Cours I Ec 61508

Anne 2011 2012 UE Sret des Installations Industrielles
Les Normes en Sret de

Fonctionnement
Introduction lIEC 61508
Pierre DAVID pierre.david@grenoble-inp.fr 1

Plan
1. Norme, certification, homologation
2. Les normes de la SdF
3. La scurit fonctionnelle
4. LIEC 61508 :
a. Historique, contenu
b. Intrts, points forts
c. Concepts de Base
d. Approche gnrale
e. Cycle de vie
f. Grands principes de lIEC 61508
g. Dveloppement du logiciel
h. Mise en uvre
i. Gestion documentaire et organisationnelle
j. Limites et piges
5. Exemple de certification

NORME, CERTIFICATION,
HOMOLOGATION

Normes et vocabulaire associ
Qui impulse la construction d'une norme ?

Qui dfinit le contenu de la norme ?
Qui est concern par les normes ?
Quels sont les examens de conformit dun produit la norme ?
Validation / Certification.
Que signifie une homologation ?
Pourquoi crer une norme ?

Pourquoi crer une norme ?

Donner une crdibilit aux produits/services mis sur le
march.
Donner une crdibilit une organisation.
Amliorer la qualit globale dans un domaine.
Favoriser linteroprabilit des produits.
Donner un rfrentiel dvaluation dun(e)
produit/service/process/organisation
Faciliter les contractualisations.
Aider les dveloppeurs/fabricants.
Faciliter la communication entre acteurs dun mme domaine.


Construction dune norme
Les participants :
Une autorit de tutelle : ex. ASN (Autorit de Sret Nuclaire).
Une organisation : ex. INCOSE (International Council on Systems
Engineering).
Un groupe de constructeurs/acteurs dun domaine.
Organisme de normalisation (ISO, SAE, CEI, AFNOR )
Administration nationale.
Bien souvent les acteurs priv dun domaine sont moteurs dans
ltablissement des rfrentiels normatifs qui les concerneront!!!

Validation, certification
Certification (ex. COFRAC): procdure par laquelle une tierce
partie donne une assurance crite quun produit, un processus
ou un service est conforme aux exigences spcifies.
Validation : Activit la charge du fournisseur visant
dmontrer par l'analyse et des tests que lquipement satisfait
totalement aux exigences spcifies contractuellement.
Les acteurs valuant le respect dune norme doivent tre agrs

par un organisme de certification.
Les valuations doivent tre menes par une tierce partie
indpendante des dveloppeurs du produit et des
commanditaires.
Rq: Diverses validations ont lieu au cours du cycle de dveloppement et
permettent de vrifier que chaque sous-systme rempli ses exigences.
Accrditation, homologation
Accrditation (COFRAC) : attestation dlivre par une tierce
partie, ayant rapport un organisme dvaluation de la
conformit, constituant une reconnaissance formelle de la
comptence de ce dernier a raliser des activits spcifiques
dvaluation de la conformit.
Homologation : constat d'aptitude une utilisation donne,
dlivr un quipement fabriqu suivant un processus bien
dfini, dans une unit de production identifie d'un fournisseur
pralablement qualifi. Il en dcoule deux points cruciaux :
Lhomologation est une vrification de l'aptitude une utilisation, et non
la seule conformit aux prescriptions d'une norme,
Elle est prononce par lexploitant final (ex. rseau ferroviaire) et non
par une tierce partie ou un fournisseur.

LES NORMES DE LA SDF

LA SCURIT FONCTIONNELLE

Le contexte et les normes de la SdF
Le vocabulaire consacr aux tudes de SdF est compil dans la

norme CEI 60050 (191) : Vocabulaire Electrotechnique
International, Chapitre 191 Sret de fonctionnement et
qualit des services 1990.
Elle est cite par de nombreuses normes relatives la SdF et
admise par un large ventail dindustriels, chercheurs ou
institutions.
Plusieurs directives, manant principalement de lUE,
encadrent les aspects relatifs la scurit des machines,
processus ou produits industriels. Il sagit par exemple des
directives SEVESO II, MACHINES, ATEX ou Equipements
Mdicaux.

Directives sret
Directive SEVESO II : prvention des accidents
majeurs sur les sites industriels. Seveso 1976
Impose la mise en place de :
Dispositifs de matrise des risques par les Etats,
Systmes de protection des biens, des personnes
et de lenvironnement pour les sites industriels
classs dangereux. Bhopal 1984
Plans de gestion de la scurit incluant plans
durgence, damnagement du territoire et
dinspection.
La directive nest pas prescriptive sur le plan
technique mais organisationnelle.
Toulouse 2001
Cest donc aux industriels de fixer leur cadre
normatif pour le choix des solutions
techniques.

La scurit fonctionnelle
Les directives telles que SEVESO II, imposent la matrise de la
scurit des installations ou machines. Bon fonctionnement et
matrise des drives.
Def. Scurit : absence de risque inacceptable.
Def. Scurit fonctionnelle : sous ensemble de la scurit globale
qui dpend du bon fonctionnement dun systme ou dun
quipement en rponse ses entres. (un systme garantit activement la
scurit)
Exemple: Un quipement de protection thermique, utilisant un capteur de
TC sur un moteur pour commander son dsenclenchement avant
surchauffe. VS. Une isolation thermique pour supporter les hautes
tempratures.
Le premier est un exemple de scurit fonctionnelle, pas le second, bien
quils traitent tous deux le mme risque.

Fonctions de scurit et
implmentation
1er tape : les risques significatifs doivent tre identifis par le
spcificateur ou le dveloppeur.
2me tape : dterminer si la scurit fonctionnelle est ncessaire pour ces
risques.
Si oui, dfinir les fonctions de scurit ncessaires et les systmes devant
les assurer.
La dfinition de la scurit fonctionnelle fait apparatre deux types
dexigences :
Exigences des fonctions de scurit,
Exigences dintgrit de la scurit (Proba. que la fonction de scurit soit
ralise correctement).
Les exigences des fonctions de scurit sont drives de l'analyse de risque et les
exigences d'intgrit de la scurit sont drives de l'valuation des risques.

Fonctions de scurit et
implmentation
Les fonctions de scurit ncessitent de plus en plus
lutilisation de systmes lectriques, lectroniques et
lectroniques programmables (E/E/EP).
Ces systmes tendent se complexifier, il devient difficile de

prdire tous leurs Modes de Dfaillance et de tester leur
comportement global.
Leur conception doit donc tre au mieux matrise.
Des rfrentiels normatifs sont donc crs cet effet.

Exercice
Donnez pour un systme de votre choix :

Un ou deux risques,
Les fonctions de scurit associes,
Des systmes E/E/EP implmentant ces fonctions.

LIEC 61508

La norme IEC 61508
La norme rpond au besoin de grer techniquement la

scurit des systmes de protection.
Intrts en prsence :
Institutions reprsentant lintrt des citoyens,
Les constructeurs de composants pour systmes de scurit,
Les intgrateurs de systmes de scurit et les prestataires de
services,
Les utilisateurs finaux, propritaires et exploitants des installations ou
machines dangereuses,
Les organismes tiers de contrle et certification.

La CEI
CEI: Comit Electrotechnique Internationale (IEC)

Organisation mondiale de normalisation compose de
lensemble des comits nationaux.
La CEI a pour objet de favoriser la coopration internationale

pour toutes les questions de normalisation dans les domaines
de llectricit et llectronique.
Web: http://www.iec.ch/
La CEI est divise en 94 Comits Techniques spcialiss par
domaine et technologie.

Systmes cibles de lIEC 61508

Assurer la scurit
dune
installation/Machine
Scurit
Scurit intgre Scurit
fonctionnelle
la conception organisationnelle
(SF)
SF purement
SF mcanique SF E/E/PE
logicielle
Primtre IEC 61508

Scurit des E/E/PE

Pour les E/E/PE les pannes dangereuses peuvent provenir de :
spcifications du systme incorrectes, pour le matriel ou pour le
logiciel,
omissions dans la spcification des exigences de scurit (par exemple
le dveloppement de toutes les fonctions de scurit pertinentes dans
tous les modes d'exploitation),
panne matrielle alatoire des mcanismes,
panne matrielle systmatique des mcanismes,
erreur sur le logiciel,
erreur humaine,
influence de l'environnement (par exemple lectromagntique,
temprature, phnomne mcanique),
perturbations de la tension d'alimentation du systme (par exemple
perte d'alimentation, sous-tension).
LIEC 61508 contient les exigences ncessaires et suffisantes pour
minimiser lobtention ou limpact de ces pannes.
Caractristiques de lIEC 61508

Norme Internationale.
Premire dition : dcembre 1998.
Adopte par lAFNOR en 1999 (NF 61508).
Conue comme base pour dautres normes ddies par secteur.
IEC 61508
IEC 61511 Ferroviaire

IEC 62061 IEC 61513 ISO 26262 Avionique
Process EN 50126, 50 128,
Machines Nuclaire Automobile 50129
DO 178B
Industriels
Elle intgre les activits de SdF dans le cycle de dveloppement

des E/E/PE.

Structure du document
L'IEC 61508 est constitue de 7 parties :

IEC 61508-1, Exigences gnrales,
IEC 61508-2, Exigences pour les systmes lectriques / lectroniques /
lectroniques programmables concerns par la scurit,
IEC 61508-3, Exigences pour le logiciel,
IEC 61508-4, Dfinitions et abrviations,
IEC 61508-5, Exemples de mthodes pour la dtermination des
niveaux d'intgrit de la scurit,
IEC 61508-6, Directives pour l'application de l'IEC 61508-2 et de l'IEC
61508-3,
IEC 61508-7, Vue d'ensemble de mesures et de techniques.

Objectifs de lIEC 61508

Optimiser le dploiement des systmes E/E/EP pour amliorer la scurit
et les performances conomiques,
Fixer un cadre global de scurit incluant les dveloppements techniques,
Fournir une approche systme saine et flexible,
Fournir une approche risk based pour dterminer les performances
des systmes en matire de scurit,
Fournir une norme gnrique drivable pour diffrents domaines,
Fournir les moyens pour acqurir une confiance justifie dans les
technologies bases sur linformatique,
Fournir des exigences bases sur des principes communs. (Meilleure
communication parmi les parties prenantes : des fournisseurs aux tierces
parties).

Intrts et points forts

Donne un rfrentiel mondial :
Facilite les changes,
Standardise les pratique dans un domaine,
Banalise les produits et services associs,
Rduction des cots associs la scurit et amlioration,
Meilleure visibilit des cots des investissements,
Laugmentation de la fiabilit fait souvent augmenter la disponibilit.
Introduit un cycle de vie de scurit global,

Rfrentiel de conception dun matriel sr,
Introduit une approche qualitatives et quantitatives dans la gestion des
dfaillances,
Concerne le matriel et le logiciel,
Dcrit les principes, techniques et mesures pour la ralisation de la
scurit fonctionnelle des systmes E/E/EP relatifs la scurit.

Intrts et points forts
Pour l'exploitant cela permet :

le choix des quipements, en fonction de critres de scurit,
le choix de la solution optimale,
de raliser des solutions globales,
d'apprcier la solution qui lui est propose.
Pour le fabricant :
positionner les performances de ses produits par rapport la
concurrence.

Concepts de base
Scurit fonctionnelle
Fonction de scurit
Intgrit de scurit
Systme relatif la scurit : un systme qui la fois :
Met en uvre les fonctions de scurit pour atteindre et maintenir un
tat de scurit,
Est prvu pour atteindre, par lui-mme ou grce dautres systmes
relatifs la scurit, le niveau dintgrit de scurit ncessaire aux
fonctions de scurit requises.
Niveau dintgrit de scurit (SIL : Safety Integrity Level) :
Niveau discret (parmi 4 possibles) permettant de spcifier les prescriptions
concernant lintgrit de scurit des fonctions de scurit allouer aux
systmes E/E/EP relatifs la scurit. Le niveau 4 est le plus lev; le niveau 1
le plus bas.

Approche gnrale
Gestion de la scurit fonctionnelle
Exigences techniques
Principes Comptences des personnes
appliqus
La spcification
La conception et limplmentation
Linstallation et la mise en service
un cycle de Lexploitation et la maintenance
vie intgrant Les modifications aprs rception et le dmantlement
Les SIL sont Mesures destines combattre les pannes alatoires des matriels
atteints par Mesures destines viter les pannes systmatiques des matriels et des logiciels

Approche gnrale
Les tapes de base commandes par la norme sont :

Etablir une cible de scurit (risque acceptable) et valuer le risque
existant,
Identifier les fonctions de scurit requises,
Identifier les fonctions confier des systmes E/E/EP et fixer leur
objectif en termes dintgrit de scurit,
Implmenter les fonctions instrumentes de scurit et en dterminer
le SIL,
Vrifier que le systme instrument de scurit permet datteindre la
cible de scurit exige au dpart.

Le cycle de vie de scurit

La rduction des risques

Risque Tolrable
Application du principe
ALARP (As Low As Reasonably
Practicable)
Autres principes existants:

MEM (Mortalit Endogne
Minimal)
GAME (Globalement Au Moins
Equivalent)
Il est ensuite possible de

dterminer la rduction de
risque souhaite
(Prescription globale de
scurit).
Quelquun doit sengager sur le risque tolrable.
Niveaux dintgrit de scurit (SIL)

La norme dfinit les SIL parmi 4 niveaux pour spcifier le niveau
de rduction du risque atteindre.
SIL 4 est le niveau le plus lev, SIL 1 le plus faible.
Les SIL dfinissent le niveau de scurit que remplissent les
fonctions de scurit ralises par les systmes relatifs la
scurit.
Les SIL sont attribus au regard des tudes de risque prenant
en compte les dfaillances dangereuses alatoires et
systmatiques.
Un sous-systme ou composant ne possde pas
intrinsquement de SIL. Mais peut se montrer adquat pour
atteindre un certain SIL, sil prsente la rduction de risque
spcifi dans le contexte de lapplication.

Les objectifs quantifis associs au SIL, dpendent du type

sollicitation de la fonction.
La frontire entre faible et forte sollicitation est fixe 1 par
an ou 2 fois la frquence des tests priodiques.
Pour les faibles sollicitations, on se rfre la moyenne de la
probabilit de dfaillance la demande sur [0, t] : PFDavg
(average Probability of Failure on Demand).
Pour les fortes sollicitations, on se rfre la probabilit de
dfaillance dangereuse par heure sur [0, t] : PFH (Probability
of Failure per Hour).


Fonctionnement la sollicitation
Niveau dintgrit Prob. Moy. de Rduction de risque cible
de scurit (SIL) Dfaillance la (RR)
sollicitation (PFDavg)
4 10-5 PFDavg< 10-4 100 000 RR < 10 000
3 10-4 PFDavg< 10-3 10 000 RR < 1000
2 10-3 PFDavg< 10-2 1000 RR < 100
1 10-2 PFDavg< 10-1 100 RR < 10
Fonctionnement en Mode Continu

Niveau dintgrit Prob. Moy. de Rduction de risque cible
de scurit (SIL) Dfaillance par (RR)
heure (PFH)
4 10-9 PFH< 10-8 100 000 RR < 10 000
3 10-8 PFH< 10-7 10 000 RR < 1000
2 10-7 PFH< 10-6 1000 RR < 100
1
Pierre DAVID pierre.david@grenoble-inp.fr 10-6 PFH< 10-5 100 RR < 10 34
Allocation des prescriptions de

scurit
La rduction du risque est confie une combinaison de dispositifs
pouvant contenir :
Des systmes E/E/EP,
Des systmes bass sur dautres technologies,
Des dispositifs externes de rduction du risque.
Lanalyse de risque permet dallouer, chaque dispositif de scurit,

le niveau dintgrit atteindre pour se conformer au risque
tolrable spcifi.
Ainsi, deux processus de prescriptions sont ncessaires :

Allocation des SIL aux fonctions de scurit,
Exigences sur les performances atteindre par les lments de
larchitecture.

Allocation des SIL aux fonctions de

scurit
Une mthode quantitative :
Dterminer le risque tolrable,
Dterminer le risque sur le systme,
Dterminer la rduction de risque ncessaire,
Allouer la rduction ncessaire au systme E/E/EP,
Comparer la frquence cible (celle du risque tolrable) et la frquence
du risque non protg. On obtient : PFDavg = Ft/Fnp.
Retranscrire le PFDavg obtenu en SIL (tableau prcdent).
Rq. : Les consquences sont ici supposes constantes, on suppose que lon ne
prend pas de mesure de protection.


scurit
Une mthode qualitative : le graphe de risque
Technique prenant en compte les consquences du risque, lexposition
au risque, la contrlabilit ou vitement et la frquence de survenue
de lvnement redout si le systmes est non protg.
Plusieurs graphes peuvent tre utiliss, principalement par domaines
dapplication.


scurit


scurit
Une autre mthode qualitative : la matrice de gravit
Le risque est valu en termes de gravit et probabilit doccurrence,
et galement en termes de nombre de systmes indpendants utiliss
pour le contrler.

Exigences sur les systmes
Il existe tout dabord diverses prescriptions gnrales tq. :

Diversifier les systmes,
Indpendance vis--vis des systmes de commande non ddis la
scurit,
Prise en compte des dfaillances dorigine commune (ex. alimentation,
fournisseur dnergie, canaux de communication ),
Sparation physique.
Puis des exigences sur le produit

Exigences produit
Sur les techniques de conception et le comportement :

Classification selon type dutilisation,
Technologie,
Exigences qualitatives de comportement sur dfaut,
Exigences quantitatives de comportement sur dfaut,
Exigences sur la faon de concevoir et produire,
Exigences sur le logiciel.
Puis sur son utilisation et sa maintenance

Allocation des prescriptions de

scurit

Exigences qualitatives produit

Deux types de composants sont concerns par la norme :
Composants de type A :
Tous les modes de dfaillance sont dfinis,
La testabilit est de 100%,
Un retour dexprience existe.
Composants de type B :
Les modes de dfaillances ne sont pas tous dfinis,
La testabilit < 100% (ex. microprocesseur),
Retour dexprience faible.
Le type de composant utilis va dterminer larchitecture de la

solution devant exercer une fonction de SIL donn.
La classification se fait en fonction de la proportion de dfaillance
en scurit SFF (Safe Failure Fraction) de ces composants.

Safe Failure Fraction
Les dfaillances peuvent tre classifies par ltat atteint :

Dfaillances Sres
Dfaillances Dangereuses
Ou par leur dtectabilit
DD : Dfaillances Dangereuses Dtectes

DU : Dfaillances Dangereuses non dtectes
S : Dfaillances Sres
T : Dfaillances Totales T DU
SFF =
T

Tableau 2 (IEC 61508 2)
Tableau 3 (IEC 61508 2)

Dtermination SFF
La SFF doit tre calcule pour chaque sous systme de
larchitecture (Composant ou groupe de composant).
La SFF et la couverture de diagnostic doivent tre calcules de
la faon suivante :
Raliser une tude AMDE du sous-systme (ncess. Digramme du SIS,
cblage du sous-systme, taux de dfaillances des sous-composant et
pourcentage de participation aux dfaillances sres ou dangereuses),
Classer les modes de dfaillances en dfaillance sre / dangereuse,
Calculer les probabilits de dfaillances en scurit et de dfaillances
dangereuses pour chaque sous groupe de composants,
Pour chaque groupe de composants calculer la proportion de
dfaillance dangereuse dtects par les tests de diagnostic,
Calculer pour le sous-systme les probabilits totales de dfaillances
dangereuses / en scurit / dangereuses couvertes par le diagnostic.
Calculer la SFF
Dtermination SFF
Les anomalies ou
dfaillances qui
doivent a minima
tre dtectes afin
de raliser la
couverture de
diagnostic ou qui
doivent faire partie
de la dtermination
de la SFF sont
rpertories dans le
tableau A1 de la
partie 2. Ex:

Techniques de diagnostic

Exemple de calcul

Architecture srie (simple canal)
Le SIL que peut revendiquer la fonction dpend du matriel

rpondant aux prescriptions du niveau dintgrit le plus bas.

Architecture parallle :
Le SIL du canal le plus fiable
peut tre augment de 1.

Exercice
Indiquez le SIL que peuvent revendiquer les architectures

suivantes :
1)
Capteur Unit de traitement Relais

SFF = 50% SFF = 50% SFF = 80%
Type A Type A Type A
2)

SFF = 50% SFF = 50% SFF = 80%
Type A Type B Type A

Exercice (suite)
Indiquez le SIL que peuvent revendiquer les architectures
3) suivantes :

SFF = 50% SFF = 50% SFF = 80%
Cible
SFF = 50% SFF = 50% SFF = 80%
4) Capteur
SFF = 50%
Type A Unit de traitement Relais
SFF = 75% SFF = 80%
Type B Type A
Capteur Concentrateur
SFF = 65% SFF = 92% Cible
Type A Type A
Unit de traitement Relais
SFF = 75% SFF = 80%
Capteur Type B Type A
SFF = 50%
Pierre DAVIDType
pierre.david@grenoble-inp.fr
A 53
Rduire 4 et obtenir le mme SIL avec des composants identiques.
La dcomposition dans lISO 26262

Rsum de lapproche
Analyse et Classification Prescriptions de scurit Ralisation des E/E/EP
des Risques
Dterminer le Risque
Tolrable Affecter les niveaux SIL
Analyser les Risques Allouer les Rductions Raliser et valider

Systme de Risque aux E/E/EP larchitecture du E/E/EP
Dfinir les Rductions Exprimer les exigences

de Risque ncessaires des E/E/EP
Fonctionnement la sollicitation
Niveau Prob. Moy. de Rduction de risque cible

dintgrit de Dfaillance la (RR)
scurit (SIL) sollicitation
(PFDavg)
4 10-5 PFDavg< 10- 100 000 RR < 10 000

4
3 10-4 PFDavg< 10- 10 000 RR < 1000

3
2 10-3 PFDavg< 10- 1000 RR < 100

2
1 10-2 PFDavg< 10- 100 RR < 10

1


Sont donnes aussi des exigences sur les techniques et mesures mettre
en place pour matriser ou viter:
Les dfaillances systmatiques
Dues la conception,
Dues aux contraintes environnementales,
En exploitation .
Des exigences sur lindpendance des personnes en charge de lvaluation

de la scurit fonctionnelle.
Et des exigences pour une conception robuste du logiciel.

Cycle de conception logiciel

Prescription de scurit du logiciel

(exemple)

Prescription de scurit du logiciel

(exemple)

Mise en uvre (Matriel)

Mise en uvre (Logiciel)

Gestion documentaire et
organisationnelle
Il faut spcifier linformation documenter afin daccomplir
efficacement le cycle de vie global.
La documentation doit tre :
Concise et prcise,
Facile comprendre par les personnes qui devront lutiliser,
Correspondre son objectif,
Accessible et actualisable.
Il faut spcifier les activits techniques et de gestion raliser
pendant le cycle de vie globale.
Les personnes, services et organisations responsables de chaque
activits doivent tre clairement identifies.
Des preuves sur la comptence des personnes impliques doivent
tre donnes.

Limites et piges
Les systmes traits se dgradent avec le temps, attention aux
changements de SIL :
HIPPS = High Integrity Pressure

Protection System
[Tiennot et al. 2008]

Limites et piges
Les chiffres :
Difficult disposer dun bon Retour dExprience.
Manque de justification sur les formules de calcul de la partie 6
(manque dhypothses).
Dpassement instantan des SIL en exploitation.
Un conseil : conserver le bon sens de lingnieur, ne pas se

focaliser sur les chiffres pour prouver nimporte quoi
nimporte quel prix!
les chiffres sont comme les espions, force de les torturer on leur fait
dire ce que lon veut.

EXEMPLE DE CERTIFICATION

Exemple de Certification
LINERIS se pose comme autorit de certification pour la
norme CEI 61508.
Droulement de la certification:
Demande de certification
Examen du dossier de certification :
Audit de lorganisation
Examen du dossier de certification
Dcision dattribution de la certification
La certification est mene suivant le rfrentiel de

certification utilis et dvelopp par lINERIS.

Rfrentiel SIL INERIS



Audit qualit :
Organisation (gestion doc, management, prestataires)
Rfrentiels de dveloppement (cycle global, matriel, logiciel)
Validation de la documentation
Prescriptions globales de scurit (tude de larchitecture
propose), tudes des documents suivant :
Prsentation globale de larchitecture,
Type des composants (A ou B),
Testabilit du systme,
Systmes de dtection,
Comportements sur dfauts,
Redondances utilises.
Le dossier de scurit comprend alors les lments fournis par le
demandeur et les analyses menes par lINERIS.


Validation de larchitecture matrielle sur base de :
Lanalyse fonctionnelle,
Lvaluation probabiliste de la fiabilit,
LAMDEC fonctionnelle au niveau de dtail composants,
La modlisation des tats du systme,
La quantification du niveau de scurit du systme.
Le certificateur vrifie alors latteinte des probabilits de dfaillance
ncessaires lobtention du niveau de scurit vis.
Validation du logiciel en respect avec le cycle en V et les mthodes de
dveloppement requises.
Examen des plans de validation matriels et logiciels.


Validation de lvaluation, ralise par la structure de certification
mais indpendante du responsable daffaire.
La validation est ralise partir des fiches et grilles dvaluation du
responsable daffaire. Le dossier de validation contient :
Validation de laudit qualit,
Validation de la documentation,
Validation de lanalyse fonctionnelle,
Validation de lanalyse des risques,
Validation de la modlisation du systme,
Validation de lvaluation de la fiabilit,
Validation des calculs de probabilits de dfaillances,
Validation du dveloppement logiciel,
Validation des plans de tests,
Validation des rsultats de tests.

BONUS

Pour une lecture rapide de la norme
Chapitre A de CEI 61508 5 : concepts de risque et dintgrit

de scurit.
Figure 2 et tableau 1 de CEI 61508 1 : cycle de vie de
scurit et objectifs de chaque phase.
Clauses 6 et 8 de CEI 61508 1 : exigences sur le management
et lvaluation de la scurit fonctionnelle.
Chapitre A de CEI 61508 6 : vision globale des exigences de
CEI 61508 2 et CEI 61508 3.
Figure 2 et tableau 1 de CEI 61508 2 et figure 3 de CEI 61508
3 : comprendre exigences de scurit de CEI 61508 2 et
CEI 61508 3.

Rsum de lapproche CEI 61508

La CEI 61508 utilise une approche base sur le risque pour
dterminer les exigences dintgrit de scurit des systmes
E/E/EP concerns par la scurit.
Utilise un modle global de cycle de vie de la scurit comme cadre
technique pour les activits ncessaires pour garantir latteinte de la
scurit fonctionnelle.
Couvre toutes les activits du cycle de vie : conception initiale,
analyse et valuation du risque, dveloppement des exigences de
scurit, spcification, conception, implmentation, exploitation,
maintenance, modification et dmantlement.
Prend en compte les aspects systme et les mcanismes de panne.
Donne des exigences pour se prmunir des pannes et les contrler.
Dfinie les techniques et mesures ncessaires pour atteindre le
niveau dintgrit de la scurit ncessaire.

Bibliographie
CEI 61508 : Comit Electrotechnique International Scurit fonctionnelle des systmes
lectriques / lectroniques / lectroniques programmables relatifs la scurit Partie 1
7.
D. Charpentier, A. Adjadj : Prsentation de la norme EN 61508 publication de lINERIS.
D. Delahaye : Cours de Sret de Fonctionnement Cours N4 : Normes CNAM 2009-
2010.
ISA, Club Automation : Guide dinterprtation et dapplication de la norme IEC 61508 et de
ses normes drives IEC 61511 et IEC 62061 11/04/2005.
A. Mkhida : Contribution lvaluation de la sret de fonctionnement des systmes
instruments de scurit intgrant de lintelligence Thse de doctorat de lINP de
Lorraine, soutenue le 14 novembre 2008 Nancy.
INERIS : Rfrentiel SIL-INERIS, certification de conformit la orme CEI 61508 Version
1.1 Valide 11/01/2007.
[Tiennot et al. 2008]: R. Tiennot, C. Grenouilloux, Y. Chaabi, J.P. Signoret, P. Bertho & B.
Nicolas. tude et Certification dun systme instrument de scurit sous-marin. 16me
Congrs de Matrise des Risques et Sret de Fonctionnement. 6 -10 Octobre 2008,
Avignon.

Cours I Ec 61508

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Cours I Ec 61508

Încărcat de

Drepturi de autor:

Formate disponibile

Anne 2011 2012 UE Sret des Installations Industrielles

Les Normes en Sret de

Introduction lIEC 61508

Pierre DAVID pierre.david@grenoble-inp.fr 1

Pierre DAVID pierre.david@grenoble-inp.fr 2

Pierre DAVID pierre.david@grenoble-inp.fr 3

Normes et vocabulaire associ

Qui impulse la construction d'une norme ?

Pierre DAVID pierre.david@grenoble-inp.fr 4

Pourquoi crer une norme ?

Pierre DAVID pierre.david@grenoble-inp.fr 5

Construction dune norme

Pierre DAVID pierre.david@grenoble-inp.fr 6

Les acteurs valuant le respect dune norme doivent tre agrs

Pierre DAVID pierre.david@grenoble-inp.fr 8

LES NORMES DE LA SDF

Pierre DAVID pierre.david@grenoble-inp.fr 9

Le contexte et les normes de la SdF

Le vocabulaire consacr aux tudes de SdF est compil dans la

Pierre DAVID pierre.david@grenoble-inp.fr 10

Pierre DAVID pierre.david@grenoble-inp.fr 11

Pierre DAVID pierre.david@grenoble-inp.fr 12

Pierre DAVID pierre.david@grenoble-inp.fr 13

Ces systmes tendent se complexifier, il devient difficile de

Leur conception doit donc tre au mieux matrise.

Des rfrentiels normatifs sont donc crs cet effet.

Pierre DAVID pierre.david@grenoble-inp.fr 14

Donnez pour un systme de votre choix :

Pierre DAVID pierre.david@grenoble-inp.fr 15

Pierre DAVID pierre.david@grenoble-inp.fr 16

La norme IEC 61508

La norme rpond au besoin de grer techniquement la

Pierre DAVID pierre.david@grenoble-inp.fr 17

CEI: Comit Electrotechnique Internationale (IEC)

La CEI a pour objet de favoriser la coopration internationale

Pierre DAVID pierre.david@grenoble-inp.fr 18

Systmes cibles de lIEC 61508

Primtre IEC 61508

Pierre DAVID pierre.david@grenoble-inp.fr 19

Scurit des E/E/PE

Caractristiques de lIEC 61508

IEC 61511 Ferroviaire

Elle intgre les activits de SdF dans le cycle de dveloppement

Pierre DAVID pierre.david@grenoble-inp.fr 21

L'IEC 61508 est constitue de 7 parties :

Pierre DAVID pierre.david@grenoble-inp.fr 22

Objectifs de lIEC 61508

Pierre DAVID pierre.david@grenoble-inp.fr 23

Intrts et points forts

Introduit un cycle de vie de scurit global,

Pierre DAVID pierre.david@grenoble-inp.fr 24

Intrts et points forts

Pour l'exploitant cela permet :

Pierre DAVID pierre.david@grenoble-inp.fr 25

Pierre DAVID pierre.david@grenoble-inp.fr 26

Pierre DAVID pierre.david@grenoble-inp.fr 27

Les tapes de base commandes par la norme sont :

Pierre DAVID pierre.david@grenoble-inp.fr 28

Le cycle de vie de scurit

Pierre DAVID pierre.david@grenoble-inp.fr 29

La rduction des risques

Pierre DAVID pierre.david@grenoble-inp.fr 30

Autres principes existants: