IEC 61508-4:1998
(Main)Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 4: Definitions and abbreviations (see www.iec.ch/61508)
Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 4: Definitions and abbreviations (see <a href="http://www.iec.ch/61508">www.iec.ch/61508</a>)
Contains the definitions and explanation of terms that are used in parts 1 to 7 of this standard. Intended for use by technical committees in the preparation of standards in accordance with the principles contained in IEC Guide 104 and ISO/IEC Guide 51. IEC 61508 is also intended as a stand-alone standard. Has the status of a basic safety publication in accordance with IEC Guide 104. The contents of the corrigendum of April 1999 have been included in this copy.
Sécurité fonctionnelle des systèmes électriques/électroniques/ électroniques programmables relatifs à la sécurité - Partie 4: Définitions et abréviations (see www.iec.ch/61508)
Contient les définitions et explications des termes utilisés dans les parties 1 à 7 de cette norme. Destinées à être utilisées par tous les comités d'études pour la mise au point de leurs normes, conformément aux principes décrits dans le Guide CEI 104 et dans le Guide ISO/CEI 51. La CEI 61508 est également prévue pour une utilisation en tant que norme autonome. A le statut, d'une publication fondamentale de sécurité conformément au Guide 104. Le contenu du corrigendum d'avril 1999 a été pris en considération dans cet exemplaire.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL IEC
STANDARD
61508-4
First edition
1998-12
BASIC SAFETY PUBLICATION
Functional safety of electrical/electronic/
programmable electronic safety-related systems –
Part 4:
Definitions and abbreviations
This English-language version is derived from the original
bilingual publication by leaving out all French-language
pages. Missing page numbers correspond to the French-
language pages.
Reference number
Publication numbering
As from 1 January 1997 all IEC publications are issued with a designation in the
60000 series. For example, IEC 34-1 is now referred to as IEC 60034-1.
Consolidated editions
The IEC is now publishing consolidated versions of its publications. For example,
edition numbers 1.0, 1.1 and 1.2 refer, respectively, to the base publication, the base
publication incorporating amendment 1 and the base publication incorporating
amendments 1 and 2.
Further information on IEC publications
The technical content of IEC publications is kept under constant review by the IEC,
thus ensuring that the content reflects current technology. Information relating to this
publication, including its validity, is available in the IEC Catalogue of publications
(see below) in addition to new editions, amendments and corrigenda. Information on
the subjects under consideration and work in progress undertaken by the technical
committee which has prepared this publication, as well as the list of publications
issued, is also available from the following:
• IEC Web Site (www.iec.ch)
• Catalogue of IEC publications
The on-line catalogue on the IEC web site (www.iec.ch/searchpub) enables you to
search by a variety of criteria including text searches, technical committees and
date of publication. On-line information is also available on recently issued
publications, withdrawn and replaced publications, as well as corrigenda.
• IEC Just Published
This summary of recently issued publications (www.iec.ch/online_news/ justpub) is
also available by email. Please contact the Customer Service Centre (see below)
for further information.
• Customer Service Centre
If you have any questions regarding this publication or need further assistance,
please contact the Customer Service Centre:
Email: custserv@iec.ch
Tel: +41 22 919 02 11
Fax: +41 22 919 03 00
INTERNATIONAL IEC
STANDARD
61508-4
First edition
1998-12
BASIC SAFETY PUBLICATION
Functional safety of electrical/electronic/
programmable electronic safety-related systems –
Part 4:
Definitions and abbreviations
IEC 1998 Copyright - all rights reserved
No part of this publication may be reproduced or utilized in any form or by any means, electronic or mechanical,
including photocopying and microfilm, without permission in writing from the publisher.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
PRICE CODE
U
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
For price, see current catalogue
61508-4 © IEC:1998 – 3 –
CONTENTS
Page
FOREWORD . 5
INTRODUCTION . 9
Clause
1 Scope. 13
2 Normative references. 17
3 Definitions and abbreviations. 19
3.1 Safety terms. 19
3.2 Equipment and devices . 21
3.3 Systems: general aspects . 25
3.4 Systems: safety-related aspects . 29
3.5 Safety functions and safety integrity . 31
3.6 Fault, failure and error. 37
3.7 Lifecycle activities. 41
3.8 Confirmation of safety measures . 43
Annex A (informative) Bibliography . 49
Index. 51
Figures
1 Overall framework of this standard . 15
2 Programmable electronic system (PES): structure and terminology. 27
3 Electrical/electronic/programmable electronic system (E/E/PES):
structure and terminology . 27
4 Failure model . 39
Table
1 Abbreviations used in this standard . 19
61508-4 © IEC:1998 – 5 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
_________
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 4: Definitions and abbreviations
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International Organization
for Standardization (ISO) in accordance with conditions determined by agreement between the two
organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical reports or guides and they are accepted by the National Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 61508-4 has been prepared by subcommittee 65A: System aspects,
of IEC technical committee 65: Industrial-process measurement and control.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/265/FDIS 65A/275/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
Annex A is for information only.
61508-4 © IEC:1998 – 7 –
IEC 61508 consists of the following parts, under the general title Functional safety of elec-
trical/electronic/programmable electronic safety-related systems:
– Part 1: General requirements
– Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems
– Part 3: Software requirements
– Part 4: Definitions and abbreviations
– Part 5: Examples of methods for the determination of safety integrity levels
– Part 6: Guidelines on the application of parts 2 and 3
– Part 7: Overview of techniques and measures
This part 4 shall be read in conjunction with all other parts.
It has the status of a basic safety publication in accordance with IEC Guide 104.
The contents of the corrigendum of April 1999 have been included in this copy.
61508-4 © IEC:1998 – 9 –
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years
to perform safety functions in most application sectors. Computer-based systems (generically
referred to as programmable electronic systems (PESs)) are being used in all application
sectors to perform non-safety functions and, increasingly, to perform safety functions. If
computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make those decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/electronic/ programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and consistent
technical policy be developed for all electrically based safety-related systems. A major
objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which rely on many
technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic,
programmable electronic). Any safety strategy must therefore consider not only all the
elements within an individual system (for example sensors, controlling devices and actuators)
but also all the safety-related systems making up the total combination of safety-related
systems. Therefore, while this International Standard is concerned with electrical/elec-
tronic/programmable electronic (E/E/PE) safety-related systems, it may also provide a
framework within which safety-related systems based on other technologies may be
considered.
It is recognised that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the required safety measures will be dependent on many factors specific to the
application. This International Standard, by being generic, will enable such measures to be
formulated in future application sector international standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector international standards, dealing with safety-related E/E/PESs, to
be developed; the development of application sector international standards, within the
framework of this International Standard, should lead to a high level of consistency (for
example, of underlying principles, terminology, etc.) both within application sectors and
across application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
61508-4 © IEC:1998 – 11 –
– uses safety integrity levels for specifying the target level of safety integrity for the safety
functions to be implemented by the E/E/PE safety-related systems;
– adopts a risk-based approach for the determination of the safety integrity level
requirements;
– sets numerical target failure measures for E/E/PE safety-related systems which are linked
to the safety integrity levels;
– sets a lower limit on the target failure measures, in a dangerous mode of failure, that can
be claimed for a single E/E/PE safety-related system; for E/E/PE safety-related systems
operating in
– a low demand mode of operation, the lower limit is set at an average probability of
-5
failure of 10 to perform its design function on demand,
– a high demand or continuous mode of operation, the lower limit is set at a probability of
–9
a dangerous failure of 10 per hour;
NOTE – A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.
– adopts a broad range of principles, techniques and measures to achieve functional safety
for E/E/PE safety-related systems, but does not use the concept of fail safe which may be
of value when the failure modes are well defined and the level of complexity is relatively
low; the concept of fail safe was considered inappropriate because of the full range of
complexity of E/E/PE safety-related systems that are within the scope of the standard.
61508-4 © IEC:1998 – 13 –
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 4: Definitions and abbreviations
1 Scope
1.1 This part of IEC 61508 contains the definitions and explanation of terms that are used in
parts 1 to 7 of this standard.
1.2 The definitions are grouped under general headings so that related terms can be
understood within the context of each other. But it should be noted that these headings are not
intended to add meaning to the definitions, and in this sense the headings should be
disregarded.
1.3 Parts 1, 2, 3 and 4 of this standard are basic safety publications, although this status does
not apply in the context of low complexity E/E/PE safety-related systems (see 3.4.4 of part 4).
As basic safety publications, they are intended for use by technical committees in the
preparation of standards in accordance with the principles contained in IEC Guide 104 and
ISO/IEC Guide 51. Parts 1, 2, 3, and 4 are also intended for use as stand-alone publications.
One of the responsibilities of a technical committee is, wherever applicable, to make use of
basic safety publications in the preparation of its publications. In this context, the requirements,
test methods or test conditions of this basic safety publication will not apply unless specifically
referred to or included in the publications prepared by those technical committees.
1.4 Figure 1 shows the overall framework for parts 1 to 7 of IEC 61508 and indicates the role
that IEC 61508-4 plays in the achievement of functional safety for E/E/PE safety-related
systems.
NOTE – In the USA and Canada, until the proposed process sector implementation of IEC 61508 (i.e. IEC 61511) is
published as an international standard in the USA and Canada, existing national process safety standards based on
IEC 61508 (i.e. ANSI/ISA S84.01-1996) can be applied to the process sector instead of IEC 61508.
61508-4 © IEC:1998 – 15 –
Technical
requirements
PART 1
Development of the overall safety
requirements (concept, scope
definition, hazard and risk analysis)
(E/E/PE safety-related systems, other
PART 5
technology safety-related systems and
Risk based approaches
external risk reduction facilities)
to the development of
7.1 to 7.5
the safety integrity
requirements
Other
PART 1
requirements
Allocation of the safety
requirements to the E/E/PE
safety-related systems
Definitions and
PART 7
7.6
abbreviations
Overview of
techniques
and measures
PART 4
PART 6
Guidelines for the
Documentation
Realisation Realisation
application of
phase for phase for
IEC 61508-2 and Clause 5 and
E/E/PE safety- safety-related
IEC 61508-3 annex A
related systems software
PART 1
PART 2 PART 3
Management of
functional safety
Clause 6
PART 1
PART 1
Installation and commissioning
and safety validation of E/E/PE
Functional safety
safety-related systems
assessment
Clause 8
7.13 and 7.14
PART 1
PART 1
Operation and maintenance,
modification and retrofit,
decommissioning or disposal of
E/E/PE safety-related systems
7.15 to 7.17
IEC 1 656/98
Figure 1 — Overall framework of this standard
61508-4 © IEC:1998 – 17 –
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61508. For dated references, subsequent amendments
to, or revisions of, any of these publications do not apply. However, parties to agreements
based on this part of IEC 61508 are encouraged to investigate the possibility of applying the
most recent editions of the normative documents indicated below. For undated references, the
latest edition of the normative document referred to applies. Members of IEC and ISO maintain
registers of currently valid International Standards.
IEC 60050(191):1990, International Electrotechnical Vocabulary (IEV) – Chapter 191:
Dependability and quality of service
IEC 60050(351):1975, International Electrotechnical Vocabulary (IEV) – Chapter 351:
Automatic control
IEC 61508-1:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 1: General requirements
IEC 61508-2:—, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 2: Requirements for electrical/electronical/programmable electronic
1)
safety-related systems
IEC 61508-3:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 3: Software requirements
IEC 61508-5:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 5: Examples of methods for the determination of safety integrity levels
IEC 61508-6:—, Functional safety of electrical/electronical/programmable electronic safety-
1)
related systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
IEC 61508-7:—, Functional safety of electrical/electronical/programmable electronic safety-
1)
related systems – Part 7: Overview of techniques and measures
IEC Guide 104:1997, The preparation of safety publications and the use of basic safety
publications and group safety publications
ISO/IEC 2382-14:1998, Data processing – Vocabulary – Part 14: Reliability, maintainability
and availability
ISO/IEC Guide 51:1990, Safety aspects – Guidelines for their inclusion in standards
ISO 8402:1994, Quality management and quality assurance – Vocabulary
________
1)
To be published.
61508-4 © IEC:1998 – 19 –
3 Definitions and abbreviations
For the purposes of this International Standard, the following definitions and the abbreviations
given in table 1 apply.
Table 1 — Abbreviations used in this standard
Abbreviation Full expression Definition and/or explanation of term
MooN M out of N channel architecture Annex B of IEC 61508-6
(for example 1oo2 is 1 out of 2 architecture, where
either of the two channels can perform the safety
function)
MooND M out of N channel architecture with diagnostics Annex B of IEC 61508-6
ALARP As low as is reasonably practicable Annex B of IEC 61508-5
E/E/PE Electrical/electronic/programmable electronic 3.2.6
E/E/PES Electrical/electronic/programmable electronic 3.3.3
system
EUC Equipment under control 3.2.3
PES Programmable electronic system 3.3.2
PLC Programmable logic controller Annex E of IEC 61508-6
SIL Safety integrity level 3.5.6
3.1 Safety terms
3.1.1
harm
physical injury or damage to the health of people either directly or indirectly as a result of
damage to property or to the environment
[ISO/IEC Guide 51:1990 (modified)]
NOTE – This definition will need to be addressed when carrying out a hazard and risk analysis (see IEC 61508-1, 7.4).
If the scope is to be widened (e.g to include environmental damage which may not give rise to physical injury or
damage to health) then this would need to be addressed in the Overall Scope Definition phase (see IEC 61508-1, 7.3).
3.1.2
hazard
potential source of harm [Guide 51 ISO/IEC:1990]
NOTE – The term includes danger to persons arising within a short time scale (for example, fire and explosion) and
also those that have a long-term effect on a person’s health (for example, release of a toxic substance).
3.1.3
hazardous situation
circumstance in which a person is exposed to hazard(s)
3.1.4
hazardous event
hazardous situation which results in harm
3.1.5
risk
combination of the probability of occurrence of harm and the severity of that harm
[ISO/IEC Guide 51:1990 (modified)]
NOTE – For more discussion on this concept see annex A of IEC 61508-5.
3.1.6
tolerable risk
risk which is accepted in a given context based on the current values of society
NOTE – See annex B of IEC 61508-5.
61508-4 © IEC:1998 – 21 –
3.1.7
residual risk
risk remaining after protective measures have been taken
3.1.8
safety
freedom from unacceptable risk
3.1.9
functional safety
part of the overall safety relating to the EUC and the EUC control system which depends on the
correct functioning of the E/E/PE safety-related systems, other technology safety-related
systems and external risk reduction facilities
3.1.10
safe state
state of the EUC when safety is achieved
NOTE – In going from a potentially hazardous condition to the final safe state, the EUC may have to go through a
number of intermediate safe states. For some situations a safe state exists only so long as the EUC is continuously
controlled. Such continuous control may be for a short or an indefinite period of time.
3.1.11
reasonably foreseeable misuse
use of a product, process or service under conditions or for purposes not intended by the
supplier, but which can happen, induced by the product, process or service in combination with,
or as a result of, common human behaviour
3.2 Equipment and devices
3.2.1
functional unit
entity of hardware or software, or both, capable of accomplishing a specified purpose
NOTE – In IEV 191-01-01 the more general term “item” is used in place of functional unit. An item may sometimes
include people.
[ISO/IEC 2382-14-01-01]
3.2.2
software
intellectual creation comprising the programs, procedures, data, rules and any associated
documentation pertaining to the operation of a data processing system
NOTE 1 – Software is independent of the medium on which it is recorded.
NOTE 2 – This definition without note 1 differs from ISO 2382-1, and the full definition differs from ISO 9000-3, by
the addition of the word data.
3.2.3
equipment under control (EUC)
equipment, machinery, apparatus or plant used for manufacturing, process, transportation,
medical or other activities
NOTE – The EUC control system is separate and distinct from the EUC.
61508-4 © IEC:1998 – 23 –
3.2.4
EUC risk
risk arising from the EUC or its interaction with the EUC control system
NOTE 1 – The risk in this context is that associated with the specific hazardous event in which E/E/PE safety-
related systems, other technology safety-related systems and external risk reduction facilities are to be used to
provide the necessary risk reduction, (i.e. the risk associated with functional safety).
NOTE 2 – The EUC risk is indicated in figure A.1 of IEC 61508-5. The main purpose of determining the EUC risk is
to establish a reference point for the risk without taking into account E/E/PE safety-related systems, other
technology safety-related systems and external risk reduction facilities.
NOTE 3 – Assessment of this risk will include associated human factor issues.
3.2.5
programmable electronic (PE)
based on computer technology which may be comprised of hardware, software, and of input
and/or output units
NOTE – This term covers microelectronic devices based on one or more central processing units (CPUs) together
with associated memories, etc.
EXAMPLE The following are all programmable electronic devices:
– microprocessors;
– micro-controllers;
– programmable controllers;
– application specific integrated circuits (ASICs);
– programmable logic controllers (PLCs);
– other computer-based devices (for example smart sensors, transmitters, actuators).
3.2.6
electrical/electronic/programmable electronic (E/E/PE)
based on electrical (E) and/or electronic (E) and/or programmable electronic (PE) technology
NOTE – The term is intended to cover any and all devices or systems operating on electrical principles.
EXAMPLE Electrical/electronic/programmable electronic devices include
– electro-mechanical devices (electrical);
– solid-state non-programmable electronic devices (electronic);
– electronic devices based on computer technology (programmable electronic); see 3.2.5.
3.2.7
limited variability language
software programming language, either textual or graphical, for commercial and industrial
programmable electronic controllers with a range of capabilities limited to their application
EXAMPLE The following are limited variability languages, from IEC 61131-3 and other sources, which are used to
represent the application program for a PLC system:
– ladder diagram: a graphical language consisting of a series of input symbols (representing behaviour similar to
devices such as normally open and normally closed contacts) interconnected by lines (to indicate the flow of
current) to output symbols (representing behaviour similar to relays);
– Boolean algebra: a low-level language based on Boolean operators such as AND, OR and NOT with the ability
to add some mnemonic instructions;
– function block diagram: in addition to Boolean operators, allows the use of more complex functions such as data
transfer file, block transfer read/write, shift register and sequencer instructions;
– sequential function chart: a graphical representation of a sequential program consisting of interconnected steps,
actions and directed links with transition conditions.
61508-4 © IEC:1998 – 25 –
3.3 Systems: general aspects
3.3.1
system
set of elements which interact according to a design, where an element of a system can be
another system, called a subsystem, which may be a controlling system or a controlled system
and may include hardware, software and human interaction
NOTE 1 – A person can be part of a system (see also note 5 of 3.4.1).
NOTE 2 – This definition differs from IEV 351-01-01.
3.3.2
programmable electronic system (PES)
system for control, protection or monitoring based on one or more programmable electronic
devices, including all elements of the system such as power supplies, sensors and other input
devices, data highways and other communication paths, and actuators and other output
devices (see figure 2)
NOTE – The structure of a PES is shown in figure 2 a). Figure 2 b) illustrates the way in which a PES is represent-
ed in this International Standard, with the programmable electronics shown as a unit distinct from sensors and
actuators on the EUC and their interfaces, but the programmable electronics could exist at several places in the
PES. Figure 2 c) illustrates a PES with two discrete units of programmable electronics. Figure 2 d) illustrates a PES
with dual programmable electronics (i.e. two-channel), but with a single sensor and a single actuator.
3.3.3
electrical/electronic/programmable electronic system (E/E/PES)
system for control, protection or monitoring based on one or more electrical/electronic
programmable electronic (E/E/PE) devices, including all elements of the system such as power
supplies, sensors and other input devices, data highways and other communication paths, and
actuators and other output devices (see figure 3)
3.3.4
EUC control system
system which responds to input signals from the process and/or from an operator and
generates output signals causing the EUC to operate in the desired manner
NOTE – The EUC control system includes input devices and final elements.
3.3.5
architecture
specific configuration of hardware and software elements in a system
3.3.6
module
routine, discrete component or a functional set of encapsulated routines or discrete
components belonging together
3.3.7
software module
construct that consists of procedures and/or data declarations and that can also interact with
other such constructs
61508-4 © IEC:1998 – 27 –
Input interfaces Output interfaces
Communications
Extent
A-D converters D-A converters
of PES
Programmable
electronics
(see note)
Input devices Output devices/final elements
(for example sensors) (for example actuators)
a) Basic PES structure
PE
PE
PE PE PE
1 2
PE
b) Single PES with single program- c) Single PES with dual program- d) Single PES with dual program-
mable electronic device (i.e. one PES mable electronic devices linked in a mable electronic devices but with
comprised of a single channel of serial manner (for example intelligent shared sensors and final elements (i.e.
programmable electronics) sensor and programmable controller) one PES comprised of two channels
of programmable electronics)
IEC 1 657/98
NOTE – The programmable electronics are shown centrally located but could exist at several places in the PES.
Figure 2 — Programmable electronic system (PES): structure and terminology
Input interfaces Output interfaces
A-D converters D-A converters
Communications
Extent of
E/E/PES
E/E/PE device
Input devices Output devices/
final elements
(for example sensors)
(for example actuators)
IEC 1 658/98
NOTE – THE E/E/PE device is shown centrally located but such device(s) could exist at several places in the E/E/PES.
Figure 3 — Electrical/electronic/programmable electronic system (E/E/PES):
structure and terminology
61508-4 © IEC:1998 – 29 –
3.3.8
channel
element or group of elements that independently perform(s) a function
EXAMPLE A two-channel (or dual-channel) configuration is one with two channels that independently perform the
same function.
NOTE 1 – The elements within a channel could include input/output modules, a logic system (see 3.4.5), sensors
and final elements.
NOTE 2 – The term can be used to describe a complete system, or a portion of a system (for example, sensors or
final elements).
3.3.9
diversity
different means of performing a required function
EXAMPLE Diversity may be achieved by different physical methods or different design approaches.
3.3.10
redundancy
existence of means, in addition to the means which would be sufficient for a functional unit to
perform a required function or for data to represent information
EXAMPLE Duplicated functional components and the addition of parity bits are both instances of redundancy.
NOTE 1 – Redundancy is used primarily to improve reliability or availability.
NOTE 2 – The definition in IEV 191-15-01 is less complete.
[ISO/IEC 2382-14-01-12]
3.4 Systems: safety-related aspects
3.4.1
safety-related system
designated system that both
– implements the required safety functions necessary to achieve or maintain a safe state for
the EUC; and
– is intended to achieve, on its own or with other E/E/PE safety-related systems, other
technology safety-related systems or external risk reduction facilities, the necessary safety
integrity for the required safety functions
NOTE 1 – The term refers to those systems, designated as safety-related systems, that are intended to achieve,
together with the external risk reduction facilities (see 3.4.3), the necessary risk reduction in order to meet the
required tolerable risk (see 3.1.6). See also annex A of IEC 61508-5.
NOTE 2 – The safety-related systems are designed to prevent the EUC from going into a dangerous state by taking
appropriate action on receipt of commands. The failure of a safety-related system would be included in the events
leading to the determined hazard or hazards. Although there may be other systems having safety functions, it is the
safety-related systems that have been designated to achieve, in their own right, the required tolerable risk. Safety-
related systems can broadly be divided into safety-related control systems and safety-related protection systems,
and have two modes of operation (see 3.5.12).
NOTE 3 – Safety-related systems may be an integral part of the EUC control system or may interface with the EUC
by sensors and/or actuators. That is, the required safety integrity level may be achieved by implementing the safety
functions in the EUC control system (and possibly by additional separate and independent systems as well) or the
safety functions may be implemented by separate and independent systems dedicated to safety.
NOTE 4 – A safety-related system may
a) be designed to prevent the hazardous event (i.e. if the safety-related systems perform their safety functions
then no hazardous event arises);
b) be designed to mitigate the effects of the hazardous event, thereby reducing the risk by reducing the
consequences;
c) be designed to achieve a combination of a) and b).
61508-4 © IEC:1998 – 31 –
NOTE 5 – A person can be part of a safety-related system (see 3.3.1). For example, a person could receive
information from a programmable electronic device and perform a safety action based on this information, or
perform a safety action through a programmable electronic device.
NOTE 6 – The term includes all the hardware, software and supporting services (for example, power supplies)
necessary to carry out the specified safety function (sensors, other input devices, final elements (actuators) and
other output devices are therefore included in the safety-related system).
NOTE 7 – A safety-related system may be based on a wide range of technologies including electrical, electronic,
programmable electronic, hydraulic and pneumatic.
3.4.2
other technology safety-related system
safety-related system based on a technology other than electrical/electronic/programmable
electronic
EXAMPLE A relief valve is another technology safety-related system.
3.4.3
external risk reduction facility
measure to reduce or mitigate the risks which are separate and distinct from, and do not use,
E/E/PE safety-related systems or other technology safety-related systems
EXAMPLE A drain system, a fire wall and a bund are all external risk reduction facilities.
3.4.4
low complexity E/E/PE safety-related system
E/E/PE safety-related system (see 3.2.6 and 3.4.1), in which
– the failure modes of each individual component are well defined;
– the behaviour of the system under fault conditions can be completely determined.
NOTE – Behaviour of the system under fault conditions may be determined by analytical and/or test methods.
EXAMPLE A system comprising one or more limit switches, operating, possibly via interposing electro-mechanical
relays, one or more contactors to de-energise an electric motor is a low-complexity E/E/PE safety-related system.
3.4.5
logic system
portion of a system that performs the function logic but excludes the sensors and final
elements
NOTE – In this standard the following logic systems are used:
– electrical logic systems for electro-mechanical technology;
– electronic logic systems for electronic technology;
– programmable electronic logic systems for programmable electronic systems.
3.5 Safety functions and safety integrity
3.5.1
safety function
function to be implemented by an E/E/PE safety-related system, other technology safety-
related system or external risk reduction facilities, which is intended to achieve or maintain a
safe state for the EUC, in respect of a specific hazardous event (see 3.4.1)
3.5.2
safety integrity
probability of a safety-related system satisfactorily performing the required safety functions
under all the stated conditions within a stated period of time
NOTE 1 – The higher the level of safety integrity of the safety-related systems, the lower the probability that the
safety-related systems will fail to carry out the required safety functions.
NOTE 2 – There are four levels of safety integrity for systems (see 3.5.6).
61508-4 © IEC:1998 – 33 –
NOTE 3 – In determining safety integrity, all causes of failures (both random hardware failures and systematic
failures) which lead to an unsafe state should be included, for example hardware failures, software induced failures
and failures due to electrical interference. Some of these types of failure, in particular random hardware failures,
may be quantified using such measures as the failure rate in the dangerous mode of failure or the probability of a
safety-related protection system failing to operate on demand. However, the safety integrity of a system also
depends on many factors which cannot be accurately quantified but can only be considered qualitatively.
NOTE 4 – Safety integrity comprises hardware safety integrity (see 3.5.5) and systematic safety integrity (see
3.5.4).
NOTE 5 – This definition focuses on the reliability of the safety-related systems to perform the safety functions (see
IEV 191-12-01 for a definition of reliability).
3.5.3
software safety integrity
measure that signifies the likelihood of software in a programmable electronic system
achieving its safety functions under all stated conditions within a stated period of time
3.5.4
systematic safety integrity
part of the safety integrity of safety-related systems relating to systematic failures (see note 3
of 3.5.2) in a dangerous mode of failure
NOTE 1 – Systematic safety integrity cannot usually be quantified (as distinct from hardware safety integrity which
usually can).
NOTE 2 – See 3.5.2, 3.5.5 and 3.6.6.
3.5.5
hardware safety integrity
part of the safety integrity of the safety-related systems relating to random hardware failures in
a dangerous mode of failure
NOTE 1 – The term relates to failures in a dangerous mode, that is, those failures of a safety-related system that
would impair its safety integrity. The two parameters that are relevant in this context are the overall dangerous
failure rate and the probability of failure to operate on demand. The former reliability parameter is used when it is
necessary to maintain continuous control in order to maintain safety, the latter reliability parameter is used in the
context of safety-related protection systems.
NOTE 2 – See 3.5.2, 3.5.4 and 3.6.5.
3.5.6
safety integrity level (SIL)
discrete level (one out of a possible four) for specifying the safety integrity requirements of the
safety functions to be allocated to the E/E/PE safety-related systems, where safety integrity
level 4 has the highest level of safety integrity and safety integrity level 1 has the lowest
NOTE – The target failure measures (see 3.5.13) for the four safety integrity levels are specified in tables 2 and 3
of IEC 61508-1.
3.5.7
software safety integrity level
discrete level (one out of a possible four) for specifying the safety integrity of software in a
safety-related system
NOTE – See 3.5.3 and 3.5.6.
3.5.8
safety requirements specification
specification containing all the requirements of the safety functions that have to be performed
by the safety-related systems
NOTE – This specification is divided into the
– safety functions requirements specification (see 3.5.9);
– safety integrity requirements specification (see 3.5.10).
61508-4 © IEC:1998 – 35 –
3.5.9
safety functions requirements specification
specification containing the requirements for the safety functions that have to be performed by
the safety-related systems
NOTE 1 – This specification is one part (the safety functions part) of the safety requirements specification (see
3.5.8) and contains the precise details of the safety functions that have to be performed by the safety-related
systems.
NOTE 2 – Specifications may be documented in text, flow diagrams, matrices, logic diagrams, etc., providing that
the safety functions are clearly conveyed.
3.5.10
safety integrity requirements specification
specification containing the safety integrity requirements of the safety functions that have to be
performed by the safety-related systems
NOTE – This specification is one part (the safety integrity part) of the safety requirements specification (see 3.5.8).
3.5.11
safety-related software
software that is used to implement safety functions in a safety-related system
3.5.12
mode of operation
way in which a safety-related system is intended to be used, with respect to the frequency of
demands made upon it, which may be either
– low demand mode: where the frequency of demands for operation made on a safety-
related system is no greater than one per year and no greater than twice the proof-test
frequency;
– high demand or continuous mode: where the frequency of demands for operation made
on a safety-related system is greater than one per year or greater than twice the proof-
check frequency
NOTE 1 – High demand or continuous mode covers those safety-related systems which implement continuous
control to maintain functional safety.
NOTE 2 – The target failure measures for safety-related systems operating in low demand mode and high demand
or continuous mode are defined in 3.5.13.
3.5.13
target failure measure
intended probability of dangerous mode failures to be achieved in respect of the safety integrity
requirements, specified in terms of either
– the average probability of failure to perform the design function on demand (for a low
demand mode of operation);
– the probability of a dangerous failure per hour (for a high demand or continuous mode of
operation)
NOTE – The numerical values for the target failure measures are given in tables 2 and 3 of IEC 61508-1.
3.5.14
necessary risk reduction
risk reduction to be achieved by the E/E/PE safety-related systems, other technology safety-
related systems and external risk reduction facilities in order to ensure that the tolerable risk is
not exceeded
61508-4 © IEC:1998 – 37 –
3.6 Fault, failure and error
3.6.1
fault
abnormal condition that may cause a reduction in, or loss of, the capability of a functional unit
to perform a required function
NOTE – IEV 191-05-01 defines “fault” as a state characterised by the inability to perform a required function,
excluding the inability during preventative maintenance or other planned actions, or due to lack of external
resources. See figure 4 for an illustration of these two points of view.
[ISO/IEC 2382-14-01-10]
3.6.2
fault avoidance
use of techniques and procedures which aim to avoid the introduction of faults during any
phase of the safety lifecycle of the safety-related system
3.6.3
fault tolerance
ability of a functional unit to continue to perform a required function in the presence of faults or
errors
NOTE – The definition in IEV
...
NORME CEI
INTERNATIONALE
61508-4
Première édition
1998-12
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 4:
Définitions et abréviations
Cette version française découle de la publication d’origine
bilingue dont les pages anglaises ont été supprimées.
Les numéros de page manquants sont ceux des pages
supprimées.
Numéro de référence
CEI 61508-4:1998(F)
Numérotation des publications
Depuis le 1er janvier 1997, les publications de la CEI sont numérotées à partir de
60000. Ainsi, la CEI 34-1 devient la CEI 60034-1.
Editions consolidées
Les versions consolidées de certaines publications de la CEI incorporant les
amendements sont disponibles. Par exemple, les numéros d’édition 1.0, 1.1 et 1.2
indiquent respectivement la publication de base, la publication de base incorporant
l’amendement 1, et la publication de base incorporant les amendements 1 et 2
Informations supplémentaires sur les publications de la CEI
Le contenu technique des publications de la CEI est constamment revu par la CEI
afin qu'il reflète l'état actuel de la technique. Des renseignements relatifs à cette
publication, y compris sa validité, sont disponibles dans le Catalogue des
publications de la CEI (voir ci-dessous) en plus des nouvelles éditions, amende-
ments et corrigenda. Des informations sur les sujets à l’étude et l’avancement des
travaux entrepris par le comité d’études qui a élaboré cette publication, ainsi que la
liste des publications parues, sont également disponibles par l’intermédiaire de:
• Site web de la CEI (www.iec.ch)
• Catalogue des publications de la CEI
Le catalogue en ligne sur le site web de la CEI (www.iec.ch/searchpub) vous permet
de faire des recherches en utilisant de nombreux critères, comprenant des
recherches textuelles, par comité d’études ou date de publication. Des informations
en ligne sont également disponibles sur les nouvelles publications, les publications
remplacées ou retirées, ainsi que sur les corrigenda.
• IEC Just Published
Ce résumé des dernières publications parues (www.iec.ch/online_news/justpub)
est aussi disponible par courrier électronique. Veuillez prendre contact avec le
Service client (voir ci-dessous) pour plus d’informations.
• Service clients
Si vous avez des questions au sujet de cette publication ou avez besoin de
renseignements supplémentaires, prenez contact avec le Service clients:
Email: custserv@iec.ch
Tél: +41 22 919 02 11
Fax: +41 22 919 03 00
NORME CEI
INTERNATIONALE
61508-4
Première édition
1998-12
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 4:
Définitions et abréviations
IEC 1998 Droits de reproduction réservés
Aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
CODE PRIX
U
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
Pour prix, voir catalogue en vigueur
– 2 – 61508-4 © CEI:1998
SOMMAIRE
Pages
AVANT-PROPOS . 4
INTRODUCTION . 8
Articles
1 Domaine d’application. 12
2 Références normatives. 16
3 Définitions et abréviations . 18
3.1 Termes relatifs à la sécurité . 18
3.2 Matériel et dispositifs . 20
3.3 Systèmes: aspects généraux. 24
3.4 Systèmes: aspects relatifs à la sécurité . 28
3.5 Fonctions de sécurité et intégrité de sécurité . 30
3.6 Anomalie, défaillance et erreur . 36
3.7 Activités liées au cycle de vie . 40
3.8 Confirmation des mesures de sécurité. 42
Annexe A (informative) Bibliographie . 48
Index. 50
Figures
1 Structure générale de la présente norme . 14
2 Système électronique programmable(PES): structure et terminologie. 26
3 Système électrique/électronique/électronique programmable(E/E/PES):
structure et terminologie. 26
4 Modèle de défaillance. 38
Tableau
1 Abréviations utilisées dans la présente norme . 18
– 4 – 61508-4 © CEI:1998
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
_________
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES
ÉLECTRIQUES/ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES
RELATIFS À LA SÉCURITÉ –
Partie 4: Définitions et abréviations
AVANT-PROPOS
1) La CEI (Commission Electrotechnique Internationale) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes internationales.
Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité national intéressé par le
sujet traité peut participer. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec la CEI, participent également aux travaux. La CEI collabore étroitement avec l'Organisation
Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, rapports techniques ou guides et agréés comme tels par les Comités nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer de
façon transparente, dans toute la mesure possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa responsabilité
n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 61508-4 a été établie par le sous-comité 65A: Aspects systèmes,
du comité d'études 65 de la CEI: Mesure et commande dans les processus industriels.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
65A/265/FDIS 65A/275/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
L'annexe A est donnée uniquement à titre d'information.
– 6 – 61508-4 © CEI:1998
La CEI 61508 est composée des parties suivantes, regroupées sous le titre général Sécurité
fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la
sécurité:
– Partie 1: Prescriptions générales
– Partie 2: Prescriptions pour les systèmes électriques/électroniques/électroniques program-
mables relatifs à la sécurité
– Partie 3: Prescriptions concernant les logiciels
– Partie 4: Définitions et abréviations
– Partie 5: Exemples de méthodes pour la détermination des niveaux d’intégrité de sécurité
– Partie 6: Lignes directrices pour l’application des parties 2 et 3
– Partie 7: Présentation de techniques et mesures
Cette partie 4 doit être lue conjointement avec toutes les autres parties.
Elle a le statut d'une publication fondamentale de sécurité conformément au Guide CEI 104.
Le contenu du corrigendum d'avril 1999 a été pris en considération dans cet exemplaire.
– 8 – 61508-4 © CEI:1998
INTRODUCTION
Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des
fonctions liées à la sécurité dans la plupart des secteurs d'application. Des systèmes à base
d’informatique (que l’on nommera de façon générique systèmes électroniques programmables
(PES)) sont utilisés dans tous les secteurs d'application pour exécuter des fonctions non liées
à la sécurité, mais aussi de plus en plus souvent liées à la sécurité. Si l'on veut exploiter
efficacement, et en toute sécurité, la technologie des systèmes informatiques, il est
indispensable de fournir à tous les responsables suffisamment d'éléments liés à la sécurité
pour les guider dans leurs prises de décisions.
La présente Norme internationale présente une approche générique de toutes les activités
liées au cycle de vie de sécurité de systèmes électriques/électroniques/électroniques program-
mables (E/E/PES) qui sont utilisés pour réaliser des fonctions de sécurité. Cette approche
unifiée a été adoptée afin de développer une politique technique rationnelle et cohérente
concernant tous les appareils électriques liés à la sécurité. L'un des principaux objectifs
poursuivis consiste à faciliter l'élaboration de normes par secteur d'application.
Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de
protection fondés sur diverses technologies (par exemple mécanique, hydraulique,
pneumatique, électrique, électronique, électronique programmable). En conséquence, il faut
que toute stratégie de sécurité prenne non seulement en compte tous les éléments d'un
système individuel, (par exemple les capteurs, les appareils de commande, les actionneurs),
mais qu'elle doit considère aussi tous les systèmes relatifs à la sécurité comme des éléments
individuels d’un ensemble complexe. C'est pourquoi la présente Norme internationale, bien que
traitant essentiellement des systèmes E/E/PES relatifs à la sécurité, fournit néanmoins un
cadre de sécurité susceptible de concerner les systèmes relatifs à la sécurité basés sur
d’autres technologies.
Personne n'ignore la grande variété des applications E/E/PES. Celles-ci recouvrent, à des
degrés de complexité très divers, un fort potentiel de danger et de risques dans tous les
secteurs d'application. Pour chaque application, la nature exacte des mesures de sécurité
envisagées dépendra de plusieurs facteurs propres à l'application. La présente Norme
internationale, de par son caractère général, rendra désormais possible la prescription de ces
mesures dans des Normes internationales par secteur d'application.
La présente Norme internationale
– concerne toutes les phases appropriées du cycle de vie de sécurité global des E/E/PES et
du logiciel (depuis la conceptualisation initiale, en passant par la conception, l'installation,
l’exploitation et la maintenance, jusqu'à la mise hors service) lorsque les E/E/PES
exécutent des fonctions de sécurité;
– a été élaborée dans le souci de l'évolution rapide des technologies; le cadre fourni par la
présente Norme internationale est suffisamment solide et étendu pour pourvoir aux
évolutions futures;
– permet l'élaboration de normes internationales par secteur d'application concernant les
E/E/PES relatifs à la sécurité; l'élaboration de normes internationales par secteur
d'application à partir de la présente norme internationale devrait permettre d'atteindre un
haut niveau de cohérence (par exemple pour ce qui est des principes sous-jacents, de la
terminologie, de la documentation, etc.) à la fois au sein de chaque secteur d'application, et
d'un secteur à l'autre; la conséquence en est une amélioration en termes de sécurité et de
bénéfices économiques;
– fournit une méthode de développement des prescriptions de sécurité nécessaires pour
réaliser la sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité;
– 10 – 61508-4 © CEI:1998
– utilise des niveaux d’intégrité de sécurité afin de spécifier les niveaux cibles d’intégrité de
sécurité des fonctions de sécurité devant être réalisées par les systèmes E/E/PE relatifs à
la sécurité;
– adopte une approche basée sur le risque encouru pour déterminer les niveaux d’intégrité
de sécurité prescrits;
– fixe des objectifs quantitatifs pour les mesures de défaillances des systèmes E/E/PE
relatifs à la sécurité qui sont en rapport avec les niveaux d’intégrité de sécurité;
– fixe une limite inférieure pour les mesures de défaillances, dans le cas d’un mode de
défaillance dangereux, cette limite pouvant être exigée pour un système E/E/PE relatif à la
sécurité unique; dans le cas d’un système E/E/PE relatif à la sécurité fonctionnant
– dans un mode de faible sollicitation, la limite inférieure est fixée à une probabilité
–5
moyenne de défaillance de 10 afin que les fonctions pour lesquelles le système a été
conçu soient exécutées lorsqu’elles sont requises,
– dans un mode de fonctionnement continu ou de forte sollicitation, la limite inférieure est
–9
fixée à une probabilité de défaillance dangereuse de 10 par heure;
NOTE – Un système E/E/PE relatif à la sécurité unique n’implique pas nécessairement une architecture à une seule voie.
– adopte une large gamme de principes, techniques et mesures pour la réalisation de la
sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité, mais n’utilise pas le
concept de sécurité intrinsèque qui peut être intéressant lorsque les modes de défaillances
sont bien définis et que le niveau de complexité est relativement faible; le concept de
sécurité intrinsèque a été considéré comme inadéquat en raison de l’immense gamme de
complexité des systèmes E/E/PE relatifs à la sécurité qui entrent dans le domaine
d’application de la présente norme.
– 12 – 61508-4 © CEI:1998
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES
ÉLECTRIQUES/ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES
RELATIFS À LA SÉCURITÉ –
Partie 4: Définitions et abréviations
1 Domaine d’application
1.1 La présente partie de la CEI 61508 contient les définitions et explications des termes
utilisés dans les parties 1 à 7 de cette norme
1.2 Les définitions sont regroupées sous des titres généraux de telle sorte que les termes qui
sont en rapport puissent être compris dans le contexte des autres. Toutefois, il convient de
remarquer que ces titres ne sont pas attribués pour ajouter un sens aux définitions et, dans
cette perspective, il convient de ne pas prendre en considération les titres de regroupement.
1.3 Les parties 1, 2, 3 et 4 de la présente norme sont des publications fondamentales de
sécurité, bien qu'un tel statut ne soit pas applicable dans le contexte des systèmes E/E/PE de
faible complexité relatifs à la sécurité (voir 3.4.4 de la partie 4). En tant que publications
fondamentales de sécurité, ces normes sont prévues pour être utilisées par les comités
techniques pour la préparation des normes selon les principes contenus dans le Guide CEI 104
et le Guide ISO/CEI 51. Les parties 1, 2, 3 et 4 sont également destinées à être utilisées
comme publications autonomes.
Une des responsabilités incombant à un comité technique est, dans la mesure du possible,
d'utiliser les publications fondamentales de sécurité pour la préparation de ses publications.
Dans ce contexte les prescriptions, les méthodes d’essai ou conditions d’essai de cette
publication fondamentale de sécurité ne s’appliquent que si elles sont indiquées
spécifiquement ou incluses dans les publications préparées par ces comités techniques.
1.4 La figure 1 montre la structure générale des parties 1 à 7 de la CEI 61508 et indique le
rôle que CEI 61508-4 joue dans la réalisation de la sécurité fonctionnelle pour les systèmes
E/E/PE relatifs à la sécurité.
NOTE – Aux Etats-Unis d’Amérique et au Canada, les normes nationales de sécurité des processus existantes,
basées sur la CEI 61508 (par exemple l’ANSI/ISA S84.01-1996, voir référence [8] à l’annexe C) peuvent être
appliquées dans le domaine des processus, à la place de la CEI 61508, et cela jusqu'à ce que les normes
internationales concernant la mise en œuvre de la CEI 61508 dans le domaine des processus soient publiées.
– 14 – 61508-4 © CEI:1998
Prescriptions
PARTIE 1
techniques
Développement des prescriptions globales
de sécurité (concept, définition du domaine
d’application, analyse de danger et de
PARTIE 5
risque) (Systèmes E/E/PE relatifs à la
sécurité, systèmes relatifs à la sécurité basés
Approches basées sur le
sur d’autres technologies et dispositifs
risque pour le développement
externes de réduction de risque) 7.1 à 7.5
des prescriptions d’intégrité
de sécurité
Autres
PARTIE 1
prescriptions
Allocation des prescriptions
de sécurité aux systèmes
E/E/PE relatifs à la sécurité
PARTIE 7
Définitions et
7.6
Présentation des abréviations
techniques
et mesures
PARTIE 4
PARTIE 6
Lignes directrices pour
Phase de
Phase de
Documentation
la mise en œuvre de la
réalisation pour
réalisation des
Article 5 et
CEI 61508-2 et de la
les systèmes
logiciels relatifs
Annexe A
CEI 61508-3
E/E/PE relatifs à
à la sécurité
la sécurité
PARTIE 1
PARTIE 2 PARTIE 3
Gestion de la
sécurité fonctionnelle
Article 6
PARTIE 1
PARTIE 1
Installation, mise en service et
validation de la sécurité des
Evaluation de la
systèmes E/E/PE relatifs à la
sécurité fonctionnelle
sécurité
Article 8
7.13 et 7.14
PARTIE 1
PARTIE 1
Exploitation et maintenance,
modification et remise à niveau,
mise hors service ou au rebut des
systèmes E/E/PE relatifs à la sécurité
7.15 à 7.17
IEC 1 656/98
Figure 1 — Structure générale de la présente norme
– 16 – 61508-4 © CEI:1998
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente partie de la CEI 61508.
Au moment de la publication, les éditions indiquées étaient en vigueur. Tout document normatif
est sujet à révision et les parties prenantes aux accords fondés sur la présente partie de la CEI
61508 sont invitées à rechercher la possibilité d’appliquer les éditions les plus récentes des
documents normatifs indiqués ci-après. Les membres de la CEI et de l’ISO possèdent le
registre des Normes internationales en vigueur.
CEI 60050(191):1990, Vocabulaire Electrotechnique International (VEI) – Chapitre 191: Sûreté
de fonctionnement et qualité de service
CEI 60050(351):1975, Vocabulaire Electrotechnique International (VEI) – Chapitre 351:
Commande et régulation automatiques
CEI 61508-1:1998, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 1: Prescriptions générales
CEI 61508-2:—, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 2: Prescriptions pour les systèmes électriques/
1)
électroniques/électroniques programmables relatifs à la sécurité
CEI 61508-3:1998, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 3: Prescriptions concernant les logiciels
CEI 61508-5:1998, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 5: Exemples de méthodes pour la détermination
des niveaux d'intégrité de sécurité
CEI 61508-6:—, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 6: Lignes directrices pour l'application de la
1)
CEI 61508-2 et la CEI 61508-3
CEI 61508-7:—, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
1)
programmables relatifs à la sécurité – Partie 7: Présentation de techniques et mesures
Guide CEI 104:1997, Elaboration des publications de sécurité et utilisation des publications
fondamentales de sécurité et publications groupées de sécurité
ISO/CEI 2382-14:1998, Traitement de l’information – Vocabulaire – Partie 14: Fiabilité, maintenabilité
et disponibilité
Guide ISO/CEI 51:1990, Aspects liés à la sécurité – Principes directeurs pour les inclure dans
les normes
ISO 8402:1994, Management de la qualité et assurance de la qualité – Vocabulaire
________
1)
A publier.
– 18 – 61508-4 © CEI:1998
3 Définitions et abréviations
Pour les besoins de la présente Norme internationale, les définitions suivantes s'appliquent,
ainsi que les abréviations données dans le tableau 1.
Tableau 1 — Abréviations utilisées dans la présente norme
Abréviation Expression complète Définition et/ou explication du terme
MooN Architecture N canaux parmi M Annexe B de la CEI 61508-6
(par exemple 1oo2 est une architecture où chacun
des deux canaux peut accomplir la fonction de
sécurité)
MooND Architecture N canaux parmi M, avec diagnostic Annexe B de la CEI 61508-6
ALARP Aussi faible que raisonnablement possible Annexe B de la CEI 61508-5
E/E/PE Electrique/électronique/électronique programmable 3.2.6
E/E/PES Système électrique/électronique/électronique 3.3.3
programmable
EUC Matériel commandé 3.2.3
PES Système électronique programmable 3.3.2
PLC Automate programmable Annexe E de la CEI 61508-6
SIL Niveau d’intégrité de sécurité 3.5.6
3.1 Termes relatifs à la sécurité
3.1.1
dommage
blessure physique ou atteinte à la santé affectant des personnes soit directement soit indirec-
tement comme conséquence à un dégât causé aux biens ou à l’environnement
[Guide 51 ISO/CEI:1990 (modifié)]
NOTE – Cette définition doit être considérée en cas d’analyse d’un phénomène dangereux et d’un risque (voir
CEI 61508-1, 7.4). Si le domaine d’application devait être élargi (i.e. pour inclure les dégâts causés à
l’environnement qui ne produisent pas de blessures physiques ou atteintes à la santé) elle devrait être considérée
dans la phase de définition globale du domaine d’application (voir CEI 61508-1, 7.3).
3.1.2
phénomène dangereux
une source potentielle de danger [Guide 51 ISO/CEI:1990]
NOTE – Ce terme comprend le danger sur des personnes survenant dans un laps de temps très court (feu ou
explosion), mais aussi le danger à long terme sur la santé d’une personne (dégagement d’une substance toxique).
3.1.3
situation dangereuse
situation dans laquelle une personne est exposée à un (des) phénomène(s) dangereux
3.1.4
événement dangereux
situation dangereuse qui conduit à un dommage
3.1.5
risque
une combinaison de la probabilité d’un dommage et de sa gravité
[Guide 51 ISO/CEI:1990 (modifié)]
NOTE – Pour plus d’information sur ce concept, voir annexe A de la CEI 61508-5.
3.1.6
risque tolérable
risque accepté dans un certain contexte et fondé sur les valeurs actuelles de la société
NOTE – Voir annexe B de la CEI 61508-5.
– 20 – 61508-4 © CEI:1998
3.1.7
risque résiduel
risque restant après que toutes les mesures de prévention ont été prises
3.1.8
sécurité
absence de risque inacceptable
3.1.9
sécurité fonctionnelle
sous-ensemble de la sécurité globale se rapportant à l’EUC et au système de commande de
l’EUC qui dépend du fonctionnement correct des systèmes E/E/PE relatifs à la sécurité, des
systèmes relatifs à la sécurité basés sur une autre technologie et des dispositifs externes de
réduction de risque
3.1.10
état de sécurité
état de l'EUC lorsque la sécurité est réalisée
NOTE – Durant son évolution depuis un état potentiellement dangereux vers un état de sécurité final, l'EUC est
susceptible de passer par un certain nombre d'états de sécurité intermédiaires. Dans certaines situations, l'état de
sécurité n'est atteint que durant le laps de temps où l'EUC est continuellement commandé. Cette commande
continue peut s'étendre sur une période courte ou indéfinie.
3.1.11
mauvais usage raisonnablement prévisible
utilisation d'un produit, d'un procédé ou d'un service dans des conditions ou des fins non prévues
par le fournisseur, mais qui peut être induite par le comportement humain habituel en conjonction
avec la conception du produit, du procédé ou du service, ou comme résultat de ce comportement
3.2 Matériel et dispositifs
3.2.1
unité fonctionnelle
entité matérielle ou logicielle, ou les deux à la fois, capable de remplir une fonction déterminée
NOTE – Dans le VEI 191-01-01, le terme «entité» est employé à la place d’unité fonctionnelle. Une entité peut,
dans certains cas, comprendre du personnel.
[ISO/CEI 2382-14-01-01]
3.2.2
logiciel
création intellectuelle comprenant les programmes, les données, les procédures et règles, ainsi que
toute documentation se référant au fonctionnement d'un système de traitement de données
NOTE 1 – Le logiciel est indépendant du support sur lequel il a été enregistré.
NOTE 2 – Cette définition sans la note 1 diffère de l’ISO 2382-1, et la définition complète diffère de l’ISO 9000-3
par l’ajout du mot «données».
3.2.3
équipement commandé (EUC)
équipement, machine, appareil ou installation utilisés pour les activités de fabrication, de
traitement, de transport, médicales ou d’autres activités
NOTE – Le système de commande de l’EUC est séparé et distinct de l’EUC.
– 22 – 61508-4 © CEI:1998
3.2.4
risque EUC
risque provenant de l’EUC ou de l’interaction de l’EUC avec son système de commande
NOTE 1 – Dans ce contexte, il s’agit du risque associé à l’événement dangereux spécifique pour lequel les
systèmes E/E/PE relatifs à la sécurité, les systèmes relatifs à la sécurité basés sur une autre technologie et les
dispositifs externes de réduction de risque doivent être utilisés afin de procurer la réduction de risque nécessaire
(c’est-à-dire le risque associé à la sécurité fonctionnelle).
NOTE 2 – Le risque EUC est abordé dans la figure A.1 de la CEI 61508-5. L’objectif principal dans la détermination
du risque EUC est d’établir un point de référence pour le risque sans prendre en compte les systèmes E/E/PE
relatifs à la sécurité, les systèmes relatifs à la sécurité basés sur une autre technologie et les dispositifs externes
de réduction de risque.
NOTE 3 – L’évaluation de ce risque comprend les problèmes associés aux facteurs humains.
3.2.5
électronique programmable (PE)
technologie basée sur l’informatique, pouvant comprendre du matériel, du logiciel, ainsi que les
unités d'entrée et/ou de sortie
NOTE – Ce terme recouvre les appareils micro-électroniques basés sur une ou plusieurs unités centrales de
traitement (CPU) associées à des mémoires, etc.
EXEMPLES Tous les dispositifs suivants sont des dispositifs électroniques programmables:
– les microprocesseurs;
– les microcontrôleurs;
– les automates programmables (PC);
– les circuits intégrés spécifiques à une application (ASIC);
– les automates logiques programmables (PLC);
– les autres appareils basés sur la technologie informatique (par exemple capteurs intelligents, les transmetteurs,
les actionneurs).
3.2.6
électrique/électronique/électronique programmable (E/E/PE)
technologie basée sur la technologie électrique (E), et/ou électronique (E) et/ou électronique
programmable (PE)
NOTE – Ce terme désigne l'ensemble des appareils fonctionnant selon les principes électriques.
EXEMPLE Les dispositifs électriques/électroniques/électroniques programmables comprennent
– les appareils électromécaniques (électriques);
– les appareils électroniques non programmables à circuits intégrés (électroniques);
– les appareils électroniques basés sur la technologie informatique (électroniques programmables); voir 3.2.5.
3.2.7
langage de variabilité limitée
langage de programmation de logiciel, textuel ou graphique, pour les automates program-
mables destinés aux applications commerciales et industrielles dont l’étendue des possibilités
est limitée aux besoins de leur application
EXEMPLE Les langages suivants sont des langages de variabilité limitée, définis à partir de la CEI 61131-3 et
d’autres sources, utilisés pour représenter le programme d’application d’un système d’automates programmables:
– langage à contacts: langage graphique consistant en une série de symboles d’entrée (représentant le
comportement de dispositifs similaires à des contacts normalement ouverts et des contacts normalement fermés)
interconnectés par des lignes (pour indiquer le sens du courant) à des symboles de sortie (représentant un
comportement similaire à celui de relais);
– algèbre booléenne: langage de bas niveau basé sur des opérateurs booléens tels que ET, OU et NON avec la
possibilité d’ajouter quelques instructions mnémoniques;
– langage en blocs fonctionnels: en plus des opérateurs booléens, il permet l’utilisation de fonctions plus
complexes telles que fichiers de transfert de données, bloc de transfert lecture/écriture, registre à décalage et
séquenceur d’instructions;
– diagramme fonctionnel en séquence: représentation graphique d’un programme séquentiel consistant en étapes
interconnectées, actions et liens orientés comportant des conditions de transition.
– 24 – 61508-4 © CEI:1998
3.3 Systèmes: aspects généraux
3.3.1
système
ensemble d’éléments qui interagissent selon un modèle précis, un élément pouvant être un
autre système, appelé sous-système, les sous-systèmes pouvant être eux-mêmes soit un
système de commande soit un système commandé composé de matériel, de logiciel en
interaction avec l’être humain
NOTE 1 – Une personne peut faire partie d'un système (voir aussi note 5 en 3.4.1).
NOTE 2 – Cette définition est différente de celle du VEI 351-01-01
3.3.2
système électronique programmable (PES)
système de commande, de protection ou de surveillance basé sur un ou plusieurs dispositifs
électroniques programmables. Ce terme recouvre tous les éléments du système, tels que
l'alimentation, les capteurs, ou autres dispositifs d'entrée, jusqu'aux actionneurs, ou autres
dispositifs de sortie, en passant par les autoroutes de données ou autres voies de communi-
cation (voir la figure 2)
NOTE – La structure d'un PES est présentée à la figure 2 a). La figure 2 b) illustre la façon dont est représenté le
PES dans cette Norme internationale, l'électronique programmable étant une unité distincte des capteurs et
actionneurs de l'EUC et de leurs interfaces. Cependant l'électronique programmable peut être présente en divers
endroits du PES. La figure 2 c) présente un PES pourvu de deux unités discrètes d'électronique programmable. La
figure 2 d) illustre un PES pourvu d'une électronique programmable doublée (c'est-à-dire à deux canaux), mais avec
un seul capteur et un seul actionneur.
3.3.3
système électrique/électronique/électronique programmable (E/E/PES)
système de commande, de protection ou de surveillance basé sur un ou plusieurs dispositifs
électroniques programmables. Ce terme recouvre tous les éléments du système, tels que
l'alimentation, les capteurs, ou autres dispositifs d'entrée, jusqu'aux actionneurs, ou autres
dispositifs de sortie, en passant par les autoroutes de données ou autres voies de
communication (voir la figure 3)
3.3.4
système de commande de l’EUC
système qui réagit à des signaux d’entrée provenant du processus et/ou d’un opérateur et qui
produit des signaux de sortie qui font que l’EUC fonctionne de la façon souhaitée
NOTE – Le système de commande de l’EUC comprend des dispositifs d’entrée et des éléments terminaux.
3.3.5
architecture
configuration spécifique des éléments matériels et logiciels dans un système
3.3.6
module
composant de série ou discret ou ensemble fonctionnel de composants de série ou discrets
encapsulés formant un tout
3.3.7
module logiciel
construction consistant en des procédures et/ou déclarations de données pouvant aussi être
en interaction avec d’autres constructions de même nature
– 26 – 61508-4 © CEI:1998
Interfaces d’entrée Interfaces de sortie
convertisseurs Communications convertisseurs
Etendue
numérique-analogique
analogique-numérique
du PES
Electronique
programmable
(voir note)
Dispositifs d’entrée Dispositifs de sortie/éléments terminaux
(par exemple actionneurs)
(par exemple capteurs)
a) Structure de base d’un PES
PE
PE
PE PE PE
1 2
PE
b) PES seul avec un seul dispositif c) PES seul avec deux dispositifs d) PES seul avec deux dispositifs
électronique programmable (c’est-à-dire électroniques programmables en série électroniques programmables qui
un seul PES composé d’une électronique (par exemple capteur intelligent et se partagent les capteurs et les
programmable à un seul canal) automate programmable) éléments terminaux (c’est-à-dire
un PES composé de deux canaux
d’électronique programmable)
IEC 1 657/98
NOTE – L'électronique programmable est présentée de façon centrale, mais elle peut se situer en différents endroits du PES.
Figure 2 — Système électronique programmable(PES): structure et terminologie
Interfaces d’entrée Interfaces de sortie
convertisseurs convertisseurs
analogique-numérique numérique-analogique
Communications
Etendue du
E/E/PES
Dispositif
E/E/PE
Dispositifs d’entrée Dispositifs de sortie/
(par exemple capteurs) éléments terminaux
(par exemple actionneurs)
IEC 1 658/98
NOTE – Le dispositif E/E/PE est présenté de façon centrale mais un tel ou de tels dispositifs peuvent se situer en
différents endroits du E/E/PES.
Figure 3 — Système électrique/électronique/électronique programmable(E/E/PES):
structure et terminologie
– 28 – 61508-4 © CEI:1998
3.3.8
canal
élément ou groupe d'éléments exécutant une fonction indépendante
EXEMPLE Une configuration à deux canaux (à canal doublé) comprend deux canaux réalisant indépendamment la
même fonction.
NOTE 1 – Les éléments d'un canal peuvent par exemple comporter des modules d'entrée et de sortie, un système
logique (voir 3.4.5), des capteurs et des éléments terminaux.
NOTE 2 – Ce terme peut être utilisé pour décrire un système complet ou une partie seulement d’un système (par
exemple les capteurs ou les éléments terminaux).
3.3.9
diversité
moyens différents pour réaliser une fonction requise
EXEMPLE La diversité peut être réalisée en utilisant d’autres principes physiques ou d’autres manières de
résoudre un même problème.
3.3.10
redondance
existence de plus de moyens que strictement nécessaire pour accomplir une fonction requise
dans une unité fonctionnelle ou pour représenter des informations par des données.
EXEMPLE Utilisation d’éléments fonctionnels en double, adjonction de bits de parité
NOTE 1 – La redondance sert essentiellement à améliorer la fiabilité ou la disponibilité.
NOTE 2 – La définition du VEI 191-15-01 est moins complète.
[ISO/CEI 2382-14-01-12]
3.4 Systèmes: aspects relatifs à la sécurité
3.4.1
système relatif à la sécurité
un tel système est un système qui, à la fois
– met en oeuvre les fonctions de sécurité requises pour atteindre un état de sécurité de
l'EUC ou pour maintenir un tel état;
– est prévu pour atteindre, par lui même ou grâce à des systèmes E/E/PE relatifs à la
sécurité, ou des systèmes relatifs à la sécurité basés sur une autre technologie ou des
dispositifs externes de réduction de risque, le niveau d'intégrité de sécurité nécessaire à la
mise en oeuvre des fonctions de sécurité requises.
NOTE 1 – Ce terme fait référence aux systèmes spécifiques dits relatifs à la sécurité qui, avec les dispositifs externes
de réduction de risque (voir 3.4.3), permettent de réaliser la réduction de risque nécessaire, afin d'atteindre le
niveau de sécurité tolérable requis (voir 3.1.6). Voir également annexe A de la CEI 61508-5.
NOTE 2 – Les systèmes relatifs à la sécurité sont conçus pour empêcher l'EUC d'entrer dans un état dangereux en
prenant les mesures appropriées dès l'arrivée des commandes. La défaillance d'un système relatif à la sécurité
serait alors incluse dans les événements à l'origine du ou des phénomènes dangereux déterminés. Bien qu'il puisse
exister d'autres systèmes possédant des fonctions de sécurité, ce sont les systèmes relatifs à la sécurité qui ont
été choisis pour atteindre à leur façon le niveau de risque tolérable. Les systèmes relatifs à la sécurité peuvent
globalement être divisés en deux classes, les systèmes relatifs à la sécurité de commande et les systèmes relatifs
à la sécurité de protection et ils ont deux modes de fonctionnement (voir 3.5.12).
NOTE 3 – Les systèmes relatifs à la sécurité peuvent faire partie intégrante du système de commande de l'EUC ou
peuvent être interfacés avec l'EUC par l'intermédiaire de capteurs et/ou d'actionneurs. Cela signifie qu'il est
possible d'atteindre le niveau d'intégrité de sécurité requis en mettant en oeuvre les fonctions de sécurité dans le
système de commande de l'EUC (et également par l'adjonction éventuelle de systèmes séparés et indépendants) ou
que ces fonctions de sécurité peuvent être exécutées par des systèmes séparés et indépendants dédiés à la sécurité.
NOTE 4 – Un système relatif à la sécurité peut
a) être choisi pour prévenir un événement dangereux (c'est-à-dire qu'aucun événement dangereux ne survient tant
que les systèmes relatifs à la sécurité exécutent leurs fonctions de sécurité);
b) être choisi pour réduire les effets d'un événement dangereux, réduisant ainsi le risque en réduisant les
conséquences de ce risque;
c) être choisi pour réaliser une combinaison de a) et b).
– 30 – 61508-4 © CEI:1998
NOTE 5 – Une personne peut faire partie d'un système relatif à la sécurité (voir 3.3.1). Par exemple, une personne
peut recevoir des informations d'un dispositif électronique programmable et exécuter une activité de sécurité à
partir de cette information, éventuellement par l'intermédiaire d'un dispositif électronique programmable.
NOTE 6 – Ce terme recouvre l'ensemble des matériels, logiciels, ainsi que tous les équipements annexes (par
exemple alimentation) nécessaires pour mener à bien la fonction de sécurité spécifiée (les capteurs, les autres
dispositifs d'entrée, les éléments terminaux (actionneurs) ainsi que les autres dispositifs de sortie sont par
conséquent compris dans le système relatif à la sécurité).
NOTE 7 – Un système relatif à la sécurité peut être basé sur une large gamme de technologies, comprenant les
technologies électrique, électronique, électronique programmable, hydraulique et pneumatique.
3.4.2
système relatif à la sécurité basé sur une autre technologie
systèmes relatifs à la sécurité qui sont basés sur une technologie autre qu'électrique/-
électronique/ électronique programmable
EXEMPLE Une soupape de sécurité est un système relatif à la sécurité basé sur une autre technologie.
3.4.3
dispositifs externes de réduction de risque
mesures destinées à réduire ou atténuer les risques qui sont séparées et distinctes et
n’utilisent pas de système E/E/PE relatif à la sécurité ou un système relatif à la sécurité basé
sur une autre technologie
EXEMPLE Un système de drainage, une cloison coupe-feu, une digue sont des dispositifs externes de réduction de risque.
3.4.4
système E/E/PE relatif à la sécurité de faible complexité
système E/E/PE relatif à la sécurité (voir 3.2.6 et 3.4.1) pour lequel
– les modes de défaillance de chaque composant individuel sont bien définis;
– le comportement du système dans des conditions anormales peut être complètement déterminé.
NOTE – Le comportement du système dans des conditions anormales peut être déterminé par des méthodes
analytiques et/ou d’essai.
EXEMPLE Un système qui comprend un ou plusieurs interrupteurs de fin de course, faisant fonctionner, éventuel-
lement via des relais électromécaniques interposés, un ou plusieurs contacteurs destinés à couper l’alimentation de
moteurs électriques est un système E/E/PE relatif à la sécurité de faible complexité.
3.4.5
système logique
portion d'un système qui réalise les fonctions logiques, à l'exception des capteurs et des
éléments terminaux
NOTE – Dans cette norme, les systèmes logiques suivants sont utilisés:
– systèmes logiques électriques pour la technologie électromécanique;
– systèmes logiques électroniques pour la technologie électronique;
– systèmes logiques programmables pour les systèmes électroniques programmables.
3.5 Fonctions de sécurité et intégrité de sécurité
3.5.1
fonction de sécurité
fonction à réaliser par un système E/E/PE relatif à la sécurité, par un système relatif à la
sécurité basé sur une autre technologie, ou par un dispositif externe de réduction de risque,
prévue pour assurer ou maintenir un état de sécurité de l’EUC par rapport à un événement
dangereux spécifique (voir 3.4.1)
3.5.2
intégrité de sécurité
probabilité pour qu'un système relatif à la sécurité exécute de manière satisfaisante les fonctions de
sécurité requises dans toutes les conditions spécifiées et dans une période de temps spécifiée
NOTE 1 – Plus le niveau d'intégrité de sécurité des systèmes relatifs à la sécurité est élevé, plus la probabilité
d'une défaillance des systèmes relatifs à la sécurité dans l'exécution des fonctions requises est faible.
NOTE 2 – Il y a quatre niveaux d'intégrité de sécurité pour les systèmes (voir 3.5.6).
– 32 – 61508-4 © CEI:1998
NOTE 3 – Il convient que l'évaluation de l'intégrité de sécurité prenne en compte toutes les causes de défaillance (à la fois les
défaillances aléatoires du matériel et les défaillances systématiques) conduisant à un état de non-sécurité, par exemple les
défaillances de matériel, les défaillances induites du logiciel et les défaillances dues aux perturbations électriques. Certaines de
ces défaillances, en particulier les défaillances accidentelles du matériel, peuvent être quantifiées à l'aide de mesures telles
que celle du taux de défaillance en mode de défaillance dangereux, ou de la probabilité de défaillance de fonctionnement à la
demande d'un système de protection de sécurité. Cependant, la sécurité intégrale d'un système dépend également de
plusieurs facteurs qui ne peuvent être précisément quantifiés, mais simplement considérés d'un point de vue qualitatif.
NOTE 4 – L'intégrité de sécurité comprend l'intégrité de sécurité du matériel (voir 3.5.5) ainsi que l'intégrité de
sécurité systématique (voir paragraphe 3.5.4).
NOTE 5 – Cette défini
...
IEC 61508-4
Edition 1.0 1998-12
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
BASIC SAFETY PUBLICATION
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 4: Definitions and abbreviations
Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 4: Définitions et abréviations
Copyright © 1998 IEC, Geneva, Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by
any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either IEC or
IEC's member National Committee in the country of the requester.
If you have any questions about IEC copyright or have an enquiry about obtaining additional rights to this publication,
please contact the address below or your local IEC member National Committee for further information.
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite
ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie
et les microfilms, sans l'accord écrit de la CEI ou du Comité national de la CEI du pays du demandeur.
Si vous avez des questions sur le copyright de la CEI ou si vous désirez obtenir des droits supplémentaires sur cette
publication, utilisez les coordonnées ci-après ou contactez le Comité national de la CEI de votre pays de résidence.
IEC Central Office
3, rue de Varembé
CH-1211 Geneva 20
Switzerland
Email: inmail@iec.ch
Web: www.iec.ch
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.
About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigenda or an amendment might have been published.
ƒ Catalogue of IEC publications: www.iec.ch/searchpub
The IEC on-line Catalogue enables you to search by a variety of criteria (reference number, text, technical committee,…).
It also gives information on projects, withdrawn and replaced publications.
ƒ IEC Just Published: www.iec.ch/online_news/justpub
Stay up to date on all new IEC publications. Just Published details twice a month all new publications released. Available
on-line and also by email.
ƒ Electropedia: www.electropedia.org
The world's leading online dictionary of electronic and electrical terms containing more than 20 000 terms and definitions
in English and French, with equivalent terms in additional languages. Also known as the International Electrotechnical
Vocabulary online.
ƒ Customer Service Centre: www.iec.ch/webstore/custserv
If you wish to give us your feedback on this publication or need further assistance, please visit the Customer Service
Centre FAQ or contact us:
Email: csc@iec.ch
Tel.: +41 22 919 02 11
Fax: +41 22 919 03 00
A propos de la CEI
La Commission Electrotechnique Internationale (CEI) est la première organisation mondiale qui élabore et publie des
normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.
A propos des publications CEI
Le contenu technique des publications de la CEI est constamment revu. Veuillez vous assurer que vous possédez
l’édition la plus récente, un corrigendum ou amendement peut avoir été publié.
ƒ Catalogue des publications de la CEI: www.iec.ch/searchpub/cur_fut-f.htm
Le Catalogue en-ligne de la CEI vous permet d’effectuer des recherches en utilisant différents critères (numéro de référence,
texte, comité d’études,…). Il donne aussi des informations sur les projets et les publications retirées ou remplacées.
ƒ Just Published CEI: www.iec.ch/online_news/justpub
Restez informé sur les nouvelles publications de la CEI. Just Published détaille deux fois par mois les nouvelles
publications parues. Disponible en-ligne et aussi par email.
ƒ Electropedia: www.electropedia.org
Le premier dictionnaire en ligne au monde de termes électroniques et électriques. Il contient plus de 20 000 termes et
définitions en anglais et en français, ainsi que les termes équivalents dans les langues additionnelles. Egalement appelé
Vocabulaire Electrotechnique International en ligne.
ƒ Service Clients: www.iec.ch/webstore/custserv/custserv_entry-f.htm
Si vous désirez nous donner des commentaires sur cette publication ou si vous avez des questions, visitez le FAQ du
Service clients ou contactez-nous:
Email: csc@iec.ch
Tél.: +41 22 919 02 11
Fax: +41 22 919 03 00
IEC 61508-4
Edition 1.0 1998-12
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
BASIC SAFETY PUBLICATION
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 4: Definitions and abbreviations
Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 4: Définitions et abréviations
INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
COMMISSION
ELECTROTECHNIQUE
PRICE CODE
INTERNATIONALE
U
CODE PRIX
ICS 25.040.40; 29.020 ISBN 2-8318-4584-X
61508-4 © IEC:1998 – 3 –– 2 – 61508-4 © IEC:1998
CONTENTS
Page
FOREWORD . 5
INTRODUCTION . 9
Clause
1 Scope.7
2 Normative references.9
3 Definitions and abbreviations.10
3.1 Safety terms.10
3.2 Equipment and devices .11
3.3 Systems: general aspects .13
3.4 Systems: safety-related aspects .15
3.5 Safety functions and safety integrity .16
3.6 Fault, failure and error.19
3.7 Lifecycle activities.21
3.8 Confirmation of safety measures .22
Annex A (informative) Bibliography .25
Index.26
Figures
1 Overall framework of this standard . 8
2 Programmable electronic system (PES): structure and terminology.14
3 Electrical/electronic/programmable electronic system (E/E/PES):
structure and terminology .14
4 Failure model .20
Table
1 Abbreviations used in this standard .10
61508-4 © IEC:199861508-4 © IEC:1998 – 5 –– 3 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
_________
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 4: Definitions and abbreviations
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International Organization
for Standardization (ISO) in accordance with conditions determined by agreement between the two
organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical reports or guides and they are accepted by the National Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 61508-4 has been prepared by subcommittee 65A: System aspects,
of IEC technical committee 65: Industrial-process measurement and control.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/265/FDIS 65A/275/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
Annex A is for information only.
61508-4 © IEC:1998 – 7 –– 4 – 61508-4 © IEC:1998
IEC 61508 consists of the following parts, under the general title Functional safety of elec-
trical/electronic/programmable electronic safety-related systems:
– Part 1: General requirements
– Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems
– Part 3: Software requirements
– Part 4: Definitions and abbreviations
– Part 5: Examples of methods for the determination of safety integrity levels
– Part 6: Guidelines on the application of parts 2 and 3
– Part 7: Overview of techniques and measures
This part 4 shall be read in conjunction with all other parts.
It has the status of a basic safety publication in accordance with IEC Guide 104.
The contents of the corrigendum of April 1999 have been included in this copy.
61508-4 © IEC:199861508-4 © IEC:1998 – 9 –– 5 –
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years
to perform safety functions in most application sectors. Computer-based systems (generically
referred to as programmable electronic systems (PESs)) are being used in all application
sectors to perform non-safety functions and, increasingly, to perform safety functions. If
computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make those decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/electronic/ programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and consistent
technical policy be developed for all electrically based safety-related systems. A major
objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which rely on many
technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic,
programmable electronic). Any safety strategy must therefore consider not only all the
elements within an individual system (for example sensors, controlling devices and actuators)
but also all the safety-related systems making up the total combination of safety-related
systems. Therefore, while this International Standard is concerned with electrical/elec-
tronic/programmable electronic (E/E/PE) safety-related systems, it may also provide a
framework within which safety-related systems based on other technologies may be
considered.
It is recognised that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the required safety measures will be dependent on many factors specific to the
application. This International Standard, by being generic, will enable such measures to be
formulated in future application sector international standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector international standards, dealing with safety-related E/E/PESs, to
be developed; the development of application sector international standards, within the
framework of this International Standard, should lead to a high level of consistency (for
example, of underlying principles, terminology, etc.) both within application sectors and
across application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
61508-4 © IEC:1998 – 11 –– 6 – 61508-4 © IEC:1998
– uses safety integrity levels for specifying the target level of safety integrity for the safety
functions to be implemented by the E/E/PE safety-related systems;
– adopts a risk-based approach for the determination of the safety integrity level
requirements;
– sets numerical target failure measures for E/E/PE safety-related systems which are linked
to the safety integrity levels;
– sets a lower limit on the target failure measures, in a dangerous mode of failure, that can
be claimed for a single E/E/PE safety-related system; for E/E/PE safety-related systems
operating in
– a low demand mode of operation, the lower limit is set at an average probability of
-5
failure of 10 to perform its design function on demand,
– a high demand or continuous mode of operation, the lower limit is set at a probability of
–9
a dangerous failure of 10 per hour;
NOTE – A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.
– adopts a broad range of principles, techniques and measures to achieve functional safety
for E/E/PE safety-related systems, but does not use the concept of fail safe which may be
of value when the failure modes are well defined and the level of complexity is relatively
low; the concept of fail safe was considered inappropriate because of the full range of
complexity of E/E/PE safety-related systems that are within the scope of the standard.
61508-4 © IEC:199861508-4 © IEC:1998 – 13 –– 7 –
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 4: Definitions and abbreviations
1 Scope
1.1 This part of IEC 61508 contains the definitions and explanation of terms that are used in
parts 1 to 7 of this standard.
1.2 The definitions are grouped under general headings so that related terms can be
understood within the context of each other. But it should be noted that these headings are not
intended to add meaning to the definitions, and in this sense the headings should be
disregarded.
1.3 Parts 1, 2, 3 and 4 of this standard are basic safety publications, although this status does
not apply in the context of low complexity E/E/PE safety-related systems (see 3.4.4 of part 4).
As basic safety publications, they are intended for use by technical committees in the
preparation of standards in accordance with the principles contained in IEC Guide 104 and
ISO/IEC Guide 51. Parts 1, 2, 3, and 4 are also intended for use as stand-alone publications.
One of the responsibilities of a technical committee is, wherever applicable, to make use of
basic safety publications in the preparation of its publications. In this context, the requirements,
test methods or test conditions of this basic safety publication will not apply unless specifically
referred to or included in the publications prepared by those technical committees.
1.4 Figure 1 shows the overall framework for parts 1 to 7 of IEC 61508 and indicates the role
that IEC 61508-4 plays in the achievement of functional safety for E/E/PE safety-related
systems.
NOTE – In the USA and Canada, until the proposed process sector implementation of IEC 61508 (i.e. IEC 61511) is
published as an international standard in the USA and Canada, existing national process safety standards based on
IEC 61508 (i.e. ANSI/ISA S84.01-1996) can be applied to the process sector instead of IEC 61508.
61508-4 © IEC:1998 – 15 –– 8 – 61508-4 © IEC:1998
Technical
requirements
PART 1
Development of the overall safety
requirements (concept, scope
definition, hazard and risk analysis)
(E/E/PE safety-related systems, other
PART 5
technology safety-related systems and
Risk based approaches
external risk reduction facilities)
to the development of
7.1 to 7.5
the safety integrity
requirements
Other
PART 1
requirements
Allocation of the safety
requirements to the E/E/PE
safety-related systems
Definitions and
PART 7
7.6
abbreviations
Overview of
techniques
and measures
PART 4
PART 6
Guidelines for the
Documentation
Realisation Realisation
application of
phase for phase for
IEC 61508-2 and Clause 5 and
E/E/PE safety- safety-related
IEC 61508-3 annex A
related systems software
PART 1
PART 2 PART 3
Management of
functional safety
Clause 6
PART 1
PART 1
Installation and commissioning
and safety validation of E/E/PE
Functional safety
safety-related systems
assessment
Clause 8
7.13 and 7.14
PART 1
PART 1
Operation and maintenance,
modification and retrofit,
decommissioning or disposal of
E/E/PE safety-related systems
7.15 to 7.17
IEC 1 656/98
Figure 1 — Overall framework of this standard
61508-4 © IEC:199861508-4 © IEC:1998 – 17 –– 9 –
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61508. For dated references, subsequent amendments
to, or revisions of, any of these publications do not apply. However, parties to agreements
based on this part of IEC 61508 are encouraged to investigate the possibility of applying the
most recent editions of the normative documents indicated below. For undated references, the
latest edition of the normative document referred to applies. Members of IEC and ISO maintain
registers of currently valid International Standards.
IEC 60050(191):1990, International Electrotechnical Vocabulary (IEV) – Chapter 191:
Dependability and quality of service
IEC 60050(351):1975, International Electrotechnical Vocabulary (IEV) – Chapter 351:
Automatic control
IEC 61508-1:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 1: General requirements
IEC 61508-2:—, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 2: Requirements for electrical/electronical/programmable electronic
1)
safety-related systems
IEC 61508-3:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 3: Software requirements
IEC 61508-5:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 5: Examples of methods for the determination of safety integrity levels
IEC 61508-6:—, Functional safety of electrical/electronical/programmable electronic safety-
1)
related systems – Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
IEC 61508-7:—, Functional safety of electrical/electronical/programmable electronic safety-
1)
related systems – Part 7: Overview of techniques and measures
IEC Guide 104:1997, The preparation of safety publications and the use of basic safety
publications and group safety publications
ISO/IEC 2382-14:1998, Data processing – Vocabulary – Part 14: Reliability, maintainability
and availability
ISO/IEC Guide 51:1990, Safety aspects – Guidelines for their inclusion in standards
ISO 8402:1994, Quality management and quality assurance – Vocabulary
________
1)
To be published.
61508-4 © IEC:1998 – 19 –– 10 – 61508-4 © IEC:1998
3 Definitions and abbreviations
For the purposes of this International Standard, the following definitions and the abbreviations
given in table 1 apply.
Table 1 — Abbreviations used in this standard
Abbreviation Full expression Definition and/or explanation of term
MooN M out of N channel architecture Annex B of IEC 61508-6
(for example 1oo2 is 1 out of 2 architecture, where
either of the two channels can perform the safety
function)
MooND M out of N channel architecture with diagnostics Annex B of IEC 61508-6
ALARP As low as is reasonably practicable Annex B of IEC 61508-5
E/E/PE Electrical/electronic/programmable electronic 3.2.6
E/E/PES Electrical/electronic/programmable electronic 3.3.3
system
EUC Equipment under control 3.2.3
PES Programmable electronic system 3.3.2
PLC Programmable logic controller Annex E of IEC 61508-6
SIL Safety integrity level 3.5.6
3.1 Safety terms
3.1.1
harm
physical injury or damage to the health of people either directly or indirectly as a result of
damage to property or to the environment
[ISO/IEC Guide 51:1990 (modified)]
NOTE – This definition will need to be addressed when carrying out a hazard and risk analysis (see IEC 61508-1, 7.4).
If the scope is to be widened (e.g to include environmental damage which may not give rise to physical injury or
damage to health) then this would need to be addressed in the Overall Scope Definition phase (see IEC 61508-1, 7.3).
3.1.2
hazard
potential source of harm [Guide 51 ISO/IEC:1990]
NOTE – The term includes danger to persons arising within a short time scale (for example, fire and explosion) and
also those that have a long-term effect on a person’s health (for example, release of a toxic substance).
3.1.3
hazardous situation
circumstance in which a person is exposed to hazard(s)
3.1.4
hazardous event
hazardous situation which results in harm
3.1.5
risk
combination of the probability of occurrence of harm and the severity of that harm
[ISO/IEC Guide 51:1990 (modified)]
NOTE – For more discussion on this concept see annex A of IEC 61508-5.
3.1.6
tolerable risk
risk which is accepted in a given context based on the current values of society
NOTE – See annex B of IEC 61508-5.
61508-4 © IEC:199861508-4 © IEC:1998 – 21 –– 11 –
3.1.7
residual risk
risk remaining after protective measures have been taken
3.1.8
safety
freedom from unacceptable risk
3.1.9
functional safety
part of the overall safety relating to the EUC and the EUC control system which depends on the
correct functioning of the E/E/PE safety-related systems, other technology safety-related
systems and external risk reduction facilities
3.1.10
safe state
state of the EUC when safety is achieved
NOTE – In going from a potentially hazardous condition to the final safe state, the EUC may have to go through a
number of intermediate safe states. For some situations a safe state exists only so long as the EUC is continuously
controlled. Such continuous control may be for a short or an indefinite period of time.
3.1.11
reasonably foreseeable misuse
use of a product, process or service under conditions or for purposes not intended by the
supplier, but which can happen, induced by the product, process or service in combination with,
or as a result of, common human behaviour
3.2 Equipment and devices
3.2.1
functional unit
entity of hardware or software, or both, capable of accomplishing a specified purpose
NOTE – In IEV 191-01-01 the more general term “item” is used in place of functional unit. An item may sometimes
include people.
[ISO/IEC 2382-14-01-01]
3.2.2
software
intellectual creation comprising the programs, procedures, data, rules and any associated
documentation pertaining to the operation of a data processing system
NOTE 1 – Software is independent of the medium on which it is recorded.
NOTE 2 – This definition without note 1 differs from ISO 2382-1, and the full definition differs from ISO 9000-3, by
the addition of the word data.
3.2.3
equipment under control (EUC)
equipment, machinery, apparatus or plant used for manufacturing, process, transportation,
medical or other activities
NOTE – The EUC control system is separate and distinct from the EUC.
61508-4 © IEC:1998 – 23 –– 12 – 61508-4 © IEC:1998
3.2.4
EUC risk
risk arising from the EUC or its interaction with the EUC control system
NOTE 1 – The risk in this context is that associated with the specific hazardous event in which E/E/PE safety-
related systems, other technology safety-related systems and external risk reduction facilities are to be used to
provide the necessary risk reduction, (i.e. the risk associated with functional safety).
NOTE 2 – The EUC risk is indicated in figure A.1 of IEC 61508-5. The main purpose of determining the EUC risk is
to establish a reference point for the risk without taking into account E/E/PE safety-related systems, other
technology safety-related systems and external risk reduction facilities.
NOTE 3 – Assessment of this risk will include associated human factor issues.
3.2.5
programmable electronic (PE)
based on computer technology which may be comprised of hardware, software, and of input
and/or output units
NOTE – This term covers microelectronic devices based on one or more central processing units (CPUs) together
with associated memories, etc.
EXAMPLE The following are all programmable electronic devices:
– microprocessors;
– micro-controllers;
– programmable controllers;
– application specific integrated circuits (ASICs);
– programmable logic controllers (PLCs);
– other computer-based devices (for example smart sensors, transmitters, actuators).
3.2.6
electrical/electronic/programmable electronic (E/E/PE)
based on electrical (E) and/or electronic (E) and/or programmable electronic (PE) technology
NOTE – The term is intended to cover any and all devices or systems operating on electrical principles.
EXAMPLE Electrical/electronic/programmable electronic devices include
– electro-mechanical devices (electrical);
– solid-state non-programmable electronic devices (electronic);
– electronic devices based on computer technology (programmable electronic); see 3.2.5.
3.2.7
limited variability language
software programming language, either textual or graphical, for commercial and industrial
programmable electronic controllers with a range of capabilities limited to their application
EXAMPLE The following are limited variability languages, from IEC 61131-3 and other sources, which are used to
represent the application program for a PLC system:
– ladder diagram: a graphical language consisting of a series of input symbols (representing behaviour similar to
devices such as normally open and normally closed contacts) interconnected by lines (to indicate the flow of
current) to output symbols (representing behaviour similar to relays);
– Boolean algebra: a low-level language based on Boolean operators such as AND, OR and NOT with the ability
to add some mnemonic instructions;
– function block diagram: in addition to Boolean operators, allows the use of more complex functions such as data
transfer file, block transfer read/write, shift register and sequencer instructions;
– sequential function chart: a graphical representation of a sequential program consisting of interconnected steps,
actions and directed links with transition conditions.
61508-4 © IEC:199861508-4 © IEC:1998 – 25 –– 13 –
3.3 Systems: general aspects
3.3.1
system
set of elements which interact according to a design, where an element of a system can be
another system, called a subsystem, which may be a controlling system or a controlled system
and may include hardware, software and human interaction
NOTE 1 – A person can be part of a system (see also note 5 of 3.4.1).
NOTE 2 – This definition differs from IEV 351-01-01.
3.3.2
programmable electronic system (PES)
system for control, protection or monitoring based on one or more programmable electronic
devices, including all elements of the system such as power supplies, sensors and other input
devices, data highways and other communication paths, and actuators and other output
devices (see figure 2)
NOTE – The structure of a PES is shown in figure 2 a). Figure 2 b) illustrates the way in which a PES is represent-
ed in this International Standard, with the programmable electronics shown as a unit distinct from sensors and
actuators on the EUC and their interfaces, but the programmable electronics could exist at several places in the
PES. Figure 2 c) illustrates a PES with two discrete units of programmable electronics. Figure 2 d) illustrates a PES
with dual programmable electronics (i.e. two-channel), but with a single sensor and a single actuator.
3.3.3
electrical/electronic/programmable electronic system (E/E/PES)
system for control, protection or monitoring based on one or more electrical/electronic
programmable electronic (E/E/PE) devices, including all elements of the system such as power
supplies, sensors and other input devices, data highways and other communication paths, and
actuators and other output devices (see figure 3)
3.3.4
EUC control system
system which responds to input signals from the process and/or from an operator and
generates output signals causing the EUC to operate in the desired manner
NOTE – The EUC control system includes input devices and final elements.
3.3.5
architecture
specific configuration of hardware and software elements in a system
3.3.6
module
routine, discrete component or a functional set of encapsulated routines or discrete
components belonging together
3.3.7
software module
construct that consists of procedures and/or data declarations and that can also interact with
other such constructs
61508-4 © IEC:1998 – 27 –– 14 – 61508-4 © IEC:1998
Input interfaces Output interfaces
Communications
Extent
A-D converters D-A converters
of PES
Programmable
electronics
(see note)
Input devices Output devices/final elements
(for example sensors) (for example actuators)
a) Basic PES structure
PE
PE
PE PE PE
1 2
PE
b) Single PES with single program- c) Single PES with dual program- d) Single PES with dual program-
mable electronic device (i.e. one PES mable electronic devices linked in a mable electronic devices but with
comprised of a single channel of serial manner (for example intelligent shared sensors and final elements (i.e.
programmable electronics) sensor and programmable controller) one PES comprised of two channels
of programmable electronics)
IEC 1 657/98
NOTE – The programmable electronics are shown centrally located but could exist at several places in the PES.
Figure 2 — Programmable electronic system (PES): structure and terminology
Input interfaces Output interfaces
A-D converters D-A converters
Communications
Extent of
E/E/PES
E/E/PE device
Input devices Output devices/
final elements
(for example sensors)
(for example actuators)
IEC 1 658/98
NOTE – THE E/E/PE device is shown centrally located but such device(s) could exist at several places in the E/E/PES.
Figure 3 — Electrical/electronic/programmable electronic system (E/E/PES):
structure and terminology
61508-4 © IEC:199861508-4 © IEC:1998 – 29 –– 15 –
3.3.8
channel
element or group of elements that independently perform(s) a function
EXAMPLE A two-channel (or dual-channel) configuration is one with two channels that independently perform the
same function.
NOTE 1 – The elements within a channel could include input/output modules, a logic system (see 3.4.5), sensors
and final elements.
NOTE 2 – The term can be used to describe a complete system, or a portion of a system (for example, sensors or
final elements).
3.3.9
diversity
different means of performing a required function
EXAMPLE Diversity may be achieved by different physical methods or different design approaches.
3.3.10
redundancy
existence of means, in addition to the means which would be sufficient for a functional unit to
perform a required function or for data to represent information
EXAMPLE Duplicated functional components and the addition of parity bits are both instances of redundancy.
NOTE 1 – Redundancy is used primarily to improve reliability or availability.
NOTE 2 – The definition in IEV 191-15-01 is less complete.
[ISO/IEC 2382-14-01-12]
3.4 Systems: safety-related aspects
3.4.1
safety-related system
designated system that both
– implements the required safety functions necessary to achieve or maintain a safe state for
the EUC; and
– is intended to achieve, on its own or with other E/E/PE safety-related systems, other
technology safety-related systems or external risk reduction facilities, the necessary safety
integrity for the required safety functions
NOTE 1 – The term refers to those systems, designated as safety-related systems, that are intended to achieve,
together with the external risk reduction facilities (see 3.4.3), the necessary risk reduction in order to meet the
required tolerable risk (see 3.1.6). See also annex A of IEC 61508-5.
NOTE 2 – The safety-related systems are designed to prevent the EUC from going into a dangerous state by taking
appropriate action on receipt of commands. The failure of a safety-related system would be included in the events
leading to the determined hazard or hazards. Although there may be other systems having safety functions, it is the
safety-related systems that have been designated to achieve, in their own right, the required tolerable risk. Safety-
related systems can broadly be divided into safety-related control systems and safety-related protection systems,
and have two modes of operation (see 3.5.12).
NOTE 3 – Safety-related systems may be an integral part of the EUC control system or may interface with the EUC
by sensors and/or actuators. That is, the required safety integrity level may be achieved by implementing the safety
functions in the EUC control system (and possibly by additional separate and independent systems as well) or the
safety functions may be implemented by separate and independent systems dedicated to safety.
NOTE 4 – A safety-related system may
a) be designed to prevent the hazardous event (i.e. if the safety-related systems perform their safety functions
then no hazardous event arises);
b) be designed to mitigate the effects of the hazardous event, thereby reducing the risk by reducing the
consequences;
c) be designed to achieve a combination of a) and b).
61508-4 © IEC:1998 – 31 –– 16 – 61508-4 © IEC:1998
NOTE 5 – A person can be part of a safety-related system (see 3.3.1). For example, a person could receive
information from a programmable electronic device and perform a safety action based on this information, or
perform a safety action through a programmable electronic device.
NOTE 6 – The term includes all the hardware, software and supporting services (for example, power supplies)
necessary to carry out the specified safety function (sensors, other input devices, final elements (actuators) and
other output devices are therefore included in the safety-related system).
NOTE 7 – A safety-related system may be based on a wide range of technologies including electrical, electronic,
programmable electronic, hydraulic and pneumatic.
3.4.2
other technology safety-related system
safety-related system based on a technology other than electrical/electronic/programmable
electronic
EXAMPLE A relief valve is another technology safety-related system.
3.4.3
external risk reduction facility
measure to reduce or mitigate the risks which are separate and distinct from, and do not use,
E/E/PE safety-related systems or other technology safety-related systems
EXAMPLE A drain system, a fire wall and a bund are all external risk reduction facilities.
3.4.4
low complexity E/E/PE safety-related system
E/E/PE safety-related system (see 3.2.6 and 3.4.1), in which
– the failure modes of each individual component are well defined;
– the behaviour of the system under fault conditions can be completely determined.
NOTE – Behaviour of the system under fault conditions may be determined by analytical and/or test methods.
EXAMPLE A system comprising one or more limit switches, operating, possibly via interposing electro-mechanical
relays, one or more contactors to de-energise an electric motor is a low-complexity E/E/PE safety-related system.
3.4.5
logic system
portion of a system that performs the function logic but excludes the sensors and final
elements
NOTE – In this standard the following logic systems are used:
– electrical logic systems for electro-mechanical technology;
– electronic logic systems for electronic technology;
– programmable electronic logic systems for programmable electronic systems.
3.5 Safety functions and safety integrity
3.5.1
safety function
function to be implemented by an E/E/PE safety-related system, other technology safety-
related system or external risk reduction facilities, which is intended to achieve or maintain a
safe state for the EUC, in respect of a specific hazardous event (see 3.4.1)
3.5.2
safety integrity
probability of a safety-related system satisfactorily performing the required safety functions
under all the stated conditions within a stated period of time
NOTE 1 – The higher the level of safety integrity of the safety-related systems, the lower the probability that the
safety-related systems will fail to carry out the required safety functions.
NOTE 2 – There are four levels of safety integrity for systems (see 3.5.6).
61508-4 © IEC:199861508-4 © IEC:1998 – 33 –– 17 –
NOTE 3 – In determining safety integrity, all causes of failures (both random hardware failures and systematic
failures) which lead to an unsafe state should be included, for example hardware failures, software induced failures
and failures due to electrical interference. Some of these types of failure, in particular random hardware failures,
may be quantified using such measures as the failure rate in the dangerous mode of failure or the probability of a
safety-related protection system failing to operate on demand. However, the safety integrity of a system also
depends on many factors which cannot be accurately quantified but can only be considered qualitatively.
NOTE 4 – Safety integrity comprises hardware safety integrity (see 3.5.5) and systematic safety integrity (see
3.5.4).
NOTE 5 – This definition focuses on the reliability of the safety-related systems to perform the safety functions (see
IEV 191-12-01 for a definition of reliability).
3.5.3
software safety integrity
measure that signifies the likelihood of software in a programmable electronic system
achieving its safety functions under all stated conditions within a stated period of time
3.5.4
systematic safety integrity
part of the safety integrity of safety-related systems relating to systematic failures (see note 3
of 3.5.2) in a dangerous mode of failure
NOTE 1 – Systematic safety integrity cannot usually be quantified (as distinct from hardware safety integrity which
usually can).
NOTE 2 – See 3.5.2, 3.5.5 and 3.6.6.
3.5.5
hardware safety integrity
part of the safety integrity of the safety-related systems relating to random hardware failures in
a dangerous mode of failure
NOTE 1 – The term relates to failures in a dangerous mode, that is, those failures of a safety-related system that
would impair its safety integrity. The two parameters that are relevant in this context are the overall dangerous
failure rate and the probability of failure to operate on demand. The former reliability parameter is used when it is
necessary to maintain continuous control in order to maintain safety, the latter reliability parameter is used in the
context of safety-related protection systems.
NOTE 2 – See 3.5.2, 3.5.4 and 3.6.5.
3.5.6
safety integrity level (SIL)
discrete level (one out of a possible four) for specifying the safety integrity requirements of the
safety functions to be allocated to the E/E/PE safety-related systems, where safety integrity
level 4 has the highest level of safety integrity and safety integrity level 1 has the lowest
NOTE – The target failure measures (see 3.5.13) for the four safety integrity levels are specified in tables 2 and 3
of IEC 61508-1.
3.5.7
software safety integrity level
discrete level (one out of a possible four) for specifying the safety integrity of software in a
safety-related system
NOTE – See 3.5.3 and 3.5.6.
3.5.8
safety requirements specification
specification containing all the requirements of the safety functions that have to be performed
by the safety-related systems
NOTE – This specification is divided into the
– safety functions requirements specification (see 3.5.9);
– safety integrity requirements specification (see 3.5.10).
61508-4 © IEC:1998 – 35 –– 18 – 61508-4 © IEC:1998
3.5.9
safety functions requirements specification
specification containing the requirements for the safety functions that have to be performed by
the safety-related systems
NOTE 1 – This specification is one part (the safety functions part) of the safety requirements specification (see
3.5.8) and contains the precise details of the safety functions that have to be performed by the safety-related
systems.
NOTE 2 – Specifications may be documented in text, flow diagrams, matrices, logic diagrams, etc., providing that
the safety functions are clearly conveyed.
3.5.10
safety integrity requirements specification
specification containing the safety integrity requirements of the safety functions that have to be
performed by the safety-related systems
NO
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...