CSA Preface

This is the first edition of CAN/CSA-C22.2 No. 61511-1, Functional safety — Safety instrumented systems for the process industry sector — Part 1: Framework, definitions, system, hardware and application programming requirements, which is an adoption, with Canadian deviations, of the identically titled IEC (International Electrotechnical Commission) Standard 61511-1 (second edition, 2016-02). It is one in a series of Standards issued by CSA Group under Part II of the Canadian Electrical Code.

For brevity, this Standard will be referred to as “CAN/CSA- C22.2 No. 61511-1” throughout.

This Standard is considered suitable for use for conformity assessment within the stated scope of the Standard. This Standard was reviewed for Canadian adoption by the CSA Technical Committee on General Requirements, CE Code, Part II, under the jurisdiction of the CSA Strategic Steering Committee on Requirements for Electrical Safety, and has been formally approved by the Technical Committee. This Standard has been approved as National Standard of Canada by the Standards Council of Canada.

Scope

This part of IEC 61511 gives requirements for the specification, design, installation, operation and maintenance of a safety instrumented system (SIS), so that it can be confidently entrusted to achieve or maintain a safe state of the process. IEC 61511-1 has been developed as a process sector implementation of IEC 61508:2010.

In particular, IEC 61511-1:
a) specifies the requirements for achieving functional safety but does not specify who is responsible for implementing the requirements (e.g., designers, suppliers, owner/operating company, contractor). This responsibility will be assigned to different parties according to safety planning, project planning and management, and national regulations;

b) applies when devices that meets the requirements of the IEC 61508 series published in 2010, or IEC 61511-1:2016 [11.5], is integrated into an overall system that is to be used for a process sector application. It does not apply to manufacturers wishing to claim that devices are suitable for use in SISs for the process sector (see IEC 61508-2:2010 and IEC 61508- 3:2010);

c) defines the relationship between IEC 61511 and IEC 61508 (see Figures 2 and 3);

d) applies when application programs are developed for systems having limited variability language or when using fixed programming language devices, but does not apply to manufacturers, SIS designers, integrators and users that develop embedded software (system software) or use full variability languages (see IEC 61508-3:2010);

e) applies to a wide variety of industries within the process sector for example, chemicals, oil and gas, pulp and paper, pharmaceuticals, food and beverage, and non-nuclear power generation;

NOTE 1 Within the process sector some applications may have additional requirements that have to be satisfied.

f) outlines the relationship between SIFs and other instrumented functions (see Figure 4);

g) results in the identification of the functional requirements and safety integrity requirements for the SIF taking into account the risk reduction achieved by other methods;

h) specifies life-cycle requirements for system architecture and hardware configuration, application programming, and system integration;

i) specifies requirements for application programming for users and integrators of SISs.

j) applies when functional safety is achieved using one or more SIFs for the protection of personnel, protection of the general public or protection of the environment;

k) may be applied in non-safety applications for example asset protection;

l) defines requirements for implementing SIFs as a part of the overall arrangements for achieving functional safety;

m) uses a SIS safety life-cycle (see Figure 7) and defines a list of activities which are necessary to determine the functional requirements and the safety integrity requirements for the SIS;

n) specifies that a H&RA is to be carried out to define the safety functional requirements and safety integrity levels (SIL) of each SIF;

NOTE 2 Figure 9 presents an overview of risk reduction means.

o) establishes numerical targets for average probability of failure on demand (in demand mode) and average frequency of dangerous failures (in demand mode or continuous mode) for each SIL;

p) specifies minimum requirements for hardware fault tolerance (HFT);

q) specifies measures and techniques required for achieving the specified SIL;

r) defines a maximum level of functional safety performance (SIL 4) which can be achieved for a SIF implemented according to IEC 61511-1;

s) defines a minimum level of functional safety performance (SIL 1) below which IEC 61511-1 does not apply;

t) provides a framework for establishing the SIL but does not specify the SIL required for specific applications (which should be established based on knowledge of the particular application and on the overall targeted risk reduction);

u) specifies requirements for all parts of the SIS from sensor to final element(s);

v) defines the information that is needed during the SIS safety life-cycle;

w) specifies that the design of the SIS takes into account human factors;

x) does not place any direct requirements on the individual operator or maintenance person:

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Préface CSA

Ce document constitue la première édition de la CAN/CSA- C22.2 n° 61511-1, Sécurité fonctionnelle — Systèmes instrumentes de sécurité pour le secteur des industries de transformation — Partie 1 : Cadre, définitions, exigences pour le système, le matériel et la programmation drsquo;application. Il srsquo;agit de lrsquo;adoption, avec exigences propres au Canada, de la norme IEC (Commission Électrotechnique Internationale) 61511-1 (deuxième édition, 2016-02) qui porte le même titre. Il fait partie drsquo;une série de normes publiées par le Groupe CSA qui constituent le Code canadien de lrsquo;électricité, Deuxième partie.

Par souci de brièveté, tout au long de ce document, il sera appelé «CAN/CSA-C22.2 n° 61511-1».

Cette norme est jugée convenable à lrsquo;évaluation de la conformité selon le domaine drsquo;application établi dans la norme.

Cette norme a été révisée en vue de son adoption au Canada par le Comité technique CSA sur les exigences générales, CCÉ, Deuxième partie, sous lrsquo;autorité du Comité directeur stratégique CSA sur les exigences en matière de sécurité électricité, et a été officiellement approuvée par le Comité technique. Cette norme a été approuvée en tant que Norme nationale du Canada par le Conseil canadien des normes.

Domaine d'application

La présente partie de l'IEC 61511décrit les exigences relatives à la spécification, la conception, l'installation, au fonctionnement et à la maintenance d'un système instrumenté de sécurité (SIS, Safety Instrumented System) de manière à ce qu'il puisse être mis en oeuvre en toute confiance pour établir ou maintenir le processus dans un état de sécurité convenable. L'IEC 61511-1 a été conçue pour être une mise en oeuvre de l'IEC 61508:2010 dans le secteur des industries de transformation.

En particulier, l'IEC 61511-1:

a) spécifie les exigences permettant d'obtenir la sécurité fonctionnelle, mais ne spécifie pas la responsabilité de la mise en oeuvre des exigences (p. ex.: les concepteurs, les fournisseurs, la société propriétaire/exploitante, l'entrepreneur). Cette responsabilité sera assignée aux différentes parties selon la planification de la sécurité, la planification et la gestion de projets, ainsi que les règlements nationaux;

b) s'applique lorsque des appareils satisfaisant aux exigences de la série IEC 61508 parue en 2010 ou de l'IEC 61511-1:2016 [11.5] sont intégrés dans un système qui doit être utilisé pour une application du secteur des industries de transformation. Elle ne concerne pas les fabricants qui souhaitent revendiquer la possibilité d'utiliser ces appareils dans les SIS du secteur des industries de transformation (voir l'IEC 61508-2:2010 et l'IEC 61508-3:2010);

c) définit les relations entre les normes IEC 61511 et IEC 61508 (voir Figures 2 et 3);

d) s'applique lorsque des programmes d'application sont développés pour des systems possédant un langage de variabilité limitée ou lors de l'utilisation d'appareil à langage de programmation figé, mais ne s'applique pas aux fabricants, concepteurs, intégrateurs et utilisateurs du SIS qui développent des logiciels intégrés (logiciels système) ou utilisent des langages de variabilité totale (voir l'IEC 61508-3:2010);

e) s'applique à de nombreuses industries de transformation (p. ex.: produits chimiques, pétrole et gaz, pâte à papier et papier, produits pharmaceutiques, produits alimentaires et boissons, production d'électricité non-nucléaire);

NOTE 1 Dans le secteur des industries de transformation, certaines applications peuvent faire l'objet d'exigences supplémentaires qui doivent être satisfaites.

f) met en évidence les relations entre les SIF et d'autres fonctions instrumentées (voir Figure 4);

g) aboutit à l'identification des exigences fonctionnelles et des exigences concernant l'intégrité de sécurité relatives aux SIF en tenant compte de la réduction de risqué obtenue par d'autres méthodes;

h) spécifie les exigences relatives au cycle de vie de l'architecture du système et la configuration du matériel, ainsi que de la programmation d'application et de l'intégration du système;

i) spécifie les exigences relatives à la programmation d'application pour les intégrateurs et utilisateurs de SIS;

j) s'applique lorsque la sécurité fonctionnelle est obtenue en utilisant une ou plusieurs SIF pour la protection du personnel, la protection du grand public ou la protection de l'environnement;

k) peut s'appliquer dans des applications non liées à la sécurité (la protection de biens, par exemple);

l) définit les exigences pour la mise en oeuvre des SIF dans le cadre des dispositions globales permettant d'obtenir la sécurité fonctionnelle;

m) utilise le cycle de vie de sécurité d'un SIS (voir Figure 7) et définit une liste des activités devant être réalisées pour déterminer les exigences fonctionnelles, ainsi que les exigences concernant l'intégrité de sécurité relatives au SIS;

n) spécifie qu'une H&RA doit être réalisée pour définir les exigences de sécurité fonctionnelle et les niveaux d'intégrité de sécurité (SIL) de chaque SIF;

NOTE 2 Pour avoir une vue d'ensemble des moyens de réduction de risque, voir la Figure 9.

o) établit des objectifs quantitatifs relatifs à la probabilité moyenne de défaillance en cas de sollicitation (en mode sollicitation) et à la fréquence moyenne de défaillance dangereuse (en mode sollicitation ou en mode continu) pour chaque SIL;

p) spécifie des exigences minimales pour la tolérance aux défauts du matériel (HFT);

q) spécifie les mesures et techniques exigées pour obtenir le SIL indiqué;

r) définit un niveau maximal de performance de sécurité fonctionnelle (SIL 4) qui peut être atteint pour une SIF mise en oeuvre conformément à l'IEC 61511-1;

s) définit un niveau minimal de performance de sécurité fonctionnelle (SIL 1) au-dessous duquel l'IEC 61511-1 ne s'applique pas;

t) fournit un cadre pour l'établissement du SIL, mais ne spécifie pas le SIL exigé pour les applications spécifiques (qu'il convient d'établir sur la base de la connaissance de l'application particulière et par rapport à la réduction de risque globale souhaitée);

u) spécifie les exigences pour toutes les parties du SIS, depuis le capteur jusqu'à l'élément terminal ou jusqu'aux éléments terminaux;

v) définit les informations qui sont nécessaires pendant le cycle de vie de sécurité du SIS;

w) spécifie que la conception du SIS tient compte des facteurs humains;

x) n'applique aucune exigence directe relative à l'opérateur individuel ou au technicien de maintenance.