IEC 62138:2004

NORME CEI
INTERNATIONALE
IEC
INTERNATIONAL
Première édition
STANDARD
First edition
2004-01
Centrales nucléaires –
Instrumentation et contrôle-commande
importants pour la sûreté –
Aspects logiciels des systèmes informatisés
réalisant des fonctions de catégorie B ou C

Nuclear power plants –
Instrumentation and control important for safety –
Software aspects for computer-based systems
performing category B or C functions

Numéro de référence
Reference number
CEI/IEC 62138:2004
Numérotation des publications Publication numbering

Depuis le 1er janvier 1997, les publications de la CEI As from 1 January 1997 all IEC publications are

sont numérotées à partir de 60000. Ainsi, la CEI 34-1 issued with a designation in the 60000 series. For

devient la CEI 60034-1. example, IEC 34-1 is now referred to as IEC 60034-1.

Editions consolidées Consolidated editions

Les versions consolidées de certaines publications de la The IEC is now publishing consolidated versions of its

CEI incorporant les amendements sont disponibles. Par publications. For example, edition numbers 1.0, 1.1

exemple, les numéros d’édition 1.0, 1.1 et 1.2 indiquent and 1.2 refer, respectively, to the base publication,
respectivement la publication de base, la publication de the base publication incorporating amendment 1 and
base incorporant l’amendement 1, et la publication de the base publication incorporating amendments 1
base incorporant les amendements 1 et 2. and 2.
Informations supplémentaires Further information on IEC publications
sur les publications de la CEI
Le contenu technique des publications de la CEI est The technical content of IEC publications is kept
constamment revu par la CEI afin qu'il reflète l'état under constant review by the IEC, thus ensuring that
actuel de la technique. Des renseignements relatifs à the content reflects current technology. Information
cette publication, y compris sa validité, sont dispo- relating to this publication, including its validity, is
nibles dans le Catalogue des publications de la CEI available in the IEC Catalogue of publications
(voir ci-dessous) en plus des nouvelles éditions, (see below) in addition to new editions, amendments
amendements et corrigenda. Des informations sur les and corrigenda. Information on the subjects under
sujets à l’étude et l’avancement des travaux entrepris consideration and work in progress undertaken by the
par le comité d’études qui a élaboré cette publication, technical committee which has prepared this
ainsi que la liste des publications parues, sont publication, as well as the list of publications issued,
également disponibles par l’intermédiaire de: is also available from the following:
• Site web de la CEI (www.iec.ch) • IEC Web Site (www.iec.ch)
• Catalogue des publications de la CEI • Catalogue of IEC publications
Le catalogue en ligne sur le site web de la CEI The on-line catalogue on the IEC web site
(www.iec.ch/searchpub) vous permet de faire des (www.iec.ch/searchpub) enables you to search by a
recherches en utilisant de nombreux critères, variety of criteria including text searches,
comprenant des recherches textuelles, par comité technical committees and date of publication. On-
d’études ou date de publication. Des informations en line information is also available on recently
ligne sont également disponibles sur les nouvelles issued publications, withdrawn and replaced
publications, les publications remplacées ou retirées, publications, as well as corrigenda.
ainsi que sur les corrigenda.
• IEC Just Published • IEC Just Published
Ce résumé des dernières publications parues This summary of recently issued publications
(www.iec.ch/online_news/justpub) est aussi dispo- (www.iec.ch/online_news/justpub) is also available
nible par courrier électronique. Veuillez prendre by email. Please contact the Customer Service
contact avec le Service client (voir ci-dessous) Centre (see below) for further information.
pour plus d’informations.
• Service clients • Customer Service Centre
Si vous avez des questions au sujet de cette If you have any questions regarding this
publication ou avez besoin de renseignements publication or need further assistance, please
supplémentaires, prenez contact avec le Service contact the Customer Service Centre:
clients:
Email: custserv@iec.ch Email: custserv@iec.ch
Tél: +41 22 919 02 11 Tel: +41 22 919 02 11
Fax: +41 22 919 03 00 Fax: +41 22 919 03 00
.
NORME CEI
INTERNATIONALE
IEC
INTERNATIONAL
Première édition
STANDARD
First edition
2004-01
Centrales nucléaires –
Instrumentation et contrôle-commande
importants pour la sûreté –
Aspects logiciels des systèmes informatisés
réalisant des fonctions de catégorie B ou C

Nuclear power plants –
Instrumentation and control important for safety –
Software aspects for computer-based systems
performing category B or C functions

 IEC 2004 Droits de reproduction réservés  Copyright - all rights reserved
Aucune partie de cette publication ne peut être reproduite ni No part of this publication may be reproduced or utilized in any
utilisée sous quelque forme que ce soit et par aucun procédé, form or by any means, electronic or mechanical, including
électronique ou mécanique, y compris la photocopie et les photocopying and microfilm, without permission in writing from
microfilms, sans l'accord écrit de l'éditeur. the publisher.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
CODE PRIX
X
PRICE CODE
Commission Electrotechnique Internationale
International Electrotechnical Commission
МеждународнаяЭлектротехническаяКомиссия
Pour prix, voir catalogue en vigueur
For price, see current catalogue

– 2 – 62138  CEI:2004
SOMMAIRE
AVANT-PROPOS.4

INTRODUCTION.8

1 Domaine d’application.10

2 Références normatives.10

3 Termes, définitions et abréviations .12

4 Concepts et présupposés .22

4.1 Types de logiciels.22
4.2 Types de données .24
4.3 Cycles de Vie et de Sûreté du Logiciel et du Système .24
4.4 Principes de gradation.30
5 Exigences pour le logiciel des systèmes d’I&C réalisant des fonctions de catégorie C.34
5.1 Exigences générales.34
5.2 Sélection du logiciel pré-développé .42
5.3 Spécification du logiciel.44
5.4 Conception du logiciel .48
5.5 Réalisation du logiciel nouveau .50
5.6 Aspects logiciels de l’intégration du système.52
5.7 Aspects logiciels de la validation du système .52
5.8 Installation du logiciel sur site .54
5.9 Rapports d’anomalie.54
5.10 Modification du logiciel .54
6 Exigences pour le logiciel des systèmes d’I&C réalisant des fonctions de catégorie B .56
6.1 Exigences générales.56
6.2 Sélection des logiciels prédéveloppés .64
6.3 Spécification du logiciel.74
6.4 Conception du logiciel .78
6.5 Réalisation du logiciel nouveau .82
6.6 Aspects logiciels de l’intégration du système.86
6.7 Aspects logiciels de la validation du système .86
6.8 Installation du logiciel sur site .88
6.9 Rapports d’anomalie.90

6.10 Modification du logiciel .90

Bibliographie.94

Figure 1 – Composants logiciels typiques d’un système d’I&C informatisé .22
Figure 2 – Activités du Cycle de Vie et de Sûreté du Système (selon la CEI 61513).24
Figure 3 – Activités logicielles dans le Cycle de Vie et de Sûreté du Système.26
Figure 4 – Activités de développement du Cycle de Vie et de Sûreté du Logiciel selon
la CEI 62138.28
Figure 5 – Processus pour établir que le logiciel pré-développé d’un système d’I&C de
classe 2 est correct.30

62138  IEC:2004 – 3 –
CONTENTS
FOREWORD.5

INTRODUCTION.9

1 Scope.11

2 Normative references.11

3 Terms, definitions and abbreviations .13

4 Key concepts and assumptions.23

4.1 Types of software.23
4.2 Types of data.25
4.3 Software and System Safety Lifecycles .25
4.4 Gradation principles.31
5 Requirements for the software of I&C systems performing category C functions .35
5.1 General requirements.35
5.2 Selection of pre-developed software.43
5.3 Software requirements specification .45
5.4 Software design.49
5.5 Implementation of new software .51
5.6 Software aspects of system integration .53
5.7 Software aspects of system validation .53
5.8 Installation of software on site .55
5.9 Anomaly reports.55
5.10 Software modification.55
6 Requirements for the software of I&C systems performing category B functions .57
6.1 General requirements.57
6.2 Selection of pre-developed software.65
6.3 Software requirements specification .75
6.4 Software design.79
6.5 Implementation of new software .83
6.6 Software aspects of system integration .87
6.7 Software aspects of system validation .87
6.8 Installation of software on site .89
6.9 Anomaly reports.91

6.10 Software modification.91

Bibliography.95

Figure 1 – Typical software parts in computer-based I&C systems.23
Figure 2 – Activities of the System Safety Lifecycle (as defined by IEC 61513).25
Figure 3 – Software related activities in the System Safety Lifecycle .27
Figure 4 – Development activities of the IEC 62138 Software Safety Lifecycle.29
Figure 5 – Process for providing evidence of correctness for pre-developed software of
an I&C system of safety class 2. .31

– 4 – 62138  CEI:2004
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE

____________
CENTRALES NUCLÉAIRES –
INSTRUMENTATION ET CONTRÔLE-COMMANDE

IMPORTANTS POUR LA SÛRETÉ –
ASPECTS LOGICIELS DES SYSTÈMES INFORMATISÉS

RÉALISANT DES FONCTIONS DE CATÉGORIE B OU C

AVANT-PROPOS
1) La Commission Electrotechnique Internationale (CEI) est une organisation mondiale de normalisation
composée de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a
pour objet de favoriser la coopération internationale pour toutes les questions de normalisation dans les
domaines de l'électricité et de l'électronique. A cet effet, la CEI – entre autres activités – publie des Normes
internationales, des Spécifications techniques, des Rapports techniques, des Spécifications accessibles au
public (PAS) et des Guides (ci-après dénommés "Publication(s) de la CEI"). Leur élaboration est confiée à des
comités d'études, aux travaux desquels tout Comité national intéressé par le sujet traité peut participer. Les
organisations internationales, gouvernementales et non gouvernementales, en liaison avec la CEI, participent
également aux travaux. La CEI collabore étroitement avec l'Organisation Internationale de Normalisation (ISO),
selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux de la CEI
intéressés sont représentés dans chaque comité d’études.
3) Les Publications de la CEI se présentent sous la forme de recommandations internationales et sont agréées
comme telles par les Comités nationaux de la CEI. Tous les efforts raisonnables sont entrepris afin que la CEI
s'assure de l'exactitude du contenu technique de ses publications; la CEI ne peut pas être tenue responsable
de l'éventuelle mauvaise utilisation ou interprétation qui en est faite par un quelconque utilisateur final.
4) Dans le but d'encourager l'uniformité internationale, les Comités nationaux de la CEI s'engagent, dans toute la
mesure possible, à appliquer de façon transparente les Publications de la CEI dans leurs publications
nationales et régionales. Toutes divergences entre toutes Publications de la CEI et toutes publications
nationales ou régionales correspondantes doivent être indiquées en termes clairs dans ces dernières.
5) La CEI n’a prévu aucune procédure de marquage valant indication d’approbation et n'engage pas sa
responsabilité pour les équipements déclarés conformes à une de ses Publications.
6) Tous les utilisateurs doivent s'assurer qu'ils sont en possession de la dernière édition de cette publication.
7) Aucune responsabilité ne doit être imputée à la CEI, à ses administrateurs, employés, auxiliaires ou
mandataires, y compris ses experts particuliers et les membres de ses comités d'études et des Comités
nationaux de la CEI, pour tout préjudice causé en cas de dommages corporels et matériels, ou de tout autre
dommage de quelque nature que ce soit, directe ou indirecte, ou pour supporter les coûts (y compris les frais
de justice) et les dépenses découlant de la publication ou de l'utilisation de cette Publication de la CEI ou de
toute autre Publication de la CEI, ou au crédit qui lui est accordé.
8) L'attention est attirée sur les références normatives citées dans cette publication. L'utilisation de publications
référencées est obligatoire pour une application correcte de la présente publication.
9) L’attention est attirée sur le fait que certains des éléments de la présente Publication de la CEI peuvent faire

l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 62138 a été établie par le sous-comité 45A: Instrumentation et
contrôle-commande des installations nucléaires, du comité d'études 45 de la CEI: Instrumen-
tation nucléaire.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
45A/507/FDIS 45A/521/RVD
Le rapport de vote indiqué ci-dessus donne toute information sur le vote ayant abouti à
l'approbation de cette norme.
Cette publication a été rédigée selon la Partie 2 des Directives ISO/CEI.

62138  IEC:2004 – 5 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION

____________
NUCLEAR POWER PLANTS –
INSTRUMENTATION AND CONTROL IMPORTANT FOR SAFETY –

SOFTWARE ASPECTS FOR COMPUTER-BASED SYSTEMS

PERFORMING CATEGORY B OR C FUNCTIONS

FOREWORD
1) The International Electrotechnical Commission (IEC) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, IEC publishes International Standards, Technical Specifications,
Technical Reports, Publicly Available Specifications (PAS) and Guides (hereafter referred to as “IEC
Publication(s)”). Their preparation is entrusted to technical committees; any IEC National Committee interested
in the subject dealt with may participate in this preparatory work. International, governmental and non-
governmental organizations liaising with the IEC also participate in this preparation. IEC collaborates closely
with the International Organization for Standardization (ISO) in accordance with conditions determined by
agreement between the two organizations.
2) The formal decisions or agreements of IEC on technical matters express, as nearly as possible, an international
consensus of opinion on the relevant subjects since each technical committee has representation from all
interested IEC National Committees.
3) IEC Publications have the form of recommendations for international use and are accepted by IEC National
Committees in that sense. While all reasonable efforts are made to ensure that the technical content of IEC
Publications is accurate, IEC cannot be held responsible for the way in which they are used or for any
misinterpretation by any end user.
4) In order to promote international uniformity, IEC National Committees undertake to apply IEC Publications
transparently to the maximum extent possible in their national and regional publications. Any divergence
between any IEC Publication and the corresponding national or regional publication shall be clearly indicated in
the latter.
5) IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with an IEC Publication.
6) All users should ensure that they have the latest edition of this publication.
7) No liability shall attach to IEC or its directors, employees, servants or agents including individual experts and
members of its technical committees and IEC National Committees for any personal injury, property damage or
other damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and
expenses arising out of the publication, use of, or reliance upon, this IEC Publication or any other IEC
Publications.
8) Attention is drawn to the Normative references cited in this publication. Use of the referenced publications is
indispensable for the correct application of this publication.
9) Attention is drawn to the possibility that some of the elements of this IEC Publication may be the subject of
patent rights. IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 62138 has been prepared by subcommittee 45A: Instrumentation
and control of nuclear facilities, of IEC technical committee 45: Nuclear instrumentation.
The text of this standard is based on the following documents:
FDIS Report on voting
45A/507/FDIS 45A/521/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
This publication has been drafted in accordance with the ISO/IEC Directives, Part 2.

– 6 – 62138  CEI:2004
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant 2009.
A cette date, la publication sera

• reconduite;
• supprimée;
• remplacée par une édition révisée, ou

• amendée.
62138  IEC:2004 – 7 –
The committee has decided that the contents of this publication will remain unchanged until
2009. At this date, the publication will be:

• reconfirmed;
• withdrawn;
• replaced by a revised edition, or

• amended.
– 8 – 62138  CEI:2004
INTRODUCTION
Structure de la collection de normes du SC 45A –

Relations avec les documents de la CEI, de l’AIEA et de l’ISO

Le point d’entrée de la collection de normes produite par le SC 45A est la CEI 61513. Cette

norme traite des exigences relatives aux systèmes et équipements d’instrumentation et de

contrôle-commande (systèmes d’I&C) utilisés pour accomplir les fonctions importantes pour la

sûreté des centrales nucléaires, et structure la collection de normes du SC 45A.

La CEI 61513 fait directement référence aux autres normes du SC 45A traitant de sujets

génériques tels que la catégorisation des fonctions et le classement des systèmes, la
qualification, la séparation des systèmes, les aspects logiciels et les aspects matériels pour
les systèmes informatisés, la conception des salles de commande et le multiplexage. Ces
normes directement référencées forment avec la CEI 61513 un ensemble documentaire
cohérent.
Les normes du SC 45A qui ne sont pas référencées directement par la CEI 61513 sont
relatives à des matériels particuliers, à des méthodes, à des techniques ou à des activités
spécifiques. Généralement, ces documents de bas niveau font référence aux documents de
plus haut niveau décrits précédemment pour les activités génériques, et peuvent être utilisés
de façon isolée.
La CEI 61513 a adopté une présentation similaire à celle de la CEI 61508, avec un cycle de
vie et de sûreté global, un cycle de vie et de sûreté des systèmes, et une interprétation des
exigences générales des parties 1, 2 et 4 de la CEI 61508 pour le secteur nucléaire. La
conformité à la CEI 61513 facilite la compatibilité avec les exigences de la CEI 61508 telles
qu’elles ont été interprétées dans l’industrie nucléaire.
La CEI 61513 fait référence aux normes ISO ainsi qu’au document AIEA 50-C-QA (qui a
depuis été remplacé par le document AIEA 50-C/SG-Q) pour ce qui concerne l’assurance
qualité.
Les normes produites par le SC 45A sont élaborées de façon à être en accord avec les
principes de sûreté fondamentaux du Code AIEA sur la sûreté des centrales nucléaires, ainsi
qu’avec les guides de sûreté de l’AIEA, en particulier le guide NS-R-1 “Safety of Nuclear
Power Plants: Design – Requirements” et le guide NS-G-1.3 “Instrumentation and Control
Systems Important to Safety in Nuclear Power Plants – Safety Guide”. La terminologie et les
définitions utilisées dans les normes produites par le SC 45A sont conformes à celles
utilisées par l’AIEA.
62138  IEC:2004 – 9 –
INTRODUCTION
Structure of the SC 45A standard series –

Relationships with other IEC, IAEA and ISO documents

The entry point of the SC 45A standard series is IEC 61513. This standard deals with general

requirements for instrumentation and control systems and equipment (I&C systems) that are

used to perform functions important to safety in nuclear power plants (NPPs), and structures

the SC45A standard series.
IEC 61513 refers directly to other SC 45A standards for general topics related to

categorization of functions and classification of systems, qualification, separation of systems,
software aspects of computer-based systems, hardware aspect of computer-based systems,
control rooms design and multiplexing. The standards referenced directly have to be
considered together with IEC 61513 as a consistent document set.
The other SC 45A standards not directly referenced by IEC 61513 are standards related to
particular equipment, technical methods or specific activities. Usually, those low level
documents, which refer to the documents of the higher levels previously described for the
general topics, can be used on their own.
IEC 61513 has adopted a presentation format similar to basic safety publication IEC 61508,
with an overall safety lifecycle frame and a system safety lifecycle frame, and provides an
interpretation of the general requirements of IEC 61508, parts 1, 2 and 4, for the nuclear
application sector. Compliance with IEC 61513 will facilitate consistency with the
requirements of IEC 61508 as they have been interpreted for the nuclear industry. In that
frame, IEC 60880 and IEC 62138 correspond to IEC 61508, part 3 for the nuclear application
sector.
IEC 61513 refers to ISO as well as to IAEA 50-C-QA (now replaced by IAEA 50-C/SG-Q) for
topics related to quality assurance.
The SC 45A standards series implements consistently and in detail the principles and basic
safety aspects given in the IAEA Code on the safety of nuclear power plants and in the IAEA
safety series, in particular the Requirements NS-R-1, “Safety of Nuclear Power Plants:
Design” and the Safety Guide NS-G-1.3, “Instrumentation and Control Systems Important to
Safety in Nuclear Power Plants”. The terminology and definitions used by the SC 45A
standards are consistent with that used by the IAEA.

– 10 – 62138  CEI:2004
CENTRALES NUCLÉAIRES –
INSTRUMENTATION ET CONTRÔLE-COMMANDE

IMPORTANTS POUR LA SÛRETÉ –
ASPECTS LOGICIELS DES SYSTÈMES INFORMATISÉS

RÉALISANT DES FONCTIONS DE CATÉGORIE B OU C

1 Domaine d’application
Cette Norme internationale énonce des exigences sur les logiciels des systèmes d’instrumen-
tation et de contrôle-commande (I&C) informatisés réalisant des fonctions de sûreté de
catégorie B ou C, selon la définition donnée par la CEI 61226. Elle est complémentaire à la
CEI 60880 et à la CEI 60880-2, qui énoncent des exigences sur le logiciel des systèmes
d’I&C informatisés réalisant des fonctions de sûreté de catégorie A.
Elle est également cohérente et complémentaire à la CEI 61513. Les activités de nature
essentiellement système (comme l’intégration, la validation et l’installation sur site) n’y sont
pas traitées exhaustivement: les exigences qui ne sont pas spécifiques au logiciel sont à
chercher dans la CEI 61513.
La CEI 61513 définit ainsi la classe des systèmes d’I&C importants pour la sûreté:
• les systèmes d’I&C de classe 1 sont principalement prévus pour réaliser des fonctions de
catégorie A, mais peuvent aussi réaliser des fonctions de catégorie B et/ou C, ainsi que
des fonctions non classées;
• les systèmes d’I&C de classe 2 sont principalement prévus pour réaliser des fonctions de
catégorie B, mais peuvent aussi réaliser des fonctions de catégorie C, ainsi que des
fonctions non classées;
• les systèmes d’I&C de classe 3 sont principalement prévus pour réaliser des fonctions de
catégorie C, mais peuvent aussi réaliser des fonctions non classées.
Un système d’I&C classé de sûreté pouvant réaliser des fonctions de catégories différentes,
ainsi que des fonctions non classées, les exigences de cette Norme sont directement
attachées à la catégorie de sûreté des fonctions supportées, mais à la classe de sûreté du
système.
Cette Norme prend en compte les pratiques de développement actuellement mises en oeuvre
pour les logiciels de systèmes d’I&C, et en particulier:

• l’utilisation de logiciels, d’équipements et de familles d’équipements pré-développés, mais
pas nécessairement selon les normes de l’industrie nucléaire;
• l’utilisation de «boîtes noires» contenant du logiciel;
• l’utilisation de langages orientés application.
Cette Norme n’est pas conçue comme un guide général de génie logiciel. Elle énonce les
exigences que les logiciels des systèmes d’I&C de classe 2 et 3 doivent satisfaire afin
d’atteindre les objectifs de sûreté nucléaire du système.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent
document. Pour les références datées, seule l'édition citée s'applique. Pour les références
non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
62138  IEC:2004 – 11 –
NUCLEAR POWER PLANTS –
INSTRUMENTATION AND CONTROL IMPORTANT FOR SAFETY –

SOFTWARE ASPECTS FOR COMPUTER-BASED SYSTEMS

PERFORMING CATEGORY B OR C FUNCTIONS

1 Scope
This International Standard provides requirements for the software of computer-based I&C
systems performing functions of safety category B or C as defined by IEC 61226. It
complements IEC 60880 and IEC 60880-2, which provide requirements for the software of
computer-based I&C systems performing functions of safety category A.
It is also consistent with, and complementary to, IEC 61513. Activities that are mainly system
level activities (for example, integration, validation and installation) are not addressed
exhaustively by this standard: requirements that are not specific to software are deferred to
IEC 61513.
IEC 61513 defines the safety classes of I&C systems important to safety as follows:
• I&C systems of safety class 1 are basically intended to perform functions of safety
category A, but may also perform functions of safety category B and/or C, and non safety-
classified functions;
• I&C systems of safety class 2 are basically intended to perform functions of safety
category B, but may also perform functions of safety category C, and non safety-classified
functions;
• I&C systems of safety class 3 are basically intended to perform functions of safety
category C, but may also perform non safety-classified functions.
Since a given safety-classified I&C system may perform functions of different safety
categories and even non safety-classified functions, the requirements of this standard are
attached to the safety class of the I&C system.
This standard takes into account the current practices for the development of software for I&C
systems, in particular:
• the use of pre-developed software, equipment and equipment families that were not
necessarily designed to nuclear industry sector standards;

• the use of dedicated “black-box” devices with embedded software;
• the use of application-oriented languages.
This standard is not intended to be used as a general-purpose software engineering guide. It
provides requirements that the software of I&C systems of safety classes 2 or 3 must meet to
achieve system nuclear safety objectives.
2 Normative references
The following referenced documents are indispensable for the application of this document.
For dated references, only the edition cited applies. For undated references, the latest edition
of the referenced document (including any amendments) applies.

– 12 – 62138  CEI:2004
CEI 61226, Centrales nucléaires – Systèmes d'instrumentation et de contrôle-commande
importants pour la sûreté – Classification

CEI 61513:2001, Centrales nucléaires – Instrumentation et contrôle commande des systèmes
importants pour la sûreté – Prescriptions générales pour les systèmes

3 Termes, définitions et abréviations

Pour les besoins du présent document, les termes, définitions et abréviation suivants

s’appliquent.
3.1
animation
processus par lequel le comportement défini par une spécification est visualisé avec ses
valeurs effectives dérivées des équations de comportement et des valeurs d’entrée
(CEI 60880-2)
3.2
fonction d’application
fonction d’un système d’I&C qui accomplit une tâche relative au processus sous contrôle
plutôt qu’au fonctionnement du système lui-même
(CEI 61513)
3.3
langage orienté application
langage informatique spécifiquement conçu pour un certain type d’application et pour être
utilisé par les spécialistes de ce type d’application
NOTE 1 Les familles d’équipements offrent en général des langages orientés application de façon à faciliter
l’adaptation des équipements à des besoins particuliers.
NOTE 2 Les langages orientés application peuvent être utilisés pour la spécification d’exigences fonctionnelles
que doit satisfaire un système d’I&C, ou pour spécifier ou concevoir le logiciel d’application. Ils peuvent être basés
sur du texte, des diagrammes, ou une combinaison des deux.
NOTE 3 Exemples: les langages à blocs fonctionnels, les langages définis par la CEI 61131-3.
NOTE 4 Voir aussi Langage généraliste.
3.4
logiciel d’application
partie du logiciel d’un système d’I&C qui exécute des fonctions d’application

(CEI 61513)
NOTE Voir aussi Logiciel système, Logiciel système opérationnel.
3.5
catégorie d’une fonction d’I&C
une des trois affectations possibles (A, B ou C) des fonctions d’I&C, résultant de l’évaluation
de l’importance pour la sûreté des fonctions à exécuter. Une affectation «non classée» peut
être délivrée si la fonction n’est pas importante pour la sûreté
(CEI 61513)
NOTE Voir aussi Classe d’un système d’I&C.

62138  IEC:2004 – 13 –
IEC 61226, Nuclear power plants – Instrumentation and control systems important for safety –
Classification
IEC 61513:2001, Nuclear power plants – Instrumentation and control for systems important to
safety – General requirements for systems

3 Terms, definitions and abbreviations

For the purposes of this document, the following terms, definitions and abbreviation apply.

3.1
animation
process by which the behaviour defined by a specification is displayed with actual values
derived from the stated behaviour expressions and from some input values
(IEC 60880-2)
3.2
application function
function of an I&C system that performs a task related to the process being controlled rather
than to the functioning of the system itself
(IEC 61513)
3.3
application-oriented language
computer language specifically designed to address a certain type of application and to be
used by persons who are specialists of this type of application
NOTE 1 Equipment families usually feature application-oriented languages so as to provide easy to use capability
for adjusting the equipment to specific requirements.
NOTE 2 Application-oriented languages may be used to specify the functional requirements of an I&C system,
and/or to specify or design application software. They may be based on texts, on graphics, or on both.
NOTE 3 Examples: function block diagram languages, languages defined by IEC 61131-3.
NOTE 4 See also General-purpose language.
3.4
application software
part of the software of an I&C system that implements the application functions
(IEC 61513)
NOTE See also System software, Operational system software.
3.5
category of an I&C function
one of three possible safety assignments (A, B, C) of I&C functions resulting from
considerations of the importance to safety of the functions to be performed. An unclassified
assignment may be made if the function is not significant to safety
(IEC 61513)
NOTE See also Class of an I&C system.

– 14 – 62138  CEI:2004
3.6
classe d’un système d’I&C
une des trois affectations possibles (1, 2 ou 3) des systèmes d’I&C importants pour la sûreté,

résultant de la nécessité pour ces systèmes d’exécuter des fonctions d’I&C d’importances

pour la sûreté différentes. Une affectation «non classée» est délivrée si le système d’I&C

n’exécute pas de fonction importante pour la sûreté

(CEI 61513)
NOTE Voir aussi Catégorie d’une fonction d’I&C.

3.7
complexité
degré de difficulté à comprendre ou vérifier la conception, la réalisation ou le comportement
d’un système ou d’un composant
(CEI 61513)
3.8
gestion de configuration
discipline appliquant des mesures techniques et administratives pour identifier et documenter
les caractéristiques fonctionnelles et physiques d’un élément de configuration, maîtriser les
modifications apportées à ces caractéristiques, enregistrer et signaler les évolutions de statut
et vérifier la conformité aux exigences spécifiées
(CEI 61513)
3.9
documentation de conception
document ou ensemble de documents décrivant l’organisation et le fonctionnement d’une
entité, et qui est à la base de la réalisation et de l’intégration
3.10
documentation pour la sûreté
document ou ensemble de documents spécifiant comment un produit peut être utilisé en
sûreté pour des applications importantes pour la sûreté
3.11
famille d’équipements
ensemble de composants matériels et logiciels pouvant travailler de manière complémentaire
dans une variété d’architectures (configurations). Le développement des configurations
spécifiques à la centrale et du logiciel d’application associé peut être réalisé à l’aide d’outils
logiciels. Une famille d’équipements fournit normalement un certain nombre de fonctionnalités

standards (bibliothèque de fonctions d’application) qui peuvent être combinées pour générer
un logiciel d’application spécifique
(CEI 61513)
NOTE 1 Une famille d’équipements peut être un produit provenant d’un fabricant ou un ensemble de produits
interconnectés et adaptés par un fournisseur.
NOTE 2 Le terme «plate-forme» est parfois utilisé comme synonyme de «famille d'équipements».
3.12
erreur
différence entre une valeur ou condition calculée, observée ou mesurée et la valeur ou
condition réelle, spécifiée ou théorique
(CEI 61513)
NOTE Vois aussi Erreur humaine, Défaut, Défaillance.

62138  IEC:2004 – 15 –
3.6
class of an I&C system
one of three possible assignments (1, 2, 3) of I&C systems important to safety resulting from

consideration of their requirement to implement I&C functions of differing importance to

safety. An unclassified assignment is made if the I&C system does not implement functions

important to safety
(IEC 61513)
NOTE See also Category of an I&C function.

3.7
complexity
degree to which a system or component has a design, implementation or behaviour that is
difficult to understand and verify
(IEC 61513)
3.8
configuration management
discipline applying technical and administrative direction and surveillance to identify and
document the functional and physical characteristics of a configuration item, control
modifications to those characteristics, record and report changes in status, and verify
compliance with specified requirements
(IEC 61513)
3.9
design specification
document or set of documents that describe the organisation and functioning of an item, and
that are used as a basis for the implementation and the integration of the item
3.10
documentation for safety
document or set of documents that specifies how a product can be safely used for
applications important to safety
3.11
equipment family
set of hardware and software components that may work co-operatively in one or more
defined architectures (configurations). The development of plant specific configurations and of
the related application software may be supported by software tools. An equipment family
usually provides a number of standard functionalities (application functions library) that may

be combined to generate specific application software
(IEC 61513)
NOTE 1 An equipment family may be a product of a defined manufacturer or a set of products interconnected and
adapted by a supplier.
NOTE 2 The term “Equipment platform” is sometime used as a synonym of “Equipment family”.
3.12
error
discrepancy between a computed, observed or measured value or condition, and the true,
specified or theoretical value or condition
(IEC 61513)
NOTE See also Mistake, Fault, Failure.

– 16 – 62138  CEI:2004
3.13
code exécutable
partie du logiciel faisant partie du système cible

NOTE Le code exécutable comprend normalement les instructions devant être exécutées par le matériel du

système cible ainsi que les données associées.

3.14
défaillance
déviation du service délivré par rapport au service attendu

(CEI 61513)
NOTE Voir aussi Erreur humaine, Défaut, Erreur.
3.15
défaut
imperfection dans un composant matériel, logiciel ou système
(CEI 61513)
NOTE 1 Les défauts peuvent être répartis en défauts aléat
...