IEC 61069-7:1999

NORME CEI
INTERNATIONALE IEC
61069-7
INTERNATIONAL
Première édition
STANDARD
First edition
1999-05
Mesure et commande dans les processus
industriels –
Appréciation des propriétés d'un système
en vue de son évaluation –
Partie 7:
Evaluation de la sécurité d'un système
Industrial-process measurement and control –
Evaluation of system properties for the purpose of
system assessment –
Part 7:
Assessment of system safety
Numéro de référence
Reference number
CEI/IEC 61069-7:1999
Numéros des publications Numbering
Depuis le 1er janvier 1997, les publications de la CEI As from 1 January 1997 all IEC publications are
sont numérotées à partir de 60000. issued with a designation in the 60000 series.
Publications consolidées Consolidated publications
Les versions consolidées de certaines publications de Consolidated versions of some IEC publications
la CEI incorporant les amendements sont disponibles. including amendments are available. For example,
Par exemple, les numéros d’édition 1.0, 1.1 et 1.2 edition numbers 1.0, 1.1 and 1.2 refer, respectively, to
indiquent respectivement la publication de base, la the base publication, the base publication incor-
publication de base incorporant l’amendement 1, et la porating amendment 1 and the base publication
publication de base incorporant les amendements 1 incorporating amendments 1 and 2.
et 2.
Validité de la présente publication Validity of this publication
Le contenu technique des publications de la CEI est The technical content of IEC publications is kept
constamment revu par la CEI afin qu'il reflète l'état under constant review by the IEC, thus ensuring that
actuel de la technique. the content reflects current technology.
Des renseignements relatifs à la date de reconfir- Information relating to the date of the reconfirmation
mation de la publication sont disponibles dans le of the publication is available in the IEC catalogue.
Catalogue de la CEI.
Les renseignements relatifs à des questions à l’étude et Information on the subjects under consideration and
des travaux en cours entrepris par le comité technique work in progress undertaken by the technical
qui a établi cette publication, ainsi que la liste des committee which has prepared this publication, as well
publications établies, se trouvent dans les documents ci- as the list of publications issued, is to be found at the
dessous: following IEC sources:
• «Site web» de la CEI* • IEC web site*
• Catalogue des publications de la CEI • Catalogue of IEC publications
Publié annuellement et mis à jour Published yearly with regular updates
régulièrement (On-line catalogue)*
(Catalogue en ligne)*
• IEC Bulletin
• Bulletin de la CEI Available both at the IEC web site* and
Disponible à la fois au «site web» de la CEI* as a printed periodical
et comme périodique imprimé
Terminology, graphical and letter
Terminologie, symboles graphiques
symbols
et littéraux
For general terminology, readers are referred to
En ce qui concerne la terminologie générale, le lecteur IEC 60050: International Electrotechnical Vocabulary
se reportera à la CEI 60050: Vocabulaire Electro- (IEV).
technique International (VEI).
For graphical symbols, and letter symbols and signs
Pour les symboles graphiques, les symboles littéraux approved by the IEC for general use, readers are
et les signes d'usage général approuvés par la CEI, le referred to publications IEC 60027: Letter symbols to
lecteur consultera la CEI 60027: Symboles littéraux à be used in electrical technology, IEC 60417: Graphical
utiliser en électrotechnique, la CEI 60417: Symboles symbols for use on equipment. Index, survey and
graphiques utilisables sur le matériel. Index, relevé et compilation of the single sheets and IEC 60617:
compilation des feuilles individuelles, et la CEI 60617: Graphical symbols for diagrams.
Symboles graphiques pour schémas.
* See web site address on title page.
* Voir adresse «site web» sur la page de titre.

NORME CEI
INTERNATIONALE IEC
61069-7
INTERNATIONAL
Première édition
STANDARD
First edition
1999-05
Mesure et commande dans les processus
industriels –
Appréciation des propriétés d'un système
en vue de son évaluation –
Partie 7:
Evaluation de la sécurité d'un système
Industrial-process measurement and control –
Evaluation of system properties for the purpose of
system assessment –
Part 7:
Assessment of system safety
© IEC 1999 Droits de reproduction réservés ⎯ Copyright - all rights reserved
Aucune partie de cette publication ne peut être reproduite ni No part of this publication may be reproduced or utilized in
utilisée sous quelque forme que ce soit et par aucun procédé, any form or by any means, electronic or mechanical,
électronique ou mécanique, y compris la photo-copie et les including photocopying and microfilm, without permission in
microfilms, sans l'accord écrit de l'éditeur. writing from the publisher.
International Electrotechnical Commission 3, rue de Varembé Geneva, Switzerland
Telefax: +41 22 919 0300 e-mail: inmail@iec.ch IEC web site http://www.iec.ch
CODE PRIX
Commission Electrotechnique Internationale
R
PRICE CODE
International Electrotechnical Commission
Pour prix, voir catalogue en vigueur
For price, see current catalogue

– 2 – 61069-7 © CEI:1999
SOMMAIRE
Pages
AVANT-PROPOS .4
INTRODUCTION . 8
Clause
1 Domaine d'application . 12
2 Références normatives. 12
3 Définitions. 14
4 Propriété de sécurité . 14
4.1 Généralités . 14
4.2 Types de dangers . 16
4.3 Récepteurs des conséquences d’un danger. 18
4.4 Chemins de propagation . 22
4.5 Mesures visant à réduire le risque . 22
5 Examen critique du cahier des charges du système (CdC). 24
6 Examen critique du cahier des spécifications du système (CdS) . 24
7 Procédure d'évaluation. 26
7.1 Généralités . 26
7.2 Analyse du cahier des charges et du cahier des spécifications du système . 26
7.3 Conception du programme d'évaluation . 28
7.4 Programme d'évaluation. 30
8 Techniques d'appréciation. 30
8.1 Généralités . 30
8.2 Techniques analytiques d’appréciation . 32
8.3 Techniques empiriques d'appréciation . 32
9 Exécution de l'évaluation et rédaction du rapport d'évaluation . 34
Annexe A (informative) Bibliographie . 36

61069-7 © IEC:1999 – 3 –
CONTENTS
Page
FOREWORD . 5
INTRODUCTION . 9
Clause
1 Scope . 13
2 Normative references . 13
3 Definitions. 15
4 Safety property.15
4.1 General. 15
4.2 Kinds of hazards . 17
4.3 Receivers of the consequences of a hazard. 19
4.4 Propagation paths . 23
4.5 Risk reduction measures. 23
5 Review of the system requirement document (SRD). 25
6 Review of the system specification document (SSD) . 25
7 Assessment procedure. 27
7.1 General. 27
7.2 Analysis of the system requirement document and specification document. 27
7.3 Designing the assessment programme . 29
7.4 Assessment programme. 31
8 Evaluation techniques . 31
8.1 General. 31
8.2 Analytical evaluation techniques . 33
8.3 Empirical evaluation techniques . 33
9 Execution and reporting of the assessment. 35
Annex A (informative) Bibliography . 37

– 4 – 61069-7 © CEI:1999
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
___________
MESURE ET COMMANDE DANS LES PROCESSUS INDUSTRIELS –
APPRÉCIATION DES PROPRIÉTÉS D'UN SYSTÈME
EN VUE DE SON ÉVALUATION –
Partie 7: Evaluation de la sécurité d'un système
AVANT-PROPOS
1) La CEI (Commission Electrotechnique Internationale) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes internationales.
Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité national intéressé par le
sujet traité peut participer. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec la CEI, participent également aux travaux. La CEI collabore étroitement avec l'Organisation
Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, rapports techniques ou guides et agréés comme tels par les Comités nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer de
façon transparente, dans toute la mesure possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa responsabilité
n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 61069-7 a été établie par le sous-comité 65A: Aspects systèmes,
du comité d’études 65: Mesure et commande dans les processus industriels.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
65A/280/FDIS 65A/283/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
L'annexe A est donnée uniquement à titre d'information.

61069-7 © IEC:1999 – 5 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
___________
INDUSTRIAL-PROCESS MEASUREMENT AND CONTROL –
EVALUATION OF SYSTEM PROPERTIES
FOR THE PURPOSE OF SYSTEM ASSESSMENT –
Part 7: Assessment of system safety
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International Organization
for Standardization (ISO) in accordance with conditions determined by agreement between the two
organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical reports or guides and they are accepted by the National Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 61069-7 has been prepared by subcommittee 65A: System aspects,
of IEC technical committee 65: Industrial-process measurement and control.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/280/FDIS 65A/283/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
Annex A is for information only.

– 6 – 61069-7 © CEI:1999
La CEI 61069 comprend les parties suivantes, présentées sous le titre général: Mesure et
commande dans les processus industriels – Appréciation des propriétés d'un système en vue
de son évaluation:
Partie 1: Considérations générales et méthodologie
Partie 2: Méthodologie à appliquer pour l'évaluation
Partie 3: Evaluation de la fonctionnalité d'un système
Partie 4: Evaluation des caractéristiques de fonctionnement d'un système
Partie 5: Evaluation de la sûreté de fonctionnement d'un système
Partie 6: Evaluation de l'opérabilité d'un système
Partie 7: Evaluation de la sécurité d'un système
1)
Partie 8: Evaluation de propriétés d'un système qui ne sont pas liées à sa tâche même
La figure 1 indique les relations entre la présente partie et les autres parties de la CEI 61069,
ainsi que la position relative de la présente partie dans la CEI 61069.
La partie 1 fournit un guide complet qui, en tant que tel, est destiné à constituer une partie
autonome.
La partie 2 détaille la méthodologie d'évaluation.
Les parties 3 à 8 fournissent un guide pour l'évaluation de groupes spécifiques de propriétés.
La division des propriétés en différentes parties numérotées de 3 à 8 a été choisie afin de
regrouper les propriétés apparentées.
———————
1)
A publier.
61069-7 © IEC:1999 – 7 –
IEC 61069 consists of the following parts, under the general title: Industrial-process measure-
ment and control – Evaluation of system properties for the purpose of system assessment:
Part 1: General considerations and methodology
Part 2: Assessment methodology
Part 3: Assessment of system functionality
Part 4: Assessment of system performance
Part 5: Assessment of system dependability
Part 6: Assessment of system operability
Part 7: Assessment of system safety
1)
Part 8: Assessment of non-task-related system properties .
The relation of this part to the other parts of IEC 61069 and the relative place of this part within
IEC 61069 is shown in figure 1.
Part 1 provides the overall guidance and, as such, is intended as a stand-alone publication.
Part 2 details the assessment methodology.
Parts 3 to 8 provide guidance on the assessment of specific groups of properties.
The division of properties in parts 3 to 8 has been chosen so as to group together related
properties.
———————
1)
To be published.
– 8 – 61069-7 © CEI:1999
INTRODUCTION
La présente partie de la CEI 61069 traite de la méthode qu'il convient d'utiliser pour évaluer la
propriété de sécurité des systèmes de mesure et de commande de processus industriels.
L’étude de la sécurité dans la présente norme se limite aux dangers pouvant se
présenter dans le système de mesure et de commande des processus industriels
proprement dit. Si la mission du système inclut des activités pouvant affecter la sécurité du
processus ou de l’équipement contrôlés, les exigences concernant ces activités font l’objet de
la CEI 61508.
Evaluer un système consiste à juger, sur la base d'éléments concrets, de son aptitude à
remplir une mission ou un ensemble de missions spécifiques.
Pour obtenir tous les éléments nécessaires, il faudrait procéder à une appréciation complète
(par exemple dans toutes les conditions d'influence) de toutes les propriétés du système qui
contribuent à remplir la mission ou l'ensemble de missions spécifiques considérées.
Une telle appréciation étant rarement réalisable dans la pratique, la démarche qui guidera
l'évaluation d'un système consiste à
–
identifier les points critiques des propriétés du système qui sont concernées pour
l'accomplissement de la mission,
– planifier l'appréciation des propriétés concernées du système avec un effort adéquat en
termes de coût pour les différentes propriétés.
Lors de l'évaluation d'un système, il est essentiel de garder à l'esprit la nécessité d'obtenir une
augmentation maximale de la confiance dans l'aptitude à l'emploi du système, compte tenu des
contraintes pratiques de coût et de temps.
Une évaluation ne peut être entreprise que si une mission a été imposée (ou attribuée) ou si
une mission type peut être définie. En l'absence de mission, on ne peut évaluer le système;
toutefois, il est toujours possible de spécifier et de réaliser des appréciations (telles que celles
définies dans la CEI 61069-1), qui pourront servir lors d'évaluations menées par d'autres.
Dans ce cas, on peut utiliser la norme en tant que guide pour planifier une appréciation et
suivre ses procédures pour effectuer les appréciations; l'appréciation des propriétés d'un
système fait, en effet, partie intégrante de l'évaluation de ce système.

61069-7 © IEC:1999 – 9 –
INTRODUCTION
This part of IEC 61069 deals with the method which should be used to assess the safety
property of industrial-process measurement and control systems. The treatment of safety in
this standard is confined to hazards that can be present within the industrial-process
measurement and control system itself. If the system mission includes activities which could
affect the safety of the process or equipment under control, the requirements of these activities
are the subject of IEC 61508.
The assessment of a system is the judgement, based on evidence, of the system's suitability
for a specific mission or class of missions.
To obtain total evidence, a complete evaluation (for example under all influencing conditions)
of all the system properties relevant to the specific mission or class of missions would be
required.
Since this is rarely practical, the rationale on which an assessment of a system should be
based is
– identification of the criticality of each of the relevant system properties,
– planning for evaluation of the relevant system properties with a cost-effective dedication of
effort to the various properties.
In conducting an assessment of a system, it is crucial to bear in mind the need to gain a
maximum increase in confidence in the suitability of the system within practical cost and time
constraints.
An assessment can only be carried out if a mission has been stated (or given) or if any mission
can be hypothesized. In the absence of a mission, no assessment can be made; however,
evaluations (as defined in IEC 61069-1) can still be specified and carried out for use in
assessments performed by others.
In such cases, the standard can be used as a guide for planning an evaluation and it provides
procedures for performing evaluations, since evaluations are an integral part of assessment.

– 10 – 61069-7 © CEI:1999
Partie 1:
Considérations générales
et méthodologie
Domaine d'application
Définitions
Bases d'une évaluation
Considérations relatives à l'évaluation
Le système
Propriétés
Conditions d'influence
Procédures d'évaluation
Définition des objectifs
Conception et schéma
Partie 2:
Méthodologie
Analyse des objectifs
Analyse des exigences
Analyse des spécifications
Conception du programme d'évaluation
Planification
Moyens
Expertise
Temps
Budget
Exécution du programme d'évaluation
Protocole
Directives et suivi
Partie 3: Fonctionnalité
Partie 4: Caractéristiques de
fonctionnement
Partie 5: Sûreté de fonctionnement
Partie 6: Opérabilité
Partie 7: Sécurité
Partie 8: Propriétés non liées à la
tâche
IEC  623/99
Rapport d'évaluation
Figure 1 – Disposition d'ensemble de la CEI 61069

61069-7 © IEC:1999 – 11 –
Part 1:
General considerations
and methodology
Scope
Definitions
Basis of assessment
Assessment consideration
The system
Properties
Influencing conditions
Assessment procedure
Definition of the objectives
Design and layout
Part 2:
Methodology
Analysis of objectives
Analysis of system requirements
Analysis of system specifications
Planning Design of assessment programme
Facilities
Expertise
Time
Funds
Protocol Execution of assessment programme
Monitor and control
Part 3: Functionality
Part 4: Performance
Part 5: Dependability
Part 6: Operability
Part 7: Safety
Part 8: Non-task-related
properties
Assessment report
IEC  623/99
Figure 1 – General layout of IEC 61069

– 12 – 61069-7 © CEI:1999
MESURE ET COMMANDE DANS LES PROCESSUS INDUSTRIELS –
APPRÉCIATION DES PROPRIÉTÉS D’UN SYSTÈME
EN VUE DE SON ÉVALUATION –
Partie 7: Evaluation de la sécurité d'un système
1 Domaine d'application
La présente partie de la CEI 61069 décrit en détail la méthode à utiliser pour évaluer de
manière systématique la propriété de sécurité d’un système de mesure et de commande de
processus industriels.
L’étude de la sécurité dans la présente norme se limite aux dangers pouvant se
présenter dans le système de mesure et de commande des processus industriels
proprement dit. L’étude des dangers pouvant être introduits par le processus ou l’équipement
contrôlés par le système de mesure et de commande de processus industriels de la commande
faisant l’objet de l’évaluation est exclue. Si la mission du système inclut des activités pouvant
affecter la sécurité du processus ou de l’équipement contrôlés, les exigences concernant ces
activités font l’objet de la CEI 61508.
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente partie de la CEI 61069.
Pour les références datées, les amendements ultérieurs ou les révisions de ces publications ne
s’appliquent pas. Toutefois, les parties prenantes aux accords fondés sur la présente partie de
la CEI 61069 sont invitées à rechercher la possibilité d'appliquer les éditions les plus récentes
des documents normatifs indiqués ci-après. Pour les références non datées, la dernière édition
du document normatif en référence s’applique. Les membres de la CEI et de l'ISO possèdent
le registre des Normes internationales en vigueur.
CEI 61010-1:1990, Règles de sécurité pour appareils électriques de mesurage, de régulation et
de laboratoire – Première partie: Prescriptions générales
CEI 61069-1:1991, Mesure et commande dans les processus industriels – Appréciation des
propriétés d'un système en vue de son évaluation – Partie 1: Considérations générales et
méthodologie
CEI 61069-2:1993, Mesure et commande dans les processus industriels – Appréciation des
propriétés d'un système en vue de son évaluation – Partie 2: Méthodologie à appliquer pour
l'évaluation
CEI 61069-5:1994, Mesure et commande dans les processus industriels – Appréciation des
propriétés d’un système en vue de son évaluation – Partie 5: Evaluation de la sûreté de
fonctionnement d’un système
CEI 61508-1,— Sécurité fonctionnelle: Systèmes électriques, électroniques, électroniques
2)
programmables relatifs à la sécurité – Partie 1: Prescriptions générales
Guide ISO/CEI 51: 1990, Principes directeurs pour inclure dans les normes les aspects liés à
la sécurité
———————
2)
A publier.
61069-7 © IEC:1999 – 13 –
INDUSTRIAL-PROCESS MEASUREMENT AND CONTROL –
EVALUATION OF SYSTEM PROPERTIES FOR
THE PURPOSE OF SYSTEM ASSESSMENT –
Part 7: Assessment of system safety
1 Scope
This part of IEC 61069 describes in detail the method to be used to systematically assess the
safety property of an industrial-process measurement and control system.
The treatment of safety in this standard is confined to hazards that can be present within
the industrial-process measurement and control system itself. Considerations of hazards
that can be introduced by the process or equipment under control of the industrial-process
measurement and control system to be assessed are excluded. If the system mission includes
activities which could affect the safety of the process or equipment under control, the
requirements of these activities are the subject of IEC 61508.
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61069. For dated references, subsequent amendments
to, or revisions of, any of these publications do not apply. However, parties to agreements
based on this part of IEC 61069 are encouraged to investigate the possibility of applying the
most recent editions of the normative documents indicated below. For undated references, the
latest edition of the normative document referred to applies. Members of IEC and ISO maintain
registers of currently valid International Standards.
IEC 61010-1:1990, Safety requirements for electrical equipment for measurement, control and
laboratory use – Part 1: General requirements
IEC 61069-1:1991, Industrial-process measurement and control – Evaluation of system
properties for the purpose of system assessment – Part 1: General considerations and
methodology
IEC 61069-2:1993, Industrial-process measurement and control – Evaluation of system
properties for the purpose of system assessment – Part 2: Assessment methodology
IEC 61069-5:1994, Industrial-process measurement and control – Evaluation of system
properties for the purpose of system assessment – Part 5: Assessment of system dependability
2)
IEC 61508-1,— Functional safety – Safety-related system – Part 1: General requirements
ISO/IEC Guide 51:1990, Guidelines for the inclusion of safety aspects in standards
———————
2)
To be published.
– 14 – 61069-7 © CEI:1999
3 Définitions
Pour les besoins de la présente partie de la CEI 61069, les définitions suivantes s'appliquent:
3.1
sécurité d’un système
aptitude du système à éviter de faire apparaître, dans des conditions données, des dangers
NOTE – La sécurité d'un système n'inclut pas la sécurité du processus ou de l'équipement contrôlés. La sécurité du
processus ou de l'équipement contrôlés repose sur la sûreté de fonctionnement du système si le système est utilisé
pour assurer des fonctions de sécurité (voir CEI 61508).
3.2
danger
source potentielle de dommage (Guide ISO/CEI 51: 1990, définition 3.3)
3.3
dommage
blessure physique et/ou dommage provoqué à la santé ou à des biens
(Guide ISO/ CEI 51:1990, définition 3.4)
4 Propriété de sécurité
4.1 Généralités
Un système peut avoir diverses interactions avec son environnement, certaines de ces
interactions pouvant présenter des dangers.
La présente norme est consacrée aux situations du système pouvant présenter un danger. Il
est essentiel de reconnaître que ces situations peuvent varier au cours du cycle de vie du
système.
L’aptitude du système à ne présenter aucun danger désigne la propriété de sécurité du
système. Un système peut présenter un danger même si chacun des éléments qui le
composent ne présente pas de dangers individuellement. Par exemple, chaque élément peut
être stable alors que ces mêmes éléments assemblés pour former un système peuvent être
instables et, par conséquent, présenter des dangers.
La propriété de sécurité d’un système de mesure et de commande de processus industriels
dépend, sous tous ses aspects (mécanique, électrique, etc.), de facteurs tels que la sécurité
inhérente à sa conception et à sa sûreté de fonctionnement (voir CEI 61069-5). L’évaluation de
la sécurité du système doit tenir compte de toutes les activités qui concernent le système
pendant les phases d'installation, de fonctionnement opérationnel, de mise hors service et de
mise au rebut de son cycle de vie. Elle doit également inclure tous les aspects environ-
nementaux. Pendant chacune de ces phases, il convient d’étudier au minimum les mesures et
les activités suivantes:
– procédures d’exploitation, de maintenance et de mise hors service;
– symboles et avertissements textuels formulés;
– mise au rebut des matériaux d’emballage, des déchets provenant des équipements, des
composants remplacés et des matériaux de nettoyage.

61069-7 © IEC:1999 – 15 –
3 Definitions
For the purpose of this part of IEC 61069, the following definitions apply:
3.1
system safety
extent to which the system itself as a physical entity will not impose a hazard
NOTE – System safety does not include the safety of the process or equipment under control. The safety of the
process or equipment under control will rely upon the dependability of the system if the system is used to perform
safety functions (refer to IEC 61508).
3.2
hazard
potential source of harm (ISO/IEC Guide 51:1990, definition 3.3)
3.3
harm
physical injury and/or damage to health or property (ISO/IEC Guide 51:1990, definition 3.4)
4 Safety property
4.1 General
A system can have a number of interactions with its environment, some of which can impose a
hazardous condition.
This standard concentrates on the conditions of the system which can cause a hazard. It is
important to recognize that these conditions can change over the lifetime of the system.
The extent to which the system is free of hazard can be expressed as the system safety
property. A system may not be free of hazard even if the individual elements that compose the
system are themselves free of hazard; for example, individual elements can be stable whereas
the same elements configured to form a system can be unstable and therefore hazardous.
The safety property of an industrial-process measurement and control system in all its aspects
(mechanical, electrical, etc.) depends upon factors such as the inherent safety of its design
and its dependability (see IEC 61069-5). The assessment of the system safety shall cover all
activities related to the system during the installation, operational, de-commissioning and
disposal phases of its life cycle. It shall also include all environmental aspects. During each of
the phases, at least the following measures and activities are to be considered:
– operating, maintenance and de-commissioning procedures;
– symbols and textual warnings given;
– disposal of packing material, waste products from equipment, replaced components and
cleaning material.
– 16 – 61069-7 © CEI:1999
Lors de l’évaluation de la sécurité du système, les aspects suivants doivent être étudiés:
– types de dangers;
– récepteurs des conséquences d’un danger;
– chemins de propagation;
– mesures visant à réduire le risque.
NOTE – Le niveau de sécurité d’un système peut évoluer au cours des différentes phases de son cycle de vie en
raison du nombre de dangers présents tels que:
– blocage des pressions au niveau des accumulateurs hydrauliques du fait des clapets anti-retour;
– charge électrique des composants (par exemple condensateurs);
– exposition à la corrosion des conteneurs de déchets nucléaires et produits chimiques.
4.2 Types de dangers
4.2.1 Généralités
Une seule source de dommage peut par elle-même présenter un danger. Toutefois, il arrive
fréquemment que la source de dommage génère des effets secondaires tels qu’une
température ou pression élevées, ce qui constitue le véritable danger.
Au minimum, les types de dangers suivants doivent être pris en compte.
4.2.2 Dangers mécaniques
Le poids peut être une source de dommage, par exemple pendant les opérations de levage ou
en cas de chute.
La pression peut constituer une source de dommage, par exemple en cas de rupture de
tuyauteries ou de conteneurs.
L’élasticité peut constituer une source de dommage, par exemple en cas de rupture de
ressorts ou de structures mécaniques.
Les vibrations peuvent constituer une source de dommage, par exemple en cas de fatigue de
matériaux ou d'émission de bruit excessif.
La température peut constituer une source de dommage, par exemple en cas de température
excessive de composants.
L'usure peut constituer une source de dommage, par exemple en cas de libération de
particules toxiques ou en cas de pièces défaillantes.
La conception mécanique peut être une source de dommage, par exemple en cas
d'incorporation d'arêtes vives ou de surfaces brutes.
4.2.3 Dangers électriques
La tension ou le courant peuvent constituer une source de dommage, par exemple en cas de
court-circuit (chaleur) ou de contournement de l’isolation (choc électrique).
NOTE – Les énergies électriques qui sont les sources de dangers peuvent provenir de l’intérieur du système et/ou
de l’alimentation du système.
61069-7 © IEC:1999 – 17 –
When assessing the system safety, the following aspects shall be considered:
– kinds of hazards;
– receivers of the consequences of a hazard;
– propagation paths;
– risk reduction measures.
NOTE – The safety level of a system can change over the different phases of its life cycle due to the number of hazard
conditions present such as:
– hydraulic accumulators where pressures might be locked in by check valves;
– electrically charged devices (for example capacitors);
– nuclear waste and chemicals stored in containers exposed to corrosion.
4.2 Kinds of hazards
4.2.1 General
A single source of harm in itself can be hazardous. However, it is very often the case that the
source of harm causes secondary effects such as high temperature, high pressure, etc. and
that this is the real hazard.
At least the following kinds of hazards shall be considered.
4.2.2 Mechanical
Weight can be a source of harm, for example during lifting or when falling down.
Pressure can be a source of harm, for example due to breakage of pipes or containers.
Elasticity can be a source of harm, for example due to breakage of springs or mechanical
structures.
Vibration can be a source of harm, for example due to fatigue of material or the emission of
excessive sound.
Temperature can be a source of harm, for example due to hot items.
Wear can be a source of harm, for example due to release of toxic particles or to weakening
parts.
Mechanical design can be a source of harm, for example due to the incorporation of sharp
edges or rough surfaces.
4.2.3 Electrical
The voltage or current can be a source of harm, for example due to short-circuiting (heat) or
bypassing isolation (electrical shock).
NOTE – The electrical energies which are the sources of hazards can originate from within the system and/or from
the power supply to the system.

– 18 – 61069-7 © CEI:1999
4.2.4 Dangers induits par les champs électromagnétiques
Le système peut émettre des champs magnétiques de différents niveaux d'intensité et de
fréquence pouvant constituer une source de dommage. Les limites d’émission pour les
équipements figurent dans les normes de CEM de produits, de familles de produits, et les
normes CEM génériques appropriées, par exemple le CISPR 22. Des recommandations
concernant les limites au-delà desquelles un dommage humain peut apparaître peuvent être
consultées, par exemple, dans la ENV 50166-1 et la ENV 50166-2.
4.2.5 Dangers induits par les ondes lumineuses
Le système peut émettre des ondes lumineuses de différents niveaux d’intensité et de
fréquence pouvant constituer une source de dommage; par exemple, un court-circuit ou le
fonctionnement d’émetteurs optiques (tels que des sources laser) peut générer et propager
une onde lumineuse d'une intensité pouvant atteindre un niveau dangereux. En ce qui
concerne les sources laser, consulter la CEI 60825-1.
4.2.6 Dangers induits par la radioactivité
Un système qui comporte des éléments radioactifs (tels que des capteurs) peut constituer une
source de dommage.
4.2.7 Dangers biologiques
Un système qui comporte des éléments biologiques (tels que des capteurs) peut constituer une
source de dommage.
4.2.8 Dangers chimiques
Un système qui comporte des substances chimiques peut constituer une source de dommage
(toxicité ou corrosion, par exemple).
4.3 Récepteurs des conséquences d’un danger
4.3.1 Généralités
Le niveau de dommage pouvant être accepté par un récepteur est fonction
– des caractéristiques du type de récepteur,
– de la zone dans laquelle se trouve le récepteur.
Dans l’environnement d’un système de mesure et de commande de processus industriels, on
distingue différentes zones telles que la salle de commande, l’usine ou la ville. Ces
classifications de zones sont généralement décrites dans des normes internationales,
nationales ou privées. Dans chacune de ces zones, différents niveaux de dommages et
d’exposition aux dommages sont acceptables pour chaque type de récepteur.
Les différents types de récepteurs sont répertoriés ci-dessous.
4.3.2 L’homme
Les différents types de dangers mentionnés en 4.2 qui peuvent exister dans les systèmes de
mesure et de commande de processus industriels peuvent nuire au corps humain de
différentes façons. On trouvera ci-dessous quelques exemples:

61069-7 © IEC:1999 – 19 –
4.2.4 Electromagnetic field
The system can emit electromagnetic fields of different intensities and frequencies which can
be a source of harm. Emission limits for equipment are given in the relevant product, product
family and generic EMC standards, for example CISPR 22. Guidance on the limits for harm to
humans can be found, for example, in ENV 50166-1 and ENV 50166-2.
4.2.5 Light
The system can emit light of different intensities and frequencies which can be a source of
harm; for example, short-circuit or operation of optic emitters (such as laser sources) can
produce and propagate light at an intensity that may reach a hazardous level. For laser
sources, refer to IEC 60825-1.
4.2.6 Radioactivity
A system which includes radioactive elements (such as sensors) can be a source of harm.
4.2.7 Biological
A system which includes biological elements (such as sensors) can be a source of harm.
4.2.8 Chemical
A system which includes chemical substances can be a source of harm (for example toxicity or
corrosion).
4.3 Receivers of the consequences of a hazard
4.3.1 General
The level of harm that can be accepted by a receiver depends on
– the characteristics of the type of receiver,
– the area in which the receiver is located.
Within the environment of an industrial-process measurement and control system, different
areas can be identified such as the control room, plant or city. These area classifications are
typically given in international, national or proprietary standards. Within each of these areas,
individual levels of harm and exposures to harm are acceptable for each type of receiver.
The different types of receivers are listed below.
4.3.2 Human
The kinds of hazards mentioned in 4.2 which can exist in the industrial-process measurement
and control system may harm the human body in different ways. Some examples are given
below:
– 20 – 61069-7 © CEI:1999
– dangers mécaniques:
• le poids peut, par exemple, fracturer des os;
• une pression excessive peut, par exemple, entraîner des blessures générales, la
fracture d'os, des troubles de la vue et/ou de l’audition, ou le collapsus des poumons;
• l'élasticité peut, par exemple, entraîner des blessures générales ou la fracture d'os;
• les vibrations peuvent, par exemple, entraîner des troubles auditifs;
• la température peut, par exemple, entraîner des brûlures;
– les courts-circuits et les chocs électriques peuvent, par exemple, causer des brûlures, la
fibrillation du coeur ou des troubles de la vue;
– les champs électromagnétiques peuvent, par exemple, entraîner une altération du
métabolisme, des troubles de la vue ou la destruction d’organes;
– les ondes lumineuses peuvent, par exemple, entraîner des troubles de la vue ou des
brûlures;
– la radioactivité peut, par exemple, entraîner une altération du métabolisme, des troubles de
la vue ou la destruction d’organes;
–
...