IEC 61508-1:1998
(Main)Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 1: General requirements (see www.iec.ch/61508)
Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 1: General requirements (see <a href="http://www.iec.ch/61508">www.iec.ch/61508</a>)
Sets out a generic approach for all safety lifecycle activities for systems comprised of electrical and/or electronic and/or programmable electronic components (electrical / electronic / programmable electronic systems (E/E/PESs)) that are used to perform safety functions. This unified approach has been adopted in order that a rational and consistent technical policy be developed for all electrically-based safety-related systems. Is intended to facilitate the development of application sector standards. Has the status of a basic safety publication in accordance with IEC Guide 104. The contents of the corrigendum of April 1999 have been included in this copy.
Sécurité fonctionnelle des systèmes électriques/électroniques/ électroniques programmables relatifs à la sécurité - Partie 1: Prescriptions générales (voir www.iec.ch/61508)
Présente une approche générique de toutes les activités liées au cycle de vie de sécurité de systèmes électriques / électroniques / électroniques porgrammables (E/E/PES) qui sont utilisés pour réaliser des fonctions de sécurité. Cette approche unifiée a été adoptée afin de développer une politique technique rationelle et cohérente concernant tous les appareils électriques liées à la sécurité. Déstinée à faciliter l'élaboration de normes par secteur d'application. A le statut, d'une publication fondamentale de sécurité conformément au Guide 104. Le contenu du corrigendum d'avril 1999 a été pris en considération dans cet exemplaire.
General Information
Relations
Standards Content (Sample)
INTERNATIONAL IEC
STANDARD
61508-1
First edition
1998-12
BASIC SAFETY PUBLICATION
Functional safety of electrical/electronic/
programmable electronic safety-related systems –
Part 1:
General requirements
This English-language version is derived from the original
bilingual publication by leaving out all French-language
pages. Missing page numbers correspond to the French-
language pages.
Reference number
Publication numbering
As from 1 January 1997 all IEC publications are issued with a designation in the
60000 series. For example, IEC 34-1 is now referred to as IEC 60034-1.
Consolidated editions
The IEC is now publishing consolidated versions of its publications. For example,
edition numbers 1.0, 1.1 and 1.2 refer, respectively, to the base publication, the base
publication incorporating amendment 1 and the base publication incorporating
amendments 1 and 2.
Further information on IEC publications
The technical content of IEC publications is kept under constant review by the IEC,
thus ensuring that the content reflects current technology. Information relating to this
publication, including its validity, is available in the IEC Catalogue of publications
(see below) in addition to new editions, amendments and corrigenda. Information on
the subjects under consideration and work in progress undertaken by the technical
committee which has prepared this publication, as well as the list of publications
issued, is also available from the following:
• IEC Web Site (www.iec.ch)
• Catalogue of IEC publications
The on-line catalogue on the IEC web site (www.iec.ch/searchpub) enables you to
search by a variety of criteria including text searches, technical committees and
date of publication. On-line information is also available on recently issued
publications, withdrawn and replaced publications, as well as corrigenda.
• IEC Just Published
This summary of recently issued publications (www.iec.ch/online_news/ justpub) is
also available by email. Please contact the Customer Service Centre (see below)
for further information.
• Customer Service Centre
If you have any questions regarding this publication or need further assistance,
please contact the Customer Service Centre:
Email: custserv@iec.ch
Tel: +41 22 919 02 11
Fax: +41 22 919 03 00
INTERNATIONAL IEC
STANDARD
61508-1
First edition
1998-12
BASIC SAFETY PUBLICATION
Functional safety of electrical/electronic/
programmable electronic safety-related systems –
Part 1:
General requirements
IEC 1998 Copyright - all rights reserved
No part of this publication may be reproduced or utilized in any form or by any means, electronic or mechanical,
including photocopying and microfilm, without permission in writing from the publisher.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
PRICE CODE
XA
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
For price, see current catalogue
61508-1 © IEC:1998 – 3 –
CONTENTS
Page
FOREWORD . 7
INTRODUCTION . 11
Clause
1 Scope . 15
2 Normative references . 21
3 Definitions and abbreviations. 21
4 Conformance to this standard. 23
5 Documentation. 23
5.1 Objectives. 23
5.2 Requirements . 25
6 Management of functional safety . 27
6.1 Objectives. 27
6.2 Requirements . 27
7 Overall safety lifecycle requirements . 31
7.1 General. 31
7.2 Concept . 49
7.3 Overall scope definition. 49
7.4 Hazard and risk analysis . 51
7.5 Overall safety requirements. 55
7.6 Safety requirements allocation . 57
7.7 Overall operation and maintenance planning . 69
7.8 Overall safety validation planning . 71
7.9 Overall installation and commissioning planning . 73
7.10 Realisation: E/E/PES. 75
7.11 Realisation: other technology . 75
7.12 Realisation: external risk reduction facilities . 75
7.13 Overall installation and commissioning . 77
7.14 Overall safety validation . 77
7.15 Overall operation, maintenance and repair. 79
7.16 Overall modification and retrofit. 85
7.17 Decommissioning or disposal . 89
7.18 Verification. 91
8 Functional safety assessment. 93
8.1 Objective . 93
8.2 Requirements . 93
61508-1 © IEC:1998 – 5 –
Annexes
Annex A (informative) Example documentation structure. 99
A.1 General . 99
A.2 Safety lifecycle document structure . 101
A.3 Physical document structure . 107
A.4 List of documents. 111
Annex B (informative) Competence of persons. 113
B.1 Objective . 113
B.2 General considerations . 113
Annex C (informative) Bibliography . 115
Tables
1 Overall safety lifecycle: overview . 39
2 Safety integrity levels: target failure measures for a safety function, allocated to
an E/E/PE safety-related system operating in low demand mode of operation . 65
3 Safety integrity levels: target failure measures for a safety function, allocated to
an E/E/PE safety-related system operating in high demand or continuous mode
of operation.65
4 Minimum levels of independence of those carrying out functional safety assessment
(overall safety lifecycle phases 1 to 8 and 12 to 16 inclusive (see figure 2)) . 97
5 Minimum levels of independence of those carrying out functional safety assessment
(overall safety lifecycle phase 9 - includes all phases of E/E/PES and software safety
lifecycles (see figures 2, 3 and 4)) . 97
A.1 Example documentation structure for information related to the overall
safety lifecycle . 103
A.2 Example documentation structure for information related to the E/E/PES
safety lifecycle . 105
A.3 Example documentation structure for information related to the software
safety lifecycle . 107
Figures
1 Overall framework of this standard . 19
2 Overall safety lifecycle. 33
3 E/E/PES safety lifecycle (in realisation phase) . 35
4 Software safety lifecycle (in realisation phase). 35
5 Relationship of overall safety lifecycle to E/E/PES and software safety lifecycles. 37
6 Allocation of safety requirements to the E/E/PE safety-related systems,
other technology safety-related systems and external risk reduction facilities . 63
7 Example operations and maintenance activities model. 83
8 Example operation and maintenance management model. 85
9 Example modification procedure model . 89
A.1 Structuring information into document sets for user groups . 109
A.2 Structuring information for large complex systems and small low
complexity systems . 109
61508-1 © IEC:1998 – 7 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
––––––––––
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 1: General requirements
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International Organization
for Standardization (ISO) in accordance with conditions determined by agreement between the two
organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical reports or guides and they are accepted by the National Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 61508-1 has been prepared by subcommittee 65A: System aspects,
of IEC technical committee 65: Industrial-process measurement and control.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/264/FDIS 65A/274/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
Annexes A, B and C are for information only.
It has the status of a basic safety publication in accordance with IEC Guide 104.
61508-1 © IEC:1998 – 9 –
IEC 61508 consists of the following parts, under the general title Functional safety of
electrical/electronic/programmable electronic safety-related systems:
– Part 1: General requirements
– Part 2: Requirements for electrical/electronic/programmable electronic safety-related
systems
– Part 3: Software requirements
– Part 4: Definitions and abbreviations
– Part 5: Examples of methods for the determination of safety integrity levels
– Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
– Part 7: Overview of techniques and measures
The contents of the corrigendum of April 1999 have been included in this copy.
61508-1 © IEC:1998 – 11 –
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years
to perform safety functions in most application sectors. Computer-based systems (generically
referred to as programmable electronic systems (PESs)) are being used in all application
sectors to perform non-safety functions and, increasingly, to perform safety functions. If
computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make these decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/electronic/programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and consistent
technical policy be developed for all electrically-based safety-related systems. A major
objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which rely on many
technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic, programmable
electronic). Any safety strategy must therefore consider not only all the elements within an
individual system (for example sensors, controlling devices and actuators) but also all the
safety-related systems making up the total combination of safety-related systems. Therefore,
while this International Standard is concerned with electrical/electronic/programmable
electronic (E/E/PE) safety-related systems, it may also provide a framework within which
safety-related systems based on other technologies may be considered.
It is recognized that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the required safety measures will be dependent on many factors specific to the
application. This International Standard, by being generic, will enable such measures to be
formulated in future application sector international standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector international standards, dealing with safety-related E/E/PESs, to
be developed; the development of application sector international standards, within the
framework of this standard, should lead to a high level of consistency (for example, of
underlying principles, terminology etc.) both within application sectors and across
application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
61508-1 © IEC:1998 – 13 –
– uses safety integrity levels for specifying the target level of safety integrity for the safety
functions to be implemented by the E/E/PE safety-related systems;
– adopts a risk-based approach for the determination of the safety integrity level
requirements;
– sets numerical target failure measures for E/E/PE safety-related systems which are linked
to the safety integrity levels;
– sets a lower limit on the target failure measures, in a dangerous mode of failure, that can
be claimed for a single E/E/PE safety-related system; for E/E/PE safety-related systems
operating in
– a low demand mode of operation, the lower limit is set at an average probability of
–5
failure of 10 to perform its design function on demand,
– a high demand or continuous mode of operation, the lower limit is set at a probability of
–9
a dangerous failure of 10 per hour;
NOTE – A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.
– adopts a broad range of principles, techniques and measures to achieve functional safety
for E/E/PE safety-related systems, but does not use the concept of fail safe which may be
of value when the failure modes are well defined and the level of complexity is relatively
low. The concept of fail safe was considered inappropriate because of the full range of
complexity of E/E/PE safety-related systems that are within the scope of the standard.
61508-1 © IEC:1998 – 15 –
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 1: General requirements
1 Scope
1.1 This International Standard covers those aspects to be considered when
electrical/electronic/programmable electronic systems (E/E/PESs) are used to carry out safety
functions. A major objective of this standard is to facilitate the development of application
sector international standards by the technical committees responsible for the application
sector. This will allow all the relevant factors, associated with the application, to be fully taken
into account and thereby meet the specific needs of the application sector. A dual objective of
this standard is to enable the development of electrical/electronic/programmable electronic
(E/E/PE) safety-related systems where application sector international standards may not exist.
1.2 In particular, this standard
a) applies to safety-related systems when one or more of such systems incorporates
electrical/electronic/programmable electronic devices;
NOTE 1 – In the context of low complexity E/E/PE safety-related systems, certain requirements specified in this
standard may be unnecessary, and exemption from compliance with such requirements is possible (see 4.2, and
the definition of a low complexity E/E/PE safety-related system in 3.4.4 of IEC 61508-4).
NOTE 2 – Although a person can form part of a safety-related system (see 3.4.1 of IEC 61508-4), human factor
requirements related to the design of E/E/PE safety-related systems are not considered in detail in this standard.
b) is generically-based and applicable to all E/E/PE safety-related systems irrespective of the
application;
c) covers possible hazards caused by failures of the safety functions to be performed by
E/E/PE safety-related systems, as distinct from hazards arising from the E/E/PE equipment
itself (for example electric shock etc);
d) does not cover E/E/PE systems where
– a single E/E/PE system is capable of providing the necessary risk reduction, and
– the required safety integrity of the E/E/PE system is less than that specified for safety
integrity level 1 (the lowest safety integrity level in this standard).
e) is mainly concerned with the E/E/PE safety-related systems whose failure could have an
impact on the safety of persons and/or the environment; however, it is recognized that the
consequences of failure could also have serious economic implications and in such cases
this standard could be used to specify any E/E/PE system used for the protection of
equipment or product;
NOTE – See 3.1.1 and 7.3.1.2 of IEC 61508-4.
61508-1 © IEC:1998 – 17 –
f) considers E/E/PE safety-related systems, other technology safety-related systems and
external risk reduction facilities in order that the safety requirements specification for the
E/E/PE safety-related systems can be determined in a systematic, risk-based manner;
g) uses an overall safety lifecycle model as the technical framework for dealing systematically
with the activities necessary for ensuring the functional safety of the E/E/PE safety-related
systems;
NOTE 3 – The early phases of the overall safety lifecycle include, of necessity, consideration of other technology
(as well as the E/E/PE safety-related systems) and external risk reduction facilities, in order that the safety
requirements specification for the E/E/PE safety-related systems can be developed in a systematic, risk-based
manner.
NOTE 4 – Although the overall safety lifecycle is primarily concerned with E/E/PE safety-related systems, it could
also provide a technical framework for the consideration of any safety-related system irrespective of the technology
of that system (for example mechanical, hydraulic or pneumatic).
h) does not specify the safety integrity levels required for sector applications (which must be
based on detailed information and knowledge of the sector application). The technical
committees responsible for the specific application sectors shall specify, where appropriate,
the safety integrity levels in the application sector standards;
i) provides general requirements for E/E/PE safety-related systems where no application
sector standards exist;
j) does not cover the precautions that may be necessary to prevent unauthorized persons
damaging, and/or otherwise adversely affecting, the functional safety of E/E/PE safety-
related systems.
1.3 This part of IEC 61508 specifies the general requirements that are applicable to all parts.
Other parts of IEC 61508 concentrate on more specific topics:
– parts 2 and 3 provide additional and specific requirements for E/E/PE safety-related
systems (for hardware and software);
– part 4 gives definitions and abbreviations that are used throughout this standard;
– part 5 provides guidelines on the application of part 1 in determining safety integrity levels,
by showing example methods;
– part 6 provides guidelines on the application of parts 2 and 3;
– part 7 contains an overview of techniques and measures.
1.4 Parts 1, 2, 3 and 4 of this standard are basic safety publications, although this status does
not apply in the context of low complexity E/E/PE safety-related systems (see 3.4.4 of part 4).
As basic safety publications, they are intended for use by technical committees in the
preparation of standards in accordance with the principles contained in IEC Guide 104 and
ISO/IEC Guide 51. Parts 1, 2, 3, and 4 are also intended for use as stand-alone publications.
One of the responsibilities of a technical committee is, wherever applicable, to make use of
basic safety publications in the preparation of its publications. In this context, the requirements,
test methods or test conditions of this basic safety publication will not apply unless specifically
referred to or included in the publications prepared by those technical committees.
NOTE – In the USA and Canada, until the proposed process sector implementation of IEC 61508 is published as an
international standard in the USA and Canada, existing national process safety standards based on IEC 61508 (i.e.
ANSI/ISA S84.01-1996) (see reference [8] in annex C) can be applied to the process sector instead of IEC 61508.
1.5 Figure 1 shows the overall framework for parts 1 to 7 of IEC 61508 and indicates the role
that IEC 61508-1 plays in the achievement of functional safety for E/E/PE safety-related
systems.
61508-1 © IEC:1998 – 19 –
Technical
requirements
PART 1
Development of the overall safety
requirements (concept, scope
definition, hazard and risk analysis)
(E/E/PE safety-related systems, other PART 5
technology safety-related systems and
Risk based approaches
external risk reduction facilities)
to the development of
7.1 to 7.5
the safety integrity
requirements
Other
PART 1
requirements
Allocation of the safety
requirements to the E/E/PE
safety-related systems
PART 7 Definitions and
7.6
abbreviations
Overview of
techniques
and measures
PART 4
PART 6
Guidelines for the
Documentation
Realisation Realisation
application of
phase for phase for
parts 2 and 3
Clause 5 and
E/E/PE safety- safety-related
annex A
related systems software
PART 1
PART 2 PART 3
Management of
functional safety
Clause 6
PART 1
PART 1
Installation and commissioning
and safety validation of E/E/PE
Functional safety
safety-related systems
assessment
Clause 8
7.13 and 7.14
PART 1
PART 1
Operation and maintenance,
modification and retrofit,
decommisioning or disposal of
E/E/PE safety-related systems
7.15 to 7.17
IEC 1 645/98
Figure 1 – Overall framework of this standard
61508-1 © IEC:1998 – 21 –
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61508. For dated references, subsequent amendments
to, or revisions of, any of these publications do not apply. However, parties to agreements
based on this part of IEC 61508 are encouraged to investigate the possibility of applying the
most recent editions of the normative documents indicated below. For undated references, the
latest edition of the normative document referred to applies. Members of IEC and ISO maintain
registers of currently valid international standards.
ISO/IEC Guide 51:1990, Guidelines for the inclusion of safety aspects in standards
IEC Guide 104:1997, Guide to the drafting of safety standards, and the role of Committees with
safety pilot functions and safety group functions
IEC 61508-2, — Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 2: Requirements for electrical/electronical/programmable electronic
1)
safety-related systems
IEC 61508-3:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 3: Software requirements
IEC 61508-4:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 4: Definitions and abbreviations
IEC 61508-5:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 5: Examples of methods for the determination of safety integrity levels
IEC 61508-6, — Functional safety of electrical/electronical/programmable electronic safety-
1)
related systems – Part 6: Guidelines on the application of parts 2 and 3
IEC 61508-7, — Functional safety of electrical/electronical/programmable electronic safety-
2)
related systems – Part 7: Overview of techniques and measures
3 Definitions and abbreviations
For the purposes of this standard, the definitions and abbreviations given in part 4 apply.
–––––––––
2)
To be published.
61508-1 © IEC:1998 – 23 –
4 Conformance to this standard
4.1 To conform to this standard it shall be demonstrated that the requirements have been
satisfied to the required criteria specified (for example safety integrity level) and therefore, for
each clause or subclause, all the objectives have been met.
NOTE – It is not generally possible to single out any one factor that determines the degree to which a requirement
is to be satisfied (degree of rigour). It will be dependent upon a number of factors which, themselves, may depend
upon the specific overall, E/E/PES or software safety lifecycle phase and activity. The factors will include:
– nature of the hazards;
– consequence and risk reduction;
– safety integrity level;
– type of implementation technology;
– size of systems;
– number of teams involved;
– physical distribution;
– novelty of design.
4.2 This standard specifies the requirements for E/E/PE safety-related systems and has been
developed to meet the full range of complexity associated with such systems. However, for low
complexity E/E/PE safety-related systems (see 3.4.4 of IEC 61508-4), where dependable field
experience exists which provides the necessary confidence that the required safety integrity
can be achieved, the following options are available:
– in application sector standards implementing the requirements of IEC 61508-1 to
IEC 61508-7, certain requirements may be unnecessary and exemption from compliance
with such requirements is acceptable;
– if this standard is used directly for those situations where no application sector international
standard exists, certain of the requirements specified in this standard may be unnecessary
and exemption from compliance with such requirements is acceptable providing this is
justified.
Application sector international standards for E/E/PE safety-related systems developed
4.3
within the framework of this standard shall take into account the requirements of ISO/IEC
Guide 51 and IEC Guide 104.
5 Documentation
5.1 Objectives
5.1.1 The first objective of the requirements of this clause is to specify the necessary
information to be documented in order that all phases of the overall, E/E/PES and software
safety lifecycles can be effectively performed.
61508-1 © IEC:1998 – 25 –
5.1.2 The second objective of the requirements of this clause is to specify the necessary
information to be documented in order that the management of functional safety (see clause 6),
verification (see 7.18) and the functional safety assessment (see clause 8) activities can be
effectively performed.
NOTE 1 – The documentation requirements in this standard are concerned, essentially, with information rather than
physical documents. The information need not be contained in physical documents unless this is explicitly declared
in the relevant subclause.
NOTE 2 – Documentation may be available in different forms (for example on paper, film, or any data medium to be
presented on screens or displays).
NOTE 3 – See annex A concerning possible documentation structures.
NOTE 4 – See reference [4] in annex C.
5.2 Requirements
5.2.1 The documentation shall contain sufficient information, for each phase of the overall,
E/E/PES and software safety lifecycles completed, necessary for effective performance of
subsequent phases and verification activities.
NOTE – What constitutes sufficient information will be dependent upon a number of factors, including the
complexity and size of the E/E/PE safety-related systems and the requirements relating to the specific application.
5.2.2 The documentation shall contain sufficient information required for the management of
functional safety (clause 6).
NOTE – See notes to 5.1.2.
5.2.3 The documentation shall contain sufficient information required for the implementation
of a functional safety assessment, together with the information and results derived from any
functional safety assessment.
NOTE – See notes to 5.1.2.
5.2.4 Unless justified in the functional safety planning or specified in the application sector
standard, the information to be documented shall be as stated in the various clauses of this
standard.
5.2.5 The availability of documentation shall be sufficient for the duties to be performed in
respect of the clauses of this standard.
NOTE – Only the information necessary to undertake a particular activity, required by this standard, need be held
by each relevant party.
5.2.6 The documentation shall
– be accurate and concise;
– be easy to understand by those persons having to make use of it;
– suit the purpose for which it is intended;
– be accessible and maintainable.
5.2.7 The documentation or set of information shall have titles or names indicating the scope
of the contents, and some form of index arrangement so as to allow ready access to the
information required in this standard.
5.2.8 The documentation structure may take account of company procedures and the working
practices of specific application sectors.
5.2.9 The documents or set of information shall have a revision index (version numbers) to
make it possible to identify different versions of the document.
61508-1 © IEC:1998 – 27 –
5.2.10 The documents or set of information shall be so structured as to make it possible to
search for relevant information. It shall be possible to identify the latest revision (version) of a
document or set of information.
NOTE – The physical structure of the documentation will vary depending upon a number of factors such as the size
of the system, its complexity and organizational requirements.
5.2.11 All relevant documents shall be revised, amended, reviewed, approved and be under
the control of an appropriate document control scheme.
NOTE – Where automatic or semi-automatic tools are used for the production of documentation, specific
procedures may be necessary to ensure effective measures are in place for the management of versions or other
control aspects of the documents.
6 Management of functional safety
6.1 Objectives
6.1.1 The first objective of the requirements of this clause is to specify the management and
technical activities during the overall, E/E/PES and software safety lifecycle phases which are
necessary for the achievement of the required functional safety of the E/E/PE safety-related
systems.
6.1.2 The second objective of the requirements of this clause is to specify the responsibilities
of the persons, departments and organizations responsible for each overall, E/E/PES and
software safety lifecycle phase or for activities within each phase.
NOTE – The organizational measures dealt with in this clause provide for the effective implementation of the
technical requirements and are solely aimed at the achievement and maintenance of functional safety of the E/E/PE
safety-related systems. The technical requirements necessary for maintaining functional safety will normally be
specified as part of the information provided by the supplier of the E/E/PE safety-related system.
6.2 Requirements
6.2.1 Those organizations or individuals that have overall responsibility for one or more
phases of the overall, E/E/PES or software safety lifecycles shall, in respect of those phases
for which they have overall responsibility, specify all management and technical activities that
are necessary to ensure that the E/E/PE safety-related systems achieve and maintain the
required functional safety. In particular, the following should be considered:
a) the policy and strategy for achieving functional safety, together with the means for
evaluating its achievement, and the means by which this is communicated within the
organization to ensure a culture of safe working;
b) identification of the persons, departments and organizations which are responsible for
carrying out and reviewing the applicable overall, E/E/PES or software safety lifecycle
phases (including, where relevant, licensing authorities or safety regulatory bodies);
c) the overall, E/E/PES or software safety lifecycle phases to be applied;
d) the way in which information is to be structured and the extent of the information to be
documented (see clause 5);
e) the selected measures and techniques used to meet the requirements of a specified clause
or subclause (see IEC 61508-2, IEC 61508-3 and 61508-6);
f) the functional safety assessment activities (see clause 8);
61508-1 © IEC:1998 – 29 –
g) the procedures for ensuring prompt follow-up and satisfactory resolution of
recommendations relating to E/E/PE safety-related systems arising from
– hazard and risk analysis (see 7.4);
– functional safety assessment (see clause 8);
– verification activities (see 7.18);
– validation activities (see 7.8 and 7.14);
– configuration management (see 6.2.1 o), 7.16 and IEC 61508-2 and IEC 61508-3);
h) the procedures for ensuring that applicable parties involved in any of the overall, E/E/PES
or software safety lifecycle activities are competent to carry out the activities for which they
are accountable; in particular, the following should be specified:
– the training of staff in diagnosing and repairing faults and in system testing;
– the training of operations staff;
– the retraining of staff at periodic intervals;
NOTE 1 – Annex B provides guidelines on the competence requirements of those involved in any overall, E/E/PES
or software safety lifecycle activity.
i) the procedures which ensure that hazardous incidents (or incidents with potential to create
hazards) are analysed, and that recommendations made to minimise the probability of a
repeat occurrence;
j) the procedures for analysing operations and maintenance performance. In particular
procedures for
– recognising systematic faults which could jeopardise functional safety, including
procedures used during routine maintenance which detect recurring faults;
– assessing whether the demand rates and failure rates during operation and
maintenance are in accordance with assumptions made during the design of the
system;
k) requirements for periodic functional safety audits in accordance with this subclause
including
– the frequency of the functional safety audits;
– consideration as to the level of independence required for those responsible for the
audits;
– the documentation and follow-up activities;
l) the procedures for initiating modifications to the safety-related systems (see 7.16.2.2);
m) the required approval procedure and authority for modifications;
n) the procedures for maintaining accurate information on potential hazards and safety-related
systems;
o) the procedures for configuration management of the E/E/PE safety-related systems during
the overall, E/E/PES and software safety lifecycle phases; in particular the following should
be specified:
– the stage at which formal configuration control is to be implemented;
– the procedures to be used for uniquely identifying all constituent parts of an item
(hardware and software);
– the procedures for preventing unauthorized items from entering service;
NOTE 2 – For more details on configuration management see references [6] and [7] in annex C.
p) where appropriate, the provision of training and information for the emergency services.
61508-1 © IEC:1998 – 31 –
6.2.2 The activities specified as a result of 6.2.1 shall be implemented and progress
monitored.
6.2.3 The requirements developed as a result of 6.2.1 shall be formally reviewed by the
organizations concerned, and agreement reached.
6.2.4 All those specified as responsible for management of functional safety activities shall be
informed of the responsibilities assigned to them.
6.2.5 Suppliers providing products or services to an organization having overall responsibility
for one or more phases of the overall, E/E/PES or software safety lifecycles (see 6.2.1), shall
deliver products or services as specified by that organization and shall have an appropriate
quality management system.
7 Overall safety lifecycle requirements
7.1 General
7.1.1 Introduction
7.1.1.1 In order to deal in a systematic manner with all the activities necessary to achieve the
required safety integrity level for the E/E/PE safety-related systems, this standard adopts an
overall safety lifecycle (see figure 2) as the technical framework.
NOTE – The overall safety lifecyle should be used as a basis for claiming conformance to this standard, but a
different overall safety lifecycle can be used to that given in figure 2, providing the objectives and requirements of
each clause of this standard are met.
7.1.1.2 The overall safety lifecycle encompasses the following risk reduction measures:
– E/E/PE safety-related systems;
– other technology safety-related systems;
– external risk reduction facilities.
7.1.1.3 The portion of the overall safety lifecycle dealing with E/E/PE safety-related systems
is expanded and shown in figure 3. This is termed the E/E/PES safety lifecycle and forms the
technical framework for IEC 61508-2. The software safety lifecycle is shown in figure 4 and
forms the technical framework for IEC 61508-3. The relationship of the overall safety lifecycle
to the E/E/PES and software safety lifecycles for safety-related systems is shown in figure 5.
7.1.1.4 The overall, E/E/PES and software safety lifecycle figures (figures 2 to 4) are
simplified views of reality and as such do not show all the iterations relating to specific phases
or between phases. Iteration, however, is an essential and vital part of development through
the overall, E/E/PES and software safety lifecycles.
7.1.1.5 Activities relating to the management of functional safety (clause 6), verification (7.18)
and functional safety assessment (clause 8) are not shown on the overall, E/E/PES or software
safety lifecycles. This has been done in order to reduce the complexity of the overall, E/E/PES
and software safety lifecycle figures. These activities, where required, will need to be applied at
the relevant phases of the overall, E/E/PES and software safety lifecycles.
61508-1 © IEC:1998 – 33 –
...
NORME CEI
INTERNATIONALE
61508-1
Première édition
1998-12
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 1:
Prescriptions générales
Cette version française découle de la publication d’origine
bilingue dont les pages anglaises ont été supprimées.
Les numéros de page manquants sont ceux des pages
supprimées.
Numéro de référence
CEI 61508-1:1998(F)
Numérotation des publications
Depuis le 1er janvier 1997, les publications de la CEI sont numérotées à partir de
60000. Ainsi, la CEI 34-1 devient la CEI 60034-1.
Editions consolidées
Les versions consolidées de certaines publications de la CEI incorporant les
amendements sont disponibles. Par exemple, les numéros d’édition 1.0, 1.1 et 1.2
indiquent respectivement la publication de base, la publication de base incorporant
l’amendement 1, et la publication de base incorporant les amendements 1 et 2
Informations supplémentaires sur les publications de la CEI
Le contenu technique des publications de la CEI est constamment revu par la CEI
afin qu'il reflète l'état actuel de la technique. Des renseignements relatifs à cette
publication, y compris sa validité, sont disponibles dans le Catalogue des
publications de la CEI (voir ci-dessous) en plus des nouvelles éditions, amende-
ments et corrigenda. Des informations sur les sujets à l’étude et l’avancement des
travaux entrepris par le comité d’études qui a élaboré cette publication, ainsi que la
liste des publications parues, sont également disponibles par l’intermédiaire de:
• Site web de la CEI (www.iec.ch)
• Catalogue des publications de la CEI
Le catalogue en ligne sur le site web de la CEI (www.iec.ch/searchpub) vous permet
de faire des recherches en utilisant de nombreux critères, comprenant des
recherches textuelles, par comité d’études ou date de publication. Des informations
en ligne sont également disponibles sur les nouvelles publications, les publications
remplacées ou retirées, ainsi que sur les corrigenda.
• IEC Just Published
Ce résumé des dernières publications parues (www.iec.ch/online_news/justpub)
est aussi disponible par courrier électronique. Veuillez prendre contact avec le
Service client (voir ci-dessous) pour plus d’informations.
• Service clients
Si vous avez des questions au sujet de cette publication ou avez besoin de
renseignements supplémentaires, prenez contact avec le Service clients:
Email: custserv@iec.ch
Tél: +41 22 919 02 11
Fax: +41 22 919 03 00
NORME CEI
INTERNATIONALE
61508-1
Première édition
1998-12
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 1:
Prescriptions générales
IEC 1998 Droits de reproduction réservés
Aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
CODE PRIX
XA
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
Pour prix, voir catalogue en vigueur
– 2 – 61508-1 © CEI:1998
SOMMAIRE
Pages
AVANT-PROPOS . 6
INTRODUCTION . 10
Articles
1 Domaine d’application . 14
2 Références normatives. 20
3 Définitions et abréviations . 20
4 Conformité à la présente Norme internationale . 22
5 Documentation. 22
5.1 Objectifs . 22
5.2 Prescriptions. 24
6 Gestion de la sécurité fonctionnelle . 26
6.1 Objectifs . 26
6.2 Prescriptions. 26
7 Prescriptions relatives au cycle de vie de sécurité global . 30
7.1 Généralités . 30
7.2 Concept . 48
7.3 Définition globale du domaine d’application . 48
7.4 Analyse de danger et de risque . 50
7.5 Prescriptions globales de sécurité . 54
7.6 Allocation des prescriptions de sécurité. 56
7.7 Planification globale de l’exploitation et de la maintenance . 68
7.8 Planification globale de la validation de la sécurité. 70
7.9 Planification globale de l’installation et de la mise en service . 72
7.10 Réalisation: E/E/PES. 74
7.11 Réalisation: autre technologie . 74
7.12 Réalisation: dispositifs externes de réduction de risque . 74
7.13 Installation et mise en service globales. 76
7.14 Validation globale de la sécurité . 76
7.15 Exploitation, maintenance et réparation globales . 78
7.16 Modification et remise à niveau globales . 84
7.17 Mise hors service ou au rebut. 88
7.18 Vérification. 90
8 Evaluation de la sécurité fonctionnelle . 92
8.1 Objectif . 92
8.2 Prescriptions. 92
– 4 – 61508-1 © CEI:1998
Annexes
Annexe A (informative) Exemple de structure de documentation . 98
A.1 Généralités . 98
A.2 Structure du document du cycle de vie de sécurité .100
A.3 Structure physique du document .106
A.4 Liste des documents .110
Annexe B (informative) Compétence des personnes .112
B.1 Objectif.11 2
B.2 Considérations générales.112
Annexe C (informative) Bibliographie .114
Tableaux
1 Cycle de vie de sécurité global: vue d’ensemble. 38
2 Niveaux d’intégrité de sécurité: mesures cibles de défaillance pour une fonction
de sécurité, allouée à un système de sécurité E/E/PE fonctionnant en mode
de faible sollicitation . 64
3 Niveaux d’intégrité de sécurité: mesures cibles de défaillance pour une fonction
de sécurité, allouée à un système de sécurité E/E/PE fonctionnant en mode continu
ou de forte sollicitation. 64
4 Degrés minimaux d’indépendance des responsables de l’évaluation de la sécurité
fonctionnelle (phases du cycle de vie de sécurité global 1 à 8 et 12 à 16 incluses
(voir figure 2)) . 96
5 Degrés minimaux d’indépendance des responsables de l’évaluation de la sécurité
fonctionnelle (phase 9 du cycle de vie de sécurité global – incluant toutes les phases
des cycles de vie de sécurité du E/E/PES et du logiciel (voir figures 2, 3 et 4)). 96
A.1 Exemple de structure de documentation pour l’information relative au cycle de vie
de sécurité global .102
A.2 Exemple de structure de documentation pour l’information relative au cycle de vie
de sécurité du système E/E/PE.104
A.3 Exemple de structure de documentation pour l’information relative au cycle de vie
de sécurité du logiciel.106
Figures
1 Structure générale de la présente norme . 18
2 Cycle de vie de sécurité global. 32
3 Cycle de vie de sécurité du système E/E/PE (dans la phase de réalisation) . 34
4 Cycle de vie de sécurité du logiciel (dans la phase de réalisation) . 34
5 Relations entre le cycle de vie de sécurité global et les cycles de vie de sécurité
des E/E/PES et du logiciel . 36
6 Allocation des prescriptions de sécurité aux systèmes de sécurité E/E/PE,
systèmes de sécurité basés sur une autre technologie et dispositifs externes
de réduction de risque . 62
7 Exemple de modèle d’activités d’exploitation et de maintenance . 82
8 Exemple de modèle de gestion de l’exploitation et de la maintenance . 84
9 Exemple de modèle de procédure pour les modifications . 88
A.1 Structuration de l'information en ensembles de document pour
les groupes d'utilisateurs .108
A.2 Structuration de l'information pour les grands systèmes complexes et
les petits systèmes de faible complexité .108
– 6 – 61508-1 © CEI:1998
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
–––––––––––
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES
ÉLECTRIQUES/ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES
RELATIFS À LA SÉCURITÉ –
Partie 1: Prescriptions générales
AVANT-PROPOS
1) La CEI (Commission Electrotechnique Internationale) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes internationales.
Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité national intéressé par le
sujet traité peut participer. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec la CEI, participent également aux travaux. La CEI collabore étroitement avec l'Organisation
Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, rapports techniques ou guides et agréés comme tels par les Comités nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer de
façon transparente, dans toute la mesure possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa responsabilité
n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 61508-1 a été établie par le sous-comité 65A: Aspects systèmes,
du comité d'études 65 de la CEI: Mesure et commande dans les processus industriels.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
65A/264/FDIS 65A/274/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
Les annexes A, B et C sont données uniquement à titre d'information.
Elle a le statut d'une publication fondamentale de sécurité conformément au Guide CEI 104.
– 8 – 61508-1 © CEI:1998
La CEI 61508 est composée des parties suivantes, regroupées sous le titre général Sécurité
fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à la
sécurité:
– Partie 1: Prescriptions générales
– Partie 2: Prescriptions pour les systèmes électriques/électroniques/électroniques program-
mables relatifs à la sécurité
– Partie 3: Prescriptions concernant les logiciels
– Partie 4: Définitions et abréviations
– Partie 5: Exemples de méthodes pour la détermination des niveaux d’intégrité de sécurité
– Partie 6: Lignes directrices pour l’application de la CEI 61508-2 et la CEI 61508-3
– Partie 7: Présentation de techniques et mesures
Le contenu du corrigendum d'avril 1999 a été pris en considération dans cet exemplaire.
– 10 – 61508-1 © CEI:1998
INTRODUCTION
Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des
fonctions liées à la sécurité dans la plupart des secteurs d'application. Des systèmes à base
d’informatique (que l’on nommera de façon générique: systèmes électroniques programmables
(PES)) sont utilisés dans tous les secteurs d'application pour exécuter des fonctions non liées
à la sécurité, mais aussi, de plus en plus souvent, liées à la sécurité. Si l'on veut exploiter
efficacement et en toute sécurité la technologie des systèmes informatiques, il est
indispensable de fournir à tous les responsables suffisamment d'éléments liés à la sécurité
pour les guider dans leurs prises de décisions.
La présente Norme internationale présente une approche générique de toutes les activités
liées au cycle de vie de sécurité de systèmes électriques/électroniques/électroniques
programmables (E/E/PES) qui sont utilisés pour réaliser des fonctions de sécurité. Cette
approche unifiée a été adoptée afin de développer une politique technique rationnelle et
cohérente concernant tous les appareils électriques liés à la sécurité. L'un des principaux
objectifs poursuivis consiste à faciliter l'élaboration de normes par secteur d'application.
Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de
protection fondés sur diverses technologies (par exemple mécanique, hydraulique,
pneumatique, électrique, électronique, électronique programmable). En conséquence, il faut
que toute stratégie de sécurité prenne non seulement en compte tous les éléments d'un
système individuel, (par exemple les capteurs, les appareils de commande et les actionneurs),
mais aussi qu'elle considère tous les systèmes relatifs à la sécurité comme des éléments
individuels d’un ensemble complexe. C'est pourquoi la présente Norme internationale, bien que
traitant essentiellement des systèmes E/E/PES relatifs à la sécurité, fournit néanmoins un
cadre de sécurité susceptible de concerner les systèmes relatifs à la sécurité basés sur
d’autres technologies.
Personne n'ignore la grande variété des applications E/E/PES. Celles-ci recouvrent, à des
degrés de complexité très divers, un fort potentiel de danger et de risques dans tous les
secteurs d'application. Pour chaque application, la nature exacte des mesures de sécurité
envisagées dépendra de plusieurs facteurs propres à l'application. La présente Norme
internationale, de par son caractère général, rendra désormais possible la prescription de ces
mesures dans des normes internationales par secteur d'application.
La présente Norme internationale
– concerne toutes les phases appropriées du cycle de vie de sécurité global des E/E/PES et
du logiciel (depuis la conceptualisation initiale, en passant par la conception, l'installation,
l’exploitation et la maintenance, jusqu'à la mise hors service) lorsque les E/E/PES
exécutent des fonctions de sécurité;
– a été élaborée dans le souci de l'évolution rapide des technologies; le cadre fourni par la
présente Norme internationale est suffisamment solide et étendu pour pourvoir aux
évolutions futures;
– permet l'élaboration de Normes internationales par secteur d'application concernant les
E/E/PES relatifs à la sécurité; l'élaboration de normes internationales par secteur
d'application à partir de la présente Norme internationale devrait permettre d'atteindre un
haut niveau de cohérence (par exemple pour ce qui est des principes sous-jacents, de la
terminologie, de la documentation, etc.) à la fois au sein de chaque secteur d'application, et
d'un secteur à l'autre. La conséquence en est une amélioration en termes de sécurité et de
bénéfices économiques;
– fournit une méthode de développement des prescriptions de sécurité nécessaires pour
réaliser la sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité;
– 12 – 61508-1 © CEI:1998
– utilise des niveaux d’intégrité de sécurité afin de spécifier les niveaux cibles d’intégrité de
sécurité des fonctions de sécurité devant être réalisées par les systèmes E/E/PE relatifs à
la sécurité;
– adopte une approche basée sur le risque encouru pour déterminer les niveaux d’intégrité
de sécurité prescrits;
– fixe des objectifs quantitatifs pour les mesures de défaillances des systèmes E/E/PE
relatifs à la sécurité qui sont en rapport avec les niveaux d’intégrité de sécurité;
– fixe une limite inférieure pour les mesures de défaillances, dans le cas d’un mode de
défaillance dangereux, cette limite pouvant être exigée pour un système E/E/PE relatif à la
sécurité unique; dans le cas d’un système E/E/PE relatif à la sécurité fonctionnant
– dans un mode de faible sollicitation, la limite inférieure est fixée à une probabilité
–5
moyenne de défaillance de 10 afin que les fonctions pour lesquelles le système a été
conçu soient exécutées lorsqu’elles sont requises,
– dans un mode de fonctionnement continu ou de forte sollicitation, la limite inférieure est
–9
fixée à une probabilité de défaillance dangereuse de 10 par heure;
NOTE – Un système E/E/PE relatif à la sécurité unique n’implique pas nécessairement une architecture à une seule
voie.
– adopte une large gamme de principes, techniques et mesures pour la réalisation de la
sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité, mais n’utilise pas le
concept de sécurité intrinsèque qui peut être intéressant lorsque les modes de défaillances
sont bien définis et que le niveau de complexité est relativement faible. Le concept de
sécurité intrinsèque a été considéré comme inadéquat en raison de l’immense gamme de
complexité des systèmes E/E/PE relatifs à la sécurité qui entrent dans le domaine
d’application de la présente norme.
– 14 – 61508-1 © CEI:1998
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES
ÉLECTRIQUES/ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES
RELATIFS À LA SÉCURITÉ –
Partie 1: Prescriptions générales
1 Domaine d’application
1.1 La présente Norme internationale traite des aspects à prendre en considération lors de
l'utilisation de systèmes électriques/électroniques/électroniques programmables (E/E/PES)
pour exécuter des fonctions de sécurité. L'un des objectifs majeurs de la présente Norme
internationale est de permettre l'élaboration par les comités d'études responsables des
secteurs concernés de Normes internationales spécifiques à chaque secteur d'application.
Cela permettra de prendre en compte l'ensemble des facteurs pertinents pour chaque
application, et donc de répondre aux besoins spécifiques de chacun de ces secteurs. Un autre
des objectifs poursuivis par la présente Norme internationale est de permettre le
développement de systèmes E/E/PE relatifs à la sécurité en l'absence éventuelle de Normes
internationales pour ce secteur d'application.
1.2 En particulier, cette norme
a) s'applique aux systèmes relatifs à la sécurité lorsque l'un ou plus de ces systèmes
comporte des dispositifs électriques/électroniques/électroniques programmables;
NOTE 1 – En ce qui concerne les systèmes E/E/PE relatifs à la sécurité de faible complexité, certaines
prescriptions décrites dans la présente norme peuvent ne pas être nécessaires, et il est possible d’être exempté de
la conformité avec de telles prescriptions (voir en 4.2, et la définition d’un système E/E/PE relatif à la sécurité de
faible complexité en 3.4.4 de la CEI 61508-4.
NOTE 2 – Bien qu’une personne physique puisse faire partie d’un système relatif à la sécurité (voir 3.4.1 de la
CEI 61508-4, les prescriptions sur le facteur humain dans la conception de systèmes E/E/PE relatifs à la sécurité
ne sont pas détaillées dans cette norme.
1)
b) est basée génériquement et est applicable à tout système E/E/PE relatif à la sécurité sans
considération de son domaine d'application;
c) englobe les risques potentiels dus à des défaillances des fonctions de sécurité devant être
réalisées par les systèmes E/E/PE relatifs à la sécurité, ces derniers étant bien distincts
des risques découlant de l‘équipement E/E/PE par lui-même (par exemple chocs
électriques, etc.);
d) n’englobe pas les systèmes E/E/PE où
– un système E/E/PE unique est capable de fournir la réduction de risque nécessaire et
– l’intégrité de sécurité, du système E/E/PE, exigée est moindre que celle prescrite pour
le niveau 1 d’intégrité de sécurité (niveau d’intégrité de sécurité le plus faible de la
présente norme).
e) traite plus particulièrement des systèmes E/E/PE relatifs à la sécurité dont une défaillance
pourrait avoir un impact sur la sécurité des personnes et/ou sur l'environnement;
cependant, il est reconnu que les défaillances peuvent entraîner des conséquences
économiques sérieuses, et dans de pareils cas, la présente norme pourrait également être
utilisée pour prescrire tout système E/E/PE utilisé pour protéger l’équipement ou le produit;
NOTE – Voir 3.1.1 et 7.3.1.2 de la CEI 61508-4.
–––––––––
1)
Par extension, les systèmes E/E/PE relatifs à la sécurité seront dénommés «systèmes de sécurité E/E/PE»
dans les articles suivants.
– 16 – 61508-1 © CEI:1998
f) considère les systèmes E/E/PE relatifs à la sécurité, les systèmes relatifs à la sécurité
basés sur d’autres technologies et les dispositifs externes de réduction de risque afin que
la définition des prescriptions de sécurité pour les systèmes E/E/PE relatifs à la sécurité
puisse être déterminée de façon systématique en étant basée sur le risque;
g) utilise, en tant que cadre technique, un modèle de cycle de vie de sécurité global pour
traiter, de façon systématique, des activités à réaliser pour assurer la sécurité fonctionnelle
des systèmes E/E/PE relatifs à la sécurité;
NOTE 3 – Les premières phases du modèle de cycle de vie de sécurité global incluent, nécessairement, l’étude
d’autres technologies (en plus des systèmes E/E/PE relatifs à la sécurité) et les dispositifs externes de réduction
de risque, de façon à ce que les définitions des prescriptions de sécurité pour les systèmes E/E/PE relatifs à la
sécurité puissent être déterminées de façon systématique en étant basées sur le risque.
NOTE 4 – Bien que le cycle de vie de sécurité global concerne avant tout les systèmes E/E/PE relatifs à la
sécurité, il peut aussi servir de cadre technique pour l’étude de tout système relatif à la sécurité, indépendamment
de la technologie employée par ce système (par exemple mécanique, hydraulique ou pneumatique).
h) ne prescrit pas les niveaux d’intégrité de sécurité exigés par secteur d’application (ces
niveaux doivent être basés sur des informations détaillées et une bonne connaissance de
l’application sectorielle). Les comités d’études responsables des secteurs d’application
spécifiques doivent prescrire, si nécessaire, les niveaux d’intégrité de sécurité dans leurs
normes sectorielles;
i) fournit des prescriptions générales pour les systèmes E/E/PE relatifs à la sécurité qui ne
sont pas couverts par une norme sectorielle;
j) ne traite pas des précautions qu’il peut être nécessaire de prendre afin d’éviter que des
personnes non autorisées abîment, et/ou aient, d’une manière quelconque, une activité
dommageable sur la sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité.
1.3 La présente partie de la CEI 61508 définit les prescriptions générales qui sont applicables
à toutes les autres parties. Les autres parties de la norme CEI 61508 traitent de sujets plus
spécifiques:
– les parties 2 et 3 fournissent des prescriptions spécifiques et supplémentaires pour les
systèmes E/E/PE relatifs à la sécurité (pour le matériel et le logiciel);
– la partie 4 donne les définitions et les abréviations qui sont utilisées tout au long de la
présente norme;
– la partie 5 fournit des lignes directrices pour la mise en œuvre de la détermination des
niveaux d’intégrité de sécurité, définis dans la partie 1, en présentant des exemples de
méthodes;
– la partie 6 fournit des lignes directrices pour la mise en œuvre des parties 2 et 3;
– la partie 7 contient une présentation des techniques et des mesures.
1.4 Les parties 1, 2, 3 et 4 de la présente norme sont des publications fondamentales de
sécurité, bien qu'un tel statut ne soit pas applicable dans le contexte des systèmes E/E/PE de
faible complexité relatifs à la sécurité (voir 3.4.4 de la partie 4). En tant que publications
fondamentales de sécurité, ces normes sont prévues pour être utilisées par les comités
techniques pour la préparation des normes selon les principes contenus dans le Guide CEI 104
et le Guide ISO/CEI 51. Les parties 1, 2, 3 et 4 sont également destinées à être utilisées
comme publications autonomes.
Une des responsabilités incombant à un comité technique est, dans la mesure du possible,
d'utiliser les publications fondamentales de sécurité pour la préparation de ses publications.
Dans ce contexte les prescriptions, les méthodes d’essai ou conditions d’essai de cette
publication fondamentale de sécurité ne s’appliquent que si elles sont indiquées
spécifiquement ou incluses dans les publications préparées par ces comités techniques.
NOTE – Aux Etats-Unis d'Amérique et au Canada, les normes nationales de sécurité des processus existantes,
basées sur la CEI 61508 (par exemple l'ANSI/ISA S84.01-1996, voir référence [8] à l'annexe C) peuvent être
appliquées dans le domaine des processus, à la place de la CEI 61508, et cela jusqu'à ce que les normes
internationales concernant la mise en oeuvre de la CEI 61508 dans le domaine des processus soient publiées.
1.5 La figure 1 montre la structure générale des parties 1 à 7 de la CEI 61508 et indique le
rôle que la CEI 61508-1 joue dans la réalisation de la sécurité fonctionnelle pour les systèmes
E/E/PE relatifs à la sécurité.
– 18 – 61508-1 © CEI:1998
Prescriptions
PARTIE 1
techniques
Développement des prescriptions globales
de sécurité (concept, définition du domaine
d’application, analyse de danger et de
risque) (Systèmes E/E/PE relatifs à la
PARTIE 5
sécurité, systèmes relatifs à la sécurité
Approches basées sur le
basés sur d’autres technologies, et
risque pour le développement
dispositifs externes de réduction de risque)
des prescriptions d’intégrité
7.1 à 7.5
de sécurité
Autres
PARTIE 1
prescriptions
Allocation des prescriptions
de sécurité aux systèmes
E/E/PE relatifs à la sécurité
PARTIE 7
Définitions et
7.6
Présentation des abréviations
techniques
et mesures
PARTIE 4
PARTIE 6
Lignes directrices pour
Phase de
Documentation
Phase de
la mise en œuvre des
réalisation pour
réalisation des
Article 5 et
les systèmes parties 2 et 3
logiciels relatifs
Annexe A
E/E/PE relatifs
à la sécurité
à la sécurité
PARTIE 1
PARTIE 2 PARTIE 3
Gestion de la
sécurité fonctionnelle
Article 6
PARTIE 1
PARTIE 1
Installation, mise en service et
validation de la sécurité des
Evaluation de la
systèmes E/E/PE relatifs
sécurité fonctionnelle
à la sécurité
Article 8
7.13 et 7.14
PARTIE 1
PARTIE 1
Exploitation et maintenance,
modification et remise à niveau, mise
hors service ou au rebut des
systèmes E/E/PE relatifs à la sécurité
7.15 à 7.17
IEC 1 645/98
Figure 1 – Structure générale de la présente norme
– 20 – 61508-1 © CEI:1998
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente partie de la CEI 61508.
Pour les références datées, les amendements ultérieurs ou les révisions de ces publications ne
s'appliquent pas. Toutefois, les parties prenantes aux accords fondés sur la présente partie de
la CEI 61508 sont invitées à rechercher la possibilité d'appliquer les éditions les plus récentes
des documents normatifs indiqués ci-après. Pour les références non datées, la dernière édition
du document normatif en référence s'applique. Les membres de la CEI et de l'ISO possèdent
le registre des Normes internationales en vigueur.
ISO/CEI Guide 51:1990, Principes directeurs pour inclure dans les normes les aspects liés à la
sécurité
CEI Guide 104:1997, Guide pour la rédaction des normes de sécurité et rôle des comités
chargés de fonctions pilotes de sécurité et de fonctions groupées de sécurité
CEI 61508-2, — Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 2: Prescriptions pour les systèmes
1)
électriques/électroniques/électroniques programmables relatifs à la sécurité
CEI 61508-3:1998, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 3: Prescriptions concernant les logiciels
CEI 61508-4:1998, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 4: Définitions et abréviations
CEI 61508-5:1998, Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 5: Exemples de méthodes de détermination des
niveaux d'intégrité de sécurité
CEI 61508-6, — Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 6: Lignes directrices pour l'application des parties 2
1)
et 3
CEI 61508-7, — Sûreté fonctionnelle des systèmes électriques/électroniques/électroniques
1)
programmables relatifs à la sécurité – Partie 7: Présentation de techniques et mesures
3 Définitions et abréviations
Pour les besoins de la présente Norme internationale, les définitions et abréviations données
dans la partie 4 s’appliquent.
–––––––––
1)
A publier.
– 22 – 61508-1 © CEI:1998
4 Conformité à la présente Norme internationale
4.1 Afin de se conformer à la présente Norme internationale, il doit être démontré que les
prescriptions ont été remplies pour le critère prescrit spécifié (par exemple, le niveau
d’intégrité de sécurité), et que, par conséquent, pour chaque article ou paragraphe, tous les
objectifs ont été atteints.
NOTE – Il n’est généralement pas possible de choisir chaque facteur qui détermine le niveau auquel une
prescription devra être respectée (niveau de rigueur). Ce choix dépendra d’un certain nombre de facteurs, qui
peuvent dépendre eux-mêmes de l’ensemble des phases et activités spécifiques du cycle de vie de sécurité du
logiciel ou des systèmes E/E/PE. Ces facteurs comprennent:
– la nature des dangers;
– la réduction des risques et des conséquences;
– le niveau d’intégrité de sécurité;
– le type de technologie de mise en œuvre;
– la taille des systèmes;
– le nombre d’équipes impliquées;
– la répartition physique;
– l’originalité de la conception.
4.2 La présente norme spécifie les prescriptions pour les systèmes de sécurité E/E/PE et a
été développée pour couvrir tous les niveaux de complexité possible de ces systèmes.
Cependant, pour les systèmes de sécurité E/E/PE de faible complexité (voir en 3.4.4 de la
CEI 61508-4) où une solide expérience de terrain apporte la confiance nécessaire pour assurer
que l’intégrité de sécurité prescrite puisse être réalisée, les options suivantes sont
envisageables:
– dans les normes de secteurs d’application mettant en œuvre les prescriptions de la
CEI 61508-1 à la CEI 61508-7, certaines prescriptions de la présente norme peuvent ne
pas être nécessaires, et il est acceptable d’être exempté de conformité avec de telles
prescriptions;
– si la présente norme est directement utilisée dans les cas où il n’existe pas de Norme
internationale pour ce secteur d’application, certaines prescriptions spécifiées dans la
présente norme peuvent ne pas être nécessaires et l’exemption de conformité avec de
telles prescriptions est acceptable à condition d’être dûment justifiée.
4.3 Les Normes internationales par secteur d’application pour les systèmes de sécurité
E/E/PE développées dans le cadre de la présente norme doivent prendre en compte les
prescriptions du Guide ISO/CEI 51 et du Guide CEI 104.
5 Documentation
5.1 Objectifs
5.1.1 Le premier objectif des prescriptions de cet article est de spécifier l’information qu’il
sera nécessaire de documenter afin que toutes les phases du cycle de vie global du système
E/E/PE et du logiciel puissent s’accomplir efficacement.
– 24 – 61508-1 © CEI:1998
5.1.2 Le second objectif des prescriptions de cet article est de spécifier l’information qu’il
sera nécessaire de documenter afin que les activités de gestion de la sécurité fonctionnelle
(voir article 6), de vérification (voir 7.18) et d’évaluation de la sécurité fonctionnelle (voir article 8)
puissent s’accomplir efficacement.
NOTE 1– Les prescriptions de documentation de la présente norme se rapportent, essentiellement, à l’information
en tant que telle plutôt qu’aux documents physiques. L’information peut ne faire partie d'aucun document, sauf si
c’est explicitement indiqué dans le paragraphe s’y rapportant.
NOTE 2 – La documentation peut être disponible sous différentes formes (par exemple sur papier, film, ou tout
support de donnée devant être affiché sur écran).
NOTE 3 – Voir l’annexe A pour des exemples de structure de documentation.
NOTE 4 – Voir aussi la référence [4] à l’annexe C.
5.2 Prescriptions
5.2.1 Pour chaque phase réalisée du cycle de vie de sécurité global du système E/E/PE et du
logiciel, la documentation doit contenir l’information nécessaire et suffisante à la réalisation
efficace des phases suivantes et des activités de vérification.
NOTE – Ce que l’on entend par «information suffisante» dépend d’un certain nombre de facteurs, dont la
complexité et la taille du système de sécurité E/E/PE et les prescriptions dépendant des spécificités de
l’application.
5.2.2 La documentation doit contenir l’information nécessaire et suffisante pour la gestion de
la sécurité fonctionnelle (article 6).
NOTE – Voir notes en 5.1.2.
5.2.3 La documentation doit contenir l’information nécessaire et suffisante à la mise en
œuvre et à l’évaluation de la sécurité fonctionnelle, ainsi que l’information et les résultats
provenant de toute évaluation de la sécurité fonctionnelle.
NOTE – Voir notes en 5.1.2.
5.2.4 Sauf justification contraire donnée dans la planification de la sécurité fonctionnelle ou
sauf spécification contraire dans la norme d’application sectorielle, l’information à documenter
doit être telle que mentionnée dans les divers articles de la présente norme.
5.2.5 La disponibilité de la documentation doit être suffisante pour permettre
l’accomplissement des activités dans le respect des articles de la présente norme.
NOTE – La personne (physique ou morale) appropriée n’a besoin de détenir que l’information strictement
nécessaire à la réalisation d’une activité déterminée, prescrite par la présente norme.
5.2.6 La documentation doit
– être concise et précise;
– être facile à comprendre par les personnes qui devront l’utiliser;
– correspondre à son objectif;
– être accessible et actualisable.
5.2.7 La documentation ou les ensembles d’informations doivent comporter des titres ou des
noms indiquant le domaine d’application de leurs contenus, et posséder un système d’index
permettant un accès rapide aux informations prescrites dans la présente norme.
5.2.8 La structure de la documentation peut tenir compte des procédures de l’entreprise et
des habitudes de travail de secteurs d’application spécifiques.
5.2.9 Les documents ou ensembles d'informations doivent comporter un index de révision
(numéros de version) permettant d'identifier les différentes versions d'un même document.
– 26 – 61508-1 © CEI:1998
5.2.10 Les documents ou ensembles d'informations doivent être structurés de façon à
permettre la recherche d’information pertinente. Il doit être possible d'identifier la dernière
révision (version) d'un document ou d'un ensemble d’informations.
NOTE – L'organisation pratique de la documentation sera fonction d'un certain nombre de facteurs, comme la
dimension du système, sa complexité ou encore les prescriptions en matière d'organisation.
5.2.11 Tous les documents pertinents doivent faire l'objet de révisions, d’amendements, de
revues et d'approbations, cela dans le cadre d’un plan approprié de contrôle des documents.
NOTE – Lorsque des outils de production automatique ou semi-automatique de la documentation sont utilisés, des
procédures spéciales peuvent être nécessaires pour s’assurer que des mesures efficaces pour la gestion des
versions ou d’autres aspects du contrôle des documents sont en place.
6 Gestion de la sécurité fonctionnelle
6.1 Objectifs
6.1.1 Le premier objectif des prescriptions de cet article est de spécifier les activités
techniques et de gestion qu’il sera nécessaire de réaliser pendant les phases du cycle de vie
global des logiciels et systèmes E/E/PE pour garantir la sécurité fonctionnelle prescrite des
systèmes de sécurité E/E/PE.
6.1.2 Le second objectif des prescriptions de cet article est de spécifier les responsabilités
des personnes, services et organisations responsables pour chaque phase du cycle de vie
global des logiciels et systèmes E/E/PE ou pour les activités comprises dans chaque phase.
NOTE – Les mesures d’organisation dont traite cet article permettent la mise en œuvre efficace des prescriptions
techniques et ont pour unique but la réalisation et le maintien de la sécurité fonctionnelle des systèmes de sécurité
E/E/PE. Les prescriptions techniques nécessaires pour maintenir la sécurité fonctionnelle doivent normalement être
spécifiées dans une partie de la documentation donnée par le fournisseur du système de sécurité E/E/PE.
6.2 Prescriptions
6.2.1 Les organismes ou les individus qui ont une responsabilité globale pour l’une ou
plusieurs des phases du cycle de vie de sécurité global des logiciels ou systèmes E/E/PE,
doivent, à l’égard des phases pour lesquelles ils ont une responsabilité globale, spécifier toutes
les activités techniques et de gestion qui sont nécessaires pour s’assurer que les systèmes de
sécurité E/E/PE réalisent et maintiennent la sécurité fonctionnelle prescrite. En particulier, il
convient que les éléments suivants soient pris en considération:
a) la politique et la stratégie pour réaliser la sécurité fonctionnelle, y compris les moyens pour
évaluer sa réalisation, et les moyens de communication au sein des organisations
permettant d’obtenir une culture de sécurité du travail;
b) l’identification des personnes, services et autres organisations qui sont responsables de
l’exécution et de la revue des phases appropriées du cycle de vie global de sécurité des
logiciels et systèmes E/E/PE (y compris, lorsque c’est utile, les administrations
d’autorisation ou les organismes de réglementation de la sécurité);
c) les phases du cycle de vie de sécurité global des logiciels ou systèmes E/E/PE devant être
appliquées;
d) la façon dont l’information doit être structurée et l’étendue de l’information devant être
documentée (voir article 5);
e) les mesures choisies et les techniques utilisées pour satisfaire aux prescriptions d’un
article ou d’un paragraphe déterminé (voir CEI 61508-2, CEI 61508-3 et 61508-6);
f) les activités d’évaluation de la sécurité fonctionnelle (voir article 8);
– 28 – 61508-1 © CEI:1998
g) les procédures permettant d’assurer rapidement un suivi et une prise en compte
satisfaisante des recommandations ayant trait aux systèmes de sécurité E/E/PE, et
provenant de
– l’analyse de danger et de risque (voir 7.4);
– l’évaluation de la sécurité fonctionnelle (voir article 8);
– les activités de vérification (voir 7.18);
– les activités de validation (voir 7.8 et 7.14);
– la gestion de configuration (voir 6.2.1 o), 7.16 et la CEI 61508-2 ainsi que la CEI 61508-3;
h) les procédures permettant de s’assurer que les personnes appropriées, impliquées dans
l’une quelconque des activités du cycle de vie de sécurité global des logiciels ou systè
...
IEC 61508-1
Edition 1.0 1998-12
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
BASIC SAFETY PUBLICATION
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 1: General requirements
Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 1: Prescriptions générales
Copyright © 1998 IEC, Geneva, Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by
any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either IEC or
IEC's member National Committee in the country of the requester.
If you have any questions about IEC copyright or have an enquiry about obtaining additional rights to this publication,
please contact the address below or your local IEC member National Committee for further information.
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite
ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie
et les microfilms, sans l'accord écrit de la CEI ou du Comité national de la CEI du pays du demandeur.
Si vous avez des questions sur le copyright de la CEI ou si vous désirez obtenir des droits supplémentaires sur cette
publication, utilisez les coordonnées ci-après ou contactez le Comité national de la CEI de votre pays de résidence.
IEC Central Office
3, rue de Varembé
CH-1211 Geneva 20
Switzerland
Email: inmail@iec.ch
Web: www.iec.ch
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.
About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigenda or an amendment might have been published.
ƒ Catalogue of IEC publications: www.iec.ch/searchpub
The IEC on-line Catalogue enables you to search by a variety of criteria (reference number, text, technical committee,…).
It also gives information on projects, withdrawn and replaced publications.
ƒ IEC Just Published: www.iec.ch/online_news/justpub
Stay up to date on all new IEC publications. Just Published details twice a month all new publications released. Available
on-line and also by email.
ƒ Electropedia: www.electropedia.org
The world's leading online dictionary of electronic and electrical terms containing more than 20 000 terms and definitions
in English and French, with equivalent terms in additional languages. Also known as the International Electrotechnical
Vocabulary online.
ƒ Customer Service Centre: www.iec.ch/webstore/custserv
If you wish to give us your feedback on this publication or need further assistance, please visit the Customer Service
Centre FAQ or contact us:
Email: csc@iec.ch
Tel.: +41 22 919 02 11
Fax: +41 22 919 03 00
A propos de la CEI
La Commission Electrotechnique Internationale (CEI) est la première organisation mondiale qui élabore et publie des
normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.
A propos des publications CEI
Le contenu technique des publications de la CEI est constamment revu. Veuillez vous assurer que vous possédez
l’édition la plus récente, un corrigendum ou amendement peut avoir été publié.
ƒ Catalogue des publications de la CEI: www.iec.ch/searchpub/cur_fut-f.htm
Le Catalogue en-ligne de la CEI vous permet d’effectuer des recherches en utilisant différents critères (numéro de référence,
texte, comité d’études,…). Il donne aussi des informations sur les projets et les publications retirées ou remplacées.
ƒ Just Published CEI: www.iec.ch/online_news/justpub
Restez informé sur les nouvelles publications de la CEI. Just Published détaille deux fois par mois les nouvelles
publications parues. Disponible en-ligne et aussi par email.
ƒ Electropedia: www.electropedia.org
Le premier dictionnaire en ligne au monde de termes électroniques et électriques. Il contient plus de 20 000 termes et
définitions en anglais et en français, ainsi que les termes équivalents dans les langues additionnelles. Egalement appelé
Vocabulaire Electrotechnique International en ligne.
ƒ Service Clients: www.iec.ch/webstore/custserv/custserv_entry-f.htm
Si vous désirez nous donner des commentaires sur cette publication ou si vous avez des questions, visitez le FAQ du
Service clients ou contactez-nous:
Email: csc@iec.ch
Tél.: +41 22 919 02 11
Fax: +41 22 919 03 00
IEC 61508-1
Edition 1.0 1998-12
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
BASIC SAFETY PUBLICATION
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 1: General requirements
Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 1: Prescriptions générales
INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
COMMISSION
ELECTROTECHNIQUE
PRICE CODE
INTERNATIONALE
XA
CODE PRIX
ICS 13.110; 25.040; 29.020; 35.240.50 ISBN 2-8318-4575-0
61508-1 © IEC:1998 – 3 –
– 2 – 61508-1 © IEC:1998
CONTENTS
Page
FOREWORD .4
INTRODUCTION . .6
Clause
1 Scope . .8
2 Normative references . 11
3 Definitions and abbreviations. 1 1
4 Conformance to this standard. 12
5 Documentation. 12
5.1 Objectives. 12
5.2 Requirements . 13
6 Management of functional safety . 14
6.1 Objectives. 14
6.2 Requirements . 14
7 Overall safety lifecycle requirements . 16
7.1 General. 16
7.2 Concept . 25
7.3 Overall scope definition. 25
7.4 Hazard and risk analysis . 26
7.5 Overall safety requirements. 28
7.6 Safety requirements allocation . 29
7.7 Overall operation and maintenance planning . 35
7.8 Overall safety validation planning . 36
7.9 Overall installation and commissioning planning . 37
7.10 Realisation: E/E/PES. 38
7.11 Realisation: other technology . 38
7.12 Realisation: external risk reduction facilities . 38
7.13 Overall installation and commissioning . 39
7.14 Overall safety validation . 39
7.15 Overall operation, maintenance and repair. 40
7.16 Overall modification and retrofit. 43
7.17 Decommissioning or disposal . 45
7.18 Verification. 46
8 Functional safety assessment. 47
8.1 Objective . 47
8.2 Requirements . 47
61508-1 © IEC:1998 – 5 –
61508-1 © IEC:1998 – 3 –
Annexes
Annex A (informative) Example documentation structure. 50
A.1 General . 50
A.2 Safety lifecycle document structure . 51
A.3 Physical document structure . 54
A.4 List of documents. 56
Annex B (informative) Competence of persons. 57
B.1 Objective . 57
B.2 General considerations . 57
Annex C (informative) Bibliography . 58
Tables
1 Overall safety lifecycle: overview . 20
2 Safety integrity levels: target failure measures for a safety function, allocated to
an E/E/PE safety-related system operating in low demand mode of operation . 33
3 Safety integrity levels: target failure measures for a safety function, allocated to
an E/E/PE safety-related system operating in high demand or continuous mode
of operation. 33
4 Minimum levels of independence of those carrying out functional safety assessment
(overall safety lifecycle phases 1 to 8 and 12 to 16 inclusive (see figure 2)) . 49
5 Minimum levels of independence of those carrying out functional safety assessment
(overall safety lifecycle phase 9 - includes all phases of E/E/PES and software safety
lifecycles (see figures 2, 3 and 4)) . 49
A.1 Example documentation structure for information related to the overall
safety lifecycle . 52
A.2 Example documentation structure for information related to the E/E/PES
safety lifecycle . 53
A.3 Example documentation structure for information related to the software
safety lifecycle . 54
Figures
1 Overall framework of this standard . 10
2 Overall safety lifecycle. 17
3 E/E/PES safety lifecycle (in realisation phase) . 18
4 Software safety lifecycle (in realisation phase). 18
5 Relationship of overall safety lifecycle to E/E/PES and software safety lifecycles. 19
6 Allocation of safety requirements to the E/E/PE safety-related systems,
other technology safety-related systems and external risk reduction facilities . 32
7 Example operations and maintenance activities model. 42
8 Example operation and maintenance management model. 43
9 Example modification procedure model . 45
A.1 Structuring information into document sets for user groups . 55
A.2 Structuring information for large complex systems and small low
complexity systems . 55
61508-1 © IEC:1998 – 7 –
– 4 – 61508-1 © IEC:1998
INTERNATIONAL ELECTROTECHNICAL COMMISSION
––––––––––
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 1: General requirements
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International Organization
for Standardization (ISO) in accordance with conditions determined by agreement between the two
organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical reports or guides and they are accepted by the National Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 61508-1 has been prepared by subcommittee 65A: System aspects,
of IEC technical committee 65: Industrial-process measurement and control.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/264/FDIS 65A/274/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
Annexes A, B and C are for information only.
It has the status of a basic safety publication in accordance with IEC Guide 104.
61508-1 © IEC:1998 – 9 –
61508-1 © IEC:1998 – 5 –
IEC 61508 consists of the following parts, under the general title Functional safety of
electrical/electronic/programmable electronic safety-related systems:
– Part 1: General requirements
– Part 2: Requirements for electrical/electronic/programmable electronic safety-related
systems
– Part 3: Software requirements
– Part 4: Definitions and abbreviations
– Part 5: Examples of methods for the determination of safety integrity levels
– Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3
– Part 7: Overview of techniques and measures
The contents of the corrigendum of April 1999 have been included in this copy.
61508-1 © IEC:1998 – 11 –
– 6 – 61508-1 © IEC:1998
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years
to perform safety functions in most application sectors. Computer-based systems (generically
referred to as programmable electronic systems (PESs)) are being used in all application
sectors to perform non-safety functions and, increasingly, to perform safety functions. If
computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make these decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/electronic/programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and consistent
technical policy be developed for all electrically-based safety-related systems. A major
objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which rely on many
technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic, programmable
electronic). Any safety strategy must therefore consider not only all the elements within an
individual system (for example sensors, controlling devices and actuators) but also all the
safety-related systems making up the total combination of safety-related systems. Therefore,
while this International Standard is concerned with electrical/electronic/programmable
electronic (E/E/PE) safety-related systems, it may also provide a framework within which
safety-related systems based on other technologies may be considered.
It is recognized that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the required safety measures will be dependent on many factors specific to the
application. This International Standard, by being generic, will enable such measures to be
formulated in future application sector international standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector international standards, dealing with safety-related E/E/PESs, to
be developed; the development of application sector international standards, within the
framework of this standard, should lead to a high level of consistency (for example, of
underlying principles, terminology etc.) both within application sectors and across
application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
61508-1 © IEC:1998 – 13 –
61508-1 © IEC:1998 – 7 –
– uses safety integrity levels for specifying the target level of safety integrity for the safety
functions to be implemented by the E/E/PE safety-related systems;
– adopts a risk-based approach for the determination of the safety integrity level
requirements;
– sets numerical target failure measures for E/E/PE safety-related systems which are linked
to the safety integrity levels;
– sets a lower limit on the target failure measures, in a dangerous mode of failure, that can
be claimed for a single E/E/PE safety-related system; for E/E/PE safety-related systems
operating in
– a low demand mode of operation, the lower limit is set at an average probability of
–5
failure of 10 to perform its design function on demand,
– a high demand or continuous mode of operation, the lower limit is set at a probability of
–9
a dangerous failure of 10 per hour;
NOTE – A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.
– adopts a broad range of principles, techniques and measures to achieve functional safety
for E/E/PE safety-related systems, but does not use the concept of fail safe which may be
of value when the failure modes are well defined and the level of complexity is relatively
low. The concept of fail safe was considered inappropriate because of the full range of
complexity of E/E/PE safety-related systems that are within the scope of the standard.
61508-1 © IEC:1998 – 15 –
– 8 – 61508-1 © IEC:1998
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 1: General requirements
1 Scope
1.1 This International Standard covers those aspects to be considered when
electrical/electronic/programmable electronic systems (E/E/PESs) are used to carry out safety
functions. A major objective of this standard is to facilitate the development of application
sector international standards by the technical committees responsible for the application
sector. This will allow all the relevant factors, associated with the application, to be fully taken
into account and thereby meet the specific needs of the application sector. A dual objective of
this standard is to enable the development of electrical/electronic/programmable electronic
(E/E/PE) safety-related systems where application sector international standards may not exist.
1.2 In particular, this standard
a) applies to safety-related systems when one or more of such systems incorporates
electrical/electronic/programmable electronic devices;
NOTE 1 – In the context of low complexity E/E/PE safety-related systems, certain requirements specified in this
standard may be unnecessary, and exemption from compliance with such requirements is possible (see 4.2, and
the definition of a low complexity E/E/PE safety-related system in 3.4.4 of IEC 61508-4).
NOTE 2 – Although a person can form part of a safety-related system (see 3.4.1 of IEC 61508-4), human factor
requirements related to the design of E/E/PE safety-related systems are not considered in detail in this standard.
b) is generically-based and applicable to all E/E/PE safety-related systems irrespective of the
application;
c) covers possible hazards caused by failures of the safety functions to be performed by
E/E/PE safety-related systems, as distinct from hazards arising from the E/E/PE equipment
itself (for example electric shock etc);
d) does not cover E/E/PE systems where
– a single E/E/PE system is capable of providing the necessary risk reduction, and
– the required safety integrity of the E/E/PE system is less than that specified for safety
integrity level 1 (the lowest safety integrity level in this standard).
e) is mainly concerned with the E/E/PE safety-related systems whose failure could have an
impact on the safety of persons and/or the environment; however, it is recognized that the
consequences of failure could also have serious economic implications and in such cases
this standard could be used to specify any E/E/PE system used for the protection of
equipment or product;
NOTE – See 3.1.1 and 7.3.1.2 of IEC 61508-4.
61508-1 © IEC:1998 – 17 –
61508-1 © IEC:1998 – 9 –
f) considers E/E/PE safety-related systems, other technology safety-related systems and
external risk reduction facilities in order that the safety requirements specification for the
E/E/PE safety-related systems can be determined in a systematic, risk-based manner;
g) uses an overall safety lifecycle model as the technical framework for dealing systematically
with the activities necessary for ensuring the functional safety of the E/E/PE safety-related
systems;
NOTE 3 – The early phases of the overall safety lifecycle include, of necessity, consideration of other technology
(as well as the E/E/PE safety-related systems) and external risk reduction facilities, in order that the safety
requirements specification for the E/E/PE safety-related systems can be developed in a systematic, risk-based
manner.
NOTE 4 – Although the overall safety lifecycle is primarily concerned with E/E/PE safety-related systems, it could
also provide a technical framework for the consideration of any safety-related system irrespective of the technology
of that system (for example mechanical, hydraulic or pneumatic).
h) does not specify the safety integrity levels required for sector applications (which must be
based on detailed information and knowledge of the sector application). The technical
committees responsible for the specific application sectors shall specify, where appropriate,
the safety integrity levels in the application sector standards;
i) provides general requirements for E/E/PE safety-related systems where no application
sector standards exist;
j) does not cover the precautions that may be necessary to prevent unauthorized persons
damaging, and/or otherwise adversely affecting, the functional safety of E/E/PE safety-
related systems.
1.3 This part of IEC 61508 specifies the general requirements that are applicable to all parts.
Other parts of IEC 61508 concentrate on more specific topics:
– parts 2 and 3 provide additional and specific requirements for E/E/PE safety-related
systems (for hardware and software);
– part 4 gives definitions and abbreviations that are used throughout this standard;
– part 5 provides guidelines on the application of part 1 in determining safety integrity levels,
by showing example methods;
– part 6 provides guidelines on the application of parts 2 and 3;
– part 7 contains an overview of techniques and measures.
1.4 Parts 1, 2, 3 and 4 of this standard are basic safety publications, although this status does
not apply in the context of low complexity E/E/PE safety-related systems (see 3.4.4 of part 4).
As basic safety publications, they are intended for use by technical committees in the
preparation of standards in accordance with the principles contained in IEC Guide 104 and
ISO/IEC Guide 51. Parts 1, 2, 3, and 4 are also intended for use as stand-alone publications.
One of the responsibilities of a technical committee is, wherever applicable, to make use of
basic safety publications in the preparation of its publications. In this context, the requirements,
test methods or test conditions of this basic safety publication will not apply unless specifically
referred to or included in the publications prepared by those technical committees.
NOTE – In the USA and Canada, until the proposed process sector implementation of IEC 61508 is published as an
international standard in the USA and Canada, existing national process safety standards based on IEC 61508 (i.e.
ANSI/ISA S84.01-1996) (see reference [8] in annex C) can be applied to the process sector instead of IEC 61508.
1.5 Figure 1 shows the overall framework for parts 1 to 7 of IEC 61508 and indicates the role
that IEC 61508-1 plays in the achievement of functional safety for E/E/PE safety-related
systems.
61508-1 © IEC:1998 – 19 –
– 10 – 61508-1 © IEC:1998
Technical
requirements
PART 1
Development of the overall safety
requirements (concept, scope
definition, hazard and risk analysis)
(E/E/PE safety-related systems, other PART 5
technology safety-related systems and
Risk based approaches
external risk reduction facilities)
to the development of
7.1 to 7.5
the safety integrity
requirements
Other
PART 1
requirements
Allocation of the safety
requirements to the E/E/PE
safety-related systems
PART 7 Definitions and
7.6
abbreviations
Overview of
techniques
and measures
PART 4
PART 6
Guidelines for the
Documentation
Realisation Realisation
application of
phase for phase for
parts 2 and 3
Clause 5 and
E/E/PE safety- safety-related
annex A
related systems software
PART 1
PART 2 PART 3
Management of
functional safety
Clause 6
PART 1
PART 1
Installation and commissioning
and safety validation of E/E/PE
Functional safety
safety-related systems
assessment
Clause 8
7.13 and 7.14
PART 1
PART 1
Operation and maintenance,
modification and retrofit,
decommisioning or disposal of
E/E/PE safety-related systems
7.15 to 7.17
IEC 1 645/98
Figure 1 – Overall framework of this standard
61508-1 © IEC:1998 – 21 –
61508-1 © IEC:1998 – 11 –
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61508. For dated references, subsequent amendments
to, or revisions of, any of these publications do not apply. However, parties to agreements
based on this part of IEC 61508 are encouraged to investigate the possibility of applying the
most recent editions of the normative documents indicated below. For undated references, the
latest edition of the normative document referred to applies. Members of IEC and ISO maintain
registers of currently valid international standards.
ISO/IEC Guide 51:1990, Guidelines for the inclusion of safety aspects in standards
IEC Guide 104:1997, Guide to the drafting of safety standards, and the role of Committees with
safety pilot functions and safety group functions
IEC 61508-2, — Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 2: Requirements for electrical/electronical/programmable electronic
1)
safety-related systems
IEC 61508-3:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 3: Software requirements
IEC 61508-4:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 4: Definitions and abbreviations
IEC 61508-5:1998, Functional safety of electrical/electronical/programmable electronic safety-
related systems – Part 5: Examples of methods for the determination of safety integrity levels
IEC 61508-6, — Functional safety of electrical/electronical/programmable electronic safety-
1)
related systems – Part 6: Guidelines on the application of parts 2 and 3
IEC 61508-7, — Functional safety of electrical/electronical/programmable electronic safety-
2)
related systems – Part 7: Overview of techniques and measures
3 Definitions and abbreviations
For the purposes of this standard, the definitions and abbreviations given in part 4 apply.
–––––––––
2)
To be published.
61508-1 © IEC:1998 – 23 –
– 12 – 61508-1 © IEC:1998
4 Conformance to this standard
4.1 To conform to this standard it shall be demonstrated that the requirements have been
satisfied to the required criteria specified (for example safety integrity level) and therefore, for
each clause or subclause, all the objectives have been met.
NOTE – It is not generally possible to single out any one factor that determines the degree to which a requirement
is to be satisfied (degree of rigour). It will be dependent upon a number of factors which, themselves, may depend
upon the specific overall, E/E/PES or software safety lifecycle phase and activity. The factors will include:
– nature of the hazards;
– consequence and risk reduction;
– safety integrity level;
– type of implementation technology;
– size of systems;
– number of teams involved;
– physical distribution;
– novelty of design.
4.2 This standard specifies the requirements for E/E/PE safety-related systems and has been
developed to meet the full range of complexity associated with such systems. However, for low
complexity E/E/PE safety-related systems (see 3.4.4 of IEC 61508-4), where dependable field
experience exists which provides the necessary confidence that the required safety integrity
can be achieved, the following options are available:
– in application sector standards implementing the requirements of IEC 61508-1 to
IEC 61508-7, certain requirements may be unnecessary and exemption from compliance
with such requirements is acceptable;
– if this standard is used directly for those situations where no application sector international
standard exists, certain of the requirements specified in this standard may be unnecessary
and exemption from compliance with such requirements is acceptable providing this is
justified.
Application sector international standards for E/E/PE safety-related systems developed
4.3
within the framework of this standard shall take into account the requirements of ISO/IEC
Guide 51 and IEC Guide 104.
5 Documentation
5.1 Objectives
5.1.1 The first objective of the requirements of this clause is to specify the necessary
information to be documented in order that all phases of the overall, E/E/PES and software
safety lifecycles can be effectively performed.
61508-1 © IEC:1998 – 25 –
61508-1 © IEC:1998 – 13 –
5.1.2 The second objective of the requirements of this clause is to specify the necessary
information to be documented in order that the management of functional safety (see clause 6),
verification (see 7.18) and the functional safety assessment (see clause 8) activities can be
effectively performed.
NOTE 1 – The documentation requirements in this standard are concerned, essentially, with information rather than
physical documents. The information need not be contained in physical documents unless this is explicitly declared
in the relevant subclause.
NOTE 2 – Documentation may be available in different forms (for example on paper, film, or any data medium to be
presented on screens or displays).
NOTE 3 – See annex A concerning possible documentation structures.
NOTE 4 – See reference [4] in annex C.
5.2 Requirements
5.2.1 The documentation shall contain sufficient information, for each phase of the overall,
E/E/PES and software safety lifecycles completed, necessary for effective performance of
subsequent phases and verification activities.
NOTE – What constitutes sufficient information will be dependent upon a number of factors, including the
complexity and size of the E/E/PE safety-related systems and the requirements relating to the specific application.
5.2.2 The documentation shall contain sufficient information required for the management of
functional safety (clause 6).
NOTE – See notes to 5.1.2.
5.2.3 The documentation shall contain sufficient information required for the implementation
of a functional safety assessment, together with the information and results derived from any
functional safety assessment.
NOTE – See notes to 5.1.2.
5.2.4 Unless justified in the functional safety planning or specified in the application sector
standard, the information to be documented shall be as stated in the various clauses of this
standard.
5.2.5 The availability of documentation shall be sufficient for the duties to be performed in
respect of the clauses of this standard.
NOTE – Only the information necessary to undertake a particular activity, required by this standard, need be held
by each relevant party.
5.2.6 The documentation shall
– be accurate and concise;
– be easy to understand by those persons having to make use of it;
– suit the purpose for which it is intended;
– be accessible and maintainable.
5.2.7 The documentation or set of information shall have titles or names indicating the scope
of the contents, and some form of index arrangement so as to allow ready access to the
information required in this standard.
5.2.8 The documentation structure may take account of company procedures and the working
practices of specific application sectors.
5.2.9 The documents or set of information shall have a revision index (version numbers) to
make it possible to identify different versions of the document.
61508-1 © IEC:1998 – 27 –
– 14 – 61508-1 © IEC:1998
5.2.10 The documents or set of information shall be so structured as to make it possible to
search for relevant information. It shall be possible to identify the latest revision (version) of a
document or set of information.
NOTE – The physical structure of the documentation will vary depending upon a number of factors such as the size
of the system, its complexity and organizational requirements.
5.2.11 All relevant documents shall be revised, amended, reviewed, approved and be under
the control of an appropriate document control scheme.
NOTE – Where automatic or semi-automatic tools are used for the production of documentation, specific
procedures may be necessary to ensure effective measures are in place for the management of versions or other
control aspects of the documents.
6 Management of functional safety
6.1 Objectives
6.1.1 The first objective of the requirements of this clause is to specify the management and
technical activities during the overall, E/E/PES and software safety lifecycle phases which are
necessary for the achievement of the required functional safety of the E/E/PE safety-related
systems.
6.1.2 The second objective of the requirements of this clause is to specify the responsibilities
of the persons, departments and organizations responsible for each overall, E/E/PES and
software safety lifecycle phase or for activities within each phase.
NOTE – The organizational measures dealt with in this clause provide for the effective implementation of the
technical requirements and are solely aimed at the achievement and maintenance of functional safety of the E/E/PE
safety-related systems. The technical requirements necessary for maintaining functional safety will normally be
specified as part of the information provided by the supplier of the E/E/PE safety-related system.
6.2 Requirements
6.2.1 Those organizations or individuals that have overall responsibility for one or more
phases of the overall, E/E/PES or software safety lifecycles shall, in respect of those phases
for which they have overall responsibility, specify all management and technical activities that
are necessary to ensure that the E/E/PE safety-related systems achieve and maintain the
required functional safety. In particular, the following should be considered:
a) the policy and strategy for achieving functional safety, together with the means for
evaluating its achievement, and the means by which this is communicated within the
organization to ensure a culture of safe working;
b) identification of the persons, departments and organizations which are responsible for
carrying out and reviewing the applicable overall, E/E/PES or software safety lifecycle
phases (including, where relevant, licensing authorities or safety regulatory bodies);
c) the overall, E/E/PES or software safety lifecycle phases to be applied;
d) the way in which information is to be structured and the extent of the information to be
documented (see clause 5);
e) the selected measures and techniques used to meet the requirements of a specified clause
or subclause (see IEC 61508-2, IEC 61508-3 and 61508-6);
f) the functional safety assessment activities (see clause 8);
61508-1 © IEC:1998 – 29 –
61508-1 © IEC:1998 – 15 –
g) the procedures for ensuring prompt follow-up and satisfactory resolution of
recommendations relating to E/E/PE safety-related systems arising from
– hazard and risk analysis (see 7.4);
– functional safety assessment (see clause 8);
– verification activities (see 7.18);
– validation activities (see 7.8 and 7.14);
– configuration management (see 6.2.1 o), 7.16 and IEC 61508-2 and IEC 61508-3);
h) the procedures for ensuring that applicable parties involved in any of the overall, E/E/PES
or software safety lifecycle activities are competent to carry out the activities for which they
are accountable; in particular, the following should be specified:
– the training of staff in diagnosing and repairing faults and in system testing;
– the training of operations staff;
– the retraining of staff at periodic intervals;
NOTE 1 – Annex B provides guidelines on the competence requirements of those involved in any overall, E/E/PES
or software safety lifecycle activity.
i) the procedures which ensure that hazardous incidents (or incidents with potential to create
hazards) are analysed, and that recommendations made to minimise the probability of a
repeat occurrence;
j) the procedures for analysing operations and maintenance performance. In particular
procedures for
– recognising systematic faults which could jeopardise functional safety, including
procedures used during routine maintenance which detect recurring faults;
– assessing whether the demand rates and failure rates during operation and
maintenance are in accordance with assumptions made during the design of the
system;
k) requirements for periodic functional safety audits in accordance with this subclause
including
– the frequency of the functional safety audits;
– consideration as to the level of independence required for those responsible for the
audits;
– the documentation and follow-up activities;
l) the procedures for initiating modifications to the safety-related systems (see 7.16.2.2);
m) the required approval procedure and authority for modifications;
n) the procedures for maintaining accurate information on potential hazards and safety-related
systems;
o) the procedures for configuration management of the E/E/PE safety-related systems during
the overall, E/E/PES and software safety lifecycle phases; in particular the following should
be specified:
– the stage at which formal configuration control is to be implemented;
– the procedures to be used for uniquely identifying all constituent parts of an item
(hardware and software);
– the procedures for preventing unauthorized items from entering service;
NOTE 2 – For more details on configuration management see references [6] and [7] in annex C.
p) where appropriate, the provision of training and information for the emergency services.
61508-1 © IEC:1998 – 31 –
– 16 – 61508-1 © IEC:1998
6.2.2 The activities specified as a result of 6.2.1 shall be implemented and progress
monitored.
6.2.3 The requirements developed as a
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...