paramétrage des données);
⎯ confirmation au niveau de la machine;
⎯ pour le système E/E/PES, uniquement après obtention d'une libération pour la machine dans son
ensemble.
7.4.2 Documentation de libération du produit
La libération du produit doit être documentée et doit comprendre les éléments suivants:
⎯ le nom et la signature de la personne en charge de la libération;
⎯ la ou les versions du système E/E/PES libéré;
⎯ la configuration du système E/E/PES libéré;
⎯ des références aux documents associés;
⎯ la date de libération.
NOTE Le document de libération pour la sécurité fonctionnelle peut faire partie du document de libération du produit
du système E/E/PES ou constituer un document séparé.
7.5 Produits fabriqués
Le produit fabriqué applicable est le document de rapport de libération du produit.
© ISO 2010 – Tous droits réservés 7

---------------------- Page: 13 ----------------------
ISO 25119-4:
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.