IEC 61508

Sécurité fonctionnelle des systèmes électriques / électroniques / électroniques programmables relatifs à la sécurité

IEC 61508 est la norme fondatrice, indépendante des secteurs, pour la sécurité fonctionnelle des systèmes électriques, électroniques et électroniques programmables (E/E/PE) relatifs à la sécurité. C'est le cadre parent dont sont dérivées IEC 61511 (procédé), IEC 62061 (machines), ISO 26262 (automobile), IEC 61513 (nucléaire) et EN 5012x (ferroviaire).

Organisme: IEC
Family: Sécurité fonctionnelle
Première publication: 1998-2000
Dernière révision: 2010 (Édition 2)
Prochaine révision: Édition 3 en développement (prévue 2027-2028)
Statut: current
Accès: Payant (boutique IEC — ~700 CHF pour les 7 parties)

Structure du document

IEC 61508-1

Exigences générales

Cycle de vie sécurité global (16 phases), management de la sécurité fonctionnelle, documentation, compétence.

IEC 61508-2

Exigences pour les systèmes E/E/PE relatifs à la sécurité

Exigences de conception matérielle : contraintes architecturales (Tableaux 2 + 3 — Type A vs B), HFT/SFF, couverture de diagnostic, défaillance de cause commune (facteur β).

IEC 61508-3

Exigences logicielles

Cycle de vie logiciel de sécurité (modèle V), techniques par SIL (Tableaux Annexes A/B), niveaux d'intégrité logicielle.

IEC 61508-4

Définitions et abréviations

Vocabulaire de référence — plus de 200 termes définis utilisés de manière cohérente dans IEC 61511 et autres normes sectorielles.

IEC 61508-5

Exemples de méthodes pour la détermination des niveaux d'intégrité de sécurité

Approches basées risque, matrice de sévérité d'événement dangereux, approches quantitatives. Largement remplacée par les Annexes des normes sectorielles (IEC 61511-3, ISO 13849-1).

IEC 61508-6

Lignes directrices pour l'application de IEC 61508-2 et IEC 61508-3

La référence pour le calcul PFD/PFH. Équations simplifiées et tableaux pour les architectures 1oo1, 1oo2, 2oo2, 1oo3, 2oo3. Le moteur mathématique de tout outil de sécurité fonctionnelle — y compris le module PFD de l'[app Functional Safety](https://fs.industryhub.cloud).

IEC 61508-7

Vue d'ensemble des techniques et mesures

Catalogue de techniques référencées par les Tableaux SIL des parties 2 et 3 (ex. : 'Détection de défaillance par monitoring en ligne', 'Analyse statique', 'Programmation défensive').

Concepts clés

Système Électrique / Électronique / Électronique Programmable(E/E/PE): Tout système basé sur la technologie et relatif à la sécurité : logique à relais (E), logique discrète (E), basé microprocesseur ou FPGA (PE). Exclut les dispositifs de sécurité purement mécaniques ou pneumatiques, qui relèvent d'autres normes.
Niveau d'Intégrité de Sécurité(SIL): Niveau discret (1 à 4) défini ici pour la première fois. SIL 1 ≈ 90-99 % disponibilité, SIL 4 ≈ 99,99-99,999 %. Chaque secteur a adopté ces niveaux avec sa propre interprétation mode-demande/architecture.
Mode Low Demand vs High Demand / Continu: Distinction critique dans IEC 61508-4. Low Demand (taux de demande < 1/an, ex. système de trip de procédé) → métrique PFDavg. High Demand ou Mode Continu (ex. frein de machinerie) → métrique PFH (Probabilité de Défaillance dangereuse par Heure).
Probabilité de Défaillance sur Demande(PFD / PFDavg): Pour Mode Low Demand. SIL 1 : 10⁻² ≤ PFD < 10⁻¹ ; SIL 2 : 10⁻³ ≤ PFD < 10⁻² ; SIL 3 : 10⁻⁴ ≤ PFD < 10⁻³ ; SIL 4 : 10⁻⁵ ≤ PFD < 10⁻⁴.
Probabilité de Défaillance dangereuse par Heure(PFH): Pour Mode High Demand / Continu. SIL 1 : 10⁻⁶ ≤ PFH < 10⁻⁵ par heure ; SIL 2 : 10⁻⁷ ≤ PFH < 10⁻⁶ ; SIL 3 : 10⁻⁸ ≤ PFH < 10⁻⁷ ; SIL 4 : 10⁻⁹ ≤ PFH < 10⁻⁸.
Sous-système Type A vs Type B: Type A (clause 7.4.4.1.2) : tous les modes de défaillance bien définis, comportement prévisible en défaillance, données terrain suffisantes. Type B = plus complexe (microprocesseurs, logiciel). Tableaux 2 (Type A) et 3 (Type B) définissent les exigences HFT et SFF par SIL — Type B est plus strict.
Tolérance aux Défaillances Matérielles(HFT): Nombre de défaillances que le sous-système peut tolérer tout en assurant sa fonction de sécurité. HFT=0 → 1oo1 (toute défaillance désactive la fonction) ; HFT=1 → 1oo2 ou 2oo3 (une défaillance tolérable) ; HFT=2 → 1oo3, 2oo4.
Fraction de Défaillances Sûres(SFF): SFF = (λSD + λSU + λDD) / λtot. Fraction des défaillances qui sont sûres (S) ou dangereuses-mais-détectées (DD). SFF élevé → les diagnostics attrapent la plupart des défaillances dangereuses avant accumulation.
Couverture de Diagnostic(DC): Fraction des défaillances dangereuses détectées par les diagnostics intégrés. DC=99 % signifie que les tests automatiques révèlent 99 défaillances dangereuses sur 100. DC élevé réduit le taux effectif de défaillance dangereuse.
Défaillance de Cause Commune(CCF / facteur β): Quand des canaux redondants défaillent pour la même cause (feu, EMI, défaut de fabrication commun, bug logiciel). Modélisée par un facteur β (typique 2-10 %). β=10 % signifie que 10 % des défaillances dangereuses surviennent simultanément sur tous les canaux redondants — dégrade drastiquement le bénéfice de la redondance.
Élément / Sous-système: Décomposition hiérarchique : un élément est un bloc de base (capteur, vanne), un sous-système groupe les éléments en unité fonctionnelle (sous-système entrée = capteur + conditionnement signal). PFD/PFH calculé au niveau sous-système.
Test de fonctionnement(PT): Test fonctionnel complet périodique qui restaure le sous-système à l'état 'aussi bon que neuf'. L'intervalle de test T1 impacte directement le PFDavg en mode low-demand. Couverture imparfaite (PTC < 100 %) → modes de défaillance résiduels s'accumulent.

Notes & guidance

La norme grand-mère

IEC 61508 est la norme horizontale de sécurité fonctionnelle — elle ne s’applique à aucune industrie en particulier et à toutes à la fois. Publiée 1998-2000 en 7 parties, révisée en 2010, elle a créé le cadre SIL que toute l’industrie sécurité utilise désormais.

Chaque secteur a ensuite écrit sa propre norme verticale qui adapte IEC 61508 à ses spécificités :

Secteur vertical	Norme sectorielle	Différences avec IEC 61508
Industrie de procédé	IEC 61511	LOPA, Risk Graph, Exploitation + accent MOC
Machines	IEC 62061 + ISO 13849-1	Mode high-demand dominant, mapping PL ↔ SIL
Automobile	ISO 26262	ASIL A-D au lieu de SIL, piloté hazard pas risque
Ferroviaire	EN 50126 / 50128 / 50129	Cadre THR (Tolerable Hazard Rate)
Nucléaire	IEC 61513	Défense en profondeur, très prescriptive
Médical	IEC 62304 (orienté logiciel)	Mix SoftRel + IEC 60601

Quand lire IEC 61508 directement (vs uniquement votre norme sectorielle)

Dans le travail quotidien industrie de procédé, vous citerez surtout IEC 61511. Mais 4 situations rendent IEC 61508 la référence directe :

Vous êtes vendeur de composants de sécurité. Vous devez être certifié selon IEC 61508-2 (matériel) et IEC 61508-3 (logiciel). Vos fiches techniques indiquent “Type B SIL 3 capable per IEC 61508-2” — pas per IEC 61511.
Vous concevez de la logique de sécurité custom. Si votre SIS comprend une carte microcontrôleur custom ou vous écrivez du logiciel relatif à la sécurité (au-delà de la simple configuration), les parties -2 et -3 sont obligatoires.
Vous faites les vrais calculs PFD. Les équations simplifiées et cas Markov de référence sont dans IEC 61508-6. Le moteur PFD de l’app Functional Safety implémente exactement ces formules.
Vous travaillez dans un secteur sans norme propre (champs émergents — stockage hydrogène, stockage batterie large échelle, certaines renouvelables). Alors IEC 61508 elle-même est votre référence.

Le cycle de vie en 16 phases (identique à IEC 61511)

1. Concept
2. Définition globale du périmètre
3. Analyse des dangers et des risques
4. Exigences globales de sécurité
5. Allocation des exigences de sécurité
6. Planification globale (exploitation/maintenance, validation sécurité, installation, mise en service)
7. Conception et développement du système relatif à la sécurité : E/E/PE
8. Conception : autres technologies
9. Conception : moyens externes de réduction du risque
10. Installation et mise en service globales
11. Validation de sécurité globale
12. Exploitation, maintenance, réparation
13. Modification et rétrofit
14. Mise hors service / démantèlement
15. Vérification (transversale)
16. Functional Safety Management et Assessment (transversal)

IEC 61511 simplifie et réorganise ces phases dans son propre cycle, mais l’épine dorsale est la même.

Les fameux tableaux IEC 61508-6

La plupart des ingénieurs ne lisent jamais les parties 1-5 de bout en bout. IEC 61508-6 est celle qui sert au quotidien. Elle contient :

Annexe B : Architectures de référence avec formules PFD explicites
- B.2 : 1oo1 — Canal unique
- B.3 : 1oo2 — Deux canaux en parallèle, vote 1 (le plus commun SIL 2/3)
- B.4 : 2oo2 — Les deux doivent fonctionner
- B.5 : 1oo2D — 1oo2 avec diagnostics (mode dégradé)
- B.6 : 2oo3 — Vote 2 sur 3 (haute disponibilité + haute intégrité)
Annexe C : Modèle de défaillance de cause commune (facteurs β et βD)
Annexe D : Cross-référence des tableaux techniques logicielles

L’outil Architecture PFD dans l’app Functional Safety implémente les cinq architectures de référence, plus couverture de proof test, MTTR et facteur β configurables.

Édition 3 — ce qui arrive (2027-2028)

Le comité IEC SC 65A travaille sur l’Édition 3. Engagements publics actuels :

Meilleure intégration avec la cybersécurité (IEC 62443) — clauses explicites sur les menaces de sécurité aux fonctions de sécurité
Guidance composants IA / machine learning (actuellement non couvert)
Tableaux de techniques logicielles mis à jour pour les langages et toolchains modernes
Alignement plus serré avec les normes sectorielles (61511, 62061, 26262) pour réduire la duplication

Aucune date de publication ferme à mi-2026. L’édition actuelle (2010) reste la référence normative active.

Industries concernées

Indépendant du secteur (norme parente)
Industrie de procédé → voir IEC 61511
Machines → IEC 62061 + ISO 13849
Automobile → ISO 26262
Ferroviaire → EN 50128 / EN 50129 / EN 50126
Nucléaire → IEC 61513
Médical → IEC 62304
Aviation → DO-178C / DO-254 (cadre apparenté)