ISO 25119-4:2018 — 农业机械安全相关部件的生产、运行与改造

1. SRP/CS 生产阶段的质量保证

ISO 25119-4:2018 涵盖设计和验证之后的关键阶段：控制系统安全相关部件的生产、运行和改造。虽然标准的前面部分侧重于确保设计正确，但第 4 部分确保安全完整性在制造过程中、整个机器运行寿命期间以及任何现场改造中得以保持。在这里，理论上的安全案例与生产线、维修车间和现场操作的现实相遇。

生产阶段的要求侧重于在制造过程中保持 SRP/CS 的安全完整性。关键要求包括：每项安全功能的生产测试；安全相关软件在编程过程中的控制；安全关键组件的可追溯性；以及可能影响安全的生产偏差管理。标准要求生产测试规范来源于安全需求规格说明，确保每台生产的设备都经过每项安全功能的测试。

农业机械制造商的经验表明，与手动测试相比，SRP/CS 功能的自动化生产线末端测试可将现场故障率降低 60-80%。自动测试夹具的投资通常在第一年内通过减少保修索赔和改善品牌声誉即可收回成本。

在运行阶段，ISO 25119-4 要求制造商提供：涵盖所有安全功能的清晰操作说明、警告标签和安全标记、无法通过设计消除的残余风险信息，以及操作员和维护人员的培训材料。标准还要求制造商建立现场监控系统，以收集和分析实际使用中安全相关故障的数据。

现场监控在 ISO 25119-4 下不是可选项。标准要求建立系统化的流程来收集现场数据、分析趋势并在发现安全问题时实施纠正措施。这包括监控维修报告、保修索赔以及向监管机构报告强制性事故。

现场监控系统应追踪：按序列号和批号统计的在役设备数量；按严重程度和安全相关性分类的现场故障报告；包括更换组件和软件更新在内的维修记录；以及故障时的环境条件。当发现安全相关趋势时，标准要求进行正式调查，必要时开展现场改造活动。

ISO 25119-4 的一个特别重要的方面是机器投入使用后对 SRP/CS 改造的管理。改造可能来源于：设计改进、组件过时、软件更新、现场发现的安全问题或法规要求的变更。标准要求在实施任何可能影响安全功能的改造之前，必须通过结构化影响分析进行评估。

结构化的改造过程——影响评估、重新验证规划、实施和回归测试——至关重要。许多制造商设立了专门的安全变更委员会，审查所有对 SRP/CS 的拟议改造，类似于软件工程中的变更控制委员会概念。这确保即使是微小的更改也能得到适当的安全审查。

改造过程必须确定变更是否影响：安全需求规格说明、实现的性能等级、诊断覆盖率、故障响应时间或任何软件安全类别。如果其中任何一项受到影响，必须重新审视开发生命周期的相关部分，可能包括受影响安全功能的全面重新验证。所有改造必须记录在案，安全案例必须更新以反映机器的当前配置。

ISO 25119 评估中发现的最常见的合规失败之一是没有记录的现场改造。维修技术人员可能用替代部件更换安全等级传感器而未更新安全案例，或者软件补丁可能在未经全面回归测试的情况下部署。ISO 25119-4 要求严格的配置管理并记录所有影响安全功能的现场变更。

问：如果同一型号的机器生产多年，需要什么样的生产测试？
答：无论生产成熟度如何，每台机器都需要 100% 测试安全功能。但非安全功能的测试间隔和抽样率可根据历史质量数据放宽。安全功能测试绝不能抽样。

问：在 ISO 25119-4 下如何处理软件更新？
答：软件更新被视为改造。每次更新必须进行安全影响分析。影响安全功能的更新需要与原始开发相同级别的验证和确认。可能通过干扰影响安全功能的非安全更新也必须进行评估。

问：退役机器的记录保存要求是什么？
答：ISO 25119-4 要求在最后一批某型号机器生产后的一段规定时间内保留安全相关记录。典型的保留期根据地区法规要求和机器类型的预期使用寿命不同，范围为 10 到 20 年。