IEC 61513 Gesamt-Leittechnik — allgemeine Anforderungen (diese Norm)
Anforderungen und Empfehlungen für die Gesamt-Leittechnikarchitektur eines Kernkraftwerks, den Systemlebenszyklus und den Sicherheitsnachweis. Die Spitze der Reihe IEC SC 45A.
IEC 61513
Nukleare Leittechnik mit Sicherheitsbedeutung
IEC 61513 ist die übergeordnete Norm für die Leittechnik (I&C) mit Sicherheitsbedeutung in Kernkraftwerken. Sie ist die nukleare Anwendung der funktionalen Sicherheit nach IEC 61508: sie legt die allgemeinen Anforderungen an die Gesamt-Leittechnikarchitektur fest und verweist dann auf eine Familie von SC-45A-Normen zu Kategorisierung, Software und Hardware. Sie regelt fest verdrahtete wie rechnerbasierte Systeme.
Dokumentstruktur
IEC 61226 Kategorisierung der Funktionen
Ordnet Leittechnikfunktionen mit Sicherheitsbedeutung den Kategorien A, B und C nach ihrer Sicherheitsbedeutung zu — die Entscheidung, die alle späteren Anforderungen bestimmt.
IEC 60880 Software für Funktionen der Kategorie A
Anforderungen an die Software rechnerbasierter Systeme, die die sicherheitsbedeutsamsten Funktionen (Kategorie A) ausführen — das strengste Software-Regime.
IEC 62138 / IEC 60987 Kategorie-B/C-Software und Hardware
IEC 62138 behandelt Software für Funktionen der Kategorie B und C; IEC 60987 legt Hardware-Konstruktionsanforderungen für rechnerbasierte Systeme fest. Zusammen vervollständigen sie die Umsetzungsebene.
Schlüsselbegriffe
- Das nukleare Gesicht von IEC 61508
- IEC 61513 ist die Anwendung des generischen Rahmens der funktionalen Sicherheit von IEC 61508 auf Kernkraftwerke. Sie behält die Lebenszyklus-Logik, spricht aber das nukleare Vokabular aus Kategorien, gestaffelter Sicherheit und Genehmigung.
- Kategorisierung A / B / C
- Nach IEC 61226 wird jede I&C-Funktion mit A (höchste Sicherheitsbedeutung — z. B. Reaktorschnellabschaltung), B oder C eingestuft. Die Kategorie legt fest, wie streng das umsetzende System ausgelegt, qualifiziert und dokumentiert sein muss.
- Systeme der Klasse 1, 2, 3
- Funktionen einer Kategorie werden Systemen einer entsprechenden Sicherheitsklasse zugeordnet. Das Mischen von Kategorien auf einem System ist eingeschränkt, da eine schwächere Funktion eine stärkere nicht untergraben darf.
- Gestaffelte Sicherheit und Unabhängigkeit
- Die Sicherheit ruht auf unabhängigen Ebenen — Schutzsysteme getrennt von der Steuerung, Diversität gegen Ausfälle gemeinsamer Ursache, physische und elektrische Trennung. 61513 macht diese Architektur zur ausdrücklichen Anforderung, nicht zur Hoffnung.
- Fest verdrahtet und rechnerbasiert
- Leittechnik mit Sicherheitsbedeutung kann konventionell fest verdrahtet, rechnerbasiert oder gemischt sein. 61513 deckt alle drei ab, weshalb die Software-Normen (60880, 62138) unter ihr stehen.
- Die Reihe SC 45A
- 61513 ist der Scheitel einer koordinierten Familie — 61226 zur Kategorisierung, 60880 und 62138 zur Software, 60987 zur Hardware, 62645 zur Cybersicherheit — abgestimmt mit den Sicherheitsleitfäden der IAEO.
Notes & guidance
Das Sicherheitsrückgrat der Kernkraftwerks-Leittechnik
Ein Kernkraftwerk wird von seiner Leittechnik gefahren, überwacht und — bei Bedarf — abgeschaltet. Wenn diese Leittechnik Sicherheitsbedeutung hat, muss sie Anforderungen weit über die gewöhnliche Prozessregelung hinaus erfüllen. IEC 61513 ist die übergeordnete Norm, die diese Anforderungen festlegt: die Gesamt-Leittechnikarchitektur, den Systemlebenszyklus und den Sicherheitsnachweis eines Kraftwerks.
Das nukleare Gesicht von IEC 61508
IEC 61513 ist die nukleare Anwendung von IEC 61508. Sie behält den Lebenszyklus der funktionalen Sicherheit — Funktionen definieren, Systemen zuordnen, auslegen, verifizieren, validieren — drückt ihn aber in der nuklearen Sprache aus Sicherheitskategorien, gestaffelter Sicherheit und behördlicher Genehmigung aus. Sie gilt, ob die Leittechnik konventionell fest verdrahtet, rechnerbasiert oder eine Kombination ist.
Kategorisieren, dann nach Kategorie bauen
Der entscheidende Schritt ist die Kategorisierung. Nach IEC 61226 wird jede Funktion mit Sicherheitsbedeutung als A, B oder C nach ihrer Bedeutung eingestuft — eine Reaktorschnellabschaltung ist Kategorie A, eine Überwachungshilfe kann C sein. Diese Kategorie legt dann die Strenge der Auslegung und Qualifizierung des umsetzenden Systems fest, und die Funktion wird einem System einer entsprechenden Sicherheitsklasse (1, 2, 3) zugeordnet. Das durchgehende Prinzip ist die Unabhängigkeit: Schutz getrennt von der Steuerung, Diversität gegen Ausfälle gemeinsamer Ursache, physische und elektrische Trennung, damit eine schwächere Funktion eine stärkere nie untergräbt.
Die Architektur, dann die Reihe darunter
61513 steht am Scheitel der koordinierten Familie IEC SC 45A und überlässt das Detail den Normen darunter: IEC 61226 zur Kategorisierung, IEC 60880 für die Software der Kategorie-A-Funktionen, IEC 62138 für Kategorie-B- und -C-Software, IEC 60987 für Hardware und IEC 62645 für Cybersicherheit — alle abgestimmt mit den Sicherheitsleitfäden der IAEO. In der Praxis trifft sie auch das Denken von IEC 62443 zur Sicherheit von Steuerungssystemen, und die lange Betriebsdauer des Kraftwerks wird unter dem Anlagenmanagement ISO 55000 geführt.
Betroffene Branchen
- Kernkraftwerksbetreiber und Neubauprojekte
- Anbieter von Leittechnik und Reaktorschutzsystemen
- Nukleare Aufsichtsbehörden und technische Gutachterorganisationen
- EPC-Auftragnehmer und Qualifizierungslabore