ISO 25119-2:2010
(Main)Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase
ISO 25119-2:2010 specifies the concept phase of the development of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry, and on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to municipal equipment (e.g. street‑sweeping machines). It specifies the characteristics and categories required of SRP/CS for carrying out their safety functions. ISO 25119-2:2010 is applicable to the safety-related parts of electrical/electronic/programmable electronic systems (E/E/PES). As these relate to mechatronic systems, it does not specify which safety functions or categories are to be used in a particular case. It is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic).
Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 2: Phase de projet
L'ISO 25119-2:2010 spécifie la phase de conception du développement des parties relatives à la sécurité des systèmes de commande (SRP/CS) utilisés sur les tracteurs et matériels agricoles et forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et remorquées utilisées pour les équipements agricoles. Elle peut être également applicable aux équipements municipaux (par exemple machines de balayage des rues). Elle spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser leurs fonctions de sécurité. L'ISO 25119-2:2010 s'applique aux parties relatives à la sécurité des systèmes électriques/électroniques/électroniques programmables (E/E/PES). Dans la mesure où celles-ci sont liées aux systèmes mécatroniques, elle ne spécifie ni les fonctions de sécurité ni les catégories censées être utilisées dans un cas particulier. Elle n'est pas applicable aux systèmes non-E/E/PES (par exemple hydraulique, mécanique et pneumatique).
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 25119-2
First edition
2010-06-01
Tractors and machinery for agriculture
and forestry — Safety-related parts of
control systems —
Part 2:
Concept phase
Tracteurs et matériels agricoles et forestiers — Parties des systèmes de
commande relatives à la sécurité —
Partie 2: Phase de projet
Reference number
ISO 25119-2:2010(E)
©
ISO 2010
---------------------- Page: 1 ----------------------
ISO 25119-2:2010(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2010
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2010 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 25119-2:2010(E)
Contents Page
Foreword .iv
Introduction.v
1 Scope.1
2 Normative references.1
3 Terms and definitions .1
4 Abbreviated terms .1
5 Concept — Unit of observation.3
5.1 Objectives .3
5.2 Prerequisites.3
5.3 Requirements.3
5.4 Work products .4
6 Risk analysis and method description.4
6.1 Objectives .4
6.2 Prerequisites.4
6.3 Requirements.5
6.4 Work products .8
7 System design .8
7.1 Objectives .8
7.2 Prerequisites.8
7.3 Requirements.8
7.4 Work products .10
Annex A (normative) Designated architectures for SRP/CS .11
Annex B (informative) Simplified method to estimate channel MTTF .17
dC
Annex C (informative) Determination of diagnostic coverage (DC).20
Annex D (informative) Estimates for common-cause failure (CCF).24
Annex E (informative) Systematic failure .26
Annex F (informative) Characteristics of safety functions.29
Annex G (informative) Example of a risk analysis.32
Bibliography.37
© ISO 2010 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 25119-2:2010(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 25119-2 was prepared by Technical Committee ISO/TC 23, Tractors and machinery for agriculture and
forestry, Subcommittee SC 19, Agricultural electronics.
ISO 25119 consists of the following parts, under the general title Tractors and machinery for agriculture and
forestry — Safety-related parts of control systems:
⎯ Part 1: General principles for design and development
⎯ Part 2: Concept phase
⎯ Part 3: Series development, hardware and software
⎯ Part 4: Production, operation, modification and supporting processes
iv © ISO 2010 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 25119-2:2010(E)
Introduction
ISO 25119 sets out an approach to the design and assessment, for all safety life cycle activities, of
safety-relevant systems comprising electrical and/or electronic and/or programmable electronic components
(E/E/PES) on tractors used in agriculture and forestry, and on self-propelled ride-on machines and mounted,
semi-mounted and trailed machines used in agriculture. It is also applicable to municipal equipment. It covers
the possible hazards caused by the functional behaviour of E/E/PES safety-related systems, as distinct from
hazards arising from the E/E/PES equipment itself (electric shock, fire, nominal performance level of E/E/PES
dedicated to active and passive safety, etc.).
The control system parts of the machines concerned are frequently assigned to provide the critical functions of
the safety-related parts of control systems (SRP/CS). These can consist of hardware or software, can be
separate or integrated parts of a control system, and can either perform solely critical functions or form part of
an operational function.
In general, the designer (and to some extent, the user) will combine the design and validation of these
SRP/CS as part of the risk assessment. The objective is to reduce the risk associated with a given hazard (or
hazardous situation) under all conditions of use of the machine. This can be achieved by applying various
protective measures (both SRP/CS and non-SRP/CS) with the end result of achieving a safe condition.
ISO 25119 allocates the ability of safety-related parts to perform a critical function under foreseeable
conditions into five performance levels. The performance level of a controlled channel depends on several
factors, including system structure (category), the extent of fault detection mechanisms (diagnostic coverage),
the reliability of components (mean time to dangerous failure, common-cause failure), design processes,
operating stress, environmental conditions and operation procedures. Three types of failures are considered:
systematic, common-cause and random.
In order to guide the designer during design, and to facilitate the assessment of the achieved performance
level, ISO 25119 defines an approach based on a classification of structures with different design features and
specific behaviour in case of a fault.
The performance levels and categories can be applied to the control systems of all kinds of mobile machines:
from simple systems (e.g. auxiliary valves) to complex systems (e.g. steer by wire), as well as to the control
systems of protective equipment (e.g. interlocking devices, pressure sensitive devices).
ISO 25119 adopts a customer risk-based approach for the determination of the risks, while providing a means
of specifying the target performance level for the safety-related functions to be implemented by E/E/PES
safety-related channels. It gives requirements for the whole safety life cycle of E/E/PES (design, validation,
production, operation, maintenance, decommissioning), necessary for achieving the required functional safety
for E/E/PES that are linked to the performance levels.
© ISO 2010 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 25119-2:2010(E)
Tractors and machinery for agriculture and forestry —
Safety-related parts of control systems —
Part 2:
Concept phase
1 Scope
This part of ISO 25119 specifies the concept phase of the development of safety-related parts of control
systems (SRP/CS) on tractors used in agriculture and forestry, and on self-propelled ride-on machines and
mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to municipal
equipment (e.g. street-sweeping machines). It specifies the characteristics and categories required of SRP/CS
for carrying out their safety functions.
This part of ISO 25119 is applicable to the safety-related parts of electrical/electronic/programmable electronic
systems (E/E/PES). As these relate to mechatronic systems, it does not specify which safety functions or
categories are to be used in a particular case.
It is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic).
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 25119-1:2010, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 1: General principles for design and development
ISO 25119-3:2010, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 3: Series development, hardware and software
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 25119-1 apply.
4 Abbreviated terms
For the purposes of this document, the following abbreviated terms apply.
ADC analogue to digital converter
AgPL agricultural performance level
AgPL required agricultural performance level
r
© ISO 2010 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 25119-2:2010(E)
CAD computer-aided design
Cat hardware category
CCF common-cause failure
CRC cyclic redundancy check
DC diagnostic coverage
DC average diagnostic coverage
avg
ECU electronic control unit
ETA event tree analysis
E/E/PES electrical/electronic/programmable electronic systems
EMC electromagnetic compatibility
EUC equipment under control
FMEA failure mode and effects analysis
FMECA failure mode effects and criticality analysis
EPROM erasable programmable read-only memory
FSM functional safety management
FTA fault tree analysis
HAZOP hazard and operability study
HIL hardware in the loop
MTTF mean time to failure
MTTF mean time to dangerous failure
d
MTTF mean time to dangerous failure for each channel
dC
PES programmable electronic system
QM quality measures
RAM random-access memory
SOP start of production
SRL software requirement level
SRP safety-related parts
SRP/CS safety-related parts of control systems
SRS safety-related system
2 © ISO 2010 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 25119-2:2010(E)
5 Concept — Unit of observation
5.1 Objectives
The objective of this phase is to develop an adequate understanding of the unit of observation in order to
satisfactorily complete all of the tasks defined in the safety life cycle. On the basis of the chosen safety
concept, a suitable method should be used to determine the required performance level. Suitable methods
include risk analysis (described below), other standards, legal requirements and test body expertise.
5.2 Prerequisites
The necessary prerequisites are a description of the unit of observation, its interfaces, already-known safety
and reliability requirements and the scope of application
5.3 Requirements
5.3.1 Unit of observation and ambient conditions
A safety-related concept shall include the following:
a) the scope, context and purpose of the unit of observation;
b) functional requirements for the unit of observation;
c) other requirements regarding the unit of observation and ambient conditions, including
⎯ technical or physical requirements, e.g. operating, environmental and surrounding conditions and
constraints, and
⎯ legal requirements, especially safety-related legislation, regulations and standards (national and
international);
d) historical safety and reliability requirements and the level of safety and reliability achieved for similar or
related units of observation.
5.3.2 Limits of unit of observation and its interfaces with other units of observation
The following information shall be considered in order to gain an understanding of the operation of the unit of
observation in its environment:
⎯ the limits of the unit of observation;
⎯ its interfaces and interactions with other units of observation and components;
⎯ requirements regarding other units of observation;
⎯ mapping and allocation of relevant functions to involved units of observation.
5.3.3 Sources of stress
The sources of stress which could affect the safety and reliability of the unit of observation shall be determined,
including the following:
⎯ the interaction of different units of observation;
⎯ hazards of a physical or chemical nature (energy content, toxicity, explosiveness, corrosiveness,
reactivity, combustibility, etc.);
© ISO 2010 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 25119-2:2010(E)
⎯ other external events [temperature, shock, electromagnetic compatibility (EMC), etc.];
⎯ reasonable foreseeable human operating errors;
⎯ hazards originating from the unit of observation, and events triggering failure (e.g. during assembly or
maintenance).
5.3.4 Additional determinations
In addition to the activities described in 5.3.2, the following determinations or actions shall be implemented:
⎯ determination as to whether the unit of observation is a new development or a modification, adaptation or
derivative of an existing unit of observation and, in the case of modification, the carrying out of an impact
analysis to adjust the safety life cycle accordingly;
⎯ preparing a plan and a specification to validate the requirements regarding the unit of observation defined
in 5.3.1;
⎯ definition of project management for the appropriate phases in the life cycle;
⎯ adequate input data for the reliability assessment;
⎯ adequate procedures and application of tools and technologies;
⎯ utilization of qualified staff.
5.4 Work products
The work products of the concept/definition of the unit of observation are
a) the unit of observation and ambient conditions,
b) limits of the unit of observation and its interfaces with other units of observation,
c) sources of stress, and
d) additional determinations.
6 Risk analysis and method description
6.1 Objectives
Risk is defined (see ISO 25119-1:2010, definition 3.39) as the combination of the probability of occurrence of
harm and the severity of that harm.
When considering the frequency of the occurrence of harm, as a rule, the probability of being exposed to a
hazardous situation is taken into account.
When considering systems, the possibility that the operator will react in many cases to avoid harm is generally
to be taken into account.
The procedure described below provides one appropriate methodology for determining the AgPL .
r
6.2 Prerequisites
There are no prerequisites for this phase.
4 © ISO 2010 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 25119-2:2010(E)
6.3 Requirements
6.3.1 Procedures for preparing a risk analysis
If a risk analysis method is performed, it shall take account of information defining the overall scope of the
application. If decisions are made later in the safety life cycle that change the basis on which earlier decisions
were made, a new risk analysis shall be carried out.
The architecture of the SRP/CS shall not be considered as part of the risk analysis.
6.3.2 Tasks in risk analysis
The operating conditions in which the unit of observation can initiate hazards when correctly used (including
reasonable foreseeable human operating errors and part failures) shall be considered.
6.3.3 Participants in risk analysis
The risk analysis shall involve several individuals from different departments, e.g. electronic or electrical
development, testing or validation, machine or hydraulics design, service, or external consultants (e.g.
technical inspection authority).
6.3.4 Assessment and classification of a potential harm
Potentially harmful effects can be deduced by considering possible malfunctions and systematic failures in
relevant operating conditions. The potential severity of harm is described as precisely as possible for each
relevant scenario.
A certain categorization shall be used in the description of the harms. For this reason, a classification of the
severity of harm is presented in four categories: S0, S1, S2 and S3 (see Table 1).
The operator of the involved machine and other parties (e.g. people lending assistance, other operators of
machinery, bystander, etc.) shall be used in a detailed description of the harm.
An examination of risk for safety functions is focused on the origin of injuries to people. If in the analysis of
potential harm it can be established that damage is clearly limited to property and does not involve injury to
people, this would not be cause for classification as a safety-related function. The introduction of an S0 harm
classification allows for this fact. No advanced risk assessment need be carried out for functions assigned to
harm class S0.
Table 1 — Examples of the descriptions of injuries
S0 S1 S2 S3
No significant injuries, Light and moderate Severe and life-threatening Life-threatening injuries (survival
requires only first aid injuries, requires medical injuries (survival probable), uncertain), severe disability
attention, total recovery permanent partial loss in
work capacity
6.3.5 Assessment of exposure in the situation observed
A risk analysis reflects the effects of possible failures in specific regional working and operating conditions.
These situations range from daily routine activities to extreme, rare situations. The variable “E” shall be used
to categorize the different frequencies or duration of exposure. Five categories, designated E0, E1, E2, E3
and E4, are used (see Table 2), where “E” serves as an estimation of how often and how long an operator or
bystander is exposed to a hazard where a failure could result in an injury to the operator or bystander. The
exposure for a given situation is determined by frequency and duration, and the highest of these evaluations
shall be used in the determination of AgPL .
r
NOTE A hazard can be a combination of conditions (e.g. environmental and/or operational) of the machine.
© ISO 2010 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO 25119-2:2010(E)
Table 2 — Exposure to the hazardous event
Description E0 E1 E2 E3 E4
Improbable
Rare events Sometimes Often Frequently
Definition of (theoretically
(less than once (more than once (more than once (almost every
frequency possible; once
per year) per year) per month) operation)
during lifetime)
Definition of
duration
< 0,01 % 0,01 % to 0,1 % 0,1 % to 1 % 1 % to 10 % > 10 %
t
exp
t
av op
t exposure time
exp
t average operating time
av op
6.3.6 Assessment of a possible avoidance of harm
Assessing possible avoidance of harm involves appraising whether or not the properly trained operator of the
machine has control over the dangerous situation that could arise and can avoid it, or if the situation is
completely uncontrollable. Even the bystander can himself avoid a harmful situation. In turn, four
classifications have been set up by which the avoidance of harm can be rated. The rating for a possible
avoidance of harm assumes only the function without additional safety precautions (avoidance of harm
beyond the technical system). The classifications C0, C1, C2 and C3 represent “easily controllable”, “simply
controllable”, “mostly controllable” and “none” (see Table 3).
Table 3 — Possible avoidance of harm
C0 C1 C2 C3
Easily controllable Simply controllable Mostly controllable None
The operator or bystander More than 99% of people More than 90% of people The average operator or
controls the situation, and control the situation. In more control the situation. In more bystander cannot generally
harm is avoided. than 99% of the than 90% of the avoid the harm.
occurrences, the situation occurrences, the situation
does not result in harm. does not result in harm.
6.3.7 Selecting the required AgPL
r
The required AgPL is illustrated in Figure 1 by combining the severity, exposure, and controllability values for
r
each identified hazard.
The required AgPL are designated from AgPL = a to AgPL = e. AgPL = a has the lowest system requirements
r
and AgPL = e has the highest system requirements. In addition to these levels, there is a quality measure
designation, QM, whose implicit requirement is to carry out system development in accordance with standards
like ISO 9001. A function classified as QM shall not be considered as a safety-related function.
6 © ISO 2010 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 25119-2:2010(E)
Key
S severity
E exposure to hazardous event
C controllability
QM quality measures
a, b, c, d, e required agricultural performance level (AgPL )
r
Figure 1 — Determination of AgPLr
© ISO 2010 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO 25119-2:2010(E)
6.4 Work products
There are no work products from this phase.
7 System design
7.1 Objectives
Derived from the results of the previous phases, the objectives of the requirements of this phase are to define
design requirements.
7.2 Prerequisites
There are no prerequisites for this phase.
7.3 Requirements
7.3.1 Assignment of AgPL
An AgPL shall be assigned to each identified hazard within the safety-related function analysed. The AgPL
with the highest rating shall define the AgPL of the safety-related function.
r
Various combinations of reliability and architecture can be used to achieve the required AgPL . For example, it
r
is possible (within certain limits) for a single-channel architecture of high reliability to provide the same or
higher performance level as a dual-channel architecture of lower reliability (see Figure 2).
The agricultural performance level of a safety-related control system is a function of the following four aspects:
⎯ category (see Annex A);
⎯ MTTF (see Annex B);
⎯ DC (see Annex C);
⎯ SRL (see ISO 25119-3:2010, Clause 7).
Additionally, the following items shall be considered during system design:
⎯ CCF for categories 3 and 4 architectures (see Annex D);
⎯ systematic failure (see Annex E);
⎯ the ability to perform a safety function under expected environmental conditions (such as those set out in
ISO 15003);
⎯ other typical functions (see Annex F).
An example risk assessment and resulting AgPL is given in Annex G.
r
8 © ISO 2010 – All rights reserved
---------------------- Page: 13 ----------------------
ISO 25119-2:2010(E)
Key
low MTTF
dc
medium MTTF
dc
high MTTF
dc
Figure 2 — Relationship between agricultural performance level, categories, DC, MTTF and SRL
dC
The AgPL is shown on the vertical axis of Figure 2. The hardware categories are listed on the horizontal axis.
r
Each category has an associated diagnostic coverage (DC), mean time to dangerous failure (MTTF ) and
dC
software requirement level (SRL) for a given performance level.
For the required AgPL the designer shall select one hardware category.
r
NOTE Choosing a higher category for a given AgPL could allow lower MTTF and/or SRL.
d
7.3.2 Achieving the required AgPL
r
The system design requirements shall be derived from the safety goals and, if necessary, from information
about the safe state defined in the risk analysis (e.g. switching off or maintain function). The selected design
shall be verified in an appropriate manner for effectiveness.
NOTE The effectiveness can be verified, for example, in clinics, studies, by test subjects, or by simulation. The
measures can also be defined in standards.
A safety function may be implemented by one or more safety-related parts of the control system. The designer
may use any of the technologies available singularly, or in combination. A safety E/E/PES can be combined
with a mechanical function (e.g. mechanically linked contacts).
© ISO 2010 – All rights reserved 9
---------------------- Page: 14 ----------------------
ISO 25119-2:2010(E)
A typical safety-function control channel with associated safety-related parts is shown in Figure 3, with input (I),
E/E/PES (L), output/power control elements (O) and interconnecting means (e.g. electrical, optical).
Key
I input device (e.g. sensor)
L logic
O output device (e.g. actuator)
S interconnecting signal input
I
S interconnecting signal output
O
Figure 3 — Diagram of combination of safety-related parts
All interconnecting means are included in the safety-related parts. Each safety-related part of a safety-function
control channel can consist of a different technology or technologies. Different technologies can be used for
implementing within each safety-related part.
EXAMPLE Input comprising a speed sensor linked to a light-activated signal converter.
7.3.3 Validation of the performance level
The selection of SRP/CS shall be made to achieve the required performance level characteristics.
7.4 Work products
The work product of system design is the assignment of AgPL for the covered safety function, comprising the
⎯ selected category (see Annex A),
⎯ resulting MTTF (see Annex B),
⎯ resulting DC (see Annex C),
⎯ resulting SRL,
⎯ resulting CCF for categories 3 and 4 architectures (see Annex D),
⎯ consideration of systematic failure (see Annex E), and
⎯ consideration of other typical functions (see Annex F).
10 © ISO 2010 – All rights reserved
---------------------- Page: 15
...
NORME ISO
INTERNATIONALE 25119-2
Première édition
2010-06-01
Tracteurs et matériels agricoles et
forestiers — Parties des systèmes de
commande relatives à la sécurité —
Partie 2:
Phase de projet
Tractors and machinery for agriculture and forestry — Safety-related
parts of control systems —
Part 2: Concept phase
Numéro de référence
ISO 25119-2:2010(F)
©
ISO 2010
---------------------- Page: 1 ----------------------
ISO 25119-2:2010(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2010
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2010 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 25119-2:2010(F)
Sommaire Page
Avant-propos .iv
Introduction.v
1 Domaine d'application .1
2 Références normatives.1
3 Termes et définitions .1
4 Termes abrégés .1
5 Concept — Unité d'observation.3
5.1 Objectifs .3
5.2 Conditions préalables.3
5.3 Exigences.3
5.4 Produits fabriqués.4
6 Analyse du risque et description de la méthode .4
6.1 Objectifs .4
6.2 Conditions préalables.4
6.3 Exigences.5
6.4 Produits fabriqués.8
7 Conception du système.8
7.1 Objectifs .8
7.2 Conditions préalables.8
7.3 Exigences.8
7.4 Produits fabriqués.10
Annexe A (normative) Architectures désignées pour les SRP/CS .11
Annexe B (informative) Méthode simplifiée d'estimation du MTTF d'un canal.17
dC
Annexe C (informative) Détermination de la couverture de diagnostic (DC).20
Annexe D (informative) Estimations relatives à la défaillance de cause commune (CCF) .24
Annexe E (informative) Défaillance systématique.26
Annexe F (informative) Caractéristiques des fonctions de sécurité .29
Annexe G (informative) Exemple d'analyse du risque .32
Bibliographie.37
© ISO 2010 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 25119-2:2010(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 25119-2 a été élaborée par le comité technique ISO/TC 23, Tracteurs et matériels agricoles et forestiers,
sous-comité SC 19, Électronique en agriculture.
L'ISO 25119 comprend les parties suivantes, présentées sous le titre général Tracteurs et matériels agricoles
et forestiers — Parties des systèmes de commande relatives à la sécurité:
⎯ Partie 1: Principes généraux pour la conception et le développement
⎯ Partie 2: Phase de projet
⎯ Partie 3: Développement en série, matériels et logiciels
⎯ Partie 4: Procédés de production, de fonctionnement, de modification et d'entretien
iv © ISO 2010 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 25119-2:2010(F)
Introduction
L'ISO 25119 établit une approche pour la conception et l'évaluation de toutes les activités relatives au cycle
de vie de sécurité des systèmes relatifs à la sécurité constitués de composants électriques et/ou
électroniques et/ou électroniques programmables (E/E/PES) utilisés sur les tracteurs agricoles et forestiers,
sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et remorquées
utilisées en agriculture. Elle est également applicable aux équipements municipaux. Elle couvre les éventuels
phénomènes dangereux dus au comportement fonctionnel des systèmes E/E/PES relatifs à la sécurité,
indépendamment des phénomènes dangereux dus à l'équipement E/E/PES lui-même (par exemple choc
électrique, incendie, niveau de performance nominal du E/E/PES dédié à la sécurité passive et active).
Les parties des systèmes de commande des machines concernées sont fréquemment prévues pour assurer
les fonctions critiques des parties relatives à la sécurité des systèmes de commande (SRP/CS). Ces parties
peuvent être constituées de matériels et de logiciels, elles peuvent être des parties isolées du système de
commande ou en faire partie intégrante, et elles peuvent soit assurer uniquement des fonctions critiques, soit
faire partie d'une fonction opérationnelle.
En général, le concepteur (et, dans une certaine mesure, l'utilisateur) associe la conception et la validation de
ces SRP/CS dans le cadre de l'appréciation du risque. L'objectif est de réduire le risque lié à un phénomène
dangereux donné (ou à une situation dangereuse) dans toutes les conditions d'utilisation de la machine. Cela
peut être réalisé en appliquant diverses mesures de prévention (aussi bien SRP/CS que non-SRP/CS) dans
le but final de réaliser une condition de sécurité.
L'ISO 25119 aborde la capacité des parties relatives à la sécurité à réaliser une fonction critique dans des
conditions prévisibles en cinq niveaux de performance. Le niveau de performance d'un canal contrôlé dépend
de plusieurs facteurs, tels que la structure du système (catégorie), l'étendue du mécanisme de détection de
défaut (couverture de diagnostic), la fiabilité des composants (temps moyen avant défaillance dangereuse,
défaillances de cause commune), le processus de conception, la contrainte en service, les conditions
environnementales et les procédures de fonctionnement. Trois types de défaillances sont considérées: les
défaillances systématiques, les défaillances de cause commune et les défaillances aléatoires.
Afin de guider le concepteur pendant la conception et faciliter l'évaluation du niveau de performance atteint,
l'ISO 25119 définit une approche fondée sur une classification de structures avec différentes caractéristiques
de conception et un comportement spécifique en cas de défaut.
Les niveaux et catégories de performance peuvent être appliqués aux systèmes de commande de tous les
types de machines mobiles, des systèmes simples (par exemple valves auxiliaires) aux systèmes complexes
(par exemple transmission par fil), ainsi qu'aux systèmes de commande d'équipements de protection (par
exemple dispositifs de verrouillage ou dispositifs sensibles à la pression).
l'ISO 25119 adopte une approche fondée sur le risque du client pour déterminer les risques, tout en
fournissant un moyen permettant de spécifier le niveau de performance cible pour les fonctions relatives à la
sécurité à mettre en œuvre par les canaux E/E/PES relatifs à la sécurité. Elle fournit les exigences pour tout le
cycle de vie de sécurité des E/E/PES (conception, validation, production, fonctionnement, maintenance,
démantèlement) nécessaires pour assurer la sécurité fonctionnelle requise pour les E/E/PES liés aux niveaux
de performance.
© ISO 2010 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO 25119-2:2010(F)
Tracteurs et matériels agricoles et forestiers — Parties des
systèmes de commande relatives à la sécurité —
Partie 2:
Phase de projet
1 Domaine d'application
La présente partie de l'ISO 25119 spécifie la phase de conception du développement des parties relatives à la
sécurité des systèmes de commande (SRP/CS) utilisés sur les tracteurs agricoles et forestiers, sur les
machines automotrices à conducteur porté et sur les machines portées, semi-portées et remorquées utilisées
en agriculture. Elle peut être également applicable aux équipements municipaux (par exemple machines de
balayage des rues). Elle spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser
leurs fonctions de sécurité.
La présente partie de l'ISO 25119 s'applique aux parties relatives à la sécurité des systèmes
électriques/électroniques/électroniques programmables (E/E/PES). Dans la mesure où celles-ci sont liées aux
systèmes mécatroniques, elle ne spécifie ni les fonctions de sécurité ni les catégories censées être utilisées
dans un cas particulier.
Elle n'est pas applicable aux systèmes non-E/E/PES (par exemple hydraulique, mécanique et pneumatique).
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence (y compris les éventuels amendements) s'applique.
ISO 25119-1:2010, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 1: Principes généraux pour la conception et le développement
ISO 25119-3:2010, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 25119-1 s'appliquent.
4 Termes abrégés
Pour les besoins du présent document, les termes abrégés suivants s'appliquent.
ADC convertisseur analogique-numérique (analogue to digital converter)
AgPL niveau de performance agricole (agricultural performance level)
AgPL niveau de performance agricole requis (required agricultural performance level)
r
© ISO 2010 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO 25119-2:2010(F)
CAD conception assistée par ordinateur (computer-aided design)
Cat catégorie de matériel
CCF défaillance de cause commune (common-cause failure)
CRC contrôle de redondance cyclique
DC couverture de diagnostic (diagnostic coverage)
DC couverture moyenne de diagnostic (average diagnostic coverage)
avg
UCE unité de commande électronique
ETA analyse par arbre d'événements (event tree analysis)
E/E/PES systèmes électriques/électroniques/électroniques programmables (electrical/electronic/
programmable electronic systems)
CEM compatibilité électromagnétique
EUC équipement commandé (equipment under control)
AMDE analyse des modes de défaillance et de leurs effets
AMDEC analyse des modes de défaillance, de leurs effets et de leur criticité
EPROM mémoire morte reprogrammable (erasable programmable read-only memory)
FSM gestion de la sécurité fonctionnelle (functional safety management)
FTA analyse par arbre de panne (fault tree analysis)
HAZOP étude des phénomènes dangereux et de l'exploitabilité (hazard and operability study)
HIL matériel incorporé (hardware in the loop)
MTTF temps moyen avant défaillance (mean time to failure)
MTTF temps moyen avant défaillance dangereuse (mean time to dangerous failure)
d
MTTF temps moyen avant défaillance dangereuse pour chaque canal (mean time to dangerous failure
dC
for each channel)
PES système électronique programmable (programmable electronic system)
QM management (mesures) de la qualité (quality measures)
RAM mémoire vive (random-access memory)
SOP démarrage de la production (start of production)
SRL niveau d'exigence du logiciel (software requirement level)
SRP parties relatives à la sécurité (safety-related parts)
SRP/CS parties relatives à la sécurité d'un système de commande (safety-related parts of control
systems)
SRS système relatif à la sécurité (safety-related system)
2 © ISO 2010 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 25119-2:2010(F)
5 Concept — Unité d'observation
5.1 Objectifs
Cette phase a pour objectif de développer une compréhension adéquate de l'unité d'observation afin de
réaliser de manière satisfaisante toutes les tâches définies dans le cycle de vie de sécurité. Sur la base du
concept de sécurité choisi, il convient d'utiliser une méthode appropriée pour déterminer le niveau de
performance requis. Les méthodes appropriées comprennent l'analyse du risque (décrite ci-dessous), d'autres
normes, des exigences légales et l'expertise d'un organisme d'essai.
5.2 Conditions préalables
Les conditions préalables sont une description de l'unité d'observation, de ses interfaces, des exigences de
sécurité et de fiabilité connues et du domaine d'application.
5.3 Exigences
5.3.1 Unité d'observation et conditions ambiantes
Un concept relatif à la sécurité doit comprendre les éléments suivants:
a) le domaine d'application, le contexte et l'objectif de l'unité d'observation;
b) les exigences fonctionnelles pour l'unité d'observation;
c) d'autres exigences relatives à l'unité d'observation et aux conditions ambiantes, comprenant
⎯ les exigences techniques ou physiques, par exemple les conditions et les contraintes de
fonctionnement, environnementales et environnantes, et
⎯ les exigences légales, notamment la législation, la réglementation, les normes (nationales et
internationales) relatives à la sécurité;
d) les exigences historiques relatives à la sécurité et à la fiabilité, et le niveau de sécurité et de fiabilité
atteint pour des unités d'observation similaires ou apparentées.
5.3.2 Limites de l'unité d'observation et ses interfaces avec d'autres unités d'observation
Pour avoir une compréhension du fonctionnement de l'unité d'observation dans son environnement, les
informations suivantes doivent être considérées:
⎯ les limites de l'unité d'observation;
⎯ ses interfaces et interactions avec d'autres unités d'observation et composants;
⎯ les exigences relatives à d'autres unités d'observation;
⎯ la mise en correspondance et l'affectation des fonctions pertinentes aux unités d'observation impliquées.
5.3.3 Sources de contrainte
Les sources de contrainte qui pourraient affecter la sécurité et la fiabilité de l'unité d'observation doivent être
déterminées; cela comprend
⎯ l'interaction des différentes unités d'observation,
⎯ les phénomènes dangereux de nature physique ou chimique (teneur en énergie, toxicité, explosivité,
corrosivité, réactivité, combustibilité, etc.),
© ISO 2010 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO 25119-2:2010(F)
⎯ d'autres événements externes (température, choc, CEM, etc.),
⎯ les erreurs de fonctionnement humaines raisonnablement prévisibles, et
⎯ les phénomènes dangereux provenant de l'unité d'observation et les événements déclenchant une
défaillance (par exemple pendant l'assemblage ou la maintenance).
5.3.4 Déterminations supplémentaires
Outre les activités décrites en 5.3.2, les déterminations ou actions suivantes doivent être effectuées:
⎯ déterminer si l'unité d'observation est un nouveau développement ou une modification, une adaptation ou
la dérivée d'une unité d'observation existante, et, en cas de modification, réaliser une analyse d'impact
pour régler le cycle de vie de sécurité en conséquence;
⎯ préparer un plan et une spécification pour valider les exigences relatives à l'unité d'observation définie en
5.3.1;
⎯ définir la gestion de projet pour les phases appropriées dans le cycle de vie;
⎯ utiliser des données d'entrée adéquates relatives à l'évaluation de la fiabilité;
⎯ utiliser des procédures, outils d'application et technologies adéquats;
⎯ employer un personnel qualifié.
5.4 Produits fabriqués
Les produits fabriqués du concept/de la définition de l'unité d'observation sont:
a) l'unité d'observation et les conditions ambiantes;
b) les limites de l'unité d'observation et ses interfaces avec d'autres unités d'observation;
c) les sources de contrainte;
d) des déterminations supplémentaires.
6 Analyse du risque et description de la méthode
6.1 Objectifs
Le risque est défini (voir l'ISO 25119-1:2010, définition 3.39) comme une combinaison de la probabilité d'un
dommage et de la gravité de ce dommage.
En considérant la fréquence d'occurrence du dommage, comme règle, la probabilité d'être exposé à une
situation dangereuse est prise en compte.
En considérant les systèmes, une éventuelle réaction de l'opérateur, susceptible dans de nombreux cas
d'éviter le dommage, est généralement prise en compte.
La procédure décrite ci-dessous fournit une méthodologie appropriée pour déterminer l'AgPL .
r
6.2 Conditions préalables
Cette phase ne comprend pas de conditions préalables.
4 © ISO 2010 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 25119-2:2010(F)
6.3 Exigences
6.3.1 Procédures de préparation d'une analyse de risque
Si une méthode d'analyse de risque est utilisée, les informations définissant le domaine d'application global
de l'application doivent être prises en compte. Si des décisions sont prises plus tard durant le cycle de vie de
sécurité qui changent la base sur laquelle les décisions antérieures ont été prises, une autre analyse de
risque doit être effectuée.
L'architecture du SRP/CS ne doit pas être considérée comme faisant partie de l'analyse de risque.
6.3.2 Tâches afférentes à une analyse de risque
Les conditions de fonctionnement dans lesquelles l'unité d'observation peut engendrer des phénomènes
dangereux lorsqu'elle est bien utilisée (y compris les erreurs de fonctionnement humaines raisonnablement
prévisibles et les défaillances partielles) doivent être considérées.
6.3.3 Participants à l'analyse de risque
L'analyse de risque implique plusieurs individus provenant de différents départements, par exemple
développement électronique ou électrique, essais ou validation, conception machine ou hydraulique, service,
ou consultants externes (par exemple autorité d'inspection technique).
6.3.4 Évaluation et classification d'un dommage potentiel
Les effets de dommages potentiels peuvent être déduits en considérant les dysfonctionnements éventuels et
les défaillances systématiques dans les conditions de fonctionnement pertinentes. La gravité potentielle des
dommages est décrite aussi précisément que possible pour chaque scénario pertinent.
Une certaine catégorisation doit être utilisée pour la description des dommages. Pour cette raison, la gravité
du dommage est classée en quatre catégories: S0, S1, S2 et S3 (voir Tableau 1).
L'opérateur de la machine impliquée et les autres parties (par exemple réparateurs, autres opérateurs de
machines, un tiers, etc.) doivent être indiqués dans une description détaillée du dommage.
Un examen du risque pour les fonctions de sécurité est centré sur l'origine des dommages aux personnes. Si,
dans l'analyse du dommage potentiel, il peut être établi que le dommage est clairement limité aux biens et
n'implique pas un dommage aux personnes, cela ne saurait faire l'objet d'une classification en tant que
fonction relative à la sécurité. L'introduction d'une classification de dommage S0 favorise ce fait. Aucune
appréciation du risque approfondie n'est censée être effectuée pour les fonctions affectées à la classe de
dommage S0.
Tableau 1 — Exemples de descriptions de blessures
S0 S1 S2 S3
Aucune blessure Blessures légères et Blessures graves et Blessures menaçant la vie
significative, ne nécessite modérées, nécessite une menaçant la vie (survie (survie incertaine), invalidité
que des premiers intervention médicale, probable), incapacité sévère
secours rétablissement total temporaire de travail
6.3.5 Évaluation de l'exposition dans la situation observée
Une analyse de risque reflète les effets de défaillances éventuelles dans des conditions de travail et de
fonctionnement spécifiques. Ces situations varient des activités de routine quotidiennes aux situations
extrêmes rares. La variable «E» doit être utilisée pour catégoriser les différentes fréquences ou durées
d'exposition. Cinq catégories, désignées E0, E1, E2, E3 et E4, sont utilisées (voir Tableau 2), où E est une
estimation de la fréquence et de la durée d'exposition d'un opérateur ou d'un tiers à un phénomène
© ISO 2010 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO 25119-2:2010(F)
dangereux lors duquel une défaillance peut engendrer un dommage à l'opérateur ou à un tiers. L'exposition
pour une situation donnée est déterminée par la fréquence et la durée, et la plus élevée de ces évaluations
doit être utilisée pour déterminer l'AgPL .
r
NOTE Un phénomène dangereux peut être une combinaison de conditions (par exemple environnementales et/ou
fonctionnelles) de la machine.
Tableau 2 — Exposition à un événement dangereux
Description E0 E1 E2 E3 E4
Improbable
Événements rares Parfois Souvent Fréquemment
(théoriquement
Définition
possible; (moins d'une fois (plus d'une fois (plus d'une fois (presque à chaque
de la fréquence
une fois pendant par an) par an) par mois) opération)
la durée de vie)
Définition
de la durée
0,01 % à 0,1 % 0,1 % à 1 % 1 % à 10 %
< 0,01 % > 10 %
t
exp
t
av op
t durée d'exposition
exp
t durée de fonctionnement moyen
av op
6.3.6 Évaluation d'un évitement possible de dommage
L'évaluation d'un évitement possible de dommage implique de déterminer si l'opérateur de la machine peut
contrôler la situation dangereuse qui survient et l'éviter, ou si la situation est totalement incontrôlable. Même
le tiers peut éviter par lui-même une situation dangereuse qui survient. De ce fait, quatre catégories ont été
fixées pour pouvoir évaluer l'évitement de dommage. La proportion d'un évitement possible de dommage ne
considère que la fonction sans précautions de sécurité supplémentaires (évitement de dommage au-delà du
système technique). Les catégories utilisées (C0, C1, C2 et C3) représentent respectivement une catégorie
«facilement contrôlable», «contrôlable», «généralement contrôlable» et «non-contrôlable» (voir Tableau 3).
Tableau 3 — Évitement possible de dommage
C0 C1 C2 C3
Facilement contrôlable Contrôlable Généralement contrôlable Non-contrôlable
L'opérateur ou un tiers Plus de 99 % des Plus de 90 % des personnes La moyenne des
contrôle la situation et le personnes maîtrisent la maîtrisent la situation. Dans opérateurs ou des tiers ne
dommage est évité. situation. Dans plus de plus de 90 % des cas, la peut généralement pas
99 % des cas, la situation situation n'engendre pas de éviter le dommage.
n'engendre pas de dommage.
dommage.
6.3.7 Choix du niveau de performance agricole requis, AgPL
r
L'AgPL requis est illustré à la Figure 1 en combinant les valeurs de gravité, d'exposition et de contrôlabilité
r
pour chaque phénomène dangereux identifié.
Les AgPL requis sont désignés de AgPL = a à AgPL = e. Le niveau AgPL = a présente les exigences du
r
système les plus faibles, et AgPL = e présente les exigences du système les plus élevées. Outre ces niveaux,
il existe une désignation de mesure de la qualité, QM, dont l'exigence implicite est d'effectuer un
développement de système conformément à des normes telles que l'ISO 9001:2008. Une fonction classée
comme QM ne doit pas être considérée comme une fonction relative à la sécurité.
6 © ISO 2010 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO 25119-2:2010(F)
Légende
S gravité
E exposition à l'événement dangereux
C contrôlabilité
QM mesures de la qualité
a, b, c, d, e niveaux de performance agricole requis (AgPL )
r
Figure 1 — Détermination de l'AgPLr
© ISO 2010 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
ISO 25119-2:2010(F)
6.4 Produits fabriqués
Cette phase ne comprend pas de produits fabriqués.
7 Conception du système
7.1 Objectifs
Dérivés des résultats des phases précédentes, les objectifs des exigences de cette phrase consistent à définir
les exigences de conception.
7.2 Conditions préalables
Cette phase ne comprend pas de conditions préalables.
7.3 Exigences
7.3.1 Affectation de l'AgPL
Un AgPL doit être affecté à chaque phénomène dangereux identifié dans le cadre de la fonction relative à la
sécurité analysée. Le niveau AgPL ayant l'indice le plus élevé doit définir l'AgPL de la fonction de sécurité.
r
Diverses combinaisons de fiabilité et d'architecture peuvent être utilisées pour réaliser l'AgPL requis. Par
r
exemple, il est possible (dans certaines limites) pour une architecture à canal unique à haute fiabilité de
fournir le même niveau de performance ou un niveau de performance supérieur comme une architecture à
canal double à fa
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.