ISO 19014-4:2020
(Main)Earth-moving machinery — Functional safety — Part 4: Design and evaluation of software and data transmission for safety-related parts of the control system
Earth-moving machinery — Functional safety — Part 4: Design and evaluation of software and data transmission for safety-related parts of the control system
This document specifies general principles for software development and signal transmission requirements of safety-related parts of machine-control systems (MCS) in earth-moving machinery (EMM) and its equipment, as defined in ISO 6165. In addition, this document addresses the significant hazards as defined in ISO 12100 related to the software embedded within the machine control system. The significant hazards being addressed are the incorrect machine control system output responses from machine control system inputs. Cyber security is out of the scope of this document. NOTE For guidance on cybersecurity, see an appropriate security standard. This document is not applicable to EMM manufactured before the date of its publication.
Engins de terrassement — Sécurité fonctionnelle — Partie 4: Conception et évaluation du logiciel et de la transmission des données pour les parties relatives à la sécurité du système de commande
Le présent document spécifie les principes généraux applicables aux exigences en matière de développement de logiciel et de transmission des signaux des parties relatives à la sécurité des systèmes de commande de la machine (MCS) dans les engins de terrassement et leur équipement tels que définis dans l'ISO 6165. De plus, le présent document traite des phénomènes dangereux significatifs tels que définis dans l'ISO 12100 en rapport avec les logiciels intégrés dans le système de commande de la machine. Les phénomènes dangereux significatifs traités sont les réponses incorrectes du système de commande de la machine aux entrées du système de commande de la machine. La cybersécurité n'est pas couverte par le présent document. NOTE Voir une norme appropriée relative à la sécurité pour des recommandations à propos de la cybersécurité. Le présent document n'est pas applicable aux engins de terrassement fabriqués avant la date de sa publication.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 19014-4
First edition
2020-07
Earth-moving machinery —
Functional safety —
Part 4:
Design and evaluation of software and
data transmission for safety-related
parts of the control system
Engins de terrassement — Sécurité fonctionnelle —
Partie 4: Conception et évaluation du logiciel et de la transmission
des données pour les parties relatives à la sécurité du système de
commande
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Software development . 4
4.1 General . 4
4.2 Planning . 5
4.3 Artifacts . 6
4.4 Software safety requirements specification . 7
4.5 Software architecture design . 8
4.6 Software module design and coding . 8
4.7 Language and tool selection . 9
4.8 Software module testing .10
4.9 Software module integration and testing .11
4.10 Software validation .12
5 Software-based parameterization .12
5.1 General .12
5.2 Data integrity .13
5.3 Software-based parameterization verification .13
6 Transmission protection of safety-related messages on bus systems .13
7 Independence by software partitioning .14
7.1 General .14
7.2 Several partitions within a single microcontroller .15
7.3 Several partitions within the scope of an ECU network .16
8 Information for use .17
8.1 General .17
8.2 Instruction handbook .17
Annex A (informative) Description of software methods/measures .18
Annex B (normative) Software validation test environments .31
Annex C (informative) Data integrity assurance calculation.34
Annex D (informative) Methods and measures for transmission protection .36
Annex E (informative) Methods and measures for data protection internal to microcontroller .38
Bibliography .40
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www .iso .org/
iso/ foreword .html.
This document was prepared by ISO/TC 127, Earth-moving machinery, Subcommittee SC 2, Safety,
ergonomics and general requirements, in collaboration with the European Committee for Standardization
(CEN) Technical Committee CEN/TC 151, Construction equipment and building material machines - Safety,
in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna Agreement).
This first edition of ISO 19014-4, together with other parts in the ISO 19014 series, cancels and replaces
ISO 15998:2008 and ISO/TS 15998-2:2012, which have been technically revised.
The main changes compared to the previous documents are as follows:
— additional requirements for software development,
— requirements for software-based parametrization development,
— requirements for transmission of safety related messages on a communication bus, and
— requirements for software validation and verification of machine performance levels.
A list of all parts in the ISO 19014 series can be found on the ISO website.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
Introduction
This document addresses systems comprising any combination of electrical, electronic, and
programmable electronic components [electrical/electronic/programmable electronic systems (E/E/
PES)] used for functional safety in earth-moving machinery.
The structure of safety standards in the field of machinery is as follows.
Type-A standards (basis standards) give basic concepts, principles for design, and general aspects that
can be applied to machinery.
Type-B standards (generic safety standards) deal with one or more safety aspect(s), or one or more
type(s) of safeguards that can be used across a wide range of machinery:
— type-B1 standards on particular safety aspects (e.g. safety distances, surface temperature, noise);
— type-B2 standards on safeguards (e.g. two-hands controls, interlocking devices, pressure sensitive
devices, guards).
Type-C standards (machinery safety standards) deal with detailed safety requirements for a particular
machine or group of machines.
This document is a type-C standard as stated in ISO 12100.
This document is of relevance, in particular, for the following stakeholder groups representing the
market players with regard to machinery safety:
— machine manufacturers (small, medium, and large enterprises);
— health and safety bodies (regulators, accident prevention organisations, market surveillance etc.).
Others can be affected by the level of machinery safety achieved with the means of the document by the
above-mentioned stakeholder groups:
— machine users/employers (small, medium, and large enterprises);
— machine users/employees (e.g. trade unions, organizations for people with special needs);
— service providers, e. g. for maintenance (small, medium, and large enterprises);
The above-mentioned stakeholder groups have been given the possibility to participate at the drafting
process of this document.
The machinery concerned and the extent to which hazards, hazardous situations, or hazardous events
are covered are indicated in the Scope of this document.
When requirements of this type-C standard are different from those which are stated in type-A or
type-B standards, the requirements of this type-C standard take precedence over the requirements of
the other standards for machines that have been designed and built according to the requirements of
this type-C standard.
INTERNATIONAL STANDARD ISO 19014-4:2020(E)
Earth-moving machinery — Functional safety —
Part 4:
Design and evaluation of software and data transmission
for safety-related parts of the control system
1 Scope
This document specifies general principles for software development and signal transmission
requirements of safety-related parts of machine-control systems (MCS) in earth-moving machinery
(EMM) and its equipment, as defined in ISO 6165. In addition, this document addresses the significant
hazards as defined in ISO 12100 related to the software embedded within the machine control system.
The significant hazards being addressed are the incorrect machine control system output responses
from machine control system inputs.
Cyber security is out of the scope of this document.
NOTE For guidance on cybersecurity, see an appropriate security standard.
This document is not applicable to EMM manufactured before the date of its publication.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 6750-1, Earth-moving machinery — Operator's manual — Part 1: Contents and format
ISO 12100:2010, Safety of machinery — General principles for design — Risk assessment and risk reduction
ISO 13849-1, Safety of machinery — Safety-related part
...
NORME ISO
INTERNATIONALE 19014-4
Première édition
2020-07
Engins de terrassement — Sécurité
fonctionnelle —
Partie 4:
Conception et évaluation du logiciel et
de la transmission des données pour
les parties relatives à la sécurité du
système de commande
Earth-moving machinery — Functional safety —
Part 4: Design and evaluation of software and data transmission for
safety-related parts of the control system
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Développement de logiciel . 4
4.1 Généralités . 4
4.2 Planification . 5
4.3 Artefacts . 6
4.4 Spécification des exigences relatives à la sécurité du logiciel . 7
4.5 Conception de l’architecture du logiciel . 8
4.6 Conception et codage des modules logiciels . 8
4.7 Choix du langage et des outils . 9
4.8 Essais des modules logiciels .10
4.9 Intégration et essais des modules logiciels .11
4.10 Validation du logiciel .12
5 Paramétrage fondé sur le logiciel .13
5.1 Généralités .13
5.2 Intégrité des données .13
5.3 Vérification du paramétrage fondé sur le logiciel .13
6 Protection de la transmission de messages relatifs à la sécurité sur les systèmes bus .14
7 Indépendance par partitionnement du logiciel .15
7.1 Généralités .15
7.2 Plusieurs partitions dans un microcontrôleur unique .16
7.3 Plusieurs partitions dans le domaine d’application d’un réseau d’UCE .17
8 Informations pour l’utilisation .18
8.1 Généralités .18
8.2 Notice d’instructions .18
Annexe A (informative) Description des méthodes/mesures du logiciel .19
Annexe B (normative) Environnements d’essais de validation d’un logiciel .33
Annexe C (informative) Calcul de l’assurance d’intégrité des données .36
Annexe D (informative) Méthodes et mesures de protection de la transmission .38
Annexe E (informative) Méthodes et mesures de protection des données internes au
microcontrôleur .40
Bibliographie .42
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 127 Engins de terrassement, sous-
comité SC 2 Sécurité, ergonomie et exigences générales en collaboration avec le Comité européen
de Normalisation (CEN) Comité Technique CEN/TC 151, Machines de génie civil et de production de
matériaux de construction – Sécurité, selon avec l’Accord de coopération entre l’ISO et le CEN (Accord de
Vienne).
Cette première édition de l’ISO 19014-4, conjointement avec les autres parties de la série ISO 19014,
annule et remplace l’ISO 15998:2008 et l’ISO/TS 15998-2:2012 qui ont fait l’objet d’une révision
technique.
Les principales modifications par rapport à l’édition précédente sont les suivantes:
— les exigences supplémentaires pour le développement de logiciel,
— les exigences pour le développement du paramétrage fondé sur le logiciel,
— les exigences pour la transmission de messages relatifs à la sécurité sur un bus de communication et
— les exigences pour la validation du logiciel et la vérification des niveaux de performance de la
machine.
Une liste de toutes les parties de la série ISO 19014 peut être trouvée sur le site internet de l’ISO.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ members .html.
iv © ISO 2020 – Tous droits réservés
Introduction
Le présent document établit des recommandations pour les systèmes combinés de composants
électriques, électroniques et électroniques programmables [systèmes électriques/électroniques/
électroniques programmables (E/E/PES)] qui sont utilisés pour la sécurité fonctionnelle dans les
engins de terrassement.
La structure des normes de sécurité dans le domaine des machines est la suivante.
Les normes de type A (normes fondamentales de sécurité), contiennent des notions fondamentales, des
principes de conception et des aspects généraux relatifs aux machines.
Les normes de type B (normes génériques de sécurité) traitent d’un ou de plusieurs aspects de la
sécurité ou d’un ou de plusieurs types de moyens de protection valables pour une large gamme de
machines:
— normes de type B1, traitant d’aspects particuliers de la sécurité (par exemple distances de sécurité,
température superficielle, bruit);
— normes de type B2, traitant de moyens de protection (par exemple commandes bimanuelles,
dispositifs de verrouillage, dispositifs sensibles à la pression, protecteurs).
Les normes de type C (normes de sécurité par catégorie de machines) traitent des exigences de sécurité
détaillées s’appliquant à une machine particulière ou à un groupe de machines particulier.
Le présent document est une norme de type C telle que définie dans l’ISO 12100.
Le présent document est notamment pertinent pour les groupes de parties prenantes suivants
représentant les acteurs du marché pour ce qui concerne la sécurité des machines:
— fabricants de machines (petites, moyennes et grandes entreprises);
— organismes de santé et de sécurité (autorités réglementaires, organismes de prévention des risques
professionnels, surveillance du marché, etc.)
D’autres peuvent être affectés par le niveau de sécurité des machines obtenu au moyen du document
par les groupes de parties prenantes mentionnés ci-dessus:
— utilisateurs de machines/employeurs (petites, moyennes et grandes entreprises);
— utilisateurs de machines/salariés (par exemple syndicats de salariés, organisations représentant
des personnes ayant des besoins particuliers);
— prestataires de services, par exemple sociétés de maintenance (petites, moyennes et grandes
entreprises);
Les groupes de parties prenantes mentionnés ci-dessus ont eu la possibilité de participer à l’élaboration
du présent document.
Les machines concernées et l’étendue des phénomènes dangereux, situations dangereuses ou
événements dangereux couverts sont indiquées dans le Domaine d’application du présent document.
Lorsque des exigences de la présente norme de type C sont différentes de celles énoncées dans les
normes de type A ou les normes de type B, les exigences de la présente norme de type C ont priorité
sur celles des autres normes pour les machines ayant été conçues et fabriquées conformément aux
exigences de la présente norme de type C.
NORME INTERNATIONALE ISO 19014-4:2020(F)
Engins de terrassement — Sécurité fonctionnelle —
Partie 4:
Conception et évaluation du logiciel et de la transmission
des données pour les parties relatives à la sécurité du
système de commande
1 Domaine d'application
Le présent document spécifie les principes généraux applicables aux exigences en matière de
développement de logiciel et de transmission des si
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.