Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 25119-3:2018 — 农业机械安全相关部件的系统设计与开发
拖拉机和机械 SRP/CS 的硬件架构、软件开发与集成测试工程技术
1. 硬件架构与设计要求
ISO 25119-3:2018 涵盖系列开发阶段,即概念阶段(第 2 部分)的安全理念在硬件和软件中实现的过程。硬件设计要求侧重于通过架构措施、组件选择以及故障模式管理来实现指定的性能等级。对于每个安全功能,硬件必须证明在所有指定运行条件下,每小ru时危险失效概率(PFHd)保持在目标 PL 的限值内。
标准根据冗余和诊断覆盖率定义了四种架构类别:类别 1(无诊断的单通道)、类别 2(带定期测试的单通道)、类别 3(带监控的双通道)和类别 4(带全面监控和多样性的双通道)。类别的选择取决于所需的 PL 以及所选组件可实现的诊断覆盖率。
| 类别 | 架构 | 诊断覆盖率 | 典型可达 PL | 应用示例 |
|---|---|---|---|---|
| Cat. 1 | 单通道 | 无 | PL b | 基本操作员在位检测 |
| Cat. 2 | 单通道带测试 | 低-中 | PL c | PTO 轴速度限制 |
| Cat. 3 | 双通道 | 中-高 | PL d | 自主导航转向控制 |
| Cat. 4 | 双通道带多样性 | 高 | PL e | 高速拖拉机刹系统 |
在为农业机械设计双通道架构时,工程师必须特别关注共因失效(CCF)。振动、温度循环和污染——这些在农业环境中普遍存在——可能同时影响两个通道。必须采取物理分离的 PCB 布线、多样性组件技术以及独立电源等措施,以达到足够的 CCF 抵抗能力。
2. 软件安全生命周期与开发实践
ISO 25119-3 中的软件开发要求遵循与硬件开发并行的 V 模型生命周期。标准区分了安全影响有限的软件(A 类)和具有重大安全影响的软件(B 类)。B 类软件需要额外的措施,包括:防御性编程技术、结构化错误处理、看门狗集成以及单元级、集成级和系统级的全面测试。
关键的软件安全要求包括:安全相关与非安全相关软件的明确隔离;使用防止不安全构造的编码标准(如 MISRA-C 或类似标准);管理软件配置和变更控制;以及通过静态分析、动态测试和正式审查对所有安全需求进行系统性验证。
许多农业机械制造商已成功将来自汽车行业的安全关键软件模式(MISRA 指南、AUTOSAR 安全机制)移植到 ISO 25119-3 的合规中。关键的适应性调整在于考虑农业应用中通常使用的资源更为受限的微控制器,时间分区必须通过调度器设计而非硬件隔离来实现。
3. 集成测试、验证与确认
ISO 25119-3 要求硬件和软件组件进行系统化的集成,并逐步扩展到更全面的测试。集成序列通常从硬件-软件集成(HIL 测试)到子系统测试,再到整机集成。在每个级别,测试计划必须验证实现的安全功能是否满足 SRS 中规定的需求,包括功能正确性、时序行为、故障响应以及环境应力下的稳健性。
经常被低估的挑战是在所有指定的环境条件下测试安全功能。农业机械必须在 -20 C 到 +50 C 的温度范围、高湿度、粉尘以及电磁干扰下运行。ISO 25119-3 要求验证测试覆盖为机器指定的全部环境范围。
确认活动旨在证明完整的 SRP/CS 在安装到机器上时能达到所需的风险降低水平。在概念阶段制定的验证计划驱动着确认活动。标准要求编制确认报告,记录确认范围、每项安全功能的测试结果、任何偏差的分析以及关于 SRP/CS 是否达到所需 PL 的最终声明。
在系列开发阶段,硬件和软件设计的协同至关重要。标准要求建立清晰的接口定义和通信协议,确保安全功能在不同组件之间的一致实现。对于使用现场总线或 ISOBUS 网络的系统,需要特别关注消息的完整性、及时性和顺序性。标准还建议在硬件设计中预留足够的诊断覆盖能力,以便在软件层面实现更高级别的故障检测和系统保护。此外,标准鼓励采用基于模型的开发方法,通过仿真和自动代码生成技术来提高开发效率和产品质量。
4. 常见问题解答
问:商用现成(COTS)微控制器能否用于 ISO 25119-3 的 SRP/CS 设计?
答:可以,但需要额外的验证。标准没有像 ISO 26262 那样强制要求 ASIL 分级的微控制器。但设计必须证明 COTS 组件中的系统性故障已通过外部措施得到充分控制,且随机硬件失效率在可控范围内。
答:可以,但需要额外的验证。标准没有像 ISO 26262 那样强制要求 ASIL 分级的微控制器。但设计必须证明 COTS 组件中的系统性故障已通过外部措施得到充分控制,且随机硬件失效率在可控范围内。
问:在实际应用中,软件 A 类和 B 类有何不同?
答:A 类软件安全影响有限,需要基本措施,如结构化编程、单元测试和代码审查。B 类软件额外需要:正式设计文档、防御性编程、更广泛的测试覆盖率、静态分析以及关键模块的独立验证。
答:A 类软件安全影响有限,需要基本措施,如结构化编程、单元测试和代码审查。B 类软件额外需要:正式设计文档、防御性编程、更广泛的测试覆盖率、静态分析以及关键模块的独立验证。
问:ISO 25119-3 合规需要什么样的测试覆盖率?
答:对于 B 类软件,标准通常要求在单元级达到 100% 语句覆盖率和 100% 分支覆盖率,集成测试覆盖所有软件组件之间的接口,系统级测试覆盖正常、降级和故障条件下的所有安全功能。硬件测试必须包括故障注入测试以验证诊断覆盖率。
答:对于 B 类软件,标准通常要求在单元级达到 100% 语句覆盖率和 100% 分支覆盖率,集成测试覆盖所有软件组件之间的接口,系统级测试覆盖正常、降级和故障条件下的所有安全功能。硬件测试必须包括故障注入测试以验证诊断覆盖率。
📥 标准文件下载
暂无下载文件
