IEC 61508-6:2000
(Main)Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (see www.iec.ch/61508)
Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (see <a href="http://www.iec.ch/61508">www.iec.ch/61508</a>)
Contains information and guidelines on IEC 61508-2 and IEC 61508-3.
Sécurité fonctionnelle des systèmes électriques/électroniques/ électroniques programmables relatifs à la sécurité - Partie 6: Lignes directrices pour l'application de la CEI 61508-2 et de la CEI 61508-3 (voir www.iec.ch/61508)
Contient des informations et lignes directrices sur la CEI 61508-2 et la CEI 61508-3.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL IEC
STANDARD
61508-6
First edition
2000-04
Functional safety of electrical/electronic/
programmable electronic safety-related systems –
Part 6:
Guidelines on the application of
IEC 61508-2 and IEC 61508-3
This English-language version is derived from the original
bilingual publication by leaving out all French-language
pages. Missing page numbers correspond to the French-
language pages.
Reference number
Publication numbering
As from 1 January 1997 all IEC publications are issued with a designation in the
60000 series. For example, IEC 34-1 is now referred to as IEC 60034-1.
Consolidated editions
The IEC is now publishing consolidated versions of its publications. For example,
edition numbers 1.0, 1.1 and 1.2 refer, respectively, to the base publication, the base
publication incorporating amendment 1 and the base publication incorporating
amendments 1 and 2.
Further information on IEC publications
The technical content of IEC publications is kept under constant review by the IEC,
thus ensuring that the content reflects current technology. Information relating to this
publication, including its validity, is available in the IEC Catalogue of publications
(see below) in addition to new editions, amendments and corrigenda. Information on
the subjects under consideration and work in progress undertaken by the technical
committee which has prepared this publication, as well as the list of publications
issued, is also available from the following:
• IEC Web Site (www.iec.ch)
• Catalogue of IEC publications
The on-line catalogue on the IEC web site (www.iec.ch/searchpub) enables you to
search by a variety of criteria including text searches, technical committees and
date of publication. On-line information is also available on recently issued
publications, withdrawn and replaced publications, as well as corrigenda.
• IEC Just Published
This summary of recently issued publications (www.iec.ch/online_news/ justpub) is
also available by email. Please contact the Customer Service Centre (see below)
for further information.
• Customer Service Centre
If you have any questions regarding this publication or need further assistance,
please contact the Customer Service Centre:
Email: custserv@iec.ch
Tel: +41 22 919 02 11
Fax: +41 22 919 03 00
INTERNATIONAL IEC
STANDARD
61508-6
First edition
2000-04
Functional safety of electrical/electronic/
programmable electronic safety-related systems –
Part 6:
Guidelines on the application of
IEC 61508-2 and IEC 61508-3
IEC 2000 Copyright - all rights reserved
No part of this publication may be reproduced or utilized in any form or by any means, electronic or mechanical,
including photocopying and microfilm, without permission in writing from the publisher.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
PRICE CODE
XB
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
For price, see current catalogue
61508-6 © IEC:2000 – 3 –
CONTENTS
Page
FOREWORD .11
INTRODUCTION . 15
Clause
1 Scope . 19
2 Normative references. 23
3 Definitions and abbreviations . 23
Annex A (informative) Application of IEC 61508-2 and of IEC 61508-3 . 25
A.1 General. 25
A.2 Functional steps in the application of IEC 61508-2. 29
A.3 Functional steps in the application of IEC 61508-3. 37
Annex B (informative) Example technique for evaluating probabilities of hardware failure . 41
B.1 General. 41
B.2 Average probability of failure on demand (for low demand mode of operation) . 49
B.3 Probability of failure per hour (for high demand or continuous mode
of operation) . 75
B.4 References . 91
Annex C (informative) Calculation of diagnostic coverage and safe failure fraction:
worked example . 93
Annex D (informative) A methodology for quantifying the effect of hardware-related
common cause failures in E/E/PE systems . 101
D.1 General. 101
D.2 Brief overview . 101
D.3 Scope of the methodology. 109
D.4 Points taken into account in the methodology . 109
D.5 Using the β-factor to calculate the probability of failure in an E/E/PE
safety-related system due to common cause failures . 111
D.6 Using the tables to estimate β. 113
D.7 Examples of the use of the methodology. 121
D.8 References . 123
Annex E (informative) Example applications of software safety integrity tables
of IEC 61508-3 . 125
E.1 General. 125
E.2 Example for safety integrity level 2 . 125
E.3 Example for safety integrity level 3 . 135
Bibliography . 145
61508-6 © IEC:2000 – 5 –
Page
Figure 1 – Overall framework of IEC 61508 . 21
Figure A.1 – Application of IEC 61508-2. 33
Figure A.2 – Application of IEC 61508-2 (continued) . 35
Figure A.3 – Application of IEC 61508-3. 39
Figure B.1 – Example configuration for two sensor channels . 45
Figure B.2 – Subsystem structure. 49
Figure B.3 – 1oo1 physical block diagram . 51
Figure B.4 – 1oo1 reliability block diagram . 51
Figure B.5 – 1oo2 physical block diagram . 53
Figure B.6 – 1oo2 reliability block diagram . 55
Figure B.7 – 2oo2 physical block diagram . 55
Figure B.8 – 2oo2 reliability block diagram . 55
Figure B.9 – 1oo2D physical block diagram . 57
Figure B.10 – 1oo2D reliability block diagram. 57
Figure B.11 – 2oo3 physical block diagram . 59
Figure B.12 – 2oo3 reliability block diagram . 59
Figure B.13 – Architecture of an example for low demand mode of operation . 69
Figure B.14 – Architecture of an example for high demand or continuous mode of
operation. 87
Figure D.1 – Relationship of common cause failures to the failures of individual channels. 105
Table B.1 – Terms and their ranges used in this annex (applies to 1oo1, 1oo2, 2oo2,
1oo2D and 2oo3). 47
Table B.2 – Average probability of failure on demand for a proof test interval of six months
and a mean time to restoration of 8 h . 61
Table B.3 – Average probability of failure on demand for a proof-test interval of one year
and mean time to restoration of 8 h . 63
Table B.4 – Average probability of failure on demand for a proof-test interval of two years
and a mean time to restoration of 8 h . 65
Table B.5 – Average probability of failure on demand for a proof-test interval of 10 years
and a mean time to restoration of 8 h . 67
Table B.6 – Average probability of failure on demand for the sensor subsystem in the
example for low demand mode of operation (one year proof-test interval and 8 h MTTR) . 69
Table B.7 – Average probability of failure on demand for the logic subsystem in the
example for low demand mode of operation (one year proof-test interval and 8 h MTTR) . 71
Table B.8 – Average probability of failure on demand for the final element subsystem in
the example for low demand mode of operation (one year proof-test interval and
8 h MTTR). 71
61508-6 © IEC:2000 – 7 –
Page
Table B.9 – Example for a non-perfect proof test. 75
Table B.10 – Probability of failure per hour (in high demand or continuous mode of
operation) for a proof-test interval of one month and a mean time to restoration of 8 h. 79
Table B.11 – Probability of failure per hour (in high demand or continuous mode of
operation) for a proof test interval of three months and a mean time to restoration of 8 h . 81
Table B.12 – Probability of failure per hour (in high demand or continuous mode of
operation) for a proof test interval of six months and a mean time to restoration of 8 h. 83
Table B.13 – Probability of failure per hour (in high demand or continuous mode of
operation) for a proof-test interval of one year and a mean time to restoration of 8 h. 85
Table B.14 – Probability of failure per hour for the sensor subsystem in the example
for high demand or continuous mode of operation (six month proof-test interval and
8 h MTTR). 87
Table B.15 – Probability of failure per hour for the logic subsystem in the example
for high demand or continuous mode of operation (six month proof-test interval and
8 h MTTR). 89
Table B.16 – Probability of failure per hour for the final element subsystem in the example
for high demand or continuous mode of operation (six month proof-test interval
and 8 h MTTR) . 89
Table C.1 – Example calculations for diagnostic coverage and safe failure fraction . 97
Table C.2 – Diagnostic coverage and effectiveness for different subsystems . 99
Table D.1 – Scoring programmable electronics or sensors/final elements. 115
Table D.2 – Value of Z: programmable electronics . 119
Table D.3 – Value of Z: sensors or final elements. 119
Table D.4 – Calculation of β or β . 121
D
Table D.5 – Example values for programmable electronics. 123
Table E.1 – Software safety requirements specification (see 7.2 of IEC 61508-3). 127
Table E.2 – Software design and development: software architecture design (see 7.4.3
of IEC 61508-3). 129
Table E.3 – Software design and development: support tools and programming language
(see 7.4.4 of IEC 61508-3) . 129
Table E.4 – Software design and development: detailed design (see 7.4.5 and 7.4.6
of IEC 61508-3) (this includes software system design, software module design
and coding) . 131
Table E.5 – Software design and development: software module testing and integration
(see 7.4.7 and 7.4.8 of IEC 61508-3). 131
Table E.6 – Programmable electronics integration (hardware and software) (see 7.5
of IEC 61508-3). 131
Table E.7 – Software safety validation (see 7.7 of IEC 61508-3) . 133
Table E.8 – Software modification (see 7.8 of IEC 61508-3) . 133
Table E.9 – Software verification (see 7.9 of part 3) . 133
Table E.10 – Functional safety assessment (see clause 8 of IEC 61508-3) . 135
61508-6 © IEC:2000 – 9 –
Page
Table E.11 – Software safety requirements specification (see 7.2 of IEC 61508-3). 137
Table E.12 – Software design and development: software architecture design (see 7.4.3
of IEC 61508-3). 137
Table E.13 – Software design and development: support tools and programming language
(see 7.4.4 of IEC 61508-3) . 139
Table E.14 – Software design and development: detailed design (see 7.4.5 and 7.4.6
of IEC 61508-3) (this includes software system design, software module design
and coding) . . 139
Table E.15 – Software design and development: software module testing and integration
(see 7.4.7 and 7.4.8 of IEC 61508-3). 141
Table E.16 – Programmable electronics integration (hardware and software) (see 7.5
of IEC 61508-3). . 141
Table E.17 – Software safety validation (see 7.7 of IEC 61508-3). 141
Table E.18 – Modification (see 7.8 of IEC 61508-3). 143
Table E.19 – Software verification (see 7.9 of IEC 61508-3). 143
Table E.20 – Functional safety assessment (see clause 8 of IEC 61508-3) . 143
61508-6 © IEC:2000 – 11 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 6: Guidelines on the application of IEC 61508-2
and IEC 61508-3
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International
Organization for Standardization (ISO) in accordance with conditions determined by agreement between the
two organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical specifications, technical reports or guides and they are accepted by the National
Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
IEC 61508-6 has been prepared by subcommittee 65A: System aspects, of IEC technical
committee 65: Industrial-process measurement and control.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/295/FDIS 65A/304/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
This publication has been drafted in accordance with the ISO/IEC Directives, Part 3.
Annexes A to E are for information only.
IEC 61508 consists of the following parts, under the general title Functional safety of
electrical/electronic/programmable electronic safety-related systems:
– Part 1: General requirements
– Part 2: Requirements for electrical/electronic/programmable electronic safety-related
systems
61508-6 © IEC:2000 – 13 –
– Part 3: Software requirements
– Part 4: Definitions and abbreviations
– Part 5: Examples of methods for the determination of safety integrity levels
– Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
– Part 7: Overview of techniques and measures
The committee has decided that the contents of this publication will remain unchanged until
2005. At this date, the publication will be
• reconfirmed;
• withdrawn;
• replaced by a revised edition, or
• amended.
61508-6 © IEC:2000 – 15 –
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years
to perform safety functions in most application sectors. Computer-based systems (generically
referred to as programmable electronic systems (PESs)) are being used in all application
sectors to perform non-safety functions and, increasingly, to perform safety functions. If
computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make those decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/ electronic/programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and
consistent technical policy be developed for all electrically based safety-related systems. A
major objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which rely on many
technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic,
programmable electronic). Any safety strategy must therefore consider not only all the
elements within an individual system (for example sensors, controlling devices and actuators)
but also all the safety-related systems making up the total combination of safety-related
systems. Therefore, while this International Standard is concerned with electrical/
electronic/programmable electronic (E/E/PE) safety-related systems, it may also provide a
framework within which safety-related systems based on other technologies may be
considered.
It is recognized that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the exact prescription of safety measures is dependent on many factors specific
to the application. This International Standard, by being generic, will enable such a
prescription to be formulated in future application sector international standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector international standards, dealing with safety-related E/E/PESs,
to be developed; the development of application sector international standards, within the
framework of this International Standard, should lead to a high level of consistency (for
example, of underlying principles, terminology, etc.) both within application sectors and
across application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
– uses safety integrity levels for specifying the target level of safety integrity for the safety
functions to be implemented by the E/E/PE safety-related systems;
61508-6 © IEC:2000 – 17 –
– adopts a risk-based approach for the determination of the safety integrity level
requirements;
– sets numerical target failure measures for E/E/PE safety-related systems which are linked
to the safety integrity levels;
– sets a lower limit on the target failure measures, in a dangerous mode of failure, that can
be claimed for a single E/E/PE safety-related system; for E/E/PE safety-related systems
operating in
• a low demand mode of operation, the lower limit is set at an average probability of
–5
failure of 10 to perform its design function on demand,
• a high demand or continuous mode of operation, the lower limit is set at a probability
–9
of a dangerous failure of 10 per hour;
NOTE A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.
– adopts a broad range of principles, techniques and measures to achieve functional safety
for E/E/PE safety-related systems, but does not rely on the concept of fail-safe, which may
be of value when the failure modes are well-defined and the level of complexity is
relatively low – the concept of fail-safe was considered inappropriate because of the full
range of complexity of E/E/PE safety-related systems that are within the scope of the
standard.
61508-6 © IEC:2000 – 19 –
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
1 Scope
1.1 This part of IEC 61508 contains information and guidelines on IEC 61508-2 and
IEC 61508-3.
– Annex A gives a brief overview of the requirements of IEC 61508-2 and IEC 61508-3 and
sets out the functional steps in their application.
– Annex B gives an example technique for calculating the probabilities of hardware failure
and should be read in conjunction with 7.4.3 and annex C of IEC 61508-2 and annex D.
– Annex C gives a worked example of calculating diagnostic coverage and should be read in
conjunction with annex C of IEC 61508-2.
– Annex D gives a methodology for quantifying the effect of hardware-related common
cause failures on the probability of failure.
– Annex E gives worked examples of the application of the software safety integrity tables
specified in annex A of IEC 61508-3 for safety integrity levels 2 and 3.
1.2 IEC 61508-1, IEC 61508-2, IEC 61508-3 and IEC 61508-4 are basic safety publications,
although this status does not apply in the context of low complexity E/E/PE safety-related
systems (see 3.4.4 of IEC 61508-4). As basic safety publications, they are intended for use by
technical committees in the preparation of standards in accordance with the principles
contained in IEC Guide 104 and IEC/ISO Guide 51. IEC 61508 is also intended for use as a
stand-alone standard.
1.3 One of the responsibilities of a technical committee is, wherever applicable, to make use
of basic safety publications in the preparation of its publications. In this context, the
requirements, test methods or test conditions of this basic safety publication do not apply
unless specifically referred to or included in the publications prepared by those technical
committees.
NOTE In the USA and Canada, until the proposed process sector implementation of IEC 61508 (i.e. IEC 61511)
is published as an international standard, existing national process safety standards based on IEC 61508 (i.e.
ANSI/ISA S84.01-1996) can be applied to the process sector instead of IEC 61508.
1.4 Figure 1 shows the overall framework for parts 1 to 7 of this standard and indicates the
role that IEC 61508-6 plays in the achievement of functional safety for E/E/PE safety-related
systems.
61508-6 © IEC:2000 – 21 –
Technical
requirements
PART 1
Development of the overall safety
requirements (concept, scope
definition, hazard and risk analysis)
PART 5
(E/E/PE safety-related systems, other
technology safety-related systems and
Risk based approaches
external risk reduction facilities)
to the development of
7.1 to 7.5
the safety integrity
requirements
PART 1 Other
requirements
Allocation of the safety
requirements to the E/E/PE
safety-related systems
Definitions and
PART 7
7.6
abbreviations
Overview of
techniques
and measures
PART 4
PART 6
Realisation Realisation Guidelines for the
Documentation
phase for phase for application of
E/E/PE safety- safety-related parts 2 and 3 Clause 5 and
related systems software
annex A
PART 1
PART 2 PART 3
Management of
functional safety
Clause 6
PART 1
PART 1
Installation and commissioning
and safety validation of E/E/PE
Functional safety
safety-related systems
assessment
Clause 8
7.13 and 7.14
PART 1
PART 1
Operation and maintenance,
modification and retrofit,
decommissioning or disposal of
E/E/PE safety-related systems
7.15 to 7.17
IEC 318/2000
Figure 1 – Overall framework of IEC 61508
61508-6 © IEC:2000 – 23 –
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61508. For dated references, subsequent
amendments to, or revisions of, any of these publications do not apply. However, parties to
agreements based on this part of IEC 61508 are encouraged to investigate the possibility of
applying the most recent editions of the normative documents indicated below. For undated
references, the latest edition of the normative document referred to applies. Members of ISO
and IEC maintain registers of currently valid International Standards.
IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic
safety-related systems
IEC Guide 104:1997, Guide to the drafting of safety standards and the rôle of committees with
safety pilot functions and safety group functions
IEC/ISO Guide 51:1990, Guidelines for the inclusion of safety aspects in standards
3 Definitions and abbreviations
For the purpose of this standard, the definitions and abbreviations given in IEC 61508-4
apply.
61508-6 © IEC:2000 – 25 –
Annex A
(informative)
Application of IEC 61508-2 and of IEC 61508-3
A.1 General
Machinery, process plant and other equipment may, in the case of malfunction (for example
by failures of electro-mechanical, electronic and/or programmable electronic devices), present
risks to people and the environment from hazardous events such as fires, explosions,
radiation overdoses, machinery traps, etc. Failures can arise from either physical faults in the
device (for example causing random hardware failures), or from systematic faults (for example
human errors made in the specification and design of a system cause systematic failure under
some particular combination of inputs), or from some environmental condition.
IEC 61508-1 provides an overall framework based on a risk approach for the prevention
and/or control of failures in electro-mechanical, electronic, or programmable electronic
devices.
The overall goal is to ensure that plant and equipment can be safely automated. A key
objective of this standard is to prevent
– failures of control systems triggering other events, which in turn could lead to danger (for
example fire, release of toxic materials, repeat stroke of a machine, etc.); and
– undetected failures in protection systems (for example in an emergency shut-down
system), making the systems unavailable when needed for a safety action.
IEC 61508-1 requires that a hazard and risk analysis at the process/machine level is carried
out to determine the amount of risk reduction necessary to meet the risk criteria for the
application. Risk is based on the assessment of both the consequence (or severity) and the
frequency (or probability) of the hazardous event.
IEC 61508-1 further requires that the amount of risk reduction established by the risk analysis
1)
is used to determine if one or more safety-related systems are required and what safety
2)
functions (each with a specified safety integrity ) they are needed for.
IEC 61508-2 and IEC 61508-3 take the safety functions and safety integrity requirements
allocated to any system, designated as a E/E/PE safety-related system, by the application of
IEC 61508-1 and establish requirements for safety lifecycle activities which
– are to be applied during the specification, design and modification of the hardware and
software; and
– focus on means for preventing and/or controlling random hardware and systematic failures
3)
(the E/E/PES and software safety lifecycles ).
––––––––––––
1)
Systems necessary for functional safety and containing one or more electrical (electro-mechanical), electronic
or programmable electronic (E/E/PE) devices are designated as E/E/PE safety-related systems and include all
equipment necessary to carry out the required safety function (see 3.4.1 of IEC 61508-4).
2)
Safety integrity is specified as one of four discrete levels. Safety integrity level 4 is the highest and safety
integrity level 1 the lowest (see 7.6.2.9 of IEC 61508-1).
3)
To enable the requirements of this standard to be clearly structured, a decision was made to order the
requirements using a development process model in which each stage follows in a defined order with little iteration
(sometimes referred to as a waterfall model). However, it is stressed that any lifecycle approach can be used
provided a statement of equivalence is given in the safety plan for the project (see clause 6 of IEC 61508-1).
61508-6 © IEC:2000 – 27 –
IEC 61508-2 and IEC 61508-3 do not give guidance on which level of safety integrity is
appropriate for a given required tolerable risk. This decision depends upon many factors,
including the nature of the application, the extent to which other systems carry out safety
functions and social and economic factors (see IEC 61508-1 and IEC 61508-5).
The requirements of IEC 61508-2 and IEC 61508-3 include
1)
– the application of measures and techniques , which are graded against the safety
2)
integrity level, for the avoidance of systematic failures by preventative methods; and
– the control of systematic failures (including software failures) and random hardware
failures by design features such as fault detection, redundancy and architectural features
(for example diversity).
In IEC 61508-2, assurance that the safety integrity target has been satisfied for dangerous
random hardware failures is based on
– hardware fault tolerance requirements (see tables 2 and 3 of IEC 61508-2); and
– the diagnostic coverage and frequency of proof tests of subsystems and components, by
carrying out a reliability analysis using appropriate data.
In both IEC 61508-2 and IEC 61508-3, assurance that the safety integrity target has been
satisfied for systematic failures is gained by
– the correct application of safety management procedures;
– the use of competent staff;
– the application of the specified safety lifecycle activities, including the specified
3)
techniques and measures ; and
4)
– an independent functional safety assessment .
The overall goal is to ensure that remaining systematic faults, commensurate with the safety
integrity level, do not cause a failure of the E/E/PE safety-related system.
IEC 61508-2 has been developed to provide requirements for achieving safety integrity in the
5)
hardware of the E/E/PE safety-related systems including sensors and final elements.
Techniques and measures against both random hardware failures and systematic hardware
failures are required. These involve an appropriate combination of fault avoidance and failure
control measures as indicated above. Where manual action is needed for functional safety,
requirements are given for the operator interface. Also diagnostic test techniques and
measures, based on software and hardware (for example diversity), to detect random
hardware failures are specified in IEC 61508-2.
––––––––––––
1)
The required techniques and measures for each safety integrity level are shown in the tables in annexes A
and B of IEC 61508-2 and IEC 61508-3.
2)
Systematic failures cannot usually be quantified. Causes include: specification and design faults in hardware
and software; failure to take account of the environment (for example temperature); and operation-related faults
(for example poor interface).
3)
Alternative measures to those specified in the standard are acceptable provided justification is documented
during safety planning (see clause 6 of IEC 61508-1).
4)
Independent assessment does not always imply third party assessment (see clause 8 of IEC 61508-1).
5)
Including fixed built-in software or software equivalents (also called firmware), such as application-specific
integrated circuits.
61508-6 © IEC:2000 – 29 –
IEC 61508-3 has been developed to provide requirements for achieving safety integrity for the
software – both embedded (including diagnostic fault detection services) and application
software. IEC 61508-3 requires a combination of fault avoidance (quality assurance) and fault
tolerance approaches (software architecture), as there is no known way to prove the absence
of faults in reasonably complex safety-related software, especially the absence of
specification and design faults. IEC 61508-3 requires the adoption of such software
engineering principles as: top down design; modularity; verification of each phase of the
development lifecycle; verified software modules and software module libraries; and clear
documentation to facilitate verification and validation. The different levels of software require
different levels of assurance that these and related principles have been correctly applied.
The developer of the software may or may not be separate from the organization developing
the whole E/E/PES. In either case, close cooperation is needed, particularly in developing the
architecture of the programmable electronics where trade-offs between hardware and
software architectures need to be considered for their safety impact (see figure 4 of IEC
61508-2).
A.2 Functional steps in the application of IEC 61508-2
The functional steps in the application of IEC 61508-2 are shown in figures A.1 and A.2. The
functional steps in the application of IEC 61508-3 are shown in figure A.3.
Functional steps for IEC 61508-2 (see figures A.1 and A.2) are as follows.
a) Obtain the allocation of safety requirements (see IEC 61508-1). Update the safety
planning as appropriate during E/E/PES development.
b) Determine the requirements for E/E/PES safety, including the safety integrity requirements, for
each safety function (see 7.2 of IEC 61508-2). Allocate requirements to software and pass to
software supplier and/or developer for the application of IEC 61508-3.
NOTE The possibility of coincident failures in the EUC control system and E/E/PE safety-related system(s)
needs to be considered at this stage (see 7.5.2.4 of IEC 61508-1). These may result from failures of
components having a common cause due to for example similar environmental influences. The existence of
such failures could lead to a higher than expected residual risk unless properly addressed.
c) Start the phase of planning for E/E/PES safety validation (see 7.3 of IEC 61508-2).
d) Specify the architecture (configuration) for the E/E/PES logic subsystem, sensors and final
elements. Review with the software supplier/developer the hardware and software
architecture and the safety implications of the trade-offs between the hardware and
software (see figure 4 of IEC 61508-2). Iterate if required.
e) Develop a model for the hardware architecture for the E/E/PE safety-related system.
Develop this model by examining each safety function separately and determine the
subsystem (component) to be used to carry out this function.
f) Establish the system parameters for each of the subsystems (components) used in the
E/E/PE safety-related system. For each of the subsystems (components), determine the
following:
– the proof-test interval for failures which are not automatically revealed;
– the mean time to restoration;
– the diagnostic coverage (see annex C of IEC 61508-2);
61508-6 © IEC:2000 – 31 –
– the probability of failure; and
– the safe failure fraction (see annex C of IEC 61508-2).
g) Determine the architectural constraints (see tables 2 and 3 of IEC 61508-2).
h) Create a reliability model for each of the safety functions that the E/E/PE safety-related
system is required to carry out.
NOTE A reliability model is a mathematical formula which shows the relationship between reliability and
relevant parameters relating to equipment and conditions of use.
i) Calculate a reliability prediction for each safety function using an appropriate technique.
Compare the result with the target failure measure determined in b) above and the
requirements of tables 2 and 3 of IEC 61508-2 (see 7.4.3.1 of IEC 61508-2). If the
predicted reliability does not meet the target failure measure and/or does not meet the
requirements of tables 2 and 3 of IEC 61508-2, then change
− where possible, one or more of the subsystem parameters (go back to f) above);
and/or
− the hardware architecture (go back to d) above).
NOTE A number of modelling methods are available and the analyst should choose which is the most
appropriate (see 7.4.3.2.2 note 9 of IEC 61508-2 for a list of some methods that could be used).
j) Implement the design of the E/E/PE safety-related system. Select measures and
techniques to control systematic hardware failures, failures caused by environmental
influences and operational failures (see annex A of IEC 61508-2).
k) Integrate the verified software (see IEC 61508-3) onto the target hardware (see 7.5 of
IEC 61508-2 and annex B of IEC 61508-2) and, in parallel, develop the procedures for
users and maintenance staff to follow when operating the system (see 7.6 of IEC 61508-2
and annex B of IEC 61508-2). Include software aspects (see A.3 f)).
l) Together with the software developer (see 7.7 of IEC 61508-3), validate the E/E/PES (see
7.7 of IEC 61508-2 and annex B of IEC 61508-2).
m) Hand over the hardware and results of the E/E/PES safety validation to the system
engineers for further integration into the overall system.
n) If maintenance/modification of the E/E/PES is required during operational life then re-
activate IEC 61508-2 as appropriate (see 7.8 of IEC 61508-2).
A number of activities run across the E/E/PES safety lifecycle. These include verification (see
7.9 of IEC 61508-2) and functional safety assessment (see clause 8 of IEC 61508-1).
In applying the above steps the E/E/PES safety techniques and measures appropriate to the
required safety integrity level are selected. To aid in this selection, tables have been
formulated, ranking the various techniques/measures against the four safety integrity levels
(see annex B of IEC 61508-2). Cross-referenced to the tables is an overview of each
technique and measure with references to further sources of information (see annexes A and
B of IEC 61508-7).
Annex B provides one possible technique for calculating the probabilities of hardware failure
for E/E/PE safety-related systems.
NOTE In applying the above steps, alternative measures to those specified in the standard are acceptable
provided justification is documented during s
...
NORME CEI
INTERNATIONALE
61508-6
Première édition
2000-04
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 6:
Lignes directrices pour l'application
de la CEI 61508-2 et de la CEI 61508-3
Cette version française découle de la publication d’origine
bilingue dont les pages anglaises ont été supprimées.
Les numéros de page manquants sont ceux des pages
supprimées.
Numéro de référence
CEI 61508-6:2000(F)
Numérotation des publications
Depuis le 1er janvier 1997, les publications de la CEI sont numérotées à partir de
60000. Ainsi, la CEI 34-1 devient la CEI 60034-1.
Editions consolidées
Les versions consolidées de certaines publications de la CEI incorporant les
amendements sont disponibles. Par exemple, les numéros d’édition 1.0, 1.1 et 1.2
indiquent respectivement la publication de base, la publication de base incorporant
l’amendement 1, et la publication de base incorporant les amendements 1 et 2
Informations supplémentaires sur les publications de la CEI
Le contenu technique des publications de la CEI est constamment revu par la CEI
afin qu'il reflète l'état actuel de la technique. Des renseignements relatifs à cette
publication, y compris sa validité, sont disponibles dans le Catalogue des
publications de la CEI (voir ci-dessous) en plus des nouvelles éditions, amende-
ments et corrigenda. Des informations sur les sujets à l’étude et l’avancement des
travaux entrepris par le comité d’études qui a élaboré cette publication, ainsi que la
liste des publications parues, sont également disponibles par l’intermédiaire de:
• Site web de la CEI (www.iec.ch)
• Catalogue des publications de la CEI
Le catalogue en ligne sur le site web de la CEI (www.iec.ch/searchpub) vous permet
de faire des recherches en utilisant de nombreux critères, comprenant des
recherches textuelles, par comité d’études ou date de publication. Des informations
en ligne sont également disponibles sur les nouvelles publications, les publications
remplacées ou retirées, ainsi que sur les corrigenda.
• IEC Just Published
Ce résumé des dernières publications parues (www.iec.ch/online_news/justpub)
est aussi disponible par courrier électronique. Veuillez prendre contact avec le
Service client (voir ci-dessous) pour plus d’informations.
• Service clients
Si vous avez des questions au sujet de cette publication ou avez besoin de
renseignements supplémentaires, prenez contact avec le Service clients:
Email: custserv@iec.ch
Tél: +41 22 919 02 11
Fax: +41 22 919 03 00
NORME CEI
INTERNATIONALE
61508-6
Première édition
2000-04
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 6:
Lignes directrices pour l'application
de la CEI 61508-2 et de la CEI 61508-3
IEC 2000 Droits de reproduction réservés
Aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
CODE PRIX
XB
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
Pour prix, voir catalogue en vigueur
– 2 – 61508-6 © CEI:2000
SOMMAIRE
Pages
AVANT-PROPOS . 10
INTRODUCTION . 14
Articles
1 Domaine d'application . 18
2 Références normatives. 22
3 Définitions et abréviations . 22
Annexe A (informative) Application de la CEI 61508-2 et de la CEI 61508-3 . 24
A.1 Généralités . 24
A.2 Etapes fonctionnelles dans l’application de la CEI 61508-2 . 28
A.3 Etapes fonctionnelles pour l’application de la CEI 61508-3. 36
Annexe B (informative) Exemple de technique permettant d'évaluer les probabilités de
défaillance du matériel. 40
B.1 Généralités . 40
B.2 Probabilité moyenne de défaillance sur demande (pour mode de fonctionnement
faible demande) . 48
B.3 Probabilité de défaillance par heure (pour un mode de fonctionnement demande
élevée ou continu). 74
B.4 Références . 90
Annexe C (informative) Calcul de la couverture du diagnostic et de la proportion de
défaillance en sécurité: exemple élaboré. 92
Annexe D (informative) Méthodologie permettant de quantifier l'effet des défaillances de
cause commune du matériel dans des systèmes E/E/PE. 100
D.1 Généralités . 100
D.2 Présentation concise. 100
D.3 Domaine d'application de la méthodologie . 108
D.4 Eléments à prendre en compte dans la méthodologie . 108
D.5 Utilisation du facteur β pour le calcul de probabilité de défaillance due à des
défaillances de cause commune dans un système E/E/PE relatif à la sécurité. 110
D.6 Utilisation des tables pour l'estimation de β . 112
D.7 Exemples de l'utilisation de la méthodologie . 120
D.8 Références . 122
Annexe E (informative) Exemples d'application des tableaux d'intégrité de sécurité
logicielle contenus dans la CEI 61508-3. 124
E.1 Généralités . 124
E.2 Exemple pour le niveau 2 d'intégrité de sécurité . 124
E.3 Exemple pour le niveau 3 d'intégrité de sécurité . 134
Bibliographie . . 144
– 4 – 61508-6 © CEI:2000
Pages
Figure 1 – Structure générale de la CEI 61508 . 20
Figure A.1 – Application de la CEI 61508-2 . 32
Figure A.2 – Application de la CEI 61508-2 (suite) . 34
Figure A.3 – Application de la CEI 61508-3 . 38
Figure B.1 – Exemple de configuration pour deux canaux de capteurs. 44
Figure B.2 – Structure du sous-système. 48
Figure B.3 – Diagramme du bloc physique 1oo1. 50
Figure B.4 – Diagramme de fiabilité 1oo1. 50
Figure B.5 – Diagramme du bloc physique 1oo2. 52
Figure B.6 – Diagramme de fiabilité 1oo2. 54
Figure B.7 – Diagramme du bloc physique 2oo2. 54
Figure B.8 – Diagramme de fiabilité 2oo2. 54
Figure B.9 – Diagramme du bloc physique 1oo2D . 56
Figure B.10 – Diagramme de fiabilité 1oo2D . 56
Figure B.11 – Diagramme du bloc physique 2oo3. 58
Figure B.12 – Diagramme de fiabilité 2oo3. 58
Figure B.13 – Architecture d’un exemple de fonctionnement en mode demande faible. 68
Figure B.14 – Architecture d’un exemple pour un mode de fonctionnement en mode
demande élevée ou continu . 86
Figure D.1 – Relation entre défaillances de cause commune et défaillances
de canaux individuels . 104
Tableau B.1 – Termes et ordre de grandeur des paramètres correspondants utilisés dans
cette annexe (s'applique à 1oo1, 1oo2, 2oo2, 1oo2D et 2oo3) . 46
Tableau B.2 – Probabilité moyenne de défaillance sur demande pour un intervalle entre
tests périodiques de 6 mois et une durée moyenne de rétablissement de 8 h . 60
Tableau B.3 – Probabilité moyenne de défaillance sur demande pour un intervalle entre
tests périodiques de un an et une durée moyenne de rétablissement de 8 h . 62
Tableau B.4 – Probabilité moyenne de défaillance sur demande pour un intervalle entre
tests périodiques de deux ans et une durée moyenne de rétablissement de 8 h. 64
Tableau B.5 – Probabilité moyenne de défaillance sur demande pour un intervalle entre
tests périodiques de dix ans et une durée moyenne de rétablissement de 8 h. 66
Tableau B.6 – Probabilité moyenne de défaillance sur demande pour le sous-système
capteur dans l'exemple de fonctionnement en mode demande faible (intervalle entre tests
périodiques d'un an et MTTR de 8 h) . 68
Tableau B.7 – Probabilité moyenne de défaillance sur demande pour le sous-système
logique de l'exemple de fonctionnement en mode demande faible (intervalle entre tests
périodiques d'un an et MTTR de 8 h) . 70
Tableau B.8 – Probabilité moyenne de défaillance sur demande pour le sous-système
élément final de l'exemple de fonctionnement en mode demande faible (intervalle entre
tests périodiques d'un an et durée MTTR de 8 h) . 70
– 6 – 61508-6 © CEI:2000
Pages
Tableau B.9 – Exemple d'un test périodique imparfait . 74
Tableau B.10 – Probabilité de défaillance par heure (en mode de fonctionnement demande
élevée ou continu) pour un intervalle entre tests périodiques d'un mois et une durée
moyenne de rétablissement de 8 h. 78
Tableau B.11 – Probabilité de défaillance par heure (en mode de fonctionnement demande
élevée ou continu) pour un intervalle entre tests périodiques de trois mois et une durée
moyenne de rétablissement de 8 h. 80
Tableau B.12 – Probabilité de défaillance par heure (en mode de fonctionnement demande
élevée ou continu) pour un intervalle entre tests périodiques de six mois et une durée
moyenne de rétablissement de 8 h. 82
Tableau B.13 – Probabilité de défaillance par heure (en mode de fonctionnement demande
élevée ou continu) pour un intervalle entre tests périodiques d'un an et une durée moyenne
de rétablissement de 8 h. 84
Tableau B.14 – Probabilité de défaillance par heure du sous-système capteur dans
l’exemple de mode de fonctionnement demande élevée ou continu (intervalle entre tests
périodiques de six mois et MTTR de 8 h) . 86
Tableau B.15 – Probabilité de défaillance par heure du sous-système logique dans
l’exemple de mode de fonctionnement demande élevée ou continu (intervalle entre tests
périodiques de six mois et MTTR de 8 h) . 88
Tableau B.16 – Probabilité de défaillance par heure du sous-système élément final dans
l’exemple de mode de fonctionnement demande élevée ou continu (intervalle entre tests
périodiques de six mois et MTTR de 8 h) . 88
Tableau C.1 – Exemples de calcul de la couverture du diagnostic et de la proportion de
défaillances en sécurité .96
Tableau C.2 – Couverture du diagnostic et efficacité pour différents sous-systèmes. 98
Tableau D.1 – Calcul des résultats électroniques programmables ou des
capteurs/éléments terminaux . 114
Tableau D.2 – Valeur de Z: électronique programmable . 118
Tableau D.3 – Valeur de Z: capteurs ou éléments terminaux . 118
Tableau D.4 – Calcul de β ou de β . 120
D
Tableau D.5 – Exemples de valeurs pour l'électronique programmable. 122
Tableau E.1 – Spécification des prescriptions de sécurité (voir 7.2 de la CEI 61508-3) . 126
Tableau E.2 – Conception et réalisation du logiciel: conception de l'architecture du logiciel
(voir 7.4.3 de la CEI 61508-3) . 128
Tableau E.3 – Conception et réalisation du logiciel: outils supports et langages de
programmation (voir 7.4.4 de la CEI 61508-3) . 128
Tableau E.4 – Conception et réalisation du logiciel: conception détaillée (voir 7.4.5 et 7.4.6
de la CEI 61508-3) (cela comprend la conception du système logiciel, la conception des
modules logiciels et le codage) . 130
Tableau E.5 – Conception et réalisation du logiciel: test des modules logiciels et
intégration (voir 7.4.7 et 7.4.8 de la CEI 61508-3) . 130
Tableau E.6 – Intégration de l'électronique programmable (matériel et logiciel) (voir 7.5
de la CEI 61508-3) . 130
Tableau E.7 – Validation de sécurité du logiciel (voir 7.7 de la CEI 61508-3) . 132
Tableau E.8 – Modification du logiciel (voir 7.8 de la CEI 61508-3). 132
Tableau E.9 – Vérification du logiciel (voir 7.9 de la CEI 61508-3) . 132
Tableau E.10 – Evaluation de la sécurité fonctionnelle (voir article 8 de la CEI 61508-3) . 134
– 8 – 61508-6 © CEI:2000
Pages
Tableau E.11 – Spécification des prescriptions de sécurité du logiciel (voir 7.2
de la CEI 61508-3) . 136
Tableau E.12 – Conception et réalisation du logiciel: conception de l'architecture
du logiciel (voir 7.4.3 de la CEI 61508-3). 136
Tableau E.13 – Conception et réalisation du logiciel: outils supports et langages de
programmation (voir 7.4.4 de la CEI 61508-3) . 138
Tableau E.14 – Conception et réalisation du logiciel: conception détaillée (voir 7.4.5
et 7.4.6 de la CEI 61508-3) (cela comprend la conception du système logiciel,
la conception des modules logiciels et le codage) . 138
Tableau E.15 – Conception et réalisation du logiciel: test des modules logiciels
et intégration (voir 7.4.7 et 7.4.8 de la CEI 61508-3) . 140
Tableau E.16 – Intégration de l'électronique programmable (matériel et logiciel) (voir 7.5
de la CEI 61508-3) . 140
Tableau E.17 – Validation de sécurité du logiciel (voir 7.7 de la CEI 61508-3) . 140
Tableau E.18 – Modification du logiciel (voir 7.8 de la CEI 61508-3) . 142
Tableau E.19 – Vérification du logiciel (voir 7.9 de la CEI 61508-3) . 142
Tableau E.20 – Evaluation de la sécurité fonctionnelle (voir article 8 de la CEI 61508-3) . 142
– 10 – 61508-6 © CEI:2000
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
____________
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES
ÉLECTRIQUES/ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES
RELATIFS À LA SÉCURITÉ –
Partie 6: Lignes directrices pour l'application de la CEI 61508-2
et de la CEI 61508-3
AVANT-PROPOS
1) La CEI (Commission Electrotechnique Internationale) est une organisation internationale de normalisation
composée de tous les comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a pour but de
promouvoir la coopération internationale en matière de normalisation dans les domaines de l'électricité et de
l'électronique. A cette fin et en plus d'autres activités, la CEI publie des Normes internationales. Leur
préparation est confiée aux comités d'études; il est permis à tout Comité national intéressé par le sujet traité de
participer à ces travaux préparatoires. Les organisations internationales, gouvernementales et non
gouvernementales qui assurent la liaison avec la CEI participent également à cette préparation. La CEI travaille
en collaboration étroite avec l'Organisation internationale de normalisation (ISO), conformément aux conditions
de l'accord passé entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques, représentent, dans la mesure
du possible un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, spécifications techniques, rapports techniques ou guides et agréés comme tels par les Comités
nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s’engagent à appliquer de
façon transparente, dans toute la mesure du possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n'a fixé aucune procédure concernant le marquage comme indication d'approbation et sa responsabilité
n'est pas engagée quand un matériel est déclaré conforme à l'une de ses normes.
6) L’attention est attirée sur le fait que certains éléments de la présente Norme internationale peuvent faire l'objet
de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 61508-6 a été établie par le sous-comité 65A: Aspects systèmes,
du comité d'études 65 de la CEI: Mesure et commande dans les processus industriels.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
65A/295/FDIS 65A/304/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
Cette publication a été rédigée selon les Directives ISO/CEI, Partie 3.
Les annexes A à E sont données uniquement à titre d’information.
La CEI 61508 est composée des parties suivantes, regroupées sous le titre général Sécurité
fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la
sécurité:
– Partie 1: Prescriptions générales
– Partie 2: Prescriptions pour les systèmes électriques/électroniques/électroniques program-
mables relatifs à la sécurité
– 12 – 61508-6 © CEI:2000
– Partie 3: Prescriptions concernant les logiciels
– Partie 4: Définitions et abréviations
– Partie 5: Exemples de méthodes pour la détermination des niveaux d’intégrité de sécurité
– Partie 6: Lignes directrices pour l’application de la CEI 61508-2 et la CEI 61508-3
– Partie 7: Présentation de techniques et mesures
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant 2005. A cette
date, la publication sera
• reconduite;
• supprimée;
• remplacée par une édition révisée, ou
• amendée.
– 14 – 61508-6 © CEI:2000
INTRODUCTION
Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des
fonctions liées à la sécurité dans la plupart des secteurs d'application. Des systèmes à base
d’informatique (que l’on nommera de façon générique «systèmes électroniques programmables
(PES)» sont utilisés dans tous les secteurs d'application pour exécuter des fonctions non liées
à la sécurité, mais aussi de plus en plus souvent liées à la sécurité. Si l'on veut exploiter
efficacement, et en toute sécurité, la technologie des systèmes informatiques, il est
indispensable de fournir à tous les responsables suffisamment d'éléments liés à la sécurité
pour les guider dans leurs prises de décisions.
La présente Norme internationale présente une approche générique de toutes les activités
liées au cycle de vie de sécurité de systèmes électriques/électroniques/électroniques
programmables (E/E/PES) qui sont utilisés pour réaliser des fonctions de sécurité. Cette
approche unifiée a été adoptée afin de développer une politique technique rationnelle et
cohérente concernant tous les appareils électriques liés à la sécurité. L'un des principaux
objectifs poursuivis consiste à faciliter l'élaboration de normes par secteur d'application.
Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de
protection fondés sur diverses technologies (par exemple mécanique, hydraulique,
pneumatique, électrique, électronique, électronique programmable). En conséquence, il est
nécessaire que toute stratégie de sécurité prenne non seulement en compte tous les éléments
d'un système individuel (par exemple les capteurs, les appareils de commande, les
actionneurs), mais aussi qu’elle considère tous les systèmes relatifs à la sécurité comme des
éléments individuels d’un ensemble complexe. C'est pourquoi la présente Norme
internationale, bien que traitant essentiellement des systèmes E/E/PE relatifs à la sécurité,
fournit néanmoins un cadre de sécurité susceptible de concerner les systèmes relatifs à la
sécurité basés sur d’autres technologies.
Personne n'ignore la grande variété des applications E/E/PES. Celles-ci recouvrent, à des
degrés de complexité très divers, un fort potentiel de danger et de risques dans tous les
secteurs d'application. Pour chaque application, la nature exacte des mesures de sécurité
envisagées dépend de plusieurs facteurs propres à l'application. La présente Norme
internationale, de par son caractère général, rend désormais possible la prescription de ces
mesures dans des normes internationales par secteur d'application.
La présente Norme internationale
– concerne toutes les phases appropriées du cycle de vie de sécurité global des E/E/PES et
du logiciel (depuis la conceptualisation initiale, en passant par la conception, l'installation,
l’exploitation et la maintenance, jusqu'à la mise hors service) lorsque les E/E/PES
exécutent des fonctions de sécurité;
– a été élaborée dans le souci de l'évolution rapide des technologies – le cadre est
suffisamment solide et étendu pour pourvoir aux évolutions futures;
– permet l'élaboration de normes internationales par secteur d'application concernant les
E/E/PES relatifs à la sécurité. L'élaboration de normes internationales par secteur
d'application à partir de la présente Norme internationale devrait permettre d'atteindre un
haut niveau de cohérence (par exemple pour ce qui est des principes sous-jacents, de la
terminologie, etc.) à la fois au sein de chaque secteur d'application, et d'un secteur à
l'autre. La conséquence en est une amélioration en termes de sécurité et de bénéfices
économiques;
– fournit une méthode de développement des prescriptions de sécurité nécessaires pour
réaliser la sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité;
– utilise des niveaux d’intégrité de sécurité afin de spécifier les niveaux cibles d’intégrité de
sécurité des fonctions de sécurité devant être réalisées par les systèmes E/E/PE relatifs à
la sécurité;
– 16 – 61508-6 © CEI:2000
– adopte une approche basée sur le risque encouru pour déterminer les niveaux d’intégrité
de sécurité prescrits;
– fixe des objectifs quantitatifs pour les mesures de défaillances des systèmes E/E/PE
relatifs à la sécurité qui sont en rapport avec les niveaux d’intégrité de sécurité;
– fixe une limite inférieure pour les mesures de défaillances, dans le cas d’un mode de
défaillance dangereux, cette limite pouvant être exigée pour un système E/E/PE relatif à la
sécurité unique; dans le cas d’un système E/E/PE relatif à la sécurité fonctionnant
• dans un mode de faible sollicitation, la limite inférieure est fixée à une probabilité
–5
moyenne de défaillance de 10 afin que les fonctions pour lesquelles le système a été
conçu soient exécutées lorsqu’elles sont requises;
• dans un mode de fonctionnement continu ou de forte sollicitation, la limite inférieure est
–9
fixée à une probabilité de défaillance dangereuse de 10 par heure;
NOTE Un système E/E/PE relatif à la sécurité unique n’implique pas nécessairement une architecture à une
seule voie.
– adopte une large gamme de principes, techniques et mesures pour la réalisation de la
sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité, mais ne dépend pas du
concept de sécurité intrinsèque qui peut être intéressant lorsque les modes de défaillances
sont bien définis et que le niveau de complexité est relativement faible. Le concept de
sécurité intrinsèque a été considéré comme inadéquat en raison de l’immense gamme de
complexité des systèmes E/E/PE relatifs à la sécurité qui entrent dans le domaine
d’application de la présente norme.
– 18 – 61508-6 © CEI:2000
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES
ÉLECTRIQUES/ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES
RELATIFS À LA SÉCURITÉ –
Partie 6: Lignes directrices pour l'application de la CEI 61508-2
et de la CEI 61508-3
1 Domaine d'application
1.1 La présente partie de la CEI 61508 contient des informations et lignes directrices sur la
CEI 61508-2 et la CEI 61508-3.
– L'annexe A présente un bref aperçu des prescriptions de la CEI 61508-2 et la CEI 61508-3
et établit les étapes fonctionnelles de leur application.
– L'annexe B donne une technique servant d'exemple pour le calcul des probabilités de
défaillance du matériel; il convient de la lire conjointement avec le paragraphe 7.4.3 et
l’annexe C de la CEI 61508-2, et l'annexe D.
– L'annexe C donne un exemple élaboré de calcul de la couverture du diagnostic; il convient
de la lire conjointement avec l’annexe C de la CEI 61508-2.
– L'annexe D donne une méthodologie de quantification de l'effet des défaillances de cause
commune relatives au matériel sur la probabilité de défaillance.
– L'annexe E donne des exemples d'application des tableaux d'intégrité de sécurité du
logiciel spécifiés dans l'annexe A de la CEI 61508-3 pour les niveaux 2 et 3 d'intégrité de
sécurité.
1.2 La CEI 61508-1, la CEI 61508-2, la CEI 61508-3 et la CEI 61508-4 sont des publications
fondamentales de sécurité , bien que ce statut ne s’applique pas dans le cas de systèmes
E/E/PE de sécurité de faible complexité (voir 3.4.4 de la CEI 61508-4). En tant que publications
fondamentales de sécurité, elles sont destinées à être utilisées par tous les comités d’études
pour la mise au point de leurs normes, conformément aux principes décrits dans le Guide 104
de la CEI et dans le Guide 51 ISO/CEI. La CEI 61508 est également prévue pour une utilisation
en tant que norme autonome.
1.3 L’une des responsabilités d’un comité d’études est, chaque fois que cela peut s’appliquer,
d’utiliser les publications fondamentales de sécurité pour préparer ses publications. Dans ce
contexte, les prescriptions, les méthodes d’essais ou les conditions d’essais de la présente
publication fondamentale de sécurité ne sont pas applicables, sauf s’il y est spécifiquement fait
référence, ou si elles sont incorporées dans les publications préparées par ces comités
d’études.
NOTE Aux Etats-Unis d'Amérique et au Canada, les normes nationales de sécurité des processus existantes,
basées sur la CEI 61508 (par exemple l’ANSI/ISA S48.01-1996) peuvent être appliquées dans le domaine des
processus, à la place de la CEI 61508, et cela jusqu'à ce que les normes internationales concernant la mise en
oeuvre de la CEI 61508 (soit la CEI 61511) dans le domaine des processus soient publiées.
1.4 La figure 1 montre la structure générale des parties 1 à 7 et indique le rôle que la
présente CEI 61508-6 joue dans la réalisation de la sécurité fonctionnelle pour les systèmes
E/E/PE relatifs à la sécurité.
– 20 – 61508-6 © CEI:2000
Prescriptions
PARTIE 1
techniques
Développement des prescriptions globales de
sécurité (concept, définition du domaine
d’application, analyse de danger et de risque)
(Systèmes E/E/PE relatifs à la sécurité,
PARTIE 5
systèmes relatifs à la sécurité basés sur
d’autres technologies, et dispositifs externes Approches basées sur le
de réduction de risque) risque pour le développement
7.1 à 7.5
des prescriptions d’intégrité
de sécurité
Autres
PARTIE 1
prescriptions
Allocation des prescriptions
de sécurité aux systèmes
E/E/PE relatifs à la sécurité
PARTIE 7
Définitions et
7.6
Présentation des
abréviations
techniques
et mesures
PARTIE 4
PARTIE 6
Lignes directrices pour
Phase de
Phase de Documentation
la mise en œuvre des
réalisation pour
réalisation des
Article 5 et
parties 2 et 3
les systèmes
logiciels relatifs
annexe A
E/E/PE relatifs à
à la sécurité
la sécurité
PARTIE 1
PARTIE 2 PARTIE 3
Gestion de la
sécurité fonctionnelle
Article 6
PARTIE 1
PARTIE 1
Installation, mise en service et
validation de la sécurité des
Evaluation de la
systèmes E/E/PE relatifs à la
sécurité fonctionnelle
sécurité
Article 8
7.13 et 7.14
PARTIE 1
PARTIE 1
Exploitation et maintenance,
modification et remise à niveau,
mise hors service ou au rebut des
systèmes E/E/PE relatifs
à la sécurité
7.15 à 7.17
IEC 318/2000
Figure 1 – Structure générale de la CEI 61508
– 22 – 61508-6 © CEI:2000
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente partie de la CEI 61508.
Pour les références datées, les amendements ultérieurs ou les révisions de ces publications ne
s’appliquent pas. Toutefois, les parties prenantes aux accords fondés sur la présente partie de
la CEI 61508 sont invitées à rechercher la possibilité d'appliquer les éditions les plus récentes
des documents normatifs indiqués ci-après. Pour les références non datées, la dernière édition
du document normatif en référence s’applique. Les membres de la CEI et de l'ISO possèdent
le registre des Normes internationales en vigueur.
CEI 61508 (toutes les parties), Sécurité fonctionnelle des systèmes électriques/électroniques/
électroniques programmables relatifs à la sécurité
Guide CEI 104:1997, Guide pour la rédaction des normes de sécurité et rôle des comités
chargés de fonctions pilotes de sécurité et de fonctions groupées de sécurité
Guide ISO/CEI 51:1990, Principes directeurs pour inclure dans les normes les aspects liés à la
sécurité
3 Définitions et abréviations
Pour les besoins de la présente norme, les définitions et les abréviations données dans la
CEI 61508-4 s’appliquent.
– 24 – 61508-6 © CEI:2000
Annexe A
(informative)
Application de la CEI 61508-2 et de la CEI 61508-3
A.1 Généralités
Les machines, les installations de transformation et autres équipements peuvent, en cas de
dysfonctionnement (par exemple en raison de défaillances de dispositifs électromécaniques,
électroniques et/ou électroniques programmables), présenter des risques pour les individus et
l’environnement résultant d'événements dangereux tels que les incendies, explosions,
surdoses de radiations, emprisonnement, etc. Des défaillances peuvent survenir soit à cause
d'anomalies physiques (provoquant par exemple des défaillances aléatoires du matériel), soit à
cause d'anomalies systématiques (par exemple des erreurs humaines lors de la spécification
et de la conception d'un système entraînant des défaillances systématiques dans certaines
combinaisons des données), soit sous certaines conditions environnementales.
La CEI 61508-1 présente un cadre général fondé sur une approche des risques pour
l’évitement et/ou la maîtrise de défaillances de dispositifs électromécaniques, électroniques ou
électroniques programmables.
Le principal objectif est de s'assurer que les installations et les équipements peuvent être
automatisés en toute sécurité. Un des objectifs clés de la présente norme est la prévention
– de défaillances de systèmes de commande déclenchant d'autres événements, qui
pourraient à leur tour entraîner un danger (par exemple un incendie, des émanations de
matières toxiques, des à-coups répétés d'une machine, etc.); et
– de défaillances non détectées dans les systèmes de protection (par exemple dans un
système d'arrêt d'urgence), rendant ces systèmes inopérants pour une action de sécurité.
La CEI 61508-1 exige l’exécution d'une analyse de danger et de risque au niveau
processus/machine afin de déterminer l'ampleur de la réduction de risque nécessaire pour
remplir les critères de risque de l'application. Le risque est fondé sur l'évaluation à la fois de la
conséquence (ou sévérité) et de la fréquence (ou probabilité) de l'événement dangereux.
La CEI 61508-1 exige de plus que l'ampleur de la réduction des risques évaluée par l'analyse
1)
des risques soit utilisée pour déterminer si un ou plusieurs systèmes relatifs à la sécurité
2)
sont exigés et les fonctions de sécurité (chacune ayant une intégrité de sécurité spécifiée )
pour lesquelles ils sont nécessaires.
Les CEI 61508-2 et 61508-3 traitent des fonctions de sécurité et prescriptions relatives à
l'intégrité de sécurité affectée à tout système, dit système E/E/P/E relatif à sécurité, par
l'application de la CEI 61508-1 et établissent les prescriptions relatives aux activités de cycle
de vie de sécurité qui
– doivent être appliquées lors de la spécification, de la conception et de la modification du
matériel et du logiciel; et
– se concentrent sur les moyens d'évitement et/ou de maîtrise des défaillances aléatoires de
matériel et des défaillances systématiques (les cycles de vie de sécurité des E/E/PES et du
3)
logiciel ).
––––––––––––
1)
Les systèmes nécessaires à la sécurité fonctionnelle et contenant un ou plusieurs dispositifs électriques
(électromécaniques), électroniques ou électroniques programmables (E/E/PE) dit des systèmes E/E/PE relatifs à la
sécurité et comprennent tout le matériel nécessaire pour réaliser la fonction de sécurité requise (voir 3.4.1 de la
CEI 61508-4).
2)
L'intégrité de sécurité est spécifiée comme un parmi quatre niveaux discrets. Le niveau 4 d'intégrité de sécurité
est le plus élevé et le niveau 1 d'intégrité de sécurité est le plus faible (voir 7.6.2.9 de la CEI 61508-1).
3)
Pour permettre une structure claire des prescriptions de la présente norme, il a été décidé d'ordonner les
prescriptions selon un modèle de processus de développement dans lequel les étapes se suivent dans un ordre
défini avec peu d'itération (parfois appelé modèle en cascade). Cependant, il est à noter que toute méthode de
cycle de vie peut être utilisée pourvu qu'une déclaration d'équivalence soit fournie dans le plan de sécurité du
projet (voir l'article 6 de la CEI 61508-1).
– 26 – 61508-6 © CEI:2000
Les CEI 61508-2 et 61508-3 ne donnent pas d'indication sur le niveau d'intégrité de sécurité
adéquat pour un risque tolérable requis donné. Cette décision dépend de nombreux facteurs, y
compris la nature de l'application, de la mesure dans laquelle d'autres systèmes réalisent
les fonctions de sécurité, ainsi que de facteurs sociaux et économiques (voir les CEI 61508-1
et 61508-5).
Les prescriptions de la CEI 61508-2 et de la CEI 61508-3 comprennent
1)
– l'application de mesures et techniques , classées en fonction du niveau d'intégrité de
2)
sécurité, afin d’éviter des défaillances systématiques par des méthodes de prévention; et
– la maîtrise de défaillances systématiques (y compris des défaillances du logiciel) et de
défaillances aléatoires du matériel par des caractéristiques de conception telles que la
détection d'anomalies, la redondance des caractéristiques architecturales (par exemple la
diversité).
Dans la CEI 61508-2, l’assurance que l'objectif d'intégrité de sécurité a été atteint pour des
défaillances aléatoires dangereuses du matériel se fonde sur
– des prescriptions de tolérance aux anomalies de matériel (voir tableaux 2 et 3 de la
CEI 61508-2); et
– la couverture du diagnostic et la fréquence des tests périodiques de sous-systèmes et de
composants, en effectuant une analyse de fiabilité utilisant des données appropriées.
Dans la CEI 61508-2 et la CEI 61508-3, l’assurance que l'objectif d'intégrité de sécurité a été
atteint pour des défaillances systématiques est obtenue par
– l'application correcte des procédures de gestion de la sécurité;
– l'utilisation de personnel compétent;
– l'application des activités spécifiées du cycle de vie de sécurité, y compris les techniques et
3)
mesures spécifiées ; et
4)
– une évaluation indépendante de la sécurité fonctionnelle .
Le principal objectif est de s'assurer que les anomalies systématiques résiduelles n’entraînent
pas, compte tenu du niveau d'intégrité de sécurité, une défaillance du système E/E/PE relatif à
la sécurité.
La CEI 61508-2 a été élaborée afin de fournir des prescriptions permettant de réaliser une
5)
intégrité de sécurité du matériel des systèmes E/E/PE relatifs à la sécurité, y compris les
capteurs et éléments finaux. Des techniques et mesures sont prescrites à la fois contre les
défaillances aléatoires du matériel et contre les défaillances systématiques du matériel. Cela
implique une combinaison appropriée de mesures d’évitement des anomalies et de maîtrise
des défaillances comme indiqué ci-dessus. Lorsqu'une action manuelle est nécessaire pour la
sécurité fonctionnelle, des prescriptions sont fournies pour l'interface opérateur. Des
techniques et mesures de test de diagnostic sont également spécifiées dans la CEI 61508-2;
elles se fondent sur le logiciel et le matériel (par exemple la diversité) pour la détection de
défaillances aléatoires du matériel.
––––––––––––
1)
Les techniques et mesures requises pour chaque niveau d'intégrité de sécurité sont données dans les tableaux
des annexes A et B de la CEI 61508-2 et la CEI 61508-3.
2)
En général, les défaillances systématiques ne peuvent pas être quantifiées. Les causes comprennent: les
anomalies de spécification et de conception du matériel et du logiciel; les défaillances dues à l'environnement (par
exemple la température); des défaillances liées au fonctionnement (par exemple une interface médiocre).
3)
Des mesures alternatives à celles spécifiées dans la présente norme sont acceptables à condition qu’elles
soient justifiées par écrit lors de la planification de la sécurité (voir l'article 6 de la CEI 61508-1).
4)
Une évaluation indépendante n'implique pas forcément une évaluation par une tierce partie (voir l'article 8 de la
CEI 61508-1).
5)
Y compris les logiciels fixes intégrés ou logiciels équivalents (également appelés microprogrammes), tels que
les circuits intégrés spécifiques à l’application (ASIC).
– 28 – 61508-6 © CEI:2000
La CEI 61508-3 a été élaborée afin de fournir des prescriptions permettant de réaliser
l’intégrité de sécurité pour les logiciels, tant pour les logiciels systèmes (y compris les moyens
de détection d'anomalies par diagnostic) que pour les logiciels applicatifs. La CEI 61508-3
exige une combinaison d'approches: évitement des anomalies (assurance de qualité) et
tolérance aux anomalies (architecture du logiciel), car il n’existe aucun moyen connu
permettant de prouver l'absence d'anomalies dans un logiciel relatif à la sécurité
raisonnablement complexe, particulièrement l'absence d'anomalies de spécification de
conception. La CEI 61508-3 prescrit l'adoption de principes d'ingénierie de logiciel tels que:
conception hiérarchisée; modularité; vérification de chaque phase du cycle de vie de
développement; modules logiciels et bibliothèques de modules logiciels vérifiés; documents
clairs pour faciliter la vérification et la validation. Les différents niveaux de logiciel exigent
différents niveaux garantissant l’application correcte de ces principes et des principes qui leur
sont liés.
Le développeur du logiciel peut être indépendant ou non de l’organisation qui développe
l’ensemble E/E/PES. Dans tous les cas, une coopération étroite est nécessaire,
particulièrement pour ce qui concerne le développement de l'architecture des systèmes
électroniques programmables où des compromis entre les architectures du matériel et du
logiciel doivent être pris en compte en termes d’impact sur la sécurité (voir figure 4 de la
CEI 61508-2).
A.2 Etapes fonctionnelles dans l’application de la CEI 61508-2
Les étapes fonctionnelles pour l'application de la CEI 61508-2 sont illustrées par les figures
A.1 et A.2. Les étapes fonction
...
IEC 61508-6
Edition 1.0 2000-04
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 6: Lignes directrices pour l'application de la CEI 61508-2 et de
la CEI 61508-3
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by
any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either IEC or
IEC's member National Committee in the country of the requester.
If you have any questions about IEC copyright or have an enquiry about obtaining additional rights to this publication,
please contact the address below or your local IEC member National Committee for further information.
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite
ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie
et les microfilms, sans l'accord écrit de la CEI ou du Comité national de la CEI du pays du demandeur.
Si vous avez des questions sur le copyright de la CEI ou si vous désirez obtenir des droits supplémentaires sur cette
publication, utilisez les coordonnées ci-après ou contactez le Comité national de la CEI de votre pays de résidence.
IEC Central Office
3, rue de Varembé
CH-1211 Geneva 20
Switzerland
Email: inmail@iec.ch
Web: www.iec.ch
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.
About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigenda or an amendment might have been published.
ƒ Catalogue of IEC publications: www.iec.ch/searchpub
The IEC on-line Catalogue enables you to search by a variety of criteria (reference number, text, technical committee,…).
It also gives information on projects, withdrawn and replaced publications.
ƒ IEC Just Published: www.iec.ch/online_news/justpub
Stay up to date on all new IEC publications. Just Published details twice a month all new publications released. Available
on-line and also by email.
ƒ Electropedia: www.electropedia.org
The world's leading online dictionary of electronic and electrical terms containing more than 20 000 terms and definitions
in English and French, with equivalent terms in additional languages. Also known as the International Electrotechnical
Vocabulary online.
ƒ Customer Service Centre: www.iec.ch/webstore/custserv
If you wish to give us your feedback on this publication or need further assistance, please visit the Customer Service
Centre FAQ or contact us:
Email: csc@iec.ch
Tel.: +41 22 919 02 11
Fax: +41 22 919 03 00
A propos de la CEI
La Commission Electrotechnique Internationale (CEI) est la première organisation mondiale qui élabore et publie des
normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.
A propos des publications CEI
Le contenu technique des publications de la CEI est constamment revu. Veuillez vous assurer que vous possédez
l’édition la plus récente, un corrigendum ou amendement peut avoir été publié.
ƒ Catalogue des publications de la CEI: www.iec.ch/searchpub/cur_fut-f.htm
Le Catalogue en-ligne de la CEI vous permet d’effectuer des recherches en utilisant différents critères (numéro de référence,
texte, comité d’études,…). Il donne aussi des informations sur les projets et les publications retirées ou remplacées.
ƒ Just Published CEI: www.iec.ch/online_news/justpub
Restez informé sur les nouvelles publications de la CEI. Just Published détaille deux fois par mois les nouvelles
publications parues. Disponible en-ligne et aussi par email.
ƒ Electropedia: www.electropedia.org
Le premier dictionnaire en ligne au monde de termes électroniques et électriques. Il contient plus de 20 000 termes et
définitions en anglais et en français, ainsi que les termes équivalents dans les langues additionnelles. Egalement appelé
Vocabulaire Electrotechnique International en ligne.
ƒ Service Clients: www.iec.ch/webstore/custserv/custserv_entry-f.htm
Si vous désirez nous donner des commentaires sur cette publication ou si vous avez des questions, visitez le FAQ du
Service clients ou contactez-nous:
Email: csc@iec.ch
Tél.: +41 22 919 02 11
Fax: +41 22 919 03 00
IEC 61508-6
Edition 1.0 2000-04
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 6: Lignes directrices pour l'application de la CEI 61508-2 et de
la CEI 61508-3
INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
COMMISSION
ELECTROTECHNIQUE
PRICE CODE
INTERNATIONALE
XB
CODE PRIX
ICS 25.040.40 ISBN 2-8318-5211-0
61508-6 © IEC:2000 – 3 –
– 2 – 61508-6 © IEC:2000
CONTENTS
Page
FOREWORD . . 6
INTRODUCTION . .8
Clause
1 Scope . 10
2 Normative references. 12
3 Definitions and abbreviations . 12
Annex A (informative) Application of IEC 61508-2 and of IEC 61508-3 . 13
A.1 General. 13
A.2 Functional steps in the application of IEC 61508-2. 15
A.3 Functional steps in the application of IEC 61508-3. 19
Annex B (informative) Example technique for evaluating probabilities of hardware failure . 2 1
B.1 General. 2 1
B.2 Average probability of failure on demand (for low demand mode of operation) . 25
B.3 Probability of failure per hour (for high demand or continuous mode
of operation) . 38
B.4 References . 46
Annex C (informative) Calculation of diagnostic coverage and safe failure fraction:
worked example . 47
Annex D (informative) A methodology for quantifying the effect of hardware-related
common cause failures in E/E/PE systems . . 5 1
D.1 General. . 5 1
D.2 Brief overview . . 5 1
D.3 Scope of the methodology. . 55
D.4 Points taken into account in the methodology . . 55
D.5 Using the β-factor to calculate the probability of failure in an E/E/PE
safety-related system due to common cause failures . . 56
D.6 Using the tables to estimate β. . 57
D.7 Examples of the use of the methodology. . 6 1
D.8 References . . 62
Annex E (informative) Example applications of software safety integrity tables
of IEC 61508-3 . . 63
E.1 General. . 63
E.2 Example for safety integrity level 2 . . 63
E.3 Example for safety integrity level 3 . . 68
Bibliography . . 73
61508-6 © IEC:2000 – 5 –
61508-6 © IEC:2000 – 3 –
Page
Figure 1 – Overall framework of IEC 61508 .11
Figure A.1 – Application of IEC 61508-2.17
Figure A.2 – Application of IEC 61508-2 (continued) .18
Figure A.3 – Application of IEC 61508-3.20
Figure B.1 – Example configuration for two sensor channels .23
Figure B.2 – Subsystem structure.25
Figure B.3 – 1oo1 physical block diagram .26
Figure B.4 – 1oo1 reliability block diagram .26
Figure B.5 – 1oo2 physical block diagram .27
Figure B.6 – 1oo2 reliability block diagram .28
Figure B.7 – 2oo2 physical block diagram .28
Figure B.8 – 2oo2 reliability block diagram .28
Figure B.9 – 1oo2D physical block diagram .29
Figure B.10 – 1oo2D reliability block diagram. 29
Figure B.11 – 2oo3 physical block diagram . 30
Figure B.12 – 2oo3 reliability block diagram .30
Figure B.13 – Architecture of an example for low demand mode of operation .35
Figure B.14 – Architecture of an example for high demand or continuous mode of
operation.44
Figure D.1 – Relationship of common cause failures to the failures of individual channels.53
Table B.1 – Terms and their ranges used in this annex (applies to 1oo1, 1oo2, 2oo2,
1oo2D and 2oo3).24
Table B.2 – Average probability of failure on demand for a proof test interval of six months
and a mean time to restoration of 8 h .3 1
Table B.3 – Average probability of failure on demand for a proof-test interval of one year
and mean time to restoration of 8 h .32
Table B.4 – Average probability of failure on demand for a proof-test interval of two years
and a mean time to restoration of 8 h .33
Table B.5 – Average probability of failure on demand for a proof-test interval of 10 years
and a mean time to restoration of 8 h .34
Table B.6 – Average probability of failure on demand for the sensor subsystem in the
example for low demand mode of operation (one year proof-test interval and 8 h MTTR) .35
Table B.7 – Average probability of failure on demand for the logic subsystem in the
example for low demand mode of operation (one year proof-test interval and 8 h MTTR) .36
Table B.8 – Average probability of failure on demand for the final element subsystem in
the example for low demand mode of operation (one year proof-test interval and
8 h MTTR).36
61508-6 © IEC:2000 – 7 –
– 4 – 61508-6 © IEC:2000
Page
Table B.9 – Example for a non-perfect proof test.38
Table B.10 – Probability of failure per hour (in high demand or continuous mode of
operation) for a proof-test interval of one month and a mean time to restoration of 8 h.40
Table B.11 – Probability of failure per hour (in high demand or continuous mode of
operation) for a proof test interval of three months and a mean time to restoration of 8 h . 41
Table B.12 – Probability of failure per hour (in high demand or continuous mode of
operation) for a proof test interval of six months and a mean time to restoration of 8 h.42
Table B.13 – Probability of failure per hour (in high demand or continuous mode of
operation) for a proof-test interval of one year and a mean time to restoration of 8 h.43
Table B.14 – Probability of failure per hour for the sensor subsystem in the example
for high demand or continuous mode of operation (six month proof-test interval and
8 h MTTR).44
Table B.15 – Probability of failure per hour for the logic subsystem in the example
for high demand or continuous mode of operation (six month proof-test interval and
8 h MTTR).45
Table B.16 – Probability of failure per hour for the final element subsystem in the example
for high demand or continuous mode of operation (six month proof-test interval
and 8 h MTTR) .45
Table C.1 – Example calculations for diagnostic coverage and safe failure fraction .49
Table C.2 – Diagnostic coverage and effectiveness for different subsystems .50
Table D.1 – Scoring programmable electronics or sensors/final elements.58
Table D.2 – Value of Z: programmable electronics .60
Table D.3 – Value of Z: sensors or final elements. .60
Table D.4 – Calculation of β or β . .61
D
Table D.5 – Example values for programmable electronics.62
Table E.1 – Software safety requirements specification (see 7.2 of IEC 61508-3).64
Table E.2 – Software design and development: software architecture design (see 7.4.3
of IEC 61508-3).65
Table E.3 – Software design and development: support tools and programming language
(see 7.4.4 of IEC 61508-3) .65
Table E.4 – Software design and development: detailed design (see 7.4.5 and 7.4.6
of IEC 61508-3) (this includes software system design, software module design
and coding) .66
Table E.5 – Software design and development: software module testing and integration
(see 7.4.7 and 7.4.8 of IEC 61508-3).66
Table E.6 – Programmable electronics integration (hardware and software) (see 7.5
of IEC 61508-3).66
Table E.7 – Software safety validation (see 7.7 of IEC 61508-3) .67
Table E.8 – Software modification (see 7.8 of IEC 61508-3) .67
Table E.9 – Software verification (see 7.9 of part 3) .67
Table E.10 – Functional safety assessment (see clause 8 of IEC 61508-3) .68
61508-6 © IEC:2000 – 9 –
61508-6 © IEC:2000 – 5 –
Page
Table E.11 – Software safety requirements specification (see 7.2 of IEC 61508-3).69
Table E.12 – Software design and development: software architecture design (see 7.4.3
of IEC 61508-3).69
Table E.13 – Software design and development: support tools and programming language
(see 7.4.4 of IEC 61508-3) .70
Table E.14 – Software design and development: detailed design (see 7.4.5 and 7.4.6
of IEC 61508-3) (this includes software system design, software module design
and coding) . .70
Table E.15 – Software design and development: software module testing and integration
(see 7.4.7 and 7.4.8 of IEC 61508-3).7 1
Table E.16 – Programmable electronics integration (hardware and software) (see 7.5
of IEC 61508-3). .7 1
Table E.17 – Software safety validation (see 7.7 of IEC 61508-3).7 1
Table E.18 – Modification (see 7.8 of IEC 61508-3).72
Table E.19 – Software verification (see 7.9 of IEC 61508-3).72
Table E.20 – Functional safety assessment (see clause 8 of IEC 61508-3) .72
61508-6 © IEC:2000 – 11 –
– 6 – 61508-6 © IEC:2000
INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 6: Guidelines on the application of IEC 61508-2
and IEC 61508-3
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International
Organization for Standardization (ISO) in accordance with conditions determined by agreement between the
two organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical specifications, technical reports or guides and they are accepted by the National
Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
IEC 61508-6 has been prepared by subcommittee 65A: System aspects, of IEC technical
committee 65: Industrial-process measurement and control.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/295/FDIS 65A/304/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
This publication has been drafted in accordance with the ISO/IEC Directives, Part 3.
Annexes A to E are for information only.
IEC 61508 consists of the following parts, under the general title Functional safety of
electrical/electronic/programmable electronic safety-related systems:
– Part 1: General requirements
– Part 2: Requirements for electrical/electronic/programmable electronic safety-related
systems
61508-6 © IEC:2000 – 13 –
61508-6 © IEC:2000 – 7 –
– Part 3: Software requirements
– Part 4: Definitions and abbreviations
– Part 5: Examples of methods for the determination of safety integrity levels
– Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
– Part 7: Overview of techniques and measures
The committee has decided that the contents of this publication will remain unchanged until
2005. At this date, the publication will be
• reconfirmed;
• withdrawn;
• replaced by a revised edition, or
• amended.
61508-6 © IEC:2000 – 15 –
– 8 – 61508-6 © IEC:2000
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years
to perform safety functions in most application sectors. Computer-based systems (generically
referred to as programmable electronic systems (PESs)) are being used in all application
sectors to perform non-safety functions and, increasingly, to perform safety functions. If
computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make those decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/ electronic/programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and
consistent technical policy be developed for all electrically based safety-related systems. A
major objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which rely on many
technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic,
programmable electronic). Any safety strategy must therefore consider not only all the
elements within an individual system (for example sensors, controlling devices and actuators)
but also all the safety-related systems making up the total combination of safety-related
systems. Therefore, while this International Standard is concerned with electrical/
electronic/programmable electronic (E/E/PE) safety-related systems, it may also provide a
framework within which safety-related systems based on other technologies may be
considered.
It is recognized that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the exact prescription of safety measures is dependent on many factors specific
to the application. This International Standard, by being generic, will enable such a
prescription to be formulated in future application sector international standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector international standards, dealing with safety-related E/E/PESs,
to be developed; the development of application sector international standards, within the
framework of this International Standard, should lead to a high level of consistency (for
example, of underlying principles, terminology, etc.) both within application sectors and
across application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
– uses safety integrity levels for specifying the target level of safety integrity for the safety
functions to be implemented by the E/E/PE safety-related systems;
61508-6 © IEC:2000 – 17 –
61508-6 © IEC:2000 – 9 –
– adopts a risk-based approach for the determination of the safety integrity level
requirements;
– sets numerical target failure measures for E/E/PE safety-related systems which are linked
to the safety integrity levels;
– sets a lower limit on the target failure measures, in a dangerous mode of failure, that can
be claimed for a single E/E/PE safety-related system; for E/E/PE safety-related systems
operating in
• a low demand mode of operation, the lower limit is set at an average probability of
–5
failure of 10 to perform its design function on demand,
• a high demand or continuous mode of operation, the lower limit is set at a probability
–9
of a dangerous failure of 10 per hour;
NOTE A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.
– adopts a broad range of principles, techniques and measures to achieve functional safety
for E/E/PE safety-related systems, but does not rely on the concept of fail-safe, which may
be of value when the failure modes are well-defined and the level of complexity is
relatively low – the concept of fail-safe was considered inappropriate because of the full
range of complexity of E/E/PE safety-related systems that are within the scope of the
standard.
61508-6 © IEC:2000 – 19 –
– 10 – 61508-6 © IEC:2000
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
1 Scope
1.1 This part of IEC 61508 contains information and guidelines on IEC 61508-2 and
IEC 61508-3.
– Annex A gives a brief overview of the requirements of IEC 61508-2 and IEC 61508-3 and
sets out the functional steps in their application.
– Annex B gives an example technique for calculating the probabilities of hardware failure
and should be read in conjunction with 7.4.3 and annex C of IEC 61508-2 and annex D.
– Annex C gives a worked example of calculating diagnostic coverage and should be read in
conjunction with annex C of IEC 61508-2.
– Annex D gives a methodology for quantifying the effect of hardware-related common
cause failures on the probability of failure.
– Annex E gives worked examples of the application of the software safety integrity tables
specified in annex A of IEC 61508-3 for safety integrity levels 2 and 3.
1.2 IEC 61508-1, IEC 61508-2, IEC 61508-3 and IEC 61508-4 are basic safety publications,
although this status does not apply in the context of low complexity E/E/PE safety-related
systems (see 3.4.4 of IEC 61508-4). As basic safety publications, they are intended for use by
technical committees in the preparation of standards in accordance with the principles
contained in IEC Guide 104 and IEC/ISO Guide 51. IEC 61508 is also intended for use as a
stand-alone standard.
1.3 One of the responsibilities of a technical committee is, wherever applicable, to make use
of basic safety publications in the preparation of its publications. In this context, the
requirements, test methods or test conditions of this basic safety publication do not apply
unless specifically referred to or included in the publications prepared by those technical
committees.
NOTE In the USA and Canada, until the proposed process sector implementation of IEC 61508 (i.e. IEC 61511)
is published as an international standard, existing national process safety standards based on IEC 61508 (i.e.
ANSI/ISA S84.01-1996) can be applied to the process sector instead of IEC 61508.
1.4 Figure 1 shows the overall framework for parts 1 to 7 of this standard and indicates the
role that IEC 61508-6 plays in the achievement of functional safety for E/E/PE safety-related
systems.
61508-6 © IEC:2000 – 21 –
61508-6 © IEC:2000 – 11 –
Technical
requirements
PART 1
Development of the overall safety
requirements (concept, scope
definition, hazard and risk analysis)
PART 5
(E/E/PE safety-related systems, other
technology safety-related systems and
Risk based approaches
external risk reduction facilities)
to the development of
7.1 to 7.5
the safety integrity
requirements
PART 1 Other
requirements
Allocation of the safety
requirements to the E/E/PE
safety-related systems
Definitions and
PART 7
7.6
abbreviations
Overview of
techniques
and measures
PART 4
PART 6
Realisation Realisation Guidelines for the
Documentation
phase for phase for application of
E/E/PE safety- safety-related parts 2 and 3 Clause 5 and
related systems software
annex A
PART 1
PART 2 PART 3
Management of
functional safety
Clause 6
PART 1
PART 1
Installation and commissioning
and safety validation of E/E/PE
Functional safety
safety-related systems
assessment
Clause 8
7.13 and 7.14
PART 1
PART 1
Operation and maintenance,
modification and retrofit,
decommissioning or disposal of
E/E/PE safety-related systems
7.15 to 7.17
IEC 318/2000
Figure 1 – Overall framework of IEC 61508
61508-6 © IEC:2000 – 23 –
– 12 – 61508-6 © IEC:2000
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61508. For dated references, subsequent
amendments to, or revisions of, any of these publications do not apply. However, parties to
agreements based on this part of IEC 61508 are encouraged to investigate the possibility of
applying the most recent editions of the normative documents indicated below. For undated
references, the latest edition of the normative document referred to applies. Members of ISO
and IEC maintain registers of currently valid International Standards.
IEC 61508 (all parts), Functional safety of electrical/electronic/programmable electronic
safety-related systems
IEC Guide 104:1997, Guide to the drafting of safety standards and the rôle of committees with
safety pilot functions and safety group functions
IEC/ISO Guide 51:1990, Guidelines for the inclusion of safety aspects in standards
3 Definitions and abbreviations
For the purpose of this standard, the definitions and abbreviations given in IEC 61508-4
apply.
61508-6 © IEC:2000 – 25 –
61508-6 © IEC:2000 – 13 –
Annex A
(informative)
Application of IEC 61508-2 and of IEC 61508-3
A.1 General
Machinery, process plant and other equipment may, in the case of malfunction (for example
by failures of electro-mechanical, electronic and/or programmable electronic devices), present
risks to people and the environment from hazardous events such as fires, explosions,
radiation overdoses, machinery traps, etc. Failures can arise from either physical faults in the
device (for example causing random hardware failures), or from systematic faults (for example
human errors made in the specification and design of a system cause systematic failure under
some particular combination of inputs), or from some environmental condition.
IEC 61508-1 provides an overall framework based on a risk approach for the prevention
and/or control of failures in electro-mechanical, electronic, or programmable electronic
devices.
The overall goal is to ensure that plant and equipment can be safely automated. A key
objective of this standard is to prevent
– failures of control systems triggering other events, which in turn could lead to danger (for
example fire, release of toxic materials, repeat stroke of a machine, etc.); and
– undetected failures in protection systems (for example in an emergency shut-down
system), making the systems unavailable when needed for a safety action.
IEC 61508-1 requires that a hazard and risk analysis at the process/machine level is carried
out to determine the amount of risk reduction necessary to meet the risk criteria for the
application. Risk is based on the assessment of both the consequence (or severity) and the
frequency (or probability) of the hazardous event.
IEC 61508-1 further requires that the amount of risk reduction established by the risk analysis
1)
is used to determine if one or more safety-related systems are required and what safety
2)
functions (each with a specified safety integrity ) they are needed for.
IEC 61508-2 and IEC 61508-3 take the safety functions and safety integrity requirements
allocated to any system, designated as a E/E/PE safety-related system, by the application of
IEC 61508-1 and establish requirements for safety lifecycle activities which
– are to be applied during the specification, design and modification of the hardware and
software; and
– focus on means for preventing and/or controlling random hardware and systematic failures
3)
(the E/E/PES and software safety lifecycles ).
––––––––––––
1)
Systems necessary for functional safety and containing one or more electrical (electro-mechanical), electronic
or programmable electronic (E/E/PE) devices are designated as E/E/PE safety-related systems and include all
equipment necessary to carry out the required safety function (see 3.4.1 of IEC 61508-4).
2)
Safety integrity is specified as one of four discrete levels. Safety integrity level 4 is the highest and safety
integrity level 1 the lowest (see 7.6.2.9 of IEC 61508-1).
3)
To enable the requirements of this standard to be clearly structured, a decision was made to order the
requirements using a development process model in which each stage follows in a defined order with little iteration
(sometimes referred to as a waterfall model). However, it is stressed that any lifecycle approach can be used
provided a statement of equivalence is given in the safety plan for the project (see clause 6 of IEC 61508-1).
61508-6 © IEC:2000 – 27 –
– 14 – 61508-6 © IEC:2000
IEC 61508-2 and IEC 61508-3 do not give guidance on which level of safety integrity is
appropriate for a given required tolerable risk. This decision depends upon many factors,
including the nature of the application, the extent to which other systems carry out safety
functions and social and economic factors (see IEC 61508-1 and IEC 61508-5).
The requirements of IEC 61508-2 and IEC 61508-3 include
1)
– the application of measures and techniques , which are graded against the safety
2)
integrity level, for the avoidance of systematic failures by preventative methods; and
– the control of systematic failures (including software failures) and random hardware
failures by design features such as fault detection, redundancy and architectural features
(for example diversity).
In IEC 61508-2, assurance that the safety integrity target has been satisfied for dangerous
random hardware failures is based on
– hardware fault tolerance requirements (see tables 2 and 3 of IEC 61508-2); and
– the diagnostic coverage and frequency of proof tests of subsystems and components, by
carrying out a reliability analysis using appropriate data.
In both IEC 61508-2 and IEC 61508-3, assurance that the safety integrity target has been
satisfied for systematic failures is gained by
– the correct application of safety management procedures;
– the use of competent staff;
– the application of the specified safety lifecycle activities, including the specified
3)
techniques and measures ; and
4)
– an independent functional safety assessment .
The overall goal is to ensure that remaining systematic faults, commensurate with the safety
integrity level, do not cause a failure of the E/E/PE safety-related system.
IEC 61508-2 has been developed to provide requirements for achieving safety integrity in the
5)
hardware of the E/E/PE safety-related systems including sensors and final elements.
Techniques and measures against both random hardware failures and systematic hardware
failures are required. These involve an appropriate combination of fault avoidance and failure
control measures as indicated above. Where manual action is needed for functional safety,
requirements are given for the operator interface. Also diagnostic test techniques and
measures, based on software and hardware (for example diversity), to detect random
hardware failures are specified in IEC 61508-2.
––––––––––––
1)
The required techniques and measures for each safety integrity level are shown in the tables in annexes A
and B of IEC 61508-2 and IEC 61508-3.
2)
Systematic failures cannot usually be quantified. Causes include: specification and design faults in hardware
and software; failure to take account of the environment (for example temperature); and operation-related faults
(for example poor interface).
3)
Alternative measures to those specified in the standard are acceptable provided justification is documented
during safety planning (see clause 6 of IEC 61508-1).
4)
Independent assessment does not always imply third party assessment (see clause 8 of IEC 61508-1).
5)
Including fixed built-in software or software equivalents (also called firmware), such as application-specific
integrated circuits.
61508-6 © IEC:2000 – 29 –
61508-6 © IEC:2000 – 15 –
IEC 61508-3 has been developed to provide requirements for achieving safety integrity for the
software – both embedded (including diagnostic fault detection services) and application
software. IEC 61508-3 requires a combination of fault avoidance (quality assurance) and fault
tolerance approaches (software architecture), as there is no known way to prove the absence
of faults in reasonably complex safety-related software, especially the absence of
specification and design faults. IEC 61508-3 requires the adoption of such software
engineering principles as: top down design; modularity; verification of each phase of the
development lifecycle; verified software modules and software module libraries; and clear
documentation to facilitate verification and validation. The different levels of software require
different levels of assurance that these and related principles have been correctly applied.
The developer of the software may or may not be separate from the organization developing
the whole E/E/PES. In either case, close cooperation is needed, particularly in developing the
architecture of the programmable electronics where trade-offs between hardware and
software architectures need to be considered for their safety impact (see figure 4 of IEC
61508-2).
A.2 Functional steps in the application of IEC 61508-2
The functional steps in the application of IEC 61508-2 are shown in figures A.1 and A.2. The
functional steps in the application of IEC 61508-3 are shown in figure A.3.
Functional steps for IEC 61508-2 (see figures A.1 and A.2) are as follows.
a) Obtain the allocation of safety requirements (see IEC 61508-1). Update the safety
planning as appropriate during E/E/PES development.
b) Determine the requirements for E/E/PES safety, including the safety integrity requirements, for
each safety function (see 7.2 of IEC 61508-2). Allocate requirements to software and pass to
software supplier and/or developer for the application of IEC 61508-3.
NOTE The possibility of coincident failures in the EUC control system and E/E/PE safety-related system(s)
needs to be considered at this stage (see 7.5.2.4 of IEC 61508-1). These may result from failures of
components having a common cause due to for example similar environmental influences. The existence of
such failures could lead to a higher than expected residual risk unless properly addressed.
c) Start the phase of planning for E/E/PES safety validation (see 7.3 of IEC 61508-2).
d) Specify the architecture (configuration) for the E/E/PES logic subsystem, sensors and final
elements. Review with the software supplier/developer the hardware and software
architecture and the safety implications of the trade-offs between the hardware and
software (see figure 4 of IEC 61508-2). Iterate if required.
e) Develop a model for the hardware architecture for the E/E/PE safety-related system.
Develop this model by examining each safety function separately and determine the
subsystem (component) to be used to carry out this function.
f) Establish the system parameters for each of the subsystems (components) used in the
E/E/PE safety-related system. For each of the subsystems (components), determine the
following:
– the proof-test interval for failures which are not automatically revealed;
– the mean time to restoration;
– the diagnostic coverage (see annex C of IEC 61508-2);
61508-6 © IEC:2000 – 31 –
– 16 – 61508-6 © IEC:2000
– the probability of failure; and
– the safe failure fraction (see annex C of IEC 61508-2).
g) Determine the architectural constraints (see tables 2 and 3 of IEC 61508-2).
h) Create a reliability model for each of the safety functions that the E/E/PE safety-related
system is required to carry out.
NOTE A reliability model is a mathematical formula which shows the relationship between reliability and
relevant parameters relating to equipm
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...