IEC 61508

Dernière modification: 08/08/2023

Il s’agit de la « mère » de toutes les normes de sécurité fonctionnelle utilisées dans plusieurs industries à travers le monde. Elle a été rédigée pour permettre l’utilisation de composants électroniques dans les systèmes de sécurité critiques.

En 1985, la Commission électrotechnique internationale (IEC) a créé un groupe de travail chargé d’évaluer la viabilité de l’élaboration d’une norme générique pour les systèmes électroniques programmables destinés à être utilisés dans des applications de sécurité. Un groupe de travail avait déjà été créé pour traiter des logiciels liés à la sécurité. Ces deux groupes de travail ont collaboré à l’élaboration d’une norme internationale qui est devenue la série IEC 61508, publiée à la fin des années 90.

Le champ d’application initial du groupe de travail, les systèmes électroniques programmables utilisés pour les applications de sécurité, a été étendu pour inclure tous les types de technologies basées sur l’électrotechnique, les systèmes électriques, électroniques et électroniques programmables : les systèmes dits E/E/PE.

Les parties 1 à 7 de la IEC 61508 ont été publiées au cours de la période 1998-2000. En 2005, la norme IEC/TR 61508-0 a été publiée. Un processus de révision visant à mettre à jour et à améliorer la norme a été lancé en 2002 et s’est achevé avec la publication de l’édition 2 de la IEC 61508 en avril 2010.

Le titre général de la IEC 61508 est « Sécurité fonctionnelle des systèmes électriques, électroniques et électroniques programmables (E/E/PE) relatifs à la sécurité ». Elle comporte huit parties.

  • Partie 0 : Sécurité fonctionnelle et IEC 61508
  • Partie 1 : Exigences générales
  • Partie 2 : Exigences relatives aux systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité
  • Partie 3 : Exigences relatives aux logiciels
  • Partie 4 : Définitions et abréviations
  • Partie 5 : Exemples de méthodes pour la détermination des niveaux d’intégrité de la sécurité
  • Partie 6 : Lignes directrices pour l’application des parties 2 et 3
  • Partie 7 : Aperçu des techniques et mesures

 

Les parties 1, 2 et 3 contiennent les exigences normatives et quelques parties informatives. Les parties 1, 2, 3 et 4 de la IEC 61508 sont des publications de sécurité de base (BSP) de la IEC. Ce sont, à l’heure actuelle, les seules BSP sur la sécurité fonctionnelle.

La IEC 61508 sert de base aux normes sectorielles et de produits. Elle a été utilisée pour développer des normes pour les industries de transformation, nucléaire et ferroviaire, ainsi que pour les machines et les systèmes d’entraînement. Elle a influencé, et continuera d’influencer, le développement de systèmes et de produits de sécurité E/E/PE dans plusieurs secteurs. Ce concept est illustré dans la figure 1.

Malgré son titre, la norme EN 50156-1 s’applique aux systèmes de chauffage à eau, aux installations de chaudières à vapeur et aux chaudières à vapeur à récupération de chaleur.

Les fours industriels et les équipements de traitement associés (TPE) sont conformes à la norme ISO 13849-1 et à la norme IEC 62061 pour les applications en mode demande élevée et à la norme IEC 61511-1 pour les systèmes de sécurité en mode demande faible.

La stratégie de réalisation de la sécurité fonctionnelle se compose des éléments clés suivants :

  • Gestion de la sécurité fonctionnelle
  • Exigences techniques pour les phases pertinentes du cycle de vie de la sécurité applicable
  • Évaluation de la sécurité fonctionnelle (FSA)
  • Compétence des personnes.

La norme couvre l’ensemble du cycle de vie de la sécurité : du concept initial jusqu’au déclassement ou à l’élimination du système. Elle propose trois cycles de vie complémentaires :

  • Le cycle de vie global de la sécurité peut être considéré comme le plus important. L’une de ses phases, la réalisation, est décomposée en deux cycles de vie qui sont exécutés en parallèle :
  •  Le cycle de vie de la sécurité du système E/E/PE, lié au matériel et au logiciel.
  • Le cycle de vie de la sécurité des logiciels.

Etudes HSE

La nécessité d’adopter une approche qui couvre toutes les phases du cycle de vie de la sécurité d’un système a été illustrée par une étude entreprise par le Health and Safety Executive britannique [82]. Cette étude a analysé un certain nombre d’accidents et d’incidents impliquant des systèmes de contrôle liés à la sécurité. La figure 2 montre les principales causes de défaillance pour chaque phase du cycle de vie.

D’après l’étude du HSE, plus de 60 % des défaillances ont été « intégrées » dans le système de sécurité avant sa mise en service. Bien que les causes principales par phase varient en fonction du secteur et de la complexité de l’application, il est évident qu’il est important que toutes les phases du cycle de vie soient prises en compte si l’on veut parvenir à une sécurité fonctionnelle.

C’est également la raison pour laquelle la norme IEC 61508 insiste tant sur le cycle de vie de la sécurité du système de contrôle de sécurité.

Niveaux d’intégrité de la sécurité

Selon la norme IEC 61508, les défaillances peuvent être classées en défaillances matérielles aléatoires ou en défaillances systématiques. Le défi pour quiconque conçoit un système complexe, tel qu’un système électronique programmable, est de déterminer le degré de confiance nécessaire pour atteindre le niveau de sécurité spécifié. La IEC 61508 aborde cette question sur la base suivante :

  •  qu’il est possible de quantifier les défaillances matérielles aléatoires
  • qu’il n’est généralement pas possible de quantifier les défaillances systématiques.

La série IEC 61508 spécifie 4 niveaux de performance de sécurité pour une fonction de sécurité. Ces niveaux sont appelés niveaux d’intégrité de la sécurité. Le niveau d’intégrité de sécurité 1 (SIL1) est le niveau le plus bas et le niveau d’intégrité de sécurité 4 (SIL4) est le niveau le plus élevé. La norme détaille les exigences nécessaires pour atteindre chaque niveau d’intégrité de sécurité. Ces exigences sont plus rigoureuses pour les niveaux d’intégrité de sécurité les plus élevés, afin de réduire la probabilité de défaillances dangereuses.

Un système de sécurité E/E/PE met généralement en œuvre plusieurs fonctions de sécurité. Si les exigences d’intégrité de la sécurité pour ces fonctions de sécurité diffèrent, à moins qu’il n’y ait une indépendance de mise en œuvre suffisante entre elles, les exigences applicables au niveau d’intégrité de la sécurité le plus élevé s’appliquent à l’ensemble du système lié à la sécurité de l’E/E/PE.

Si un seul système E/E/PE est capable d’assurer toutes les fonctions de sécurité requises et que l’intégrité de sécurité requise est inférieure à celle spécifiée pour SIL1, la IEC 61508 ne s’applique pas.

Comme indiqué précédemment, deux aspects doivent être pris en compte pour concevoir un système de contrôle de sécurité fiable :

  • L’intégrité de la sécurité matérielle. Pour ce faire, il faut respecter les mesures de défaillance cibles quantifiées pour les défaillances aléatoires, ainsi que les contraintes architecturales pour le SIL spécifié.
  • Intégrité de la sécurité systématique. Il s’agit d’un groupe de mesures utilisées pour éviter les mécanismes de défaillance systématique ; il s’agit en général de mesures qualitatives dont la rigueur, l’assurance et la confiance augmentent avec le SIL.

Par conséquent, l’intégrité de la sécurité se compose de l’intégrité de la sécurité matérielle, en ce qui concerne les défaillances aléatoires, et de l’intégrité de la sécurité systématique, en ce qui concerne les défaillances systématiques. Le concept ci-dessus est illustré à la figure 3.

Mode de fonctionnement à demande élevée ou faible

La norme IEC 61508-1 précise quelle mesure de défaillance cible, ou fonction de non-fiabilité F(t), doit être utilisée en fonction du mode de fonctionnement :

PFDavg doit être utilisé pour les systèmes de sécurité en mode faible demande.

– PFHD doit être utilisé pour les systèmes de sécurité à forte demande ou en mode continu.

[IEC 61508-1] 7.6 Attribution des exigences générales de sécurité

[7.6.2.9 Lorsque l’attribution a suffisamment progressé, les exigences d’intégrité de la sécurité, pour chaque fonction de sécurité attribuée au(x) système(s) lié(s) à la sécurité de l’E/E/PE, doivent être spécifiées en termes de niveau d’intégrité de la sécurité conformément au tableau 2 ou au tableau 3 et doivent indiquer si la mesure de la défaillance cible est, soit :

  • La probabilité moyenne de défaillance dangereuse à la demande de la fonction de sécurité (PFDavg), pour un mode de fonctionnement à faible demande (tableau 2), ou

  • La fréquence moyenne d’une défaillance dangereuse de la fonction de sécurité [h-1], (PFH), pour un mode de fonctionnement à forte demande (tableau 3), ou

  • la fréquence moyenne d’une défaillance dangereuse de la fonction de sécurité [h-1], (PFH), pour un mode de fonctionnement continu (tableau 3).

Le contenu du tableau 2 de la IEC 61508-1 est le même que celui du tableau 2.1 {2.1.1.4.1} ; le contenu du tableau 3 est celui du tableau 2.2 {2.1.1.4.2}.

Un exemple de réduction des risques par la sécurité fonctionnelle

Prenons l’exemple d’une machine équipée d’une lame rotative protégée par un capot solide à charnières. L’accès à la lame pour le nettoyage de routine se fait en soulevant le couvercle. Le couvercle est verrouillé de telle sorte que chaque fois qu’il est soulevé, un circuit électromécanique ou électronique met le moteur hors tension et applique un frein. La lame est ainsi arrêtée avant qu’elle ne blesse l’opérateur. Pour garantir la sécurité, il est nécessaire d’évaluer et de réduire les risques.

  1. La première étape consiste à identifier les risques liés au nettoyage de la lame. Pour cette machine, il pourrait s’avérer impossible de soulever le couvercle articulé de plus de 5 mm sans que le frein ne s’active et n’arrête la lame. L’évaluation des risques a donc établi qu’il fallait réduire le risque. Une analyse plus poussée pourrait révéler que le temps d’arrêt de la lame doit être inférieur ou égal à 1 seconde. Nous avons donc décidé de réduire le risque et d’utiliser un système de contrôle lié à la sécurité.
  2. À ce stade, nous devons déterminer les exigences de performance de la fonction de sécurité. L’objectif est de s’assurer que l’intégrité de la fonction de sécurité est suffisante pour garantir que personne n’est exposé à un risque inacceptable lié à ce danger.

Le préjudice résultant d’une défaillance de la fonction de sécurité peut être l’amputation de la main de l’opérateur ou une simple contusion. Le risque dépend également de la fréquence à laquelle le couvercle doit être soulevé, qui peut être de nombreuses fois au cours des opérations quotidiennes ou moins d’une fois par mois.

Le niveau d’intégrité de la sécurité requis augmente avec la gravité de la blessure et la fréquence d’exposition au danger.

L’intégrité de la fonction de sécurité dépend de tous les équipements nécessaires pour que la fonction de sécurité soit exécutée correctement : c’est-à-dire le verrouillage, le circuit électromécanique ou électronique associé et le système de freinage. La fonction de sécurité et son intégrité de sécurité spécifient le comportement requis pour les systèmes dans leur ensemble, dans un environnement particulier.

En résumé, ces deux éléments, « Ce que la fonction de sécurité doit faire », les exigences de la fonction de sécurité, et « Quel degré de certitude est nécessaire pour la fonction de sécurité », les exigences d’intégrité de la sécurité, sont les fondements de la sécurité fonctionnelle.

Pourquoi la IEC 61508 a-t-elle été rédigée ?

Dans les années 90, les fonctions de sécurité étaient de plus en plus assurées par des systèmes électroniques ou électroniques programmables. Ces systèmes sont généralement complexes, ce qui rend impossible, dans la pratique, la détermination complète de chaque mode de défaillance ou le test de tous les comportements possibles.

Le défi consistait à concevoir le système de manière à prévenir les défaillances dangereuses ou à les contrôler lorsqu’elles se produisaient. Les défaillances dangereuses peuvent être dues à :

  • des spécifications incorrectes du système de contrôle lié à la sécurité
  • d’omissions dans la spécification des exigences de sécurité (par exemple, l’absence de développement de toutes les fonctions de sécurité pertinentes pendant les différents modes de fonctionnement)
  • Mécanismes de défaillance aléatoire du matériel.
  • Mécanismes systématiques de défaillance du matériel.
  • Erreurs de logiciel ;
  • Défaillances de cause commune ;
    Erreurs humaines ;
    Influences environnementales (par exemple, phénomènes électromagnétiques, thermiques, mécaniques) ;

La IEC 61508 contient des exigences visant à minimiser ces défaillances et à construire un système de contrôle de sécurité fiable. Son objectif était le suivant :

  • Exploiter le potentiel de la technologie E/E/PE pour améliorer la sécurité des machines et des processus.
  • Permettre aux développements technologiques de s’inscrire dans un cadre global de sécurité.
  • Fournir une approche techniquement solide, basée sur les systèmes, avec suffisamment de flexibilité pour l’avenir.
  • Fournir une approche basée sur le risque pour déterminer la performance requise des systèmes de contrôle liés à la sécurité.
  • Fournir une norme générique qui peut être utilisée directement par l’industrie, mais qui peut également contribuer à l’élaboration de normes sectorielles (par exemple, machines, usines chimiques, médicales ou ferroviaires) ou de normes de produits (par exemple, systèmes d’entraînement de puissance) ;
  • Fournir un moyen pour les utilisateurs et les régulateurs de gagner en confiance lors de l’utilisation de la technologie informatique.