Такой анализ безопасности проводится в виде итеративного процесса, начиная с концептуальных основ проекта вплоть до окончательной оценки безопасности АС, и должен учитывать все детали структуры АС, которые могут отразиться на безопасности. При анализе безопасности рассматриваются вероятные ошибки персонала в процессе эксплуатации и условиях аварии.
Анализ должен показать, что действия, выполнение которых обеспечивается системами управления и операторами, влияют на состояние АС, поддерживая дозы облучения персонала и населения ниже установленных пределов как при нормальной эксплуатации и отклонениях от нормальной эксплуатации, так и в аварийных условиях.
А.2.1 Анализ последующих событий
Целью анализа является последовательное детальное выявление возможных последствий постулированного исходного события, включая те из них, которые возникают из-за отказов вспомогательных и обеспечивающих систем и из-за ошибки оператора. Результаты такого анализа последующих событий могут затем использоваться для определения соответствия требованиям безопасности АС, правилам проектирования, установленным МАГАТЭ (см. приложение к МАГАТЭ 50-C-D).
При анализе для определения возможных состояний АС после постулированного исходного события полезными инструментами являются анализ дерева событий (качественный анализ) и дерева отказов (количественный анализ).
Отмечается, что невозможно и нет необходимости включать в анализ безопасности каждое последующее событие, которое может произойти. Однако в анализе безопасности следует выявить и рассмотреть в деталях те постулированные исходные события и их последствия, которые соответствуют граничным случаям проекта безопасности.
Даже ограничиваясь рассмотрением последствий событий, приводящих к граничным состояниям, указанным выше, использование методологии дерева событий во многих практических случаях приводит для каждого постулированного исходного события к выявлению большого числа состояний АС, которые действительно могут быть рассмотрены детально. Поэтому допустимо ограничиваться при детальном анализе рядом типичных последствий события.
А.2.2 Оценка основ проектирования: детерминистический или вероятностный методы
Для оценки степени достижения целей безопасности разработаны соответствующие методики (см. 3.3.4 МАГАТЭ 75-INSAG-3).
При использовании детерминистического подхода проектные события выбирают так, чтобы ограничить круг связанных вероятных исходных событий, которые могли бы повлиять на безопасность АС.
Вероятностный метод используют для оценки вероятности любого отдельного случая и его последствий. При проведении оценки допустимо принимать в расчет меры по смягчению последствий как на самой АС, так и за ее пределами.
Сравнение детерминистического и вероятностного методов:
отсутствие достаточных данных о поведении компонентов или систем контроля и управления или невозможность определить подходящую модель могут препятствовать строгой количественной вероятностной оценке. Однако частичный вероятностный метод может дополняться качественным инженерным рассмотрением. С другой стороны, детерминистический метод требует такого инженерного рассмотрения, которое, безусловно, содержит некоторые качественные вероятностные оценки.
В сущности, текущая практика состоит в использовании детерминистического метода при проектировании систем контроля и управления и вероятностного - для оптимизации отдельных частей проекта и оценки общей безопасности АС.
А.3 Глубокоэшелонированная защита
Основой философии безопасности является концепция глубокоэшелонированной защиты. Эта концепция должна применяться ко всем аспектам деятельности, связанной с безопасностью, для гарантии обеспечения частичного перекрытия мер безопасности, чтобы в случае, когда отказ произошел, он компенсировался или исправлялся дополнительными мерами (см. раздел 2 МАГАТЭ 50-C-D; 3.2 и приложение к МАГАТЭ 75-INSAG-3; 3.3 МАГАТЭ 50-SG-D8 и МАГАТЭ 50-SG-D11).
Первое применение концепции глубокоэшелонированной защиты заключается в создании в процессе проектирования набора независимых, но дополняющих друг друга устройств и процессов для предотвращения аварии или обеспечения соответствующей защиты в случае, если отказ все-таки имел место. Примеры многоуровневой защиты:
- создание многократно резервированных средств, обеспечивающих выполнение каждой основной функции безопасности, т.е. управление реактивностью, отвод тепла и удержание радиоактивности;
- использование надежных защитных устройств в дополнение к внутренним свойствам безопасности;
- организация управления АС с помощью автоматики и действий оператора;
- создание оборудования и процессов, обеспечивающих уменьшение последствий аварии.
В общем, все линии защиты должны применяться в течение всего времени действия различных эксплуатационных режимов:
Цель первой линии защиты - предотвратить отклонение эксплуатации АС от нормальной. Для этого необходимо, чтобы станция была надежно, с определенной степенью консервативности спроектирована, построена и эксплуатировалась при соответствующем уровне качества и инженерного опыта.
Цель второй линии защиты - выявить и предупредить отклонения от условий нормальной эксплуатации, чтобы предотвратить переход предусмотренных проектом эксплуатационных событий в аварийную ситуацию.
Для третьей линии защиты предполагается, что (хотя это крайне нежелательно) развитие предусмотренных событий не могло быть предотвращено предыдущими линиями защиты, и поэтому для управления последствиями возникающих аварийных условий предусматривается дополнительное оборудование и процессы.
После третьей линии защиты дополнительная защита населения обеспечивается за счет неосновных вспомогательных свойств АС (которые не представляются важными для безопасности) и планов аварийной готовности, которые, по большей части, не зависят от типа реакторной установки.
Второе применение концепции глубокоэшелонированной защиты состоит в сооружении и эксплуатации АС так, чтобы радиоактивные материалы удерживались рядом физических барьеров. Эти физические барьеры являются пассивными и чаще всего включают в себя топливо, оболочку топливного элемента, границу контура охлаждения реактора и контейнмент. Проект должен обеспечить необходимую эффективность и защитные свойства каждого из указанных выше физических барьеров.
Еще одно применение концепции глубокоэшелонированной защиты заключается в осуществлении однократного или многократного резервирования систем контроля и управления. Для того, чтобы уменьшить масштаб нарушения и достичь глубокоэшелонированной защиты, допускается использование более одной системы контроля и управления, которые срабатывают по мере того, как контролируемая переменная отклоняется от нормального значения. В первую очередь, если переменная отклоняется от значений, соответствующих нормальным условиям, отрабатывают неклассифицированные системы. После действий этих систем управления может включаться один или несколько уровней дополнительных систем управления, важных для безопасности, прежде чем будут задействованы защитные системы, в случае если событие превращается из незначительного отклонения от нормальной эксплуатации в постепенно нарастающий переходный процесс. Целью каждой линии защиты является приостановление развития события и возврат системы к нормальной эксплуатации при небольших отклонениях и безопасный останов при событиях, которые могут превратиться в более серьезные.
Приложение В (справочное). Категоризация функций и классификация систем
В.1 Обоснование схемы категоризации/классификации
МАГАТЭ 50-SG-D1 устанавливает перечень функций безопасности, учет которых при проектировании АС позволяет соответствовать основным требованиям безопасности: от способов безопасного останова реактора до отвода остаточного тепла от активной зоны и снижения вероятности выброса радиоактивных веществ. Данный документ устанавливает принцип классификации компонентов содержащего жидкости оборудования, необходимых для выполнения функций безопасности, в соответствии с их важностью для безопасности. Данный документ вводит методологию классификации функций безопасности и задания требований к проекту, основанную на учете последствий отказа функции безопасности, вероятности того, что может потребоваться выполнение функции, и вероятности того, что функция может при необходимости не выполняться.
МАГАТЭ 50-SG-D8 распространяет принцип классификации на системы контроля и управления. Данный документ подразделяет системы контроля и управления на "системы, важные для безопасности", и "системы, не влияющие на безопасность". Далее "системы, важные для безопасности" подразделяют на "системы безопасности" и "системы, относящиеся к безопасности" (см. рисунок 1 и "определения" в МАГАТЭ 50-SG-D8). МАГАТЭ 50-SG-D3 и МАГАТЭ 50-SG-D8 определяют требования к проектированию систем защиты и систем, относящихся к безопасности соответственно. МЭК 60880 и МЭК 60987 опираются на эту классификацию МАГАТЭ.
МЭК 61226 подразделяет функции и соответствующие системы и оборудование, важные для безопасности, на три категории: А, В и С. Данный документ устанавливает критерии отнесения функций контроля и управления к конкретным категориям и требованиям к проектированию соответствующих систем и оборудования (см. раздел 8 МЭК 61226).
Число классов, установленных МАГАТЭ, отличается от установленных в МЭК 61226 (системы защиты и системы, относящиеся к безопасности, в отличии от категорий А, В и С). Более того, МАГАТЭ и МЭК не всегда используют одни те же определения и концепции (система классификации МАГАТЭ и классификация ФСО в МЭК), и эти расхождения могут быть источником различных интерпретаций.
Настоящий стандарт следует требованиям МЭК 61226 в отношении деления на три класса, данный подход типичен для различных уровней обеспечения требуемого исполнения и надежности при использовании существующих в настоящее время технических средств контроля и управления и изделий (например, разработанные в соответствии со стандартами атомной отрасли, отобранные и классифицированные покупные изделия, отобранные покупные изделия). Однако во избежание неоднозначной трактовки требований стандарта выработана специальная схема градации функций и соответствующих систем и оборудования.
Ниже изложены основные требования настоящего стандарта к категоризации и классификации.
В.2 Обоснование принципов категоризации и классификации, принятых в настоящем стандарте
Функции, системы и оборудование АС можно рассматривать с двух точек зрения (см. рисунок В.1):
- функциональная точка зрения.
Рисунок В.1 - Отношения между функциями и системами контроля и управления АС
 | |
| 620 × 391 пикс. Открыть в новом окне | |
Рисунок В.1 - Отношения между функциями и системами контроля и управления АС
В этом случае рассматриваются только выполняемые системами и оборудованием функции. Несмотря на то, что известно, что для выполнения функции безопасности необходимы датчики, устройства обработки, обмена информацией и пр., функциональный подход не учитывает, что эти устройства могут входить в состав более крупной сборки оборудования, которая выполняет также и другие функции (см. "системная точка зрения"). Технические средства для выполнения функции называются системами и оборудованием, связанным с данной функцией:
системная точка зрения.
В этом случае системы АС рассматриваются как организованный набор аппаратуры, который выполняет множество функций/подфункций, например, система защиты, система автоматизации и управления, система взаимодействия человек- машина. Отдельные функции, выполняемые системой, могут относиться к различным категориям.
В.2.1 Фаза проектирования АС
Разработчики технологии АС анализируют станцию и соответствующие системы с функциональной точки зрения. Определяются постулированные исходные события, которые могут происходить на реакторной установке и АС, и функции, важные для безопасности, необходимые для обеспечения управления этими исходными событиями с целью предотвращения их развития в аварийные ситуации. Для управления каждым постулированным исходным событием в соответствии с принципом глубокоэшелонированной защиты может потребоваться несколько независимых функций (или подфункций). Функции (или подфункции) относят к категориям А, В или С в зависимости от того, какую роль они играют в обеспечении безопасности АС - принципиально важную, дополнительную, вспомогательную или непосредственную.
Способы категоризации обычно основываются на детерминистическом, вероятностном рассмотрении и рассмотрении с позиции снижения риска. Они принимают во внимание различные факторы, такие как вероятность и возможная тяжесть последствий постулированного исходного события при сбоях в системе контроля и управления, времени, в течение которого инициируется требуемое однократное выполнение функции, временные границы и надежность, с которыми могут быть выполнены альтернативные действия или исправлен любой отказ в системе контроля и управления.
Процесс присвоения категории допускает, чтобы функции контроля и управления комплекса безопасности были распределены по различным категориям, например, может потребоваться другая реакторная уставка для функционирования только при маловероятных условиях предусмотренного переходного процесса, сопровождающегося отказом основной защитной функции. В этом случае функции контроля и управления должна быть присвоена скорее не категория А (предполагающая размещение в системе класса 1), а категория В или С.
Категории определяют уровень требований к проекту, а также минимальный требуемый класс соответствующей системы и оборудования, необходимых для выполнения функции.