IEC 61508-7:2000

NORME CEI
INTERNATIONALE
61508-7
Première édition
2000-03
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 7:
Présentation de techniques et mesures
Cette version française découle de la publication d’origine
bilingue dont les pages anglaises ont été supprimées.
Les numéros de page manquants sont ceux des pages
supprimées.
Numéro de référence
CEI 61508-7:2000(F)
Numérotation des publications
Depuis le 1er janvier 1997, les publications de la CEI sont numérotées à partir de

60000. Ainsi, la CEI 34-1 devient la CEI 60034-1.

Editions consolidées
Les versions consolidées de certaines publications de la CEI incorporant les

amendements sont disponibles. Par exemple, les numéros d’édition 1.0, 1.1 et 1.2

indiquent respectivement la publication de base, la publication de base incorporant

l’amendement 1, et la publication de base incorporant les amendements 1 et 2

Informations supplémentaires sur les publications de la CEI
Le contenu technique des publications de la CEI est constamment revu par la CEI
afin qu'il reflète l'état actuel de la technique. Des renseignements relatifs à cette
publication, y compris sa validité, sont disponibles dans le Catalogue des
publications de la CEI (voir ci-dessous) en plus des nouvelles éditions, amende-
ments et corrigenda. Des informations sur les sujets à l’étude et l’avancement des
travaux entrepris par le comité d’études qui a élaboré cette publication, ainsi que la
liste des publications parues, sont également disponibles par l’intermédiaire de:
• Site web de la CEI (www.iec.ch)
• Catalogue des publications de la CEI
Le catalogue en ligne sur le site web de la CEI (www.iec.ch/searchpub) vous permet
de faire des recherches en utilisant de nombreux critères, comprenant des
recherches textuelles, par comité d’études ou date de publication. Des informations
en ligne sont également disponibles sur les nouvelles publications, les publications
remplacées ou retirées, ainsi que sur les corrigenda.
• IEC Just Published
Ce résumé des dernières publications parues (www.iec.ch/online_news/justpub)
est aussi disponible par courrier électronique. Veuillez prendre contact avec le
Service client (voir ci-dessous) pour plus d’informations.
• Service clients
Si vous avez des questions au sujet de cette publication ou avez besoin de
renseignements supplémentaires, prenez contact avec le Service clients:
Email: custserv@iec.ch
Tél: +41 22 919 02 11
Fax: +41 22 919 03 00
NORME CEI
INTERNATIONALE
61508-7
Première édition
2000-03
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 7:
Présentation de techniques et mesures

 IEC 2000 Droits de reproduction réservés
Aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch  Web: www.iec.ch
CODE PRIX
XE
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
Pour prix, voir catalogue en vigueur

– 2 – 61508-7 © CEI:2000
SOMMAIRE
Pages
AVANT-PROPOS.14

INTRODUCTION.18

Articles
1 Domaine d’application.22

2 Références normatives .26

3 Définitions et abréviations .26
Annexe A (informative) Présentation de techniques et mesures pour les E/E/PES: maîtrise
des défaillances aléatoires du matériel (voir la CEI 61508-2).28
A.1 Electriques .28
A.1.1 Détection des défaillances par surveillance en ligne .28
A.1.2 Surveillance des contacts de relais .28
A.1.3 Comparateur.28
A.1.4 Voteur majoritaire.30
A.1.5 Principe du courant au repos .30
A.2 Electroniques .30
A.2.1 Tests par du matériel redondant .30
A.2.2 Principes dynamiques .32
A.2.3 Port d'accès de test normalisé et architecture de test du type «scrutation aux
frontières».32
A.2.4 Matériel à sécurité intégrée.32
A.2.5 Redondance surveillée.34
A.2.6 Composants électriques/électroniques avec contrôle automatique.34
A.2.7 Surveillance du signal analogique.34
A.2.8 Dévaluation .36
A.3 Unités de traitement .36
A.3.1 Autotest logiciel: nombre limité de configurations (un canal).36
A.3.2 Autotest logiciel: bit glissant (un canal) .36
A.3.3 Autotest pris en charge par le matériel (un canal).36
A.3.4 Traitement codé (un canal) .38
A.3.5 Comparaison réciproque par logiciel.38
A.4 Gamme de mémoire invariable .38
A.4.1 Redondance multi-bits à sauvegarde de mot (par exemple, surveillance
de la ROM avec un code de Hamming modifié).38

A.4.2 Somme de contrôle modifiée .40
A.4.3 Signature d'un seul mot (8 bits).40
A.4.4 Signature d'un mot double (16 bits).40
A.4.5 Réplication du bloc (par exemple, double ROM avec comparaison par matériel
ou logiciel).42
A.5 Gammes de mémoire variable .42
A.5.1 Test RAM «échiquier» ou «défilement» .42
A.5.2 Test RAM «walkpath» .44
A.5.3 Test RAM «galpat» ou «galpat transparent».44
A.5.4 Test RAM «Abraham».46
A.5.5 Redondance à un bit (par exemple, surveillance de la RAM avec un bit de parité) .46
A.5.6 Surveillance de la RAM avec un code de Hamming modifié, ou détection des
défaillances concernant les données par des codes de détection d’erreurs (EDC) .46
A.5.7 Double RAM avec comparaison matérielle ou logicielle et test de lecture/écriture .48

– 4 – 61508-7 © CEI:2000
Articles Pages
A.6 Unités E/S et interfaces (communication externe).48

A.6.1 Trame de test.48

A.6.2 Protection par code.48

A.6.3 Sortie parallèle multi-canaux.50

A.6.4 Sorties surveillées.50

A.6.5 Comparaison/vote majoritaire sur les entrées.52

A.7 Chemins de données (communication interne) .52

A.7.1 Redondance matérielle sur un bit.52

A.7.2 Redondance matérielle sur plusieurs bits.52
A.7.3 Redondance matérielle complète.52
A.7.4 Inspection utilisant des trames de test .54
A.7.5 Redondance de transmission.54
A.7.6 Redondance d'informations.54
A.8 Alimentation .54
A.8.1 Protection contre les surtensions avec arrêt de sécurité.54
A.8.2 Surveillance de la tension (secondaire).56
A.8.3 Mise hors tension avec arrêt de sécurité.56
A.9 Surveillance temporelle et logique de la séquence du programme.56
A.9.1 Chien de garde avec base de temps séparée sans fenêtre temporelle.56
A.9.2 Chien de garde avec base de temps séparée et fenêtre temporelle .58
A.9.3 Surveillance logique de la séquence du programme.58
A.9.4 Combinaison de surveillance temporelle et logique des séquences du programme.58
A.9.5 Surveillance temporelle avec contrôle en ligne .58
A.10 Aération et chauffage .60
A.10.1 Capteur de température.60
A.10.2 Surveillance des ventilateurs.60
A.10.3 Actionnement de l'arrêt de sécurité par l’intermédiaire d’un fusible thermique.60
A.10.4 Message échelonné des capteurs thermiques et de l'alarme conditionnelle .60
A.10.5 Connexion du refroidissement par air forcé et indication d'état.60
A.11 Communication et mémoire de masse .62
A.11.1 Séparation entre les lignes d’alimentation et les lignes d'informations .62
A.11.2 Séparation spatiale des lignes multiples .62
A.11.3 Augmentation de l’immunité aux interférences.62
A.11.4 Transmission de signaux complémentaires .64
A.12 Sondes .64

A.12.1 Capteur de référence .64
A.12.2 Commutateur à action directe .64
A.13 Organes finaux (actionneurs) .64
A.13.1 Surveillance .64
A.13.2 Surveillance croisée de plusieurs actionneurs .66
A.14 Mesures contre l’environnement physique .66
Annexe B (informative) Présentation de techniques et mesures pour les E/E/PES: prévention
des défaillances systématiques (voir la CEI 61508-2 et la CEI 61508-3) .68
B.1 Mesures et techniques générales.68
B.1.1 Gestion de projet.68
B.1.2 Documentation.70
B.1.3 Séparation des systèmes relatifs à la sécurité et des systèmes non relatifs
à la sécurité .72
B.1.4 Diversité du matériel .72

– 6 – 61508-7 © CEI:2000
Articles Pages
B.2 Spécification des exigences relatives aux E/E/PES.74

B.2.1 Spécification structurée.74

B.2.2 Méthodes formelles.74

B.2.3 Méthodes semi-formelles.76

B.2.3.1 Généralités.76

B.2.3.2 Automates finis/diagrammes de changement d'états .76

B.2.3.3 Réseaux de Pétri temporels .78

B.2.4 Outils de spécification assistée par ordinateur.78

B.2.4.1 Généralités.78
B.2.4.2 Outils orientés vers aucune méthode spécifique .80
B.2.4.3 Procédure orientée vers le modèle avec une analyse hiérarchique.80
B.2.4.4 Modèles d'entité .80
B.2.4.5 Interrogation et réponse .82
B.2.5 Listes de contrôle.82
B.2.6 Inspection de la spécification .84
B.3 Conception et développement des E/E/PES.84
B.3.1 Respect des lignes directrices et des normes.84
B.3.2 Conception structurée.86
B.3.3 Utilisation de composants ayant fait leurs preuves.88
B.3.4 Modularisation.88
B.3.5 Outils de conception assistée par ordinateur .90
B.3.6 Simulation .90
B.3.7 Inspection (revues et analyses).90
B.3.8 Sondage.92
B.4 Procédures d'exploitation et de maintenance des E/E/PES.92
B.4.1 Instructions d'exploitation et de maintenance.92
B.4.2 Convivialité en termes d’utilisation .94
B.4.3 Convivialité en termes de maintenance.94
B.4.4 Possibilités d’exploitation limitées .94
B.4.5 Exploitation uniquement par des opérateurs qualifiés .96
B.4.6 Protection contre les erreurs humaines.96
B.4.7 (Non utilisé).96
B.4.8 Protection contre les modifications .96
B.4.9 Accusé de réception des entrées .96
B.5 Intégration des E/E/PES.98

B.5.1 Test fonctionnel.98
B.5.2 Test «boîte noire» .98
B.5.3 Test statistique.100
B.5.4 Retour d’expérience.100
B.6 Validation de la sécurité des E/E/PES.102
B.6.1 Tests fonctionnels dans des conditions environnementales.102
B.6.2 Essai d’immunité aux interférences et aux ondes de choc.104
B.6.3 (Non utilisé).104
B.6.4 Analyse statique.104
B.6.5 Analyse dynamique.106

– 8 – 61508-7 © CEI:2000
Articles Pages
B.6.6 Analyse des défaillances.106

B.6.6.1 Analyse des modes de défaillance et de leurs effets.106

B.6.6.2 Diagramme cause-conséquence.108

B.6.6.3 Analyse par arbre d'événement.108

B.6.6.4 Analyse des modes de défaillance, de leurs effets et de leur criticité.108

B.6.6.5 Analyse par arbre de panne .110

B.6.7 Analyse des cas les plus défavorables.110

B.6.8 Test fonctionnel étendu.110

B.6.9 Test du cas le plus défavorable .112
B.6.10 Test d’insertion d’anomalie .112
Annexe C (informative) Présentation de techniques et mesures pour l'obtention de l'intégrité
de sécurité logicielle (voir la CEI 61508-3) .114
C.1 Généralités.114
C.2 Prescriptions et conception détaillée .114
C.2.1 Méthodes structurées.114
C.2.1.1 Généralités.114
C.2.1.2 CORE – Controlled Requirements Expression .116
C.2.1.3 JSD – Jackson System Development.116
C.2.1.4 MASCOT – Modular Approach to Software Construction, Operation
and Test .118
C.2.1.5 Yourdon temps réel.118
C.2.1.6 SADT – Structured Analysis and Design Technique.120
C.2.2 Diagrammes de flux de données.122
C.2.3 Diagrammes de structures.124
C.2.4 Méthodes formelles.124
C.2.4.1 Généralités.124
C.2.4.2 CCS – Calculus of Communicating Systems.126
C.2.4.3 CSP – Communicating Sequential Processes.126
C.2.4.4 HOL – Higher Order Logic.128
C.2.4.5 LOTOS.128
C.2.4.6 OBJ .128
C.2.4.7 Logique temporelle.130
C.2.4.8 VDM, VDM++ – Vienna Development Method.132
C.2.4.9 Z.134
C.2.5 Programmation défensive .136

C.2.6 Règles de conception et de codage .138
C.2.6.1 Généralités.138
C.2.6.2 Règles de codage .138
C.2.6.3 Pas de variables dynamiques ni d'objets dynamiques.140
C.2.6.4 Contrôle en ligne pendant la création de variables dynamiques ou
d’objets dynamiques.140
C.2.6.5 Utilisation limitée des interruptions .140
C.2.6.6 Utilisation limitée des pointeurs.142
C.2.6.7 Utilisation limitée de la récursion.142
C.2.7 Programmation structurée.142
C.2.8 Masquage/encapsulation des informations .144
C.2.9 Approche modulaire.146
C.2.10 Utilisation de modules logiciels et composants éprouvés/vérifiés .146

– 10 – 61508-7 © CEI:2000
Articles Pages
C.3 Conception d'architecture.148

C.3.1 Détection d’anomalie et diagnostic.148

C.3.2 Codes de détection et correction d'erreurs.150

C.3.3 Programmation par assertion des défaillances .150

C.3.4 Dispositif externe de sécurité.152

C.3.5 Diversité logicielle (programmation diversifiée).152

C.3.6 Bloc de récupération .154

C.3.7 Récupération arrière .156

C.3.8 Récupération avant.156
C.3.9 Mécanismes de récupération d’anomalie par relance .156
C.3.10 Mémorisation de cas d'exécution .158
C.3.11 Dégradation «élégante».158
C.3.12 Correction d’anomalie en utilisant les techniques d'intelligence artificielle .160
C.3.13 Reconfiguration dynamique.160
C.4 Outils de développement et langages de programmation.162
C.4.1 Langages de programmation fortement typés.162
C.4.2 Sous-ensembles de langages .162
C.4.3 Outils certifiés et traducteurs certifiés .164
C.4.4 Outils et traducteurs: confiance accrue résultant de l’utilisation .164
C.4.4.1 Comparaison du programme source et du code exécutable .166
C.4.5 Bibliothèque des modules logiciels et composants éprouvés/vérifiés.166
C.4.6 Langages de programmation adéquats.168
C.5 Vérification et modification .174
C.5.1 Test probabiliste.174
C.5.2 Enregistrement et analyse de données .176
C.5.3 Test d'interface .176
C.5.4 Analyse des valeurs aux limites .176
C.5.5 Estimation des erreurs .178
C.5.6 Implantation d'erreurs .178
C.5.7 Classes d'équivalence et test des partitions d'entrée .180
C.5.8 Tests basés sur la structure.180
C.5.9 Analyse du flux de commandes .182
C.5.10 Analyse du flux de données .184
C.5.11 Analyse de circuit parasite .184
C.5.12 Exécution symbolique .186

C.5.13 Preuve formelle.186
C.5.14 Métriques de complexité .188
C.5.15 Inspection selon Fagan .188
C.5.16 Lectures croisées/revues de conception .190
C.5.17 Prototypage/animation .190
C.5.18 Simulation du procédé .192
C.5.19 Prescriptions relatives au fonctionnement.192
C.5.20 Modélisation du fonctionnement.194
C.5.21 Tests d'avalanche/de stress.194
C.5.22 Temps de réponse et contraintes mémoire.196
C.5.23 Analyse d'impact .196
C.5.24 Gestion de configuration logicielle.198

– 12 – 61508-7 © CEI:2000
Articles Pages
C.6 Evaluation de la sécurité fonctionnelle .198

C.6.1 Tables de décision (tables de vérité).198

C.6.2 Etude de danger et d'opérabilité (HAZOP) .198

C.6.3 Analyse des défaillances de cause commune.202

C.6.4 Modèles de Markov.202

C.6.5 Diagrammes de blocs de fiabilité .204

C.6.6 Simulation de Monte-Carlo.206

Annexe D (informative) Une approche probabiliste pour déterminer l'intégrité de sécurité

logicielle pour un logiciel prédéveloppé.208
D.1 Généralités.208
D.2 Formules de tests statistiques et exemples d'utilisation .210
D.2.1 Test statistique simple en mode de fonctionnement faible demande .210
D.2.1.1 Conditions préalables.210
D.2.1.2 Résultats .210
D.2.1.3 Exemple .210
D.2.2 Test d’un espace (domaine) d’entrée pour un mode de fonctionnement
faible demande .210
D.2.2.1 Conditions préalables.210
D.2.2.2 Résultats .210
D.2.2.3 Exemple .212
D.2.3 Test statistique simple en mode de fonctionnement continu ou forte demande .212
D.2.3.1 Conditions préalables.212
D.2.3.2 Résultats .212
D.2.3.3 Exemple .214
D.2.4 Test complet .214
D.2.4.1 Conditions préalables.214
D.2.4.2 Résultats .214
D.2.4.3 Exemple .216
D.3 Références.216
Bibliographie .218
Index .222
Tableau C.1 – Recommandations applicables aux langages de programmation spécifiques . 172
Tableau D.1 – Historique nécessaire pour s'assurer des niveaux d'intégrité de sécurité. 208

Tableau D.2 – Probabilités de défaillance en mode de fonctionnement faible demande . 210
Tableau D.3 – Distances moyennes de deux points de test . 212
Tableau D.4 – Probabilité de défaillance en mode de fonctionnement forte demande
ou continu . . 214
Tableau D.5 – Probabilité de test de toutes les propriétés du programme. 216

– 14 – 61508-7 © CEI:2000
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE

____________
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES ÉLECTRIQUES/

ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES

RELATIFS À LA SÉCURITÉ –
Partie 7: Présentation de techniques et mesures

AVANT-PROPOS
1) La CEI (Commission Électrotechnique Internationale) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes internationales.
Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité national intéressé par le
sujet traité peut participer. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec la CEI, participent également aux travaux. La CEI collabore étroitement avec l'Organisation
Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, spécifications techniques, rapports techniques ou guides et agréés comme tels par les Comités
nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer de
façon transparente, dans toute la mesure possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa responsabilité
n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 61508-7 a été établie par le sous-comité 65A: Aspects systèmes,
du comité d'études 65 de la CEI: Mesure et commande dans les processus industriels.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
65A/293/FDIS 65A/299/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
Cette publication a été rédigée selon les Directives ISO/CEI, Partie 3.
Les annexes A, B, C et D sont données uniquement à titre d’information.

– 16 – 61508-7 © CEI:2000
La CEI 61508 est composée des parties suivantes, regroupées sous le titre général Sécurité
fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la
sécurité:
Partie 1: Prescriptions générales

Partie 2: Prescriptions pour les systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité
Partie 3: Prescriptions concernant les logiciels

Partie 4: Définitions et abréviations

Partie 5: Exemples de méthodes pour la détermination des niveaux d’intégrité de sécurité

Partie 6: Lignes directrices pour l’application de la CEI 61508-2 et de la CEI 61508-3
Partie 7: Présentation de techniques et mesures
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant 2006.
A cette date, la publication sera
• reconduite;
• supprimée;
• remplacée par une édition révisée, ou
• amendée.
– 18 – 61508-7 © CEI:2000
INTRODUCTION
Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des

fonctions liées à la sécurité dans la plupart des secteurs d'application. Des systèmes à base

d’informatique (que l’on nommera de façon générique systèmes électroniques programmables

(PES)) sont utilisés dans tous les secteurs d'application pour exécuter des fonctions non liées

à la sécurité, mais aussi de plus en plus souvent liées à la sécurité. Si l'on veut exploiter

efficacement, et en toute sécurité, la technologie des systèmes informatiques, il est

indispensable de fournir à tous les responsables suffisamment d'éléments liés à la sécurité

pour les guider dans leurs prises de décisions.
La présente Norme internationale présente une approche générique de toutes les activités
liées au cycle de vie de sécurité de systèmes comprenant des composants électriques et/ou
électroniques et/ou électroniques programmables (systèmes électriques/électroniques/électro-
niques programmables (E/E/PES)) qui sont utilisés pour réaliser des fonctions de sécurité.
Cette approche unifiée a été adoptée afin de développer une politique technique rationnelle et
cohérente concernant tous les appareils électriques liés à la sécurité. L'un des principaux
objectifs poursuivis consiste à faciliter l'élaboration de normes par secteur d'application.
Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de
protection fondés sur diverses technologies (par exemple mécanique, hydraulique,
pneumatique, électrique, électronique, électronique programmable). En conséquence, il faut
que toute stratégie de sécurité prenne non seulement en compte tous les éléments d'un
système individuel (par exemple les capteurs, les appareils de commande, les actionneurs),
mais qu’elle considère aussi tous les systèmes relatifs à la sécurité comme des éléments
individuels d’un ensemble complexe. C'est pourquoi la présente Norme internationale, bien que
traitant essentiellement des systèmes E/E/PES relatifs à la sécurité, fournit néanmoins un
cadre de sécurité susceptible de concerner les systèmes relatifs à la sécurité basés sur
d’autres technologies.
Personne n'ignore la grande variété des applications E/E/PES. Celles-ci recouvrent, à des degrés
de complexité très divers, un fort potentiel de danger et de risques dans tous les secteurs
d'application. Pour chaque application, la nature exacte des mesures de sécurité envisagées
dépendra de plusieurs facteurs propres à l'application. La présente Norme internationale, de
par son caractère général, rendra désormais possible la prescription de ces mesures dans des
Normes internationales par secteur d'application.
La présente Norme internationale
– concerne toutes les phases appropriées du cycle de vie de sécurité global des E/E/PES et
du logiciel (depuis la conceptualisation initiale, en passant par la conception, l'installation,

l’exploitation et la maintenance, jusqu'à la mise hors service) lorsque les E/E/PES
exécutent des fonctions de sécurité;
– a été élaborée dans le soucis de l'évolution rapide des technologies; le cadre est
suffisamment solide et étendu pour pourvoir aux évolutions futures;
– permet l'élaboration de normes internationales par secteur d'application concernant les
E/E/PES relatifs à la sécurité; l'élaboration de normes internationales par secteur
d'application à partir de la présente norme devrait permettre d'atteindre un haut niveau de
cohérence (par exemple pour ce qui est des principes sous-jacents, de la terminologie,
etc.) à la fois au sein de chaque secteur d'application, et d'un secteur à l'autre. La
conséquence en est une amélioration en termes de sécurité et de bénéfices économiques;
– fournit une méthode de développement des prescriptions de sécurité nécessaires pour
réaliser la sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité;

– 20 – 61508-7 © CEI:2000
– utilise des niveaux d’intégrité de sécurité afin de spécifier les niveaux cibles d’intégrité de
sécurité des fonctions de sécurité à réaliser par les systèmes E/E/PE relatifs à la sécurité;

– adopte une approche basée sur le risque encouru pour déterminer les niveaux d’intégrité

de sécurité prescrits;
– fixe des objectifs quantitatifs pour les mesures de défaillances des systèmes E/E/PE

relatifs à la sécurité qui sont en rapport avec les niveaux d’intégrité de sécurité;

– fixe une limite inférieure pour les mesures de défaillances, dans le cas d’un mode de

défaillance dangereux, cette limite pouvant être exigée pour un système E/E/PE relatif à la

sécurité unique. Dans le cas d’un système E/E/PE relatif à la sécurité fonctionnant

– dans un mode de faible sollicitation, la limite inférieure est fixée à une probabilité

–5
moyenne de défaillance de 10 afin que les fonctions pour lesquelles le système a été
conçu soient exécutées lorsqu’elles sont requises;
– dans un mode de fonctionnement continu ou de forte sollicitation, la limite inférieure est

–9
fixée à une probabilité de défaillance dangereuse de 10 par heure;
NOTE Un système E/E/PE relatif à la sécurité unique n’implique pas nécessairement une architecture à une
seule voie.
– adopte une large gamme de principes, techniques et mesures pour la réalisation de la
sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité, mais n’est pas fondée sur
le concept de sécurité intrinsèque qui peut être intéressant lorsque les modes de
défaillances sont bien définis et que le niveau de complexité est relativement faible; le
concept de sécurité in
...

IEC 61508-7
Edition 1.0 2000-03
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 7: Overview of techniques and measures

Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 7: Présentation de techniques et mesures

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by

any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either IEC or

IEC's member National Committee in the country of the requester.
If you have any questions about IEC copyright or have an enquiry about obtaining additional rights to this publication,
please contact the address below or your local IEC member National Committee for further information.

Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite
ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie
et les microfilms, sans l'accord écrit de la CEI ou du Comité national de la CEI du pays du demandeur.

Si vous avez des questions sur le copyright de la CEI ou si vous désirez obtenir des droits supplémentaires sur cette

publication, utilisez les coordonnées ci-après ou contactez le Comité national de la CEI de votre pays de résidence.

IEC Central Office
3, rue de Varembé
CH-1211 Geneva 20
Switzerland
Email: inmail@iec.ch
Web: www.iec.ch
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.

About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigenda or an amendment might have been published.
ƒ Catalogue of IEC publications: www.iec.ch/searchpub
The IEC on-line Catalogue enables you to search by a variety of criteria (reference number, text, technical committee,…).
It also gives information on projects, withdrawn and replaced publications.
ƒ IEC Just Published: www.iec.ch/online_news/justpub
Stay up to date on all new IEC publications. Just Published details twice a month all new publications released. Available
on-line and also by email.
ƒ Electropedia: www.electropedia.org
The world's leading online dictionary of electronic and electrical terms containing more than 20 000 terms and definitions
in English and French, with equivalent terms in additional languages. Also known as the International Electrotechnical
Vocabulary online.
ƒ Customer Service Centre: www.iec.ch/webstore/custserv
If you wish to give us your feedback on this publication or need further assistance, please visit the Customer Service
Centre FAQ or contact us:
Email: csc@iec.ch
Tel.: +41 22 919 02 11
Fax: +41 22 919 03 00
A propos de la CEI
La Commission Electrotechnique Internationale (CEI) est la première organisation mondiale qui élabore et publie des
normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.

A propos des publications CEI
Le contenu technique des publications de la CEI est constamment revu. Veuillez vous assurer que vous possédez
l’édition la plus récente, un corrigendum ou amendement peut avoir été publié.
ƒ Catalogue des publications de la CEI: www.iec.ch/searchpub/cur_fut-f.htm
Le Catalogue en-ligne de la CEI vous permet d’effectuer des recherches en utilisant différents critères (numéro de référence,
texte, comité d’études,…). Il donne aussi des informations sur les projets et les publications retirées ou remplacées.
ƒ Just Published CEI: www.iec.ch/online_news/justpub
Restez informé sur les nouvelles publications de la CEI. Just Published détaille deux fois par mois les nouvelles
publications parues. Disponible en-ligne et aussi par email.
ƒ Electropedia: www.electropedia.org
Le premier dictionnaire en ligne au monde de termes électroniques et électriques. Il contient plus de 20 000 termes et
définitions en anglais et en français, ainsi que les termes équivalents dans les langues additionnelles. Egalement appelé
Vocabulaire Electrotechnique International en ligne.
ƒ Service Clients: www.iec.ch/webstore/custserv/custserv_entry-f.htm
Si vous désirez nous donner des commentaires sur cette publication ou si vous avez des questions, visitez le FAQ du
Service clients ou contactez-nous:
Email: csc@iec.ch
Tél.: +41 22 919 02 11
Fax: +41 22 919 03 00
IEC 61508-7
Edition 1.0 2000-03
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 7: Overview of techniques and measures

Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 7: Présentation de techniques et mesures

INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
COMMISSION
ELECTROTECHNIQUE
PRICE CODE
INTERNATIONALE
XE
CODE PRIX
ICS 25.040.40; 35.240.50 ISBN 2-8318-5151-3

61508-7 © IEC:2000 – 3 –
– 2 – 61508-7 © IEC:2000
CONTENTS
Page
FOREWORD. 8

INTRODUCTION.10

Clause
1 Scope.12

2 Normative references.14

3 Definitions and abbreviations .14
Annex A (informative) Overview of techniques and measures for E/E/PES: control of random
hardware failures (see IEC 61508-2).15
A.1 Electrical.15
A.1.1 Failure detection by on-line monitoring .15
A.1.2 Monitoring of relay contacts .15
A.1.3 Comparator.15
A.1.4 Majority voter .16
A.1.5 Idle current principle (de-energised to trip).16
A.2 Electronic .16
A.2.1 Tests by redundant hardware.16
A.2.2 Dynamic principles.17
A.2.3 Standard test access port and boundary-scan architecture .17
A.2.4 Fail-safe hardware .17
A.2.5 Monitored redundancy .18
A.2.6 Electrical/electronic components with automatic check.18
A.2.7 Analogue signal monitoring.18
A.2.8 De-rating .19
A.3 Processing units.19
A.3.1 Self-test by software: limited number of patterns (one-channel).19
A.3.2 Self-test by software: walking bit (one-channel) .19
A.3.3 Self-test supported by hardware (one-channel) .19
A.3.4 Coded processing (one-channel) .20
A.3.5 Reciprocal comparison by software .20
A.4 Invariable memory ranges .20
A.4.1 Word-saving multi-bit redundancy (for example ROM monitoring with
a modified Hamming code) .20

A.4.2 Modified checksum .21
A.4.3 Signature of one word (8-bit).21
A.4.4 Signature of a double word (16-bit) .21
A.4.5 Block replication (for example double ROM with hardware or
software comparison).22
A.5 Variable memory ranges .22
A.5.1 RAM test "checkerboard" or "march".22
A.5.2 RAM test "walkpath".23
A.5.3 RAM test "galpat" or "transparent galpat".23
A.5.4 RAM test "Abraham" .24
A.5.5 One-bit redundancy (for example RAM monitoring with a parity bit).24
A.5.6 RAM monitoring with a modified Hamming code, or detection of data failures
with error-detection-correction codes (EDC) .24
A.5.7 Double RAM with hardware or software comparison and read/write test .25

61508-7 © IEC:2000 – 5 –
61508-7 © IEC:2000 – 3 –
Clause Page
A.6 I/O-units and interfaces (external communication) .25

A.6.1 Test pattern.25

A.6.2 Code protection.25

A.6.3 Multi-channel parallel output .26

A.6.4 Monitored outputs .26

A.6.5 Input comparison/voting .27

A.7 Data paths (internal communication).27

A.7.1 One-bit hardware redundancy.27

A.7.2 Multi-bit hardware redundancy.27
A.7.3 Complete hardware redundancy .27
A.7.4 Inspection using test patterns .28
A.7.5 Transmission redundancy .28
A.7.6 Information redundancy .28
A.8 Power supply.28
A.8.1 Overvoltage protection with safety shut-off .28
A.8.2 Voltage control (secondary) .29
A.8.3 Power-down with safety shut-off .29
A.9 Temporal and logical program sequence monitoring.29
A.9.1 Watch-dog with separate time base without time-window .29
A.9.2 Watch-dog with separate time base and time-window.30
A.9.3 Logical monitoring of program sequence .30
A.9.4 Combination of temporal and logical monitoring of program sequences .30
A.9.5 Temporal monitoring with on-line check.30
A.10 Ventilation and heating.31
A.10.1 Temperature sensor.31
A.10.2 Fan control.31
A.10.3 Actuation of the safety shut-off via thermal fuse.31
A.10.4 Staggered message from thermo-sensors and conditional alarm.31
A.10.5 Connection of forced-air cooling and status indication .31
A.11 Communication and mass-storage.32
A.11.1 Separation of electrical energy lines from information lines .32
A.11.2 Spatial separation of multiple lines.32
A.11.3 Increase of interference immunity .32
A.11.4 Antivalent signal transmission.33
A.12 Sensors.33

A.12.1 Reference sensor.33
A.12.2 Positive-activated switch.33
A.13 Final elements (actuators).33
A.13.1 Monitoring .33
A.13.2 Cross-monitoring of multiple actuators.34
A.14 Measures against the physical environment.34
Annex B (informative) Overview of techniques and measures for E/E/PES: avoidance of
systematic failures (see IEC 61508-2 and IEC 61508-3).35
B.1 General measures and techniques.35
B.1.1 Project management.35
B.1.2 Documentation.36
B.1.3 Separation of safety-related systems from non-safety-related systems .37
B.1.4 Diverse hardware.37

61508-7 © IEC:2000 – 7 –
– 4 – 61508-7 © IEC:2000
Clause Page
B.2 E/E/PES safety requirements specification .38

B.2.1 Structured specification.38

B.2.2 Formal methods .38

B.2.3 Semi-formal methods .39

B.2.3.1 General .39

B.2.3.2 Finite state machines/state transition diagrams.39

B.2.3.3 Time Petri nets .40

B.2.4 Computer-aided specification tools .40

B.2.4.1 General .40
B.2.4.2 Tools oriented towards no specific method .41
B.2.4.3 Model orientated procedure with hierarchical analysis .41
B.2.4.4 Entity models.41
B.2.4.5 Incentive and answer .42
B.2.5 Checklists .42
B.2.6 Inspection of the specification .43
B.3 E/E/PES design and development.43
B.3.1 Observance of guidelines and standards .43
B.3.2 Structured design.44
B.3.3 Use of well-tried components.45
B.3.4 Modularisation.45
B.3.5 Computer-aided design tools .46
B.3.6 Simulation .46
B.3.7 Inspection (reviews and analysis) .46
B.3.8 Walk-through.47
B.4 E/E/PES operation and maintenance procedures .47
B.4.1 Operation and maintenance instructions.47
B.4.2 User friendliness .48
B.4.3 Maintenance friendliness .48
B.4.4 Limited operation possibilities .48
B.4.5 Operation only by skilled operators .49
B.4.6 Protection against operator mistakes .49
B.4.7 (Not used) .49
B.4.8 Modification protection .49
B.4.9 Input acknowledgement .49
B.5 E/E/PES integration.50

B.5.1 Functional testing.50
B.5.2 Black-box testing.50
B.5.3 Statistical testing.51
B.5.4 Field experience.51
B.6 E/E/PES safety validation.52
B.6.1 Functional testing under environmental conditions.52
B.6.2 Interference surge immunity testing .53
B.6.3 (Not used) .53
B.6.4 Static analysis.53
B.6.5 Dynamic analysis .54

61508-7 © IEC:2000 – 9 –
61508-7 © IEC:2000 – 5 –
Clause Page
B.6.6 Failure analysis .54

B.6.6.1 Failure modes and effects analysis .54

B.6.6.2 Cause consequence diagrams .55

B.6.6.3 Event tree analysis.55

B.6.6.4 Failure modes, effects and criticality analysis.55

B.6.6.5 Fault tree analysis .56

B.6.7 Worst-case analysis.56

B.6.8 Expanded functional testing .56

B.6.9 Worst-case testing .57
B.6.10 Fault insertion testing.57
Annex C (informative) Overview of techniques and measures for achieving software safety
integrity (see IEC 61508-3) .58
C.1 General .58
C.2 Requirements and detailed design .58
C.2.1 Structured methods.58
C.2.1.1 General .58
C.2.1.2 CORE – Controlled Requirements Expression .59
C.2.1.3 JSD – Jackson System Development.59
C.2.1.4 MASCOT – Modular Approach to Software Construction, Operation
and Test .60
C.2.1.5 Real-time Yourdon .60
C.2.1.6 SADT – Structured Analysis and Design Technique.61
C.2.2 Data flow diagrams .62
C.2.3 Structure diagrams.63
C.2.4 Formal methods .63
C.2.4.1 General .63
C.2.4.2 CCS – Calculus of Communicating Systems.64
C.2.4.3 CSP – Communicating Sequential Processes.64
C.2.4.4 HOL – Higher Order Logic.65
C.2.4.5 LOTOS.65
C.2.4.6 OBJ .65
C.2.4.7 Temporal logic.66
C.2.4.8 VDM, VDM++ – Vienna Development Method.67
C.2.4.9 Z.68
C.2.5 Defensive programming .69

C.2.6 Design and coding standards.70
C.2.6.1 General .70
C.2.6.2 Coding standards .70
C.2.6.3 No dynamic variables or dynamic objects .71
C.2.6.4 On-line checking during creation of dynamic variables or
dynamic objects .71
C.2.6.5 Limited use of interrupts.71
C.2.6.6 Limited use of pointers .72
C.2.6.7 Limited use of recursion .72
C.2.7 Structured programming .72
C.2.8 Information hiding/encapsulation.73
C.2.9 Modular approach .74
C.2.10 Use of trusted/verified software modules and components .74

61508-7 © IEC:2000 – 11 –
– 6 – 61508-7 © IEC:2000
Clause Page
C.3 Architecture design.75

C.3.1 Fault detection and diagnosis .75

C.3.2 Error detecting and correcting codes .76

C.3.3 Failure assertion programming.76

C.3.4 Safety bag.77

C.3.5 Software diversity (diverse programming).77

C.3.6 Recovery block .78

C.3.7 Backward recovery.79

C.3.8 Forward recovery .79
C.3.9 Re-try fault recovery mechanisms.79
C.3.10 Memorising executed cases.80
C.3.11 Graceful degradation.80
C.3.12 Artificial intelligence fault correction .81
C.3.13 Dynamic reconfiguration .81
C.4 Development tools and programming languages.82
C.4.1 Strongly typed programming languages.82
C.4.2 Language subsets.82
C.4.3 Certified tools and certified translators.83
C.4.4 Tools and translators: increased confidence from use .83
C.4.4.1 Comparison of source program and executable code .84
C.4.5 Library of trusted/verified software modules and components.84
C.4.6 Suitable programming languages.85
C.5 Verification and modification .88
C.5.1 Probabilistic testing .88
C.5.2 Data recording and analysis.89
C.5.3 Interface testing .89
C.5.4 Boundary value analysis .89
C.5.5 Error guessing.90
C.5.6 Error seeding .90
C.5.7 Equivalence classes and input partition testing.91
C.5.8 Structure-based testing.91
C.5.9 Control flow analysis .92
C.5.10 Data flow analysis .93
C.5.11 Sneak circuit analysis.93
C.5.12 Symbolic execution .94

C.5.13 Formal proof.94
C.5.14 Complexity metrics.95
C.5.15 Fagan inspections.95
C.5.16 Walk-throughs/design reviews .96
C.5.17 Prototyping/animation .96
C.5.18 Process simulation.97
C.5.19 Performance requirements.97
C.5.20 Performance modelling .98
C.5.21 Avalanche/stress testing .98
C.5.22 Response timing and memory constraints .99
C.5.23 Impact analysis .99
C.5.24 Software configuration management.100

61508-7 © IEC:2000 – 13 –
61508-7 © IEC:2000 – 7 –
Clause Page
C.6 Functional safety assessment .100

C.6.1 Decision tables (truth tables).100

C.6.2 Hazard and Operability Study (HAZOP).100

C.6.3 Common cause failure analysis .102

C.6.4 Markov models.102

C.6.5 Reliability block diagrams.103

C.6.6 Monte-Carlo simulation .104

Annex D (informative) A probabilistic approach to determining software safety integrity

for pre-developed software.105
D.1 General .105
D.2 Statistical testing formulae and examples of their use.106
D.2.1 Simple statistical test for low demand mode of operation.106
D.2.1.1 Prerequisites .106
D.2.1.2 Results .106
D.2.1.3 Example .106
D.2.2 Testing of an input space (domain) for a low demand mode of operation .106
D.2.2.1 Prerequisites .106
D.2.2.2 Results .106
D.2.2.3 Example .107
D.2.3 Simple statistical test for high demand or continuous mode of operation.107
D.2.3.1 Prerequisites .107
D.2.3.2 Results .107
D.2.3.3 Example .108
D.2.4 Complete test.108
D.2.4.1 Prerequisites .108
D.2.4.2 Results .108
D.2.4.3 Example .109
D.3 References.109
Bibliography .110
Index .112
Table C.1 – Recommendations for specific programming languages .87
Table D.1 – Necessary history for confidence to safety integrity levels .105

Table D.2 – Probabilities of failure for low demand mode of operation. 106
Table D.3 – Mean distances of two test points. 107
Table D.4 – Probabilities of failure for high demand or continuous mode of operation . 108
Table D.5 – Probability of testing all program properties. 109

61508-7 © IEC:2000 – 15 –
– 8 – 61508-7 © IEC:2000
INTERNATIONAL ELECTROTECHNICAL COMMISSION

____________
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/

PROGRAMMABLE ELECTRONIC SAFETY-RELATED SYSTEMS –

Part 7: Overview of techniques and measures

FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International
Organization for Standardization (ISO) in accordance with conditions determined by agreement between the
two organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical specifications, technical reports or guides and they are accepted by the National
Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 61508-7 has been prepared by subcommittee 65A: System
aspects, of IEC technical committee 65: Industrial-process measurement and control.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/293/FDIS 65A/299/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
This publication has been drafted in accordance with the ISO/IEC Directives, Part 3.
Annexes A, B, C and D are for information only.

61508-7 © IEC:2000 – 17 –
61508-7 © IEC:2000 – 9 –
IEC 61508 consists of the following parts, under the general title Functional safety of
electrical/electronic/programmable electronic safety-related systems:

– Part 1: General requirements

– Part 2: Requirements for electrical/electronic/programmable electronic safety-related

systems
– Part 3: Software requirements

– Part 4: Definitions and abbreviations

– Part 5: Examples of methods for the determination of safety integrity levels

– Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3

– Part 7: Overview of techniques and measures
The committee has decided that the contents of this publication will remain unchanged
until 2006. At this date, the publication will be
• reconfirmed;
• withdrawn;
• replaced by a revised edition, or
• amended.
61508-7 © IEC:2000 – 19 –
– 10 – 61508-7 © IEC:2000
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years

to perform safety functions in most application sectors. Computer-based systems (generically

referred to as programmable electronic systems (PESs)) are being used in all application

sectors to perform non-safety functions and, increasingly, to perform safety functions. If

computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make those decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/electronic/programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and
consistent technical policy be developed for all electrically based safety-related systems.
A major objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which rely on many
technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic, programmable
electronic). Any safety strategy must therefore consider not only all the elements within an
individual system (for example sensors, controlling devices and actuators) but also all the
safety-related systems making up the total combination of safety-related systems. There-
fore, while this International Standard is concerned with electrical/electronic/programmable
electronic (E/E/PE) safety-related systems, it may also provide a framework within which
safety-related systems based on other technologies may be considered.
It is recognised that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the exact prescription of safety measures will be dependent on many factors
specific to the application. This International Standard, by being generic, will enable such a
prescription to be formulated in future application sector International Standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector International Standards, dealing with safety-related E/E/PESs,

to be developed; the development of application sector international standards, within the
framework of this standard, should lead to a high level of consistency (for example, of
underlying principles, terminology, etc.) both within application sectors and across
application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
...