IEC 61497:1998

NORME
CEI
INTERNATIONALE
IEC
INTERNATIONAL
Première édition
STANDARD
First edition
1998-10
Centrales nucléaires –
Verrouillages électriques relatifs aux fonctions
importantes pour la sûreté –
Recommandations pour la conception
et la mise en oeuvre
Nuclear power plants –
Electrical interlocks for functions important
to safety – Recommendations for design
and implementation
Numéro de référence
Reference number
CEI/IEC 61497:1998
Numéros des publications Numbering
Depuis le 1er janvier 1997, les publications de la CEI As from 1 January 1997 all IEC publications are
sont numérotées à partir de 60000. issued with a designation in the 60000 series.
Publications consolidées Consolidated publications
Les versions consolidées de certaines publications de Consolidated versions of some IEC publications
la CEI incorporant les amendements sont disponibles. including amendments are available. For example,
Par exemple, les numéros d’édition 1.0, 1.1 et 1.2 edition numbers 1.0, 1.1 and 1.2 refer, respectively, to
indiquent respectivement la publication de base, la the base publication, the base publication
publication de base incorporant l’amendement 1, et la incorporating amendment 1 and the base publication
publication de base incorporant les amendements 1 incorporating amendments 1 and 2.
et 2.
Validité de la présente publication Validity of this publication
Le contenu technique des publications de la CEI est The technical content of IEC publications is kept under
constamment revu par la CEI afin qu'il reflète l'état constant review by the IEC, thus ensuring that the
actuel de la technique. content reflects current technology.
Des renseignements relatifs à la date de Information relating to the date of the reconfirmation of
reconfirmation de la publication sont disponibles dans the publication is available in the IEC catalogue.
le Catalogue de la CEI.
Les renseignements relatifs à des questions à l’étude et Information on the subjects under consideration and
des travaux en cours entrepris par le comité technique work in progress undertaken by the technical
qui a établi cette publication, ainsi que la liste des committee which has prepared this publication, as well
publications établies, se trouvent dans les documents ci- as the list of publications issued, is to be found at the
dessous: following IEC sources:
• «Site web» de la CEI* • IEC web site*
• Catalogue des publications de la CEI • Catalogue of IEC publications
Publié annuellement et mis à jour régulièrement Published yearly with regular updates
(Catalogue en ligne)* (On-line catalogue)*
• Bulletin de la CEI • IEC Bulletin
Disponible à la fois au «site web» de la CEI* et Available both at the IEC web site* and as a
comme périodique imprimé printed periodical
Terminologie, symboles graphiques Terminology, graphical and letter
et littéraux symbols
En ce qui concerne la terminologie générale, le lecteur For general terminology, readers are referred to
se reportera à la CEI 60050: Vocabulaire Electro- IEC 60050: International Electrotechnical Vocabulary
technique International (VEI). (IEV).
Pour les symboles graphiques, les symboles littéraux For graphical symbols, and letter symbols and signs
et les signes d'usage général approuvés par la CEI, le approved by the IEC for general use, readers are
lecteur consultera la CEI 60027: Symboles littéraux à referred to publications IEC 60027: Letter symbols to
utiliser en électrotechnique, la CEI 60417: Symboles be used in electrical technology, IEC 60417: Graphical
graphiques utilisables sur le matériel. Index, relevé et symbols for use on equipment. Index, survey and
compilation des feuilles individuelles, et la CEI 60617: compilation of the single sheets and IEC 60617:
Symboles graphiques pour schémas. Graphical symbols for diagrams.
* Voir adresse «site web» sur la page de titre. * See web site address on title page.

NORME
CEI
INTERNATIONALE
IEC
INTERNATIONAL
Première édition
STANDARD
First edition
1998-10
Centrales nucléaires –
Verrouillages électriques relatifs aux fonctions
importantes pour la sûreté –
Recommandations pour la conception
et la mise en oeuvre
Nuclear power plants –
Electrical interlocks for functions important
to safety – Recommendations for design
and implementation
 IEC 1998 Droits de reproduction réservés  Copyright - all rights reserved
Aucune partie de cette publication ne peut être reproduite ni No part of this publication may be reproduced or utilized in
utilisée sous quelque forme que ce soit et par aucun any form or by any means, electronic or mechanical,
procédé, électronique ou mécanique, y compris la photo- including photocopying and microfilm, without permission in
copie et les microfilms, sans l'accord écrit de l'éditeur. writing from the publisher.
International Electrotechnical Commission 3, rue de Varembé Geneva, Switzerland
Telefax: +41 22 919 0300 e-mail: inmail@iec.ch IEC web site http: //www.iec.ch
CODE PRIX
Commission Electrotechnique Internationale
PRICE CODE R
International Electrotechnical Commission
Pour prix, voir catalogue en vigueur
For price, see current catalogue

– 2 – 61497 © CEI:1998
SOMMAIRE
Pages
AVANT-PROPOS . 4
INTRODUCTION . 6
Articles
1 Domaine d'application. 8
2 Références normatives. 8
3 Définitions et abréviations . 10
3.1 Définitions. 10
3.2 Abréviations. 14
4 Prescriptions. 14
4.1 Prescriptions du système . 14
4.2 Conception du système . 16
4.3 Intégrité des verrouillages de sûreté. 18
4.4 Matériel de verrouillage de sûreté. 22
4.5 Documentation. 26
4.6 Matériel programmé. 26
4.7 Actions de l'opérateur. 28
4.8 Alimentation électrique. 28
5 Méthodes d'essai. 30
5.1 Installations d'essai et de surveillance . 30
5.2 Outils d'essai automatiques. 30
5.3 Auto-test et surveillance. 30
Annexe A (informative) Verrouillages de sûreté types . 32
Annexe B (informative) Guide d'application des verrouillages de sûreté monocanaux,
bicanaux et multicanaux. 36

61497 © IEC:1998 – 3 –
CONTENTS
Page
FOREWORD . 5
INTRODUCTION . 7
Clause
1 Scope. 9
2 Normative references. 9
3 Definitions and abbreviations. 11
3.1 Definitions. 11
3.2 Abbreviations. 15
4 Requirements. 15
4.1 System requirements. 15
4.2 System design. 17
4.3 Interlock integrity. 19
4.4 Interlock equipment. 23
4.5 Documentation. 27
4.6 Computer-based equipment. 27
4.7 Operator actions. 29
4.8 Power supplies. 29
5 Test methods. 31
5.1 Test and monitoring facilities. 31
5.2 Automatic test aids. 31
5.3 Self-testing and monitoring. 31
Annex A (informative) Typical interlocks . 33
Annex B (informative) Guidance on application of single-channel, double-channel or
multi-channel interlocks . 37

– 4 – 61497 © CEI:1998
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
_________
Centrales nucléaires – Verrouillages électriques relatifs
aux fonctions importantes pour la sûreté –
Recommandations pour la conception et la mise en oeuvre
AVANT-PROPOS
1) La CEI (Commission Electrotechnique Internationale) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes internationales.
Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité national intéressé par le
sujet traité peut participer. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec la CEI, participent également aux travaux. La CEI collabore étroitement avec l'Organisation
Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, rapports techniques ou guides et agréés comme tels par les Comités nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer de
façon transparente, dans toute la mesure possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa responsabilité
n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 61497 a été établie par le sous-comité 45A: Instrumentation des
réacteurs, du comité d'études 45 de la CEI: Instrumentation nucléaire.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
45A/335/FDIS 45A/343/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
Les annexes A et B sont données uniquement à titre d'information.

61497 © IEC:1998 – 5 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
_________
Nuclear power plants – Electrical interlocks
for functions important to safety –
Recommendations for design and implementation
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International Organization for
Standardization (ISO) in accordance with conditions determined by agreement between the two organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical reports or guides and they are accepted by the National Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
This International Standard IEC 61497 has been prepared by subcommittee 45A: Reactor
instrumentation, of IEC technical committee 45: Nuclear instrumentation.
The text of this standard is based on the following documents:
FDIS Report on voting
45A/335/FDIS 45A/343/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
Annexes A and B are for information only.

– 6 – 61497 © CEI:1998
INTRODUCTION
Les fonctions de verrouillage de sûreté des centrales nucléaires évitent les conditions ou
opérations présentant un risque pour la sûreté, assurent une protection du personnel et
préviennent les dangers. Les fonctions de verrouillage de sûreté empêchent toute action
susceptible de provoquer ou d'accroître un risque ou un endommagement de la centrale et ne
prennent généralement aucune mesure de correction des conditions. Les fonctions de
verrouillage de sûreté peuvent limiter un fonctionnement continu afin d'empêcher le dévelop-
pement d'une situation critique ou peuvent empêcher une action éventuelle, et par conséquent
une telle situation. Les fonctions de verrouillage de sûreté peuvent générer un signal
d'autorisation permettant de sélectionner la sortie d'un instrument uniquement dans sa gamme
de fonctionnement, en vue d'une utilisation par le système de protection du réacteur ou par un
système de commande d'alimentation, de gamme de température ou de condition.
Les fonctions de verrouillage de sûreté peuvent être fournies par des moyens mécaniques ou
grâce à des dispositions administratives, par une action de l'opérateur ou par des moyens
électriques. Les dispositions administratives relèvent des responsables de la centrale et
impliquent l'apposition de signatures sur les documents ainsi que sur les registres d'autorisation
permettant de réaliser des opérations; ces dispositions ne seront pas détaillées ici. Elles peuvent
être utilisées pour contrôler l'accès du personnel à une zone contrôlée, permettre à l'opérateur
d'utiliser une commande, autoriser l'utilisation d'une clef permettant de libérer une commande
bloquée ou autoriser une opération pour certaines raisons spécifiques ou non permanentes.
Les moyens électriques comprennent l'utilisation du système de protection du réacteur, de
logique dans les systèmes de commande, de logique dans les équipements informatisés,
d’interconnexion dans les interrupteurs et d’équipements spécifiques à relais ou en logique
câblée. Des fonctions de verrouillage de sûreté typiques ainsi que des méthodes permettant
d'obtenir un verrouillage de sûreté électrique sont présentées dans l'annexe A.
Les prescriptions de sûreté nucléaire concernant les verrouillages de sûreté peuvent s'ajouter
aux prescriptions relatives à la protection contre l'incendie, à la protection du personnel ou de
la centrale, ou peuvent s'en écarter. Ces prescriptions sont susceptibles d'entrer en conflit et
des lignes directrices sont indiquées pour résoudre ces conflits.
Les prescriptions relatives à la classification et à la fiabilité des systèmes de contrôle-commande
importants pour la sûreté sont données dans la CEI 61226. Les verrouillages de sûreté élec-
triques nécessitent une classification selon cette norme pour identifier les prescriptions de base.
Certaines prescriptions concernant les verrouillages de sûreté peuvent être dérivées du
document AIEA 50-SG-D3, mais ce n'est pas le cas pour tous les verrouillages importants pour la
sûreté. Les prescriptions relatives au système, à la conception, à la fiabilité et au matériel,
appropriées aux catégories A, B et C sont développées dans la présente norme.
Des fonctions de verrouillage de sûreté sont présentes dans de nombreux systèmes dans une
centrale nucléaire, ce qui peut donner lieu à différentes approches au niveau de la mise en
oeuvre de différents systèmes. Il convient donc de les appliquer de façon cohérente dans
l'ensemble de la centrale. La présente norme traite des implications pratiques de la conception
et de la mise en oeuvre des verrouillages de sûreté électrique permettant d'atteindre les
niveaux de performances, de fiabilité et de cohérence requis au niveau des centrales nucléaires.

61497 © IEC:1998 – 7 –
INTRODUCTION
Interlock functions on nuclear power plants prevent unsafe conditions or operations, protect
personnel and prevent hazards. Interlock functions prevent actions which could lead to or
increase danger or damage to the plant, and do not normally take steps to correct conditions.
Interlock functions may limit a continuing action in order to prevent a condition developing, or
may prevent a possible action and thereby prevent a condition. Interlock functions may
generate a permissive signal to allow selection of the output of an instrument only when in its
operating range, for use by the reactor protection system or a control system for the current
power, temperature range or condition.
Interlock functions may be provided by mechanical means or by administration, by operator
action or by electrical methods. Administration is under control of the plant management, and
involves signatures on permits and records of authority to perform operations, which are not
discussed. Such methods may be used to control personnel access to an active area, to permit
operator use of a control, to authorize issue of a key which can release a locked control or
which allows access to perform some operation for special or non-routine reasons.
Electrical methods include use of the reactor protection system, logic within control systems,
logic in computer-based equipment, interconnections in switchgear and dedicated units of relay
or solid-state logic. Typical interlock functions and methods of providing electrical interlocks
are given in annex A.
The nuclear safety requirements for interlocks may be in addition to or different from the
interlock requirements for fire protection, personnel safety or plant protection. These
requirements may conflict and guidance is given on resolution of conflicts.
The requirements for classification and for reliability of instrumentation and control systems
important to safety are discussed in IEC 61226. Electrical interlocks require classification
according to that standard to identify basic requirements. Some requirements for safety system
interlocks can be derived from IAEA 50-SG-D3, but not for all interlocks important to safety.
The system, design, reliability and equipment requirements appropriate to categories A, B
and C are developed in this standard.
Interlock functions exist in many systems on a nuclear plant, which can result in different
approaches to their implementation in different systems. They should therefore be
implemented in a consistent manner throughout a plant. This standard is concerned with the
practical implications of electrical interlock design and implementation to meet the levels of
performance, reliability and consistency required on nuclear plants.

– 8 – 61497 © CEI:1998
Centrales nucléaires – Verrouillages électriques relatifs
aux fonctions importantes pour la sûreté –
Recommandations pour la conception et la mise en oeuvre
1 Domaine d'application
La présente Norme internationale fournit des recommandations relatives à la conception et la mise
en oeuvre des verrouillages électriques de sûreté utilisés de façon active ou passive pour empêcher
l'apparition de conditions présentant un risque pour la sûreté ou pour assurer des conditions et des
états de sûreté spécifiques durant l'exploitation des centrales nucléaires. Les verrouillages du
système de sûreté sont couverts par les normes relatives aux systèmes de sûreté.
La présente norme fournit des critères de conception, de fiabilité et d'essai à partir de l'étude
des verrouillages de sûreté importants pour la sûreté conformément à la CEI 61226. Elle utilise
les catégories A, B et C selon les définitions fournies dans ce document. Elle tient compte des
fonctions ainsi que de l'importance sur la sûreté, ainsi que du rôle de l'opérateur au niveau de
certains verrouillages.
Un guide est fourni concernant la redondance et la diversité du matériel dans le cadre de la
mise en oeuvre des verrouillages de sûreté, en cas de grande disponibilité ou intégrité, ou
lorsqu'une défaillance de mode commun est susceptible de limiter la fiabilité.
L'utilisation de technologie programmée pour les fonctions de verrouillage de sûreté est
examinée ici, et des recommandations sont données concernant la diversité. Des prescriptions
relatives aux logiciels ainsi qu'à la vérification et la validation sont indiquées en référence à la
CEI 60880.
Les installations d'essai sont étudiées ainsi que les méthodes d'essai et de surveillance
automatiques.
Le système de verrouillage de sûreté pour une fonction spécifique comprend les capteurs
d'état de la centrale (par exemple les dispositifs de mesure et les interrupteurs de fin de
course), l'alimentation des verrouillages et de leur commande, le matériel de
contrôle-commande fournissant la fonction logique particulière pour la prévention ou la
limitation des opérations, ainsi que les câbles, les dispositifs électromécaniques, la commande
par clef et la procédure administrative associés à la fonction.
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente Norme internationale. Au
moment de la publication, les éditions indiquées étaient en vigueur. Tout document normatif
est sujet à révision, et les parties prenantes aux accords fondés sur la présente Norme
internationale sont invitées à rechercher la possibilité d'appliquer les éditions les plus récentes
des documents normatifs indiqués ci-après. Les membres de la CEI et de l'ISO possèdent le
registre des Normes internationales en vigueur.
CEI 60231A:1969, Premier complément à la CEI 60231:1967, Principes généraux de l'instrumen-
1)
tation des réacteurs nucléaires
CEI 60617-12:1997, Symboles graphiques pour schémas – Partie 12: Opérateurs logiques binaires
________
1)
Cette norme comporte des conseils techniques utiles, mais n'est pas mise à jour par la CEI et n'est donc pas
complètement normative.
61497 © IEC:1998 – 9 –
Nuclear power plants – Electrical interlocks
for functions important to safety –
Recommendations for design and implementation
1 Scope
This International Standard provides recommendations for the design and implementation of
electrical interlocks used actively or passively to prevent unsafe conditions or to ensure
specific safe conditions and states during the operation of nuclear power plants. Safety system
interlocks are covered by standards for safety systems.
This standard gives design, reliability and test criteria arising from the consideration of
interlocks important to safety in accordance with IEC 61226. It uses categories A, B and C as
defined by that document. It takes into account the interlock safety significance and functions,
and the role of the operator in some interlocks.
Guidance is given on redundancy and on diversity of equipment for implementing interlocks,
where high availability or integrity is involved, or where common mode failure may limit
reliability.
The use of computer-based equipment for interlock functions is discussed, and recom-
mendations for diversity are given. Requirements for software and for verification and
validation are given by reference to IEC 60880.
The provision of test facilities is discussed together with self-testing and self-monitoring
methods.
The system of interlocks for a specific function includes the sensors of plant state (e.g.,
measuring devices and limit switches), the interlock and control power supplies, the control and
instrumentation equipment providing the particular logic function for prevention or limitation of
operation, and the cables, electromechanical features, key control and administrative control
associated with the function.
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this International Standard. At the time of publication, the editions
indicated were valid. All normative documents are subject to revision, and parties to
agreements based on this International Standard are encouraged to investigate the possibility
of applying the most recent editions of the normative documents indicated below. Members of
IEC and ISO maintain registers of currently valid International Standards.
IEC 60231A:1969, First supplement to IEC 60231:1967, General principles of nuclear reactor
1)
instrumentation
IEC 60617-12:1997, Graphical symbols for diagrams – Part 12: Binary logic elements
________
1)
This standard contains valuable technical advice, but is not maintained by IEC and is not therefore fully
normative.
– 10 – 61497 © CEI:1998
CEI 60812:1985, Techniques d'analyse de la fiabilité des systèmes – Procédure d'analyse des
modes de défaillance et de leurs effets (AMDE)
CEI 60880:1986, Logiciel pour les calculateurs utilisés dans les systèmes de sûreté des
centrales nucléaires
CEI 60987:1989, Calculateurs programmés importants pour la sûreté des centrales nucléaires
CEI 61225:1993, Centrales nucléaires – Systèmes d'instrumentation et de contrôle-commande
pour la sûreté – Prescriptions pour les alimentations électriques
CEI 61226:1993, Centrales nucléaires – Systèmes d'instrumentation et de contrôle-commande
importants pour la sûreté – Classification
CEI 61500:1996, Centrales nucléaires – Systèmes de contrôle-commande importants pour la
sûreté – Prescriptions fonctionnelles pour transmission de données multiplexées
AIEA 50-C-D (Rev. 1):1989, Conception pour la sûreté des centrales nucléaires
AIEA 50-SG-D3:1981, Système de protection et dispositifs connexes dans les centrales
nucléaires
AIEA 50-SG-D8:1985, Systèmes d'instrumentation et de commande liés à la sûreté dans les
centrales nucléaires
3 Définitions et abréviations
3.1 Définitions
Pour les besoins de la présente Norme internationale, les définitions suivantes s'appliquent.
3.1.1
disponibilité
caractéristique d'une fraction de temps pendant laquelle un système est effectivement en état
d'accomplir sa mission (AIEA 50-SG-D8)
3.1.2
catégorie
catégorie de sûreté A, B, C ou non classée, définie pour la fonction, le système ou le matériel
selon la classification de la CEI 61226
3.1.3
canal
trajet distinct le long duquel le flux d'informations est acheminé au travers d'un système
redondant ou distribué. Ce trajet peut également nécessiter une redondance (adapté à partir
de la CEI 61500).
3.1.4
diversité
existence de deux ou plusieurs façons ou moyens différents d'atteindre un objectif spécifié. La
diversité est spécifiquement prévue comme une défense contre les défaillances de mode
commun. Elle peut être réalisée en prévoyant des systèmes physiquement différents les uns
des autres, ou par une diversité fonctionnelle, où des systèmes similaires assurent les objectifs
spécifiés de façon différente (voir article 3 de la CEI 61226).

61497 © IEC:1998 – 11 –
IEC 60812:1985, Analysis techniques for system reliability – Procedure for failure mode and
effects analysis (FMEA)
IEC 60880:1986, Software for computers in the safety systems of nuclear power stations
IEC 60987:1989, Programmed digital computers important to safety for nuclear power stations
IEC 61225:1993, Nuclear power plants – Instrumentation and control systems important for
safety – Requirements for electrical supplies
IEC 61226:1993, Nuclear power plants – Instrumentation and control systems important for
safety – Classification
IEC 61500:1996, Nuclear power plants – Instrumentation and control systems important to
safety – Functional requirements for multiplexed data transmission
IAEA 50-C-D(Rev. 1):1988, Code on the safety of nuclear power plants – Design
IAEA 50-SG-D3:1980, Protection system and related features in nuclear power plants
IAEA 50-SG-D8:1985, Safety-related instrumentation and control systems for nuclear power
plants
3 Definitions and abbreviations
3.1 Definitions
For the purpose of this International Standard, the following definitions apply.
3.1.1
availability
fraction of time that a system is actually capable of performing its mission (IAEA 50-SG-D8)
3.1.2
category
safety category as A, B, C or unclassified, defined for the function, system or equipment by
classification to IEC 61226
3.1.3
channel
separate path along which information flows through a redundant or distributed system. That
path may also require redundancy (adapted from IEC 61500).
3.1.4
diversity
existence of two or more different ways or means of achieving a specified objective. Diversity is
specifically provided as a defense against common mode failure. It may be achieved by
providing systems that are physically different from each other, or by functional diversity, where
similar systems achieve the specified objective in different ways (see clause 3 of IEC 61226).

– 12 – 61497 © CEI:1998
3.1.5
verrouillages électriques
contacts auxiliaires ou matériel électriquement associé à l'appareil commandé et réagissant
sur le circuit ou le matériel, afin que ceux-ci fonctionnent correctement, de la façon et dans
l'ordre prévu
3.1.6
intégrité
qualité de complétude, fiabilité et absence de défaut
3.1.7
verrouillages
verrouillages monocanaux, bicanaux et multicanaux
– Les verrouillages monocanaux utilisent un seul canal de capteurs, d'unités logiques ainsi
qu'un élément de manoeuvre tel qu'un contacteur ou un relais.
– Les verrouillages bicanaux utilisent deux canaux des matériels ou capteurs, disposés de
façon que chaque canal puisse, indépendamment, éviter la condition ou l'état présentant un
risque pour la sûreté. Les canaux peuvent comprendre deux ensembles de matériels
globalement identiques. Une autre solution est que deux canaux différents remplissent les
fonctions de verrouillage de façon différente, ou que deux canaux similaires fonctionnent
l'un en mode normal et l'autre en mode de secours afin d'éviter l'apparition d'une condition
ou d'un état présentant un risque pour la sûreté si le premier canal échoue.
– Les verrouillages multicanaux utilisent plusieurs canaux comprenant des matériels et
capteurs. Ils sont disposés de façon que chaque canal puisse, indépendamment, éviter la
condition ou l'état provoquant un risque pour la sûreté. Un canal défaillant ne peut pas
bloquer les actions permettant d'éviter les conditions ou les états provoquant un risque
pour la sûreté. L’utilisation de systèmes multicanaux peut offrir l’avantage de permettre la
maintenance en ligne et d’éviter d’avoir besoin d’un contournement de canal.
3.1.8
fonctions de verrouillage de sûreté
fonctions faisant partie du système de contrôle-commande de la centrale, permettant d'éviter
les conditions ou opérations présentant un risque pour la sûreté, de protéger le personnel et de
prévenir les dangers
3.1.9
redondance
existence d'un nombre d'éléments ou de systèmes (identiques ou divers) supérieur au nombre
minimal, de manière que la perte de l'un d'entre eux n'entraîne pas la perte de la fonction
requise pour l'ensemble (AIEA 50-C-D)
3.1.10
système de verrouillage de sûreté
partie du système de protection empêchant certaines opérations susceptibles de porter atteinte
à la sûreté du réacteur à moins que toutes les conditions prescrites ne soient remplies
3.1.11
système de verrouillage de sûreté important pour la sûreté
partie des systèmes électriques et des systèmes de contrôle-commande importants pour la
sûreté empêchant ou limitant certaines opérations susceptibles de porter atteinte à la sûreté du
réacteur à moins que toutes les conditions prescrites ne soient remplies
3.1.12
logiciel
programmes, procédures, règles et documentation associée se rapportant à l'exploitation d'un
système informatique (voir 2.16 de la CEI 60880)

61497 © IEC:1998 – 13 –
3.1.5
electrical interlocks
auxiliary contacts or equipment electrically associated with the controlled apparatus and
reacting upon the control circuit or equipment to ensure the equipment operates safely and in
the required manner or sequence
3.1.6
integrity
a quality of completeness, dependability and freedom from defects
3.1.7
interlocks
single-channel, double-channel and multi-channel interlocks
– Single-channel interlocks use a single channel of sensors, logic units and an actuation item
such as a contactor or relay.
– Double-channel interlocks use two channels of equipment and sensors, arranged so that
each channel is capable, on its own, of preventing the unsafe condition or state. The
channels may consist of two sets of essentially identical equipment. An alternative is two
different channels which perform the interlock functions differently, or two similar channels,
one in normal operation and the other in backup operation to prevent an unsafe condition or
state if the first channel fails.
– Multi-channel interlocks use several channels of equipment and sensors. They are
arranged so that each channel is capable, on its own, of preventing the unsafe condition or
state. One failed channel cannot block actions which prevent unsafe conditions or states.
Use of multi-channel systems can provide benefits due to allowing on-line maintenance and
avoiding the need for a channel bypass.
3.1.8
interlock functions
functions implemented as part of the instrumentation and control system of the plant, which
prevent unsafe conditions or operations, protect personnel and prevent hazards
3.1.9
redundancy
provision of more than the minimum number of (identical or diverse) elements or systems, so
that the loss of any one does not result in the loss of the required function of the whole
(IAEA 50-C-D)
3.1.10
safety interlock system
that part of the protection system which prevents certain operations which may affect the safety
of the reactor unless all prescribed conditions are met
3.1.11
interlock system important to safety
that part of the electrical and instrumentation and control systems important to safety which
prevents or limits certain operations which may affect the safety of the reactor, unless all
prescribed conditions are met
3.1.12
software
programs, procedures, rules and any associated documentation pertaining to the operation of a
computer system (see 2.16 of IEC 60880)

– 14 – 61497 © CEI:1998
3.2 Abréviations
EIH  Evénement initiateur hypothétique
API  Automate programmable industriel
4 Prescriptions
4.1 Prescriptions du système
4.1.1 Prescriptions fonctionnelles des verrouillages de sûreté
Les fonctions de verrouillage de sûreté doivent être définies et documentées, et leur rôle de
sûreté déterminé. Les fonctions, systèmes et matériels se rapportant aux verrouillages de
sûreté doivent être classifiés à l'aide des critères de la CEI 61226 permettant l'attribution d'une
catégorie (A, B, C ou non classée) et la détermination des prescriptions d'assurance de la
fonctionnalité, de la fiabilité, des performances, de la résistance à l'environnement ainsi que
d'assurance et de contrôle de la qualité.
Il est permis d'utiliser des fonctions de verrouillage de sûreté pour:
a) empêcher qu'un opérateur ou qu'un système automatique n'effectue une opération
incorrecte ou présentant un risque pour la sûreté;
b) éviter l'apparition de conditions incorrectes ou présentant un risque pour la sûreté en
limitant une action de commande;
c) bloquer la progression d'une suite d'opérations jusqu'au rétablissement de conditions sûres
ou correctes;
d) générer un signal d'autorisation permettant de sélectionner la sortie d'un instrument
uniquement dans sa gamme de fonctionnement;
e) empêcher l'exploitation d'un matériel dans un certain mode de fonctionnement lorsque son
exploitation, pour garantir la sûreté, nécessite un autre mode de fonctionnement;
f) permettre le fonctionnement du matériel au-delà de sa fonction ou de sa base de
conception prévue, si ce fonctionnement favorise la sûreté nucléaire dans des conditions
dépassant les conditions de la base de conception;
g) éviter que des dangers tels que l'incendie et la chute de charges n'engendrent une
condition ou un état présentant un risque pour la sûreté.
Les fonctions de verrouillage de sûreté opérationnelles permettent typiquement l’arrêt et la mise en
marche d'une pompe, l'arrêt des dispositifs de commande de vannes au niveau des limites, le
blocage du démarrage d'une pompe lorsque les vannes sont fermées ainsi que des fonctions de
commande et de conditionnement similaires. Les fonctions de verrouillage de sécurité de la centrale
évitent la surcharge de moteurs ou d'actionneurs, empêchent l'exploitation de la centrale en dehors
de son enveloppe normale et évitent son endommagement. Ces fonctions doivent être comprises
dans le processus de classification des verrouillages. Des fonctions typiques de verrouillage,
importantes pour la sûreté et significatives pour l'exploitation, sont indiquées à titre d'information
dans l'annexe A, avec une référence croisée aux types de fonctions ci-dessus.
Il convient de vérifier la formulation des prescriptions en se référant à l'analyse de sûreté de la
centrale. La simulation et la modélisation de la logique constituent des outils de réalisation du
processus de vérification.
4.1.2 Prescriptions de fiabilité des verrouillages
Les prescriptions de fiabilité et d'intégrité pour chaque fonction de verrouillage doivent être
déterminées en se référant à l'analyse de sûreté de la centrale. Il convient d'utiliser les
prescriptions de fiabilité et d'intégrité pour identifier les prescriptions de conception relatives à
la redondance et de les utiliser conformément à la CEI 61226 pour identifier les moyens
d'assurance de la fiabilité pour la catégorie.

61497 © IEC:1998 – 15 –
3.2 Abbreviations
PIE  Postulated initiating event
PLC  Programmable logic controller
4 Requirements
4.1 System requirements
4.1.1 Interlock functional requirements
The interlock functions shall be defined and documented, and their safety role determined.
The functions, systems and equipment for interlocks shall be classified using the criteria of
IEC 61226 to assign them to a category (A, B, C or unclassified) and to determine the
requirements for assurance of functionality, reliability, performance, environmental durability,
and quality assurance and control.
Interlocks functions may be used:
a) to prevent an unsafe or incorrect operation being taken by an operator or by an automatic
system;
b) to prevent conditions developing which are unsafe or incorrect by restricting a control
action;
c) to inhibit the progress of a sequence of operations until conditions are safe or correct;
d) to generate a permissive signal to allow selection of the output of the instrument when it is
in its operating range;
e) to prevent operation of equipment in one operating mode when it is only safe to operate it in
another operating mode;
f) to permit the operation of the equipment beyond its intended function or design basis, if the
operation would enhance nuclear safety in beyond design basis conditions;
g) to prevent hazards such as fire and dropped load from causing an unsafe condition or
state.
Operational interlock functions typically provide stopping and starting a pump, stopping of valve
actuators at valve limits, prevention of pump start against closed valves and similar control or
conditioning functions. Plant protection interlock functions prevent motor or actuator overload,
plant operation outside its normal envelope and prevent plant damage. These functions shall
be included in the interlock classification process. Typical interlock functions important to
safety and significant to operation are given, for information, in annex A, with a cross reference
to the above types of function.
The expression of requirements should be verified by reference to the safety analysis of the
plant. Animation or modelling of the logic are tools for the verification process.
4.1.2 Interlock reliability requirements
The reliability and integrity requirements for each interlock function shall be determined with
reference to the safety analysis of the plant. The reliability and integrity requirements should be
used to identify design requirements on redundancy and used as required
...