<div dir="ltr">Having looked into it 'single point of exit for functions' is explicitly in IEC61509-3 (see table B.9 "Modular Approach" attached). I admit my copy is old (2002) but as MISRA were still quoting it in 2012 I'm guessing its still there<div><br></div><div>How embedded it is in EU law, I'll leave to the lawyers.  Certainly if you look at the UK Health and Safety Executive's website, their advice pretty much all has 'shall be 61508 compliant'  written into it (HSE is the government body that investigates and potentially prosecutes after an accident). I believe that this is a common pattern for all EU government safety bodies.</div><div><br></div><div>Strictly, as can be seen in table B.9, the single point of exit isn't mandated, but is Highly Recommended - defined as "the technique or measure is highly recommended for this safety integrity level. If this technique or measure is not used then the rationale behind not using it should be detailed during the safety planning and agreed with the assessor". On most projects I worked on that was following 61508, the starting point was 'if its HR, we're doing it'<br><div><br></div><div>All the best</div><div><br></div><div>    Clive</div><div><br></div><div><br></div><div><div>For Information:  table B.9 is referenced off table A.4 "Software design and development", which also references table B.1 "Design and coding standards", which may be of interest to us. These are also attached</div><div><br></div><div>Also FYI: SIL is Safety Integrity Level. This is the result of a risk assessment process that combines the severity of a potential accident involving the system under development and how likely it is to occur. SIL1 is (roughly) occasional minor injury to SIL4 (any) death. Architectural design (like diversity) can reduce the SIL of a subsystem</div></div><div><br></div><div><img src="cid:ii_15ef20342ba05104" alt="Inline image 3" width="472" height="292"><img src="cid:ii_15ef2033f520be21" alt="Inline image 1" width="473" height="291" style="margin-right: 0px;"><img src="cid:ii_15ef20341974da12" alt="Inline image 2" width="472" height="257"></div><div><br></div><div><br></div><div><br></div><div><div><br></div><div><br></div><div><br></div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 5, 2017 at 5:33 PM, Robert Seacord <span dir="ltr"><<a href="mailto:rcseacord@gmail.com" target="_blank">rcseacord@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Why is <span style="font-family:sans-serif;font-size:13.696px">IEC61508 a European standard?  I though the IEC was an international standards organization,</span></div><div dir="auto"><font face="sans-serif"><span style="font-size:13.696px"><br></span></font></div><div dir="auto"><font face="sans-serif"><span style="font-size:13.696px">Can you share the text from the standard which establishes this requirement?  I would be surprised if this standard specifically addresses C language, so I'm guessing MISRA interpreted a more generally requirement.<br></span></font><div class="gmail_extra" dir="auto"><br><div class="gmail_quote"><div><div class="h5">On Oct 5, 2017 5:00 AM, "Clive Pygott" <<a href="mailto:clivepygott@gmail.com" target="_blank">clivepygott@gmail.com</a>> wrote:<br type="attribution"></div></div><blockquote class="m_-8477832979331302330quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Hi<div><br></div><div>Am I right that we've already discussed 15.5 (at least in passing, possibly when discussing Rule 16.3 - all switch clauses will end with a break or throw) and concluded that only allowing a single return in a function is overly restrictive?  - which I'd agree with.</div><div><br></div><div>I'm in a MISRA meeting at the moment and this has come up and I've discovered that there is a good reason for the rule - as its a specific requirement in IEC61508  (the European generic safety management standard). This is written into European law, so all of us developing systems in Europe are required to comply with this requirement - so the MISRA rule is there to ease legal compliance.</div><font color="#888888"><div><br></div><div>    Clive</div><div><br></div><div> </div></font></div>
<br></div></div>______________________________<wbr>_________________<br>
C-safe-secure-studygroup mailing list<br>
<a href="mailto:C-safe-secure-studygroup@lists.trustable.io" target="_blank">C-safe-secure-studygroup@lists<wbr>.trustable.io</a><br>
<a href="https://lists.trustable.io/cgi-bin/mailman/listinfo/c-safe-secure-studygroup" rel="noreferrer" target="_blank">https://lists.trustable.io/cgi<wbr>-bin/mailman/listinfo/c-safe-<wbr>secure-studygroup</a><br>
<br></blockquote></div><br></div></div></div>
<br>______________________________<wbr>_________________<br>
C-safe-secure-studygroup mailing list<br>
<a href="mailto:C-safe-secure-studygroup@lists.trustable.io">C-safe-secure-studygroup@<wbr>lists.trustable.io</a><br>
<a href="https://lists.trustable.io/cgi-bin/mailman/listinfo/c-safe-secure-studygroup" rel="noreferrer" target="_blank">https://lists.trustable.io/<wbr>cgi-bin/mailman/listinfo/c-<wbr>safe-secure-studygroup</a><br>
<br></blockquote></div><br></div>