Rvision des normes

de la scurit fonctionnelle
IEC 61508-61511
Les volutions Fondamentales

Jean-Michel DRANGUET INERIS

Evolution des normes CEI 61588 et CEI 61511

3eme Rencontres en scurit fonctionnelle 20/10/09
 Rvision de la norme
IEC 61508

Evolution des normes CEI 61588 et CEI 61511

3eme Rencontres en scurit fonctionnelle 20/10/09
 Mode de marche :
Distinction entre demande leve et continu
mode faible sollicitation : la fonction de scurit nest
ralise que sur sollicitation, afin de faire passer lEUC
dans un tat de scurit spcifi, et la frquence des
sollicitations nest pas suprieure une par an.
mode sollicitation leve : la fonction de scurit nest
ralise que sur sollicitation, afin de faire passer lEUC
dans un tat de scurit spcifi, et la frquence des
sollicitations est suprieure une par an.
mode continu : la fonction de scurit maintient lEUC
dans un tat de scurit en fonctionnement normal.

Evolution des normes CEI 61508 CEI 61511 Page 3 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Introduction de nouvelles rgles :
Capabilit systmatique en cas
dassociations dlments diffrents
Pour un sous systme compos de deux lments de
capabilit systmatique SIL N (N = 1, 2, 3), la combinaison
de ces deux lments peut tre considre comme ayant
une capabilit systmatique de SIL (N + 1), sous rserve de
lexistence dune indpendance suffisante entre les deux
lments.

Une indpendance suffisante incluent la diversit

fonctionnelle ; utilisation de diffrentes approches pour
obtenir les mmes rsultats ; techniques diverses
Evolution des normes CEI 61508 CEI 61511 Page 6 / 25
3eme Rencontres en scurit fonctionnelle 20/10/09
 Concepts fondamentaux pour la dtermination
des contraintes architecturales
Deux voies envisageables pour le design
Route 1H Conservation du concept original de la CEI 61508
et du SFF (Safe failure fraction) comme indicateur qui
permet de dfinir les concepts minimaux de tolrance aux
fautes
Route 2H : Bas sur le retour dexprience des utilisateurs et
de la collection des donnes.

Evolution des normes CEI 61508 CEI 61511 Page 7 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Route 1H : Les exigences qualitatives et
contraintes architectures
Safe failure fraction Tolrance aux erreurs matrielles
0 1 2
< 60 % SIL1 SIL2 SIL3
60 % - < 90 % SIL2 SIL3 SIL4
90 % - < 99 % SIL3 SIL4 SIL4
> 99 % SIL3 SIL4 SIL4
Intgrit de scurit - Contraintes darchitecture pour les systmes de scurit de type A
Safe failure fraction Tolrance aux erreurs matrielles
0 1 2
< 60 % non-autoris SIL1 SIL2
60 % - < 90 % SIL1 SIL2 SIL3
90 % - < 99 % SIL2 SIL3 SIL4
> 99 % SIL3 SIL4 SIL4
Intgrit de scurit - Contraintes darchitecture pour les systmes de scurit de type B

Evolution des normes CEI 61508 CEI 61511 Page 8 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Route 2H : Contexte
Pas de restriction selon les types de composants A ou B
Contraintes architectures
HFT = 2 pour une SIF de SIL 4

HFT = 1 pour une SIF de SIL 3

HFT = 0 pour une SIF de SIL 1 ou 2

Contraintes selon le mode de fonctionnement

HFT = 1 SIL 2 pour High demand ou mode continu
Possibilit de rduire la HFT requise pour le type A
mais en justifiant :
De la complexit additionnelle introduite par les redondances,
(pour une HFT de 0) Du faible poids relatif (1%) des dfaillances
dangereuses
Evolution des normes CEI 61508 CEI 61511 Page 9 / 25
3eme Rencontres en scurit fonctionnelle 20/10/09
 Exigences qualitatives

SIL mode sollicitation mode faible

leve ou continu sollicitation
Safety integrity
level Frquence moyenne de dfaillance Probabilit moyenne de
Dangereuse (hr-1) dfaillance dangereuse

4 10-9 PFH < 10-8 10-5 PFDavg < 10-4

3 10-8 PFH < 10-7 10-4 PFDavg < 10-3

2 10-7 PFH < 10-6 10-3 PFDavg < 10-2

1 10-6 PFH < 10-5 10-2 PFDavg < 10-1

Evolution des normes CEI 61508 CEI 61511 Page 10 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Introduction des ASICS
Notion de cycle de E/E/PE system
safety requirements
specification
ASIC safety
requirements
specification
ASIC Validation
Validation
testing
Validated
ASIC

dveloppement inspir
du logiciel E/E/PE system
architecture
ASIC
architecture
Verification of
complete ASIC

Annexe E normative ASIC design and

behavioural
modelling
Module
integration
testing

ASIC : redondance Module Module

sur la mme puce design testing

Synthesis,

Annexe F ASIC : placement and

routing
Post-layout
simulation

Key

vitement dfaillances Output

Verification
Final coding

systmatiques

Evolution des normes CEI 61508 CEI 61511 Page 11 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Annexe D normative : Safety manual pour les
entits conforme la norme

Les modes de dfaillance et taux de dfaillance estim

Les dfaillances alatoires du matriel dtects par les
tests de diagnostic internes
Les modes de dfaillance du diagnostic
HFT
Le classement en type A ou B
Toutes instructions ou contraintes relatives lapplication
de lentit conforme, et pertinentes pour la fonction, quil
convient dobserver afin dviter des dfaillances
systmatiques de cette entit.
Evolution des normes CEI 61508 CEI 61511 Page 12 / 25
3eme Rencontres en scurit fonctionnelle 20/10/09
 Partie Logiciel : Renforcement
Evolution : Dune obligation de moyens vers des
objectifs
Annexe A (slection de techniques et mesures) reste
normative
Annexe B (tableaux dtaills) informative
Annexe C (informative) : Justifier de lobtention dune
proprit par la technique et mesure slectionne
Dfinition de proprits reprsentant les objectifs
respecter par phase du cycle de dveloppement
Trois niveaux de rigueur

Correspondance avec les niveaux de SIL

Evolution des normes CEI 61508 CEI 61511 Page 13 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Nouvelles annexes
Annexe D normative : Manuel de scurit pour les
articles conformes
Annexe F informative: non interfrence de
composants logiciels dans un seul systme
informatique
Annexe G informative : Recommandations relatives a
la personnalisation des cycles de vies..

Evolution des normes CEI 61508 CEI 61511 Page 14 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Des exigences plus dtailles en termes
objectifs
ex : Conception du logiciel
Compltude par rapport aux spcifications
Exactitude par rapport aux spcifications
Insensibilit aux anomalies de conception
Simplicit
Prvisibilit du comportement
Conception vrifiable et testable
Tolrance aux anomalies / dtection danomalies
Insensibilit aux dfaillances de cause commune

Evolution des normes CEI 61508 CEI 61511 Page 15 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Bilan de lvolution
CEI 61508-2 : Redfinition du SFF
Introduction du dterminisme avec la route2h

Introduction des ASICS (imposition dexigences

qualitatives comparables au logiciel)
CEI 61508-3
Des ajouts manant des travaux de la CEI 61511 :
- Manuel de scurit pour un SILx (annexe D)
- Diffrents types de dveloppement (annexe G)
CEI 61508-6: Introductions des dfinitions mathmatiques
des grandeurs a valuer ( PFDavg, PFH)
Sensiblement plus complexe et plus volumineuse

Evolution des normes CEI 61508 CEI 61511 Page 17 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 Rvision de la norme IEC 61511

Evolution des normes CEI 61588 et CEI 61511

3eme Rencontres en scurit fonctionnelle 20/10/09
 La CEI 61511 : Les axes de modifications
Positionnement vis--vis de lIEC 61508
Vers un document autoportant ?
Reprise des dfinitions concernant les dfaillances
Choix de lorientation du concept HFT Hardware Fault
Tolrance (route 1H ou route 2H)
Les axes de modification 4 Sous-groupes thmatiques :
HFT

Opportunit des SIF de requis SIL 4 :

Quelles exigences associes ?
Logiciel

Safety Manual
Evolution des normes CEI 61508 CEI 61511 Page 19 / 25
3eme Rencontres en scurit fonctionnelle 20/10/09
 CEI 61511 : le concept de tolrance aux
fautes (HFT)
Reprise du concept des route 1H et 2H lors de la
finalisation de la CEI 61508
Voie prfrentielle de la route 2H
Besoin dune mthodologie claire

Evolution des normes CEI 61508 CEI 61511 Page 20 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
CEI 61511 : Les fonctions instrumentes de
SIL 4 ?
SIF SIL 4 : Constats et questions - Dbat et
rticences pour admettre que ce niveau peut tre
envisageable (dpend galement de la partie
logiciel)
Les exigences actuelles ne semblent pas suffisamment claires
Ralisable uniquement avec des units logiques non
programmables ?
Besoin dexigences supplmentaires pour :
Encadrer les calculs probabilistes (dont le niveau de
confiance des donnes)
La vrification
Lindpendance de la validation
Evolution des normes CEI 61508 CEI 61511 Page 21 / 25
3eme Rencontres en scurit fonctionnelle 20/10/09
 Safety Manual pour des lments prouvs
par lusage
Liste des fonctions de scurit
Justification
Identification hardware et software
Identification des modes de dfaillances et les taux
associs
Action prise sur dfaillance dtecte
Proof tests

Evolution des normes CEI 61508 CEI 61511 Page 22 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09
 CEI 61511 : LOGICIEL
Auto-portance prserver vis--vis de la CEI 61508-3
Dveloppement du Logiciel dapplication (LA) par
lintgrateur du systme
Restructuration dans la norme des exigences relatives au
logiciel vers :
Cration Cycle de dveloppement du seul logiciel Application
(LA) (Logiciel systme hors du scope)
Insertion dans la partie-2 :
Exemples dapplication

Rgles de programmation prouves

Acquis : Pas de dveloppement logiciel pour des

applications SIL4 (renvoi vers CEI 61508-3)
Evolution des normes CEI 61508 CEI 61511 Page 23 / 25
3eme Rencontres en scurit fonctionnelle 20/10/09
 Questions en suspens : BPCS et PFD

Identification du BPCS et niveau de scurit possible

dtre retenu
LOPA
Calculs PFD dans la nouvelle version

Evolution des normes CEI 61508 CEI 61511 Page 24 / 25

3eme Rencontres en scurit fonctionnelle 20/10/09