IEC 61513 I&C global — exigences générales (cette norme)
Exigences et recommandations pour l'architecture I&C globale d'une centrale nucléaire, le cycle de vie des systèmes et le dossier de sûreté. Le sommet de la série IEC SC 45A.
IEC 61513
Contrôle-commande nucléaire important pour la sûreté
IEC 61513 est la norme de plus haut niveau pour le contrôle-commande (I&C) important pour la sûreté des centrales nucléaires. C'est la déclinaison nucléaire de la sécurité fonctionnelle IEC 61508 : elle fixe les exigences générales de l'architecture I&C globale, puis renvoie à une famille de normes SC 45A couvrant catégorisation, logiciel et matériel. Elle régit aussi bien les systèmes câblés que programmés.
Structure du document
IEC 61226 Catégorisation des fonctions
Classe les fonctions I&C importantes pour la sûreté en catégories A, B et C selon leur importance pour la sûreté — la décision qui conditionne toutes les exigences suivantes.
IEC 60880 Logiciel des fonctions de catégorie A
Exigences pour le logiciel des systèmes programmés réalisant les fonctions les plus importantes pour la sûreté (catégorie A) — le régime logiciel le plus strict.
IEC 62138 / IEC 60987 Logiciel catégorie B/C et matériel
IEC 62138 couvre le logiciel des fonctions de catégorie B et C ; IEC 60987 fixe les exigences de conception matérielle des systèmes programmés. Ensemble, elles complètent la couche de réalisation.
Concepts clés
- Le visage nucléaire d'IEC 61508
- IEC 61513 est la façon dont le cadre générique de sécurité fonctionnelle d'IEC 61508 est appliqué aux centrales nucléaires. Elle conserve la logique de cycle de vie mais parle le vocabulaire nucléaire des catégories, de la défense en profondeur et de l'autorisation.
- Catégorisation A / B / C
- Selon IEC 61226, chaque fonction I&C est classée A (importance maximale pour la sûreté — ex. arrêt d'urgence réacteur), B ou C. La catégorie fixe la rigueur de conception, de qualification et de documentation du système qui la réalise.
- Systèmes de classe 1, 2, 3
- Les fonctions d'une catégorie donnée sont affectées à des systèmes d'une classe de sûreté correspondante. Mélanger des catégories sur un même système est contraint, car une fonction plus faible ne doit pas affaiblir une fonction plus forte.
- Défense en profondeur et indépendance
- La sûreté repose sur des couches indépendantes — systèmes de protection séparés du contrôle, diversité contre les défaillances de cause commune, séparation physique et électrique. 61513 en fait une exigence explicite, pas un espoir.
- Câblé et programmé
- Le contrôle-commande important pour la sûreté peut être câblé classique, programmé, ou un mélange. 61513 couvre les trois, d'où les normes logicielles (60880, 62138) sous elle.
- La série SC 45A
- 61513 est le sommet d'une famille coordonnée — 61226 pour la catégorisation, 60880 et 62138 pour le logiciel, 60987 pour le matériel, 62645 pour la cybersécurité — alignée sur les guides de sûreté de l'AIEA.
Notes & guidance
La colonne vertébrale de sûreté du contrôle-commande nucléaire
Une centrale nucléaire est conduite, surveillée et — au besoin — arrêtée par son contrôle-commande. Quand ce contrôle-commande est important pour la sûreté, il doit satisfaire des exigences bien au-delà de la régulation de procédé ordinaire. IEC 61513 est la norme de plus haut niveau qui fixe ces exigences : l’architecture I&C globale, le cycle de vie des systèmes et la démonstration de sûreté d’une centrale.
Le visage nucléaire d’IEC 61508
IEC 61513 est la déclinaison nucléaire d’IEC 61508. Elle conserve le cycle de vie de la sécurité fonctionnelle — définir les fonctions, les affecter aux systèmes, concevoir, vérifier, valider — mais l’exprime dans le langage nucléaire des catégories de sûreté, de la défense en profondeur et de l’autorisation réglementaire. Elle s’applique que le contrôle-commande soit câblé classique, programmé, ou une combinaison des deux.
Catégoriser, puis construire selon la catégorie
L’étape pivot est la catégorisation. Suivant IEC 61226, chaque fonction importante pour la sûreté est classée A, B ou C selon son importance — un arrêt d’urgence réacteur est de catégorie A, une aide à la surveillance peut être C. Cette catégorie fixe ensuite la rigueur de conception et de qualification du système qui la réalise, et la fonction est affectée à un système d’une classe de sûreté (1, 2, 3) correspondante. Le principe qui traverse l’ensemble est l’indépendance : protection séparée du contrôle, diversité contre les défaillances de cause commune, séparation physique et électrique, pour qu’une fonction plus faible n’affaiblisse jamais une plus forte.
L’architecture, puis la série en dessous
61513 se tient au sommet de la famille coordonnée IEC SC 45A et confie le détail aux normes inférieures : IEC 61226 pour la catégorisation, IEC 60880 pour le logiciel des fonctions de catégorie A, IEC 62138 pour le logiciel de catégorie B et C, IEC 60987 pour le matériel, et IEC 62645 pour la cybersécurité — toutes alignées sur les guides de sûreté de l’AIEA. En pratique, elle rejoint aussi la pensée d’IEC 62443 sur la sécurité des systèmes de contrôle, et la longue vie d’exploitation de la centrale se gère sous la gestion d’actifs ISO 55000.
Industries concernées
- Exploitants de centrales nucléaires et projets de construction
- Fournisseurs de contrôle-commande et de systèmes de protection réacteur
- Autorités de sûreté nucléaire et organismes d'appui technique
- Ensembliers EPC et laboratoires de qualification