STD-TEC G2SO8-L-ENGL 2998 MH 4844892 070424) TTS om Publication 61608-1 de la CEI (Promidxa dalton ~ 1968) Sécurité fonctionnollo des eystimoe Glactriqueesstectroniquesislectroniques ‘programmabies ralaife hla sécurité ~ Parte t: Preseriptions génér 1EC Publication 61608-1 (Fist edition ~ 1008) Functional setety of slectrlcal/lectronie/pregremmable lactronte safety-related systems — ‘Part 1: General requirements CORRIGENDUM Corrections en langue anglaise uniquement Page 14 1.26) Ajouter au polat 6) la note suivante: NOTE - Voir 3.1.1 ot 7.3.1.2 de le CE1 61808-4 Page 16 Remplacer 10 texte du premier alinéa du paragrapho 1.4 existent par 1a texte amendé suivant: 1.4 Les partios 1, 2, 3 ot 4 do la présente norme sont de publications fondamentalos de sécurité, bien qu'un tel statut ne soit pas applicable dans lo contexte des systimes E/E/PE de talble complexté relatifs & la sécurité (voir 3.4.4 do la partie 4). En tant que publications fondamentales de sécurité, ces normes sont prévues pour tro utilisées par fos comités techniques pour la préparation des normes selon les principes contenus dans le Guide CET 104 et io Guide /SO/CE/ $1. Les parties 1, 2, 3 at 4 sont également’ destinées a’ dire utilise comme public Page 3 ~ Contents Amend the reference page number for tive ‘clauses as follows: 2 Nommative references... 4 Conformance to this standard 7.4 Hazard and risk analysis 8 Functional safoty assessmert..... AS Physical document structure... at 23 Page 15 1.2b) and e) In item b), delete footnote (") Add to item @) the following note: NOTE - 80¢ 1.1 and 7.3.1.2 of IEC 1508-4, Page 17 Replace the existing first paragraph of subclause 1.4 by the following amended text: 1.4 Parts 1, 2, 3 and 4 of this standard aro basic safely publications, although this ‘status does not apply in the context of low ‘complexity E/E/PE safety-related systems (soo 3.4.4 of part 4). As basic safely publiestione, they are intended for uso by technical committees in the preparation ‘of standards in accordance with the principles contained in /EC Guide 104 and ISONEC Guide 51, Parts 1, 2, 3, and 4 are also intended for use as. stand-alone publications.STD-TEC B1SO8-1-ENGL 1998 MM 4eu4ATL O7O4202 534 a Une des responsabilités incombant a un comité technique est, dans fa mesure du possible, d'utllisor publications. fondamentales de sécurité pour la préparation de ses publications. Dans co contexte les prescriptions, les méthodes dessai_ ou conditions d'eseal de cotte publication fondamentale de sécurité no S‘appliquent que si elles sont indiquéas spécifiquement ou incluses dans las publications préparées par ces comités techniques. Page 22 4a Dans la note, intervertir les entrées des deux promiers tirats comme suit; ~ li nature dos dangers: ~ la réduotion dos risque t des conséquences, Page 28 ‘Au point 0), dans ta note 2, au lieu de: ..r6férences [7] et [6] & annexe C. Mee: --f6f6rences [6] ot [7] annexe C. Page 46 Passer Varticte 7.2 & la page suivante. Page 50 7423 Dans fa note, au lieu de: voir 9.1.10 de la CEI 61508-4, tre Wolr 3.1.11 de la CEI 61508-4. One of the responsibilities of a technical committee Is, wherever applicable, to make Tn th its publications. in this context, the requirements, tast methods or test conditions of this basic safety publication will not apply unless specifically referred to or included in the publications Prepared by those technical committees. Page 23 a4 In the note, first two hyphens, reverse order of existing texts as follows: ~ nature of the hazerds; ~ consequence and risk raductlon; Page 29 In itam 0), note 2, instead of: -.foferences {7} and [6] in annex C. read: -feferences [6] and [7] In annex C. Page 47 Move clause 7.2 to next page. Page 51 7.4.23 In the note, instead of: 11800 9.1.10 of IEC 61508-4. read: 1800 3.1.11 of IEC 61508-4,STD-TEC BLSOS-1-ENGL 3998 MH 484NA92 0704243 870 Page 52 Correction en anglais uniquement 78 Passor article 7.5 a la page suivante. Page 58 7.8.22 Correction en anglais uniquement Page 64 Remplacer te ttre existant du tableau 2 par 2 qui suit: ‘Tableau 2 ~ Nivoaux d'intégrité de sécurité: ‘mesures elbles de défalllance pour une fonction de sécurité fonctionnant en mode de faible sollicitation Remplacer fe ttre existant du tableau 3 par 0 qui suit: ‘Tableau 3 ~ Niveaux d'intégrité sécurité: mesures cibles de défaillance pour une fonction de sécurité fonctionnant en mode continu ou de forte solticitation Page 78 718 Ajouter la nouvelle note 4 suivante: NOTE 4 — tno taut pas. suppose brocéures de tests ceveloppaes pout I ‘tia mise en service Iniae pulesont 80 tier our val ot ur praticablité dane te ‘contexte dune expotation «on lng» de FEUC. Page 53 TADS In the note, instead of: (gee IEC 61508-3). read: «(800 IEC 61508-5). 76 Move clause 7.5 to next page. Page 59 7.8.22 In note 1, second sentence, instaad of: maintenance and operation, road: operation and maintenance. Page 65 Replace existing title of table 2 by the following: Table 2~ Safety integrity levels: target fallure measures tor a safety function ‘operating in low demand mode ‘of operation Replace existing title of table 3 by the ‘ollowing: Table 9 ~ Satety Integrity levels: target fallure menaures for a safety function ‘operating in high demand or continuous. ‘mode of operation Page 79 7.16 ‘Add the following new note 4: NOTE 4 — it must ot bo ascumed that tost Droceduros developed for inal Installation and Sommissionmp ean be used without checking thelr ellty and pracilcabity In the context of on-lineSTD-TEC b3508-2-ENGL 2998 MM 48449) OLILNOS 3TL Ml NORME CEI INTERNATIONALE IEC INTERNATIONAL 61508-1 STANDARD mente Sécurité fonctionnelle systémes électriques/ électroniques/électroniques programmables relatifs a la sécurité - Partie 1: Prescriptions générales — Functional safety of electri lectronic/ programmable electronic safety-related systems — Part 1: General requirements Wuméro de référence Reference number CEMIEC 61808-1:1098STD-TEC bAS08-2-ENGL 1998 MM Y8Y9E9 CLIO 238 Me Numéros des publications Depuls Ie 197 Janvier 1967, 19s publications a la CEI ‘ont ruméroiées & part de 60000. Publications consolldées Len voruons consoles de cenaines pubications do |a CE! Incorporant les amencements sont esponibies, Par exemple, les numéros Cédilon 1.0, 1-1 at 1 Indlquent respectivement ta publication ve base, ia publication de base Ineomporant emendement 1, ot Ia publication Ge bane Incoporant bs enderenia 1 w Validité de ta présente publication Le contenu technique de publentons dota CE! ost ‘cnatammart rovu par ta CEI ane Quit rte Tat ‘ott cola Technique. Dee tensignaments relate & 18 date Go recon raion do. publealon som sponbles done ‘allogue daa Ce Lee reesgnements elati 8gn question 8 Tétude ot ee rea encour ever pat lo cor tochigue {Ur a ea cote publeor. ena que i Hate des fubloatone bile, se rowvent dna ve ooumenta ct Seonoue: ‘te wabe dole O81" ‘+ Catalogue des publications de ace Pune snnvotiment ot mie & out requirement (Catalogue entire)” + allan ae te CEE Diaponibie fle au elie wobs do la CEI ft comme penosque mprins Terminologie, symboles graphiques, ot littéraux En ob qui concern Ia terminologle générale, e lecteur fc roportera dla CE! 00050" Vocabulaire Electro. ‘technique Intemational (VE). Pour ies symboles graphiques, les symbols laux ft tes elgnes usage géndral approuvée parla CE!, le Yeoteur sondutera ta CEI 60027: Medea & Uilaer en électrotechnique, 1x CE! 80417: Symbotes ‘raghiques uilisaties aur lo matériel. Index, releve ot Eemplaron des fotos indvduoter, ta Gl GOST: ‘Symboies graphiques pour achamae. + Voir adresse «atte webs wu a page de tr Numbering ‘As from 1 January 1967 all IEC publications are ‘sued with 2 designation In the 60000 seria, Consolidated publications. Consolidated versions of some IEC publications Including: amendments are avaasa. For examplo, ‘salion numbers 1.0, 1-1 and 1.2 fe, respectively 10 ‘the base. publication, the Dave pullizalon incor porating amendment 1 and the ‘base. pusioaton Freerporating amendments 1 and 2. Validity of thie publication ‘The technical content of IEC pudtoatone ie kept under ‘constant review by the 'EC, thus encuring mat the ‘conten retiacts rent technology. Information relating to tha dato ofthe recontmatin of ‘he publication ls available inthe IEC catalogue. Information on tha subjects under consideration and work in progress undertaken. by "the technical ‘committee which Nae preparod tne pubiiction, ax well 3B the ist of publoations iasued, i 0 be found at ha lowing IEC sources: = TEC web sitet + Catalogue of IEC publications Publahed yeasty wir roguar updates (Oring cetalogue}* = tee Butea ‘Avaiabo bot a the IEC web ate* and as a printed period! Terminology, graphical and letter symbols For general terminology, readers are referred to IEC G08 itmatona!‘lecroacmen Vecabeary HEV). For graphical symbols, and letter symbole and signs screed by the IEC coer tae, racers re ‘erred to publications IEC ‘bo used In electrical ‘ecinolgy, Ie toe cost? Grohe! ‘symbols for use of equemert. Index, eurvey, and ‘shoots and’ 1EC" 60817: + Soe web site address on ike page. ‘Sitter ensSTD-TEC b1508-3-ENGL 2998 MM 4844892 ObTL4O7 174 NORME CEI INTERNATIONALE IEC INTERNATIONAL 61508-1 STANDARD Promitr dation First edition 1998-12 Sécurité fonctionnelie des systémes électriques/ électroniques/électroniques programmables relatifs a la sécurité - Partie 1: Prescriptions générales — Functional safety of electrical/electronic/ programmable electronic safety-related systems — Part 1: General requirements © IEC 1998 Droits de reproduction réservés. — Copyright - all ights reserved ‘acne pate on ploiton nepal masse Ne to he putcaton maybe apa ea ‘Stade ‘oe uate ame cra‘ asta er auean atom or oy any menen, dono’ ech om ov macs song show. Int ccm ae tan wana pena Erne tiessowlton ene feceaetartaaunr” wrt tome pester Intamatonal Electrotech! Commietlen 3, ede Varembé Geneva, Sutzeriand Tolan: +41 2.019 6900 ‘mall: rallieoch IEC wed sho zulwwwee.ch ———S SSS PK Commission Elavastechnique Internationa’ SODE PI cere Erase ereteees price cove XA Manarapoavan Qnaborennsecian HOt a ape © Papi sect eeeSTD-TEC bLSO8-b-ENGL 1998 MM 4A44R9L OL92408 OOO me 61508-1 © CE!:1998 SOMMAIRE AVANT-PROPOS, INTRODUCTION Aricias Domaine d'application Rétérences normative Definitions ot abréviations. Conformits a la présente Norme internationale. ‘Documentation. oneness tion de Ia abcurité fonetionnelle 6.1 Objectits 6.2 Prescription 7 Prescriptions relatives au cycle de vie de sécurité global 7.1 Géneralités 7.2 Concept... 7.3. Définition globale du domai 7.4 Analyse de danger et de risque 7.5 Prescriptions globales de sécurité. 7.8 Allocation des prescriptions de sécurité. 7.7 Planitication globale de exploitation ot de la maintenance 7.8 Planification globale de la validation de la sécurité. 7.9 Planification globale de t'installation et de la mise en service 7.40 Réalisation: E/E/PES.. 7.11. Réslination: autre technologie 7.42 Réalisation: dispositits externes de réduction de risque 713 7.14 Validation globale de Ia sécurité... 7.45 Exploltation, maintenance ot réparation globaiee 7.18 Modification et remise & niveau globales bu... 7.17 Mise hors service ou au 7.18 Véritication.. 8 Evaluation de la sécurité fonctionnelie.. 8.4 Objectif... 82 Prescriptions SESTD. TEC G1508-1-ENGL 1998 MH 484489L OLILMO4 TY? ma 61508-1 © 1EC:1998 CONTENTS: FOREWORD. INTRODUCTION. 1 i 2 Normative references: 3. Definitions and abbrevi 4 6 ‘Conformance to this standard. Documentation... 5.1 Objectives. 5.2 Requirements . : & Management of functional sefety.. 6.1 Objectives 6.2 Requirements . 7 Overall safety lfecyole requirements 7A General. 72 Concept . 7.3. Overall scope definition. 7.4 Hazard and risk analysis. 7.5 Overall safely requirement 7.6 Safety requirements allocation 7.7 Overall operation and maintenance planning 7.8 Cverall safety validation planning . 7.9. Overall installation and commissioning planning. 7.40 Realisation: E/E/PES.. 74 712 pxternal risk reduction faciities 7.13, Overall instalation and commissioning... 7.14. Overall safety validation 7.18 Qverail operation, maintenance and repai 7.16 Overall modification and retrofit. 7.17 Desammissioning or disposel... 7.18 Verification none 8 Functional satety assessment 81 Objective... 8.2 RequirementsSTD-IEC bISOB-2-ENGL 2598 MM 4844892 ObI2420 765 a -4- 61508-1 © CEI:1998 ‘Annexes ‘Annexe A (informative) Exempla de structure de documentation... At Généraiités, A2 Structure du document du cycle de vie de sécurité A.3 Structure physique du document ‘Ad Liste des documents, ‘Annexe B (informative) Compétence des personnes .. B.1 Objectit. B.2 Considérations générales. ‘Annexe C (informative) Bibliographie Tebloaux 1 Cycle de vie de sécurité global: vue d'ensembie.... 2 — Nivesux diintégrité de sécurité: mesures cibles de défaillance pour une fonction do sécurité, allouge & un systéme de sécurité E/E/PE tenctionnant en mode de faible solicitation... sonennnns 2 Niveaux d'intégrté de sécurité: mesures ciblos de défaillance pour une fonction de sécurité, allouge & un systéme de sécurité E/E/PE fonctionnant en mode continu ‘ou de forte sollcitation.. 4 Degrés minimaux ¢'indépendance des responsabies de Févaluation de la sécurts fonctionnelie (phases du cycle de vie de sécurité global 1 & 8 ot 12 & 16 incluses {voir Figure 2)) sn 5 Degrés minimaux d'indépondance des responsables de Févaluation de la sécurité fonctionnelte (phase 9 du cycle de vie de sécurité global - incluant toutes les pha: des cycles de vie de sécurité du E/E/PES et du logiciel (voir figures 2, 3 et 4). ‘A.1_ Exemple de structure de documentation pour l'information relative au cycle de vie Ge secuté global AB Example do structure de documentation pour information relative au cycto de vie de sécurité du systime E/E/PE... ‘A Exemple de structure de documentation pour information relative au cycle de ie de sécurité du logiciel... 6 Figures 1 Structure généraie de la présente norme Cycle de vie de sécurité global Cycle de vie de sécurité du systtme E/E/PE (dans ta phase de réalisation) Cycle de vie de sécurité du logiciel (dans la phase de réalisation)....... Relations entre le cycle de vie de sécurité global et les cycies de vie de sécurité des E/E/PES 6t du logiciel wean z 3 i i g 3 3 e 3 3 5 q 3 de réduction de risque Exemple de modle ‘activités d'exploitation et de maintenance Exemple de moddle de gestion de exploitation et de Ia maintenance ... ‘Exemple de maddle de procédure pour les modifications 1. Structuration de information en ensembles de document pour les groupes dutiisateurs .. ‘A.2 Structuration de finformation pour lee grands systar los petite aystdmes de faible complexité poonSTD.TEC BISDS=2-ENGL 1998 MM HAYYBSD OGTLYLL LTS Ma 61508-1 © IEC:1908 ) Example documentation structure.. a 99 Aa General... i nesses 9B A2 Safety lifecycle document structure . 101 AS Physical document structure ‘A4 List of documents. Annex & (informative) Competence of parsons... B.1 Objective B.2 General considerations sun. ‘Annex C (informative) Bibliography wn... Tables 1 Overall safety lifecycle: overview... 2 Safety integrity levels: target failure measures for a safety function, allocated to an E/E/PE safety-related system operating in fow demand mode of operation ... 3 Safety integrity levels: target failure measures for a safety function, allocated to ‘an E/E/PE safety-related system operating in high demand or continuous mode (Of OPEFALION ae nnsrne 4 Minimum levels of independence of those carrying out functional safety assessment (overall safety ltecycle phases 1 to 8 and 12 to 16 inclusive (see figure 2) 5 Minimum levels of independence of those carrying out functional safety assessment (overal safely ifenyele phase 9 includes all hases of E/E/PES and sofware safety Iifecycles (see figures 2, 3 and 4)) ne {Ac Example documentation structure for information related tothe overall satoty itecyoio snesemrnmnnneses 108 {A2 Example documentation sucture tar inoraton related to the E/E/PES safely litecycie {A3 Example documentation structure for information related to the software safety lifecycle 97 1 105 soe 107 Figuros Overall framework of thi Overall safety Hfecycle.. E/E/PES safely Ifecycie (in reali Software safoty lifecycle (in reall i Relationship of overall stat ilecycle to E/E/PES and software eattyIMecyce ‘Allocation af safety requirements to the E/E/PE safety-related systems, other technology safety-related systems and external risk reduction facilities nn. 69 7 Example operations and maintenance acivitios MOG mnnnimnnnnnnrrnnnnnnseies 88 8 Example operation and maintenance management model.. 85 9 Example modification procedure model cee saves 88 ‘A Structuring information into document sets for user groups. 108 ‘A.2 Structuring information for large complex systems and small low sees 3B 109STD-TEC bESOS-2-ENGL 1998 WH 4844S OLIL422 531 Me -6- 61508-1 © CEI:1998 COMMISSION ELECTROTECHNIQUE INTERNATIONALE SECURITE FONCTIONNELLE DES SYSTEMES ELECTRIQUES/ELECTRONIQUES/ELECTRONIQUES PROGRAMMABLES, RELATIFS A LA SECURITE — Partie 1: Prescriptions générales AVANT-PROPOS 1) LA CEI (Commission Electrotechnigue Interationsie) eet une organieation mondiale de normalisation compasée {de Fensembla des comitée sectrotachniques nationatx (Comiee naionaux dela CE). La CEI 8 pour objet de {avorser ia coopération inernationale pout toutes lee questions da normalisation dar ies. comalnes. do ‘élections toe Vleotrorique, A cet effe, a CET, entre autres aciviée, publla deo Normes Intemationaes ‘Leur élaboraton eat confiée & des coma d'études, aux ravaux desquels tout Comité national intéresss parle ‘Sujet rats pout partolper. Lee organisations internatonalas, gouvemementales et non gowvernementales, en rt aur Wravaux. La. CEI collbore éveltement aveo POrganieaion {180}, sion aes conaltonsfixéoa par aocord entre lee deux organietion 2) Los décitons ou accords oflals de la CE! concemant lee questions techniques représentont, dana ia meauro du posalbia un acoord International su ee sujets suclés, etart conné que low Commitee ratonaux ieroases ‘ork raprésonién dana chaque comité études, 9) Lee document produits ae présentent sous ta forme de recormmandations interationses, tis sont pubis comme nenmas,rappors Wehriques ou guldes at agréée comme tal par lee Comilés natonaux. 4) Dans la but e'encouragor !'aiction internationale, les Comite natonaux dela CEl s'engagent & appiquer de Tagan tranaparenta, gare toute la mesure possibe, las Normee Intmationalee do ik CEl Gans tours normes rallonalen et répionalee- Toute dlvergence one ia norme de ia CEI et ta norme nationale ou régionale ‘cortespondante dol re inciquée en terme clure cans ava damier, 5) La C&i ra tid aucune proctdure concemant le marquage comme Indication 'epprobation et ea reeponsabilté ‘et pas engage quand un matétl eet abclaré conforms & Tune €¢ eon norms: ©) Latantion ott attiebe sur to falt que certane dos éléments de la présente Norme Intaratonale peuvent faire objet do. drlts de propdélé Intellectvelle ou do droite aneloguee. La CEI ne aural Ove tenue pour ‘aaponaabie de ne pas avoir ident" de tle date de propriate at do ne pas svOK eignalé leur existence, La Norme internationale CE! 61508-1 a 6t6 établie par le sous-comité €5A: Aspects systémes, du comité d'études 65 de la CEI: Mesure et commande dans les processus indusiriels. Lo texto de cette norme est issu des documents suivante: Fos ‘apport de vote esarz0arFOIs ‘esAra74/RVD ‘Le rapport de vote indiqué dans e tableau ci-dessus donne toute information aur le vote ayant ‘abouti & approbation de cette norme. Les annexes A, B et C sont données uniquement & titre d'information.STD-TEC bUSDA-L-ENGL 1998 MM 4S44S5L OLIV43 478 61608-1 © IEC:1998 -7 INTERNATIONAL ELECTROTECHNICAL COMMISSION FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE ELECTRONIC SAFETY-RELATED SYSTEMS — Part 1: General requirements FOREWORD 1) The IEC (loteratonal Etecvotechnical Commission) I a worldwide organization for standaralzavon comprising fal national elacirotechnical commitiees {IEC Netonal Gommitees). The object of the 1EC 18 10 promote Intemational co-operation on all queetions conceming standardization Inthe slectrical ard elogyonie felds, To tmis end and: in aadiion to siher ectiibes, te IEC publahes ‘ntermatonal Siandarde. Their preparation Ie ‘nirusted To technical commitess; any IEC Natonal Commitee Introsted in tre subject doalt win may Danlcipate inthis proparalcry work. inerational, governmental and non-goverrmental organizations Walsing ‘wih the IEC also partelpata nine proparation, The IEC colaborates closely wih the international Organization Yar" Standardization (60) in acoordance wih “condlions determined by agreemerr. between tha (wo organizations. 2) The formai decisions or agrooments of the IEC on technical matters express, a9 noaily ab possibie, an Intemational consensus of opirin on the relevant eubjocte since each techrical committee has reprecertation {tom all interested National Commitee. {3} The documents prosuoad rave te form of recommendations for ifarnational usa and are published In me tor of standards, echnical reports or guides and they are accepted by the National Committees in tat sense 4) In order to promote intemationsl uvication, IEC National Commltses undertake to apply IEC International ‘Standards traneparenty to the maximom extent possible in thelr national and regiondl slandarce. Any ‘ivergonce botwoon the IEC Standard and tka covreepending national or rogioral standard shall bo cloaly Inleated in the ltr. 5) The IEG provides 70 marking procécure 10 Indcate Ite approval and cannot be tendered responsible for any ‘equipment declared tobe in canformiy wih one ofits standards. 58) Atanton is drawn tothe possibilty that some ofthe elamants of tis Intemational Standard may be tho subject ‘of patont rights. Tho IEC shall not be held responsaie for denttying any oral auch patent rights. International Standard |EC 61508-1 has been prepared by subcommittee 858: System aspects, of IEC technical committee 65: Industrial-process measurement and control, ‘The tox! of this standard is based on the following documents: Fos, Report on voting AROAFOIS eSNZTAIRVD Full information on the voting for the approval of this standard can be found in the report on voting indicated in tne above table. Annexes A, B and C are for information oniy.STD-TEC bXSO8-3-ENGL 2998 MM Y84469% Ob93434 304 Ml 1508-1 @ CEI:1998 La CEI 61508 est composée des parties suivantes, regroupées sous le titre général Sécurité fonctionnelie des syst8mes électriques/électroniques/électroniques programmabies relatifs & la sécurité: — Partie 1: Prescriptions générales = Partie 2: Prescriptions pour les aysttmes lectriques/électroniques/lectroniques program- mables relatifs & a séourité Partie 3: Prescriptions concernant les logiciels = Partie 4: Détinitons et abréviations = Partio 6: Exomples do méthodes pour la détermination des niveaux d'intégrité de sécurité = Pattie 6: Lignes directrices pour application de ia CEI 61508-2 et la CEI 61608-9 = Partie 7: Présentation de techniques et mesuresSTD. TEC bLS0S-2-ENGL 1998 MM YBY4BAL OLGLNLS 240 Me 61508-1 © IEC:1998 IEC 61508 consists of the following parts, under tha general title Functional safety of slectricalvelectronic/programmablo electronic safety-related systems: - Part 1: General requirements = Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems — Part 3: Software requirements = Part 4: Definitions and abbreviations = Part 5: Examples of methods for the determination of safety integrity levels ~ Part 6: Guidelines on the application of IEC 6108-2 and IEC 1608-3 = Part 7: Overview of techniques and measuresSTD-TEC b1S08-1-ENGL 1954 WH 4844892 OL9D4Ib 287 Ml ~10~ 1508-1 © CEI-1998 INTRODUCTION Les systémes électriques/électroniquos sont utiisés depuis des années pour exécuter des {onotions liées & la sGourité dans Ia plupart des sectours application. Des systames & base informatique (que fon nommera de fagon générique: systémes électroniques programmables (PES)) sont utlisés dans tous les socteurs dapplication pour exécuter des fonctions non liéos. 4 la sécurité, mais aussi, de plus en plus souvent, liées a la sécurité. Si Ton veut exploiter ctficacement’ et en toute sécurlé la technologie des sysiémes informatiquex, ii est indispensable de fournir & tous les responsables sutfisamment d'éléments liés & la sécurité pour les guider dans leurs prises de décisions. La présente Norme internationale présente une approche générique de toutes les activités liges au cycle de vie de sécurité de systémes dlectriques/électroniques/électroniques programmables (E/E/PES) qui sont utliaés pour réaliser des fonctions de sécurité. Cotte ‘approche unifiée a 16 adoptée afin de développer une polftique technique rationnelle ot ‘sohérente concemant tous les appareils électriques liés & le sécurité, L'un des principaux objectits poursuivis consiste & faciliter 'élaboration de normes par secteur d'application. Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systémes de protection fondés sur ‘diverses technologies (par exemple mécanique, hydraulique, neumatique, électrique, électronique, électronique programmable). En conséquence, i! faut stratégie Ge sécurité prenne non seulemont on compte tous les éléments dun syetéme individuel, (par exemple les capteurs, loa appareils de commande et [es actionneurs), jelle considére tous tes syst8mes relalfs & la sécurité comme des éléments individuels c'un ensemble complexe. C'est pourquoi la présente Norma internationale, bien que traitant essentiolioment des systémes E/E/PES relatifs & la sécurité, fournit néanmoins un cadre de sécurité susceptible de concerner les sysitmes relatifs & la sécurité basés sur drautres technologies. Personne niignote la grande variété des applications E/E/PES. Celles-ci recouvrent, & des degrés de complexité trds divers, un fort potentiel de danger et de risques dans tous ies seoteurs d'application, Pour chaque application, la nature exacte des mesures de sécurité envisagées dépendra de plusieurs facteure propres & application. La présente Norme internationale, de par son caractére général, rendra désormais possible la prescription de ces ‘mesures dane des normes intemetionales par secteur d'application. La présente Norme internationale ~ concern tute ie phases aporooiée cu cycle de vie de sécur global des E/E/PES et «du logiciel (depuis la conceptualisation iniiale, on passant par la conception, Vinstaliation, Fewplitation et la. maintenance, jusqu'a la’ mise hors. service) Toreque les E/E/PES ‘exécutent des fonctions de sécurite; ~ 8 646 laborée dans /o souci de I'évolution rapide des technologies; le cadre four par ia présente Norme internationale est suffisamment solide et étendu pour pourvoir aux ‘volutions futures: = permet rélaboration de Normes internationales par secteur d'application concernant tes E/E/PES relatifs & la sécurité; Iélaboration de normes internationales par secteur application & partir de la présente Norme internationale devrait permetire diatteindre un haut niveau de cohérence (par exemple pour ce qui est des principes sous-jacents, de la terminologie, de ia documentation, atc.) & la fois a sein de chaque secteur application, et d'un secteur & fautre. La conséquence en est une améiicration en termes de sécurité et de bénétices économiqui = tourit une méthode de développement des prescriptions de sécurie nécessalres pour réaliser la sécurité fonctionnelle des systemes E/E/PE relatife & la sécurité;STD. TEC bLSO8-2-ENGL L998 MM 4844852 Ob9L437 023 61508-1 © IEC:1998 —11- INTRODUCTION ‘Systems comprised of electrical andiot siectronic components have been used for many ye to perform safety funct ‘most application sectors. Computer-based systome (generically foferred to a8 programmable electronic systems (PESs)) are being used in all application sectors 10 perform non-saiely functions and, increasingly, to perform safety functions. If ‘computer system technology is to be effectively and safely exploited, it is eesential that those responsible for making decisions have sufficient guidance on the safely aspects on which to make these decisions, This International Standard sets out a generic approach for all safety lifecycle activities for systems comprised of electrical and/or electronic and/or programmable electronic components (Cisctrical/slectronic/programmabie electronic systems (E/E/PESs)) that aro used to perform safety functions. This unified approach has been adopted in order that a rational and consistent technical policy be developed for all electricelly-basod safety-related systams. A major objective is to facilitate the development of application sector standards. In most situations, safety 's achioved by a number of protective systems which rely on many ‘technologies (for example mechanical, tydraulic, pneumatic, electrical, electronic, programmable electronic). Any safety strategy must theretcre consider not only all the elements within an individual systsm (for example sensors, controlling devices and actuators) but also all the safety-related systems making up the total combination of satsty-related systems. Therefore, whil this. Internationat Standard is concerned with electrical/eiectronic/programmable electronic (E/E/PE) safety-related systems, it may also provide a framework within which saiety-related systems based on other technologies may be considered. It is recognized that there is a great variety of E/E/PES applications in a variety of application ‘sectors and covering a wide range of complexity, hazard and risk potentials, in any particular application, the required safety measures wil be dependent on many faciors specific to the application. This Intemational Standard, by being generic, will enable such measures to be formulated in future application sector interrational standards. ‘This International Standard considers all relevant overall, E/E/PES and software safaty lifecycle phases (lor example, itial concept, through design, implementation, operation and maintenance to ning) when E/E/PESs are used to perform safaty functions; has been conceived with a rapidly developing technology in mind; the framework is jantly robust and comprehensive to cater for future developmants; = enables application sector international standards, dealing with safety-related E/EIPESs, to be developed: the development of sppiication sector international standards, within the framework of this standard, should lead to a high level of consistency (for example, of underiying principles, terminology etc.) both within application sectors and across application sectors; this will have both safety and economic benefits; = provides a method for the development of the safety requirements specification necessary {o achiove the required functional safety for E/E/PE SSoetiin Sitaram ante serSTD-TEC LRSOS-D-ENGL 1998 MM WSY4Y8S2 ObTLUL8 TST A ~12- 61808-1 © CEI:1998 = utilise des niveaux d'intégrité de sécurité atin de spécifier ios niveaux cibles d'intégrité de sécurlté des fonctions de sécurité devant étre réalisées par les systimes E/E/PE relate & Ja sécurité; ~ adopte une approche besée sur le risque encauru pour déterminer les niveaux d'intégrté de sécurité prescrits; = fixe des objectite quantitate pour fee mesures. de défaillancas des aystemes E/E/PE relatifs & la sécurité qui sont en rapport avec les niveaux d'intégrité de sécurt; = fixe une limite inférieure pour les mesures de détaillances, dans le cas dun mode de ‘éfaillance dangereux, cette limite pouvant &tre exigée pour un syetome E/E/PE reialit & la ‘sécurité unique; dans ie cas d'un eystéme E/E/PE relatif & la sécurité fonctionnant = dans un mode de faible solicitation, la limite inférieure est fixée & une probabilité moyenne de détaillance de 10-8 afin que les fonctions pour lesquelles le syste a 616 ‘congu soient exécutées lorsqu’etles sont requices, = dans un mode de fonctionnement continu ou de forte solicitation, la limite inférieure est fixde & une probabilité de détaillance dangereuse de 10-° par heure; NOTE - Un eyatime E/E/PE ro a adc unuertnpue pes nfconstement ne acitactue & une sale = adopte une large gamme de principes, techniques et mesures pout la réalisation de la sécurité fonctionnelle des systémes E/E/PE relatts & la sécurité, mais r’utiise pas le concept de sécurité intrinséque qui peut étre intéressant loreque les modes de défalliances sont bien définis et que le niveau de complexité est relativement faible. Le concept de Séourié intrins&que a été considéré comme inadéquat en raison de immense gammo de complexité des systemes E/E/PE relatifs & la sécurité qui entrent dans la domeine application de la présente norme.STD-TEC BLSOA-2-ENGL 3998 BH Y8YHBSD Ob42429 99> Ml 81508-1 @1EC:1998 =19- (ety Integrity levels for spocitying the target ‘evel of functions to be implemented by the E/E/PE safety-related system: = adopts a risk-based epproach for the determination of the safety integrity revel ‘oquirements; = sets numerical target failure measures for E/E/PE safety-related systems which are linked to the safety integrity levels; = sets a lower limit on the target failure measures, in a dangorous made of failure, that can be claimed for @ single E/E/PE safety-related eyetem, for E/E/PE eatety-related systems operating in = a low demand mode of operation, the tower limit is set at an average probabiliy of failure of 10-5 to perform its design function on demand, = A high demand or continuous mode of operation, the lower limit is set at @ probability of «dangerous failure of 10-9 per hour; NOTE ~A single E/E/PE satetyelatd system does rt necessary moan asngle-channe architecture. = adopts a broad range of principles, techniques and measures to achieve functional safoty for E/E/PE safety-related systems, but does not uso the concept of fail safo which may be cof value whan the failure modes are well defined and the level of complexity is relatively Jow. The concept of fall safo was considered inappropriate because of the full range of Compiexity of E/E/PE safety-related ayatems that are within the scope of the standard.STD-TEC bISO--ENGL 1998 MM 484489) Ob9L420 GOS mt =14- 61508+1 © CEI:1996 SECURITE FONCTIONNELLE DES SYSTEMES ELECTRIQUES/ELECTRONIQUES/ELECTRONIQUES PROGRAMMABLES RELATIFS A LA SECURITE — Partie 1: Prescriptions générales 1 Domaine d'application 4.1. La présente Norme internationale traite des aspects & prendre en considération tors de Tutligation de syst@mes électriques/électroniquee/Slectroniques. programmables (E/E/PES) our exécuter des fonctions de sécurité. L'un des objectits majeurs de la présente Norme internationale est de permetite Iélaboration par les comités d'études responsabies des secteurs concernés de Normes internationales spécifiques & chaque secteur application. Cola permetira de prendre en compte l'ensemble des factoure pertinents pour chaque ‘application, et done de répondre aux besoine apécifiques de chaoun de oss secteurs. Un autre des chjectifs poursuivis par_la_présente Norme internationale est de permettre le ‘développement de sysi8mes E/E/PE relatifs & la sécurité en absence évontuelle de Normes internationales pour ce secteur d'epplication, 1.2. En particulier, cette norme 8) s'applique aux systimes relatifs & la sécurité lorsque un ou plus de css systdmes, Comporte des cispositifs élecriques/6lectroniquee/électroniques programmablos; NOTE 3 — En €9 aul concerna las ayetimes E/E/PE reais & in shouts do flbe complex, cortinas Preaonptone decrtes dare la procentenarme pewventne pas Ore nécoetare, et att posible tre oxompts Ge Fa contort avec detain preseapione (vlr en 4.2. eta dtintion d'un eysibme EE/PE roa ta wecurté Ge falble complens en 3.44 dela CEI 81500%4 NOTE 2 Bion qu'une personne physique pulses fire part dun systdmo relat & la sécunts (voc 3.4.1 de la CE) 6608-4, le proseripions sur le lactour humain dane la conception de ayatbmes E/EPE role la edcué 1 soni pas dbtalléee dane cate norm b) est basse génériquement et est applicable & tout systéme E/E/PE relatif& la sécurité") sans Considération de son domaine d'application; ‘¢) anglobe ies risques potenticls dus & des défaillancos des fonctions de sécurité devant atte réalinées par los eysidmes E/E/PE relatifs & la sécurité, oes dorniers étant bien diatincte des risques découlant de l'équipement E/E/PE par’ lui-méme (par exemple chocs Slectriques, etc.); @) rengtobe pas les systems E/E/PE ol ~ un systdme E/E/PE unique est capable de fournir la réduction de risque nécessaire et = Tintégrt6 de sécurité, du systéme E/E/PE, exigée est moindre que celle prescrite pour {o niveau 1 dintégrté de sécurité (niveau d'intégrté de sécurité le plus faible do Ia présente norme). @) traite plus particulidrement des eystdmes E/E/PE relatifs & la séourté dont une défaillance pourrait avoir un Impact sur la sécurité des personnes e¥ou sur environnement; Cependant, il est reconnu que les défaitances pouvent entratner des oonséquences économiques eérieuses, et dans de pareils cas, 1a présente norme pourrait également étre utiliaée pour prescrire tout systéme E/E/PE utilisé pour pratéger 'équipement ou le produit; 1D Par extension, lus aystioee E/E/PE relate bla sécusté seront dénommés sayatimes de sbourté E/E/PE® ‘dane lon atilos suivante,STD-TEC BISOO-2-ENGL 1998 MM MB4NBTL OTN) SHH A 61508-1 © 1EC:1998 ~15- FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE ELECTRONIC SAFETY-RELATED SYSTEMS — Part 1: General requirements 1 Scope 1.1. This International Standard covers those aspects to be considered when slectricaVelectronic/programmable electronic systems (E/E/PESs) are used to carry out safely functions. A major objective of this standard is to facilitate the development of application ‘sector international standarde by the technical committees responsible for the application sector. This will allow all the relevant factors, associated with the application, ta be fully taken into account and thereby maet the specific needs of the application sector. A dual objective of this standard is to enable the development of electrical/electronic/programmable electronic {E/EIPE) satety-rolatod systems where application sector international standards may not exist. 1.2 In particular, this standard 2) applies to safety-reiated systems when one or more of such systems incorporates electricaVelectronic/programmable electronic devices; NOTE 1 ~ in tho contest of low complaxty E/E/PE valty-rolated systems, certain requirements spectied inthis nda may ba onnecessary, and exemption from compliance with such roquremenis ie porebie(eo0 4.2, and {a detrton of wlow complexiy E/EPE aatey-roated system bn .8 4 of IEG 61508) NOTE 2 Although » poreon can form part ofa salely-elate aystem (x80 3.4.1 of IEG 61508-4), human factor ‘quirements related tothe design of E/E/FE safety-related systems are not consigereg in dealin thie standard. b) is generically-based and applicable to all E/E/PE safety-related systems irrespective of the ‘application; " ©) covere possible hazards caused by failures of the safety functions to be performed by EJE/PE safety-related systems, as distinct from hazards arising from the E/E/PE equipment itselt (for example electric shock ©) does not cover E/E/PE systems whore = a single E/E/PE system is capable of providing the necessary risk reduction, and = the required satety integrity of the E/EIPE system is loss than that specified for safety integrity level t (the lowest safoty integrity level in thie standard). ) is mainly concerned with the E/E/PE safety-related systems whose failure could have an impact on the safety of persons and/or the environment; Nowever, itis recognized that the consequences of fallure could also have serious economic implications ans in such cases thie standard could be used to specify any E/E/PE system used for the protection of ‘equipment or product; 1) Applies to Franch tot onlySTD-TEC BASOA~2-ENGL: 1998 MM YSNUASL ObI4Z2 NAO mw -16- 61508-1 © CEI:1998 ) considere les systémes E/E/PE rolatife & la sécurité, los systimes relatifs & la sécurité basés sur d'autres technologies ot les diepositifs externes de réduction de risque afin que la détinition des prescriptions de sécurité pour les systémes EVE/PE rolatife & la sécurité Puisse etre déterminée de fagon systématique en étant basde sur le risque 9) utilise, en tant que cadre technique, un modale de cycle de vie de sécurité global pour traiter, de fagon eystématique, dea actviée & réaliser pour aseurer la sécurité fonctionnelie des systémes E/E/PE rolaifs & la sécurité; NOTE 2 - Lo pramibres phases du moddle doyle de ve de sécurité global Inouent,ndceseacement étude {Tautres echnokogan (an pun See ayatomes E7E/PE rom Ata edcur) ot lee capostiteaxtormen de récunton 4s raquo, do fagan&.se que les setiivora des prescrptore de vacua pout tx eyttmes E/EPE Toute ‘curs pussent ie dterminées Ge fagonoyatmatique en Giant basées ae requ NOTE 4 — Bian que le ocle de ve de efcuré label conceme avant tout let syttnan E/E/PE relate a deur I peut aus! seit de cadre technique pour 'éude de leu eyetime relat a secu, Indéoendamment oa tachnologle employee par ce eytare bu" exomgle mécanique, Mysrauique ou prewmalgie) h) ne present pas les niveaux d'intégrté de sécurité oxigés par secteur d'application (cas niveaux doivent dire basés sur des informations détaliées et une bonne connaissance de application sectorielie). Lee comités d'études responsables dee secieure application spéciiques doivent prescrire, si nécessaire, lee niveaux dintégrté de eécurité dans leurs normes sectorielieg; 1) fournit des prescriptions générales pour les sytémes E/E/PE relatifs & la sécurité qui ne sont pas couverts par une niorme sectoriele; 4) ne trate pas dee précautions qu'll pout dire nécessaire de prendre afin d'éviter que dos Personnes non autorisées ablment, et/ou dient, d'une maniére quelconque, une activité dommageable surla sécurité fonctionnelle des systémes E/E/PE relatifs & la sécurité. 1.3. La présente partie de a CE! 61508 définit les prescriptions générales qui sont applicables ‘A toutes les autres parties. Les autres parties ce la norme CEI 61508 traitent de sujets plus spécifiques: - les parties 2 et 3 fournissent des prescriptions spécifiques et suppiémontaires pour les systémes E/E/PE relatife & la sécurité (pour le matériel et le logicte les définitions et les abréviations qui sont utilisées tout au long de la | partie § fournit des lignes directrices pour Ia mise en cauvre de la déterminstion des intégrité de sécurité, définis dans Ia partie 1, en orésentant des exemples de |e partie 6 fournit des lignes directrices pour la mise en couvre des parties 2 et 3; ‘a partie 7 contient une présentation des techniques et des mesures. 1.4 Los parties 1, 2,3 et 4 de la présente norme sont des «publications fondamentales de sécurité, bien qué ce statut na s‘applique pas dans le cas de systémes E/E/PE de sécurité de faible complexité (voir 3.4.4 de la partie 4). En tant que publications fondamentales de séourté, elles sont destinées a tre utilisées par tous les oomités d'études pour la mise au point de leurs normes, conformément aux principes déorits dans le Guide CEI 104 et dans le Guide ISO/CE! 51. Vuno des responsabiliés d'un comité @@tudes est, chaque fois que cela peut s'appiique utiliser les. publications fondamentales de sécurité pour préparer ses tions. La CEI 61508 est également prévue pour une utilisation en tant que [NOTE ~ Aux Etaa-Unis a'Amérique ot av Canada, les normes nationsies do séourié bandos sur it CE! 61608 (par exemple TANSIIGA $84.01-1996, vow raterence (6) ppliquées dan le domaine des processus, A ia place de \a CE! 81508, et cela jusqua ce que ies normes Imemationales concernant Ia mioe en oeuvre de a CEI 61508 dans le domaine des processus eolent pubis. 1.8 La figure 1 montre ia structure générale des parties 1 & 7 de la CE! 61508 et indique le réle que 't CEI 61508-1 joue dans Ia réalisation de la sécurité fonctionnelle pour lee systémes BIEIPE relatifs &la sécurité.STD.TEC bISUS-3rENGL 2998 MH HSUNBSL OLILNES 327 61508-1 © JEC:1998 a1 f) considers E/E/PE safety-related systems, other technology safety-related systems and isk reduction facilities in order that the safety requirements specification for the E/E/PE safety-related systems can be determined in a systematic, risk-based manner, 9) uses an overall safety ifecyole model as the technical framework for dealing systematically the activities necessary for ensuring the functional safety of the E/E/PE safety-rolated NOTE 3 ~ Tho early phasoe of the overall safety Macyce include, of necessity, consideration at eter technology (as wall as the E/E salely-rolted eysiome) and extemal rok seduction ieciitfes, Im ordor ta! the safly requirements specication for tha E/E/PE aafety-relaled eterna can be Guveoped in @ eyetomatc,Hak-basod NOTE 4 — Athough the overall eafaty eevee i primary concerned with E/EIPE salty slated eyusme, It coud ‘lo provid mooie! iramework fr the consideration of ay eafetyroaled system ireqpacive oe ter Palogy ‘ofthat syetem (lor example mochanloa, hydraulic or pneumatic). fh) dows not specify the safety integrity levels required for sector applications (which must be based on detailed information artd knowledge of the sector application). ‘The technical ‘committees responsible for the specific application soctore shell specify, where appropriate, the safety integrity levels in the application sector standards; |) provides general requirements for E/E/PE. safety-related systems where no application sector standards exist; 1) does not caver the precautions that may be necessary to prevent unauthorized persons. damaging, and/or sthorwise adversely affecting, the functional safely of E/E/PE safety- related systems. 4.8 This part of IEC 61508 specifies the general requiréments that are applicable to all parts. Other parts of IEC 61508 concentrate on more specific topics: = parts 2 and 3 provide additional and specific requirements for E/E/PE safety-related systems (for hardware and software); = part 4 gives definitions and abbreviations that are used throughout this standard — part § provides guidelines on the application of part 1 in determining safety integrity le by showing example methods ~ past 6 provides guidelines on the application of parts 2 and 3; ~ part 7 contains an overview of techniques and measures 4.4 Parts 1, 2, 3 and 4 of this standard are basic safety publications, although this status does ot apply in the context of low complexity E/E/PE safety-rolated systems (see 39.4.4 of part 4). ‘As basic safely publications, they are intended for use by technical committees in the preparation of standards in accordance with the principles contained in 1EC Guide 104 and ISOMEC Guide 51. One of the responsibilities of a technical committee is, wherever applic to make use of b ty publications in the preparation of its own publications. IEC 61508 is also intended for use as a stand-alone standard. NOTE - In tho USA and Canade, unt the proposed proceas sector implamanttion of IEC 61808 i published Intemational standard in the USA and Canada, oxsting national procese saletystancarde based on IEC 61808 ‘ANSIISA 884,01-1996) (800 rterance [6] In annex C) can D6 appled To the Process sector instead 3 EC 61508, 41.8 Figure 1 shows the ovorall framework for parts 1 to 7 of 1EC 61508 and indicates the role that IEC 61508-1 plays in the achiovement of functional safety for E/E/PE safety-related systemsSTD-TEC 62508-3-ENGL 2998 MM 484489) O92424 253 mm -18~ 61508-1 © CEI:1998 gobelee edcurhé (concept, afintion du domal ‘application, ansiyes de danger ef de Haque) (Systhmes E/EPE alata bia ‘cur, eyatbnan reat ha adeurtié "bande aur autres technologies, ot clepcatts externas ce réduction de Tins hors service ou au rebut dee’ Jeyetimes E/EIPE relate a la sdcuris| 71587.17 Figure 1 ~ Structure générale de ta présente norme:STD-TEC bDSG&-1-ENGL 2998 MM YBYNBI2 ObID425 1AT A 61508-1 © JEC:1998 -19- epstieseca PARTY commissioning ‘and safety validation of E/PE oatetyrolsted systems zagand 7.16 ==" | (Pan Operation and maintenance, ‘modieatlon and rato, ‘decormmisianing or diaposal of EVE/PE aatety-related aystome 7:18 t0 7.47 Figure 1 - Overall framework of thie standardSTD-TEC bLSOA-2-ENGL 2998 MM 484489) ObILH2E eb ~20- 1508-1 © CEI:1998 2 Rétérences normatives ‘Les documents normatifs suivants contiennent des dispositions qui, per suite de la référence Qui y est faite, constituent des dispositions valables pour la présenie partie de la CE! 61608. Pour les références datées, les amendements ultériours ov les révisions de ces publications ne appliquent pas. Toutefol, les partioe pronantes aux accords fondés sur ia présente partie de {a CE! 61608 sont invitées & rechercher la possibilté d'appliquer ies édiions les plus récentes des documents normatits indiqués ci-aprés. Pour los rétérancos non datées, la demiére dition du document normatit en rétérenco s‘applique. Les membres de Ia CE! et de 11SO possddent le registra des Normes internationalos on vigueur. ISO/CEI Guide 51:1990, Principes directeurs pour inclure dans les notmes les aspects liés @ la sécurité CEI Guide 104:1997, Guide pour Ja rédaction des normes de sécurié et réle des comités ‘chargés do fonctions pllotes de sécurité et de fonctions groupdes de sécurité CEI 6180-2, — Sdreté fonctionnelie des systemes. dlectriques/lectroniques/électroniques Programmebies relatis a la sécurité - Partio 2: Prescriptions pour les systémes ‘Siectriques/électroniques/électroniques programmables relate a la séourité 1) ‘CEI 61508-3:1998, Sdreié fonctionnolle des systémes éiectriques/éioctroniques/Slectroniques Programmables relatifs & la sécurité - Partie 3: Prescriptions conesmant les logiciels, CEI 61508-4:1998, Sdreié fonctionnelle des systémes élactriques/4lectroniques/siectroniques programmables reiatifs & la sécurité - Partie 4: Définitions et abréviations CEI 61508-5:1998, Sdreté fonctionnelle des systémes dlectriques/électroniques/électroniques programmables relatits & ia sdcurité ~ Partie 5: Exemples de méthodes de détermination des niveaux d'intégrité de sécurité CEI 61508-6, — Sdreté fonctionnelle des systémes Sloctriques/éiectroniques/blectroniques: programmable relate & la sdcurté - Parle 6; Lignes drecrices pour application des paces 2 39 CEI 61508-7, — Sdreté fonctionnalle des systémes i erogrammables relatifs & la sécurité — Partie 7: Présentation de techniques ot mesures ') 3. Définitions et abréviations Pour lee besoine de Ia présente Norme internationale, ies défintions et abréviations données dans la partie 4 s'appliquent. 1). punter.STD. TEC bLSOS-1-ENGL 2998 Mi 484489) 0491427 The mw 61508-1 © 1EG:1998, ~21- 2 Normative references ‘The following normative documents contain provisions which, through reference in this toxt, ‘constituta provisions of this part of IEC 61508. For dated references, subsequent amendments to, oF rovigions of, any of these publications do not apply. However, partes 10 agreements based on this part of IEC 61508 are encouraged to investigate the possibilty of applying the most recent editions of the normative documents indicated below. For undated references, the latest edition of the normative document referred to applioe. Mamibers of IEC and ISO maintain registers of currently valid international standards. ISO/IEC Guide 51:1990, Guidelines for the inclusion of safety aspects in standards IEC Guide 104:1997, Guide to the drafting of safety standards, and the role of Committees with safety pilot functions and safety group functions IEC 61508-2, — Functional safety of sleciricaVlectronical/programmable electronic satety- related systems — Pari 2: Requirements for electricavelectronicalprogremmable electronic safety-related systems 3) IEG 61508-9:1998, Functional safety of electricaVelactronicallprogrammable electronic satety- related systems - Part 8: Software requirements IEC 61508-4:1998, Functional safety of olectricavelectronical/programmable electronic safety- related systems ~ Part 4: Definitions and abbreviations IEC 61508-5:1086, Functional salety of electricaVelectronical/programmabie electronic safety- related systems — Part 5: Examples of methods for the determination of safety integrity levels 1EC 61508-6, — Functional sefety of electricaVvelectronicaV/programmable electronic salety- related systems ~ Part 6: Guidelines on the application of paris 2 and 3 +) IEC 61808-7, — Functional safety of electricaVelectronica/programmable electronic satety- related systems — Part 7: Overview of techniques and moasures 2) 3 Definitions and abbreviations For the purposes of this standard, the definitions and abbroviations given in part 4 apply. 2) To be published,STD-TEC LESOS-3-ENGL 1958 MM YAN4ST Ob90426 979 Me -22- 61808-1 © CEI:1998 4 Conformité & Ia présente Norme internationale 4.1 Afin de se conformer a la présente Norme internationale, il doit étre démontré que ies prescriptions ont été remplies pour critére preserit spécifié (par exemple, le niveau Eimégrts de sécunté), et que, par conséquent, pour chaque article ou paragraphe, tous les odjectifs ont 616 atteints.. NOTE — 1 ret ginéraloment pas possiie ge choir chaque tateur qu ditemine Je niveau augue! une Preccrgion Sew Ste rospactée(rveau dengue). Ce choix dapenden dun earn nombre de acture, ul Powvert Gopanare sucmames de (ensemble dee pases ct cinine saciiquee a eyle Ge Wie de secure tl Fogle ov das syutbmee SIE. Ces fetaur compronoon: = Ia réguction dee aquest das conséquences; = Wanatyre das dangers; = leniveau e'intégté de abou; ~_ latyp0 do tchnologle de mise an couvre; ~ lata dos eystimes; = lenemere céuipes impligubes; = lnrdparition physique; inaté dota conception. 4.2 La présente norme spécifie 128 prescriptions pour les syetomes de sécurité E/E/PE et a 616 développée pour couvrir tous les niveaux de complexité possible da ces sysidmes. Cependant, pour les systémes da sécurité E/E/PE de faible complexité (voir en 3.4.4 de la CE! 61508-4) oi une solide expérience de terrain apporte la confiance nécessaire pour assure que Tintégrité de sécurté prescrite puisse étre réalisée, les options sulvantes sont envisageables: = dans les normes de secteurs d'application mettant en cBuvre les prescriptions do la ‘CEt 61508-1 a ia CEI 61508-7, certaines prescriptions de la présente norme peuvent ne as @tre néceaeaires, ot il est acceptable d'étre exempté de conformité avec de telles prescriptions; = slia présente norme est directement utlisée dans les cas ot it n’existe pas de Normo internationale pour co secteur d'application, certaines prescriptions spécifiées dans ta présente norme peuvent ne pas dtre nécessaires et l'exemption de conformité avec de tolles prescriptions est acceptable & condition d'étre dament justitiée. 4.3 Los Normes internationales par secteur d'application pour tes systemes de séourité E/E/PE développées dans le cadre de Ia présente norme doivent prendre en comple les prescriptions du Guide ISO/CE! 51 et du Guide CE! 104. 5 Documentation 5.1 Objectite 8.1.1. Le premier objectit dos prescriptions de cet article ast de spécitior information qu’ sera nécessaire de documenter afin que toutes les phases du cycle de vie global du systéme E/EIPE et du logiciel puissent s'accompli efficacement.STD-TEC BUSOS-2-ENGL 2998 MM YBN4SGL OBILES 835 Ml 61508-1 © 1EC:1998, -23 4 Conformance to this standard 4.1. To contorm to this standard it shall be demonstrated that the requirements en Satisfied to the required criteria specitiad (Tor example safety integrity level) and theretore, for teach clause or subelause, all the objectives nave been m 's not gonerally poesia to single cut any ane facto that dotormines tho dogree to which a requirement ead (depr08 of goun. It wll be dependant upen a numberof Yaotora wrig, thomesive, may depend ‘Upon the epectte ovaral, E/E/PES or sofware satey lfacyete phase and actty The factors wh nade: nature of the nazarte: —sateyntgiy tv = ype of mpamenan twonnoogy = sizeof esters: — umber of ots involved: ~ physica etrouton; = novel of dos 4.2. This standard epecifies the requirements for E/E/PE safety-related systems and hes been developed to meet the full ange of complexity associated with such systems. However, for low complexity E/E/PE safety-related systems (see 3.4.4 of IEC 61508-4), where dependable field experience exists which provides the necessary confidence that the required safety integrity ‘can be achieved, the following options are available: = in application sector standards implementing the requirements of IEC 61508-1 to IEC 61508-7, certain requiramonts may be unnecessary and exemption from compliance with such requirements is acceptable his standard is used directly for those situations where no application sector intemational standard oxists, certain of the requirements specified in thie standard may be unnecessary ‘and exemption’ from compliance with such requirements is acceptable providing this is justified. 4.3. Application sector international standards for E/E/PE safety-related systems developed ‘within the framework of this standard shall take into account the requirements of ISO/IEC Guide 51 and IEC Guide 104, 5 Documentation 5.1 Objectives 6.1.1. The first objective of the requirements of this clause Is to specify the necessary information to be documented in order that all phases of the overall, E/E/PES and software salety fecycles can be effectively performed.STD-TEC bLSOS-2-ENGL 2998 MM MAUYATL OLALH3O S57 BM ~2A~ 61808-1 © CEI:1998, 5.1.2 Le second objectit des prescriptions de cat article est de spécifier l'information quill ‘sera nécossaira de documenter afin que les activités de gestion de la sécurité fonctionnelle {Goi article 6), de véricaton (oir 7.18) et valuation de la asculéfoncionnels (vel arle 8) uissent #eccomplir efficacement. NOTE 1~ Les prescriptions de docuentaion de la présente norme se rapporient, eaentolloment, &Vinformation fn tant que tele phitét qu’aur documents phyeieues. Linformalion peut ne fire pare aucun document, eeu Creel exlictement indigus dan le paragenane =} Tapporan. NOTE 2 - La documentation put ave capone sous déranie formes (par exampb ut pape, im, ou tout pporcedonnde ovata tensor soa) - NOTE 3 ~ Vol annexe A pour des exemplas d@ structure de documentation, NOTE 4 ~ Vole auae! le r4térence [4] & rannensC. 5.2 Prescriptions 5.2.1 Pour chaque phase réalisée du cycle de vie de sécurité global du systéme E/E/PE et du ph la documentation doit contenir l'information nécessaire et suffisante a la réalisation ‘efficace des phases suivantes et des activités de vérification. NOTE ~ Ce que fon entand par sinfemation sufisanies dépend d'un certain nombre de facteurs, dont I Depa ti tlle cu eyetime do sécurhé EIEIPE ot lox present Sdpercent cos apéctictte. de Fapetieaton, 5.2.2 La documentation doit contenir l'information nécesssire et suifisante pour la gestion de Ia sécurité fonctionnelle (article 6). NOTE - Vow notes an 6.1.2. 8.2.3 La documentation doit contenir lnformation nécessaire et suffisante ia mise en aauvre ot & Mévaluation de la sécurité fonctionnelie, ainsi que tinformation et les résultats provanant de toute évaluation de la sécurité fonctionnelle. NOTE - Voir noes on 6.12. 5.2.4 Saut justification contrairs donnée dans ta planification de la sécurité fonctionnelle ov ‘auf spécifieation contraire dans la norme dapolication seotoriell, information & documentar doit atte tello que mentionnée dans les divers articles de 'e présente norme. 5.2.5 La disponibilits do la documentation doit tre suffisanto pour permetire Faccomplissement dee activités dans le respect des articles de la présente norme. NOTE - Le pernonne (physique ou mol) appropriée sia besoin de détnie que Tinfommation stictent rdcesaaic 1a ralaaion dune acts aotorming, prosoite pata prooente nore, 5.2.6 La documantation doit = ttre concise et précis = tre facile & comprendre par les personnes qui devront utiliser, — correspondre & son object; 5.2.7 La documentation ou les ensembles d'informations doivent comporter des tres ou des ‘noms indiquant {e domaine dapplication de laurs cantenus, et poseéder un syste cindex parmettant un accée rapide aux informations prescrites dans la présente norme. 5.2.8 La structure de la documentation peut tenis compte des procédures de rentraprise et des habitudes de travail de sacteurs d'application spécifiques. 5.2.9 Les documents ou ensembios d'informations doivent comporter un index de révision {ouméros de version) permettant c'identifier los différentes versions d'un m&me document.STD-TEC b}S08-1-ENGL 1999 MM-484489% Ob9L432 493 me 61508-1 © IEC:1998 -25- 5.1.2 The second objective of the requirements of tris lau information to be documented in order that the management of vorification (see 7.18) and the functional safety assessment ( otfectively perlormed. is to specity the necossary tional safety (see clause 6), ‘clause 8) activities can be NOTE 1 ~ The documentatn requirements in tie standard are concaened, essentaly, with information rather than plea! documents. The information need nt be coined in phyla! documents Utors fe expllyCaneed {nthe rlevant eubeiauae. NOTE 2 ~ Documentation may be avalable indifferent forms (fr example on papa, fm, or any data medium to be prosantod on soreens or plays). NOTE 3 ~ S0e annex A concerning possible documentation structure. NOTE 4 ~ 809 reference [4] in annex C. 5.2 Requirement 6.2:1._The documentation shall contain sufficient information, for each phase of the overall, E/E/PES and software safely lifecycles completed, necessary for effective performance of suosequent phases and vertication activities. NOTE - What consinutes. sufclnt information will be dependent upon a number of factors, Including the ‘complexity and size ofthe E/E/PE safety-related eystame and tho requirements ralalng to the apace application 5.2.2 The documentation shall contain sufficient information required for the management of functional safoty (clause 6). [NOTE - See notos to 6.1.2 5.2.3 The documentation shall contain sufficient information required for the implementation of a functional safety assessment, together with the information and results derived from any funetionai safety assessment. NOTE - See notes 1081.2. 5.2.4 Unless justified in the functional safety planning or specified in the application sector standard, the information to be documented shall be as stated in the various clauses of this standard, 5.2.5 The availability of documentation shail be sufficient for the duties 10 be performed in respect of the clauses of this standard. [NOTE ~ Only the information necessary 19 undertake a partcu'ar activity, requirad by tls standard, nod be hele Dy each relevant party. 5.2. ‘The documentation shall = be accurate and conci be easy to understand by those persons having to make use of it; suit the purpose for which itis intended; ~ be accessible and maintainable. 5.2.7 The documentation or sot of information shall have titles or nares indicating the scope of the contents, and some form of index arrangement so as to allow ready access to the information required in this standard 8.2.8 The documentation structure may take account of company procedures and the working practices of specific application sectors. 5.2.9 The documents or sot of information shall hava a revision index (version numbers) to ‘make it possible to identity different vorsions of the document.STD-TEC bYSOS-2-ENGL 2994 MH 4A4489L OLILN32 327 Me -26- 61508-1 © CEI:1998, 52.10 Les documents ou ensembles dinformations doivent tre structurés de fagon & ermettre 1a recherche d'information pertinente. i doit étre possible didentiier ta demiére révision (version) d'un document ou d'un ensembie c'informations. NOTE ~ Lorganisaton praique de fa documentation seca fonction dun certain nombre de facteurs, comme Ia ‘mension du aysiéme, va compleaité eu encore ix prescriptions en mative rgariaation, 5.2.11 Tous les documents pertinents doivent faire l'objet de révisions, d'amendemer revues ot d'approbations, cela dans le cadre d'un plan approprié de contréle des documents. NOTE — Loreque des outis de production automatique ou som-auiomatique de Ya documentation sort uiliaé, doe Drocédures spéciaien pauvert iro Aécaesaires pour tassuror que doe mecures eivances pour ta gestan dee ‘ersions ou dautres aepects du contdle dee documenta sont en pc. do 6 Gestion de Ia sécurité fonctionnetie 6.1 Objectita 6.1.1 Le premier object des prescriptions de oot article ost de spéciier les activités techniques et de gostion qu'il sera néceasaire de réaliser pendant les phases du.cycle de vie global des logiciels et systbmes E/E/PE pour garantr la sécurité fonctionnelte prescrite dee systimes de sécurité E/E/PE. 6.1.2 Le second object des prescriptions de cet articie est de epécilier las responsabiliée services et organisations responsables pour chaque phase du cycle de vie systémes E/E/PE ou pout les activités comprises dans chaque phase. [NOTE ~ Los mesures d'orgerisation dont rate cat article permettert ta mise on auvre eicace des prescritions ‘wchniques at ont pour unique but laréaiaton ot le mainion de[e adcuris fonclonnele des eystemes de eGouré EVE/PE, Lou presriptions techniques nécessaies pour mainten la sécuMté fonclonnelle doWent eocmalement etre ‘spéotiées dane une parte do la coeumentation donnée parle fourrlapeur du eyetbme de ebouré E/EIPE. 6.2 Prescriptions €.2.1 Les organiames ou les individus qui ont une responsabilité globale pour l'une ou plusieurs des phases du cycle de vie de sécurité global des logiciels ou systémes E/E/PE, doivent, & "égard dee phases pour leequalles ils ont une responsabilité globale, epécifier toutes 4s activités tachniques et de gestion qui sont nécessaires pour s‘assurer que los sysi8mes de sécurité E/E/PE réalisent ot maintionnent la sécurité fonctionnelle presorite. En particulier, il convient qua les éléments suivants soient pris en considération: 4) a politique ot la stratégie pour résliser la sécurité fonctionnelte, y compris les moyens pour Gvaluer 88 réalisation, et les moyens de communication au sein des organisations ermettant d'obtenir une culture de sécurité du travail; 1) [identification des personnes, services et autres organisations qui sont responsables de ‘rexécution ot do la revue des phases appropriées du cycle de vie global de sécurité des logiciels ot systémes E/E/PE (y compris, iocsque c'est utile, les administrations <'autorisation ou les organismes de régiementation de ‘a sécurité); ©) les phases du cycle de vie de sécurité global des logiciels ou eystemes E/E/PE devant etre appliques . 4) a fagon dont Finformation doit étre structurée et 'étendue de information devant étre documentés (voir article 5); @) los mesures choisies et lee techniques ulliséos pour satisfaire aux prescriptions d'un artiole ou d'un paragraphe déterminé (voir CE! 61508-2, CEI 61808-3 ot €1508-6); 4) les activités c'évaluation de la séourité fonctionnelie (voir article 8);STD. TEC bLSO8-2-ENGL 1998 MM 484489) 0652493 2b Ml 61508-1 © IEC:1998 ~27- 6.2.10 The documents or set of information shall be 0 structurod as to make it possible to rch for relevant information. It shall ta possible to identity the latest ravision (version) of a document or get of information. NOTE ~ The physical etroture ofthe documentation wil vary deperding upen & number of factors such ae the size Of the syater, ts complaiy and organizational requiomenis 5.2.11 All relevant documents shall be revised. amended, reviewed, approved and be under the control of an appropriate document control scheme. NOTE — Where aufomatic or semiautomatic tools ato used for the production of documenttion, specie ‘Brecedures may be neceusary to ensure effective mousures aro in placa for the management cf varslone or other ‘onirl aspects af ha documaats 6 Management of functional safety 6.1 Objeatives 1 The first objective of the requirements of this claus city the management and technical activities during the overail, E/E/PES and software safaty lifocycla phases which ar necessary for the achievement of the required functional safety of the E/E/PE safety-related systems. 4.2 The second objective of the requirements of this clause is to specify the responsibilities of the persons, departments and organizations responsible for each overall, E/E/PES and software safety ifecycie phase or for activtios within each phase. NOTE ~ The organizational moeeuroe dealt with in this clause provide for the effective implementation of the peciiod as part ofthe information provided by he supplier of the E/EIPE eatety-rlated system 62 Requirements 6.2.1 ‘Those organizations or individuals thal heve overall responsibilty for one or more phases of the overall, E/E/PES or software safety itecycles shal, in respect of those phases for which they have overall responsiblity, specify all management and technical activities that ‘ae necessary to engure that the E/E/PE safety-related systems achieve and maintain the Yequired functional safety. In particular, the following should be considered: fa) the policy and strategy for achieving functional safety, togethor with the means for ‘evaluating its achievement, and the means by which this is communicated within tna organization to ensure a culture of safe working; ) identification of the persons, departments and organizations which are responsible for ‘carrying out and reviewing the apaliceble overall, E/E/PES or sottware safely ifecycle phases (including, where relevart, licensing authorities or safety regulatory bodies); €} the overall, E/E/PES or software safety ifocyclo phases to be applied; 4) the way in which information is to be structured and the extent of the information to be documented (800 clause 5); @) the selected measures and techniques used to meet the requirements of a specified claus or subslause (seo IEC 61500-2, IEC 61508-3 and 61608-6);, 4) the functional safoly assessment activities (eee clause 8);STD«TEC bUSD8-3-ENGL 1998 MH 4844892 0692434 172 am -28- 61508-1 © CEI:1990, @) les procédures permettant d'assurer rapidement un suivi et une prise en compte Satisfalsante des recommandations ayant trait aux systimes de sécurité E/E/PE, ot Provenant de = analyse de danger et de risque (voir 7.4); {'évaluation de la sécurité fonctionnelle (voir article 8); {os activités de vérification (voir 7.18); {os activités do validation (voir 7.8 et 7.14}; la gestion de configuration (voir 6.2.1 0), 7.16 et la CE 61808-2 ainel que ls CE! 81508-9; procédures permettant de s'assurer que les personnes appropriées, impliquées dans Tune quelcenque des activités du cycie de vie de sécurité global des logiciels ou systémes E/E/PE, sont compétentes pour réaliser les activités dont elles sont responsables; en particulier, il convient de epécifier os qui sult: — la formation du personnel pour fe diagnostic et Ia réparation des détauts ot pour le test du syste; = la formation du peracnnel d'exptoltation; = ta formation continue du personnel a intervalies réguliors; NOTE 1 ~ Liannexa 8 fourit des lignes crecticos aur lea prescriptions de compétence des gone impliquse dane une queiconque dee activiée du cyole do ve de agcumlé gious! dee logloiele ou eyetbmse E/EIPE. 1) 498 procédures pour que les incidents dangereux (ou les incidents pouvant potentieliement ‘order un danger) soient analyeds, et que des recommandations eolent faites pour minimiser la probebilté de réapparition; 1) les: procédures. analyse des performances en exploitation et on maintenance. En Particulier les procédures pour = raconnattre les défauts systématiques qui pourraient compromettre ia sécurité fonctionnelle, y compris les procédures utilisées pendant ja maintenance systématique ui permettent de détacter les détauts cyciiques; = évaluer si les taux de solicitations ot les taux de panres pendant I‘exploltation ot la ‘maintenance sont conformes aux hypothases faltes pendant la conception du syetéme; 108 prescriptions pour des audits périodiques de la sécurité fonctionnelle, conformément & 8 paragraphe, inciuant = la fréquence des audits de sécurité fonctionnelle; = 1a considération du niveau d'indépendance nécessaire pour les responsables des audits; = a8 activités de documentation et de suivi; 1) les procédures pour intier des modifications aux eystames da sécurité (voir 7.16.2.2), ') la procédure approbation et d'autorisation prescrite pour les modifications; 1) les procédures pour maintenir une information précise sur les dangors potentials et los syatames de sécurité 0) Jes procédures pour ta gestion de configuration des systémes de sécurité E/E/PE pendant du cycle de vie de sécurité global des logiciels et syst8mes E/E/Pt convient de epéoifiar ce qui suit: = [étape ot! un contrdle forme! de configuration doit étre mis en couvre; = les procédures devant étre utilisées pour identifier de fagon unique chaque partie ‘6iément (matériel ou fogicie!); = tee procédures pour éviter que des éléments non autorieéa n’entrant en service; NOTE 2 ~ Pour de plue amples détala eur Ia getlon de configuration, volt le rétéroncee [7] et 8) & Yennexe C. ) lorsque cela est pertinent, les dispositions de formation et d'information pour les services d'intervention turgence.STD. TEC $2508-1-ENGL L998 MM 484489. 0692435 035 61508-1 © 1EC:1998 ~29- 9) the procedures for ensuring prompt follow-up and satisfactory resolution of recommendations relating to E/E/PE safety-related systems arising from hazard and risk analysis (see 7.4); ‘functional safety assessment (see clause 8}, ~ verification activities (see 7.18); validation activities (see 7.8 and 7.14); = configuration management (se 6.2.1 0}, 7.16 and IEC 61508-2 and IEC 61508-3y, 1) tho prosoduos for eneurng that eppzabe parties invoived in ay of the overal, E/E/PES oftware eafely ifecycle activities are competent to carry out the activities for which they countable; In particular, the following should be spectfied: = the training of staff in diagnosing and repairing faults and in system testing; — the training of operations staff; the retraining of staff at periodic intervals; NOTE 1 - Annox B provides guidelines on the competence requirements of those involved in any overal, E/E/PES ‘or software aaety iecycle act 1). the procedures which ensure that hazardous incidents (or incidents with potential to create. hazards) are analysed, and that recommendations made to minimise the probability of a repeat occurrence: J) the procedures for analysing operations and maintenance performance. in particular procedures for = recognising systematic faults which could jeopardise functional safely, including procedures used during routine maintenance which detect recurring faults; = assessing whether the demand rates and failure rates during operation and maintenance are in accordanco with assumptions made during the design of the system; k) requirements for periodic functional safety audits in accordance with this eubclause including = the frequency of the functional safety audite; = consideration ax to the level of independence required for those responsible for the audit = the documentation and follow-up activities; 1) the procedures for initiating modifications to the safety-related sysioms (eee 7.16.2.2); 1m) the required approval procedure and authority for modifications; 1) the procedures for maintaining accurate information on potential hazards and safety-related systems; ©) the procedures for configuration management of the E/E/PE sefety-related systems during the overall, E/E/PES and software safety ltecycie phases; in particular the following should bbe speciti — the stage at which formal configuration control is to be implemented; = the procedures to be used for uniquely identifying all constituent parts of an item (hardware and software); = the procedures for preventing unauthorized items from entering service; NOTE 2 Fer more dtaile on configuration management see relerancee (7) and [8] in annex C. ) where appropriate, the provision of trairing and information for the emergency vices.STD-TEC b3S08-2-ENGL 1998 MM YB4YS4 GLIL43b T7S A -30 61508-1 © CEI:1998 6.2.2 Les activités spécifides suite & 6.2.1 doivent étre mises on cauvro et leur avancement doit étre aurveillé. 6.2.3 Los presoriptions développées suite & 6.2.1 doivent étre revues de maniére formelle par ‘es organismes concemés et doivent faire robjet d'un accord. 8.2.4 Toute personne spécifiée comme étant responsable pour Ia gestion des activités de ‘sécurité fonctionnelle doit &tre informée des responsabilités qui lui sont assignées. 2.5 Les fourisseurs offrant des produits ou services & une organisation ayant une responsabilité globale pour 'une ou plusieurs des phases du cycle de vie de sécurité global des logiciels ou systtmes E/E/PE (voir 6.2.1) doivent délivrer leurs produits ou services comme ‘cola eat prescrit par cette organisation et doivent posséder un systéme de gestion de la qualité ‘approprié. 7 Prescriptions relatives au cycle de vie de sécurité global 71 Généralités 7A Introduction 71.1.1. Afin de traltar de fagon eystématique de toutes jes activités nécessaires pour assurer lo niveau d'intdgrité de sécurité prescrit pour tos systbmes E/E/PE relatifs & la aécuré, Ia présente norme @ choiei un cycle de vie de sécurité global (voir figure 2) comme cadre technique. [NOTE — Pour Ia déctaration a oonformité& in présarte norm, I convent cullser comme base fe oyce de vie do ‘beurté global, mals un cyclo de vie de edcurhé global diféront do colul décrt dans la igure 2 peut dire ules, ‘ane Ia mesure oU Tos prescriptions de chaque arc de Ia présente norme sont ramptes, 7.1.1.2 Le cycle de vie de sécurité global englobe les mesures suivantes de réduction des risqu = syatomes do sécurité E/E/PE; = Byatomes de sécurité basés sur d'autres technologies; = dispositifs externes de réduction de 7.1.1.3 La portion du cycle de vie de sécurité global qui concerne les systdmes do sécurité E/E/PE eat présentée da fagon détalliée a la figure 3. Elle sera appelée ~oycle de vie de ‘sGourité du systéme E/E/PE: et forme le cadre technique pour la CE! 61508-2. Le cycle de vie de sécurité du logiciel est présenté A la figure 4 et forme le cadre technique pour ia CEI 61508-3, La relation entre le cycle do vie de sécurité global et les cycles de vie do sécurité du logiciel ot des eystémes E/E/PE, pour les systémes relatifs & la sécurité, ast préseniée a la figure 6. 7.1.1.4 Les figures du oyole de vie de sécurité global du logiciel ot des E/E/PES (Vigures 2 & 4) sont, dea yues,spndes de, a rial ot re, moréeantent done pao tee le, irl ‘correspondant & des phases particulidres ou ontre cortainas phaser Vitération est tne partie essentiele et ville dun développement qu utlee les cycis de vie de sécurité globaux des E/E/PES ot du logiciel. 7.1.1.8 Les activités relatives & Ia gestion de la sécurité fonctionnelie (article 6), & a verification (7.18) et & Mévaluation de la sécurité fonctionnelle (atticle 8) ne sont pas représentées sur les cycles de vie de sécurité giobaux des E/E/PES ou du logiciel. Ce choix a ‘4t6 fait pour réduire Ia complaxité des figures du cycle de vie do sécurité global du logiciel et dos E/E/PES. Lorequ'allee sont presctites, ces activiés nécessiteront détre appliquées & toutes le8 phases appropriées des cycles de vie de sécurité globaux des E/E/PES et du logiciel.STD. TEC bLSOS-L-ENGL 2598 MH YA44B5) Ob90437 902 Mt 61508-1 © IEC:1998 -31- 6.22 The activities specified as a result of 6.2.1 shall be implemented and progress monitored, 62.3 The requirements developed as a result of 6.2.1 shall be formally reviewed by the ‘organizations concerned, and agreement reached. €2.4 All those specitied as responsible for management of functional safety activi Informed of the responsibilities assigned to them. shalt be 6.2.8 Suppliers providing products or services to an organization having averall responsibilty for one or more phases of the overall, E/E/PES or soft tety cycles (see 6.2.1). sha deliver products of services 8 specified by that organization and shall have an appropriate {quality management system. 7 Overall safety lifecycle requirements 7.1 General 7A Intradustion 7.4.1.1. In order to deal in systematic manner with all he activities necessary to achieve the required safety integrity jovel for tne E/E/PE safety-rolatod system, this standard adopts an overall safety Itecycle (800 figure 2) as the technical framework. NOTE ~ The overall eafety Mecylo should be used as a basi for laming conformance to this standard, but a (phasse) eptoriques do le figure 2. La case Correopondante eat prclage dane ine note au début dee paragraphes. 74.2.2 Pour toutes les phases du cycle de vie de sécurité global, le tableau + indique = es objectifs & atteindro; = 10 domaine «application de ta phase; la référence du paragraphe contenant les prescriptions; les données c'entrée exigées par la phase; = les données de sortie exigées pour étre conforme aux prescriptionSTD-TEC BLSOS-1-ENGL 1998 MM 484489) ObI2NN3 105 Ml 61508-1 © 1EC:1998 ‘Box 0 of overall ‘atoty tiscycte (200 figure 2) ‘ao tesse Figure 5 ~ Relationship of overall sataty lifecycle to E/E/PES and software safety litecyciox 7.1.2 Objectives and requirements: general 7.4.2.1 The objectives and requirements for the overall safety lifecycle phases are contained In 7.2 to 7.17. The objeciives and requirements for the E/E/PES and software safety lifecycle phases are contained in IEC 61508-2 and IEC 61508-3 respectively. NOTE - 7.2 107.17 relate to spocific boxes (phasns} In figure 2. Tha epeciic box is reterenced in notes to these subervean. 7.4.2.2 For all phases of the overall safety itecycla, table + indicatos ~ the objectives to be achieved; = the scope of the phase; ~ the reference to the subclause containing the requirements; the required inputs to the phase: the outputs required to comply with the requirements.STD.TEC bLSOA-2-ENGL 32998 MM 48U4892 OLF2444 OUD mm -38- 61508-1 ©. CEI:1998, ‘Tableau 1 ~ Cyele de vie de sécurité global: vue d'ensemble ‘Phase du cycle de ours wundéro | Titre Objectite Domeine Joma] Etro Sorties ‘oe ” figure 2 1 [concent |7z IEEUC staensnvrr-| "727 [Tout iarmaton|Wvomatn bavelcpper ut niveau do Inement (pnysique, |approprise néces- fobtenue par lcomprénension do FEUG et son |!6gH, etc). Janice pour remote |7.2.2-1 8 environnement (physique, légel, lee proscriptone |7.2.26. etc.) eutiaant pour permetre ax [do co paragraphe. autres active du cycle J0 ie eéeurts eave monbee do satstaaanie. 2 |eatinnton 73.1: ITEUC etean environ | 732 [Cintornalion oe [information [giebate du |Dterminer te umites do rEUC. |rement nue par. 2.2.18 lobtenve par comeing [ada aynime de conmance 72.26. [7s218 lerappice. |30 'EUC; raze. tien” | Spéciter'e domaine de ranaiyee| \de dangor ot de neque (par Jaxemple len procescue Bango- eux, lee dangers hes & L environnement, et.) 3 [Anatyee ela. Jdanger et_|Osierminer ios dangers st 6vé- ee rleque Tae Ciniersanon obie- [La aecortion| Jnue per 7.3.2.1 8 {et rformaton raze. relatives & Fanayee ce Juanger ot do reque. "EOE (sane tou oe modes Jsexoiitaton) pour touter toe latuatons vaisonnabiemont prévisiles, y compris calios oe lsstaitance at de mauvais usage: JOsiernine: ts eéquencos |evinamants menant aux évd- Inemente dangeroux c | 7552” [Ua desorption st | Spéoifioation Fintoraonreas- |pou ies proe- vee Aranayee— |oxptons Jae danger ete |piobaios do Jona dsonctlone de edcurts st @_[Alocation LEUG, te eyattmne | FEE [des pres- [Allover i fonctions de sécurité, |de commande de lerptiona [qui sont indiquées dans ia apé- ldereéeu- |eticationSTD-IEC bLSOS-L-ENGL 3998 MM 4YA44S9] OLILNS TAd A 61508-1 © 1EC:1998 ~39- ‘Table 1 — Overall safety lifecycle: overview Safety iteoyele Roguie- ‘Objectives: ‘Scope Leriag Inputs Ovtputs cine 1 [ean TET SUC andr TEA tarantlomaton [odevsopaveict ——lqnnranrent fmormaton_eeqredn incertararg of he EUG ecanouy wo [zat Janets oncnmont mast” raz. prac eprave oe) reqrments tonto nab tne cher ie estetytecycle etvits to subsouee sehanctrty cand oot = [overat fF aac aa 753 RomaTea oa scope {To dternine he boundary of anvicrnen fccureain |xccurea Jstntuon |b CuC ond na EOD cnet eet” [razte eter a Haas Ho apecty tne sone of me azar ark anal (or Joule process hazrcs srwrenmnts hazards v [Hexard AY: The scope will bo 742 _|information Tipton of Java |[fodtemine ne nazaie_ |Goponeal upon the leseuredin end Janeiyeie land acaroou events tho {phase reach a fra'at io" |ntemaion Eucaname EuC conve!” [he sweat, PEPE Fia25.” \romingtar te eyeer (val modes ct land ones azar’ a operation. tr a reason [tooples (once eek ania Noresessie crcumetenoes” |may ov naconeary lnatng faut contre ane [tor mre tan one Imus: azar and ek Hovdetrmine to overt Jaa ote Jouercenescngo'ne feamogou, Forine fssaroce vert protrary hee Jetemneé find ak anata, fredtarne no Uc asks. ho scope wt Jevotaed wit te Jecmpave 0 EUC, azardoc eerie ine EUG conrot lator. sytem ana muman anor, 7 lover [rer EUG the EUS] 752 Beeonaon | epRaTCRST Jntoty [To develop the speticaion Jeont! sytem and lohand liorme vera Nequte: |torte over asiay|poran eco Snirmation |snaty Jimente””|foqutemani, tr of th iting, |roqaremene saatyrancitne vogue fRemaza [tame oe sn eatery ine lanare [rey urement PE fanayas. — Hnetons set rotted sytern, cthar feremons eshroigysaahytteg ere eatety syetom tnd ecora ik Imogry radocton action reer rogarmons Ko mcnive te ‘oautes neon eo s [Safety [7.6.1 JEU. the EUC {7.62 [Specification [information Teaure- [Fo-tooate me exety leant system and jertre ang vost ot Imente””[unctona: contain ra {harman cr. lover eta ne eae Shoeston |spectenion orto cverah acwrements [oqaromoie say ranamonts tn laters or ltdenton esety factors rogues waaay land ho eat neg ncaone quent, otha Joqoremens Jdsbgrates SIGE salty ara ites rato, other sion riogy sty ried moar leyecne td eta ek \omnemens redseton ection, Ho aocat eafoy nag ovat ncn sat unconSTP-TEC GISOB-2-ENGL 1598 MM Y44Aq3 D4 924 om 40- 61508-1 © CEI:1998 Tableau 1 (suite) Phase du eyole de ie to adcurts Numéro ] Tire Objects Domaine |r] entroes | Sorts fe cme "tone ‘asta = figure 2 a [C'EUC, To sysiome 77-2 |Spbcification pour [Un plan Josvatopper un pian coxtotnton|ée commance de Jas recensione |semptaton Jet de martonanes des yet ["EUC ato factors pecans lato mane jovetan_ {aus aeovrieforcionnete. [ve syatimee de oo. Joe preseptora "Jeyeemes So nate " one eo eect. lgrvsrt et marteres pecan: [itd GRIPE és fonctone ce, Jesoune mance” [Peloton ot maltorance. Stour stoe|Everre. prscrptone siategre de he ————|TEUG. Te syatérne | 782 Spseilontion pour a Ge Eiensen Sees, | ee ie Reamer areas, | imi (aca, Riis Inememetaen™ (ee Pee ca em ie Eeieroue| eaters Eee ba he Semeri ease Eat [séourts. pes Ler a ile pe IDévelopper un plan pour que losle'de |Tirwtallation der syatames do Pinatatie- |ascutté E/E/PE vot matiedo, lion ot de fon assurant que la sécurts Ia miae an |fonctionnelle preserte ect fansime Deévetopper un mise on eerie pour que ia ys eyetbmas de Jsecurna E7E/PE wot mattress, fn assurant que le sécunté lloncionnele presarte soit stains, $0.1 etparies Bot [Créer dea aystbmes de séourts Oz NO EIEPE. | ta CEI 1800.2 jecia ceil erenes, 1608-3 78 roe des systimes de adourie baste eur une autre echnoiogle TE ie technlogte (en Jdonore eo [semaine evaSTD-TEC b1S08-2-ENGL 1998 MM 444s) OLS2447 B50 mm 01508-1 © 1EC:1908 aa Table 1 (continued) Sater itecycie erase Require re? ] Tie o monis | input ut or blac seope Inputs | outputs sumoer 3 [Overall [773 500, US| 77.2 (Speer Japeration |Ta develop aptan or leona yet lertne lane" operating andmaintacing fend human overt safety lente. fee Se7Pe sateyrestad facto, fearon Inence” feytora, oanaur tnt ine [ereire Invorme of prensing eased turcton! sates. [efeysoata re esoy frantaned sung oproton foyer, lenctone lane marnenanc. requirements land te sate liege 7 fovera UE ie US] FE ovation [wane eatety cca yom forthe acinus he aliation fra ramen overalsaaty|veiaton o ptenning” Jl the C/PE saltyrelatog [rectors equromeres [te E/E syeteme. ere Sere erin eiayroats . nvome. evteme. functions fearereres| me aly Imegrty legirenens. 7 EOC anata EUG | “75E—fspettcnven [Apne oval apantorthe _oonrl satan forte” nian o alan oftneeeiee [Eee ova snot ne E/E sotatyrited ayetor ina Jantar olaed Jogurements [storied |conmtioa maonor to ensure layers \mtamest leper, ve reqod fnetonasaety Inasatoy |S aor me ln echeved, functions’ [commi- To doveopa plan or the eqroners rng ofthe Jcrmisnonng othe SEIPE lenvine levtee ssren-aated sytem ina lesion” —_[stotyrtaea ceri maner, to aeire econ [estome. ive equved frcinaletety ranvemens. Ie echived TREE [705 ana pane ena 3 — TEEPE TAG, | Speciation [CorTravan lately. [To crete EIPE alaty- aloes EC r608-2\frtne. [ta each Jetntae_|roated systems contorning. [ape ws jeeres jeune Jpetane: ton ebetncton tore tecetsoo.slestoy — [etetylaea Jre/PES salty aque factors |retem moots [comprising the spectcaton in eriPes \Grine errr’ exty satay Hanetone ragutemerts and reuements ine specication for ne spoctcation. lesees ecto megnty fgenents 7 Site reels | FAVE [contrarian Fo rete cnerwomnotoay [antares at ech sstoylates eysoms to” [eytome attr Ineettne est unctons eshnoiogy [equremerte and etety Jpeitcaton(ssaryrotsod Integrty reqovementa louise me [sytem ope for uch oysters Scope and” |mocta the [xtele the scope ot na net ste, sansa. sesidered _|rgurments sro stone) oysterSTD. TEC bRSOS-2-ENGL L998 MM 4S44S9R OLIV4US 797 A ~42- 61508-1 © CEI:t998 Tableau 1 (suite) ‘Phase du eyele de vie es adcurne Tumero | re onjectite Domaine tocme ose ‘igure 1 rE aapoale ora [créer des dsposuts etemar_ free de eduction do Jsoraduction ge aque gut" (toque, Jrempisson is procenstone a tonotons de aécue ot os oresenptone ctmegras se escorts species pur de es epost fn doors du Joraine con presenta. done pa examine] scart pour sorme) sin en cata” [os depot [nwt] 78 ICEUC ate ayeime | 332 Jun plan pour Des satis lenis on |Inaater le syetomee do atou- [se commande do rgataton des lav ascurte Jsoraice°” line 7 ee Jretimen so | EERE com aie |Metire en sorvce oe syatimes|Lessystamee [aor loc eccumns wire Jcunte Eevee 7 Ta rere a Water i at que le systems |e conmande do Jota dein. lave tvs vo as secure E/E/Pe remotssent [Eur Jekoumiapouries|eyetomes co i= epticnton pout on prow" |Les syst8men do co |eteurne Joipions gooale de eécursé |eseune C/SIPE sure pan des protorptione Gobet de tonctone Se Stoonts ot ee paseapions Slobeles ottagrs de ascume, En tenans comple co Fatocation das prsorioone {de escurte, pourles ayntmen [de escorts EIEIPE, etectube foontormémert au 7.8.STD-TEC BLSOS-2-ENGL L998 MM 4OUNASI ObAL4N9 L23 61508-1 © 1EC:1998 ~43- Table 1 (continued) Setety itecyoie phase Tite Scope impure | outpute External [7-783 Beara sok Eternal rak [Contention isk [Tocreate extemal rk freducton reduction |Phat each reduction [reduction tein to moet |factves. fzctitee’ —loxtorat ox lteoltiee: |tho satay functions safety reduction Iraatietion ‘equremente and safoty requirement fecity meets ncogty eeauiromene lspecitcation je safety spectied for such facts Joutsige the. |rquirements [outside the ecope of mle Jecope and for that standare), not rai |considorag tute nts stansare). rar UC and tre EUS fa plan for |Faly wataiod a inetat tho E/E/PE Jeontrol system; ne lerepe eatetyrolaed systems: |erespe notation et atay-rlatos |Tecommiesion the EIEIPE |satetyrolatec re EIEIPE.laystome: ataryetated systems. |syators, eatery. July elated _|comrnissionee ystems; |ermE Alan tor the |sefory-riatoa Jeommis- [systems stoning of ine EFEIPE loveran — [7-747 UC and the EUS \Gantrmanor fentety | Tovaidato ent the E//PE loonea system: lina arthe \alldation Jeatey-elated aystome moet |B/E/PE JErEPE 1@epecticaton forthe. [ealaty-rolates safety-related lover safely raquremente infeyeteme. Jeyateme meet forme of te overall staty [ne tuncions requirements and specication tho overall story integrity feyetome: fer the overat requirements, taking ino Specticaton [story account the sataty Jor tne |rquirementa overa sarety|n terms of tne E/EIPE satatyolated requiernerts ine satoty systems developed accoraing| lintorms ef [tunctions ers. Jine-catry lrequremente functions’ andthe saat lequiramonts[iegety, land the |requemerts, saiety ——fiaking into integrity account the recuromente| story lSatery [requirements reoutremonts[atocation tor laoeaton. |e EIE/PE eatety-elatoa [ystoms,STD-TEC bLSOS-2-ENGL 998 MM YB4NRAL OLAR4SD 34S Mm ~46- 1508-1 © CEI:1908 ‘Tableau 1 (tin) ‘Objectts Domaine | Prevcrp- | Entrée Sontaa ‘tone. rer |CEUC ate ayateme | 7-152 [Pian global —|Realieaton Explor, maintontr t ebparer [de commande de Jtexpiitation ot |permanento co lienance at [eu aysiomes do sécunte |TEUC: [de maintenance [ia eecurte lesparation ‘de fagon & marten la Lox syatdmes do dee systbmos de |fonctionnate Jolobatee ” [sécuré fonctonneliapreecte. gour E/E/PE. leécurts E/E/PE: lproscce pour ins aysttren do Jescurts E/E/PE; JUne docu \cronologia [de rexpoitation, Jas la reparation st doin maintenance dos Jeyetbmes do lssourns E*e/PE. ae _—______]E0C atte apne [Bamande de —)Realsaton de JAseurer que la séeurts ldo commande do Jmediteaton ou }ia stcurte fonction pour ies Ireue, Honctionnete jeu de nOcurlg E/E/PE Lae ayatimas do lorescrte pour Jost approprise, ate ois |sécurte E/E/PE, ies systems. pendant ot apros quo la phase Jeacunte Everee |20 moaincaton of de cmiae a fata fois pendant niveau ait Hou jet aprba quo.a Jonase 16 [Moe hove [7-477 ICEUC otf aysterie| 7.172 {Demande de —|Réaliaaton de | Jeorvice ou |Aewurer quo a sécurts de commande de misono in edcurts lau rebut -|fonctionnelte pour ie reve; Jeerdoe ou au [toncionnake Jsyatbmen do sécurité E/E |Les systemes so rebut seton toe |prescrte pour lest appronriée aux cunts EVE/PE, procédures de ios systames do |sreonstancea pendant et aprbs| lgeston deta Jesounte E/EIPE ae acti de mise hors cunts a fols pendant Jserice ou au rebut do 'EUC. Honctionetie, fet apres ies lactviee de mise hors service ou Jau rebut, Une docu mentation Jerronologiave ldeu actvtde do ise hare Jeerice ou au rotaSTD-TEC BUSOB-L-ENGL 1998 MM 4B44B4L ObI145) 281 Mt 61508-1 © 1EC:1998 ~45~ Table 1 (concluded) [Sarety fecyeie phase Require. rigure2 [Tite Objectives Scope | mania ‘outputs umber 1% aca [EUG and te FOS | F382 [Overal ——|Cantnang [To operate, mainain and joonirol system; operation achievement repair he E/E/PE Ererre lana jor mo saioty-rolated eyetome in |safetyrlated maintenance |requitea Jordr that tne requirod —_eystoma pian for the unetional safety le EVE/PE airtaned, eatory- maton systems EUC and tre EUG] 7-162 |Request tor leona system: lmodteaton on ana cre rate” |g fewer etryroas certne fen sane rescues [ster ese les fase paves her antganen ete toa ee orcas! yetene: oth ten lettre enone ction Te Beso ETE —Teacanane EE | 7a7E Reaver aera matte hnetona! [eset ayer score. isiay ime ene Oo Ieee Seng steed systems [strated part Speers Sco the eines Sing and roses eters ccaroe ot Ferse* |i stea cecommestring of mangement oye sa Sepa the rtrdtonl [tng a ete far Secon: anys ener cea seen Seer isnot me eens. sar spon lactiies.STD-TEC BLSOS—2-ENGL 2595 MM 484489) Ob914S2 118 -46- 61508-1 © CEI:1998 7A.3 Objectite 2.1 Le premier objectif des prescriptions de co paragraphe est de structurer, de tagon systématique, les phases du cycle de vie de sécurité global qui doivent étre considérées atin de réaliser la sécurité fonctionnelle preserite des systémes de sécurité E/E/PE, 7.1.3.2 Lo second objectif des prescriptions de ce paragraphe eat de documenter ion informations clefs, relatives & la sécurité fonctionnelle des systdmes de sécurité E/E/PE, tout au long du cycle de vie de sécurité global. NOTE ~ Voir Faria 8 at annexe A pour a structure de (a documentation. La structure de ta documentation pout {nr comple dee procédures de Tenreprie ot des habiudea de tavall de eectours @ application speciques., Prescriptions 7.1.41 Le cycle de vie de sécurité global qui doit &tre utilisé comme base pour la déclaration de conformité & la présente norme est celui spéolié & la figure 2. Si un autre cycle de vie de sécurité global est utlisé, il dott étre spécifié pendant ta planification de la sécurité ‘t tous les objectifs et prescriptions de chaque article ox paragranhe de la présente norime doivent tre respectés. 7A. NOTE ~ Le cycle de vie de aécurié du ayottme EIE/PE et le cycle do vie de sécure ou lopli (ql foment ia hase de réalaaion du cycle de vie de sécurité global) qui doivent tre ulleés pour la déclaration de canfommié font epéeiée reapectivamant dans la CEI 61608-2 et la CE! 61806-9, 7.1.4.2 Les prescriptions pour ta gestion de ia sécurité fonctionnelle (voir article 6) doivent ‘tre mendes en paralldle avac les phases du cycle de vie de sécurité global. 7.1.4.3 Chaque phase du cycle de vie de sécurité global doit étre appliquée ot le prescriptions respectées, 'e cas contraire devant atre justfié. 7.1.44 Chaque phase du cycle de vie de sécurité global doit tre divisée en activités éiomenaien avec, pour chaque phase, la epScifeation di domaine cappleation, des entrées at dos sorties. 7.1.4.5. Le domaine et les entrées de chaque phase du cycle de vie de sécurité global dowvent tre tele que spécitié dans lo tableau 1. 7.1.48 Saut justification contraire donnéo dans la planification de la sécurité fonctionnelle ou ‘auf spéoiication coniralre dans la norme dapplication sectorille, les sorties de chaque ‘hase du cycle de vie de sécurité global doivent &tre celles spécifides dans |e tableau 1. 7.1.4.7 Les torties de chaque phase du cycle do vie de sécurité global doivent remplir les objects et prescriptions spécitiéa pour chaque phase (voir 7.2 & 7.17). 7.1.4.8 Les prescriptions de vérification qui doivent étre respectées pour chaque phase du eycle de vie de sécurité global sont spécifiées en 7.18, 7.2 Concept NOTE - Cette phase correspond & a caue * do la Rgure 2,STD-TEC bLSOA-L-ENGL 2998 MME 4844892 0693453 059 Ww 61508-1 © IEC:1998 -aT~ 7.1.3 Objectives 7.4.3.4 The fret objective ofthe requirements of his eubclaus sto structure in aystomatio ‘manner, the pha: the required functional 7.1.3.2 The second objective of the requirements of this subclauss is to document key information relevant to the functional safety of the E/E/PE safety-ralatod systems throughout the overall safety itaoycio. NOTE - So0 clauso § and annox A for documentation structure. The documentation structure may take account of ‘company precesures, and ofthe working prachows ok aoecic application soctor, 7.14 , Requirements 7.4.4.4 The overall safety lifecycie that shall be used as the basis for claiming conformance to this standard is that epeciied in figure 2. if another overall ealety lifecycle ie used, it shall be ‘specified during the functional safaty planning, and all the objectives and requirements in each clause or subclause in this standard shall be met. NOTE - The EIE/PES safely Hacycle ang the sottnare gafety Mecycle (which form the reulieaion phase of the ‘overall safety lifecycle) ‘na ebal be used In claiming conformance are specified in TEC 61806-2 and IEC 61808-3 respectively. 7.1.4.2 The requirements for tho management of functional safety (808 ola parallel with the overall safety sfecyete phases. 6) shall run in and the 7.1.4.3 Unless justified, each phase of the overall safety lifecycle shall be af requirements mat. 7.1.8.4 Each phase of the overall safely lifecycle shall be divided into alementary activities with the scope, inputs and outputs specified for each phase. 7.4.4.5 The scope end inputs for each overall salety ecycle phase shall be as specified in tabie t. 7.1.4.8 Unless justified in the functional safety planning or specified in the application sector standard, the outputs from each phase of the overall safely lifecycle shall be those specified in fable 1. 7.1.4.7 Tne outputs from each phase of overall safety litecycle shall meet the objectives and requirements specitied for each ohase (see 7.2 to 7.17). 7.1.4.8 The verification requirements that shalt be met for each overall safety lifecycle phase are specified in 7.18. 7.2 Concept NOTE — This phase is box tof figure 2STD-TEC bE5SO8-2-ENGL 1998 MM 4844891 D69L454 TIO 61808-1 © CEI:1998 72.1 Objectit Lobjectt des prescriptions de ce paragrapho ost de développer un niveau de compréhension fufflant de 'SUIC ot do son environnement (physique, gal. et.) pour permetre de mener de fagon satisfaleante lee autres activités du cycle de vie de sécur 7.2.2 Prescriptions 7.2.2.1 Une connaissance approfondie de I'EUC, de 268 fonetions de commande prescrites et da Gon environnement physique doit étre acquise. 7.2.2.2 Les sources potentialies de dangers doivent atre déterminées. 7.2.2.3 Linformation sur los dangers déterminés doit Btre obtenue (toxicilé, conditions ‘explosives, corrosivité, réactivité, inflammabilité etc.)- 7.2.24 information eur la \égisiation applicable en matidre de sécurité (nationale ot Internationale) dott étre obtenue. 7.2.2.8 Les dangers dus aux interactions avec d'autres EUCs (instaliés ou devant étre instailés) & proximié de EUC doivent étre considérés. 7.2.2.8 information ot les résultats obtenus par les paragraphes 7.2.2.1 a 7.2.2.5 doivent tre documontés. 7.3 Définition globale du domaine d'application [NOTE ~ Cotte phase correspond a ia case 2 de i igure 2. 7.8.1 Objectits 7.3.1.4 Le premier objectif des prescriptions de ce paragraphe est de déterminer les limites de EUC et du systame de commande de EUC. 7.3.1.2 Le second objectif des prescriptions de co paragraphe est de spécifier le domaine de analyse de danger et de risque (par exemple les processus dangereux, les dangers lids & environnement, ete.). 7.32 Prescriptions 7.3.2.1 Léquipoment physique, comprenant "EUC et le sysime de commande de fEUC, devant faire partie du domaine de 'analyse de danger et de risque doit tre apécifie. NOTE - Voir rétéronces (1 [2] a 'anexe C. 7.32.2 Los événoments exiérieurs devant étre pris en compte dans Fanelyse de danger et de risque doivent dre spéciiés, 7.3.2.3 Les aous-systdmes qui sont aswociés aux dangers doivent étre spécifiés. 7.824 Le type dévénements initiateurs d'accidents quill est nécessaire de prendre on Cconsidération (par exemple les défaillances de composants, les anomalies de procédu erreur humaine, les mécanismes & défailiance dépendante qui peuvent étre & lorigine di ‘séquences d'accident) dot dire spécitié. 7.8.2.6 Lintormation et les résultats obtenus par lee paragraphes 7.3.2.1 & 7.9.2.4 doivent ‘tre documentés.STD.TEC BUSD8-2-ENGL 2998 MM YAY4SAL ObID45S 927 Ml 1508-1 @ IEC:1998 ~49- 7.2.4 Objective ‘The abjective of the requirements of this subclause is to develop a level of understanding of the EUC and its environment (physical, legilative etc.) sufficient to enable the other safety lifecycle activities to be satisfactorily carried out. 7.2.2 Requirements 7.2.2.1 A thorough familiarity shall be acquired of the EUG, its required control functions and ita physical environment. 7.222 The ly sources of hazards shail be determined. 7.2.2.8 Information about the determined hazards shall be obtained (toxicity, explosive conditions, corrosiveness, roactivty, flammability etc.). 7.2.2.4 Information about the current safety regulations (national and intemational) shall be obtained, 7.2.2.8 Hazards due to Interaction with other EUCs (installed or to bo installed) in the proximity of the EUC shall be considered. 72. ‘The information and results acquired in 7.2.2.1 to 7.2.2.8 shall be documented, 7.8 Overall scope definition NOTE ~ This phase is box 2 of figure 2 7.81 Objectives 7.8.1.1. The first objective of the requirements of this subclause is to determine the boundary of the EUG and the EUC control system. 7.8.1.2 The second objective of the requirements of this subciause is to specity the scope of the hazard and risk analysis (for example process hazards, environmental hazards, etc.). 7.3.2 Requirements 7.8.2.1, The physical equipment, including the EUC and the EUC control system, to be included in the scope of the hazard and risk analysis shall be specified. NOTE ~ S00 references (*] and [2] In annex C. 7.3.2.2 The external events 10 be taken into account in the hazard and risk analysis shall be ‘specttied, 73. 3 The subsystems which are asecciated with the hazards shall be specified. 7.3.2.4 The type of accidantinitating events that need to be considered (for example ‘component failures, procedural faults, human error, dependent failure mechanisms which can ‘cause accident sequences to occur) shai! be specified. 7.8.2.8 The information and results acquired in 7.9.2.4 to 7.3.2.4 shall be documented.STD-TEC bUS08~1-ENGL 32598 MM YA4489) ObI24Sb O63 mm -50- 61508-1 © CEI:1998 7.4 Analyse de danger at de risque NOTE Cotte phase correspond Ala cane de la gute 2. 7.41 Objectite 7.4.14 Le promier objectif des prescriptions de ce paragraphe est de déterminar les dangers ct événemante dangereux de FEUC et du systmo de commande de 'EUC (dane tous los modes exploitation}, pour toutes les situations raisonnablement prévisibles, y compris celles de détaillance et de mauvals usage. 7.4.1.2 Le second objectit des prescriptions de ce paragranhe est de déterminer les ‘séquences d'événements menant aux 6vénements dangeroux détermings ert 7.4.1.1 7.4.1.3. Le troisiéme objectif des prescriptions de ce paragraphe est de déterminer | de TEUC associés aux 4vénements dangoreux détermings en 7.4.1.1 NOTE 1 ~ Co paragrapho est nécesssire atin que fee prescriptions de aéou'té pour (a8 aystimnes Jo sécurité E/E/PE solant bandos ayetbmatiquemont sur une approche basée sur le risque. Cala ne peut éte fall qu'en ‘conaidérant FEUC ot fe eyetéme oe commande de FEUG. NOTE 2~ Dans les can c'appications ou dos hypothtecs vaides peuvent are fates aur les risquoe, (ee dangers Potortols, lee 4vdnerante dangeroux ot leurs conséquences, analyse proscite cars o® paragraphe {et 7-8) paut ‘tre realia6e par iva rédncteurs des versione application aeciorelle do le prévente nore, el peut Bre lacluse avy den renctinion guohique simpint, Dee eromoie de wee mthocen son cords dane le anexos * 7.4.2. Prescriptions 7.4.2.1 Une analyse de danger et de risque, qui doit prendre en compte Finformation venant de la phase de détinition giobale du domaine d'application (voir 7.3), doit étre menée. Si des décisions, prises lore d'étapes ultérieures des phases du cycle de vie de sécurité global du E/E/PES ou du logiciel, peuvent changer les bases sur fesquolies les premitres décisions valent ét6 prises, alors une nouvelle analyse de danger et de risque doit tre mene, NOTE 1 - Pour plus de consels, vor ln rérences {1} et [2] A annexe C, NOTE 2-11 peut dire nécessatve que plus dune analyte de danger ete aque soit mend, NOTE $ - Comma exemple ilustran ie bésoln de pourauive analyse de danger et de risque pendant tsk cycle 0 vie de sécurs global, conaldgrone enalyee 'un EUC qui Incorpore une soupupe de eécurte. Une analyse de ‘danger at co reque pout cétorminar deux sequences ¢évonemenia Qui se rapportent respectivement & un détaut tupape farméo ot & un détat soupape ouverte, menant 6 una sltuation dengeruse. Copendant, lorsque a ‘enception dale du systome ce commande de FEUC commandant Is soupape ae! anaes, un nouveau mode de Sélallanee, aoupape oecilante, qul Invadut une nouvelle eéquence Gevenemente menant & uno eituaton ‘dangerous paut die découver. 7.4.2.2 attention doit étre portée sur Iélimination des dangers. NOTE - Blon quan denore du domaine application do ia présente narme, I eet de ta plus haute importance que {oa cangersIdentines do TEUC sole éiminée & la eource, par exemple par Fappication de principes de eécurts Intsinabque et Vapploaton des pratiques de bonne ingéniers 7.4.2.3 Les dangers ot événements dangereux de I'EUC et du systme de commande de YEUC doivent étre détermings selon toutes les circonstances ervisageables ‘y compris les conditions de défaut ot le meuvais usage reisonnablement prévisible). Cela doit comprends fout problame pertinent 1ié au facteur humain, et doit porter une attention particuliére sux modes c'exploitations enormaux ou peu tréquents de ELC, [NOTE - Pourle mauvale usage rlsormablomont préviibio, voir 9.1.10 de a CE! 61608-4. TAZA Los s6quencee d'événements conduisant aux événements dangereux déterminés 0n 7.4.2.3 doivent dtre déterminées. NOTE - 1 ent an général profitable c'étusier a1 fune das séquerces e'événements peut Gre éiminée par des ‘odfiations dane la conception du procédé ou de Féqupement utes.STD-TEC BLSOS-2-ENGL L998 MM 454893 OL40457 777 61508-1 © IEC:1998 -81- 7A Hazard and risk analysis NOTE ~ This phase Is box 9 of igure 2. TAA Objectives 7.4.1.1 The first objective of the requirements of this subclause is to determine the hazards ‘and hazardous events of the EUC and the EUC contro! system {in all modes of operation) for all reasonably foreseeable circumstances, including fault conditions and misuse. 7.4.1.2 The second objective of the requiremonte of this subclaus sequences leading to the hazardous events determined in 7.4.1.1. is to determine the event 7.4.4.3 The third objective of the requirements of this subciause is to determine the EUG risks ‘associated with the hazardous events determined in 7.4.1.1, [NOTE 1 —‘This aubciause Is necessary in ordor that the eafoty requirements forthe E/E/PE waety relate systems ‘are based on a systematic risk-based approach, This cannot bo done unless the EUG and the EUC control eystom conaldered, NOTE 2 ~ in application areas whore valid azeumptions can be made about the risk, Ikaly hezatae, hazardous ‘evonts and their consequences, tho analyls required in ths subclaueo (and 7.5) may be oariad out by the ‘dovaiopers of application sector voraione of this standard, and may be embedded in simpliled graphical Fequicamants. Exampion of such methods are given In ansenps O ard E of IEC 61500-5. 7.4.2 Requiromente 7.4.2.1 A hazard and risk analysis shall be undertaken which shall take into account information from the overall scope definition phase (see 7.3). If decisions are taken at later ‘tages in the overall, E/E/PES or software safety lifecycle phases which may change the basis ‘on which the earlier decisions were taken, then a further hazard and risk analysis shall be undertaken, NOTE 1 ~ For guidance see references {1] and [2] in annex NOTE 2 It may be necessary for more than one hazard and risk analysis 1 be cared out NOTE 3 — Ao an oxampia ofthe neod to continue hazard and cek analyels deep inio the overall safety feoycle, ‘consid the aaaiyele of an EUC that ncorporaien a safetyroated valve. A hazard and riek anaiyele may determine ‘wo event eoquances, that include wave fal closod and valve falls cpon, feacng Yo hazardous ovonis, However, whan the dealled devign of the EUC contel system controling the valve le analyzed, a now falire mo Decthates, may be Glacovered which introducas « naw avant sequence leagng 10 & hazardous ever, 7.4.2.2 Consideration shall be given to the elimination of the hazards. NOTE ~ Athough not within the s20p8 ofthis standard, i 8 of primary Imporianeo thet dotermined hazards of the UC are eliminated at source, Yor example by the appication ot Inherent ataty principles end the application ot {9008 engineering practice 7.4.2.3 Tho hazards and hazardous events of the EUC and the EUC contro} eystem shall be determined under all raasonably foreseeable circumstances (including fault conditions and reasonably foreseeable misuse). This shall include all relevant human factor issues, and shall tive particular attention to abnormal or infrequent modes of operation of the EUC. NOTE For teanonably oreseasble misuse $06 3.1.10 of IEC 616084 7.4.2.4 The event sequences leading to the hazardous events determined in 7.4.2.9 shall be determined. NOTE - It is normally wosthwtile to consider if any of the event sequences can be eliminatnd by meetications to tha process dasign or equipment used.STD-TEC bh508-3-ENGL 1998 WH 4A44S91 ObGL4S2 Lab Mt 61508-1 © CEL:1398, 7.42.5 La probabilté des événemonts dangereux en ce qui concerne les conditions apécitiées on 7.4.2.3 doit tre évaluéo, NOTE = La probabilté un évonement spéoitque peut dire exprinée: yt ou qualia sore a pte ‘expimée quanttativerent ou qualtatvement (voir ia 2.8 Los conséquences potentisiles associées aux événoments dangeraux détermi 3 doivent dtre déterminges. 7.4.2.7 Le risque de EUG doit étre 6valué ou estimé pour chaque événement dangoreux déterminé. 7.4.2.8 Les prescriptions des paragraphes 7.4.2.1 & 7.4.2.7 peuvent dtre remplies par application de techniques soit qualtatives, soit quantitatives pour analyse do dangor et de risque (voir ta CE! 61508-5). 742.2 Lo caractare approptié des techniques et le degré «application de ces techniques dépendront dun certain nombre de facteurs, tels que ~ 108 dangers spécifiques ot leurs coneéquences; le secteur c'appiication et ses regies de Fart; les prescriptions légales ot colles régiasant la sécurité; le risque de 'EUG; |e disponibilité de données précises servant de bese & analyse de danger et de risque. , 7.4.2.10 L’analyse de danger et de risque doit considéror les points suivants: — chaque événement dangeroux déterminé et les composants qui y contribuent; voneéquences et Ia probebilté des séquences d'événements auxquelles chaque ‘vénement dangereux est aasoci6; ~ la réduction de risque nécessaire pour chaque événoment dangeraux; ~ los mosuros prises pour réduire ou upprimer lea risques et dangere; = (8 hypothéses faites au cours de analyse des risques, y compris los taux de solicitation probabios ot les taux de défaillance de réquipement; toute prise en compte dee contraintos exploitation ou de lintervention humaine doit étre détailiée; oe r6féronces aux informations clete (voir article 5 et annexe A) relatives aux systomes de sécurité & chaque phase du cycle de vie de sécurité du systime E/E/PE (par exemple les activités de vérifcation et de validation). 7.4.2.1 information et les résultats qui constituent analyse de danger et de risque doivent tro documantés, 7.4.2.42 information si les résuitais qui constituent analyse de danger et de risque doivent ‘tre maintenue pour NEUC et le systbme de commande de TEUC pandant tout le oycle de vie de sécurité global, depuis la phase danaiyse de danger et de risque jusqu’a la phase de mise hors service ou au rebut. NOTE — La maintnance de Fintormation ot des résuiats depue a phase analyse de danger ete rague eat ‘moyen prinopal pou fate des progr dane la résolution des prostmes ie &Fanale de caper at da rig. 75 Prescriptions globales de sécurité [NOTE ~ Getto phase coreepond & ta cate 4 dela gure 2.STD-IEC bUSDB-1-ENGL 2998 MH 4844852 ObI24S9 S72 A 61508-) © 1EC:1998 -59- 7.4.2.5 The likelihood of the hazardous events for the conditions specified in 7.4.2.3 shall be evaluated. NOTE - Tho iketinoed of a specif event may bo expreesed quantitatively or qualtativay (896 IEC 61508). 7.4.2.6 The potential consequences associated with the hazardous events determined in 7.4.2.8 shail bo determined, 7.4.2.7 Tho EUC risk shall be evaluated, or estimated, for each determined hazardous event. 7.42.8 The requirements of 7.4.2.1 to 7.4.2.7 can be met by the application of either {qualitative or quantitative hazard and risk analysis techniques (see IEC 61508-5). 7.4.2.9 Tho appropriateness of the techniques, and the extent to which the techniques wil need to be applied, will depend on a number of factors, Including =the specific hazards and the consequences; =the application sector and its accepted good practices; —_ the legal and safety regulatory requirements; = the EUC risk; the availability of accurate data upon which the hazard and risk analysis is to be based. 7.42.10 The hazard and risk analysis shall consider the following: ~ each determined hazardous avent and the components that contribute to it; 16 consequences and Ikelihood of the event sequences with which each hazardous event ‘associated; —_ the necessary risk reduction for each hazardous event, = the measures taken to reduce or remove hazards and risks = the assumptions made during the analysis of the risks, including the estimated demand 168 and equipment failure rates; any credit taken for operational constraints or human intervention shall be detailed; = references to key information (see clause 5 and annex A) which relates to the related systems at each E/E/PES safety lifecycle phase (for example verificatio validation activities). 7.4.2.1 The information and results which constitute the hazard and risk analysis shalt be documented 7.42.12 The information and results which constitute the hazard and riek analysis shall bo maintained for the EUC and the EUC control system throughout the overall safety lifecyc ‘rom the hazard and risk analysis phase to the decommissioning or disposal pi [NOTE ~ The maintenance of the isformation and results trom the hazard and risk analysis phase fs tho principal ‘means for estabiating progrse of the resolution cf hazard and risk analysis isvos. 7.5 Overall safety requirements NOTE ~ This phase is box 4 of igure 2STD-TEC BLSOA=2-ENGL 2998 MH HANNATL ObISMEO 294 He ~54 €1508-1 © CEI:1998 75.1 Objectit Lobjectif des prescriptions de ce paragraphe est de développer 1A spécification pour les prescriptions globales de sécurité, en termes de prascriptions de fonctions de sécurké et do Prescriptions cTintégrité de sécurité, pour les aystémes de sécurité E/E/PE, les sysidmes de ‘séourité basée sur une autre technologie et les diepositifs extemnes de réduction de risque, afin datieindte la sécurité fonctionnelis preserite. NOTE ~ Dans tex cas c'appiieations ob Jes hypomeace valides pauvent dre files Sut lan rsques, 1 dangers Bolentels, (es evénements dangereux 0 eurs conséquencee, Fanalyse presario dans ce paragraphe (et 7.4) ‘ve rdalsde par le rédactours dex versions Gappcation sectoriole de la présarte norm, et peut dire lacus sar des retriaans ruhique cpities. Des exemles Ge tloe metas snl donnée ne log annesea © {1 dole CEI 61608-6,, 7.5.2 Prescriptions 7.5.2.1. Les fonctions de sécurité nécessaires pour assuror la aécuriié fonctionnollo prosorite Pour chaque danger déterminé doivant Biro epéotfiées. Cela doit constituer la spéciication our lee prescriptions globales de fonctions de sécurité. NOTE - Les tenetions do sécurité & oxtouter ne seront pas, & ce niveau, spéciées en des termes purement techniques oar la métode et la technologie de mise en cauvro das fonaiona de sécurité ne garont connue que lua tae. Au cours ée Fallocation dew preserptions de aéaulé (volt 7.6), la donarption des fonctions de eécurté [ut néessiter ure modification pour mieux coreapondre &la méthode ge mise en auvte retenu 7.5.22 La réduction de risque ndeassaite doit Btre déterminée pour chaque évérioment dangereux déterming. Cette détermination de 'a réduction de risque nécessaire pout étre faite ‘uantitetivemant et/ou qualitativement, NOTE ~ La réduction do aque nécessaio est prascrio afin de détorminer ln prescriptions fintbgrté de sécurité our le aystimes de abcurté EIE/PE. le syuldmos de sécurité basse gur une autre tactnologie tie dlaposiis ‘carmen de réduoton de rlaque. Liane C-2e la CEI 61508-5 met en evidence Ture des fagors de determines i réducton de risque nécosealr loratuune aporoche quanitalive a été adoptée. Les annexes D ot E de la CEI 81E08-5 mettent on evidence dee méthodes qualuaves, bion que dane Jes oxemples clés, la reduction Jo Fieque nécassalre oat incorporéeimplicitament putt qu'expicitementformulee, 7.5.2.3 Dans ies situations ot une norme internationale de secteur d'application existe, qui ‘comprend des méthodes appropriées pour déterminer directement la réduction de risque écessaire, alors de telles normes peuvent étre utilisées pour satistaire aux prescriptions de co Paragraphe, 7.5.2.4 Loreque tos défaillances du systome de commande de 'EUC entrainent une solicitation d'un ou plusieurs E/E/PE ou systémes de sécurité basés sur une autre technologie ev/ou dispostifs externes de réduction do risque, et lorsqu'll rreet pas prévu de désigner le systime de commande de 'EUC comme Atant un weyateme relatit & la sécurilée, les prescriptions suivantes doivent étre appliquées: 4) |e taux de défaillance dangereuse revendiqué pour le systéme de commande de I'EUC doit e'appuyer sur les données acquises per 'un des moyens suivants: une expétience en exploitation réelle du systéme de commande de MEUC dans une application similara; = une analyse de fiabiité menée conformément & une procédure reconnue; ~ une base de données industrolle sur la fiabillté des Squipaments génériques; b) le taux de détaitlance dangereuse qui peut tre exigé pour le systime de commande de PEUC ne doit pas étre inférieur & 10-5 détaitences dangereuses par houre; NOTE 1 ~ Le fondement de cate proscription ext que ‘comme giant un aystima de age ‘do TEUC ne ol pax aire itereur ‘stourlé (Gul ost de 10-* dealtances dangerouses par neure; vor tableau 3).STD-TEC b2SO8-1-ENGL 1996 MM 4SNYBS} ObTLob> 120 Wi 61508-1 © IEC:1908 -58- 7.5.1 Objective ‘The objective of the requirements of this subclause is to develop the specification for the overall safety requirements, in torms of the safety functions requirements. and safety integrlty requirements, for the E/E/PE safety-related systems, other technology safety-related systems and external risk reduction facilties, in order to achieve the required functional safety. NOTE ~ in application areas whore valid assumptions can be made about the rieke, Ikely hazards, hazardous ‘events and Uieir consequences, ihe analyele raquired In this subctause (anc 7.4) tay Be carried out by the ‘tevelapers of application sector versions of this elanard, and may Ge embedded in simpliied graphica| requiromants. Exwmnpies of uch methods are given In aanexes D and E of IEC 67508-5. 7.5.2 Requirements 7.5.2.1 The safety functions necessary to ensure the required tunetional safety for each determined hazard shall be specified. This shall constitute the specification for the overall ‘safety functions requirements. NOTE - Tho safety functions to be performed wil no. al thle stage, be specified in echnology-eposfc terme since the method and technology of Implementation of the salty funcone wil net be Keawn Unt lata. Dunng the Allocation of safety requirements (see 7.6), the description of the eafety funcione may need to be modiied te ‘orlact the epacic method of implamentatio. 7.5.2.2 The necossaty risk reduetian shall be determined for each determined hazardous ‘event. The necessary risk reduction may be determined in a quantitative and/or qualitative manner. NOTE ~ The necessary Mex recvetion ie caquited In order to determine the ealety intogrty requirements Yor tte E/EIPE safety-related systems, other ‘echnology safely rlsted syetems. and) axtevnal Tick reduction facil. ‘Annex C of IEC 6508-5 ouloes one way in which the necessary rik reduction may De determined wnen & ‘uanthatve approach has been adopted. Anoxae D and E of IEC 67608-5 outine qualtaive metode, alinough In the examples quoted Ihe necessary “ek redvetion is Incorporated implicitly rather than elated exp. 7.6.2.3 For situations where an application sector international standard exists, which includes appropriate methods for directly determining the necessary isk reduction, than such standards may be used to moot tha requitements of this subclause. 7.5.2.4 Whore fallures of the EUG control aystem place a demand on one at more E/E/PE or other technology, safety-related systems and/or external risk reduction facilities, and where the intontion is not designate the EUC control system as @ safety-related ayster, the following requirements shall apply: 8) the dangerous failure rate claimed for the EUC control system shall be supported by data ‘acguited through one of the following: = actual operating experience of the EUC control system in a similar application; — a reliability analysis carried out to a recognised procedure; = an industry database of reliability of generic equipment; b) the dangerous failure rate that can be claimed for the EUC control system shail ve nat lower than 10-5 dangerous fallures per hot NOTE 1 ~The rationale ofthis requramant is that if te EUC control aystem is ot designated as a saoty related {yetom, non the ‘ale rate tht carbo ciamed for tho EUG conto eyatem aha not be tor than WHO higher {ergot talure oasvre for safety Integy lovalt (which le 10-*cangorous flues por hour, ee taba),| STD-TEC bLSOS~2-ENGL 1958 WM YA44A9R ObI42 Ob? Mm -56~ 81508-1 © CEI:1998 ©) tous les modes de défaillance dangereuse raisonnablement prévisibles du systtme de ‘commande de |"EUC doivent étre déterminés at pris on compte lore du développement de {a spécification pour les prescriptions globales de sécurit 4) le systéme de commande de EUC doit stro séparé et indépendant des systémes do ‘sécurité E/E/PE, des systémes de sécurité basés sur une autre technologio et des. dipositife externes de réduction de risque. NOTE 2- En partnt du principe quo le syste relate & Ie sours ont 6t6 congus pout four une inti de dears adbquat® on tenant compte dv tai normal de solicitation du eystome de commande de FEU, Ine sera ‘Hora pas nbeessale do designer la syatbmo Ge commande de TEUC cornme état un eyelme relat ta sécurtt (ct, per consequent, wes fonctions ne seront pas designtes comme stant dee fonctions de tacutls dane fa coniex® ea présonte norme). Dare certains apolcatione, parculbramant ik oU une ib Pate ndghts Oo adcurts ett Drosent, peut sre approprie de redure le aux do olictaon en concevart ls eyetame de Corman do TEUC Ge toe sone quit at un aux de difaliance pus fable que la normale. Dane de Tes aa, alle taux de défaiance ‘28tplue ott que la plus haute imi object eirksgrts de abouts pour le niveau 1 dimbgrt de séourts (vlr ‘abioay 3), sor la systame de commande devlent‘un eyubme rola! & la eécuTé el lee prescrintons dla prbsente nore s'epptquent 7.6.2.8 Si les prescriptions de 7.5.2.4 a) & d) inclue ne peuvent dire rempliee, systame de commande de PEUC doit étre désigné comme étant un sécurité. Le niveau dintégrité de sécurité allaué au systsme de commands de PEUC. doit étre ‘basé sur le taux de défalliance exigé pour le systame de-commande de I'EUC, conformémant aux mesures ciblee de défaillance epéoifiées dans les tableaux 2 et 3. Dans de tels ces, los Prescriptions ge la présente norme, ayant rapport au niveau diiniégrité de sécurité allous, doivent s'appliquer au eystéme de commande de rEUC. NOTE 1 ~ Par exemple, lun taux de déaliance compris etre 40-* ot 10- detaliances par noure eet exg¢ pour Ia syztie 3 commande de EVC, alr le proecintonpropres au nivens 1 Trt de wear néconerant recom NOTE 2 -Volr aues7.6.2.10, 7.5.2.6 Lee preecriptions d'intégrité de sécurité, sur te plan de la réduction de risque nécessaire, doivent dire spécifiées pour chaque fonction de sécurité. Cela doit constituer ia spécification pour les prescriptions globales <'inlégrité de sécurité, [NOTE ~ La apseification des prescriptions e'intégnt@ 2 aécurté ext une étape intarmdlic vere Ia determination ee niveaux dintégrhé de sécurt pour lax fonctions de eécurié devant Gira mises on cauvre pat lan eyatbnes ce ‘tour EVE/PE. ‘matnodes qualatves vledes pour détarniner lea riveatx qintegrté de aaourte (vole ‘annoxse D et E de la CE! 61600-8) passent dectoment den parambires te rlaque Aux riveaux dinteprié co, ‘stout, Dane de tel cos, ln réduction de laque néceesare eat indiquée Implctement glut quexplictement car Cette radueton eet noiuae dane ia malhode ate-mame. 5.2.7 La spéeification pour les fonctions de sécurité (voir 7.5.2.1) et la spécification pout tes prescriptions dintégrité de sécurité (voir 7.5.2.6) dolvent constituer ensemble Ia spécification our les prescriptions globales de sécurlté, 7.6 Allocation des prescriptions de séourité NOTE - Cate phe comeepond tla case 6 de ta ure 2 7.6.1 Objectite 6.1.1 Le premier objectif des prescriptions de ce paragraphe est d'allouer les fonctions de sécurité, qui sont indiquées dans la spécificetion pour Jes prescriptions globales de sécurité {ensemble des prescriptions de fonctions de sécurité et des prescriptions dintégrité de sécurité), aux systémes de sécurité E/E/PE désignés, aux systémes de sécurité basés sur une autre technologie at aux dispositi's externes de réduction de risque, NOTE ~ On considte, nécausalroment, les syatbmes de sécurité baste sur une auto tenologle et es deposits ‘xiornee de redualon de raque car Tallocaion dou eystomes de agourté EEIPE no pout dtr etfectube tant que (208 autres mesures de réduction de rlaque rront pas 416 priaes en compte. 7.6.1.2 Le second objectif des prescriptions de ce paragraphe est dallouer un niveau integeté de sécurité & chaque fonction de séourt NOTE ~ Len preseriptions intdgrté de aéourts, Yelle que aptoiides en 7-5, sont sptciiées on termos do rtduction de risque,STD. TEC G1508-1-ENGL 1998 MH HANNS OLIL4EI TTA Ml 61508-1 © IEC:1998 -87- ©) all reasonably foreseeable dangerous fallure modes of the EUC contral system shall be determined. and taken into account in developing the specification for the overall safety requirements; 4) the EUC control system shall bs ser ind independent from the E/E/PE satoty-rolated ‘systems, other technology safety-related systems and external risk reduction facilities. [NOTE 2 ~ Providing he safety-rted eystome have boon deeigned to provide adequale safety Integr, taking into ‘account the normal demand rae tom ine EUC contol aystem, i wil ot be necessary to designate ine EUC ceria, Byatom as a setetyrolated system (and, therefore, ie furelons wil not be designated as eafety tunctions within tho context of this standard), in some appicaions, particulary whore very igh safety intogy ia required, I may be ‘ppropiate to reduoe tno demand rate by designing tne EUC conirol ayatem to have 8 lower than normal fare Fate. in auch cases, It the false rate le Igoe han tho highor iit targt eatty Integy lar satay Integr level 1 (ap table 9), then the control system wil become atety-olaiod andthe requirements inthis standara wit wppy. 7.5.25 If the requirements of 7.6.2.4 a) to d) inclusive cannot be met, then the EUC control system shall be designated as @ safety-related system. The safely integrity level allocated to the EUC control system shall be based on the failure rate that is claimed for the EUG control system) in accordance wih the target failure measures specified in tables 2 and 3. In auch ‘cases, the requirements in this standard, relevant to the allocated safety integrity level, shall apply to the EUC control aystem. NOTE 1 ~ For example, If 2 fale ate of vetwoen 10°8 and 10-6 tallures per hour is claimed forthe EUC contro! ‘eyetem, thor ihe requlroments appropriate to eel Wtegaylevel 1 would need to be met NOTE 2 ~ See also 762.10. 7.6.2.6 The satoty intogrity requirements, in terms of the necessary risk reduction, shall be ‘specified for each safety function. This shall constitute the specification for the averalt safety integrity requirements. [NOTE - Tho speciication of te safety intagry requirements an interim stage towards the determination of the alot integrity levels for the getaty unctone to be Implameniad by we E/E/PE safety-related eysteme. Some of the {alive metnocs used to determine the safaty Integy levels (32 annexes O and E of IEC 1608-5) progress ‘directly trom the rek parameters to ine axlly intogry fovels. in such cases, the necessary risk roduclion ie Imply rather than explicit stated because i ie Incorporated in tho mathod ise. 7.5.2.7 The specification tor the safety functions (seo 7.6.2.1) and the specification for the safety integrity requirements (see 7.5.2.6) shall together constitute the specification for the overall safety requirements. 7.6 Safety requirements allocation NOTE This phase Box of iura2 7.6.1 Objectives 7.6.1.1 The first objective of the requirements of this subclause is to allocate the safety contained in the specification for the overall safety requirements (both the safety |qulrements and the eatety integrity requirements), to the designated E/E/PE safoty- related syetoms, other technology safety-related systems and extemal risk reduction facilities, NOTE - Othe tochnology safoly-slatod eyes and exteral risk raduction tacttles are considered, of necessity, ‘ince the allooabon to E/E/PE satety-relateg eystome cannot be done unless these other ek reduction measures fre taken info account 7.6.1.2 The second objective of the requirements of this subclause is to allocate a safety Integrity level to oach safety function. NOTE - The safety integrity requirements, as epoctiiog In 7.5, are speci in tenn of sak reduction.STD.TEC BUSDS-3-ENGL 2998 MM 4DSNSGD OLILMEY 937 MM 61508-1 © CEI:1998 7.8.2 Prescriptions 7.6.2.1 Los systémes de sécurité désignés qui seront utlisés pour atteindre Ia sécurité fonctionnelle prescrite doivent étre spécifiée. La réduction de risque nécessaire peut étte atteinte grace & des dispositits externas de réduction de risque — dos aystdmes de sécurité E/E/PE; — des systdmes de sécurité basés sur une autre technologie. NOTE ~ Ge paragraphe ne s'appique que a Yun (2u moine) dos eystbmes de aéourté eat un E/E/PES. 7.6.2.2 Lore do allocation des fonctions de sécurité aux systémes de sécurité E/E/PE désignés, aux systtmes de sécurité basés sur une autre technologie et aux diapositifa extern de réduction de risque, les compétences et les ressourets disponibles pendant toutes ‘phases du cycle de vio de sécurité global doivent stro considérées. NOTE 1 ~ On sous-cstime souvent famplour des implications do rufllestion de eystimes relate & la sécurhé ‘employant une technologie compioxe. Par exemple, in mie on ceuvro de technologies complonse ndoeualte un ‘niveau supérieur de compétence & chaque élape, depule Ia epéciication juequ'a Texplottaon of la rantenane. Lutiisaton cfauirex solutions technologques, plus simples, peut avoir la méme efficacté tout en présentant plusieurs avaniages du fat de I complexta rédulte. NOTE 2 — La disponibité dos compétonces ot ressources pour Fexploition et fa maintenance, ainsi que pour ‘emvirornement exploitation, peut revét une Importance erlique dbs qui a'agit c'asaurar la aBouit fonclonnelo presorte pendant lenpictiation. 7.82.9 Chaque foncton de stout, avec se prescplion dinéaré do ebouri associ, conformément au paragraphe 7.5, dot étre allouse aux sysibmes de sécurité E/E/PE 68 en prenant compte do la réduction de riaque réaliséo par les eystémes do sécurité basés sur une autre technologie et les dispositifs extornes de réduction de risque, de fagon réduction de riaque récessaire pour cetle fonction de sécurité solt atteinte. Cotte allocation est itérative, et s' se trouve que la réduction de risque nécessaire ne peut tre _Attointe, alors architecture doit 8tre mositise et Vallocation répéiée. NOTE 1 ~ Chaquo fonstion de aéourit, ansoclée avec a prescgton dintogité do sdcurs, apécliée sure pian 4 Ia reduction de Haque ndeeeeaia (lr 7-6), nora alloube & un ou phaleure ayetomes de aucurl6 E/EIPE, aux we do aéourte bese sur Une autre technologie at aux dlepoetife examen do reduction se reque. La ‘icision allover une fonction de Sécurité epéctique & un ou bien plusieurs eybews ralatts & In aécuré ‘Sépendra un ensemble de factors, mals plus paricularemeat de a raducton do reque Gevart Ot réalsee par ‘atta foneion de abouts. Plus la reduction de rleque presort eel grande, ple I eel probable Que a ancton salt ‘épart aur plun dun aysiame relat & Ia eéourté. NOTE 2 ~ La fqure 6 prnene rarpreche adonide dans cv pargranhe pour aoctn dee prosaiptone de unt. 7.6.2.4 allocation indiquée en 7.6.2.3 doit étre réalisée d'une fagon selle que toutes les fonctions de sécurité soient alloudes et que les prescriptions d'intégrté de sécurité soient remplies pour chaque fonction de séourité (ous réserve de la prépondérance des prescriptions ‘spécifiées en 7.6.2.10). 7.6.2.5 Les prescriptions dintégrté de sécurité pour chaque fonction de sécurité doivent étre ualifiées afin d'indiquer, pour chaque paramatre d'intégrité de sécurité cible, s'il correspond & Ia probabitté moyenne do défaltianoe & exécuter, lors d'une solicitation, les fonctions pour lesquelies il a été congu (pour un mode de fonctionnement & faible solicitation) ou = Ia probabilité dune défaillance dangereuse par heure (pour un mode de fonctionnement continu ou a forte sollicitation),STD-TEC bESOA-1-ENGL 1998 MH HBYNATL LILES 37 Ml 61508-1 © 1EC:1998 ~59- 7.6.2 Requirements 7.6.2.1 The designated safety-related systems thet are to be us functional to achieve the required fety shall be epecified. The necessary risk reduction may be achioved by = external risk reduction facilities; — E/E/PE salety-related systems; — ather technology safety-related systems. [NOTE ~ This subciause¥ applicable ony if one of ho saltyrelated eystome ia an E/E/PES, 7.6.2.2 In allocating satety functions to the designated E/E/PE technology safety-related systems and external risk reduction faci available during all phases of the overall safety lifecycle shall be consi fety-related systems, other the skills and resources NOTE 1 ~ The ful implications of using safety-related sysiams employing complox technology are otton Lunderostinated. For exampie, the implementation of complex technology raqulret nigher level of competence at al stages, from snndaation up to malntonance and operaten. The use o! other, simpler, technology salons may ‘be equalyoffctive and may havo several acvantages because ofthe reduced camplexty. NOTE 2.- The avalbilty of ek and resources fer operation and maintonaned, and the operating environment, ‘may be eral to acrieving ne required functional safely actual operation. 7.6.2.3 Each safety function, with ite Beecciated safety integrity requirement devel ‘external risk reduction facilities, so the necessary risk reduction for that safety function. is achieved. This allocation is iterative, and if it is found that the necessary risk reduction cannot be met, then the architecture shall be modified and the allocation repeated. NOTE 1 - Each safety function, with te easooiatod safely integrity requirement epeciia in torms of the necessary ‘saw reduction {Hom 7.5), wil be allocated to one or moro E/E/PE sefety-rolaiog syatoms, to other technology Safely-rlated systems, and to exlornal rink cacuction faites. The decision #2 alecate a speotic eafoly twocton ‘aeroee ono of mare eaiey relates syne wil depend on a numberof factors, Dut burtculaty on the risk auctor {o be achieved BY tho eavey function. Tne large te ek reduction required, the more lkaly The function wil bi ‘Spreng over mots than one aafalycalated ayer. NOTE 2 - Figure 6 Indicates tho approach adopted in ths subelauce to eaety requlremonia allocation, 7.6.2.4 The allocation indicated in 7.6.2.3 shall be done in such a way that all safety functions are allocated and the sefety integrity requirements are met for each safety function (subject to the overriding requirements specified in 7.6.2.10). 7.8.2.5 The salely intogrity requirements for each safaty function shall be qualified to i whether each target safety integrity parameter is either ~ the average probability of failure 0 perform its design function on demand (for @ iow demand mode of operation), or the probability of a dangerous failure per hour (for a high demand or continuous mode of operation).STD-TEC b1S08-2-ENGL 2998 MM 4844852 OLIL4GL 702 Ml 61608-1 © CEI:1998 7.8.2.8 allocation dea prescriptions d'intégrité de sécurité doit étro réalisée en utlisant los techniques appropriées & la combinaigon dea probabiltés. NOTE - Latlocation dos prescriptions de sécurité peut tre réaisge de maniore qualitative evou quantitative, 7.8.2.7 allocation doit étre faite en tenant compte de la possibilité de défaitiances dorigine ‘commune, S'i est prévu de traiter indépendamment lors de allocation, les syst8mes de sécurité E/BIPE, les systmes de sécurité basés aur une autre technologie et les dispositite externes de réduction de risque, ils dolvent siors -d-dire uliisar des approches totalement différentes = tre basés sur d'autres technologies (o"est-A-dire utiliser différents types d’équipement pour atteindre les méme résultats); NOTE 1 ~ 1 taut reconnaltre que, aussi diverse que solt la techaologo, dane Ie oat do eystimes & haut siveay ‘int6prhs oo s6curK® avec des conséquences partculorement graves en cas de défallance, dos inlos earont& prendre A 'enconire événements ayant une orgine commune & fable probablis, par example ‘= ne pas partager en commun des parties, services ou systémes annexes (par exemple Falimentation en énergie) dont la défaillance pourrait conduire & un mode de détaillance dangereuse de tous les sysizmes;, = ne pas partager de procédures communes ‘exploitation, de maintenance ou de test; 6tre physiquement séparés de tacon & ce que des défaillances préveibies n’atfectent pat feo aystémes de aécurté redondants ni les dispostifs externes de réduction de risques. NOTE 2 ~ La présente norme trate apéeifquament do Fallocation des prescriptions dintgrté de aécurté aux ‘yatomes de sécurto E/E/PE, at lon prescriptions sont epéaliges an iniquanl comment ce dot Bio réals. aiopation dex prescriptions dintegnté oe secure aux ayetbmes de aécurte passe eur une autre lachnologe et ‘aux dlaposttfs exemen de reduction da aque West done pas Valeo en détall dans la presente norme.STD-TEC b2SQ8-2~ENGL 1998 MM 4844693 ObI44G7 L49 a 61508-1 © IEC:1998 -61- NOTE ~ Safety roqurements allocation may be carted out in a qualtative andlor quantitative manner. 7.8.2.7 The allocation shall proceed taking into account the possiblity of common cause failures. If the E/E/PE safoty-related systoms, the other technology safety-rolated systems and ‘the extornal risk reduction facilities are to be treated as independent for the allocation, thoy shall = be functionally diverse (1.6. use totally different approaches to achieve the same result ~ be based on averse technologies (Le, use cifferent ypes of equipment to achieve the same result NOTE 1 - It has to be recognised thal, owovor dvarse the technology, Inthe case of high safety integrity eysiems ‘with particulary severe consequences In the avent of fale, apeclal precautions wil havo to be taken agalnet low ‘probably common caves events, Yor example aicratl crashes and warinquakes. = not share common parts, services or support systems (for example power supplies) whose failure could result in a dangerous mode of failure of all systems; = not share common operational, maintenance or test procedures; = be physically separated such that foreseeable failures do not affect redundant safoty- related systems and external risk reduction facilities. NOTE 2 — This standard la specially concerned with the alocation of tho safety Inlogrly roqulrements to the EJEIPE safety-related systems, and requiroments are specified as to how this shall be done, The alloction of ‘saloty integrity requirements to other tochrology eafetyrolated eysteme and to externa ria reduction feciliee Ie ‘morefore net coneiderad in detail ia ts standard,STD. TEC BLSOS-2-ENGL L998 MH YBYUT2 ObIDNbA 585 Ma 61508-1 © CEI:1998 [NOTE 2 ~ Une fonction de sécurité peut Gre allouse sur pluslgurs eystimes de sécurté, Figure 6 - Allocation des prescriptions de sécurité aux systbmes de sécurité E/E/PE, ystomes de aécurité bande aur une autre technologie et dlapositite externas: ‘de réduction de riaque 7.8.2.8 Si toutes les prescriptions du paragraphe 7.6.2.7 ne pouvent dtro satistaltes, alors los systémes de sécurité E/E/PE, les syatémes de sécurité basés sur une autre technologie et les dlspositits externes de réduction de risque ne doivent pas étre considérés comme indépendants, dane fe cadre dee objectife de allocation dintégrité de séourité, saut si la réalisation d'une azatyae a montré quis dilent eufisamment indénendants (du point de vue de Mwéorié de curité). NOTE 1 ~ Pour plus informations aur analyse dee défaliances dépandantes, vor ls rétéanoas [3] t [10] on amare 6. NOTE 2 ~ La nollon dindépendance aufisania est élable an démonirant que ta probabllté dune détallance iaamment falble par rapport aux prescriptions globales dinégrité de edour pour lee eyetémenSTD-TEC b1S08-2-ENGL 1998 MMH HA44S92 ObIHbT 422 A 61508-1 © IEC:1998, -63- NOTE 1 ~Satoty iniogrtyroqukements are assccieted with each safety function botore alloation (408 76.2.6). NOTE 2A eafoty function may ba alceated across mare than one aaley lated syetor, Allocation of safety requirements to the E/E/PE safety-related systems, other technology eafoty-ralated ayatems and external risk reduction facilitia Figure 7.8.2.8 If not all of the requirements in 7.6.2.7 can be met then the E/E/PE safety-related systems, the other technology safety-rolated systems, and the external risk reduction facilities shall not be treated as indopendont, for the purposes of tho safety integrity allocation, unless an analysis has been carried out which shows thet they are sufficiently independent (from a ‘safely integrity viewpoint). [NOTE 1 ~ For further information on dependent falures analysis coe reerences (9] and {10 n annex C. NOTE 2 ~ Sufficient independance is established by showing that the probabilly of a dependant tally le ‘sufficient low in comparison wit te overall safety ntaprly requirements for the E/E/PE safety reialed ystems,STD-TEC bASOS=2-ENGL 2998 MM NANNATL Ob92470 333 Ba ~ 64 61508-1 © CEI:1998 7.6.2.9 Loreque Vllocation a sulfisamment progressé, les presoristions d'intégrité de ‘sécurité, pour chaque fonction de sécurité allouée au(x) systéme(s) de sécurité E/E/PE, doivent tre spécifiges sur le plan dee niveaux d'intégrité de sécurité conformément aux tableaux 2 ot 3, of Bre qualiios do fagon 2 ndquer 3 le paramete dings de abcurié cible est soit = ta probabilité moyenne de défaillance & exécuter, lors d'une solicitation, les fonctions pour esqualies i! a été congu (pour un mode de fonctionnement & faible solicitation) soit = la probabilité d'une défaillance dangereuse par heure (pour un mode de fonctionnement ‘continu ou & farte solicitation). NOTE 1 ~ Préalablement & cette étape, lea prescriptions crtégrté de sécurité ont 6 sptciiées en termea de réguction oe rlegue (vlr 75). NOTE 2 ~ Lee tableaux 2 et 3 contennent lon mesures cibles de défaliance pour ies nlvoaux ciniéaré de vécuris. ‘On accepts QUil no sera pas poeatble de prédire quantiaivamont Iietgpdié do eécurte de tous lee aspects dos aytitmes do sécurts E/EIPE. Loe Tochaiques, mesures ot jugoments quallatfe seront réaleer avec les Dracausions nécossalres pour attaindre lea meaurea cbiee ge défallance, Cela eat pariculbrement val dane le AB ‘Tune indgria de adcurhe syatématique (vol 8.5.4 de ta CEI €1508-4). _ ‘Tableau 2 ~ Nivesux d'Intégrité de eécurité: mesures olbies de défalilance pour ‘une fonction de sécurité, aliouse & un systime de sécurité E/E/PE fonctionnant ‘en mode de sible solicitation ode de fonetl (Probabiite moyenne de défatianoe & oxéeute, lore une soltotanon, ta fonction pour laquelle a 6 congu) z1oeacto+ Bioko Pisacto? Biota 10 [ROTE = War wate Sao eens pour Tinea aioe ao cw Niveau inoment& alse sailctation| integrts do ‘tours ‘Tableau 3 - Wiveaux dintégrité de eécurité: mesures olbies de défalllance pour une fonction de sécurité, allouée & un systime de sécurité E/E/PE fonctionnant ‘en mode continu ou de forte solilcitation Niveau | Mode de fonctionnement continu ou B forte sociation inubgrnd. oe | (robablts 'une étatance dangereute parhaure) * 210 a< 10% 3 B108a< 107 z ior ac 10? 7 Biotactos NOTE — Voir notes 9 8 9 chdessous pour Finterprétaton détaliée do co tableau. NOTE & ~ Voir 3.8.12 de fa CEI 81508-4 pour Ia détniion dos termes «mode de fonctionnement & fable ‘olictations, et xcontine ou 2 Tore wolitaton» NOTE 4 - Le paramdire Gu tableau 3 pour un mode de fonctionnement contnu ou & forts sociation, ta sprobabiié dune dstallance dangereuse par heure-, eat parfola appelé. «ltbquance des. délailances , en nombre de Getallancee dangerevooe par heure. NOTE 5 - Loraqu‘un ayetdme do eécurilé E/E/PE doltére exloié dane un mode de fonctionnement continu ou & ‘orto soietation, pour une durée et pour une mleson déterminge pandant laquelle aucune réparaion ne peut avolt ‘eu, fe nlvenu eimepnis de agcumle néceaeair pour une fonction Ge asours donnée peut wo cedure comme aul. Déterminer i probabite de délailance dela fonction de sdourls pendant la urbe do in mission et dvs cette Drobebité par'a durde dota iasion afin obtonr la probablité de détallance par Neue; utiaet alors le tableau 3 our en dédube lo niveau proses! dintégie de néautie.STD-IEC bLSOS-2-ENGL 2998 MM MAUNSI2 DESL473 O77 Mi 61508-1 © IEC:1998, -65~ {9 When the allocation has sulficiently progressed, the safely integrity requirements, for ‘each sefely function allocated to the E/E/PE safety-releted system(s), shall be speciied in ‘terms of the satety integrity level in accordance with tables 2 and 3 and be qualified to indicate ‘whether the target safely integrity param ither ~ the average probability of failure to pertorm its design function on demand (for a low demand mode of operation), or = the probability of @ dangerous failure per hour (for @ high demand or continuous mode of operation). NOTE 1 ~ Prior to tia step, te safety intogiy requirements wore sp8cted In terms ofthe ak reduction (498 7.5) [NOTE 2 ~ Tables 2 and 3 contain tho targotfalure moasures forthe satty integrity levela. It accepted that It wil fot be possible to predict quantitatively the aafaty iniogiy of al sopacte of E/E/PE salely-rlated system. {Gualtazvo toohriqugs, maeavres and Judgements wit have lth respect to tha precautions nesoseaty to meat the targt failure measures. This Is paricularly tue in W c88e of systematic safety negrty (e00 3.5.4 of re 815004), ‘Tabla 2 ~ Safety Integrity levels: target failure meagures for a safety function, atiocated to an E/E/PE safety-related system operating in ‘Sow damand mode of operation ‘Satoly integrity, ‘Low demand mode of operation (Average proosblty of falure to part ta "deaign function on demand) 4 210 <104 2 ioe <10% 2 210 w 107 7 210.107 NOTE S09 notes 8 108 below for details on interpreting this table ‘Table 3 ~ Safety integrity levels: target failure measures for a safety function, ‘allocated to an E/E/PE entety-related ayetem operating in high demand ‘or continuous made af operation “atety inngrty | High demand or continuous mode ot operation a {Propabiy ofa dangerous are por hour 2 Bi0* toc 104 3 Bi0# 196107 2 Bier 9c 104 7 Bi0e 9c 108 NOTE - Sea notes 109 bolow or celal on intrproting tis table. NOTE 3 ~ See 3.5.12 of IEC 6508-4 for dation ofthe terms low domand mode and righ demand or continuous rode of operation. NOTE 4 - The paramoter in table 9 for high demand of convous made of operaion. probably of a dangerous failure per our, is eometimes refered To a8 te frequency of dangercvt fallures, or cangerous fllure rat, in units (of dangerous Iailues per hour NOTE 5 ~ Foran E/E/PE safay-talato systom operating In high demand er continuous mode of operation which ie ‘aquired fo operate for defined mission tie during wich no rapt can take place, tho requiod eataly etoglly level for a safety Tuncton can be derived as follows. Dotermine tho requirad proDabity of falure ofthe safety {function during the masion time and clvids ths by the mission time, to give a required probably of laure per hour, mon usa table to derive the raqlred saely Intogty level.STD-TEC G2SO8-2-ENGL 1998 MH 4A4YUASL ObIDN7Z TOL Ma 66 ~ 61508-1 © CEL:1998 NOTE 6 - La présente norme défnt une limite inférieure pour jes meaures cles de détaiance, dane un mode de <étallance dangereux, qui peut Bre exipbe, Collec aon! spéclées comme étant le limites inféleures pour le riven 4 cFintégets oe sécunts (c’eat-d-dlre une probabilié moyenne de détallance de 10-> & exdcutet. lor d'une solicaton la fnton pou qual GH cong, ou une bal de dfitace dangerause de 10. par Four). i peut atte posaisia de conoevet des aystémes do sbourkh ayant ‘mesures cles de délallance dane ie can de systemes non complexoe, ral tablearx ropréserient ta lite de ce qul peut Wire réalee A Theure actuate pou ‘complexes (par example dex aysidmes dactroniques prograrsables relate & ln our). NOTE 7 ~ Leg mesures oibles do détailance qui peuvent tire axigées quand deux ou plusioura systimes do ‘teunté E/E/PE sont utlieée peuvent Be mailaures que cAllas Indiquées eux tableaux 2 3, & part du moment ‘0 dos niveatx adequate independance vont réaleée. NOTE 8 ten nara de ota ute mesures de dance pou neu ri de bc 1230 8 ‘ont des mesures cbles de détalance. On accepte quilt sora postlbie de quantifier et e'appiquer des tachniquoe e présition de lallts parmetant 'dvaluer ables manures cles de délallance ont 6 atsintes, seulement pour inkdgrité de agourté du matériel (voir 8.5.5 dp la CE! 61608-4). Lee techniques et jupemonta qualtatis sont & aliger avoc tee précautlona nécessalves pour atsindre lee mesures cies de délaliance en ce qUl concerne "imagrne ae wocum ayatémanique (voir 86-4 dein CEI 1608-4). [NOTE 9 ~ Lee presorintions cFintégnté de sécurité pour chaque fonction de aécuré delvent bre qualifies de tagon ‘indiquer ale parame Cindgrt de wécurte cle est sol = la probaé moyenne da détailance & extouler, tow dune solicitation, le fonctions pour eequelies ia 6té ‘congu {pour un mode de fonctionnerant& fable soliton) ect = 1m probabiiié une cétallance dangerouse par taure {pour un mode de foncttonnement cantina ov & forte ‘otlenaton) 7.8.2.10 Pour ce qui est d'un systime de sécurité E/E/PE qui met an cnuvte des fonctions de sécurité ayant des niveaux d'intégrté de sécurité différents, et sauf s'il peut étre démontré qu'il ¥ a une indépendance suffieante dans ia mise en couvre de ses fonctions de sécurité, les parties du matériel et du logiciel relatives & la sécurité of il n'y a pas une indépendance suffisante dans leur mise en couvre doivent &tre traitées comme si elles faisaient partie de Ia fonction de sécurité ayant le plus haut niveau d'intégrité de séourité. Par conséquent, les. Prescriptions applicables au plus haut niveau dintégrité do eécurité correepondant doivent ‘s'appliquer & toutes ove parti [NOTE ~ Voir également 7.4.24 dola pare 2 ot 74.2.8 do a pare 3 7.8.2.1 Une architecture (de systtme) qui ne comprend qu'un EJE/PE de niveau 4 d'intégrité de sécurité ne doi Atra pormise que ‘des points b) et ¢) (ensemble) ci-dessous sont ramplis: un seul systéme de sécurité 96 critéres du point a) ou 8) 1a maaure cible de détailiance d'intégtité de sécurité a St6 démontrée de fagon explicite, ‘par une combinaison des méthodes analytiques et des tests appropriés; b) 07 posaéde une importante expérience en exploitation des composants ulilisés au sain du aystéme de sécurité E/E/PE; cette expérionce dot avoir été acquise dane un environnement similaire et, au moins, avoir éié utilisée dens un systéme de niveau de ‘complexité comparable; ©} on possdde suifisamment de données de défailiance du matériel, obtenues sur les ‘composents utilisés au sein du syetéme de sécurité E/E/PE, pour permetire une confiance ‘suffisante sur la masure cible de défaillance d'intégrité de sécurité du matériel qui sera ‘exigée. Il convient d'utliser des données approprides & l'environnement proposé, application ‘et le niveau de complexité, 7.6.2.12 Aucun eystame de aécutilé E/E/PE unique ne doit 8p voir allouer une mesure cible de détailance d'intégrité do sécurité inférieure & celle spécitibe dans les tableaux 2 et 3. C'est- a-dire que pour les systémes de sécurité fonctionnant en = mode de fonctionnement & faible solicitation, 1a limite inférieure est fixée pour uno probabilité moyenne de détaillance de 10-5 & exécuter, lors d'une solicitation, la fonction our laquelle ila 6t6 congu; mode de fonctionnement continu ou a forte sollicitation, la limite inférieure est fixée pour ‘une probabilité de défaillance dangerause de 10-9 par heure.STD.TEC 62508: ENGL 1998 MM 484NATS 0692473 42 Mm 61508-1 © IEC:1998 ‘a average probably of telure ure of 10-* pr hour). Ht may be possibo to achlava designe of slely-elatod aystome with lower Valves or the lrgot tau measures for rors ‘complex systoms, butts considered that i ‘atively complex syatems (lor axxo NOTE 7 ~ The target falure measures thai can be claimed when two or ore E/E/PE setatyilted systems ‘used may ba beter than those indicated in ‘ables 2 and 3 providing thal adequate level of Independence sre achieved, NOTE 8 - tte Important 0 noto tat the tallre measures for safety Integy levels 1, 2, 9 and 4 are target tallure meagre. ti accep tha oy wt respect the harware satay iapy (e865 of I 1506-4} wl Mb poseibie to quantty and apply olablity prediction techriques in ausoesing whathor the targot fluro measures. Fave been mot. Quaalive techniques sod juegements have to be made wih respect to the precautions necetsary {0 meet Te target fallura measures wiih respect toto eyetamatl eatety imagely (200 3.5.4 of IEC 1808-4). NOTE 9.— Tho aafoty integrity ragirements for sac. safety function shall be qualified to inleate wheter each target ealety Integy parameter ie ether spatayraaeprbabity of alr te pum iw devin funon on demand (or ow camené made o ‘poration, oF =the probably of a dangerous lllure par hour (fora high demand or continuous mode of operation. 7.82.10 For an E/E/PE safety-related system that implements safely functions of different safety intogrity levels, urless it can be shown ficient independence of implementation between these particular safety functions, those parts of the safety-related hardware and software where there is insufficient independence of implementation shall be treated as belonging to the safety function with the highest safety integrity lavel. Therefore, the requirements applicable to the highest relevant safety integrity level shall apply to all those parts. NOTE - See algo 7.4.2.4 of part 2 and 7.4.2.8 of pars. 7.6.2.1. An architecture that is comprised of only a single E/E/PE safety-related system of ‘safety integrity level 4 shall be permitted only ifthe criteria in alther a) or both b) and ¢) below are met: 8) there has been an explicit demonstration, by a combination of appropriate analytical methods and testing, of the target safety integrity failure measure; b) there has been extensive operating experience of the components used as past of the E/E/PE safety-related een such experience shall have been gained in a similar environment and, a8 a Minimum, have been used in a eysiom of comparable complexity part of the to allow sufficient confidence in the hardware safety integrity ed. The data should be relevant to the proposed ‘environment, application and complexity level 7.6.2.12 No single E/E/PE safety-related system shall be allocated a target safety integrity failure measure lower than specified in tables 2 and 3. That is, for safety-related systems operating = a low demand mode of aperation, the lower limit is set at an average probablity of failure of 10° to pertorm its design function on demand; = & high demand ot continuous mode of operation, the tower limit is dangerous failure of 10-® per hour. et at 2 probability of &STD-IEC bLSOG-2-ENGL L958 MH 4844892 DbTLN7Y 889 A 88 ~ 1508-1 © CEI:1998 13 Liinformation et les résultats de allocation des prescriptions de sécurité acquise lee paragraphes 7.6.2.1 & 7.6.2,12, en mimo temps que toutes les hypothéses et les |ustifications effectubes, doivent étre documents. NOTE ~ Pour chaque systéme de aéourié E/EIPE, i eat racommandé d'avoir eufiaamment finformalton eu lee Tonctions de séouré t leurs rivequx integmte ae aécurte aanoolse. Cotte information formers la beso des Prescriptions de secur pour lea eystimes de adcutié E/E/PE développés dane la CE! 61606-2 7.7 Planitication globale de I'exploltation et de Is maintenance NOTE 1~ Cette hase correspond & la case 6 de I igure 2 NOTE 2~ Un exemple de mocble 'activte on explottaton ot maintenance eet prévents a la igure 7 NOTE 4 Un exemple de moddle de gestion de rexplotation ot de Ia maintenance est présenté& a figure 8. 7.74 Objectit LLobjectt des prescriptions de ce paragraghe eat de développer un plan d'expoitation et do maintenance des systémes de sécurité E/E/PE, pour assurer que la sécurité fonctionnelle prescrite est maintenue pendant l'exploitation et la maintenance. 7.7.2. Prescriptions 7.7.2.1 Un plan doit étre préparé. II doit spécifier les aspects suivants: 1a) les activités systématiques qui doivent @tre réalisées pour maintenir la sécurité fonetionnelle prescrite des systémes de sécurité E/E/PE; ) 198 activités et contraintes qui sont nécessaires (par exemple lors du démarrage, de exploitation normale, des tests systématiques, des perturbations prévisibies, des anomalies ot de larrét} pour éviter un état de non-sécurité, pour réduire les sollicitations du systdme de sécurité E/E/PE ou pour réduire les conaéquences des événements dangereux; [NOTE 1 ~ Loe contrainte, condone et actions euivaniee so rapporient aux eyetdmes do adcurh E/E/PE: zrcfSitinis eu expoaion de "ELC pendant une ancmate ou une détitanco des sytimoe co a6urté = contrainies eur expication de "EUC pendart ia maintenance dos sysemes de sbcurié E/EPE; Joraque dee contrainie sur Fexplokation de "EUG peuvect ste supprimées: ~ lee procédures pour le retour & une exploitation normale; = 108 procédures pour cantirmar que Nexplohation normale a 46 ré‘abie; ‘= lot crconstances pendant lanquliee lax fonctions du ayetbmo de asourté E/E/PE peuvent Bre shuntbos (by- ‘Pass) pour te démarrage, pour une explltaden epéciale ou pour des testa; = lan procédures & suive avant, pendant ot aprbe fe shuntago dee aystomes de sécurté E/EIPE, y compris lee Drocédures d'engagement de vavaux et lee rivegux d'auloraation, ©) les documents montrant les résultats d'audits et de tests de sécurité fonctionnelle, qui ont ‘besoin d'étre conservés; 4) los documents eur lee incidents dangereux et tout incident pouvant potentiellement créer un événement dangereux qui ont besoin d'8tre conservés; ©) le domaine des activités de maintenance (que l'on distingue des activités de mocitication); {) les actions & ontreprendre lorsqu'un danger survient, 9) le contenu de la dacumentation chronologique des activités exploitation et de maintenance (voir 7.18). NOTE 2 ~ La majomé des symtnas do sécunté E/E/PE ont des modes de détaltance qui ne power se ‘Sécouverts que par des test lors Xe Ia maintenance eystématique. Dane de tel8 cas, a ie taste ne sont pas ‘ffectube & une fréquence autfiarte, Tntégmié de aécurté presctte du syatéme de séouré E/E/PE ne vera pas atteinte. Loreque ls tees gont exéoutés en ligne (onlin), peut re néceseaire de déeactvertemporalroment le ayetdmo de otourté EIEIPE, Il convient de ne eonaldérer cette posellité que alia probabllté d'une solctiaion se Droduleant pendant ce Yempe eet Be inbin. Loreque Fon ne pau! een aaaurer I peut ate nécessalre dinstaor ‘dos capteura et actlonneure supplémeniares pout maintenir ta secu fonctionrellepresorite pendant Io tox.STD.TEC BLSDA-1-ENGL 1998 MM YBY4S5L OL9L475 725 me 61508-1 © IEC:1998 ~69~ 7.62.13 The information and results of the safety requirements allocation goquited in fubclaunes 7.6.2.1 10 7.62.12, ogethr with any assumptions and justifications made, shal bo focumented. NOTE ~ For each E/E/PE satotyrolates eyatem, thore should bo autiient Information on the salely unctons ‘all ansociated safety Integrty levels The Information wil form the basi cf tho ealely requiremonta for the EIE/PE sxfatylated systems covelopod In IEC 1508-2, 7.7 Overall operation and maintenance planning NOTE 1 This phase le box 8 of igure 2. NOTE 2 An example of an operation and maintonanes ctviise modells shown in gure 7. NOTE 3~ An example of an operations and maintenance ranagemsnt modal is shown in gure 8. TIA Objective ve of the requirements of this subclause is to develop a plan for operating and the E/E/PE safety-related systems, to ensure that the required functional safety is, 19 operation ard maintenance. 7.7.2 Requirements 7.7.2.1 Aplan shall bo prepared which shall specity the following: the routine actions which need to be carried out to maintain the required functional safety of the E/E/PE safety-related systems; ) the actions and constraints that are necessary (for example during start-up, normal operation, routine testing, foreseeable disturbances, faults and shuldown) to prevent an unsafe state, to reduce the demands on the E/E/PE safety-related systom, of reduce the ‘consequences of the hazardous events; NOTE 1 ~The followng contrainte, conditions and actions aro olevact to E/E/PE salty elated eyatoms: = constraints on the EUC operation during a fault or Inlra of the E/G/PE eafaty-lated eyster = constraints on the EUG operation duing maintenance of the E/E/PE ealty-elatd systore, = whan conaraints on the EUC operaion may be removed — the procedures for rating to normal operation; = the procedures for confirming that normal operation has been achieved; the croumetancas under which the EJE/PE safey-olated ayetom Tunctione may be by-pagsed for start-up, tor ‘specie! operation or fr tasting: = the procedures 12 be followsd belore, during and after by-passing E/E/PE safety-related systems, Including Dermit © work procedures and authority loves. 0} the documentation which needs to be maintained showing results of functtonal safety audits and tests: d) the documentation which needs to be maintained on hazardous incidents and all incidents with the potential to create @ hazardous event; ©) the scope of the maintenance activities (as distinct trom the modification activitiss); 1) the actions to be taken in the avent of hazards occuring: 9) the contents of the chronological documentation of operation and maintenance activitios (see 7.15). NOTE 2 - the majotty of E/E/PE salety-olated aysioms have some tellure modes mhich can bo ravealad only by {eating dung routine maintenance. In auch cages, il tastng Te not carried out al uiliclent frequency, the required talely imsgrty ofthe STE/PE ealey-rlaleg syetor wil nol be acrioved, Where testing ls cartied aut Gr-lna, K may be necoseary to cégbla the EVE/PE safety-related system on a tomporary basis, Thie should be considered ony it the probably of @ demand occuring during thie time ie remote. Where this cannot be onsured, it may be mecessary 10 etl adgtionel senaors and actuators 1o maintain ie required functianalwafey during tstng.STD. TEC GLSOS-2-ENGL 1998 MM 484489% OLS347b G52 mm -70- 61508-1 © CEI:1998 NOTE 3 - Co paragraphe s'appique & un tourmisesur ae logiciel aul ost tonw de foumir Finlormation ot tes Drooédures aves le progul logical qul permetta & Fulesteur raseurr ln sécurité fonctonneli presctto pendant Fexplotaion at la maintenance d'un eystbme de sdourté. Cola comprand les procédures prepataloies pov t0\te ‘modification de logiciel susceptible d'etre effectube en consequence Gune prescription sexpioiaion Ou de ‘maintenance (vol” aval an 7.8 de ia CE! 61506-3). La mise on cauvre de cet procédures eat valiée dans 19s Daragraghes 7.15 ot 7.8 de la CEI 61608-9. Lee procédures préparalcires pour les tre changements do logiciel Sotceptibies dere effectubs en conséquence d'une prescripton de modification pour un ayatbme de aéautt6 sont Uwatdes dans loe paragraphes 7.16 et 7.6 de ta CEI B1608-5, Le Mive on cauvre do cee procbovees ost tralia dane to paragraphs 7.10 et 7-8 dela CEI 618082. NOTE 4 i conviart de tenir compte des proctdures c'explohaion et de maintenance développées pour sattare ‘tux prseriptione do In CET 61508-2 et de In CEI 616009. 7.1.2.2 convient de déterminer, par une analyse systématique, les activités de maintenance ‘systématique qui sont réalisées pour déterminer les détaillances non révéiées. NOTE - 81 dae détaitances non r6vélées no ont pas détecibes, cola pout = _conduire & une délallanca du foncilonnemant tre guns solictaion, Gans le cas Jo syetbmes de sdcurs 'EIE/PE, do ayetdmes de aécurlté bande sur une aulre echoologl Cu de lspositf extemes do reduoton de neque; = générer dos soliciations des systimes de adourté E/E/PE, dee eyetimes do sécurté besés tur une autra Technologie ou dee deposits externes de reduction de wave, dant le cas de eyldrnes nan relaie hla sdcurts 72.2.3 Le plan ‘maintenance des syst8mes de sécurité E/E/PE dof étre agréé par les Personnes responsables ultérieurement de Fexploitation ot da la maintenance des systomes de sécurité E/EPE, des systémes de sécurité basés eur une autre technologie, des dispositifs extemes de reduction de risque et des syst8mes non relatifs & Ia sécurité qui pexvent potentiollement solicter los systémes de sécurité. 7.8 Planification globale de la validation de te sécurité [NOTE ~ Cette phase correspond A la case 7 do a igure 2 7.8.1 Objectif Lobjectif des prescriptions de co paragraphe est de dévelonper un plan pour faciliter la validation globale de la sécurité des syalémes de sécurité E/E/PE. 7.82 Prescriptions 7.8.2.1 Un plan contenant les aspocts suivants doit &tre développé: 1) les détails concernant les dates de la validation; 'b) les détails concernant les personnes en charge de la validation; ©) 1a spécification des modes pertinents d'exploitation de 'EUC, avec leurs relations au systéme de sécurité E/E/PE, comprenant, loreque c'est approprié les préparatife d'utilisation, y compris la configuration et ies réglages; = le mode automatique; = We mode manuel; — le mode semi-automatique; conditione anormales raisonnabloment prévisibies; 4) Ia epécitication des systémos de sécurité E/E/PE qui ont besoin d'étre validés pour chaque made d'exploitation de 'EUC avant que ne commence ta mise en service;STD-IEC bBS08-2-ENGL 2998 MM YSY459) Ob92477 596 61508-1 © IEC:1998 == to provide intrmation and prosesuras ‘tis tno sttmare product Pat wil aiow the usar to aneure the ragulrad functonaleatly ding th operation and Iainonance ot 8 Sallyleed aysiom. This Ines proping proveduras for any solware modteaton that ‘ould come aout an consequence of an operations x maininaace requirement (ose leo 7.6 of EC e1600"9). implementing the procedures te covered by 7.18 and 7.8 of IEC. 81800-2, Preparing procedures for flue ‘otware ehergos at wil come about ex a coneoguence ofa modicaionrequcamant for & safety-related ayo fro dean wh In 7-16 and 7.8 of IEC €1608-9. Mmplamenting thoee procedures ts covered by 7.16 und 7.8 of fee otsoes NOTE 4 ~ Account should be takan of the operation and maintsnance procedures developed te meet the requirements in IEC 61800-2 and IEC 61508-. 7.7.2.2. The routine maintenance activities which are carried aut to detect unrevealed faults should be determined by @ systematic analysis. NOTE ~ if unrovested faults are not detected, thoy may = inthe cate of E/E/PE salety-ralated aystems, cer technology satety-efad aystome or externa isk reduction facilis, lead toa talus to operate on demand, = In tho caso of non-satey-ralated aystems, load {0 demande on the E/E/PE selety-elated aysteme, otter twonnology ealety-olated syatome, or extemal isk reduction faites 7.7.2.3 The plan for maintaining the E/E/PE safety-related systems shall be agreed upon with ‘hase responsible for the future operation and maintenance of the E/E/PE safety-related ‘systems, the other technology safety-related systems, the extemal risk reduction facilities, and the non-safety-related systems that have the potential to place demands on the safety-related systems, 7.8 Overall safety validation planning NOTE ~ Ths phase le box 7 of tawre 2 7.8.1 Objective ‘The objective of the requirements of this subolause is 10 develop a plan to facilitate the overall ‘safety validation of the E/E/PE safety-related systems. 7.8.2. Requirements 7.8.2.1. Aplan shall be developed which shail include the following: 4) dotails of when the validation shall take place; b) details of those who shall carry out the validation; ©) specification of the relevant modes of the EUC operation with their relationship to the E/E/PE safety-related system, including whore applicable — preparation for use, including setting and adjustment; = start ups = teach; = automatic; = manual; ~ semi-automatic; = steady state of operation; ~ re-setting: — shut down; = maintenance; = reasonably foreseeable abnormal condition specification of the E/E/PE eafety-relatad aystems which need to be validated for eachSTD.TEC bLSOS~2-ENGL 1998 MM NA44ASL Ob9L478 424 -R- 61508-1 © CEI:1998 ©) {a stratégio technique pour Ia validation (par exemple los méthodes analytiquos, les tests statatiques, etc): Mesures, techniques at procédures qui doivent étre utilisées pour contirmer que allocation des fonctions de sécurité n #6 réalisée correctement; cela inclut {a confirmation {que chaque fonction de sécurité est en conformité — avec la apécification pour les prescriptions globales de fonctions de sécurité, et ‘= avec la spéalfication pour les prescriptions globales d'intégrté de eéourité; 9) 1a rétérence apécifique & chaque élément contenu dans les données de sortie de 7.5 et 7.6; fh) environnement prescrit dans lequel ies activités de validation doivent se dérouler (par ‘exemple, pour des tests, cela comprandrait les outils calibrés at les équipements do test); |) Jes critéres c'acceptation at de rejet; 1) I96 politiques et procédures d'évaluation des résultats de la validation, particulidrement des défaillances. NOTE - Pendant Ja planiication de fa validation globae, 1! convient de tenir compte dex vavaux planifiée pour tx valldstion de sbcurts des E/EIPED ot pour fa valdation du logical, tala que provers dana ia CE) 61608-2 ot la ure que le interactions rire ioutas les mesures de riduction de aque sont ‘Steud (ello que epécioéen dans lee soriee do 7.5) ont 616 7.8.2.2. Lintormation provenant de 7.8.2.1 doit 6tro documentée et doit constitver le plan pour la validation globele de la sécurité des syst8mes de sécurité E/E/PE. 7.9 Planitication globale de installation et de ta mise en service [NOTE ~ Catto phase coreepond a a case 8 dein igure 2 Objectite 79.4.1. Le premier objectif des prescriptions de ce paragraphe est de développer un plan our que f'nstaliation des systémes de sécurité E/E/PE soit meltriaée, pour assurer que la ‘sécurité fonctionnelle preserite sot atteinte, 7.8.1.2 Le second objectif des prescriptions de ce paragraphe est de développer un plan pour que la mise en service des systames de sécurité E/E/PE soit mattrieége, pour aseurer que la sécurité fonctionnelle prescrite soit atteinte, 9.2 Prescriptions 7.9.2.1 Un plan pour linstalition des systdmes de sécurité E/E/PE doit Btro dévoloppé, spécitiant = {lo programme c'installation; ~ a personne responsable des différentes parties de finstallation; = los procédures pour rinstallation; = la séquence dintégration des différents é'éments; — e8 oritdres permettant de déclarer que tout ou partie des systémes de sécurité E/E/PE sont préte pour Yinetallation ot permetiant de déciarer que les activités installation sont torminées; = les procédures pour la résolution des détaillances et incompatibilitée.STD-IEC bLSOB-1-ENGL 1998 MM 4844691 0692479 360 of 61508-1 © |EC:1998 ~7a- ) the technical strategy forthe validation (tor examole analytical methods, sastial tat, ote,); 1) the measures, techniques and procedures that shall be used for confirming that the allocation of safety functions has been carried out correctly; all include confirmation that each safety function conforms - with the specification for the overall safety functions requirements, and to the specification tor the overall safety integrity requirements; 9) pectic refarance to each element contained inthe outputs from 7.6 and 7.6; fh) the required environment in which the validation activities are to take place (for example, {or tests this would include calibrated tools and equipment) 4) the pass and fail criteria; 1) the policies and procedures for evaluating the results of the validation, particularly failures. NOTE ~ In planning the overall valcation, account should be taken of the work planned fot E/E/PES salaty valldalon ard eottware validation ae required by TEC 61808-2 and IEC 6160-3. tfemporant to ensure et tre Ieraclons between all ak reduction measures are coneidrod and al salty functions (as specitd in the outputs (9 7.5} nave boon achieved 7.8.2.2 The information from 7.8.2.1 shall be documented and shall constitute the plan for the safety validation of the E/E/PE safety-related systems, 7. Overall installation and commissioning planning [NOTE ~Thie phasis box of figure 2 7.9.1 Objectives 7.9.1.1. The first objective of the requirements of this subciause is to devalop a plan fort! installation of the E/E/PE safety-related systems in a controlled manner, 10 ensure that the required functional safety is achieved, 7.9.1.2 The second objective of the requirements of this subciause is to develop a plan for the Commissioning of the E/E/PE safety-related systems in a controlled manner, to ensure the Tequired functional safety is achieved. 7,92 Requirements 7.9.2.1 & plan for the installation of the E/E/PE safety-related systems shall be developed, specitying = the installation schedule; = those responsible for different parts of the installation; = the procedures for the installation; = the sequence in which the various elements are integrated; = the criteria for declaring all or parts of the E/E/PE safety-related systems ready for installation and for declaring installation activities complete; = procedures for the resolution of failures and incompatibiities.STD-TEC BhSOS~L-ENGL 1998 MH 4844892 OG7LNRD O82 A -m4- 61508-1 © CEI:1998 7.8.22, Unpian pour la mise an service des systdmos de sécurité E/E/PE doit 81re développé, t ~ le programme de la mise en service; — la personne responsable des différentes parties de la mise en service; - les procédures pour la mise en service: = 198 relations avac les différentes étapes da Installation; = les relations avec la validation. 7.8.2.8 La planitication globsle de rinstallation ot de ia ‘en service doit dtre dooumentée. TAQ Réaileation: E/E/PES [NOTE - Cate phase correspond & a case 9 deta figure 2 ot aux canes 9.1 49.6 des figures Sot 4, 7.104 Opjectit LLobjectif des prescriptions de ce paragraphe est de créer des systdmes de sécurité E/E/PE contormes & Ia spécification pour les prescrigtions de sécurité des E/E/PES (comprenant {a ep6eification pour les prescriptions des fonctions de sécurité des E/E/PES et la spécification Bout les oreeciptone cintgrté de sécurté des E/E/PES). Vor la CE! 616082 ot le 1508-3, 7.10.2 Prescriptions Les prescriptions qui doivent étre remplies sont contenues dans la CE! 61508-2 et Ia CEI 61508-3. 7.11 Réaligation: autre technologie NOTE ~ Cote phase correpond & la case 10 de a igure 2 Objectit object des prescriptions de ce paragraphe ost de créer des systémes de sécurité basés sur tune autre technologie qui remplissent lee proscriptions de fonctions de sécurilé .et les prescriptions d'intégrité de sécurité spécitiées pour de tols syst8mes. ws 7.11.2 Prescriptions La spéeitication permettant de satisfairo aux proscriptions de fonctions de sécurité et les Prescriptions d'intégrté de sécurité pour les systémes de sécurité basés sur une autre technologie n'est pas traitée par la présente norme. NOTE - Loe systimes de sécunté basés sur une autre technologie sont basés sur une technologl® autre {qr saciunluegrenquelbiecrorgueprogrunmabie oa exampanyerulgue, auratus, fc) Lox aimee {de sécurts basse eur une autre toctnologle ont étb inoue dane lo cycle de vie de wcuflé giobal, avec les ‘apesiie externas de réductlon de risque, pour dot releone exhaust (vor 7.12). 7.12 Réallsation: dlapositita externes de réduction de risque NOTE - Cotte phase correspond & ia case 11 dea tgure 2. 7.12.1 Objectif Lobjecti des prescriptions de ce paragraphe est de créer des dispositifs oxtemes de réduction ‘de risque qui remplissent les prescriptions de fonotions de sécurité at les prescriptions CTintégrité de sécurité spécitiées pour de tels dispositifs.STD.TEC BLSOB-L-ENGL 1958 MM 484489) 053483 TLS am 61608-1 © 1EC:1998 -75- 7.9.2.2 A plan for the com specifying: ning of the E/EIPE safety-related systems shall be developed, = the commis 3ioning schedule; ~ those responsible for diferent parts of the commissioning; ~ the procedures for the commissioning; = the relationships to the differant steps in the installation; = the relationships to the validation, 7.9.2.3 The overall installation and commissioning planning shall be documented, 7.10 Realisation: E/E/PES. [NOTE ~ This phase is box 9 of igure 2 and boxes 9.1 10 9.6 of Routes Sand 4. 7.10.1 Objective The objective of the requirements of this subelause is to create E/E/PE safety-related systems conforming to the specification for the E/E/PES safety requlremonts (comprising the specification for the E/E/PES safety functions requirements and tho specification for the E/E/PES safety integrity requirements). See IEC 61608-2 and IEC 615082. 7.10.2 Requirements ‘Tho roquiroments that shall be met are contained in IEC 61508-2 and IEC 81508-3, 7.41. Reatisation: other technology NOTE This phase ie box 10 of figure 2 7.41.1 Objective is to create other technology safety-related and safety integrity requirements specified ‘The objective of the requirements ofthis subcia systems to meet the safety functions require for such systems. 7.11.2 Requirements The specification to meet the safety functions requirements and safety intogrity requirements for other technology safety-related systems Is not covered in dard. NOTE - Omer ecmnoogy afonerouted oystoma are based ona achrlogy othe rn electicaleleironcfprogmmmable lactone (or examole hyarauie, poeumatc eta), The oer technology eafelytetea systems have Doon Inctuded Inthe overal safety ilecyce,tgetner win the extemal ik redllon facie, for compateness (aee 7.12). 7.42 Realisation: external risk reduction facilitios [NOTE ~ This phase is box 11 of figure 2 7.12.1 Objective . ‘The objective of the requirements of this subciause is to create external risk reduction facilities to meet the safety functions requirements and safety integrity requirements specified for such facilities.STD-TEC bESOB-L-ENGL 1998 MM 4844892 OL52482 955 Me -76- 61508-1 © CEL1988 7.122 Prescriptions La spécification permetiant de remplir les prescriptions de fonctions de sécurité et les Prescriptions diintéyrité de sécurké aur les dispositifs externes de réduction de risque nest ‘pas traitée par la présente norme. [NOTE — Lee aheposiite axtarnes do réducton de risque ont 618 inclus dana le cycle de vie de mhcurté global, avec Jaa ayotames de sécurtd banés aur une autre technologie, pour Gee ralaons exhaustive (vote 7.11). 7.49 Installation #t mise en service globales NOTE - Cette phase correspond & la case 12 de la figure 2 7.13.1 Objectits 7.1.1.1 Le premier objectif des prescriptions de ce paragraphe est dinstaller les syst8mes do sécurité E/E/PE. 7.43.12. Le second object des prescriptions de ce paragrapho est d'aseurer Ia mise en ‘sorvico dos aysiomes de sécurité E/E/PE, 7.132 Preacriptions 7.13.21. Les activités d'installation doivent &tro réalisées conformément au plan pour Tinatallation des syst8mes de sécurité E/E/PE, 7.13.2.2. Liinformation documentée pendant installation doit comprendre — un dossier eur les activités dinstallation; = la résolution das défaillances ot incompatibiltés, 7.3.2.8 Los activités de mise on service doivent tre réalisées conformément au plan pour la mise en service des systémes de sécurité E/E/PE. 7.13.24 information documentée pendant la mis n service dolt comprendra — un dossier sur les activités de mise en service; — te rétérences des rapports de détaillanco; = ‘wréaolution des défaillances ot incompatibiltés. 7.14 Validation globale de la ebcurtté NOTE ~ Cette phase correspond a le case 18 68 la tgure 2. 7.14. Objectit Lobjectit des prescriptions de co paragraphe est de valider le fait que les systémes de sécurité E/E/PE remplissent la spécification pour les prescriptions globales de sécurité sur le pian des ‘prescriptions global fonctions de sécurité et dea prescriptions globales dintégrité de ‘sécurité, en tenant compte de lallocation des presoriptions de sécurité, pour les systémes de sécurité E/E/PE, effectude contormément & 7.6. 7.14.2 Prescriptions 7.14.2.1 Los activités do validation deivent tre réalisées contormément au plan de validation lobale de la sécurité pour les systmes de sécurité E/E/PE. 7.14.2.2 Tout équipement ullisé pour des mesures quantitatives, dans le cadre des activités de validation, doK étre étalonné vis-A-vie d'une spécitication se référant & une norme nationale ‘ou a la epéelfication du vendeur.STD.TEC G1S08-1-ENGL 1998 MM YBY4ASD ObTL463 65) Ml 61608-1 © IEC:1998 -7T- 7.12.2 Requirements The specification to mest the for the extornal risk reduction fac funetions requirements and safety integrity requirements ities is nol coverad in this standard. NOTE - The external sak reduction facies have been Incl in tho overa 8 ‘other technoiogy safety telated systems for complotenees (600 7-1). 3 Ueaycle, togatnar wih the 7.43. Overall installation and commissioning NOTE - This phase Is box 12 of igure 2 7.13.1 Objectives 7.13.1.1. Tho first objective of the requirements of this subclaus safety-related systems, to install the E/E/PE 7.13.1.2 The second object E/E/PE safety-rolated systems. of the requirements of this subclause is 10 commission the 7.43.2 Requirements 7.13.2.1 Installation activities shall be carried out in accordance with the plan for the Installation of the E/E/PE safety-related systems. 7.13,2,2 The information documented during installation shall include = documentation of installation activities; = resolution of failures and incompatibilies. 7.43.2.9 Commissioning activities shall be carried out in accordance with the plan for the ‘commissioning of the E/E/PE safety-related systems. 7.13.2.4 The information documented during commissioning shalt include ~ documentation of commissioning activities; ~ references to failure reports; = resolution of failures and incompatibilties, 7.14 vera antety validation NOTE ~ This phaso le box 19 of Higun 2. 7.141 Objective ‘The objective ofthe requirements ofthis subcl systome moet the specication for the overall safely requirements in tarms ofthe overall safety functions requirements and overall safety integrity requirements, taking into account the safety requirements allocation for the E/E/PE safety-related systems developed according to 7.6. is to validate thet the E/E/PE safety-related 7.14.2 Requirements 7.14.2.1 Validation activities shail be carried out in accordance with the overall satety Validation plan for the E/E/PE safety-related systems. 7.14.2.2 All equipment used for quanti 1all be calibrated against @ specification traceabi specification. Ive measurements ae part of the validation activities to a national standard or to the vendorSTD.TEC LSDA-2-ENGL 1998 MM YAYNSA} ObID4S4 726 Ml 7a~ 61608-1 © CEI:1998 7.14.2.8, information decumentée pendant la validation doit comprendre ~ un dossier, sous forme chronologique, des activités de validation; a version de ta spécification pour les prescriptions giobales de sécurité qui a été uitiede; ~ Ie fonction de sécurité qui a 6t6 validée (par test ou par analyse); — Je8 outils et '6quipement utlisés, ainsi que les données <'étalonnage; = los résultats des activités de validation; ~ Midentification de ta contiguration de Penvironnement de teat; = les décalages entre les résultats escompids et lee résultats réels. 7.14.24 Lorsque des dittérences surviennent entre les résultats escomptés ot los résultats ‘éols, analyse faite et les décisions prises concernant la poursuite de la validation ou bien Vémission d'une demande de modification et le retour & une partie antérieure de la validation doivent étre documentées. ntité test6e, les procédures appliquées et TAS. Exploitation, maintenance et réparation globeles NOTE 1 ~ Cette phave correspond & in caso 14d a gut 2 NOTE 2 ~ Lee mosures c'organiaation dont Il ast question dane ca pareyrapho pormetiont la mise an ceuvre ‘efleace des prescriptions techniques et ont pour unique But la rélietin et le msinden de la edcurté fonctonnote ‘dee aystdmes de eécurté E/E/PE. Lae prescriptions techniquae nécossalres pour malntri la sdourté fonctonnele ‘seront normalomont spécliéen dane une parte gem documentation donnée par lo fournineeut du ayetbme Jo ‘Sbourts E/EIPE. NOTE 3 — Lee prescriptions do afoul onctlonnate pendant les active de maintenance at de réparation pewverk {re dittéremon de cals preacstae pendant Fexpiaiaton, 7.45.1 Objectif objectif des prescriptions de ca paragraphe est d'exploiter, maintenir et réparer les systames 0 séourité E/E/PE de fagon & mainonit la sécurité fonctionnella prescrite. 7.15.2 Prescriptions 7.48.2.1 Ce qui suit doit étre mis en cavv = le plan pour la maintenance dos systémes de sécurité E/E/PE: = les procédures d'exploitation, de maintenance et de réparation pour tes systémes de ‘sécurité E/E/PE (voir la CEI 61508-2); = es procédures d'exploitation et de maintenance pour le logiciel (voir la CE! 61508-9). 7.18.2.2 La mise en couvre det points cités en 7.15.2.1 doit comprendre le démarrage des ‘actions suivantes: la mise en couvre des procédures; ~ 10 suivi des programmes do maintenance; = la maintenance des documents; — 1a conduite périodique d'audits de la sécurité fonctionnelle (voir 6.2.1 k)); 1a documentation des modifications qui ont é16 etfectuées sur les syetdmes de sécurité EVEIPE, NOTE 1 Un exemple de meddle «activité exploitation t de maintenance ext présenté& ie fgure 7 [NOTE 2 Un exemple de Modble de gestion de rexpiotaton et de im maintenance est prsenté Aa igure 8STD-IEC bLSOS-2-ENGL 2998 MM YS4NS9D ObID4S LEY Mw 61508-1 © IEC:1998 -79- 7.14.2. The information documented during validation shall include = documentation in chronological form of the validation activities; the version of the specification tor the overall safety requirements being used; the safety function being validated (by test or by analysis); tools and equipment used, along with calibration data; = the results of the validation activities; configuration identification of the ‘environment; mm under te t, the procedures applied and the test — discrepancies between expected and actual results. 7.14.2.4 When discrepancies occur between expected and actual results, the analysis made, ‘and the decisions taken on whether to continue the validation or issue a change request ar return to an earlier part of the validation, shall be documented. 7.15 Overall operation, maintenance and repair NOTE 1 ~ This phase Is box 14 oftiure 2, NOTE 2 - The organizational moasuros dealt with in this eubclause provce forthe effective Implementation of the technical requiroments and ara acely almod atthe achievement and maintenance 0} hsrdional safety of the E/E/PE nfey-Tlated systems. The veohnicn! quirements necseeary ‘or alntsining funcional satel wit normaly be ‘peciiod as part ofthe information provided by he supple of the E/E/PE safey-elated aystom, NOTE 3 ~ The functonal safety equlraments curing tha maintenance and repal activities may be diferent fom those required during operation. 7.15.1 Objective ‘The objective of the requirements of this subclause is to operate, maintain and repair the E/EIPE safety-related systems in order that the required functional safety Is maintained. 7.15.2 Requirements 7.16.21 The following shall be implemented: — the plan for maintaining the E/E/PE safety-related systems; = the operation, maintenance and repair procedures for the E/E/PE safety-related systoms (see IEC 61508-2); the operation and maintenance procedures for software (see IEC 61508-9). 7.15.2.2. implementation of the items specified in 7.15.2.1 shall include initiation of the following action ~ the implamentation of procedures; = the following of maintenance schedules; ~ the maintaining of documentation; — the carrying out, periodically, of functional safety autits (800 6.2.1 )}i = the documenting of modifications that have been mada to the E/E/PE safety-related systems. NOTE 1 ~ An example ofan opetation and maintenance activities models shown in figure 7. NOTE 2 An example ofan operations and maintenance management models shown In tigure 8.