NF EN IEC 61508 – fondement universel de la sécurité fonctionnelle

NF EN IEC 61508 (ang. IEC 61508) est une norme souvent considérée comme une « référence » pour d’autres documents sectoriels relatifs à la sécurité fonctionnelle. Elle définit les principes de réduction des risques dans les systèmes de commande fondés sur des technologies électriques, électroniques ou électroniques programmables (E/E/PE). Ses exigences reposent sur quatre piliers :

1. Cycle de vie de la sécurité (Safety Lifecycle)
   – de la conception initiale et de l’analyse des dangers jusqu’au retrait du système de l’exploitation.
2. Niveaux d’intégrité de sécurité (SIL)
   – attribués aux fonctions de sécurité afin de définir les exigences de fiabilité.
3. Management de la sécurité fonctionnelle
   – rôles et responsabilités clairement définis, procédures de vérification et revues de compétences.
4. Documentation
   – création, conservation et mise à jour de l’ensemble des données et rapports pertinents pour l’exploitation et d’éventuels contrôles.

Ces principes font que la 61508 ne se limite pas à un secteur unique. Au contraire, la norme a été conçue pour être adaptée aux spécificités de différentes industries : de la construction de machines au ferroviaire et à l’aéronautique, jusqu’à l’énergie (y compris nucléaire) et à l’automatisation des processus (voir aussi Automatisation industrielle).

Applications dans différents secteurs

Machines et lignes de production : NF EN 62061 et NF EN ISO 13849

Pour la conception de machines et de lignes de production, on se réfère fréquemment à :

• NF EN 62061 – « Sécurité des machines – Sécurité fonctionnelle des systèmes de commande électriques, électroniques et électroniques programmables liés à la sécurité »,
• NF EN ISO 13849-1 – qui décrit le « Performance Level » (PL).

Ces deux normes s’appuient largement sur les concepts issus de la 61508, notamment pour l’évaluation des risques, la détermination de l’intégrité de sécurité et les principes de redondance.

Exemples pratiques :

• Ligne d’emballage automatique : utilisation de barrières immatérielles et d’arrêts d’urgence, et conception du système de commande de sorte qu’en cas d’interruption du faisceau, les machines s’arrêtent immédiatement et en toute sécurité.
• Robots collaboratifs (cobots) : exigences supplémentaires relatives à la réaction au contact avec l’être humain, souvent en tenant compte d’un SIL 2 ou SIL 3.

La 61508 fournit une méthodologie générale, tandis que les 62061/13849-1 précisent comment réaliser, étape par étape, l’analyse des risques et la mise en œuvre des différentes fonctions de sécurité sur une machine (voir aussi Automatisation sûre des machines).

Ferroviaire : série EN 5012x

Dans le secteur ferroviaire, les normes de référence sont :

• EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
• EN 50128 (logiciels ferroviaires),
• EN 50129 (systèmes électroniques pour la signalisation ferroviaire).

Chacune d’elles, du point de vue des exigences de sécurité, renvoie à des règles fondamentales proches de celles de la 61508. On y retrouve également des niveaux SIL (généralement 0–4) ainsi que des exigences strictes en matière d’indépendance des architectures (redondance des canaux) et de résistance aux perturbations (défaillances de cause commune).

Exemple :

• Commande du trafic ferroviaire : en cas de risque de collision, les freins sont déclenchés automatiquement. Si un tel système est classé SIL 4, il doit satisfaire à des exigences de fiabilité extrêmement élevées et à des procédures d’essais rigoureuses, conformément aux EN 50128/50129.

Industrie de procédé : NF EN 61511

Pour les installations chimiques, la pétrochimie, les raffineries ou les unités de traitement du gaz, on se réfère à la norme NF EN 61511 – directement dérivée de la 61508, mais spécifiquement centrée sur les SIS (Safety Instrumented Systems).

• Conception des boucles de sécurité (SIF – Safety Instrumented Function) et détermination du SIL pour chacune d’elles.
• Utilisation fréquente de la méthode HAZOP dans l’analyse des dangers liés aux procédés.
• Vérification que les capteurs et les actionneurs présentent une fiabilité adaptée et qu’ils sont testés à intervalles réguliers.

Énergie nucléaire : IEC 61513

Lorsque le risque de défaillance peut menacer de vastes zones (centrales nucléaires), les exigences de sécurité fonctionnelle sont encore plus strictes.

• IEC 61513 (en Pologne parfois citée comme PN-IEC 61513) définit les exigences relatives aux systèmes de protection et de commande des tranches nucléaires.
• Une redondance multivoies est exigée (p. ex. 2oo3, 2oo4 – « two out of three », etc.), ainsi qu’une maîtrise extrêmement stricte de la conception logicielle.

Aéronautique : DO-178C / DO-254

Bien que, dans l’aéronautique, on n’utilise pas directement la 61508, l’approche est comparable. Les documents DO-178C (pour le logiciel embarqué) et DO-254 (pour le matériel) introduisent des niveaux de criticité A–E, fondés sur les conséquences d’une erreur (d’un simple désagrément jusqu’à la catastrophe de l’aéronef). La démarche d’analyse, de redondance, d’essais et de gestion de configuration est, en pratique, très proche de la 61508, avec un accent mis sur des règles de certification avionique particulièrement détaillées.

NF EN IEC 61508 : principes et portée pratique

1. Cycle de vie de la sécurité
   • Il couvre les phases allant de la définition du concept, en passant par la conception détaillée (matériel, logiciel), jusqu’à l’installation, la réception, l’exploitation et les modifications.
   • Ainsi, on ne se limite pas à un audit unique en fin de projet : la sécurité doit être analysée et démontrée pendant toute la durée d’utilisation.
2. Niveaux d’intégrité de sécurité (SIL)
   • On distingue quatre niveaux : SIL 1 – le moins exigeant ; SIL 4 – le plus exigeant.
   • Chacun définit des limites admissibles de probabilité de défaillance dangereuse (p. ex. PFD pour un mode à faible sollicitation).
3. Évaluation et documentation des risques
   • Avant de commencer à concevoir, il faut identifier les dangers existants et leur niveau.
   • La documentation (analyses telles que HAZOP, FMEA, arbre de défaillances) constitue l’ossature du système : en cas de contrôle ou d’audit, elle permet de démontrer le bien-fondé des choix de conception.
4. Indépendance et redondance
   • La redondance n’est efficace que si deux (ou plus) voies ne tombent pas en panne simultanément pour la même raison (défaillances de cause commune).
   • Un SIL élevé impose le plus souvent des technologies différentes, des alimentations distinctes, etc.
5. Gestion des compétences
   • Les personnes responsables de la conception et de la maintenance des systèmes de sécurité doivent disposer des qualifications et de l’expérience nécessaires (la norme le souligne explicitement).

Que nous apporte l’utilisation de la NF EN 61508

1. Moins de pannes et d’arrêts – grâce à une meilleure maîtrise des risques et à une détection plus précoce des défauts.
2. Conformité réglementaire – clients, inspecteurs et assureurs exigent souvent une certification selon ce type de normes.
3. Renforcement de la confiance – les systèmes conçus conformément à 61508 / 61511 / 62061 / EN 5012x sont perçus comme plus fiables.
4. Efficacité à long terme – même si la mise en œuvre peut être coûteuse, elle contribue à réduire les pertes potentielles liées aux accidents ou aux problèmes juridiques.

NF EN IEC 61508 : erreurs et pièges les plus fréquents

1. Absence d’une analyse adéquate des défaillances de cause commune : un système redondant peut échouer si les voies partagent la même alimentation ou le même bus de données.
2. Se limiter à un seul composant certifié SIL : le fait qu’un capteur ou un automate dispose d’un certificat SIL 2/3 ne signifie pas automatiquement que l’ensemble du système atteint ce niveau ; c’est l’architecture globale qui compte (capteurs, câblage, logiciel, actionneurs).
3. Absence d’essais périodiques : pour les systèmes rarement sollicités, les essais en conditions réelles sont une obligation. Sans cela, on n’a aucune certitude que la fonction de sécurité agira au moment critique.
4. Omettre la phase de modification : si vous modifiez ne serait-ce qu’une partie du logiciel ou remplacez une vanne, vous devez répéter certaines étapes du cycle de vie de la sécurité, en particulier l’analyse d’impact du changement.
5. Négliger les compétences : du concepteur aux équipes de maintenance, chacun a besoin d’une formation adaptée pour savoir comment appliquer les principes de la sécurité fonctionnelle.

NF EN 61508 constitue un point de départ, et les normes sectorielles (NF EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254, etc.) adaptent ses principes aux spécificités de chaque branche industrielle. Pour vous, en tant que concepteur ou utilisateur de systèmes de sécurité, cela signifie :

• Des lignes directrices claires et cohérentes sur la manière d’aborder l’analyse des risques, la détermination du SIL ou les essais des systèmes.
• La nécessité d’établir une documentation détaillée – des protocoles d’essais jusqu’aux enregistrements relatifs aux compétences du personnel.
• Une plus grande assurance que les solutions mises en œuvre répondent aux standards internationaux et seront acceptées par les clients ainsi que par les autorités de contrôle.

Au final, même si le processus peut être coûteux et chronophage, une mise en œuvre correcte de la NF EN 61508 (ou de ses « dérivées ») se traduit par un risque d’accident réduit, un fonctionnement plus stable de l’installation, ainsi qu’une meilleure réputation dans le secteur. Ces normes ne sont donc pas une « paperasse inutile », mais un outil efficace permettant de protéger la vie, la santé et les biens.