EURUSD
Your shopping cart is empty.
ISO

ISO 25119-3:2018

(Main)

Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software

Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software

This document sets out general principles for the design and development of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry and on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to mobile municipal equipment (e.g. street-sweeping machines). This document is not applicable to: — aircraft and air-cushion vehicles used in agriculture; — lawn and garden equipment. This document specifies the characteristics and categories required of SRP/CS for carrying out their safety-related functions. It does not identify performance levels for specific applications. NOTE 1 Machine specific type-C standards can specify performance levels (AgPL) for safety-related functions in machines within their scope. Otherwise, the specification of AgPL is the responsibility of the manufacturer. This document is applicable to the safety-related parts of electrical/electronic/programmable electronic systems (E/E/PES), as these relate to mechatronic systems. It covers the possible hazards caused by malfunctioning behaviour of E/E/PES safety-related systems, including interaction of these systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity, flammability, reactivity, corrosion, release of energy, and similar hazards, unless directly caused by malfunctioning behaviour of E/E/PES safety-related systems. It also covers malfunctioning behaviour of E/E/PES safety-related systems involved in protective measures, safeguards, or safety-related functions in response to non-E/E/PES hazards. Examples included within the scope of this document: — SRP/CS's limiting current flow in electric hybrids to prevent insulation failure/shock hazards; — electromagnetic interference with the SRP/CS; — SRP/CS's designed to prevent fire. Examples not included in the scope of this document: — insulation failure due to friction that leads to electric shock hazards; — nominal electromagnetic radiation impacting nearby machine control systems; — corrosion causing electric cables to overheat. This document is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic). NOTE 2 See also ISO 12100 for design principles related to the safety of machinery. This document is not applicable to safety related parts of control systems manufactured before the date of its publication.

Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels

Le présent document établit des principes généraux pour la conception et le développement des parties relatives à la sécurité des systèmes de commande (SRP/CS) utilisés sur les tracteurs agricoles et forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées et traînées utilisées en agriculture. Elle peut être également applicable aux équipements municipaux mobiles (par exemple machines de nettoiement). Elle spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser leurs fonctions de sécurité. Le présent document n'est pas applicable aux: — véhicules aéroportés et sur cousin d'air utilises en agriculture; — équipements pour jardins et pelouses. Le présent document spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser leurs fonctions relatives à la sécurité. Il n'identifie pas de niveaux de performance pour des applications spécifiques. NOTE 1 Les normes spécifiques à une machine donnée (normes de type C) peuvent spécifier des niveaux de performance (AgPL) pour des fonctions relatives à la sécurité dans des machines relevant de leur domaine d'application. Sinon, la spécification de l'AgPL est de la responsabilité du fabricant. Le présent document est applicable aux parties relatives à la sécurité des systèmes électriques/électroniques/électroniques programmables (E/E/PES), dans la mesure où celles-ci sont liées aux systèmes mécatroniques. Elle couvre les éventuels phénomènes dangereux dus au comportement fonctionnel des systèmes E/E/PES liés à la sécurité, y compris les interactions entre ces systèmes. Elle ne traite pas des phénomènes dangereux dus à l'équipement lui-même (choc électrique, incendie, fumées, chaleur, rayonnement, toxicité inflammabilité, réactivité, corrosion, libération de l'énergie, et phénomènes dangereux similaires, à moins d'être causés directement par une défaillance du comportement des systèmes E/E/PES liés à la sécurité. Elle traite également de la défaillance du comportement des systèmes E/E/PES liés à la sécurité impliqués dans les mesures de protection, protecteurs ou fonctions liées à la sécurité en réponse aux phénomènes dangereux hors E/E/PES. Exemples inclus dans le domaine d'application du présent document: — Parties de machines relatives à la sécurité (SRP/CS) qui limitent le flux de courant dans les hybrides électriques pour empêcher les phénomènes dangereux de panne d'isolement/choc; — interférence électromagnétique avec les SRP/CS; — SRP/CS conçus pour empêcher les incendies. Exemples non inclus dans le domaine d'application du présent document: — panne d'isolement due aux frottements qui engendrent des phénomènes de chocs électriques; — rayonnement électromagnétique nominal qui impacte les systèmes de commande environnants de la machine; — corrosion engendrant une surchauffe des câbles électriques. Le présent document n'est pas applicable aux systèmes non-E/E/PES (par exemple hydraulique, mécanique et pneumatique). NOTE 2 Pour les principes de conception relatifs à la sécurité des machines, voir également l'ISO 12100. Le présent document n'est pas applicable aux parties relatives à la sécurité des systèmes de commande fabriqués avant la date de sa publication.

General Information

Status
Published
Publication Date
11-Oct-2018
ICS
35.240.99 - IT applications in other fields
65.060.01 - Agricultural machines and equipment in general
Technical Committee
ISO/TC 23/SC 19 - Agricultural electronics
Drafting Committee
ISO/TC 23/SC 19/WG 8 - Safety and security
Current Stage
9092 - International Standard to be revised
Start Date
06-Oct-2025
Completion Date
07-Dec-2025
Ref Project

Relations

Amended By
ISO 25119-3:2018/Amd 1:2020 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software — Amendment 1
Effective Date
14-Oct-2020
Revises
ISO 25119-3:2010 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software
Effective Date
05-Nov-2015
ISO 25119-3:2018 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software Released:10/12/2018ISO 25119-3:2018 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software Released:10/12/2018
PreviousNext
Standard
ISO 25119-3:2018 - Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software Released:10/12/2018
English language
59 pages
sale 15% off
Preview
sale 15% off
Preview
ISO 25119-3:2018 - Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels Released:10/12/2018ISO 25119-3:2018 - Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels Released:10/12/2018
PreviousNext
Standard
ISO 25119-3:2018 - Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande relatives à la sécurité — Partie 3: Développement en série, matériels et logiciels Released:10/12/2018
French language
62 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)


INTERNATIONAL ISO
STANDARD 25119-3
Second edition
2018-10
Tractors and machinery for
agriculture and forestry — Safety-
related parts of control systems —
Part 3:
Series development, hardware and
software
Tracteurs et matériels agricoles et forestiers — Parties des systèmes
de commande relatives à la sécurité —
Partie 3: Développement en série, matériels et logiciels
Reference number
©
ISO 2018
© ISO 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2018 – All rights reserved

Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 2
3 Terms and definitions . 2
4 Abbreviated terms . 2
5 System design . 3
5.1 Objectives. 3
5.2 General . 3
5.3 Prerequisites . 4
5.4 Requirements . 4
5.4.1 Structuring safety requirements . 4
5.4.2 Technical safety concept . 5
5.5 Work products . 7
6 Hardware . 7
6.1 Objectives. 7
6.2 General . 7
6.3 Prerequisites . 7
6.4 Requirements . 7
6.5 Hardware categories . 9
6.6 Work products . 9
7 Software .10
7.1 Software development planning .10
7.1.1 Objectives .10
7.1.2 General.10
7.1.3 Prerequisites .10
7.1.4 Requirements .10
7.1.5 Work products .13
7.2 Software safety requirements specification .13
7.2.1 Objectives .13
7.2.2 General.13
7.2.3 Prerequisites .13
7.2.4 Requirements .13
7.2.5 Work products .17
7.3 Software architecture design .17
7.3.1 Objectives .17
7.3.2 General.17
7.3.3 Prerequisites .17
7.3.4 Requirements .17
7.3.5 Work products .19
7.4 Software component design and implementation .19
7.4.1 Objectives .19
7.4.2 General.19
7.4.3 Prerequisites .19
7.4.4 Requirements .19
7.4.5 Work products .29
7.5 Software component testing .29
7.5.1 Objectives .29
7.5.2 General.29
7.5.3 Prerequisites .29
7.5.4 Requirements .29
7.5.5 Work products .37
7.6 Software integration and testing .37
7.6.1 Objectives .37
7.6.2 General.38
7.6.3 Prerequisites .38
7.6.4 Requirements .38
7.6.5 Work products .39
7.7 Software safety testing .40
7.7.1 Objectives .40
7.7.2 General.40
7.7.3 Prerequisites .40
7.7.4 Requirements .40
7.7.5 Work products .44
7.8 Software-based parameterisation .44
7.8.1 Objective . .44
7.8.2 General.44
7.8.3 Prerequisites .45
7.8.4 Requirements .45
7.8.5 Work products .46
Annex A (informative) Example of agenda for assessment of functional safety at AgPL = e .47
Annex B (normative) Independence by software partitioning .49
Bibliography .59
iv © ISO 2018 – All rights reserved

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www .iso
.org/iso/foreword .html.
This document was prepared by Technical Committee ISO/TC 23, Tractors and machinery for agriculture
and forestry, Subcommittee SC 19, Agricultural electronics.
This second edition cancels and replaces the first edition (ISO 25119-3:2010), which has been technically
revised. The main changes compared to the previous edition are as follows:
— the introduction has been modified to add specific information on safety standards;
— the prerequisites of functional safety have been specified;
— Clause 5 has been revised to:
— specify the prerequisites of functional safety, and
— simplify the general requirements of technical safety concepts;
— additional instructions have been added throughout the document to verify consistency of test
specifications and reports;
— Annex B has been changed to a normative annex;
— the document has been editorially revised.
A list of all parts in the ISO 25119 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/members .html.
Introduction
ISO 25119 (all parts) sets out an approach to the assessment, design and verification, for all safety life
cycle activities, of safety-related parts comprising electrical and/or electronic and/or programmable
electronic systems (E/E/PES) on tractors used in agriculture and forestry, and on self-propelled ride-
on machines and mounted, semi-mounted and trailed machines used in agriculture. It is also applicable
to mobile municipal equipment.
A prerequisite to the application of ISO 25119 (all parts) is the completion of a suitable hazard
identification and risk analysis (e.g. ISO 12100) for the entire machine. As a result, an E/E/PES is
frequently assigned to provide safety-related functions that create safety-related parts of control
systems (SRP/CS). These can consist of hardware or software, can be separate or integrated parts of
a control system, and can either perform solely safety-related functions or form part of an operational
function.
In general, the designer (and to some extent, the user) will combine the design and validation of these
SRP/CS as part of the risk assessment. The objective is to reduce the risk associated with a given hazard
(or hazardous situation) under all conditions of use of the machine. This can be achieved by applying
various measures (both SRP/CS and non-SRP/CS) with the end result of achieving a safe condition.
ISO 25119 (all parts) allocates the ability of safety-related parts to perform a safety-related function
under foreseeable conditions into five performance levels. The performance level of a controlled
channel depends on several factors, including system structure (category), the extent of fault detection
mechanisms (diagnostic coverage), the reliability of components (mean time to dangerous failure,
common-cause failure), design processes, operating stress, environmental conditions and operation
procedures. Three types of failures that can cause E/E/PES malfunctions leading to potential hazardous
situations are considered: systematic, common-cause and random.
In order to guide the designer during design, verification, and to facilitate the assessment of the achieved
performance level, ISO 25119 (all parts) defines an approach based on a classification of architecture
with different design features and specific behaviour in case of a fault.
The performance levels and categories can be applied to the control systems of all kinds of mobile
machines: from simple systems (e.g. auxiliary valves) to complex systems (e.g. steer by wire), as well as
the control systems of protective equipment (e.g. interlocking devices, pressure sensitive devices).
ISO 25119 (all parts) adopts a risk-based approach for the determination of the risks, while providing a
means of specifying the required performance level for the safety-related functions to be implemented
by E/E/PES safety-related channels. It gives requirements for the whole safety life cycle of E/E/PES
(design, validation, production, operation, maintenance, decommissioning), necessary for achieving the
required functional safety for E/E/PES that are linked to the performance levels.
The structure of safety standards in the field of machinery is as follows.
a) Type-A standards (basic safety standards) give basic concepts, principles for design and general
aspects that can be applied to machinery.
b) Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
— type-B2 standards on safeguards (e.g. two-hand controls, interlocking devices, pressure
sensitive devices, guards).
c) Type-C standards (machinery safety standards) deal with detailed safety requirements for a
particular machine or group of machines.
This document is a type-B1 standard as stated in ISO 12100.
vi © ISO 2018 – All rights reserved

This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium and large enterprises);
— health and safety bodies (regulators, accident prevention organizations, market surveillance, etc.).
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e.g. for maintenance (small, medium and large enterprises);
— consumers (in case of machinery intended for use by consumers).
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
In addition, this document is intended for standardization bodies elaborating type-C standards.
The requirements of this document can be supplemented or modified by a type-C standard.
For machines which are covered by the scope of a type-C standard and which have been designed and
built according to the requirements of that standard, the requirements of that type-C standard take
precedence.
INTERNATIONAL STANDARD ISO 25119-3:2018(E)
Tractors and machinery for agriculture and forestry —
Safety-related parts of control systems —
Part 3:
Series development, hardware and software
1 Scope
This document sets out general principles for the design and development of safety-related parts of
control systems (SRP/CS) on tractors used in agriculture and forestry and on self-propelled ride-on
machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied
to mobile municipal equipment (e.g. street-sweeping machines).
This document is not applicable to:
— aircraft and air-cushion vehicles used in agriculture;
— lawn and garden equipment.
This document specifies the characteristics and categories required of SRP/CS for carrying out their
safety-related functions. It does not identify performance levels for specific applications.
NOTE 1 Machine specific type-C standards can specify performance levels (AgPL) for safety-related functions
in machines within their scope. Otherwise, the specification of AgPL is the responsibility of the manufacturer.
This document is applicable to the safety-related parts of electrical/electronic/programmable
electronic systems (E/E/PES), as these relate to mechatronic systems. It covers the possible hazards
caused by malfunctioning behaviour of E/E/PES safety-related systems, including interaction of these
systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity,
flammability, reactivity, corrosion, release of energy, and similar hazards, unless directly caused by
malfunctioning behaviour of E/E/PES safety-related systems. It also covers malfunctioning behaviour
of E/E/PES safety-related systems involved in protective measures, safeguards, or safety-related
functions in response to non-E/E/PES hazards.
Examples included within the scope of this document:
— SRP/CS’s limiting current flow in electric hybrids to prevent insulation failure/shock hazards;
— electromagnetic interference with the SRP/CS;
— SRP/CS’s designed to prevent fire.
Examples not included in the scope of this document:
— insulation failure due to friction that leads to electric shock hazards;
— nominal electromagnetic radiation impacting nearby machine control systems;
— corrosion causing electric cables to overheat.
This document is not applicable to non-E/E/PES systems (e.g. hydraulic, mechanic or pneumatic).
NOTE 2 See also ISO 12100 for design principles related to the safety of machinery.
This document is not applicable to safety related parts of control systems manufactured before the
date of its publication.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 25119-1, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 1: General principles for design and development
ISO 25119-2:2018, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 2: concept phase
ISO 25119-4:2018, Tractors and machinery for agriculture and forestry — Safety-related parts of control
systems — Part 4: Production, operation, modification and supporting processes
3 Terms and definitions
For the purposes of this document, the terms and definitions in ISO 25119-1 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
4 Abbreviated terms
For the purposes of this document, the following abbreviated terms apply.
AgPL agricultural performance level
AgPL required agricultural performance level
r
CAD computer-aided design
Cat hardware category
CCF common-cause failure
DC diagnostic coverage
DC average diagnostic coverage
avg
ECU electronic control unit
ETA event tree analysis
E/E/PES electrical/electronic/programmable electronic systems
EMC electromagnetic compatibility
FMEA failure mode and effects analysis
FSM functional safety management
FTA fault tree analysis
HARA hazard analysis and risk assessment
HIL hardware in the loop
2 © ISO 2018 – All rights reserved

MTTF mean time to failure
MTTF mean time to dangerous failure
D
MTTF mean time to dangerous failure for each channel
DC
PES programmable electronic system
QM quality measures
RAM random-access memory
SOP start of production
SRL software requirement level
SRP safety-related parts
SRP/CS safety-related parts of control systems
UML unified modelling language
5 System design
5.1 Objectives
The objective is to define a system design for producing a detail design that fulfils the safety
requirements for the entire safety-related system.
5.2 General
Safety requirements constitute all requirements aimed at achieving and ensuring functional safety.
During the safety life cycle, safety requirements are detailed and specified in ever greater detail at
hierarchical levels. The different levels for safety requirements are illustrated in Figure 1. For the
overall representation of the procedure for developing safety requirements, see also 5.4. In order to
support management of safety requirements, the use of suitable tools for requirements management is
recommended.
Annex A provides guidance for an example agenda of the assessment of functional safety associated
with an AgPL = e.
Key
result
verification
validation
a
The first of two numbers separated by a slash refers to the respective part of ISO 25119, and the second
refers to the clause in that document: i.e. 2/6 is ISO 25119-2:2018/Clause 6, 3/5 is ISO 25119-3:2018/
Clause 5, and so on.
Figure 1 — Structuring of safety requirements
5.3 Prerequisites
The functional safety concept (ISO 25119-2:2018, Clause 7) is the prerequisite.
5.4 Requirements
5.4.1 Structuring safety requirements
During the functional safety concept phase, functional safety requirements are created to describe
the basic functioning of the safety-related system through which the safety goals are to be fulfilled.
The basic allocation of functional safety requirements to the system architecture is specified by
the technical safety concept specification in the form of technical safety requirements. This system
architecture comprises both hardware and software.
The hardware safety requirements refine and solidify the technical safety requirements. Clause 6
describes how to specify the hardware requirements in detail.
4 © ISO 2018 – All rights reserved

The software safety requirements are derived from the requirements of the technical safety concept
and the underlying hardware. The requirements for the software defined in Clause 7 shall be taken into
account.
This clause specifies the approach to be used in the specification of the technical safety concept
requirements during system design, thereby providing a basis for error-free system design.
5.4.2 Technical safety concept
5.4.2.1 General requirements of technical safety concept
The technical safety concept document includes the technical safety requirements for the system.
Each technical safety requirement shall be associated (e.g. by cross-reference) with higher-level safety
requirements, which may be:
— other technical safety requirements;
— functional safety requirements.
NOTE Traceability can be greatly facilitated by the use of suitable requirement management tools.
The implementation of each technical safety concept requirement shall take account of feasibility,
unambiguousness, consistency and completeness.
The technical safety concept shall take the following into account:
a) all safety goals and functional safety requirements;
b) all relevant norms, standards and statutory regulations;
c) the relevant results from safety analysis tools (FMEA, FTA, etc.); the safety analysis provides
iterative support for the technical safety concept during system development.
The completeness of the technical safety concept increases iteratively during system design. To ensure
completeness:
1) the version of the technical safety concept and the version of the relevant underlying sources shall
be specified;
2) the requirements from change management (see ISO 25119-4:2018, Clause 11) shall be met and,
for this reason, the technical safety requirements shall be structured and formulated to provide
support for a modification process;
3) the technical safety requirements shall be reviewed (see ISO 25119-4:2018, Clause 6).
The technical safety concept shall consider all phases of the life cycle (including production, customer
operation, servicing and decommissioning).
5.4.2.2 Specification of the technical safety concept
5.4.2.2.1 General
The technical safety concept shall include hardware and software safety requirements sufficient for
the design of the SRP/CS, and shall be determined in accordance with 5.4.2.1.
5.4.2.2.2 States and times
The behaviour of the SRP/CS, its components and their interfaces shall be specified for all relevant
operating states, including
— start-up,
— normal operation,
— shut-down,
— restart after reset, and
— reasonably foreseeable unusual operating states (e.g. degraded operating states).
In particular, failure behaviour and the required reaction shall be described exactly. Additional
emergency operation functions may be included.
The technical safety concept shall specify a safe state for each functional safety requirement, the
transition to the safe state, and the maintenance of the safe state. In particular, it shall be specified
whether shutting off the SRP/CS immediately represents a safe state, or if a safe state can only be
attained by a controlled shut down.
The technical safety concept shall specify for each functional safety requirement the maximum time
that may elapse between the occurrence of an error and the attainment of a safe state (response time).
All response times for subsystems and sub-functions shall be specified in the technical safety concept.
If no safe state can be achieved by a direct shut down, a time shall be defined during which a special
emergency operation function has to be sustained for all subsystems and sub-functions. This emergency
operation function shall be documented in the technical safety concept.
5.4.2.2.3 Safety architecture, interfaces and marginal conditions
The safety architecture and its sub-components shall be described. In particular, the technical measures
shall be specified. The technical safety concept shall separately describe the following components (as
applicable):
— sensor system, separate for each physical parameter recorded;
— miscellaneous digital and analogue input and output units;
— processing, separate for each arithmetic unit/discrete logical unit;
— actuator system, separate for each actuator;
— displays, separate for each indicator unit;
— miscellaneous electromechanical components;
— signal transmission between components;
— signal transmission from/to systems external to the SRP/CS;
— power supply.
The interfaces between the components of the SRP/CS, interfaces to other systems and functions in the
machine, as well as user interfaces, shall be specified.
Limitations and marginal conditions of the SRP/CS shall be specified. This applies in particular to
extreme values for all ambient conditions in all phases of the life cycle.
6 © ISO 2018 – All rights reserved

5.5 Work products
The following work product shall be applicable to system design:
a) technical safety concept specification.
6 Hardware
6.1 Objectives
The objective is to define acceptable hardware architectures for SRP/CS.
6.2 General
Improving the hardware structure of the SRP/CS can provide measures for avoiding, detecting or
tolerating faults. Practical measures can include redundancy, diversity and monitoring.
In general, the following fault criteria shall be taken into account.
— If, as a consequence of a fault, further components fail, the first fault and all following faults are
considered to be a single fault.
— Two or more separate faults having a common cause are regarded as a single fault (known as
common cause failure).
— The simultaneous occurrence of two independent faults is highly unlikely and therefore does not
need to be considered.
Iterations between the hardware and software development may be required in order to complete the
necessary hardware testing.
6.3 Prerequisites
The prerequisite is the parts of the functional safety concept to be realized by the hardware
(ISO 25119-2:2018, Clause 7).
The prerequisite for the “hardware system integration” and the “hardware safety validation” shown in
Figure 2 for hardware that is controlled by software is the operating software itself.
6.4 Requirements
The hardware development process shall begin at the system level where safety-related functions and
associated requirements are identified (see Figure 2).
The functional safety concept shall be used to identify the performance level (AgPL) for each system
safety-related function (ISO 25119-2).
Selection of hardware categories, MTTF , DC and SRL shall be made such that the resultant AgPL of
DC
the individual or combination SRP/CS meets or exceeds all AgPL ’s of the assigned functional safety
r
requirements.
The system may be broken down into subsystems for easier development.
Each phase of the development cycle shall be verified.
The system integration hardware/software test shown in Figure 1 shall be performed using previously
tested hardware and software components.
Key
result
verification
validation
a
The first of two numbers separated by a slash refers to this document and the second refers to Clause 6.
Figure 2 — Hardware development V-model
The procedure for the hardware architectural design is as follows.
a) Select a hardware category taking into account the available MTTF , SRL and DC (see
DC
ISO 25119-2:2018, Figure 2).
b) Identify the component operating environment and stress level.
c) Select components.
d) Calculate and verify that the MTTF meets the required level (see ISO 25119-2:2018, 7.3.3).
DC
e) Determine and verify that the DC meets the required level (see ISO 25119-2:2018, 7.3.4).
f) Consider CCF (see ISO 25119-2:2018, Annex D).
g) Consider systematic failures (see ISO 25119-2:2018, Annex E).
h) Consider other safety-related functions (see ISO 25119-2:2018, Annex F).
Iteration could be required for the above steps.
8 © ISO 2018 – All rights reserved

6.5 Hardware categories
The safety-related parts of control systems shall be designed in accordance with the requirements
of one or more of the five categories specified in ISO 25119-2:2018, Annex A taking into account
ISO 25119-2:2018, Annexes H, I and J.
When a safety-related function is realized by an integrated combination of multiple hardware
categories, the resulting overall hardware category is determined by the characteristics of the overall
system (see Figure 3).
Key
I input device (e.g. sensor) S interconnecting signal input
I
L Logic S interconnecting signal output
O
O output device (e.g. actuator) m monitoring
TE test equipment Cat hardware category
OTE output of test equipment
Figure 3 — Integrated system example for hardware category 2
To determine the overall SRL, see 7.3.4.7.
6.6 Work products
The following work products shall be applicable to hardware design:
a) hardware safety validation test plan;
b) hardware safety validation test specification;
c) hardware safety validation test results;
d) hardware system integration test plan/hardware subsystem test plan;
e) hardware system integration test specification;
f) hardware system integration test results/hardware subsystem test results;
g) hardware architectural design that fulfils the required category and AgPL;
h) hardware safety requirements.
7 Software
7.1 Software development planning
7.1.1 Objectives
The objective is to determine and plan the individual phases of software development. This includes
the process of software development itself, which is described in this clause, as well as the necessary
supporting processes described in ISO 25119-4:2018, Clause 11.
7.1.2 General
Figure 4 illustrates the process for developing software. In the following paragraphs and tables, each
box in the diagram is explained in detail.
Appropriate techniques/measures shall be selected according to the required SRL. Given the large
number of factors that affect software safety integrity, it is not possible to give an algorithm for
combining the techniques and measures that are correct for any given application. For a particular
application, the appropriate combination of techniques or measures shall be stated during software
safety planning, with appropriate techniques or measures being selected according to the requirements
in 7.1.4.
7.1.3 Prerequisites
The prerequisites in this phase are
— the required SRL as determined by the AgPL, MTTF , DC and category from the functional safety
DC
concept,
— the system verification plan,
— the technical safety concept, and
— the functional safety requirements and safety goals.
7.1.4 Requirements
7.1.4.1 Phase determination
For the software development process, it shall be determined how phases of software development (see
Figure 4) are to be carried out. The extent and complexity of the project shall be taken into account.
The phases may be carried out according to Figure 4, without modification, or individual phases may be
combined, if all work products of the combined phases are generated.
NOTE It is common to combine individual phases if the method used makes it difficult to clearly distinguish
between the phases. For example, the design of the software architecture and the software implementation
can be generated successively with the same computer-aided development tool, as is done in the model-based
development process.
Other phases may be added by distributing the activities and tasks.
EXAMPLE The application of data can be inserted as a separate phase before the safety validation of
the electronic control unit. The safety validation of the ECU can be conducted differently depending on the
distribution of the functions — as a test of particular ECU or as a test of the combined control network. It could
be conducted at the test location of the component systems or on the laboratory test vehicle.
10 © ISO 2018 – All rights reserved

7.1.4.2 Process flexibility
Activities and tasks may be moved from one phase to another.
7.1.4.3 Process timetable
A timetable shall be set up showing the relationship between the individual phases of the software
development and the product development process including the integration steps at machine level.
7.1.4.4 Applicability
After the software safety requirement specification has been completed according to Table 1, it shall be
determined which software safety requirements shall be applied to which process activities.
7.1.4.5 Supporting processes
The following supporting processes shall be planned as part of the software development process:
a) work product documentation according to ISO 25119-4:2018, Clause 13;
b) software change management according to ISO 25119-4:2018, Clause 11;
c) work product configuration management.
NOTE Supporting process b) includes a strategy for dealing with the different branches of the software that
result from changes, including the merging of these branches.
7.1.4.6 Phases of software development
For each phase of software development, the selection of the appropriate development methods and
measures, the corres
...


NORME ISO
INTERNATIONALE 25119-3
Deuxième édition
2018-10
Tracteurs et matériels agricoles et
forestiers — Parties des systèmes de
commande relatives à la sécurité —
Partie 3:
Développement en série, matériels et
logiciels
Tractors and machinery for agriculture and forestry — Safety-related
parts of control systems —
Part 3: Series development, hardware and software
Numéro de référence
©
ISO 2018
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d'application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Termes abrégés . 2
5 Conception du système . 3
5.1 Objectifs . 3
5.2 Généralités . 3
5.3 Conditions préalables . 4
5.4 Exigences . 4
5.4.1 Structuration des exigences de sécurité . 4
5.4.2 Concept de sécurité technique . 5
5.5 Produits fabriqués . 7
6 Matériel . 7
6.1 Objectifs . 7
6.2 Généralités . 7
6.3 Conditions préalables . 7
6.4 Exigences . 7
6.5 Catégories de matériel . 9
6.6 Produits fabriqués . 9
7 Logiciel .10
7.1 Planification de développement du logiciel .10
7.1.1 Objectifs .10
7.1.2 Généralités .10
7.1.3 Conditions préalables .10
7.1.4 Exigences .10
7.1.5 Produits fabriqués .13
7.2 Spécification relative aux exigences de sécurité du logiciel .13
7.2.1 Objectifs .13
7.2.2 Généralités .13
7.2.3 Conditions préalables .13
7.2.4 Exigences .13
7.2.5 Produits fabriqués .17
7.3 Architecture et conception du logiciel .17
7.3.1 Objectifs .17
7.3.2 Généralités .17
7.3.3 Conditions préalables .17
7.3.4 Exigences .17
7.3.5 Produits fabriqués .19
7.4 Conception et mise en œuvre du composant du logiciel .19
7.4.1 Objectifs .19
7.4.2 Généralités .19
7.4.3 Conditions préalables .19
7.4.4 Exigences .20
7.4.5 Produits fabriqués .30
7.5 Essai du composant du logiciel .30
7.5.1 Objectifs .30
7.5.2 Généralités .30
7.5.3 Conditions préalables .30
7.5.4 Exigences .30
7.5.5 Produits fabriqués .39
7.6 Intégration et essai du logiciel .39
7.6.1 Objectifs .39
7.6.2 Généralités .39
7.6.3 Conditions préalables .39
7.6.4 Exigences .40
7.6.5 Produits fabriqués .41
7.7 Essai de sécurité du logiciel .42
7.7.1 Objectifs .42
7.7.2 Généralités .42
7.7.3 Exigences .42
7.7.4 Produits fabriqués .46
7.8 Paramétrage fondé sur le logiciel.46
7.8.1 Objectifs .46
7.8.2 Généralités .46
7.8.3 Conditions préalables .47
7.8.4 Exigences .47
7.8.5 Produits fabriqués .48
Annexe A (informative) Exemple de programme relatif à une évaluationde la sécurité
fonctionnelle au niveau AgPL = e .49
Annexe B (normative) Indépendance par partitionnement du logiciel .51
Bibliographie .62
iv © ISO 2018 – Tous droits réservés

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/iso/fr/avant -propos .html.
Le présent document a été élaboré par le comité technique ISO/TC 23, Tracteurs et matériels agricoles et
forestiers, sous-comité SC 19, Électronique en agriculture.
Cette deuxième édition annule et remplace la première édition (ISO 25199-3:2010), qui a fait l’objet
d’une révision technique.
Les principales modifications par rapport à l’édition précédente sont les suivantes:
— l'introduction a été modifiée pour ajouter des informations spécifiques sur les normes de sécurité;
— les conditions préalables à la sécurité fonctionnelle ont été spécifiées;
— l’Article 5 a été révisé pour:
— spécifier les conditions préalables à la sécurité fonctionnelle, et
— simplifier les exigences générales des concepts techniques de sécurité;
— des instructions supplémentaires ont été ajoutées dans l’ensemble du document pour vérifier la
cohérence des spécifications et des rapports d'essai;
— l’Annexe B a été changée en une annexe normative;
— le présent document a fait l’objet d’une révision rédactionnelle.
Une liste de toutes les parties de la série ISO 25119 se trouve sur le site web de l’ISO.
Tout retour ou question sur le présent document doit être adressée à l'organisme national de
normalisation de l'utilisateur. Une liste complète de ces organismes peut être consultée à l'adresse
www .iso .org/members .html.
vi © ISO 2018 – Tous droits réservés

Introduction
L'ISO 25119 (toutes les parties) établit une approche pour l'évaluation, la conception et la vérification
de toutes les activités relatives au cycle de vie de sécurité des parties relatives à la sécurité constituées
de systèmes électriques et/ou électroniques et/ou électroniques programmables (E/E/PES) utilisés
sur les tracteurs agricoles et forestiers, sur les machines automotrices à conducteur porté et sur les
machines portées, semi-portées et traînées utilisées en agriculture. Elle est également applicable aux
équipements municipaux mobiles.
Le prérequis pour l’application de l’ISO 25119 (toutes les parties), est la réalisation d’une identification
des risques et d'une analyse de risque (par exemple ISO 12100) adaptées pour la totalité de la machine.
Il en résulte qu'un système E/E/PES est fréquemment prévu pour assurer des fonctions relatives à
la sécurité, créant des parties relatives à la sécurité des systèmes de commande (SRP/CS). Ces parties
peuvent être constituées de matériels et de logiciels, elles peuvent être des parties isolées du système
de commande ou en faire partie intégrante, et elles peuvent soit assurer uniquement des fonctions
relatives à la sécurité, soit faire partie d'une fonction opérationnelle.
En général, le concepteur (et, dans une certaine mesure, l'utilisateur) associe la conception et la
validation de ces SRP/CS dans le cadre de l'appréciation du risque. L'objectif est de réduire le risque lié à
un phénomène dangereux donné (ou à une situation dangereuse) dans toutes les conditions d'utilisation
de la machine. Cela peut être réalisé en appliquant diverses mesures (aussi bien SRP/CS que non-SRP/
CS) dans le but final de réaliser une condition de sécurité.
L'ISO 25119 (toutes les parties) aborde la capacité des parties relatives à la sécurité à réaliser une
fonction relative à la sécurité dans des conditions prévisibles en cinq niveaux de performance. Le
niveau de performance d'un canal contrôlé dépend de plusieurs facteurs, tels que la structure du
système (catégorie), l'étendue du mécanisme de détection de défaut (couverture de diagnostic), la
fiabilité des composants (temps moyen avant défaillance dangereuse, défaillances de cause commune),
le processus de conception, la contrainte en service, les conditions environnementales et les procédures
de fonctionnement. Trois types de défaillances sont susceptibles de provoquer des dysfonctionnements
des systèmes E/E/PES conduisant à des situations potentiellement dangereuses sont considérés: les
défaillances systématiques, les défaillances de cause commune et les défaillances aléatoires.
Afin de guider le concepteur pendant la conception, la vérification, et faciliter l'évaluation du niveau de
performance atteint, l'ISO 25119 (toutes les parties) définit une approche fondée sur une classification
d’architecture avec différentes caractéristiques de conception et un comportement spécifique en cas
de défaut.
Les niveaux et catégories de performance peuvent être appliqués aux systèmes de commande de tous
les types de machines mobiles, des systèmes simples (par exemple valves auxiliaires) aux systèmes
complexes (par exemple transmission par fil), ainsi qu'aux systèmes de commande d'équipements de
protection (par exemple dispositifs de verrouillage ou dispositifs sensibles à la pression).
L'ISO 25119 (toutes les parties) adopte une approche fondée sur le risque pour déterminer les risques,
tout en fournissant un moyen permettant de spécifier le niveau de performance requis pour les fonctions
relatives à la sécurité à mettre en œuvre par les canaux E/E/PES relatifs à la sécurité. Elle fournit
les exigences pour tout le cycle de vie de sécurité des E/E/PES (conception, validation, production,
fonctionnement, maintenance, démantèlement) nécessaires pour assurer la sécurité fonctionnelle
requise pour les E/E/PES liés aux niveaux de performance.
La hiérarchie des normes est la suivante:
a) Normes de type A (normes de sécurité fondamentales) précisant des notions fondamentales, des
principes de conception et des aspects généraux valables pour tous les types de machines.
b) Normes de type B (normes de sécurité relatives à un groupe) traitant d’un aspect de la sécurité ou
d’un type de dispositif conditionnant la sécurité valable pour une large gamme de machines:
— normes de type B1 traitant d’aspects particuliers de la sécurité (par exemple, distances de
sécurité, température de surface, bruit);
— normes de type B2 traitant de dispositifs conditionnant la sécurité (par exemple, commandes
bi-manuelles, dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).
c) Normes de type C (normes de sécurité par catégorie de machines) indiquant des prescriptions de
sécurité détaillées s'appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type B1 tel que spécifié dans l’ISO 12100.
Le présent document concerne, en particulier, les groupes de parties prenantes suivants, représentant
les acteurs du marché dans le domaine de la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché, etc.).
D'autres partenaires peuvent être concernés par le niveau de sécurité des machines atteint à l'aide du
document par les groupes de parties prenantes mentionnés ci-dessus:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/salariés (par exemple, syndicats de salariés, organisations représentant
des personnes ayant des besoins particuliers);
— prestataires de services, par exemple sociétés de maintenance (petites, moyennes et grandes
entreprises);
— consommateurs (dans le cas de machines destinées à être utilisées par des consommateurs).
Les groupes de parties prenantes mentionnées ci-dessus ont eu la possibilité de participer au processus
d’élaboration du présent document.
De plus, le présent document est destiné aux organismes de normalisation élaborant des normes de type C.
Les exigences du présent document peuvent être complétées ou modifiées par une norme de type C.
Pour les machines qui sont couvertes par le domaine d'application d'une norme de type C et qui ont été
conçues et fabriquées conformément aux exigences de cette norme, les exigences de la norme de type C
prévalent.
viii © ISO 2018 – Tous droits réservés

NORME INTERNATIONALE ISO 25119-3:2018(F)
Tracteurs et matériels agricoles et forestiers — Parties des
systèmes de commande relatives à la sécurité —
Partie 3:
Développement en série, matériels et logiciels
1 Domaine d'application
Le présent document établit des principes généraux pour la conception et le développement des parties
relatives à la sécurité des systèmes de commande (SRP/CS) utilisés sur les tracteurs agricoles et
forestiers, sur les machines automotrices à conducteur porté et sur les machines portées, semi-portées
et traînées utilisées en agriculture. Elle peut être également applicable aux équipements municipaux
mobiles (par exemple machines de nettoiement). Elle spécifie les caractéristiques et les catégories
requises des SRP/CS pour réaliser leurs fonctions de sécurité.
Le présent document n’est pas applicable aux:
— véhicules aéroportés et sur cousin d’air utilises en agriculture;
— équipements pour jardins et pelouses.
Le présent document spécifie les caractéristiques et les catégories requises des SRP/CS pour réaliser
leurs fonctions relatives à la sécurité. Il n'identifie pas de niveaux de performance pour des applications
spécifiques.
NOTE 1 Les normes spécifiques à une machine donnée (normes de type C) peuvent spécifier des niveaux
de performance (AgPL) pour des fonctions relatives à la sécurité dans des machines relevant de leur domaine
d'application. Sinon, la spécification de l'AgPL est de la responsabilité du fabricant.
Le présent document est applicable aux parties relatives à la sécurité des systèmes électriques/
électroniques/électroniques programmables (E/E/PES), dans la mesure où celles-ci sont liées aux
systèmes mécatroniques. Elle couvre les éventuels phénomènes dangereux dus au comportement
fonctionnel des systèmes E/E/PES liés à la sécurité, y compris les interactions entre ces systèmes.
Elle ne traite pas des phénomènes dangereux dus à l'équipement lui-même (choc électrique, incendie,
fumées, chaleur, rayonnement, toxicité inflammabilité, réactivité, corrosion, libération de l’énergie,
et phénomènes dangereux similaires, à moins d’être causés directement par une défaillance du
comportement des systèmes E/E/PES liés à la sécurité. Elle traite également de la défaillance du
comportement des systèmes E/E/PES liés à la sécurité impliqués dans les mesures de protection,
protecteurs ou fonctions liées à la sécurité en réponse aux phénomènes dangereux hors E/E/PES.
Exemples inclus dans le domaine d’application du présent document:
— Parties de machines relatives à la sécurité (SRP/CS) qui limitent le flux de courant dans les hybrides
électriques pour empêcher les phénomènes dangereux de panne d’isolement/choc;
— interférence électromagnétique avec les SRP/CS;
— SRP/CS conçus pour empêcher les incendies.
Exemples non inclus dans le domaine d’application du présent document:
— panne d’isolement due aux frottements qui engendrent des phénomènes de chocs électriques;
— rayonnement électromagnétique nominal qui impacte les systèmes de commande environnants de
la machine;
— corrosion engendrant une surchauffe des câbles électriques.
Le présent document n'est pas applicable aux systèmes non-E/E/PES (par exemple hydraulique,
mécanique et pneumatique).
NOTE 2 Pour les principes de conception relatifs à la sécurité des machines, voir également l'ISO 12100.
Le présent document n'est pas applicable aux parties relatives à la sécurité des systèmes de commande
fabriqués avant la date de sa publication.
2 Références normatives
Les documents suivants cités dans le texte constituent, pour tout ou partie de leur contenu, des
exigences du présent document. Pour les références datées, seule l’édition citée s’applique. Pour les
références non datées, la dernière édition du document de référence s’applique (y compris les éventuels
amendements).
ISO 25119-1:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 1: Principes généraux pour la conception et le développement
ISO 25119-2:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 2: Phase de projet
ISO 25119-4:2018, Tracteurs et matériels agricoles et forestiers — Parties des systèmes de commande
relatives à la sécurité — Partie 4: Procédés de production, de fonctionnement, de modification et d’entretien
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions de l'ISO 25119-1 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques pour l'utilisation en normalisation
aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp
— IEC Electropedia: disponible à l’adresse http: //www .electropedia .org/
4 Termes abrégés
Pour les besoins du présent document, les termes abrégés suivants s'appliquent.
AgPL niveau de performance agricole (agricultural performance level)
AgPL niveau de performance agricole requis (required agricultural performance level)
r
CAD conception assistée par ordinateur (computer-aided design)
Cat catégorie de matériel
CCF défaillance de cause commune (common-cause failure)
DC couverture de diagnostic (diagnostic coverage)
DC couverture moyenne de diagnostic (average diagnostic coverage)
avg
UCE unité de commande électronique
ETA analyse par arbre d'événements (event tree analysis)
2 © ISO 2018 – Tous droits réservés

E/E/PES systèmes électriques/électroniques/électroniques programmables (electrical/electronic/
programmable electronic systems)
CEM compatibilité électromagnétique
FMEA analyse des modes de défaillance et de leurs effets
FSM gestion de la sécurité fonctionnelle ( functional safety management)
FTA analyse par arbre de panne ( fault tree analysis)
HARA hazard analysis and risk assessment
HIL matériel incorporé (hardware in the loop)
MTTF temps moyen avant défaillance (mean time to failure)
MTTF temps moyen avant défaillance dangereuse (mean time to dangerous failure)
D
MTTF temps moyen avant défaillance dangereuse pour chaque canal (mean time to dangerous
DC
failure for each channel)
PES système électronique programmable (programmable electronic system)
QM management (mesures) de la qualité (quality measures)
RAM mémoire vive (random-access memory)
SOP démarrage de la production (start of production)
SRL niveau d'exigence du logiciel (software requirement level)
SRP parties relatives à la sécurité (safety-related parts)
SRP/CS parties relatives à la sécurité d'un système de commande (safety-related parts of control
systems)
UML langage de modélisation UML (unified modelling language)
5 Conception du système
5.1 Objectifs
L'objectif est de définir une conception des systèmes pour la production d'une conception détaillée qui
réponde aux exigences de sécurité pour tout le système relatif à la sécurité.
5.2 Généralités
Les exigences de sécurité constituent toutes les exigences visant à réaliser et à assurer la sécurité
fonctionnelle. Pendant le cycle de vie de sécurité, les exigences de sécurité sont détaillées et spécifiées
de manière plus approfondie par niveaux hiérarchiques. Les différents niveaux relatifs aux exigences de
sécurité sont illustrés à la Figure 1. Pour la représentation globale de la procédure de développement
des exigences de sécurité, voir également 5.4. Afin de prendre en charge la gestion des exigences de
sécurité, il est recommandé d'utiliser des outils appropriés pour la gestion des exigences.
L'Annexe A fournit des lignes directrices pour un exemple de programme d'évaluation de la sécurité
fonctionnelle associée à une AgPL = e.
Légende
résultat
vérification
validation
a
Le premier chiffre correspond à la partie de l'ISO 25119, le deuxième, séparé par une barre oblique,
à l'article de la partie c’est-à-dire, «2/6» signifie ISO 25119-2:2018, Article 6, «3/5» signifie
Figure 1 — Structuration des exigences de sécurité
5.3 Conditions préalables
Le concept de sécurité fonctionnelle (ISO 25119-2:2018, Article 7) est la condition préalable.
5.4 Exigences
5.4.1 Structuration des exigences de sécurité
Durant la phase de concept de sécurité fonctionnelle, les exigences de sécurité fonctionnelle sont
spécifiées pour décrire le fonctionnement de base du système relatif à la sécurité avec lequel les
objectifs de sécurité doivent être atteints. L'affectation de base des exigences de sécurité fonctionnelle
à l'architecture du système est spécifiée par la spécification du concept de sécurité technique sous
la forme d'exigences de sécurité technique. Cette architecture du système comprend aussi bien des
matériels que des logiciels.
Les exigences de sécurité du matériel affinent et solidifient les exigences relatives à la sécurité
technique. L’Article 6 décrit comment spécifier en détail les exigences du matériel.
4 © ISO 2018 – Tous droits réservés

Les exigences de sécurité du logiciel sont dérivées des exigences du concept de sécurité technique et
du matériel sous-jacent. Les exigences relatives au logiciel définies dans l'Article 7 doivent être prises
en compte.
Le présent article spécifie l'approche à suivre dans la spécification des exigences du concept de sécurité
technique pendant la conception du système, fournissant ainsi une base pour la conception d'un
système sans erreurs.
5.4.2 Concept de sécurité technique
5.4.2.1 Exigences générales du concept de sécurité fonctionnelle
Le document de concept de sécurité technique contient les exigences de sécurité technique pour le
système.
Chaque exigence de sécurité technique doit être associée (par exemple, par référence croisée) à des
exigences de sécurité de niveau supérieur qui peuvent être:
— d'autres exigences de sécurité technique;
— des exigences de sécurité fonctionnelle.
NOTE La traçabilité peut être grandement facilitée par l'utilisation d'outils de gestion d'exigence appropriés.
La mise en œuvre de chaque exigence de concept de sécurité doit considérer la faisabilité, le caractère
non ambigu, la cohérence et l'exhaustivité.
Le concept de sécurité technique doit prendre en compte les éléments suivants:
a) tous les objectifs de sécurité et les exigences de sécurité fonctionnelle;
b) toutes les normes et réglementations statutaires pertinentes;
c) les résultats pertinents issus des outils d'analyse de sécurité (AMDE, FTA, etc.); l'analyse de sécurité
fournit un support itératif pour le concept de sécurité technique pendant le développement du
système.
L'exhaustivité du concept de sécurité technique augmente itérativement pendant la conception du
système. Pour assurer l'exhaustivité:
1) la version du concept de sécurité technique et la version des sources sous-jacentes pertinentes
doivent être spécifiées;
2) les exigences issues de la gestion des modifications (voir ISO 25119-4:2018, Article 11) doivent être
satisfaites et, pour cette raison, les exigences de sécurité techniques doivent être structurées et
formulées pour pouvoir prendre en charge un processus de modification;
3) les exigences de sécurité techniques doivent être revues (voir ISO 25119-4:2018, Article 6).
Le concept de sécurité technique doit considérer toutes les phases du cycle de vie (comprenant la
production, l'opération du client, l'entretien courant et le démantèlement).
5.4.2.2 Spécification du concept de sécurité technique
5.4.2.2.1 Généralités
Le concept de sécurité technique doit comprendre les exigences de sécurité du matériel et du logiciel
suffisantes pour la conception du SRP/CS, et doit être déterminé conformément à 5.4.2.1.
5.4.2.2.2 États et temps
Le comportement du SRP/CS, de ses composants ainsi que de leurs interfaces doivent être spécifiés
pour tous les états de fonctionnement pertinents, y compris
— le démarrage,
— le fonctionnement normal,
— l'arrêt,
— le redémarrage après réinitialisation, et
— les états de fonctionnement inhabituels raisonnablement prévisibles (par exemple les états de
fonctionnement dégradés).
En particulier, le comportement de défaillance et la réaction requise doivent être décrits avec exactitude.
Des fonctions de fonctionnement d'urgence supplémentaires peuvent être incluses.
Le concept de sécurité technique doit spécifier un état de sécurité pour chaque exigence de sécurité
fonctionnelle, la transition vers l'état de sécurité et la maintenance de l'état de sécurité. En particulier,
il doit être spécifié si l'arrêt du SRP/CS représente immédiatement un état de sécurité, ou si un état de
sécurité ne peut être atteint que par un arrêt contrôlé.
Le concept de sécurité technique doit spécifier, pour chaque exigence de sécurité fonctionnelle, le temps
maximal susceptible de s'écouler entre l'occurrence d'une erreur et l'atteinte d'un état de sécurité
(temps de réponse). Tous les temps de réponse pour les sous-systèmes et les sous-fonctions doivent être
spécifiés dans le concept de sécurité technique.
Si aucun état de sécurité ne peut être atteint par un arrêt direct, un temps doit être défini pendant lequel
une fonction spéciale de fonctionnement d'urgence doit être maintenue pour tous les sous-systèmes et
sous-fonctions. Cette fonction de fonctionnement d'urgence doit être documentée dans le concept de
sécurité technique.
5.4.2.2.3 Architecture, interfaces et conditions marginales de sécurité
L'architecture de sécurité et ses sous-composants doivent être décrits. En particulier, les mesures
techniques doivent être spécifiées. Le concept de sécurité technique doit décrire séparément les
composants suivants (le cas échéant):
— le système de détection, séparé pour chaque paramètre physique enregistré;
— diverses unités d'entrée et de sortie numériques et analogiques;
— le traitement, séparé pour chaque unité arithmétique/unité logique discrète;
— le système d'actionnement, séparé pour chaque actionneur;
— les afficheurs, séparés pour chaque unité d'indication;
— divers composants électromécaniques;
— la transmission de signal entre les composants;
— la transmission de signal à partir/en direction des systèmes externes au SRP/CS;
— l'alimentation.
Les interfaces situées entre les composants du SRP/CS, les interfaces d'autres systèmes et les fonctions
dans la machine ainsi que les interfaces utilisateur doivent être spécifiées.
Les restrictions et conditions marginales du SRP/CS doivent être spécifiées. Cela s'applique en particulier
aux valeurs externes pour toutes les conditions ambiantes dans toutes les phases du cycle de vie.
6 © ISO 2018 – Tous droits réservés

5.5 Produits fabriqués
Le produit fabriqué doit être applicable à la conception du système:
a) spécification du concept de sécurité technique.
6 Matériel
6.1 Objectifs
L'objectif est de définir les architectures de matériel acceptables pour les SRP/CS.
6.2 Généralités
L'amélioration de la structure du matériel des SRP/CS peut fournir des mesures permettant d'éviter, de
détecter ou de tolérer les défauts. Les mesures pratiques peuvent inclure la redondance, la diversité et
la surveillance.
En général, les critères de défaut suivants doivent être pris en compte.
— Si, en conséquence d'un défaut, des composants supplémentaires sont défectueux, le premier défaut
et tous les défauts suivants sont considérés comme étant un seul défaut.
— Deux défauts isolés ou plus ayant une cause commune sont considérés comme étant un seul défaut
(désigné défaillance de cause commune).
— L'occurrence simultanée de deux défauts indépendants est très improbable et, par conséquent, n’a
pas besoin d’être prise en considération.
Des itérations entre le développement matériel et logiciel peuvent être requises pour réaliser les essais
nécessaires de matériel.
6.3 Conditions préalables
La condition préalable est que les parties du concept de sécurité fonctionnelle soient réalisées par le
matériel (ISO 25119-2:2018, Article 7).
La condition préalable pour l’intégration du système matériel et la validation de la sécurité matérielle
montrée à la Figure 2 pour le matériel qui est commandé par un logiciel est le fonctionnement du logiciel
lui-même.
6.4 Exigences
Le processus de développement du matériel doit commencer au niveau du système où les fonctions
relatives à la sécurité et les exigences associées sont identifiées (voir Figure 2).
Le concept de sécurité fonctionnelle doit être utilisé pour identifier l'AgPL pour chaque fonction
r
relative à la sécurité du système (ISO 25119-2).
La sélection des catégories de matériel, MTTF , DC et SRL doit être faite de sorte que l'AgPL résultante
DC
de l'individu ou de la combinaison SRP/CS satisfasse ou dépasse tous les AgPL des exigences de sécurité
r
fonctionnelle assignées.
Le système peut être subdivisé en sous-systèmes pour faciliter le développement.
Chaque phase du cycle de développement doit être vérifiée.
L’essai d’intégration du système matériel/logiciel montré à la Figure 1 doit être effectué en utilisant les
composants matériels et logiciels préalablement soumis à l’essai.
Légende
résultat
vérification
validation
Le premier chiffre correspond au présent document, le deuxième, séparé par une barre oblique, à
a
l'Article 6.
Figure 2 — Développement de matériel — Modèle en V
La procédure de conception de l'architecture du matériel est la suivante.
a) Choisir une catégorie de matériel en tenant compte du MTTF , SRL et DC disponibles
DC
(ISO 25119-2:2018, Figure 2).
b) Identifier l'environnement de fonctionnement du composant et le niveau de contrainte.
c) Choisir les composants.
d) Calculer et vérifier que le MTTF atteint le niveau requis (ISO 25119-2:2018, 7.3.3).
DC
e) Déterminer et vérifier que la DC atteint le niveau requis (ISO 25119-2:2018, 7.3.4).
f) Considérer la CCF (ISO 25119-2:2018, Annexe D).
g) Considérer les défaillances systématiques (ISO 25119-2:2018, Annexe E).
h) Considérer d'autres fonctions relatives à la sécurité (ISO 25119-2:2018, Annexe F).
L'itération peut être nécessaire pour les étapes ci-dessus.
8 © ISO 2018 – Tous droits réservés

6.5 Catégories de matériel
Les parties relatives à la sécurité des systèmes de commande doivent être conçues conformément aux
exigences de l'une ou de plusieurs des cinq catégories spécifiées dans l'ISO 25119-
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You

ISO
ISO 11783-7:2022(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 7: Implement messages application layer

This document describes the implement messages application layer of the network, specifying the message set and defining the messages used for communication with and between tractors and connected implements.

  • Standard
    29 pages
    English language
    sale 15% off
  • Standard
    33 pages
    French language
    sale 15% off
ISO
ISO 11783-13:2022(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 13: File server

The message set specified in this document is designed to support the needs of tractors and implements in using the services of a file server (FS). An FS is a distinct control function (CF) on the mobile implement control system that enables all CFs to store or retrieve data from a file-based storage device.

  • Standard
    60 pages
    English language
    sale 15% off
  • Standard
    64 pages
    French language
    sale 15% off
  • Standard
    64 pages
    French language
    sale 15% off
ISO
ISO 25119-4:2018/Amd 1:2020(Amendment)
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 4: Production, operation, modification and supporting processes — Amendment 1
  • Standard
    3 pages
    English language
    sale 15% off
  • Standard
    3 pages
    French language
    sale 15% off
ISO
ISO 25119-3:2018/Amd 1:2020(Amendment)
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 3: Series development, hardware and software — Amendment 1
  • Standard
    3 pages
    English language
    sale 15% off
  • Standard
    3 pages
    French language
    sale 15% off
ISO
ISO 25119-1:2018/Amd 1:2020(Amendment)
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 1: General principles for design and development — Amendment 1
  • Standard
    2 pages
    English language
    sale 15% off
  • Standard
    2 pages
    French language
    sale 15% off
ISO
ISO 25119-2:2019(Main)
Tractors and machinery for agriculture and forestry — Safety-related parts of control systems — Part 2: Concept phase

This document specifies the concept phase of the development of safety-related parts of control systems (SRP/CS) on tractors used in agriculture and forestry and on self-propelled ride-on machines and mounted, semi-mounted and trailed machines used in agriculture. It can also be applied to mobile municipal equipment (such as street-sweeping machines). This document is not applicable to: — aircraft and air-cushion vehicles used in agriculture; — lawn and garden equipment. This document specifies the characteristics and categories required of SRP/CS for carrying out their safety-related functions. It does not identify performance levels for specific applications. NOTE 1 Machine specific type-C standards can specify performance levels (AgPL) for safety-related functions in machines within their scope. Otherwise, the specification of AgPL is the responsibility of the manufacturer. This document is applicable to the safety-related parts of electrical/electronic/programmable electronic systems (E/E/PES), as these relate to mechatronic systems. It covers the possible hazards caused by malfunctioning behaviour of E/E/PES safety-related systems, including interaction of these systems. It does not address hazards related to electric shock, fire, smoke, heat, radiation, toxicity, flammability, reactivity, corrosion, release of energy, and similar hazards., unless directly caused by malfunctioning behaviour of E/E/PES safety-related systems. It also covers malfunctioning behaviour of E/E/PES safety-related systems involved in protection measures, safeguards, or safety-related functions in response to non-E/E/PES hazards. Examples included within the scope of this document: — SRP/CS's limiting current flow in electric hybrids to prevent insulation failure/shock hazards; — electromagnetic interference with the SRP/CS; — SRP/CS's designed to prevent fire. Examples not included within the scope of this document: — insulation failure due to friction that leads to electric shock hazards; — nominal electromagnetic radiation impacting nearby machine control systems; — corrosion causing electric cables to overheat. This document is not applicable to non-E/E/PES systems (such as hydraulic, mechanic or pneumatic). NOTE 2 See also ISO 12100 for design principles related to the safety of machinery. This document is not applicable to safety-related parts of control systems manufactured before the date of its publication.

  • Standard
    47 pages
    English language
    sale 15% off
  • Standard
    50 pages
    French language
    sale 15% off
ISO
ISO 11783-5:2019(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 5: Network management

This document describes the management of source addresses (SAs) for control functions (CFs) of electronic control units (ECUs), the association of addresses with the functional identification of a device and the detection and reporting of network-related errors. It also specifies procedures for initialization of network-connected ECUs.

  • Standard
    30 pages
    English language
    sale 15% off
  • Standard
    31 pages
    French language
    sale 15% off
ISO
ISO 11783-2:2019(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 2: Physical layer

ISO 11783 specifies a serial data network for control and communications on forestry or agricultural tractors and mounted, semi-mounted, towed or self-propelled implements. Its purpose is to standardize the method and format of transfer of data between sensors, actuators, control elements, and information-storage and -display units, whether mounted on, or part of, the tractor or implement. ISO 11783 also provides an open interconnect system for on-board electronic systems used by agriculture and forestry equipment. It is intended to enable electronic control units (ECUs) to communicate with each other, providing a standardized system. This document defines and describes the network's 250 kbit/s, twisted, non-shielded, quad-cable physical layer and an alternative cable and architecture named twisted pair physical layer (TPPL) based on a 250 kbit/s, un-shielded, twisted pair cable network layer which is fully backward compatible to twisted quad based machines and devices. NOTE Where not differently specified, requirements are valid for both twisted quad and TPPL.

  • Standard
    66 pages
    English language
    sale 15% off
  • Standard
    68 pages
    French language
    sale 15% off
ISO
ISO 11783-12:2019(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 12: Diagnostics services

ISO 11783, as a whole, specifies a serial data network for control and communications on forestry or agricultural tractors and mounted, semi-mounted, towed, or self-propelled implements. Its purpose is to standardize the method and format of transfer of data between sensors, actuators, control elements and information storage, and display units, whether mounted on, or part of, the tractor or implement. This document describes the network's diagnostic system. NOTE The name and contact information of the Maintenance Agency for this document can be found at http://www.iso.org/mara.

  • Standard
    31 pages
    English language
    sale 15% off
  • Standard
    34 pages
    French language
    sale 15% off
ISO
ISO 11783-3:2018(Main)
Tractors and machinery for agriculture and forestry — Serial control and communications data network — Part 3: Data link layer

This document specifies the application, the network layer protocols and the mapping to the controller area network (CAN) data link layer protocol as specified in ISO 11898-1. The application layer specifies protocol data units (PDU), which can be mapped to Classical CAN data frames using the Classical Extended Frame Format (CEFF). For PDUs exceeding the length of the CEFF-formatted data frames, this document specifies transport layer protocols and the mapping to CEFF-formatted data frames.

  • Standard
    62 pages
    English language
    sale 15% off
  • Standard
    65 pages
    French language
    sale 15% off