CEI 61508
CEI 61508, ou IEC 61508 ou IEC EN 61508 ou NF EN 61508, est une norme internationale émanant de la Commission électrotechnique internationale et appliquée dans l'industrie traitant de la sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables (E/E/EP) relatifs à la sécurité. En cela elle est une composante de la sûreté de fonctionnement. Elle s'applique pour les systèmes comportant des composants électriques, électroniques ou électroniques programmables. Elle est reconnue par le Comité européen de normalisation en électronique et en électrotechnique, d'où la notation EN, depuis 2002[1]. Elle est également reconnue par l'AFNOR et s'intitule « Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la sécurité ».
La norme comporte sept parties, les trois premières étant normatives alors que les quatre suivantes sont des recommandations et des exemples[2],[3].
Le cycle de vie de la sécurité compte seize phases qui peuvent être regroupées en trois blocs :
- Phases 1-5 concernant l'analyse
- Phases 6-13 concernant la réalisation
- Phases 14-16 concernant l'opération.
L’analyse de sécurité détermine un niveau de risque appelé SIL, Safety Integrity Level (ou niveau d'intégrité de la sécurité) classé de SIL 1 à SIL 4, SIL 4 correspondant au risque le plus élevé[1],[2]. En fonction de ce niveau de risques, les activités de développement imposées par la norme sont plus contraignantes. Ainsi pour le matériel, les taux de fiabilité attendus seront plus élevés pour un système classé SIL 4. Quant au logiciel dans le cas d'un système électronique programmable, sa fiabilité n'étant pas quantifiable, les contraintes liées à son processus de développement seront plus fortes avec par exemple un niveau de documentation supérieure, une exigence supérieure sur les tests ou encore une exigence d'indépendance entre les personnes qui conçoivent et celles qui testent afin d'éviter les erreurs dites systématiques[3].
Cette norme générique est déclinée par métier. L'ISO 26262 dans le secteur automobile hérite ainsi des principes de la CEI 61508. Dans le secteur ferroviaire, les normes EN 50126, EN 50128, EN 50129 héritent de la CEI 61508, quand le secteur nucléaire dispose de la norme CEI 61513. Des normes dites de 'secteur' sont dérivées dans l'industrie des procédés (chimie, pétrochimie) CEI 61511 et dans l'industrie manufacturière, CEI 62061 et dans une moindre manière ISO 13849 partie 1 et 2.
Historique
Publié tout d'abord en version de travail (draft) sous le nom de IEC 1508 en 1995 puis officiellement entre 1998 et 2000, la CEI 61508 est en partie fondée sur une norme en version de travail (préparatoire, Vorschlag) allemande, la DIN V19250 publiée en 1994 (Grundlegende Sicherheitsbetrachtungen für MSRSchutzeinrichtungen : aspects fondamentaux de la sécurité à considérer pour l'équipement de contrôle et mesure)[3].
La CEI 61508 comprend un périmètre beaucoup plus large mais reprend en partie le principe d'évaluation du risque et de classes de risques de la norme DIN V19250. Ensuite la norme CEI 61508 a été reconnue dès 2002 par l'organisme européen CENELEC, sous la dénomination IEC EN 61508.
Analyse de risque
Le classement des risques se fait avec des tableaux de ce type.
Probabilité d’occurrence | Définition | Taux d’occurrence (défaillance par an) |
---|---|---|
Fréquent | Nombreuses fois dans la vie du système | > 10−3 |
Probable | Plusieurs fois dans la vie du système | 10−3 to 10−4 |
Occasionnel | Une fois dans la vie du système | 10−4 to 10−5 |
Rare | Peu probable dans la vie du système | 10−5 to 10−6 |
Improbable | Très peu probable dans la vie du système | 10−6 to 10−7 |
Invraisemblable | Ne devrait jamais arriver dans la vie du système | < 10−7 |
Les conséquences si la défaillance survient sont les suivantes :
Type de conséquence | Définition |
---|---|
Catastrophique | Pertes humaines multiples |
Critique | Perte d'une vie humaine |
Marginal | Blessures majeures à une ou plusieurs personnes |
Insignifiant | Blessures mineures |
En combinant la probabilité d’occurrence et la conséquence dans une matrice, on obtient un niveau de risque.
Type de conséquence | ||||
---|---|---|---|---|
Probabilité d’occurrence | Catastrophique | Critique | Marginal | Insignifiant |
Fréquent | I | I | I | II |
Probable | I | I | II | III |
Occasionnel | I | II | III | III |
Rare | II | III | III | IV |
Improbable | III | III | IV | IV |
Invraisemblable | IV | IV | IV | IV |
On interprète ce tableau de la manière suivante :
- Classe I : le risque est inacceptable en toute circonstance ;
- Classe II : non désiré. Tolérable seulement si la réduction du risque n'est pas faisable ou si les coûts sont largement disproportionnés par rapport au gain de réduction du risque ;
- Classe III : tolérable si le coût de réduction de risque dépasse le gain ;
- Classe IV : acceptable, bien que nécessitant une surveillance.
Pour diminuer un niveau de risque, on peut donc agir sur sa probabilité d’occurrence ou bien sur la gravité de la conséquence.
Détermination du SIL
Le SIL (Safety Integrity Level) correspond à un niveau de fiabilité attendu par le système, ou la sous-fonction concernée, déterminé par l'analyse de sécurité. En fonction du SIL et du niveau de sollicitation du système (faible ou forte), les probabilités de défaillance sont plus contraignantes, SIL 1 étant le plus faible niveau quand SIL 4 est le plus élevé. Un système à faible sollicitation ou sur demande ne doit pas excéder plus d'une demande par an[3].
SIL | Faible sollicitation Probabilité moyenne de défaillance de la fonction (sur demande) |
Forte sollicitation Probabilité de défaillance dangereuse (par heure) |
---|---|---|
1 | ≥ 10−2 to < 10−1 | ≥ 10−6 to < 10−5 |
2 | ≥ 10−3 to < 10−2 | ≥ 10−7 to < 10−6 |
3 | ≥ 10−4 to < 10−3 | ≥ 10−8 to < 10−7[4] |
4 | ≥ 10−5 to < 10−4 | ≥ 10−9 to < 10−8 |
Le respect du SIL garantit ainsi un « niveau de confiance » du système développé car le risque zéro n'existe pas, la norme donnant les activités à effectuer pour atteindre le niveau de SIL visé notamment la mise en place d'une gestion de la qualité et de la configuration. En termes de qualité, la mise en place d'une norme type ISO 9000 est un prérequis dès le SIL 1. La mise en place d'activités démontrant la sécurité est également requise et doit être démontrée à travers un dossier de preuve, safety case, qui établit de manière indépendante de l'équipe de développement que le système livré atteint le SIL requis[3].
Notes et références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « IEC 61508 » (voir la liste des auteurs).
- (en) « What is IEC 61508? » (consulté le ).
- « La norme CEI 61508 et ses dérivés », (consulté le ).
- (en) « An introduction to Functional Safety and IEC 61508 » (consulté le ).
- Pour 10−7, cela correspond à une défaillance dangereuse tous les 1 140 ans.