Explication de la norme CEI 61508 : Guide sur la sécurité fonctionnelle et les niveaux d'intégrité de sécurité (SIL)

La norme CEI 61508 est une norme internationale relative à la sécurité fonctionnelle, publiée par la Commission électrotechnique internationale (CEI). Son titre complet est « Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables liés à la sécurité » (souvent abrégé en E/E/PE ou E/E/PES). La norme fournit un cadre systématique pour garantir la sécurité fonctionnelle et la fiabilité des systèmes tout au long de leur cycle de vie.

La norme CEI 61508 sert de norme fondamentale pour de nombreuses normes de sécurité fonctionnelle spécifiques à l'industrie, telles que la CEI 61511 et la CEI 62061. Elle est largement appliquée dans des secteurs tels que l'automatisation industrielle, le contrôle des processus et la fabrication de machines.

1.0 Concepts fondamentaux de la norme CEI 61508

La norme IEC 61508 couvre les aspects clés suivants :

• Sécurité fonctionnelle : La norme souligne que les systèmes ou équipements doivent remplir correctement leurs fonctions de sécurité dans des conditions définies. En cas de défaillance, celle-ci doit survenir de manière prévisible et sûre.
• Cycle de vie de la sécurité : Il introduit une approche globale du cycle de vie, couvrant toutes les phases depuis le concept initial, la conception et le développement, l'exploitation et la maintenance, jusqu'au déclassement, garantissant ainsi une conformité continue aux exigences de sécurité.
• Approche fondée sur les risques : En identifiant les dangers, en évaluant les risques associés et en appliquant des mesures de contrôle appropriées, la norme contribue à réduire les risques à un niveau aussi bas que raisonnablement possible (ALARP).
• Niveau d'intégrité de sécurité (SIL) : Le SIL est une mesure quantitative de la fiabilité des fonctions de sécurité, allant de SIL 1 (le plus bas) à SIL 4 (le plus élevé). Chaque niveau SIL est déterminé selon trois critères principaux :
  • Capacité du système: Fiabilité de la conception matérielle et logicielle
  • Contraintes architecturales: Limitations imposées par l'architecture du système
  • PFDavg / PFH:La probabilité de défaillance dangereuse, soit à la demande (PFDavg) soit par heure (PFH)
    Le niveau SIL final est défini par le niveau le plus bas parmi ces trois critères.

1.1 Structure et portée de la norme CEI 61508

La norme CEI 61508 se compose de huit parties. Les parties 1 à 7 ont été publiées entre 1998 et 2000, et la norme CEI/TR 61508-0 a été ajoutée en 2005. La norme a fait l'objet d'une révision complète à partir de 2002, qui a conduit à la publication de la deuxième édition en avril 2010.

Le titre complet de la norme est « Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables liés à la sécurité (systèmes E/E/PE) », et sa structure comprend :

1. Partie 0: Sécurité fonctionnelle et IEC 61508
2. Partie 1:Exigences générales
3. Partie 2:Exigences relatives aux systèmes E/E/PE relatifs à la sécurité
4. Partie 3: Configuration logicielle requise
5. Partie 4: Définitions et abréviations
6. Partie 5: Exemples de méthodes de détermination des niveaux d'intégrité de sécurité
7. Partie 6: Lignes directrices sur l'application des parties 2 et 3
8. Partie 7: Aperçu des techniques et des mesures

En outre, plusieurs normes spécifiques à l’industrie ont été dérivées de la norme CEI 61508, adaptant ses principes à des domaines particuliers :

• CEI 61511– Pour l’industrie de transformation (par exemple, les usines chimiques et pétrochimiques)
• CEI 62061– Pour la sécurité des machines
• ISO 26262– Pour les systèmes électroniques automobiles
• DO-178C– Pour les systèmes logiciels avioniques

L'exemple montre un système électrique, électronique et électronique programmable typique, généralement appelé système de sécurité E/E/PE.

1.2 Mise en œuvre et conformité

Pour se conformer à la norme IEC 61508, les organisations doivent :

• Comprendre et suivre les processus de validation et de vérification prescrits
• Identifier et atténuer les modes de défaillance critiques
• S'assurer que les systèmes matériels et logiciels fonctionnent dans les limites du niveau SIL applicable
• Gérer la complexité lors de la conception du système pour réduire le risque de défaillance
• Appliquer des stratégies de sécurité appropriées pour les composants utilisés fréquemment ou activés uniquement lors d'événements dangereux

1.3 Applications pratiques de la norme CEI 61508

La norme CEI 61508 est largement utilisée dans les systèmes électriques, électroniques et électroniques programmables critiques pour la sécurité. Parmi les applications courantes, on peut citer :

• Industrie des machines: Presses plieuses, découpeuses laser, machines d'emboutissage, systèmes de sécurité des robots industriels
• Industrie de transformation: Systèmes d'arrêt d'urgence (ESD), soupapes de sécurité, dispositifs de décharge de pression
• Secteur de l'énergie: Relais de protection, dispositifs d'isolement des défauts, disjoncteurs intelligents
• Transport: Systèmes de signalisation ferroviaire, unités de contrôle automatique des trains (ATC), modules de sécurité automobile
• Dispositifs médicaux: Systèmes de survie, modules de surveillance de la sécurité

En suivant la norme IEC 61508, ces systèmes sont conçus avec des principes de sécurité fonctionnelle qui aident à prévenir les accidents et à protéger la vie humaine et l'environnement en cas de défaillance.

1.4 Pourquoi la norme IEC 61508 a-t-elle été élaborée ?

Dans les années 1990, un nombre croissant de fonctions de sécurité ont été mises en œuvre au moyen de systèmes électroniques ou programmables. Ces systèmes présentent souvent une grande complexité, rendant pratiquement impossible l'identification de tous les modes de défaillance possibles ou le test de tous les scénarios opérationnels.

Le principal défi consistait à concevoir des systèmes capables de prévenir les défaillances dangereuses ou de les gérer en toute sécurité si elles se produisaient. Ces défaillances pouvaient provenir :

• Spécifications incorrectes pour les systèmes de contrôle liés à la sécurité
• Définitions incomplètes des exigences de sécurité (par exemple, incapacité à définir les fonctions dans tous les modes de fonctionnement)
• Pannes matérielles aléatoires
• Défauts matériels au niveau du système
• Erreurs de conception de logiciels
• Pannes de cause commune
• erreurs humaines
• Facteurs environnementaux (par exemple, interférences électromagnétiques, températures extrêmes, contraintes mécaniques)

2.0 Qu'est-ce que la norme IEC 61508 et le SIL (Safety Integrity Level) ?

La norme CEI 61508 est une norme de sécurité fonctionnelle reconnue internationalement, applicable aux systèmes électriques, électroniques et électroniques programmables liés à la sécurité. Elle fournit des recommandations de sécurité systématiques pour la conception, le développement, l'exploitation et la maintenance de ces systèmes. L'un de ses éléments clés est la Niveau d'intégrité de sécurité (SIL), une mesure critique de la capacité d'une fonction de sécurité à réduire les risques dans des conditions dangereuses.

2.1 Définition et rôle du SIL

La norme CEI 61508 définit l'intégrité de sécurité comme :

« La probabilité qu'un système lié à la sécurité exécute avec succès la fonction de sécurité requise dans toutes les conditions spécifiées et dans un délai spécifié. »

Les niveaux SIL indiquent le degré de réduction des risques apporté par une fonction de sécurité en cas d'événement dangereux. Il existe quatre niveaux SIL, de SIL 1 à SIL 4, les niveaux supérieurs correspondant à des exigences de sécurité plus strictes et à des processus de développement et de vérification plus complexes.

Niveau SIL	Probabilité de danger	Exigences de développement correspondantes
SIL 1	Probabilité la plus élevée	Exigences minimales
SIL 2	Moyen	Mesures recommandées
SIL 3	Faible	Des mesures strictes
SIL 4	Probabilité la plus faible	Contrôles les plus stricts

2.2 Comment le SIL est déterminé

La norme IEC 61508 fournit des méthodes qualitatives et quantitatives pour déterminer le SIL, notamment les suivantes :

1. Évaluation des dangers et des risques (partie 5)

• Identifier les dangers potentiels
• Évaluer la fréquence et la gravité du risque
• Déterminer le niveau requis de réduction des risques (annexe A)

2. Évaluation de la probabilité de défaillance

Le SIL peut être évalué quantitativement à l’aide de :

• PFDavg (Probabilité moyenne de défaillance dangereuse à la demande)pour les modes à faible demande
• PFH (Probabilité de défaillance dangereuse par heure)pour les modes continus

PFDavg – Mode faible demande :

Niveau SIL	Portée PFDavg
SIL 4	≥ 10⁻⁵ à < 10⁻⁴
SIL 3	≥ 10⁻⁴ à < 10⁻³
SIL 2	≥ 10⁻³ à < 10⁻²
SIL 1	≥ 10⁻² à < 10⁻¹

PFH – Mode continu :

Niveau SIL	Plage PFH [1/h]
SIL 4	≥ 10⁻⁹ à < 10⁻⁸
SIL 3	≥ 10⁻⁸ à < 10⁻⁷
SIL 2	≥ 10⁻⁷ à < 10⁻⁶
SIL 1	≥ 10⁻⁶ à < 10⁻⁵

2.3 Capacité du système et contraintes architecturales

Le système doit répondre à des capacités spécifiques de conception, de test et de vérification (par exemple, FMEDA, SFF).

SFF (fraction de défaillance sûre) = (Défaillances sûres + Défaillances dangereuses détectées) / Défaillances totales

2.4 Comparaison des niveaux d'intégrité de sécurité selon les normes

Bien que le SIL fasse partie du cadre IEC 61508, d’autres normes industrielles définissent des niveaux de sécurité similaires qui ne sont pas directement interchangeables :

Standard	Niveaux de sécurité (faible → élevé)
CEI 61508	SIL 1, SIL 2, SIL 3, SIL 4
ISO 26262	ASIL A, ASIL B, ASIL C, ASIL D
DO-178C	Niveau E, D, C, B, A
CEI 62304	Classe A, B, C
EN 50128	SSIL 0, 1, 2, 3, 4

2.5 SIL et développement de logiciels

La norme CEI 61508, partie 3 (« Exigences logicielles »), spécifie les mesures de développement des logiciels embarqués en fonction du niveau SIL. Les pratiques courantes et leurs niveaux de recommandation incluent :

Technique/Pratique	SIL 1	SIL 2	SIL 3	SIL 4
Utilisation des normes de codage	R	HEURE	HEURE	HEURE
Traçabilité en aval	R	R	HEURE	HEURE
Analyse AMDEC / FMEDA	Facultatif	Recommandé	Fortement recommandé	Obligatoire

Note: HR = Hautement recommandé, R = Recommandé, — = Non recommandé

2.6 Comment évaluer et calculer le SIL ?

Selon la norme IEC 61508, trois critères fondamentaux doivent être pris en compte pour déterminer le SIL approprié :

• Capacité du système– Si la conception répond aux exigences fonctionnelles
• Contraintes architecturales– Si la conception répond aux exigences de redondance et de structure (par exemple, SFF)
• Probabilité de défaillance matérielle aléatoire– Quantifié à l'aide de PFDavg ou PFH

Outils d’évaluation recommandés :

• Analyse des risques (HAZOP)
• Matrice des risques ou matrice de traçabilité des exigences
• Analyse des modes de défaillance et de leurs effets (AMDEC)
• Analyse des modes de défaillance, de leurs effets et du diagnostic (FMEDA)

3.0 Qu'est-ce que la sécurité fonctionnelle

Concepts clés de la sécurité fonctionnelle :
Pour comprendre efficacement la norme CEI 61508 et son application, il est nécessaire de saisir les concepts fondamentaux et les termes de base suivants :

Sécurité fonctionnelle
Définition:
La sécurité fonctionnelle fait partie de la sécurité globale du système et se concentre sur le bon fonctionnement du système lors de la réception d'entrées spécifiées, évitant ainsi les événements dangereux ou réduisant les risques à un niveau acceptable en cas de défaillance.
Objectif:
Contrôler proactivement le système afin qu'il réagisse dès la détection de dangers potentiels, garantissant ainsi la sécurité des personnes, des équipements et de l'environnement. Par exemple :

Un détecteur de fumée déclenchant un système d'arrosage automatique ;

L'équipement de chauffage industriel s'arrête automatiquement en cas de surchauffe.

Niveau d'intégrité de sécurité (SIL)
Le SIL est une mesure quantitative de la performance et de la fiabilité d'une fonction de sécurité, indiquant la capacité du système à exécuter de manière fiable les fonctions de sécurité lorsque cela est nécessaire.
Il existe quatre niveaux SIL (SIL 1 à SIL 4), les niveaux supérieurs indiquant des exigences de sécurité plus strictes et un développement et une vérification de logiciels plus rigoureux.

Niveau SIL	Probabilité moyenne de défaillance dangereuse à la demande (PFDavg) – Mode faible demande	Probabilité de défaillance dangereuse par heure (PFH) – Mode continu
SIL 1	≥ 10⁻² à < 10⁻¹	≥ 10⁻⁶ à < 10⁻⁵
SIL 2	≥ 10⁻³ à < 10⁻²	≥ 10⁻⁷ à < 10⁻⁶
SIL 3	≥ 10⁻⁴ à < 10⁻³	≥ 10⁻⁸ à < 10⁻⁷
SIL 4	≥ 10⁻⁵ à < 10⁻⁴	≥ 10⁻⁹ à < 10⁻⁸

⚠ Note: Les niveaux SIL définis dans la norme IEC 61508 ne doivent pas être confondus avec ceux d'autres normes telles que ISO 26262 ou IEC 61511.

Cycle de vie de la sécurité
La norme IEC 61508 définit un processus structuré pour gérer les problèmes de sécurité fonctionnelle tout au long du cycle de vie du projet, du concept initial à la mise hors service du système.
Le cycle de vie de la sécurité met l'accent sur :

Identification des dangers et évaluation des risques

Définition des exigences de sécurité ;

Mise en œuvre de la conception de sécurité ;

Vérification et validation;

Maintenance et amélioration continue.
Ce processus garantit que le système répond en permanence aux exigences de sécurité tout au long de son cycle de vie.

3.1 Importance de la sécurité fonctionnelle

Pourquoi la sécurité fonctionnelle est-elle essentielle ?
Avec la complexité croissante des systèmes, notamment dans les environnements à haut risque comme l'industrie, les transports et l'énergie, les dangers potentiels augmentent également. L'objectif de la sécurité fonctionnelle est d'identifier et d'atténuer proactivement les risques de défaillance afin de garantir :

• Sécurité du personnel et des usagers ;
• Fonctionnement fiable des équipements ;
• Minimisation des pertes économiques pour les entreprises.

Dans le secteur manufacturier, les systèmes de sécurité fonctionnelle aident les usines à mieux contrôler les équipements, à améliorer l’efficacité et à réduire les temps d’arrêt, améliorant ainsi la productivité globale.

Pourquoi poursuivre une certification ?

• Exigences légales :Certaines industries et régions exigent la certification de la sécurité fonctionnelle par la loi.
• Accès au marché :Les produits sans certification peuvent être interdits sur certains marchés.
• Confiance des clients :Les utilisateurs finaux et les intégrateurs de systèmes exigent souvent une certification tierce indépendante de la part des fournisseurs.
• Conformité des assurances :De nombreux assureurs exigent une certification de sécurité fonctionnelle comme condition de couverture.
  Les normes de certification sont généralement basées sur la norme IEC 61508 ou ses dérivés spécifiques à l’industrie.

3.2 IEC 61508 : la norme fondamentale de sécurité fonctionnelle

La norme CEI 61508 est la « norme mère » en matière de sécurité fonctionnelle, applicable à tous les secteurs d'activité sans normes spécifiques. Elle repose sur une méthodologie d'évaluation des risques et fournit des orientations complètes, de la conception et de la mise en œuvre du système à la vérification.

La norme CEI 61508 couvre les composants des systèmes liés à la sécurité, notamment :

• Capteurs (détection de signaux) ;
• Unités logiques de contrôle (telles que les automates programmables ou les contrôleurs embarqués) ;
• Actionneurs (par exemple, relais, freins, systèmes d’alarme) ;
• Composants logiciels (y compris le micrologiciel et la logique d'application).

La norme définit les exigences SIL basées sur une évaluation quantitative des risques portant sur :

• Pannes du système ;
• Pannes matérielles aléatoires ;
• Logique logicielle ou défaillances systémiques.

3.3 Normes de sécurité fonctionnelle spécifiques à l'industrie (dérivées de la norme CEI 61508)

Industrie	Norme dérivée	Description
Industrie de transformation	CEI 61511	Pour les processus de contrôle continu comme les usines chimiques et pétrochimiques
Machinerie	CEI 62061	Pour les équipements de machines et les systèmes robotiques
Électronique automobile	ISO 26262	Pour les systèmes électroniques/électriques des véhicules routiers
Aérospatial	DO-178C / DO-254	Pour le développement et la vérification de logiciels/matériels d'aviation civile
Dispositifs médicaux	CEI 62304	Couvre la gestion du cycle de vie des logiciels médicaux
Industrie nucléaire	CEI 61513	Pour les systèmes d'instrumentation et de contrôle des centrales nucléaires
Appareils électroménagers/Biens de consommation	CEI 60730	Focus sur la sécurité des dispositifs de contrôle automatique

4.0 Pourquoi la norme IEC 61508 est une norme clé pour l'Industrie 4.0

Avec le développement de l'Industrie 4.0 et l'augmentation de l'automatisation et de la connectivité, la norme CEI 61508 est devenue une norme essentielle pour garantir la sécurité fonctionnelle. Elle est particulièrement importante pour :

• Gestion de la complexité du système:La norme IEC 61508 propose une approche structurée pour gérer les architectures de plus en plus complexes des systèmes de l'Industrie 4.0, y compris le fonctionnement coordonné des capteurs, des actionneurs et des systèmes de contrôle, garantissant que la complexité ne compromet pas la sécurité.
• Atténuation des risques :L'automatisation progresse, entraînant une augmentation des risques de défaillance des systèmes. La norme CEI 61508 fournit des conseils pour l'identification et l'atténuation des risques tout au long du cycle de vie du système, de la conception à la mise hors service, garantissant ainsi une sécurité continue et fiable.
• Assurer l’interopérabilité :L'Industrie 4.0 exige une intégration transparente de systèmes et d'appareils diversifiés. La norme CEI 61508 fournit un cadre de sécurité unifié, garantissant l'interopérabilité de différents fournisseurs et plateformes sans compromettre la sécurité.
• Améliorer la fiabilité des systèmes autonomes :Avec l'adoption généralisée des systèmes industriels contrôlés par logiciel, la fiabilité des logiciels est essentielle. La norme CEI 61508 définit des exigences explicites pour le développement de logiciels critiques pour la sécurité, aidant les entreprises à construire des systèmes intelligents stables et fiables.
• Démontrer la conformité :Le respect de la norme IEC 61508 aide non seulement les entreprises à respecter les normes réglementaires et industrielles, mais démontre également leur engagement en matière de sécurité auprès des marchés et des régulateurs, renforçant ainsi la réputation de la marque et son avantage concurrentiel. Ceci est particulièrement important lors des appels d'offres pour des contrats critiques pour la sécurité ou lors de l'entrée sur des marchés réglementés.

La norme IEC 61508 établit non seulement les bases de la sécurité fonctionnelle dans tous les secteurs, mais fournit également une feuille de route pour la création de systèmes résilients, fiables et certifiables à l'ère de la transformation numérique.

5.0 Ressources recommandées sur « IEC 61508 IEC 61508:2010 PDF »

🔗 Télécharger la norme CEI 61508:2010 au format PDF

🔗 IEC 61508 et sécurité fonctionnelle-2022

6.0 IEC 61508 et SIL – Foire aux questions (FAQ)

 

Références

dra.com/iec-61508/#61508-1

www.tuvsud.com/en-sg/services/functional-safety/iec-61508

www.perforce.com/blog/qac/what-iec-61508-safety-integrity-levels-sils

www.gt-engineering.it/en/insights/functional-safety-300321/iec-61508-all-parts/