CEI 61508 — Wikipédia https://fr.wikipedia.

org/wiki/CEI_61508

CEI 61508
CEI 61508, ou IEC 61508 ou IEC EN 61508 ou NF EN 61508, est une norme internationale émanant de la
Commission électrotechnique internationale et appliquée dans l'industrie traitant de sûreté de
fonctionnement. Elle s'applique pour les systèmes comportant des composants électriques, électroniques ou
électroniques programmables. Elle est reconnue par le Comité européen de normalisation en électronique et
1
en électrotechnique, d'où la notation EN, depuis 2002 . Elle est également reconnue par l'AFNOR et
s'intitule « Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables
relatifs à la sécurité ».

La norme comporte sept parties, les trois premières étant normatives alors que les quatre suivantes sont des
2, 3
recommandations et des exemples .

Le cycle de vie de la sécurité compte seize phases qui peuvent être regroupées en trois blocs :

Phases 1-5 concernant l'analyse

Phases 6-13 concernant la réalisation
Phases 14-16 concernant l'opération.

L’analyse de sécurité détermine un niveau de risque appelé SIL, Safety Integrity Level (ou niveau d'intégrité
1, 2
de la sécurité) classé de SIL 1 à SIL 4, SIL 4 correspondant au risque le plus élevé . En fonction de ce
niveau de risques, les activités de développement imposées par la norme sont plus contraignantes. Ainsi
pour le matériel, les taux de fiabilité attendus seront plus élevés pour un système classé SIL 4. Quant au
logiciel dans le cas d'un système électronique programmables, sa fiabilité n'étant pas quantifiable, les
contraintes liées à son processus de développement seront plus fortes avec par exemple un niveau de
documentation supérieure, une exigence supérieure sur les tests ou encore une exigence d'indépendance
3
entre les personnes qui conçoivent et celles qui testent afin d'éviter les erreurs dites systématiques .

Cette norme générique est déclinée par métier. L'ISO 26262 dans le secteur automobile hérite ainsi des
principes de la CEI 61508. Dans le secteur ferroviaire, les normes EN 50126, EN 50128, EN 50129 héritent
de la CEI 61508, quand le secteur nucléaire dispose de la norme CEI 61513.

Sommaire
1 Historique
2 Analyse de risque
3 Détermination du SIL
4 Notes et références
5 Liens externes

Historique
Publié tout d'abord en version de travail (draft) sous le nom de IEC 1508 en 1995 puis officiellement entre
1998 et 2000, la CEI 61508 est en partie fondée sur une norme en version de travail allemande, la DIN
19250 publiée en 1994 (Grundlegende Sicherheitsbetrachtungen für MSRSchutzeinrichtungen : aspects
3
fondamentaux de la sécurité à considérer pour l'équipement de contrôle et mesure) .

La CEI 61508 comprend un périmètre beaucoup plus large mais reprend en partie le principe d'évaluation du

1 sur 4 01/04/2017 19:03

CEI 61508 — Wikipédia https://fr.wikipedia.org/wiki/CEI_61508

risque et de classes de risques de la norme DIN 19250. Ensuite la norme CEI 61508 a été reconnue dès 2002
par l'organisme européen CENELEC, sous la dénomination IEC EN 61508.

Analyse de risque
Le classement des risques se fait avec des tableaux de ce type.

Probabilité Taux d’occurrence (défaillance par

Définition
d’occurrence an)
Fréquent Nombreuses fois dans la vie du système > 10−3
Probable Plusieurs fois dans la vie du système 10−3 to 10−4
Occasionnel Une fois dans la vie du système 10−4 to 10−5
Rare Peu probable dans la vie du système 10−5 to 10−6
Improbable Très peu probable dans la vie du système 10−6 to 10−7
Ne devrait jamais arriver dans la vie du
Invraisemblable < 10−7
système

Les conséquences si la défaillance survient sont les suivantes :

Type de conséquence Définition

Catastrophique Pertes humaines multiples
Critique Perte d'une vie humaine
Marginal Blessures majeures à une ou plusieurs personnes
Insignifiant Blessures mineures

En combinant la probabilité d’occurrence et la conséquence dans une matrice, on obtient un niveau de

risque.

Type de conséquence
Probabilité d’occurrence Catastrophique Critique Marginal Insignifiant
Fréquent I I I II
Probable I I II III
Occasionnel I II III III
Rare II III III IV
Improbable III III IV IV
Invraisemblable IV IV IV IV

On interprète ce tableau de la manière suivante :

Classe I : le risque est inacceptable en toute circonstance ;

Classe II : non désiré. Tolérable seulement si la réduction du risque n'est pas faisable ou si les coûts sont
largement disproportionnés par rapport au gain de réduction du risque ;
Classe III : tolérable si le coût de réduction de risque dépasse le gain ;
Classe IV : acceptable, bien que nécessitant une surveillance.

2 sur 4 01/04/2017 19:03

CEI 61508 — Wikipédia https://fr.wikipedia.org/wiki/CEI_61508

Pour diminuer un niveau de risque, on peut donc agir sur sa probabilité d’occurrence ou bien sur la gravité
de la conséquence.

Détermination du SIL
Le SIL (Safety Integrity Level) correspond à un niveau de fiabilité attendu par le système, ou la
sous-fonction concernée, déterminé par l'analyse de sécurité. En fonction du SIL et du niveau de
sollicitation du système (faible ou forte), les probabilités de défaillance sont plus contraignantes, SIL 1 étant
le plus faible niveau quand SIL 4 est le plus élevé. Un système à faible sollicitation ou sur demande ne doit
3
pas excéder plus d'une demande par an .

Faible sollicitation Forte sollicitation

SIL Probabilité moyenne de défaillance de la fonction Probabilité de défaillance dangereuse
(sur demande) (par heure)
1 ≥ 10−2 to < 10−1 ≥ 10−6 to < 10−5
2 ≥ 10−3 to < 10−2 ≥ 10−7 to < 10−6
4
3 ≥ 10−4 to < 10−3 ≥ 10−8 to < 10−7
4 ≥ 10−5 to < 10−4 ≥ 10−9 to < 10−8

Le respect du SIL garantit ainsi un « niveau de confiance » du système développé car le risque zéro n'existe
pas, la norme donnant les activités à effectuer pour atteindre le niveau de SIL visé notamment la mise en
place d'une gestion de la qualité et de la configuration. En termes de qualité, la mise en place d'une norme
type ISO 9000 est un prérequis dès le SIL 1. La mise en place d'activités démontrant la sécurité est
également requise et doit être démontrée à travers un dossier de preuve, safety case, qui établit de manière
3
indépendante de l'équipé de développement que le système livré atteint le SIL requis .

Notes et références
(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « IEC
61508 (https://en.wikipedia.org/wiki/IEC_61508?oldid=623984236) » (voir la liste des auteurs
(https://en.wikipedia.org/wiki/IEC_61508?action=history)).

1. (en) « What is IEC 61508? » (http://www.61508.org/?page_id=18) (consulté le 29 octobre 2014).

2. « La norme CEI 61508 et ses dérivés » (http://www.clearsy.com/2008/12/la-norme-cei-61508-et-ses-derives/),
10 décembre 2008 (consulté le 29 octobre 2014).
3. (en) « An introduction to Functional Safety and IEC 61508 » (http://www.mtl-inst.com/images/uploads/datasheets
/App_Notes/AN9025.pdf) (consulté le 29 octobre 2014).
4. Pour 10−7, cela correspond à une défaillance dangereuse tous les 1 140 ans.

Liens externes
(en) Site de la CEI (http://www.iec.ch/functionalsafety/).
(en) Association 61508 (http://www.61508.org).

Ce document provient de « https://fr.wikipedia.org/w/index.php?title=CEI_61508&oldid=131097357 ».

3 sur 4 01/04/2017 19:03

CEI 61508 — Wikipédia https://fr.wikipedia.org/wiki/CEI_61508

Dernière modification de cette page le 27 octobre 2016, à 11:55.

Droit d'auteur : les textes sont disponibles sous licence Creative Commons attribution, partage dans les
mêmes conditions ; d’autres conditions peuvent s’appliquer. Voyez les conditions d’utilisation pour plus de
détails, ainsi que les crédits graphiques. En cas de réutilisation des textes de cette page, voyez comment citer
les auteurs et mentionner la licence.
Wikipedia® est une marque déposée de la Wikimedia Foundation, Inc., organisation de bienfaisance régie
par le paragraphe 501(c)(3) du code fiscal des États-Unis.

4 sur 4 01/04/2017 19:03