Quelle est l'edition courante de l'IEC 61508 ?

L'edition de reference est IEC 61508:2010, designee Ed 2, publiee en sept parties. Une troisieme edition est en preparation au sein du SC 65A WG 14 ; la date de publication n'est pas communiquee publiquement avec un calendrier ferme. Les normes derivees ont, elles, leur propre cycle d'edition : ISO 26262 est en seconde edition (2018), IEC 61511 en seconde edition (2016) avec amendement A1 (2017), EN 50128 a ete completee par EN 50657 (logiciel embarque a bord). Le fabricant verifie a chaque projet l'edition pinnee par l'autorite ou le donneur d'ordre.

Comment determine-t-on le SIL applicable a une fonction de securite ?

Le SIL est alloue a chaque Safety Instrumented Function (SIF, ou Safety Function) identifiee par l'analyse de risque. La sequence est : identification des dangers et des evenements redoutes (HAZOP, what-if, etude de surete), evaluation du risque sans mesure de reduction, identification des fonctions de securite necessaires, allocation d'un objectif SIL a chacune par methode reconnue (LOPA, risk graph, matrice de risque). Le SIL n'est pas un attribut du produit ; c'est un attribut de la fonction de securite. Un meme automate peut porter une SIF SIL 2 et une SIF SIL 3 simultanement, a condition de respecter les exigences les plus contraignantes sur les chemins concernes.

Quelle est la difference entre PFD_avg et PFH ?

IEC 61508 distingue les fonctions de securite en mode demande faible (low demand) et en mode demande elevee ou continu (high demand / continuous). Pour le mode demande faible (typiquement moins d'une sollicitation par an), la cible est exprimee en PFD_avg, probabilite moyenne de defaillance sur sollicitation. Pour le mode demande elevee ou continu, la cible est exprimee en PFH, probabilite de defaillance dangereuse par heure. Les plages numeriques par SIL sont fixees par la partie 1 du standard, tableaux 2 et 3. Le mode d'operation d'une fonction se choisit selon la frequence reelle d'appel attendue.

Que designent HFT et SFF ?

HFT est la Hardware Fault Tolerance, le nombre de defaillances supplementaires que l'architecture peut subir tout en assurant la fonction de securite (0, 1 ou 2). SFF est la Safe Failure Fraction, la part des defaillances qui sont soit sures, soit detectees, sur l'ensemble des defaillances. Pour les sous-systemes de type A (a defaillances bien caracterisees), HFT et SFF combines imposent une borne inferieure sur le SIL atteignable selon le tableau 2 de la partie 2 (Route 1H). Pour les sous-systemes de type B (defaillances mal caracterisees), le tableau 3 de la partie 2 s'applique avec des exigences plus restrictives. Route 2H ouvre une voie alternative fondee sur des donnees de fiabilite eprouvees, sans recourir a la borne SFF.

ISO 26262 et IEC 61511 remplacent-elles IEC 61508 dans leur secteur ?

Oui sur le perimetre du secteur, non sur la genealogie. ISO 26262 (automobile, vehicules de serie de moins de 3,5 tonnes a l'origine, etendue depuis aux poids lourds, motos, bus) remplace IEC 61508 pour les composants vehicule serie ; elle introduit l'ASIL (A a D) en place du SIL et adapte le cycle de vie. IEC 61511 (industries de process) remplace IEC 61508 pour l'integrateur de systeme instrumente de securite sur site ; les fournisseurs d'equipement restent generalement evalues sous IEC 61508, avec une revendication "compliant item" reutilisable par l'integrateur. EN 50128 / EN 50657 jouent un role similaire pour le logiciel ferroviaire, IEC 62061 pour les machines (en parallele de ISO 13849), IEC 60601-1 pour le medical via une approche risque ISO 14971 sans SIL formel.

Que signifie "SIL 3 capable" sur la fiche technique d'un composant ?

La fiche technique d'un microcontroleur, d'un transmetteur ou d'un automate peut declarer "IEC 61508 SIL 3 capable" ou "SIL 2 / SIL 3 capable" : la formulation precise indique que le composant a fait l'objet d'une evaluation par un assesseur tiers et qu'il est utilisable dans une fonction de securite jusqu'au SIL declare, sous reserve d'integration conforme au safety manual fourni. Ce statut est appele "compliant item" dans le langage 61508. Il ne dispense pas l'integrateur de justifier l'atteinte du SIL au niveau de la fonction complete (architecture, diagnostic, donnees de fiabilite, validation), il fournit une brique reutilisable avec ses chiffres de PFH, sa SFF, ses contraintes d'usage et ses exigences d'application.

Qui evalue un dossier IEC 61508 et quel est le role du FSA ?

L'evaluation est conduite par un assesseur fonctionnellement independant, designe Functional Safety Assessor, qui peut etre interne ou tiers selon le SIL et la politique de Functional Safety Management du fabricant. La partie 1 du standard exige une independance croissante avec le SIL : independance de personne pour SIL 1, de departement pour SIL 2, d'organisation pour SIL 3 et 4. La Functional Safety Assessment (FSA) est l'activite formelle de revue ; elle est complete par des confirmation measures (audits, revues, verifications) tout au long du cycle de vie. Pour un produit destine a etre vendu comme SIL-capable, l'assesseur tiers est generalement un organisme reconnu (TUV Rheinland, TUV SUD, exida, DEKRA, etc.).

IEC 61508 : securite fonctionnelle generique et niveaux SIL

Q: Quel est le role de la norme IEC 61508 ?

IEC 61508 est la norme internationale generique de securite fonctionnelle des systemes electriques, electroniques et electroniques programmables (E/E/PE) relatifs a la securite. Publiee par la Commission electrotechnique internationale, maintenue par le sous-comite SC 65A (groupe de travail WG 14) du comite technique TC 65, elle definit le concept de Safety Integrity Level (SIL 1 a 4), le cycle de vie de securite, les exigences sur les defaillances aleatoires materielles et sur les defaillances systematiques (notamment logicielles). Elle sert de norme parente : les normes sectorielles ISO 26262 (automobile), EN 50128 / EN 50657 (logiciel ferroviaire), IEC 61511 (industries de process), IEC 62061 (machines) en sont des derivations explicites.

Auteur Hugues Orgitello Mis à jour le 27 mai 2026 ~15 min de lecture

Guide · IEC 61508

IEC 61508 est la norme generique de securite fonctionnelle des systemes electriques, electroniques et electroniques programmables relatifs a la securite (systemes E/E/PE). Publiee en 1998, refondue en 2010 (edition 2), maintenue par le sous-comite SC 65A WG 14 de la Commission electrotechnique internationale, elle definit le concept de Safety Integrity Level (SIL 1 a 4), le cycle de vie de securite, les exigences architecturales sur les defaillances materielles aleatoires et sur les defaillances systematiques, dont le logiciel. Elle joue surtout un role de norme parente : les normes sectorielles ISO 26262 pour l'automobile, EN 50128 et EN 50657 pour le logiciel ferroviaire, IEC 61511 pour les industries de process, IEC 62061 pour les machines, en sont des derivations directes. Cette page expose la structure en sept parties, la classification SIL, l'allocation par HAZOP et LOPA, les contraintes Route 1H sur HFT et SFF, et l'arborescence des normes derivees.

Structure en sept parties

L'IEC 61508:2010 est publiee en sept parties qui couvrent l'ensemble du cycle de vie de securite, du concept a la mise hors service. Le decoupage est utile pour cadrer un projet et pour localiser une exigence ou un tableau lors d'une revue.

Partie	Sujet	Contenu indicatif
Partie 1	Exigences generales	Cycle de vie de securite global, Functional Safety Management, exigences sur les competences, allocation des SIL, FSA et confirmation measures, tableaux de plages PFD_avg et PFH par SIL
Partie 2	Exigences pour les systemes E/E/PE relatifs a la securite	Architecture materielle, sous-systemes de type A et B, tableaux HFT/SFF/SIL (Routes 1H et 2H), diagnostic, integration, integration des "compliant items"
Partie 3	Exigences logicielles	Cycle de vie logiciel, techniques et mesures par SIL, langages restreints, codage defensif, tests, verification et validation, exigences sur le logiciel preexistant
Partie 4	Definitions et abreviations	Vocabulaire normatif : SIL, SIF, PFD, PFH, HFT, SFF, defaillance aleatoire vs systematique, mode demande faible vs elevee
Partie 5	Exemples de methodes de determination des SIL	Methodes quantitatives et semi-quantitatives, ALARP (As Low As Reasonably Practicable), risk graph, calibration des criteres
Partie 6	Lignes directrices d'application des parties 2 et 3	Exemples illustres, calculs PFD_avg / PFH par architecture, techniques de diagnostic, integration des composants
Partie 7	Vue d'ensemble des techniques et mesures	Catalogue commente des techniques (formelles, semi-formelles, defensives) referencees dans les annexes normatives des parties 2 et 3

Les parties 1 a 4 sont normatives au sens strict. Les parties 5, 6 et 7 sont informatives : elles n'ajoutent pas d'exigence, mais leurs exemples sont frequemment cites lors des revues d'assesseur pour justifier un choix d'architecture ou une technique de codage.

SIL, SIF et chaine fonctionnelle

Le SIL n'est pas un attribut d'un produit, c'est un attribut d'une Safety Instrumented Function (SIF), ou Safety Function. Une SIF est une fonction E/E/PE qui maintient ou amene le procede dans un etat sur en presence d'un evenement redoute. Elle est implementee par une chaine fonctionnelle complete : capteur, traitement logique (automate, microcontroleur, fonction logicielle), actionneur, ainsi que les diagnostics, l'alimentation et les chemins de communication associes.

Une fonction de securite typique de procede :

capteur : transmetteur de pression sur tank de stockage,
logique : automate de securite (Safety PLC) qui compare la mesure a un seuil,
actionneur : vanne de sectionnement avec ressort de rappel a la securite,
diagnostic : auto-tests cycliques du transmetteur et de l'automate, lecture de retour de position de la vanne,
alimentation et communication : alimentation redondee, bus de securite (PROFIsafe, openSAFETY, FSoE selon contexte).

Le SIL alloue a cette SIF resulte de l'analyse de risque, pas du catalogue produit. Une meme installation peut porter des SIF de SIL differents, ce qui est la regle dans une raffinerie ou une usine chimique, et l'exception sur un equipement standard ou une seule SIF dominante structure le design.

SIL 1 a 4 : plages PFD_avg et PFH

La partie 1 de l'IEC 61508:2010 fixe les plages numeriques par SIL dans les tableaux 2 (mode demande faible) et 3 (mode demande elevee ou continu). Les valeurs ci-dessous sont celles publiees dans la norme, reproduites ici a titre de reference ; toute application reglementaire renvoie a la version pinnee du document IEC.

SIL	Mode demande faible : PFD_avg	Mode demande elevee / continu : PFH (par heure)
SIL 4	>= 10^-5 a < 10^-4	>= 10^-9 a < 10^-8
SIL 3	>= 10^-4 a < 10^-3	>= 10^-8 a < 10^-7
SIL 2	>= 10^-3 a < 10^-2	>= 10^-7 a < 10^-6
SIL 1	>= 10^-2 a < 10^-1	>= 10^-6 a < 10^-5

Le choix du mode d'operation se decide par la frequence d'appel attendue de la fonction. Le seuil de bascule generalement retenu est de une sollicitation par an : au-dessus, on bascule en mode demande elevee et l'unite de cible passe a la PFH ; au-dessous, on reste en mode demande faible avec PFD_avg. Pour une fonction de protection sur evenement rare (anti-debordement de tank), le mode demande faible est usuel. Pour une fonction continue (regulation de vitesse, anti-collision), le mode demande elevee est la regle.

SIL 4 est un niveau extreme reserve a quelques applications de procede catastrophique (centrales nucleaires, certaines installations chimiques majeures). La grande majorite des SIF industrielles, automobiles et machines se situent entre SIL 1 et SIL 3. ISO 26262 culmine a ASIL D, qui correspond approximativement a SIL 3 selon les contraintes architecturales (la correspondance n'est pas une egalite stricte, les deux normes ayant divergent sur la metrique de target).

Defaillances aleatoires vs systematiques

L'une des contributions structurantes de l'IEC 61508 est la distinction entre defaillances aleatoires et defaillances systematiques. La distinction conditionne la nature des exigences applicables.

Defaillances aleatoires materielles : defaillances qui surviennent de maniere aleatoire dans le temps, principalement liees a la physique du materiel (usure, fatigue, derive thermique, defaut de fabrication latent). Elles sont caracterisees par un taux de defaillance lambda, decoupe en lambda_sd (safe detected), lambda_su (safe undetected), lambda_dd (dangerous detected), lambda_du (dangerous undetected). Les cibles SIL sur PFD_avg et PFH portent essentiellement sur ces defaillances.
Defaillances systematiques : defaillances qui resultent d'une erreur dans la specification, la conception, l'implementation, l'integration ou l'usage. Une defaillance logicielle est, par construction, systematique : un bug est present ou absent, il n'apparait pas spontanement. L'IEC 61508 ne propose pas de borne quantitative sur la probabilite de defaillance systematique (la communaute considere qu'il n'existe pas de methode universelle pour la chiffrer), elle impose un ensemble de techniques et mesures dont la rigueur croit avec le SIL.

Cette dualite explique pourquoi le SIL ne se "calcule" pas seulement par PFH ou PFD_avg : un dossier qui demontre une PFD_avg conforme a SIL 3 mais qui n'applique pas les techniques de la partie 3 pour le logiciel ne soutient pas la revendication SIL 3.

Allocation des SIL : HAZOP, LOPA, risk graph

L'allocation d'un objectif SIL a chaque SIF s'effectue par une methode reconnue. Trois approches dominent.

HAZOP (HAZard and OPerability study) : etude structuree par mots-cles (no, more, less, as well as, part of, reverse, other than) appliquee aux parametres d'un procede, conduite par une equipe pluridisciplinaire. Elle identifie les ecarts possibles et leurs consequences, et alimente une matrice de risque. Le HAZOP est tres repandu dans la chimie et le petrole, et reste l'amont de l'identification des SIF.

LOPA (Layer Of Protection Analysis) : analyse semi-quantitative qui denombre les couches de protection independantes (IPL, Independent Protection Layer) entre un evenement initiateur et un evenement redoute, et compare le risque residuel a un critere de tolerabilite. La SIF est dimensionnee pour combler l'ecart entre le risque tolere et le risque restant apres les couches non-SIS. LOPA est l'outil de reference dans la process industry, codifie par IEC 61511 partie 3.

Risk graph : methode graphique calibree (parametres consequence, exposition, evitabilite, frequence) qui aboutit a un SIL cible. La partie 5 de l'IEC 61508 donne un exemple de calibration, en avertissant que toute calibration doit etre justifiee par le contexte d'application. Le risk graph est largement utilise en automobile (HARA, Hazard Analysis and Risk Assessment, est l'equivalent calibre pour ASIL en ISO 26262) et en machinerie.

D'autres methodes sont admises : Fault Tree Analysis (FTA), Markov, analyse de criticite type FMEDA (Failure Modes, Effects and Diagnostic Analysis) au niveau composant. L'essentiel n'est pas la methode, c'est la justification documentee de l'allocation, tracable jusqu'a l'objectif quantitatif PFD_avg / PFH et jusqu'aux exigences sur le logiciel et l'integration.

Route 1H : HFT et SFF

La partie 2 de l'IEC 61508:2010 impose une contrainte architecturale qui limite le SIL atteignable selon la Hardware Fault Tolerance (HFT) et la Safe Failure Fraction (SFF) du sous-systeme. C'est la Route 1H, dite "architectural constraints route". Une Route 2H alternative repose sur des donnees de fiabilite eprouvees et ne reproduit pas les tableaux ci-dessous.

Les sous-systemes sont classes en deux types selon la qualite de caracterisation des modes de defaillance :

Type A : modes de defaillance bien caracterises, comportement en condition de defaut connu, donnees de retour d'experience disponibles. Composants discrets simples, contacts, relais, transmetteurs analogiques.
Type B : modes de defaillance non integralement caracterises ou comportement en defaut non integralement specifie. Microcontroleurs, ASIC complexes, FPGA, composants programmables avec firmware.

Tableau 2 (sous-systemes de type A), Route 1H :

SFF	HFT = 0	HFT = 1	HFT = 2
< 60 %	SIL 1	SIL 2	SIL 3
60 % a < 90 %	SIL 2	SIL 3	SIL 4
90 % a < 99 %	SIL 3	SIL 4	SIL 4
>= 99 %	SIL 3	SIL 4	SIL 4

Tableau 3 (sous-systemes de type B), Route 1H, plus restrictif :

SFF	HFT = 0	HFT = 1	HFT = 2
< 60 %	non autorise	SIL 1	SIL 2
60 % a < 90 %	SIL 1	SIL 2	SIL 3
90 % a < 99 %	SIL 2	SIL 3	SIL 4
>= 99 %	SIL 3	SIL 4	SIL 4

Conclusion pratique : un sous-systeme de type B (typiquement un microcontroleur generaliste) en HFT 0 (pas de redondance) ne peut pas porter une fonction au-dela de SIL 2, et seulement si la SFF est suffisante. Pour atteindre SIL 3 sur du logiciel, deux voies courantes : architecture 1oo2D (un canal sur deux avec diagnostic) en HFT 1 avec SFF entre 60 % et 90 %, ou bien composant Type B specialise (lockstep, redondance interne, diagnostic embarque) qui atteint une SFF >= 90 % en HFT 0.

L'auto-diagnostic est central : plus le diagnostic detecte de defaillances dangereuses, plus la SFF monte, plus le SIL atteignable monte. Une grande partie de l'effort de conception SIL 3 / SIL 4 porte sur les mecanismes de diagnostic interne (test de RAM, test de ROM, watchdog independant, comparaison de canaux, ECC sur memoires, etc.).

Architectures et notation MooN

L'IEC 61508 emploie la notation MooN (M-out-of-N) pour decrire les votes architecturaux d'une chaine de securite, avec et sans diagnostic. Les variantes courantes :

1oo1 (1-out-of-1) : un canal unique sans redondance. Plafond Route 1H severe sur Type B, generalement limite a SIL 1 ou SIL 2 selon SFF.
1oo1D : un canal unique avec diagnostic ; le diagnostic amene le systeme en etat sur sur defaut detecte. La SFF est typiquement plus elevee, mais HFT reste 0.
1oo2 (1-out-of-2) : deux canaux en parallele, l'un suffit a executer la fonction de securite ; bonne disponibilite, sensibilite aux defaillances en mode commun (CCF, Common Cause Failure).
2oo2 : deux canaux en serie, les deux doivent voter pour executer ; minimise les declenchements intempestifs mais affaiblit la securite (un seul canal peut masquer la defaillance dangereuse).
1oo2D : deux canaux avec diagnostic, l'architecture la plus repandue pour SIL 3 sur Type B. Le diagnostic detecte le canal defaillant et bascule sur le canal sain.
2oo3 : trois canaux avec vote majoritaire, compromis disponibilite/securite eleve, utilise sur procedes critiques (centrales, raffineries).

Le calcul de PFD_avg pour une architecture MooN integre les taux de defaillance des canaux, le diagnostic, la periode de proof test (T1) et la part de defaillance de cause commune (beta, beta_D selon la formulation IEC 61508-6). La formule de la partie 6, annexe B, donne les expressions analytiques par architecture. Une beta typique de 1 a 10 % suffit a dominer le PFD_avg d'une architecture redondante : la conception cherche a reduire beta par diversification (canaux materiels distincts, logiciels diversifies, alimentations separees, capteurs de technologie differente).

Cycle de vie de securite et logiciel par SIL

La partie 3 organise les exigences logicielles autour d'un cycle de vie en V : specification de l'architecture logicielle, specification des modules, codage, tests unitaires, integration, validation. A chaque etape, des techniques et mesures sont listees dans les annexes normatives avec un degre de recommandation par SIL : "HR" (Highly Recommended), "R" (Recommended), "NR" (Not Recommended), "---" (no recommendation).

Quelques exigences saillantes par SIL :

SIL 1 : tests dynamiques de modules, codage defensif, revue de code formelle, identification des donnees d'entree/sortie.
SIL 2 : techniques de specification semi-formelles (HR), revue d'inspection formelle (HR), tests de couverture instructions et branches.
SIL 3 : techniques semi-formelles ou formelles (HR), couverture MC/DC souvent demandee, analyse statique etendue (HR), tests d'integration avec verification de la performance temporelle (HR), restriction du langage (sous-ensemble securise type MISRA C pour le C, pas de gestion dynamique de memoire en exploitation).
SIL 4 : techniques formelles HR pour les portions critiques, langages a semantique restreinte, environnement de developpement qualifie (qualification du compilateur), preuves formelles ou analyse statique avancee.

Le logiciel preexistant (PSW, Pre-existing Software ; SOUP, Software Of Unknown Pedigree) est traite par un dispositif specifique. Un OS commercial, un middleware, une librairie peuvent etre integres dans une SIF SIL N a condition que leur evaluation soit documentee : revue de la documentation, analyse des defauts connus, tests dedies, restriction de l'utilisation, "wrapping" defensif. La voie la plus simple est de selectionner un composant deja evalue par un assesseur tiers comme "compliant item".

Functional Safety Management et competences

La partie 1 impose un Functional Safety Management (FSM) : organisation, processus, ressources, planning, gestion documentaire et de configuration, gestion des modifications, gestion des non-conformites, gestion du retour d'experience. Le FSM est verifie lors de la FSA et lors des audits de surveillance.

Les exigences sur les competences (clause 6 de la partie 1) imposent que chaque acteur ayant un role dans le cycle de vie de securite soit competent pour le role tenu, et que cette competence soit documentee. Les criteres incluent formation, experience, autorite, comprehension du contexte d'application. Pour des projets SIL 3 et SIL 4, l'industrie a converge sur des qualifications individuelles reconnues (Certified Functional Safety Engineer / Expert delivre par TUV Rheinland, exida, TUV SUD, CFSE / CFSP), sans que la norme l'exige explicitement.

L'independance de l'assesseur croit avec le SIL :

SIL	Independance requise pour le FSA
SIL 1	Independance de personne (l'assesseur n'est pas l'auteur direct)
SIL 2	Independance de departement
SIL 3	Independance d'organisation (typiquement assesseur tiers)
SIL 4	Independance d'organisation, generalement organisme accredite

Les confirmation measures completent la FSA : audits de phase, revues de jalons, verifications independantes, tracabilite des actions correctives. Elles ne se confondent pas avec les revues internes de projet, elles ont un caractere d'attestation independante.

Derivation vers les normes sectorielles

L'architecture d'IEC 61508 a engendre un ensemble de normes sectorielles qui en heritent le squelette (cycle de vie, niveaux d'integrite, techniques par niveau) en l'adaptant aux contraintes et au vocabulaire de chaque secteur.

Secteur	Norme derivee	Niveau d'integrite	Specificites
Process industry	IEC 61511	SIL 1 a 4 (identique a 61508)	Vocabulaire SIS / SIF / IPL, LOPA codifie partie 3, separation fournisseur (sous 61508) / integrateur (sous 61511)
Automobile	ISO 26262	ASIL A a D	HARA en place de HAZOP, controllability ajoutee a la severite et exposition, work products specifiques, qualification de composants ("SEooC", Safety Element out of Context)
Ferroviaire (logiciel)	EN 50128 + EN 50657	SIL 0 a 4 (SSIL)	SSIL 0 pour le non-safety, distinction signalisation (50128) et a bord (50657)
Ferroviaire (systeme)	EN 50126 + EN 50129	SIL 1 a 4	Approche RAMS (Reliability, Availability, Maintainability, Safety), Safety Case detaille pour acceptation par autorite nationale
Machines (control)	IEC 62061	SIL CL 1 a 3 (SIL claim limit)	Plafond SIL 3, approche compatible avec ISO 13849 (qui utilise les Performance Levels PL a a e en approche parallele)
Medical	IEC 60601-1 + ISO 14971	Pas de SIL formel, approche risque par MOOP/MOPP et performance essentielle	Pour le logiciel, IEC 62304 classifie en A, B, C, en approche parallele a 61508
Nucleaire	IEC 61513	Categories A, B, C	Approche specifique, references croisees avec 61508 sur les architectures

Une note importante : les normes sectorielles ne reproduisent pas mecaniquement IEC 61508, elles l'adaptent. Une revendication SIL 3 sous IEC 61508 n'est pas automatiquement equivalente a une revendication ASIL C ou D sous ISO 26262. Un composant developpe sous 61508 et integre dans un projet 26262 fait l'objet d'une analyse d'ecart (gap analysis) documentee, qui justifie la reutilisation au regard des exigences specifiques de la norme sectorielle.

"Compliant item" et proven-in-use

Un composant commercial peut etre integre dans une SIF de SIL donne par deux voies, hors developpement specifique sous le SIL vise.

Compliant item : le fournisseur a fait evaluer le composant par un assesseur tiers sous IEC 61508 partie 2 (materiel) et partie 3 (logiciel), et publie un certificat de conformite avec un safety manual. Le safety manual liste les chiffres a integrer dans le calcul de PFD_avg / PFH (lambda_dd, lambda_du, lambda_sd, lambda_su, SFF), les diagnostics integres, les hypotheses d'usage et les contraintes d'application. L'integrateur reprend ces chiffres dans son dossier et applique strictement les contraintes du safety manual. Les microcontroleurs et SoC "SIL 2 / SIL 3 capable" (TI Hercules, Infineon AURIX, Renesas RH850, ST SPC58, etc.), les automates de securite (Siemens S7-1500F, ABB AC800M HI, Rockwell GuardLogix), les transmetteurs de procede (Emerson, Yokogawa, ABB) entrent dans cette categorie.

Proven-in-use : le composant n'a pas ete evalue formellement sous 61508, mais son retour d'experience demontre une fiabilite suffisante. Les conditions sont strictes (partie 7) : usage documente sur une duree significative, sur une population statistiquement significative, dans un environnement comparable, avec un retour de defaillances trace. La justification proven-in-use est plus exigeante a documenter qu'on l'imagine ; elle reste rare en pratique pour atteindre SIL 3 sur un composant complexe, plus frequente pour SIL 1 / SIL 2 sur des composants simples.

Un microcontroleur "industriel standard" sans certification 61508 et sans dossier proven-in-use ne peut pas porter directement une SIF SIL 2 ou plus. Il est utilisable dans un sous-systeme qui implemente une architecture redondante avec un canal de diagnostic independant, mais l'effort d'architecture (1oo2D, comparaison de canaux, monitoring externe) augmente fortement.

Pieges classiques observes sur le terrain

Plusieurs ecueils reviennent dans les retours d'integrateurs et d'assesseurs.

Confusion entre SIL composant et SIL fonction : un composant "SIL 3 capable" ne fait pas une SIF SIL 3. La SIF complete (capteur + logique + actionneur + diagnostic + alimentation) doit atteindre la cible PFD_avg / PFH au niveau systeme, et chaque element doit respecter les contraintes Route 1H ou Route 2H.
Architecture HFT 0 sur composant Type B vise SIL 3 : non autorise par Route 1H, sauf si la SFF est >= 99 %. Tres peu de composants Type B atteignent ce niveau de SFF en HFT 0 sans redondance interne ; le design force generalement une architecture 1oo2D ou un composant lockstep.
Application des techniques logicielles non alignees sur le SIL : un code conforme MISRA C n'est pas suffisant pour SIL 3 s'il manque l'analyse statique etendue, la couverture MC/DC, la qualification de l'environnement de developpement, la specification semi-formelle ou formelle.
Safety manual non applique : le safety manual d'un "compliant item" porte des hypotheses d'usage (temperature de jonction, tension d'alimentation, frequence d'horloge, configuration des periphriques) et des contraintes d'application (diagnostic regulier requis, periode de proof test, restriction de fonctions internes). Toute deviation invalide la revendication SIL du composant.
Confusion entre proof test et auto-diagnostic : l'auto-diagnostic interne est continu et detecte une fraction des defaillances dangereuses (mesuree par la SFF). Le proof test est un test periodique manuel, generalement annuel, qui detecte les defaillances dangereuses non detectees par le diagnostic. Les deux entrent dans le calcul PFD_avg, mais ce sont des objets distincts.
Sous-traitance d'integration sans transfert du dossier FSM : un fournisseur qui transmet du materiel SIL-capable sans transferer le safety manual et les hypotheses ne permet pas a l'integrateur de boucler son dossier ; l'assesseur final renvoie le dossier en l'etat.
Allocation SIL non justifiee : un SIL alloue sans rattachement explicite a une analyse de risque (HAZOP, LOPA, risk graph documente) est generalement requalifie en cours d'evaluation, parfois a la baisse, parfois a la hausse.
Confusion entre normes parentes et derivees : un fournisseur certifie sous IEC 61508 SIL 3 ne dispense pas le constructeur automobile d'une analyse d'ecart vers ASIL ; un fournisseur d'automate certifie sous 61508 ne dispense pas l'integrateur de site sous IEC 61511 de sa propre analyse SIF.

Proof test, MTTR et hypotheses de calcul

Le PFD_avg d'une fonction de securite en mode demande faible se calcule sur la duree d'un cycle de proof test, periode T1 au-dela de laquelle la fonction de securite est verifiee dans sa totalite, souvent manuellement, parfois partiellement. Plus T1 est court, plus PFD_avg est bas, mais le cout operationnel du proof test croit ; un compromis usuel sur installation de procede est T1 = 1 an, parfois etendu a 3 ou 5 ans avec un proof test partiel (PTC, Proof Test Coverage, generalement compris entre 60 et 95 %).

Le MTTR (Mean Time To Restoration) intervient sur les defaillances detectees par le diagnostic : c'est le temps moyen entre la detection d'une defaillance et le retour en etat operationnel apres reparation. Pour une fonction en mode demande elevee ou continu, le MTTR pondere directement la PFH, parce que la fonction est inoperante pendant la reparation.

Le couple T1 et MTTR pilote, autant que les taux lambda, le PFD_avg / PFH d'une architecture. Une chaine 1oo2D bien specifiee avec lambda_du faible mais T1 = 10 ans peut depasser sa cible SIL ; la meme chaine avec T1 = 1 an restera confortablement dans la plage. Le proof test n'est pas accessoire, il fait partie integrante du dossier de securite.

Les hypotheses de calcul (T1, MTTR, beta, lambda detailles, couverture diagnostique) doivent etre explicitement listees dans le safety manual du composant et reprises dans le dossier d'integration. Une revue d'assesseur verifie systematiquement la coherence entre les hypotheses affichees et les conditions reelles d'exploitation.

Periodes de validite et maintenance des certificats

Un certificat IEC 61508 emis par un assesseur tiers a une duree de validite typique de 3 a 5 ans, avec un audit de surveillance annuel ou bisannuel. Toute modification significative du produit (revision matrice, mise a jour majeure du firmware, changement de fournisseur sur un composant critique) declenche une revue de delta sur le dossier de securite. La gestion des modifications est codifiee par la partie 1 du standard : chaque modification fait l'objet d'une analyse d'impact, d'une revue tracable, d'une mise a jour du dossier de validation et, selon la severite, d'une nouvelle FSA partielle ou complete.

Pour le glossaire complet des termes utilises (SIL, SIF, PFD_avg, PFH, HFT, SFF, FSA, FSM, ALARP, HAZOP, LOPA, Route 1H, compliant item, proven-in-use), voir le glossaire.

Articulation avec le marquage CE

L'IEC 61508 n'est pas directement une norme harmonisee au sens du Reglement (UE) 2023/988 (securite generale des produits) ou de la directive Machines (UE) 2023/1230, mais ses derivees le sont. Pour une machine, c'est IEC 62061 ou ISO 13849 qui donnent presomption de conformite sur le volet securite des systemes de commande. Pour un equipement de procede, c'est IEC 61511 (transposee EN 61511). Pour un vehicule, ISO 26262, articulee avec le reglement UE type-approval.

Sur le marquage CE des produits qui contiennent une fonction de securite, l'enjeu est de demontrer que le SIL alloue est atteint par l'integration des composants, et que la documentation de securite (safety case, safety manual destine a l'utilisateur final, manuel d'utilisation, formation requise) est disponible. Le passage d'un dossier IEC 61508 a un dossier CE n'est pas un changement de norme, c'est un assemblage : la norme harmonisee sectorielle fournit la presomption, le dossier 61508 sous-jacent fournit la tracabilite technique.

Pour le cadre global du marquage CE, voir la page CE et les normes harmonisees. Pour les approfondissements sectoriels, voir ISO 26262 (automobile) et EN 50128 / EN 50657 (logiciel ferroviaire).

Pour aller plus loin

Cette page expose le cadre generique IEC 61508. Plusieurs pages dediees viendront approfondir des sujets specifiques :

ISO 26262 et les ASIL : derivation automobile, HARA, ASIL decomposition, SEooC, qualification de composants electroniques pour l'automotive,
EN 50128 et EN 50657 : logiciel ferroviaire de signalisation et embarque, niveaux SSIL, validation et Safety Case ferroviaire,
IEC 61511 : safety instrumented systems en process industry, LOPA codifie, separation fournisseur / integrateur, proof test,
IEC 62061 et ISO 13849 : securite des machines, plafonds SIL CL et Performance Levels,
IEC 62304 et le logiciel medical : approche parallele a 61508 partie 3, classes A, B, C.

Sources & références

IEC 61508, Functional safety of electrical/electronic/programmable electronic safety-related systems , IEC www.iec.ch/functional-safety
IEC TC 65 SC 65A WG 14, mainteneur de la norme IEC 61508 , IEC www.iec.ch/dyn/www/f?p=103:7:::::FSP_ORG_ID:1297
ISO 26262, Road vehicles, Functional safety , ISO www.iso.org/standard/68383.html
IEC 61511, Functional safety, Safety instrumented systems for the process industry sector , IEC webstore.iec.ch/publication/24241
IEC 62061, Safety of machinery, Functional safety of safety-related control systems , IEC webstore.iec.ch/publication/59927
EN 50128, Railway applications, Software for railway control and protection systems , CENELEC www.cenelec.eu/dyn/www/f?p=104:110:::::FSP_PROJECT,FSP_LANG_ID:23715,25