IEC 60880-2:2000

NORME CEI
INTERNATIONALE IEC
60880-2
INTERNATIONAL
Première édition
STANDARD
First edition
2000-12
Logiciel pour les calculateurs de sûreté
des centrales nucléaires –
Partie 2:
Défense contre les défaillances de cause
commune provoquées par le logiciel,
utilisation d'outils logiciels et de logiciels
prédéveloppés
Software for computers important to safety
for nuclear power plants –
Part 2:
Software aspects of defence against common
cause failures, use of software tools and of
pre-developed software
Numéro de référence
Reference number
CEI/IEC 60880-2:2000
Numérotation des publications Publication numbering

Depuis le 1er janvier 1997, les publications de la CEI As from 1 January 1997 all IEC publications are

sont numérotées à partir de 60000. Ainsi, la CEI 34-1 issued with a designation in the 60000 series. For
devient la CEI 60034-1. example, IEC 34-1 is now referred to as IEC 60034-1.

Editions consolidées Consolidated editions

Les versions consolidées de certaines publications de la The IEC is now publishing consolidated versions of its

CEI incorporant les amendements sont disponibles. Par publications. For example, edition numbers 1.0, 1.1
exemple, les numéros d’édition 1.0, 1.1 et 1.2 indiquent and 1.2 refer, respectively, to the base publication,
respectivement la publication de base, la publication de the base publication incorporating amendment 1 and

base incorporant l’amendement 1, et la publication de the base publication incorporating amendments 1
base incorporant les amendements 1 et 2. and 2.
Informations supplémentaires Further information on IEC publications
sur les publications de la CEI
Le contenu technique des publications de la CEI est The technical content of IEC publications is kept
constamment revu par la CEI afin qu'il reflète l'état under constant review by the IEC, thus ensuring that
actuel de la technique. Des renseignements relatifs à the content reflects current technology. Information
cette publication, y compris sa validité, sont dispo- relating to this publication, including its validity, is
nibles dans le Catalogue des publications de la CEI available in the IEC Catalogue of publications
(voir ci-dessous) en plus des nouvelles éditions, (see below) in addition to new editions, amendments
amendements et corrigenda. Des informations sur les and corrigenda. Information on the subjects under
sujets à l’étude et l’avancement des travaux entrepris consideration and work in progress undertaken by the
par le comité d’études qui a élaboré cette publication, technical committee which has prepared this
ainsi que la liste des publications parues, sont publication, as well as the list of publications issued,
également disponibles par l’intermédiaire de: is also available from the following:
• Site web de la CEI (www.iec.ch) • IEC Web Site (www.iec.ch)
• Catalogue des publications de la CEI • Catalogue of IEC publications
Le catalogue en ligne sur le site web de la CEI The on-line catalogue on the IEC web site
(www.iec.ch/catlg-f.htm) vous permet de faire des (www.iec.ch/catlg-e.htm) enables you to search
recherches en utilisant de nombreux critères, by a variety of criteria including text searches,
comprenant des recherches textuelles, par comité technical committees and date of publication. On-
d’études ou date de publication. Des informations line information is also available on recently
en ligne sont également disponibles sur les issued publications, withdrawn and replaced
nouvelles publications, les publications rempla- publications, as well as corrigenda.
cées ou retirées, ainsi que sur les corrigenda.
• IEC Just Published
• IEC Just Published
Ce résumé des dernières publications parues
This summary of recently issued publications
(www.iec.ch/JP.htm) est aussi disponible par
(www.iec.ch/JP.htm) is also available by email.
courrier électronique. Veuillez prendre contact
Please contact the Customer Service Centre (see
avec le Service client (voir ci-dessous) pour plus
below) for further information.
d’informations.
• Service clients
• Customer Service Centre
Si vous avez des questions au sujet de cette
If you have any questions regarding this
publication ou avez besoin de renseignements
publication or need further assistance, please
supplémentaires, prenez contact avec le Service
contact the Customer Service Centre:
clients:
Email: custserv@iec.ch
Email: custserv@iec.ch
Tél: +41 22 919 02 11
Tel: +41 22 919 02 11
Fax: +41 22 919 03 00
Fax: +41 22 919 03 00
.
NORME CEI
INTERNATIONALE IEC
60880-2
INTERNATIONAL
Première édition
STANDARD
First edition
2000-12
Logiciel pour les calculateurs de sûreté
des centrales nucléaires –
Partie 2:
Défense contre les défaillances de cause
commune provoquées par le logiciel,
utilisation d'outils logiciels et de logiciels
prédéveloppés
Software for computers important to safety
for nuclear power plants –
Part 2:
Software aspects of defence against common
cause failures, use of software tools and of
pre-developed software
 IEC 2000 Droits de reproduction réservés  Copyright - all rights reserved
Aucune partie de cette publication ne peut être reproduite ni No part of this publication may be reproduced or utilized in
utilisée sous quelque forme que ce soit et par aucun procédé, any form or by any means, electronic or mechanical,
électronique ou mécanique, y compris la photocopie et les including photocopying and microfilm, without permission in
microfilms, sans l'accord écrit de l'éditeur. writing from the publisher.
International Electrotechnical Commission 3, rue de Varembé Geneva, Switzerland
Telefax: +41 22 919 0300 e-mail: inmail@iec.ch IEC web site http://www.iec.ch
CODE PRIX
Commission Electrotechnique Internationale
W
PRICE CODE
International Electrotechnical Commission
Pour prix, voir catalogue en vigueur
For price, see current catalogue

– 2 – 60880-2 © CEI:2000
SOMMAIRE
Pages
AVANT-PROPOS . 6

INTRODUCTION .8

Articles
1 Domaine d’application et objet. 10

2 Références normatives. 10
3 Définitions et abréviations . 12
4 Prescriptions et recommandations. 18
4.1 Moyens de défense contre les défaillances logicielles de cause commune . 18
4.1.1 Introduction . 18
4.1.2 Conception du logiciel pour éviter les CCF. 20
4.1.3 Sources et effets des CCF logicielles. 20
4.1.4 Mise en oeuvre de la diversité . 22
4.1.5 Pondération des inconvénients et des avantages liés à l'utilisation
de la diversité. 24
4.2 Outils logiciels pour le développement de logiciels. 24
4.2.1 Introduction . 24
4.2.2 Sélection des outils . 26
4.2.3 Prescriptions applicables aux outils . 26
4.3 Qualification de logiciels prédéveloppés . 36
4.3.1 Introduction . 36
4.3.2 Prescriptions générales . 38
4.3.3 Processus d’évaluation et d’agrément. 38
4.3.4 Prescriptions liées à l'intégration dans le système et à la maintenance
des LPD . 50
Annexe A (informative) Considérations sur les CCF et la diversification. 56
A.1 CCF logicielle . 56
A.2 Causes et effets des CCF potentielles . 56
A.3 Défense contre les CCF. 58
A.4 Preuve de conformité . 60
A.5 Caractéristiques de la diversité. 60
A.6 Inconvénients, avantages et justification de la diversité. 62
Annexe B (informative) Prescriptions de la CEI 60880 pour l'utilisation et la qualification
des outils logiciels . 64
Annexe C (informative) Outils pour la production et la vérification des spécifications,
de la conception et du code . 66
C.1 Outils constructifs. 66
C.2 Outils analytiques . 68

60880-2  IEC:2000 – 3 –
CONTENTS
Page
FOREWORD . 7

INTRODUCTION .9

Clause
1 Scope and object . 11

2 Normative references . 11
3 Definitions and abbreviations. 13
4 Requirements and recommendations. 19
4.1 Defences against common cause failure due to software . 19
4.1.1 Introduction . 19
4.1.2 Design of software against CCF . 21
4.1.3 Sources and effects of CCF due to software . 21
4.1.4 Implementation of diversity. 23
4.1.5 Balance of drawbacks and benefits connected with the use of diversity. 25
4.2 Software tools for the development of software. 25
4.2.1 Introduction . 25
4.2.2 Selection of tools. 27
4.2.3 Requirements for tools . 27
4.3 Qualification of pre-developed software . 37
4.3.1 Introduction . 37
4.3.2 General requirements. 39
4.3.3 Evaluation and assessment process . 39
4.3.4 Requirements for integration in the system and maintenance of PDS . 51
Annex A (informative) Considerations of CCF and diversity . 57
A.1 CCF due to software. 57
A.2 Potential CCF causes and effects . 57
A.3 CCF defences . 59
A.4 Demonstration of correctness . 61
A.5 Diversity features. 61

A.6 Drawbacks, benefits and justification of diversity. 63
Annex B (informative)  IEC 60880 requirements for the use and qualification
of software tools . 65
Annex C (informative) Tools for production and checking of specification, design and code . 67
C.1 Constructive tools . 67
C.2 Analytical tools . 69

– 4 – 60880-2 © CEI:2000
Pages
Annexe D (informative) Prescriptions de la CEI 60880 concernant les LPD. 70

D.1 Résumé des prescriptions de la CEI 60880 concernant les LPD . 70

D.2 Documentation pour l'évaluation des LPD . 70

D.3 Directives pour la sélection des prescriptions applicables de la CEI 60880 . 72

D.4 Directives pour le classement des non-conformités et des facteurs compensateurs. 72

D.5 Recueil et validation des données relatives à l'historique d’exploitation . 74

Bibliographie . 78

Figure 1 – Processus de qualification des logiciels prédéveloppés . 52
Figure 2 – Relations de l’évaluation et de l’estimation du LPD avec le plan de qualification
du système dans lequel il est intégré . 54

60880-2  IEC:2000 – 5 –
Page
Annex D (informative) IEC 60880 requirements concerning PDS . 71

D.1 Summary of IEC 60880 requirements concerning the PDS . 71

D.2 Documentation for the evaluation of the PDS . 71

D.3 Guidance for selecting applicable IEC 60880 requirements . 73

D.4 Guidance for graduating non-conformities and compensating factors . 73

D.5 Collection and validation of data on the operational history. 75

Bibliography . 79

Figure 1 – Outline of the qualification process of pre-developed software . 53
Figure 2 – Relation of PDS evaluation and assessment with the qualification plan
of the system in which it is integrated. 55

– 6 – 60880-2 © CEI:2000
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE

___________
LOGICIEL POUR LES CALCULATEURS DE SÛRETÉ

DES CENTRALES NUCLÉAIRES –
Partie 2: Défense contre les défaillances de cause commune provoquées

par le logiciel, utilisation d’outils logiciels et de logiciels prédéveloppés

AVANT-PROPOS
1) La CEI (Commission Electrotechnique Internationale) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes internationales.
Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité national intéressé par le
sujet traité peut participer. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec la CEI, participent également aux travaux. La CEI collabore étroitement avec l'Organisation
Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, spécifications techniques, rapports techniques ou guides, et agréés comme tels par les
Comités nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer de
façon transparente, dans toute la mesure possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa responsabilité
n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 60880-2 a été établie par le sous-comité 45A: Instrumentation des
réacteurs, du comité d'études 45 de la CEI: Instrumentation nucléaire.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
45A/402/FDIS 45A/406/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
Cette publication a été rédigée selon les Directives ISO/CEI, Partie 3.
Les annexes A, B, C et D sont données uniquement à titre d'information.
Une fois révisée, la CEI 60880 (1986) paraîtra sous le numéro CEI 60880-1.
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant 2006. A cette
date, la publication sera
reconduite;
supprimée;
remplacée par une édition révisée, ou
amendée.
60880-2  IEC:2000 – 7 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION

___________
SOFTWARE FOR COMPUTERS IMPORTANT TO SAFETY

FOR NUCLEAR POWER PLANTS –
Part 2: Software aspects of defence against common cause failures,

use of software tools and of pre-developed software

FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International Organization
for Standardization (ISO) in accordance with conditions determined by agreement between the two
organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical specifications, technical reports or guides and they are accepted by the National
Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 60880-2 has been prepared by subcommittee 45A: Reactor
instrumentation, of IEC technical committee 45: Nuclear instrumentation.
The text of this standard is based on the following documents:
FDIS Report on voting
45A/402/FDIS 45A/406/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
This publication has been drafted in accordance with the ISO/IEC Directives, Part 3.
Annexes A, B, C and D are for information only.
When IEC 60880 (1986) is revised, it will be published as IEC 60880-1.
The committee has decided that the contents of this publication will remain unchanged until
2006. At this date, the publication will be
• reconfirmed;
•
withdrawn;
• replaced by a revised edition, or
• amended.
– 8 – 60880-2 © CEI:2000
INTRODUCTION
La présente partie de la CEI 60880 énonce les prescriptions applicables aux logiciels pour

systèmes informatiques de sûreté dans les centrales nucléaires. Elle doit être lue

conjointement avec la CEI 60880. Cette partie comprend des exigences sur différents sujets;

ces exigences ont leur origine dans les progrès technologiques et l'expérience acquise sur les

systèmes logiciels jouant un rôle en matière de sûreté, depuis la parution de la CEI 60880.

Il faut mettre en oeuvre une défense contre les défauts logiciels pouvant provoquer une

défaillance de cause commune (CCF) des systèmes informatiques conformément à la

Publication de la Série Sécurité N° 50-C-D de l'AIEA, et les prescriptions techniques qui en

découlent sont données. Les outils de support logiciel ont connu une croissance rapide et des
recommandations liées à leur utilisation sont fournies. L'utilisation pratique de logiciels pour
systèmes informatiques importants pour la sûreté repose souvent sur l'utilisation de logiciels
prédéveloppés, et des prescriptions et des recommandations sont fournies dans ce sens.
La présente partie de la CEI 60880 fait référence à la publication fondamentale de sécurité, la
CEI 61513.
Cette partie s’applique aux fonctions I&C de catégorie A et aux systèmes et équipements
associés (FSE) de la CEI 61226.
NOTE Conformément au schéma de classification de la CEI 61513, les fonctions de catégorie A sont réalisées au
sein de systèmes de classe 1, qui correspondent aux systèmes de sûreté de l’AIEA.

60880-2  IEC:2000 – 9 –
INTRODUCTION
This part of IEC 60880 provides requirements for software for computer-based safety systems

in nuclear power plants and should be read in conjunction with IEC 60880. This part includes

requirements on several topics arising from advances in technology and experience of software

systems with a role in safety since the publication of IEC 60880.

Defence against software faults which can lead to Common Cause Failure (CCF) of computer-

based systems has to be provided in accordance with the IAEA Safety Series No. 50-C-D, and

technical requirements arising from these provisions are given. There has also been a rapid

growth in the use of computerized support tools, and recommendations for their use are given.

The practical use of software for computer-based safety systems often depends on the use of
pre-developed software, and requirements and recommendations in this connection are given.
This part of IEC 60880 references the basic safety publication IEC 61513.
This part applies to Category A I&C functions and associated systems and equipment (FSE) of
IEC 61226.
NOTE According to the classification scheme of IEC 61513, category A functions are implemented in class 1
systems, which correspond to the safety systems of the IAEA.

– 10 – 60880-2 © CEI:2000
LOGICIEL POUR LES CALCULATEURS DE SÛRETÉ

DES CENTRALES NUCLÉAIRES –
Partie 2: Défense contre les défaillances de cause commune provoquées

par le logiciel, utilisation d’outils logiciels et de logiciels prédéveloppés

1 Domaine d’application et objet

Les prescriptions de la présente partie de la CEI 60880 sont applicables aux logiciels des
systèmes informatiques de sûreté dans les centrales nucléaires. Elle fournit des prescriptions
pour les logiciels des fonctions de catégorie A et des systèmes et équipements associés
(FSE). Elle porte sur
• les moyens de défense contre les défaillances de mode commun provoquées par les
logiciels;
• les outils automatisés pour le développement de logiciels importants pour la sûreté; et
• l'utilisation de logiciels préexistants.
La préparation et la validation des données sont traitées dans le cadre de ces trois thèmes.
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente partie de la CEI 60880.
Pour les références datées, les amendements ultérieurs ou les révisions de ces publications
ne s’appliquent pas. Toutefois, les parties prenantes aux accords fondés sur la présente partie
de la CEI 60880 sont invitées à rechercher la possibilité d'appliquer les éditions les plus
récentes des documents normatifs indiqués ci-après. Pour les références non datées, la
dernière édition du document normatif en référence s’applique. Les membres de l’ISO et de la
CEI possèdent le registre des Normes internationales en vigueur.
CEI 60880:1986, Logiciel pour les calculateurs utilisés dans les systèmes de sûreté des
centrales nucléaires
CEI 61226:1993, Centrales nucléaires – Systèmes d'instrumentation et de contrôle-commande
importants pour la sûreté – Classification
CEI 61508-4:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques

programmables relatifs à la sécurité – Partie 4: Définitions et abréviations
CEI 61513:—, Centrales nucléaires de puissance – Contrôle-commande des systèmes
1)
important pour la sûreté – Prescriptions générales pour les systèmes
ISO/IEC 9126:1991, Technologies de l'information – Evaluation des produits logiciels –
Caractéristiques de qualité et directives d'utilisation

AIEA 50-C-D (rev 1):1989, Code pour la sûreté des centrales nucléaires: Conception
AIEA 50-SG-D11:1986, Principes généraux de sûreté dans la conception des centrales
nucléaires: Guide de sûreté
IEEE 610:1990, Lexique de la terminologie d’ingénierie logicielle (disponible en anglais
seulement)
———————
1)
A publier.
60880-2  IEC:2000 – 11 –
SOFTWARE FOR COMPUTERS IMPORTANT TO SAFETY

FOR NUCLEAR POWER PLANTS –
Part 2: Software aspects of defence against common cause failures,

use of software tools and of pre-developed software

1 Scope and object
This part of IEC 60880 is applicable to the software of computer-based safety systems in
nuclear power plants. It gives requirements for software for category A functions, systems and
associated equipment (FSE). It addresses
• defence against common cause failures, caused by software;
• automated tools for the development of software important to safety; and
• use of pre-developed software.
Preparation and confirmation of data is dealt with within these three topics as appropriate.
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 60880. For dated references, subsequent amendments
to, or revisions of, any of these publications do not apply. However, parties to agreements
based on this part of IEC 60880 are encouraged to investigate the possibility of applying the
most recent editions of the normative documents indicated below. For undated references, the
latest edition of the normative document referred to applies. Members of IEC and ISO maintain
registers of currently valid International Standards.
IEC 60880:1986, Software for computers in the safety systems of nuclear power stations
IEC 61226:1993, Nuclear power plants – Instrumentation and control systems important for
safety – Classification
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 4: Definitions and abbreviations
IEC 61513: , Nuclear power plants – Instrumentation and control for systems important to

1)
safety – General requirements for systems
ISO/IEC 9126:1991, Information technology – Software product evaluation – Quality
characteristics and guidelines for their use
IAEA 50-C-D (rev 1):1988, Code on the safety of Nuclear Power Plants: Design
IAEA 50-SG-D11:1986, General design safety principles for nuclear power plants – A safety
guide
IEEE 610:1990, Standard glossary of software engineering terminology
———————
1)
To be published
– 12 – 60880-2 © CEI:2000
3 Définitions et abréviations
Pour les besoins de la présente partie de la CEI 60880, les termes et définitions donnés dans

la CEI 60880 et dans les publications de la Série Sécurité N° 50-C-D de l'AIEA, ainsi que les

suivants, sont applicables.
NOTE 1 Les termes «doit/doivent», «il convient de» et «peut/peuvent» sont utilisés conformément aux prescrip-

tions de la CEI.
NOTE 2 L'exemple suivant est donné afin de lever toute ambiguïté quant à l'utilisation des termes erreur, défaut,

défaillance et trajectoire de signal:

Si une personne ou un processus commet une erreur dans la production de quelque chose, cela entraîne un défaut

du produit. Lorsque le produit est utilisé, il peut être satisfaisant ou bien tomber en panne si le défaut n'est pas
corrigé. Si l'utilisation sollicite le défaut, le produit tombera en panne si aucun autre moyen de défense n'empêche
la défaillance. Une défaillance est due à la fois à un défaut et à une sollicitation, sans aucun autre moyen de
défense en service. Dans le cas des logiciels, un défaut est sollicité par une trajectoire de signal.
3.1
animation
processus par lequel le comportement défini par une spécification est visualisé avec ses
valeurs effectives dérivées des expressions de comportement établies et de certaines valeurs
d’entrée
3.2
fonction d’application
fonction d’un système d’instrumentation et commande qui effectue une tâche relative au
processus à commander plutôt qu’au fonctionnement du système lui-même
[dérivée de 2.1 de la CEI 60880]
3.3
canal
chemin séparé sur lequel les informations sont acheminées dans un système redondant ou
réparti; ce chemin peut également avoir une redondance
3.4
défaillance de cause commune (CCF)
défaillance qui résulte d’un ou plusieurs événements, qui provoquent des défaillances
simultanées de deux ou plusieurs canaux dans un système à canaux multiples ou dans
plusieurs systèmes, conduisant à une défaillance du (des) système(s)
[3.6.10 de la CEI 61508-4, modifiée]
NOTE 1 Selon le contexte, une CCF peut être vue au niveau système ou au niveau des systèmes qui constituent
un groupe de sûreté.
NOTE 2 Voir en 3.8 la définition de défaillance.

3.5
donnée
représentation d’une information ou d'instructions d’une manière adaptée pour la communi-
cation, l’interprétation ou le traitement au moyen d’un calculateur
[définition adaptée de IEEE 610]
NOTE Les données qui sont nécessaires pour définir des paramètres et initier des fonctions d’application et de
service dans le système, sont appelées «données d’application».

60880-2  IEC:2000 – 13 –
3 Definitions and abbreviations

For the purposes of this part of IEC 60880, the terms and definitions given in IEC 60880 and in

the IAEA Safety Series No. 50-C-D, as well as the following terms and definitions apply.

NOTE 1 “Shall”, “should” and “may” are used in accordance with IEC conventions.

NOTE 2 For clarification of the terms , , and the following example is given.
error fault failure signal trajectory

If a person or process makes an error in producing something, this will result in a fault in the product. When the

product is used, it may be satisfactory, or it may fail, if the fault is not corrected. If the use challenges the fault, the
product will fail if no other defence prevents the failure. A failure is due to both a fault and a challenge, with no

other defence operating. For software, a challenge to a fault is provided by a signal trajectory.

3.1
animation
process by which the behaviour defined by a specification is displayed with actual values
derived from the stated behaviour expressions and from some input values
3.2
application function
function of an I&C system that performs a task related to the process being controlled rather
than to the functioning of the system itself
[derived from 2.1 of IEC 60880]
3.3
channel
separate path along which information flows through a redundant or distributed system. That
path may also contain redundancy
3.4
common cause failure (CCF)
failure which is the result of one or more events, causing coincident failures of two or more
separate channels in a multiple channel system or in multiple systems, leading to system(s)
failure
[3.6.10 of IEC 61508-4, modified]
NOTE 1 Depending on the context, a CCF may be considered at the system level or at the level of the systems
which constitute a safety group.
NOTE 2 See definition of failure (3.8).
3.5
data
representation of information or instructions in a manner suitable for communication,

interpretation, or processing by computers
[adapted from IEEE 610]
NOTE Data which are required to define parameters and to instantiate application and service functions in the
system are called "application data".

– 14 – 60880-2 © CEI:2000
3.6
diversité
existence de deux ou plusieurs manières différentes d'atteindre un objectif donné. La diversité
est en particulier assurée comme moyen de défense contre une défaillance de mode commun.

Elle peut être réalisée par la mise en oeuvre des systèmes physiquement différents les uns

des autres ou par une diversité fonctionnelle, dans laquelle des systèmes similaires réalisent

l'objectif spécifié de manière différente

[définition adaptée de la CEI 61226]

3.7
analyse dynamique
processus consistant à évaluer un système ou un composant sur la base de son comportement
pendant l'exécution. S'oppose à l'analyse statique (voir IEEE 610)
3.8
défaillance
une défaillance survient lorsque le service réalisé s’écarte du service voulu
NOTE Une défaillance est le résultat d’un défaut matériel, d’un défaut logiciel, d’un défaut système, ou d’une
erreur d’exploitation ou de maintenance, et de la trajectoire de signal associée qui génère la défaillance.
3.9
défaut
anomalie d'un composant matériel ou logiciel ou système. Les défauts sont divisés en défauts
aléatoires (par exemple la conséquence d’une usure du matériel), et défauts systématiques
(par exemple introduits dans la conception); pour le logiciel, ceux-ci comprennent les erreurs
de codage et les erreurs de spécification
NOTE Un défaut (et en particulier un défaut de conception) peut rester non détecté dans une partie du système
jusqu'à ce que des conditions spécifiques ou une trajectoire de signal affectant cette partie du système soient telles
que le résultat produit ne soit pas conforme à la fonction désirée. Cela entraîne une défaillance de cette partie du
système.
3.10
diversité fonctionnelle
application de la diversité au niveau fonctionnel (par exemple, actionnement d'un déclenche-
ment sur la limite de pression et sur la limite de température)
3.11
fonctions, et systèmes et matériels associés (FSE)
les fonctions sont des actions effectuées dans un but ou afin de réaliser un objectif. Les
systèmes et équipements associés sont les ensembles de composants et les composants eux-
mêmes qui sont employés pour remplir les fonctions (voir l'article 3 de la CEI 61226)
3.12
erreur (ou faute) humaine
action humaine ou procédure produisant un résultat indésirable
3.13
bibliothèque
ensemble d'éléments logiciels connexes contenus dans un fichier unique, mais sélectionnés
individuellement pour inclusion dans le produit logiciel final
3.14
logiciel à n versions ou multi-versions
ensemble de programmes différents, appelés versions, développé pour satisfaire une prescrip-
tion commune et des tests communs d’acceptation. L'exécution simultanée et indépendante de
ces versions se déroule, en général sur des matériels redondants. Des entrées identiques
dans des systèmes de tests ou bien des entrées correspondantes dans des systèmes
redondants sont utilisées. Une stratégie prédéterminée telle que le vote est utilisée pour choisir
parmi des sorties contradictoires de versions différentes

60880-2  IEC:2000 – 15 –
3.6
diversity
existence of two or more different ways or means of achieving a specified objective. Diversity

is specifically provided as a defence against common mode failure. It may be achieved by

providing systems that are physically different from each other, or by functional diversity, where
similar systems achieve the specified objective in different ways (see clause 3 of IEC 61226)

3.7
dynamic analysis
process of evaluating a system or component based on its behaviour during execution. In

contrast to static analysis (see IEEE 610)

3.8
failure
failure occurs when the delivered service deviates from the intended service
NOTE A failure is the result of a hardware fault, software fault, system fault, or operator or maintenance error, and
the associated signal trajectory which results in the failure.
3.9
fault
defect in a hardware, software, or system component. Faults are subdivided into random faults
(for example, resulting from wearing out of hardware), and systematic faults (for example,
introduced in the design), and for software these include coding errors and specification errors
NOTE A fault (notably a design fault) may remain undetected in a part of the system until specific conditions or
signal trajectories affecting that part of the system, are such that the result produced does not conform to the
intended function. This results in a failure of that part of the system.
3.10
functional diversity
application of the diversity at the functional level (for example, to have trip activation on both
pressure and temperature limit)
3.11
functions, and associated systems and equipment (FSE)
functions are carried out for a purpose or to achieve a goal. The associated systems and
equipment are the collections of components and the components themselves that are
employed to achieve the functions (see clause 3 of IEC 61226)
3.12
human error (or mistake)
human action or a procedure that produces an unintended result

3.13
library
collection of related software elements that are grouped together, but which are individually
selected for inclusion in the final software product
3.14
n-version or multi-version software
set of different programs, known as versions, developed to meet a common requirement and
common acceptance test. Concurrent and independent execution of these versions takes
place, generally in redundant hardware. Identical inputs in test systems or corresponding inputs
in redundant systems are used. A predetermined strategy such as voting is used to decide
between conflicting outputs in different versions

– 16 – 60880-2 © CEI:2000
3.15
logiciel système opérationnel
logiciel fonctionnant sur le processeur cible, par exemple pilotes et services d'entrée/sortie,
gestion des interruptions, gestion de l’ordonnancement, pilotes de communication, biblio-

thèques orientées application, diagnostic en ligne, redondance et gestion des modes de

marche dégradée
3.16
événements initiateurs hypothétiques (PIE)

événements qui entraînent des incidents de fonctionnement prévus ou des situations

accidentelles et leurs combinaisons plausibles

[AIEA 50-C-D]
3.17
logiciel prédéveloppé (LPD)
logiciel existant, disponible dans le commerce ou en tant que produit protégé par des droits de
propriété, dont l'utilisation est envisagée dans un système informatique
3.18
réutilisable
s'applique à un module logiciel qui peut être utilisé dans plusieurs programmes d’un ordinateur
ou d'un système informatique (voir IEEE 610)
3.19
trajectoire de signal
l’historique temporel de tous les situations des équipements, états d'un matériel, signaux
d’entrée et entrées de l’opérateur qui déterminent les sorties d’un système
3.20
version logicielle
nouvelle édition d’un produit logiciel consécutive à une modification ou à une correction d’un
produit logiciel précédent
3.21
spécification
document qui spécifie de manière complète, précise et vérifiable les prescriptions, la concep-
tion, le comportement ou autres caractéristiques d'un système ou composant et, souvent, les
procédures permettant de déterminer si ces dispositions ont été satisfaites (voir IEEE 610)
NOTE Il existe différents types de spécifications, par exemple les spécifications des exigences de logiciels et les
spécifications de conception.
3.22
analyse statique
processus d'évaluation d'un système ou d'un composant basé sur sa forme, sa structure, son
contenu ou sa documentation. S'oppose à l'analyse dynamique
3.23
logiciel de support
logiciel d'aide au développement, au test ou à la maintenance d'autres logiciels, comme par
exemple les compilateurs, les générateurs de codes, les simulateurs, le diagnostic hors ligne,
les initialiseurs (voir 4.2)
3.24
logiciel système
logiciel conçu pour un système programmé ou une famille spécifique de systèmes programmés
afin de faciliter l'exploitation et la maintenance du système programmé et des programmes
associés, par exemple systèmes d'exploitation, compilateurs, utilitaires. Le logiciel système se
compose en général du logiciel système opérationnel et du logiciel de support

60880-2  IEC:2000
...