IEC 60880:2006

NORME CEI
INTERNATIONALE
IEC
INTERNATIONAL
Deuxième édition
STANDARD
Second edition
2006-05
Centrales nucléaires de puissance –
Instrumentation et contrôle-commande
importants pour la sûreté –
Aspects logiciels des systèmes programmés
réalisant des fonctions de catégorie A

Nuclear power plants –
Instrumentation and control systems
important to safety –
Software aspects for computer-based
systems performing category A functions

Numéro de référence
Reference number
CEI/IEC 60880:2006
Numérotation des publications Publication numbering
Depuis le 1er janvier 1997, les publications de la CEI As from 1 January 1997 all IEC publications are
sont numérotées à partir de 60000. Ainsi, la CEI 34-1 issued with a designation in the 60000 series. For
devient la CEI 60034-1. example, IEC 34-1 is now referred to as IEC 60034-1.
Editions consolidées Consolidated editions
Les versions consolidées de certaines publications de la The IEC is now publishing consolidated versions of its
CEI incorporant les amendements sont disponibles. Par publications. For example, edition numbers 1.0, 1.1
exemple, les numéros d’édition 1.0, 1.1 et 1.2 indiquent and 1.2 refer, respectively, to the base publication,
respectivement la publication de base, la publication de the base publication incorporating amendment 1 and
base incorporant l’amendement 1, et la publication de the base publication incorporating amendments 1
base incorporant les amendements 1 et 2. and 2.
Informations supplémentaires Further information on IEC publications
sur les publications de la CEI
Le contenu technique des publications de la CEI est The technical content of IEC publications is kept
constamment revu par la CEI afin qu'il reflète l'état under constant review by the IEC, thus ensuring that
actuel de la technique. Des renseignements relatifs à the content reflects current technology. Information
cette publication, y compris sa validité, sont dispo- relating to this publication, including its validity, is
nibles dans le Catalogue des publications de la CEI available in the IEC Catalogue of publications
(voir ci-dessous) en plus des nouvelles éditions, (see below) in addition to new editions, amendments
amendements et corrigenda. Des informations sur les and corrigenda. Information on the subjects under
sujets à l’étude et l’avancement des travaux entrepris consideration and work in progress undertaken by the
par le comité d’études qui a élaboré cette publication, technical committee which has prepared this
ainsi que la liste des publications parues, sont publication, as well as the list of publications issued,
également disponibles par l’intermédiaire de: is also available from the following:
• Site web de la CEI (www.iec.ch) • IEC Web Site (www.iec.ch)
• Catalogue des publications de la CEI • Catalogue of IEC publications
Le catalogue en ligne sur le site web de la CEI The on-line catalogue on the IEC web site
(www.iec.ch/searchpub) vous permet de faire des (www.iec.ch/searchpub) enables you to search by a
recherches en utilisant de nombreux critères, variety of criteria including text searches,
comprenant des recherches textuelles, par comité technical committees and date of publication. On-
d’études ou date de publication. Des informations en line information is also available on recently
ligne sont également disponibles sur les nouvelles issued publications, withdrawn and replaced
publications, les publications remplacées ou retirées, publications, as well as corrigenda.
ainsi que sur les corrigenda.
• IEC Just Published • IEC Just Published
Ce résumé des dernières publications parues This summary of recently issued publications
(www.iec.ch/online_news/justpub) est aussi dispo- (www.iec.ch/online_news/justpub) is also available
nible par courrier électronique. Veuillez prendre by email. Please contact the Customer Service
contact avec le Service client (voir ci-dessous) Centre (see below) for further information.
pour plus d’informations.
• Service clients • Customer Service Centre
Si vous avez des questions au sujet de cette If you have any questions regarding this
publication ou avez besoin de renseignements publication or need further assistance, please
supplémentaires, prenez contact avec le Service contact the Customer Service Centre:
clients:
Email: custserv@iec.ch Email: custserv@iec.ch
Tél: +41 22 919 02 11 Tel: +41 22 919 02 11
Fax: +41 22 919 03 00 Fax: +41 22 919 03 00
.
NORME CEI
INTERNATIONALE
IEC
INTERNATIONAL
Deuxième édition
STANDARD
Second edition
2006-05
Centrales nucléaires de puissance–
Instrumentation et contrôle-commande
importants pour la sûreté –
Aspects logiciels des systèmes programmés
réalisant des fonctions de catégorie A

Nuclear power plants –
Instrumentation and control systems
important to safety –
Software aspects for computer-based
systems performing category A functions

 IEC 2006 Droits de reproduction réservés  Copyright - all rights reserved
Aucune partie de cette publication ne peut être reproduite ni No part of this publication may be reproduced or utilized in any
utilisée sous quelque forme que ce soit et par aucun procédé, form or by any means, electronic or mechanical, including
électronique ou mécanique, y compris la photocopie et les photocopying and microfilm, without permission in writing from
microfilms, sans l'accord écrit de l'éditeur. the publisher.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
CODE PRIX
XE
PRICE CODE
Commission Electrotechnique Internationale
International Electrotechnical Commission
МеждународнаяЭлектротехническаяКомиссия
Pour prix, voir catalogue en vigueur
For price, see current catalogue

– 2 – 60880  CEI:2006
SOMMAIRE
AVANT-PROPOS.6
INTRODUCTION.10

1 Domaine d’application et objet.16
2 Références normatives.16
3 Termes et définitions .18
4 Symboles et abréviations.28
5 Exigences générales pour les projets logiciel .28
5.1 Généralités.28
5.2 Types de logiciel .32
5.3 Principe de développement du logiciel.34
5.4 Gestion du projet logiciel .38
5.5 Plan d’assurance qualité logiciel .38
5.6 Gestion de configuration.40
5.7 Sécurité du logiciel.42
6 Exigences du logiciel.46
6.1 Spécification des exigences du logiciel.46
6.2 Auto-surveillance.48
6.3 Test périodique .48
6.4 Documentation .50
7 Conception et réalisation .50
7.1 Principes pour la conception et la réalisation.52
7.2 Langages, traducteurs et outils associés .56
7.3 Recommandations détaillées.58
7.4 Documentation .62
8 Vérification du logiciel .62
8.1 Processus de vérification du logiciel.62
8.2 Activités de vérification du logiciel.64
9 Aspects logiciels de l’intégration du système .72
9.1 Aspects logiciels du plan d’intégration du système .74
9.2 Intégration du système .76
9.3 Vérification du système intégré.76
9.4 Procédures de résolution de défaut .78
9.5 Aspects logiciels du compte rendu de vérification du système intégré .78
10 Aspects logiciels du plan de validation .80
10.1 Aspects logiciels du plan de validation système.80
10.2 Validation du système .80
10.3 Aspects logiciels du compte rendu de validation du système .82
10.4 Procédures de résolution de défaut .82
11 Modification du logiciel .82
11.1 Procédure de demande de modification.84
11.2 Procédure d'exécution d'une modification du logiciel .86
11.3 Modification du logiciel après livraison .88

60880  IEC:2006 – 3 –
CONTENTS
FOREWORD.7
INTRODUCTION.11

1 Scope and object.17
2 Normative references .17
3 Terms and definitions .19
4 Symbols and abbreviations.29
5 General requirements for software projects .29
5.1 General .29
5.2 Software types .33
5.3 Software development approach .35
5.4 Software project management .39
5.5 Software quality assurance plan .39
5.6 Configuration management.41
5.7 Software security.43
6 Software requirements.47
6.1 Specification of software requirements .47
6.2 Self-supervision .49
6.3 Periodic testing .49
6.4 Documentation .51
7 Design and implementation .51
7.1 Principles for design and implementation .53
7.2 Language and associated translators and tools .57
7.3 Detailed recommendations .59
7.4 Documentation .63
8 Software Verification .63
8.1 Software verification process.63
8.2 Software verification activities .65
9 Software aspects of system integration.73
9.1 Software aspects of system integration plan.75
9.2 System integration .77
9.3 Integrated system verification.77
9.4 Fault resolution procedures .79
9.5 Software aspects of integrated system verification report .79
10 Software aspects of system validation .81
10.1 Software aspects of the system validation plan.81
10.2 System validation .81
10.3 Software aspects of the system validation report .83
10.4 Fault resolution procedures .83
11 Software modification .83
11.1 Modification request procedure .85
11.2 Procedure for executing a software modification.87
11.3 Software modification after delivery.89

– 4 – 60880  CEI:2006
12 Aspects logiciels de l’installation et de l’exploitation .90
12.1 Installation du logiciel sur site .90
12.2 Sécurité informatique sur site .90
12.3 Adaptation du logiciel aux conditions sur site .92
12.4 Formation des opérateurs.92
13 Moyens de défense contre les défaillances logicielles de cause commune .94
13.1 Généralités.94
13.2 Conception du logiciel pour éviter les CCF .96
13.3 Sources et effets des CCF logicielles .96
13.4 Mise en oeuvre de la diversité .98
13.5 Pondération des inconvénients et des avantages liés à l'utilisation de la
diversité .98
14 Outils logiciels pour le développement de logiciels .98
14.1 Généralités.98
14.2 Sélection des outils .100
14.3 Exigences applicables aux outils .102
15 Qualification de logiciels prédéveloppés .112
15.1 Généralités.112
15.2 Exigences générales .112
15.3 Processus d’évaluation et d’agrément .114
15.4 Exigences liées à l'intégration dans le système et à la maintenance des PDS .130

Annexe A (normative) Cycle de vie et de sûreté du logiciel et détails des exigences du
logiciel .132
Annexe B (normative) Exigences et recommandations détaillées relatives à la
conception et à la réalisation .136
Annexe C (informative) Exemple d’ingénierie à base de logiciel orienté application
(développement de logiciel avec un langage orienté application) .162
Annexe D (informative) Langage, traducteur, éditeur de liens .170
Annexe E (informative) Vérification et test du logiciel.174
Annexe F (informative) Liste typique des documents relatifs au logiciel .190
Annexe G (informative) Considérations sur les CCF et la diversification .192
Annexe H (informative) Outils pour la production et la vérification des spécifications,
de la conception et du code .200
Annexe I (informative) Exigences concernant les logiciels prédéveloppés (PDS) .206
Annexe J (informative) Correspondance entre la CEI 61513 et cette norme .210

60880  IEC:2006 – 5 –
12 Software aspects of installation and operation.91
12.1 On-site installation of the software .91
12.2 On-site software security.91
12.3 Adaptation of the software to on-site conditions.93
12.4 Operator training .93
13 Defences against common cause failure due to software.95
13.1 General .95
13.2 Design of software against CCF .97
13.3 Sources and effects of CCF due to software.97
13.4 Implementation of diversity.99
13.5 Balance of drawbacks and benefits connected with the use of diversity.99
14 Software tools for the development of software .99
14.1 Introduction .99
14.2 Selection of tools.101
14.3 Requirements for tools .103
15 Qualification of pre-developed software.113
15.1 General .113
15.2 General requirements.113
15.3 Evaluation and assessment process.115
15.4 Requirements for integration in the system and modification of PDS .131

Annex A (normative) Software safety life cycle and details of software requirements .133
Annex B (normative) Detailed requirements and recommendations for design and
implementation .137
Annex C (informative) Example of application oriented software engineering (software
development with application-oriented language).163
Annex D (informative) Language, translator, linkage editor .171
Annex E (informative) Software verification and testing.175
Annex F (informative) Typical list of software documentation .191
Annex G (informative) Considerations of CCF and diversity .193
Annex H (informative) Tools for production and checking of specification, design and
implementation .201
Annex I (informative) Requirements concerning pre-developed software (PDS) .207
Annex J (informative) Correspondence between IEC 61513 and this standard .211

– 6 – 60880  CEI:2006
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
____________
CENTRALES NUCLÉAIRES DE PUISSANCE –
INSTRUMENTATION ET CONTRÔLE-COMMANDE
IMPORTANTS POUR LA SÛRETÉ –
ASPECTS LOGICIELS DES SYSTÈMES PROGRAMMÉS
RÉALISANT DES FONCTIONS DE CATÉGORIE A

AVANT-PROPOS
1) La Commission Electrotechnique Internationale (CEI) est une organisation mondiale de normalisation
composée de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a
pour objet de favoriser la coopération internationale pour toutes les questions de normalisation dans les
domaines de l'électricité et de l'électronique. A cet effet, la CEI – entre autres activités – publie des Normes
internationales, des Spécifications techniques, des Rapports techniques, des Spécifications accessibles au
public (PAS) et des Guides (ci-après dénommés "Publication(s) de la CEI"). Leur élaboration est confiée à des
comités d'études, aux travaux desquels tout Comité national intéressé par le sujet traité peut participer. Les
organisations internationales, gouvernementales et non gouvernementales, en liaison avec la CEI, participent
également aux travaux. La CEI collabore étroitement avec l'Organisation Internationale de Normalisation (ISO),
selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux de la CEI
intéressés sont représentés dans chaque comité d’études.
3) Les Publications de la CEI se présentent sous la forme de recommandations internationales et sont agréées
comme telles par les Comités nationaux de la CEI. Tous les efforts raisonnables sont entrepris afin que la CEI
s'assure de l'exactitude du contenu technique de ses publications; la CEI ne peut pas être tenue responsable
de l'éventuelle mauvaise utilisation ou interprétation qui en est faite par un quelconque utilisateur final.
4) Dans le but d'encourager l'uniformité internationale, les Comités nationaux de la CEI s'engagent, dans toute la
mesure possible, à appliquer de façon transparente les Publications de la CEI dans leurs publications
nationales et régionales. Toutes divergences entre toutes Publications de la CEI et toutes publications
nationales ou régionales correspondantes doivent être indiquées en termes clairs dans ces dernières.
5) La CEI n’a prévu aucune procédure de marquage valant indication d’approbation et n'engage pas sa
responsabilité pour les équipements déclarés conformes à une de ses Publications.
6) Tous les utilisateurs doivent s'assurer qu'ils sont en possession de la dernière édition de cette publication.
7) Aucune responsabilité ne doit être imputée à la CEI, à ses administrateurs, employés, auxiliaires ou
mandataires, y compris ses experts particuliers et les membres de ses comités d'études et des Comités
nationaux de la CEI, pour tout préjudice causé en cas de dommages corporels et matériels, ou de tout autre
dommage de quelque nature que ce soit, directe ou indirecte, ou pour supporter les coûts (y compris les frais
de justice) et les dépenses découlant de la publication ou de l'utilisation de cette Publication de la CEI ou de
toute autre Publication de la CEI, ou au crédit qui lui est accordé.
8) L'attention est attirée sur les références normatives citées dans cette publication. L'utilisation de publications
référencées est obligatoire pour une application correcte de la présente publication.
9) L’attention est attirée sur le fait que certains des éléments de la présente Publication de la CEI peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 60880 a été établie par le sous-comité 45A: Instrumentation et
contrôle-commande des installations nucléaires, du comité d'études 45 de la CEI:
Instrumentation nucléaire.
Cette deuxième édition annule et remplace la première édition publiée en 1986 ainsi que la
CEI 60880-2 publiée en 2000. Elle constitue une révision technique.
L’objectif de la révision de la norme est de:
• Prendre en compte le fait que les techniques de génie logiciel ont progressé de façon
significative ces dernières années.
• Mettre en cohérence la norme avec les nouvelles révisions des documents de l’AIEA NS-
R-1 et NS-G-1.3, ceci comprenant autant que possible une adaptation des définitions.

60880  IEC:2006 – 7 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
NUCLEAR POWER PLANTS –
INSTRUMENTATION AND CONTROL SYSTEMS IMPORTANT TO SAFETY –
SOFTWARE ASPECTS FOR COMPUTER-BASED SYSTEMS PERFORMING
CATEGORY A FUNCTIONS
FOREWORD
1) The International Electrotechnical Commission (IEC) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, IEC publishes International Standards, Technical Specifications,
Technical Reports, Publicly Available Specifications (PAS) and Guides (hereafter referred to as “IEC
Publication(s)”). Their preparation is entrusted to technical committees; any IEC National Committee interested
in the subject dealt with may participate in this preparatory work. International, governmental and non-
governmental organizations liaising with the IEC also participate in this preparation. IEC collaborates closely
with the International Organization for Standardization (ISO) in accordance with conditions determined by
agreement between the two organizations.
2) The formal decisions or agreements of IEC on technical matters express, as nearly as possible, an international
consensus of opinion on the relevant subjects since each technical committee has representation from all
interested IEC National Committees.
3) IEC Publications have the form of recommendations for international use and are accepted by IEC National
Committees in that sense. While all reasonable efforts are made to ensure that the technical content of IEC
Publications is accurate, IEC cannot be held responsible for the way in which they are used or for any
misinterpretation by any end user.
4) In order to promote international uniformity, IEC National Committees undertake to apply IEC Publications
transparently to the maximum extent possible in their national and regional publications. Any divergence
between any IEC Publication and the corresponding national or regional publication shall be clearly indicated in
the latter.
5) IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with an IEC Publication.
6) All users should ensure that they have the latest edition of this publication.
7) No liability shall attach to IEC or its directors, employees, servants or agents including individual experts and
members of its technical committees and IEC National Committees for any personal injury, property damage or
other damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and
expenses arising out of the publication, use of, or reliance upon, this IEC Publication or any other IEC
Publications.
8) Attention is drawn to the Normative references cited in this publication. Use of the referenced publications is
indispensable for the correct application of this publication.
9) Attention is drawn to the possibility that some of the elements of this IEC Publication may be the subject of
patent rights. IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 60880 has been prepared by subcommittee 45A: Instrumentation
and control of nuclear facilities, of IEC technical committee 45: Nuclear instrumentation.
This second edition cancels and replaces the first edition published in 1986 and IEC 60880-2
published in 2000. It constitutes a technical revision.
The revision of the standard is intended to accomplish the following:
• To take into account the fact that software engineering techniques advanced significantly
in the intervening years.
• To align the standard with the new revisions of IAEA documents NS-R-1 and NS-G-1.3.
This includes as far as possible adaptation of the definitions.

– 8 – 60880  CEI:2006
• Remplacer, autant que possible, les exigences associées aux normes publiées depuis la
parution de la première édition de la CEI 60880, plus particulièrement la CEI 61513, la
CEI 61226 édition 2, la CEI 62138 et la CEI 60987.
• Intégrer complètement au niveau des chapitres 13, 14, 15 et des Annexes G, H, I, la
CEI 60880-2 publiée en 2000.
• Faire la revue des exigences existantes et mettre à jour les définitions et la terminologie.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
45A/613/FDIS 45A/621/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
Cette publication a été rédigée selon les Directives ISO/CEI, Partie 2.
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant la date de
maintenance indiquée sur le site web de la CEI sous «http://webstore.iec.ch» dans les
données relatives à la publication recherchée. A cette date, la publication sera
• reconduite,
• supprimée,
• remplacée par une édition révisée, ou
• amendée.
60880  IEC:2006 – 9 –
• To replace, as far as possible, requirements associated with standards published since
the first edition of IEC 60880, especially IEC 61513, IEC 61226 edition 2, IEC 62138 and
IEC 60987.
• To fully integrate IEC 60880-2 published in 2000 as chapters 13, 14, 15 and annexes G,
H, I.
• To review the existing requirements and to update the terminology and definitions.
The text of this standard is based on the following documents:
FDIS Report on voting
45A/613/FDIS 45A/621/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
This publication has been drafted in accordance with the ISO/IEC Directives, Part 2.
The committee has decided that the contents of this publication will remain unchanged until
the maintenance result date indicated on the IEC web site under "http://webstore.iec.ch" in
the data related to the specific publication. At this date, the publication will be
• reconfirmed,
• withdrawn,
• replaced by a revised edition, or
• amended.
– 10 – 60880  CEI:2006
INTRODUCTION
a) Contexte technique, questions importantes et structure du document
Le développement des logiciels des systèmes de contrôle-commande numériques employés à
des fins de sûreté nucléaire est un défi du fait des exigences de sûreté à satisfaire. Les
logiciels de sûreté employés dans les centrales nucléaires, qui, souvent, ne sont sollicités
qu’en cas d’urgence doivent être totalement validés et qualifiés avant leur mise en
exploitation. Afin d’atteindre le haut niveau de fiabilité requis, une attention particulière doit
être apportée durant tout le cycle de vie, depuis la spécification des exigences de base
jusqu’à l’exploitation et la maintenance, en passant par les différentes étapes de conception
et de V&V. L’objectif principal de cette norme est de traiter des différents aspects de sûreté
correspondants et d’énoncer les exigences permettant d’atteindre le haut niveau de qualité
logicielle nécessaire.
La première édition de cette norme, publiée en 1986, avait été développée pour interpréter
les principes de sûreté de base jusqu’alors applicables aux systèmes câblés, pour les
systèmes numériques – systèmes multiprocesseurs répartis, grands systèmes mono-
processeurs – employés dans les systèmes de sûreté des centrales nucléaires.
Elle fut largement utilisée par l’industrie nucléai re pour fournir des exigences et des recom-
mandations applicables aux logiciels des systèmes de contrôle commande des centrales
nucléaires.
Bien que la plupart des exigences de cette première édition soient toujours pertinentes, des
éléments significatifs ont justifié le développement de cette seconde édition:
– Depuis 1986 un certain nombre de nouvelles normes ont été produites; celles-ci traitent
en détail des exigences générales portant sur les systèmes (CEI 61513) et des exigences
relatives au matériel (CEI 60987). Une norme traite du logiciel des systèmes de contrôle-
commande réalisant des fonctions de catégories B ou C pour les systèmes importants
pour la sûreté des centrales nucléaire (CEI 62138). Le Guide de sûreté de l’AIEA 50-SG-
D3 a été remplacé par le guide NS-G-1.3. Enfin, la CEI 60880-2 a été diffusée.
– Les techniques de génie logiciel ont progressé de façon significative au cours des
dernières années.
Lors du développement de cette norme, le plus grand soin a été apporté au maintien de la
transparence par rapport à la première édition. Lorsque cela a été possible, la formulation des
exigences a été conservée, sinon elle a été modifiée tout en maintenant la traçabilité. De la
même façon, la CEI 60880-2 traitant des aspects logiciels relatifs à la défense contre les
défaillances de cause commune, à l’utilisation des d’outils logiciels et de logiciels
prédéveloppés, a été intégrée de telle façon que la présente norme couvre aujourd’hui la
totalité des sujets considérés.
L’objectif de cette norme est d’être utilisée par les développeurs de systèmes, les acheteurs
et les utilisateurs de systèmes (exploitants), les évaluateurs de systèmes et autorités
réglementaires.
b) Position de la présente norme dans la collection de normes du SC 45A
La CEI 61513, qui traite des systèmes de contrôle-commande numériques de haute intégrité
employés dans les systèmes de sûreté des centrales nucléaires de puissance fait référence à
la CEI 60880.
La CEI 60880 est le document de deuxième niveau qui traite les aspects logiciels des
systèmes de contrôle-commande réalisant des fonctions de catégorie A.

60880  IEC:2006 – 11 –
INTRODUCTION
a) Technical background, main issues and organisation of the standard
Engineering of software based Instrumentation and Control (I&C) systems to be used for
nuclear safety purposes is a challenge due to the safety requirements to be fulfilled. The
safety software used in nuclear power plants (NPP) which are often required only in
emergency cases, have to be fully validated and qualified before being used in operation. In
order to achieve the high reliability required, special care has to be taken throughout the
entire life cycle, from the basic requirements, the various design phases and V&V procedures
for operation and maintenance. It is the main aim of this standard to address the related
safety aspects and to provide requirements for achieving the high software quality necessary.
The first edition of this standard was issued in 1986 to interpret the basic safety principles
applied so far in hardwired systems for the utilisation of digital systems — multiprocessor
distributed systems as well as larger scale central processor systems — in the safety systems
of nuclear power plants.
It has been used extensively within the nuclear industry to provide requirements and guidance
for software of NPP safety I&C systems.
Although many of the requirements within the first edition continued to be relevant, there were
significant factors which justified the development of this second edition:
– Since 1986, a number of new standards have been produced which address in detail the
general requirements for systems (IEC 61513), hardware requirements (IEC 60987) and a
standard to address software for I&C systems performing category B or C functions for
NPP systems important to safety (IEC 62138). The Safety Guide 50-SG-D3 of the IAEA
has been superseded by the guide NS-G-1.3. Additionally, IEC 60880-2 has been issued.
– Software engineering techniques have advanced significantly in the intervening years.
In this standard, utmost care has been taken to keep transparency with respect to the first
edition. Where possible, the phrasing of requirements has been kept, otherwise it has been
extended in a traceable way. In the same manner, IEC 60880-2 dealing with software aspects
of defence against common cause failures, use of software tools and pre-developed software
has been integrated, so that now this current standard covers entirely the software safety
issues to be addressed.
It is intended that the standard be used by systems developers, systems purchasers/users
(utilities), systems assessors and by licensors.
b) Situation of the current standard in the structure of the SC 45A standard series
IEC 60880 is directly referenced by IEC 61513 which deals with the system aspects of high
integrity computer-based I&C used in safety systems of nuclear power plants together.
IEC 60880 is the second level SC 45A document tackling the issue of software aspects for
I&C systems performing category A functions.

– 12 – 60880  CEI:2006
Le logiciel relatif aux fonctions de catégories B et C est traité dans la CEI 62138.
Prises ensemble, la CEI 60880 et la CEI 62138 couvrent les aspects logiciels relatifs aux
systèmes numériques employés dans les centrales nucléaires de puissance pour réaliser les
fonctions importantes pour la sûreté.
Cette seconde édition de la CEI 60880 doit être lue conjointement avec la CEI 60987 et la
CEI 61226, qui sont les normes du SC 45A traitant des aspects matériels et du classement
des systèmes.
Pour plus de détails sur la collection de normes du SC 45A, voir le point d) de cette
introduction.
c) Recommandations et limites relatives à l’application de cette norme
Il est important de noter que cette norme n’établit pas d’exigences fonctionnelles
supplémentaires pour les systèmes de sûreté.
Les aspects pour lesquels des exigences et des recommandations particulières ont été
produites sont:
1) une approche générale du développement logiciel pour garantir une production de logiciel
hautement fiable prenant en compte les interdépendances entre le matériel et le logiciel;
2) une approche générale pour la vérification du logiciel et pour les aspects logiciels de la
validation du système programmé;
3) des procédures pour le contrôle des modifications et des configurations du logiciel;
4) des exigences applicables à l’utilisation des outils;
5) des procédures pour la qualification des logiciels prédéveloppés.
Il est reconnu que les techniques logicielles se développent de façon continue à un rythme
soutenu et qu’il n’est pas possible, pour une norme, de faire référence à toutes les techniques
et technologies nouvelles de conception.
Pour garantir la pertinence de la norme pour les années futures, l’accent a été mis sur les
principes, plutôt que sur les techniques logicielles.
Si de nouvelles techniques sont développées, l’application des principes devrait permettre
d’en apprécier l’utilité.
d) Description de la structure de la collection des normes du SC 45A et relations
avec d’autres documents de la CEI et d’autres organisations (AIEA, ISO)
Le document de niveau supérieur de la collection de normes produites par le SC 45A est la
CEI 61513. Cette norme traite des exigences relatives aux systèmes et équipements
d’instrumentation et de contrôle-commande (systèmes d’I&C) utilisés pour accomplir les
fonctions importantes pour la sûreté des centrales nucléaires, et structure la collection de
normes du SC 45A.
La CEI 61513 fait directement référence aux autres normes du SC 45A traitant de sujets
génériques, tels que la catégorisation des fonctions et le classement des systèmes, la
qualification, la séparation des systèmes, les défaillances de cause commune, les aspects
logiciels et les aspects matériels relatifs aux systèmes programmés, et la conception des
salles de commande. Il convient de considérer que ces normes, de second niveau, forment,
avec la CEI 61513, un ensemble documentaire cohérent.

60880  IEC:2006 – 13 –
...