Таблиця 5 — Вимоги до специфікації й уведення в експлуатацію ФСБ
|
Категорія А |
Категорія В |
Категорія С |
|
Незалежні підсистеми для резервованих функцій (6.1.2.4) Експлуатація та технічне обслуговування, що задовольняють критерій одиничної відмови (6.1.2.4) |
|
|
|
Незалежність від дублювальних засобів ручного управління (5.3.1.5) Функційна валідація (6.1.3.1.1) Аналіз надійності (6.1.3.1.2) (Суворість залежить від категорії) |
Аналіз надійності (6.1.3.1.2) (Суворість залежить від категорії) |
Аналіз надійності (6.1.3.1.2) (Суворість залежить від категорії) |
|
Валідація: ІЕС 60880 (6.2.4) |
Валідація: ІЕС 60880 з можливими винятками (6.2.4) |
Валідація: ІЕС 60880 з можливими винятками (6.2.4) |
|
Верифікація кожного каналу безпеки на станції (6.2.5) |
|
|
|
Модифікації проекту: ІЕС 60880 та ІЕС 60987 (6.1.7) |
|
|
Кінець таблиці 5
|
Категорія А |
Категорія В |
Категорія C |
|
Планування системи |
||
|
План верифікації незалежною групою спеціалістів (6.2.1.1) План валідації незалежною групою спеціалістів (6.2.4) |
План валідації, що охоплює незалежних експертів (6.2.4) |
План валідації, що охоплює незалежних експертів (6.2.4) |
|
Документація та верифікація |
||
|
Потрібні всеохоплювальні інтеграційні тести (6.3.4.3) |
Потрібні всеохоплювальні інтеграційні тести (6.3.4.3) |
|
ЗАГАЛЬНА ІНТЕГРАЦІЯ Й УВЕДЕННЯ В ЕКСПЛУАТАЦІЮ
Метою цієї фази є інтеграція КВК-систем за місцем експлуатації та забезпечення гарантії того, що всі КВК-функції, важливі для безпеки, виконуються належно під час приймальних випробовувань на станції. План уведення в експлуатацію КВК-систем долучають до програми введення в експлуатацію систем станцій (див. 4.4 IAEA 75-INSAG-3).
Вимоги до цілей, яких має бути досягнуто
Ці роботи треба виконувати систематично, використовуючи стратегію, розроблену відповідно до планів монтування системи, загальної інтеграції й уведення в експлуатацію і планів захисту, визначених у 5.4 та 6.2;
Роботу із загальної інтеграції потрібно виконувати з усіма КВК-системами, змонтованими й індивідуально випробуваними (див. 6.1.6);
Потрібно виконати завантаження всіх баз даних, а збережені значення треба підтвердити та випробувати;
Апаратне та програмне забезпечення комп’ютерних систем має перебувати під управлінням конфігурацією;
Для нових станцій треба перед завантаженням реактора завершити верифікацію та валі- дацію за місцем експлуатації всіх функцій, важливих для безпеки.
Вихідна документація
До початку експлуатації має бути наявною документація з інтеграції всіх КВК-систем із реєстрацією у хронологічному порядку всіх робіт із верифікації та валідації, виконаних на місці експлуатації;
Звіт із загального введення в експлуатацію має підтверджувати, що КВК-системи відповідають усім очікуванням щодо використання за призначеністю, а функції, важливі для безпеки, відповідають загальним технічним завданням (див. 5.2);
Виявлені відхилення від проекту оцінюють, коригують і відправляють до експлуатації організації для того, щоб їхній вплив на роботу станції можна було взяти до уваги (див. 4.4.2 IAEA 75-INSAG-3).
Примітка. Точні вимоги до документації будуть залежати від особливостей експлуатаційної організації.
ЗАГАЛЬНА ЕКСПЛУАТАЦІЯ ТА ТЕХНІЧНЕ ОБСЛУГОВУВАННЯ
Експлуатацію КВК-системи можливо розпочинати після того, як оцінення звітів з уведення в експлуатацію продемонструє, що цю стадію успішно завершено. Експлуатацію можливо продовжувати, доки відповідно до записів технічного обслуговування не буде потрібно робити ремонт або модифікацію. Експлуатацію можна продовжити після успішного завершення ремонту або модифікації й оцінення відповідних звітів.
Перед початком етапу експлуатації необхідно погодити всі умови з передання керування від організації, відповідальної за загальне уведення в експлуатацію, до експлуатаційної організації. Наведені нижче вимоги не залежать від цього договору:
системи мають витримати достатні випробування для підтвердження того, що забезпечено визначену функційність. У разі виявлення дефектів під час випробовування їх треба документально зафіксувати та, по можливості, усунути до передання;
необхідно мати відповідну експлуатаційну документацію та плани технічного обслуговування.
Вимоги до цілей, яких має бути досягнуто
КВК-системи експлуатують та виконують технічне обслуговування, щоб підтримувати відповідність вимогам до КВК-функцій, важливих для безпеки.
Необхідно виконати плани експлуатації, технічного обслуговування та захисту, визначені в 5.4 та 6.2;
Список процедур, яких повинні дотримувати оператори станції або персонал із технічного обслуговування за нормальної експлуатації й аварійних умов, має перебувати у приміщенні щита керування чи поблизу від нього. Форма та зміст мають задовольняти міжнародні та національні правила;
Для систем класу 1 необхідно виконувати процедури експлуатації та технічного обслуговування програмного забезпечення згідно з ІЕС 60880.
Вихідна документація
У документації з експлуатації, ремонту та технічного обслуговування необхідно зберігати хронологічну послідовність. Також треба виконувати оцінення записів і звітів із певною періодичністю для визначення й ініціації необхідності технічного обслуговування або модифікації.
Примітка. Точні вимоги щодо документації будуть залежати від особливостей експлуатаційної організації.
ДОДАТОК А
(довідковий)
ОСНОВНІ АСПЕКТИ БЕЗПЕКИ АЕС
У цьому додатку визначено основні концепції безпеки, розглянуті в цьому стандарті для проекту КВК-систем АЕС.
А.1 Завдання безпеки станції
Промислова діяльність, що становить загрозу для працівників, населення та навколишнього середовища, потребує від оператора прийняття розумних практичних заходів для зниження цієї загрози. Одним із типових ризиків ядерної енергії є небезпека іонізуючого випромінення (див. розділ 201 IAEA 50-C-D).
Основним завданням ядерної безпеки є захист людей, суспільства та навколишнього середовища установленням та підтриманням на АЕС ефективного захисту від радіаційної небезпеки (див. 2.1 IAEA 75-INSAG-3 та розділ 2 IAEA 50-C-D).
Технічною метою безпеки для наявних АЕС є «показник імовірності» важкого пошкодження активної зони нижче ніж Ю^1 подій за рік експлуатації станції. Дотримання принципів безпеки майбутніх станцій має привести до поліпшення ситуації — не більше ніж 10-5 випадків за експлуатаційний рік станції. Керування важкими аваріями та вживання необхідних заходів мають знизити в десять разів імовірність великого викиду за межі станції, що спричинить потребу вжиття необхідних заходів поза територією станції (див. 2.3 IAEA 75-INSAG-3).
А.2 Дослідження безпеки станції
Дослідження безпеки проекту атомної станції виконується для встановлення та підтвердження основи проекту щодо аспектів, важливих для безпеки, й отримання гарантії того, що загальний проект станції задовольняє граничні значення та контрольні рівні для радіаційних доз і викидів, визначених регулівним органом для кожної категорії стану станції (див. розділ 6 IAEA 50-SG-D11).
Сфера дослідження безпеки може охоплювати:
демонстрацію дотримання експлуатаційних граничних значень і станів для нормальної роботи станції;
характеристики постульованих вихідних подій, визначених у проекті станції, та їхню локалізацію;
аналіз та оцінення наслідків, що виникають як результат постульованих вихідних подій;
порівняння результатів аналізу з припустимими радіаційними критеріями та проектними граничними значеннями;
установлення та підтвердження основи проекту;
— демонстрація можливості керування передбачуваними експлуатаційними подіями й аварійними умовами за допомогою автоматичних систем захисту разом із передбаченими діями оператора.
Цей аналіз безпеки станції є ітераційною процедурою, яка виконується від початкового концептуального проекту станції до остаточного оцінення безпеки станції, і враховує всі особливості конфігурації станції, здатні впливати на безпеку. Аналіз безпеки станції враховує можливі помилки людини під час експлуатування й аварійних умов.
Такий аналіз має продемонструвати, що певні дії, які виконуються автоматичними системами й операторами, призведуть до такого поводження станції, коли радіаційні дози опромінення персоналу та населення залишаться нижче від припустимих граничних значень за нормальної експлуатації станції, передбачуваних подіях під час експлуатування й аварійних умов.
А.2.1 Аналіз послідовності подій
Метою аналізу послідовності подій є систематичне та детальне визначення всіх можливих наслідків постульованої вихідної події на станції, охоплюючи події, пов'язані з допоміжними та забезпечувальними системами, а також можливою помилкою оператора. Результати такого аналізу послідовності подій може бути використано для визначення відповідності проекту вимогам безпеки, установленим у правилах МАГАТЕ (див. додаток до IAEA 50-C-D).
Аналіз дерев подій (якісний) й аналіз дерев відмов (кількісний) є корисними аналітичними інструментами для визначення можливих станів станції, спричинених постульованою вихідною подією.
Треба зазначити, що неможливо та немає потреби вміщувати в аналіз безпеки кожну ймовірну послідовність подій. Однак за аналізу безпеки треба визначати та докладно розглядати ті постульовані вихідні події та послідовність подій, що є граничними для проекту безпеки. Під час вибирання таких послідовностей подій враховують досвід наявних станцій.
Навіть з обмеженням на випадок граничних послідовностей подій, як описано вище, суворе застосування методології дерев подій у багатьох практичних ситуаціях приведе до визначення значно більшого числа конфігурацій станції для кожної постульованої вихідної події, ніж це може бути реально проаналізовано в деталях. Тому зазвичай припустимо обмеження детального аналізу деяким числом характерних послідовностей подій.
А.2.2 Оцінення основи проекту: детерміністичні/ймовірнісні методи
Розроблено методи для оцінення досягнень цілей безпеки (див. 3.3.4 IAEA 75-INSAG-3).
За детерміністичного підходу в основі проекту події вибирають так, щоб обмежити діапазон пов'язаних можливих первісних подій, які можуть призвести до загрози безпеки станції.
Імовірнісний аналіз використовують для оцінення ймовірності певних послідовностей та їхніх наслідків. Таке оцінення може враховувати вплив захисних заходів усередині та ззовні станції.
Порівняння детерміністичного та ймовірнісного методів: недостатність повних даних щодо поводження компонента чи системи або нездатність установити потрібний режим може перешкодити використанню точного кількісного ймовірнісного методу. Однак частковий імовірнісний метод може часто бути доповнено якісним інженерним обґрунтуванням. З іншого боку, детерміністичний підхід потребує інженерного аналізу, що явно містить кількісний імовірнісний розгляд.
По суті, у сучасній практиці використовують детерміністичний підхід до проектування систем та ймовірнісний підхід для оптимізації необхідних частин проекту й оцінення загальної безпеки.
А.З Глибокоешелонований захист
Основним внеском у філософію безпеки є концепція глибокоешелонованого захисту. Цю концепцію потрібно застосовувати до всієї діяльності з безпеки як організаційної та експлуатаційної, так і пов’язаної з проектуванням, для забезпечення перекриття норм безпеки так, щоб у разі відмови відбувалося її компенсування або виправлення (див. розділ 2 IAEA 50-C-D; 3.2 та додаток до IAEA 75-INSAG-3; 3.3 IAEA 50-SG-D8 та 4.3 IAEA 50-SG-D11).
Перше застосування концепції глибокоешелонованого захисту до процесу проектування має забезпечити незалежні додаткові комплекти устатковання та процедури для попередження аварій або для забезпечення необхідного захисту, якщо подію неможливо попередити. Приклади багаторівневого захисту:
наявність багатьох засобів, що забезпечують кожну з основних функцій безпеки, тобто керування реактивністю, відвід тепловиділення й утримання радіоактивності;
використання надійних захисних пристроїв на додаток до внутрішньо притаманного устатковання для безпеки;
доповнення керування станцією автоматичними та ручними діями;
забезпечення устаткованням і процедурами, що пом’якшують наслідки аварій.
Загалом, усі ешелони захисту мають працювати весь час так, як визначено для різних режимів експлуатації.
Метою першого ешелону захисту є запобігання відхиленню від нормальної експлуатації станції. Це потребує, щоб станцію було спроектовано, побудовано та щоб її експлуатували якісно та консервативно, відповідно до необхідних рівнів якості й інженерної практики;
Метою другого ешелону захисту є виявлення та усунення відхилів від нормальних умов експлуатації для запобігання розвитку передбачуваних експлуатаційних неполадок в аварійну ситуацію;
Третій ешелон захисту забезпечують додатковим устаткованням і процедурами, які в разі, хоча це малоймовірно, коли розвиток певного експлуатаційного порушення не можливо відвернути попередніми ешелонами захисту, дає змогу керувати наслідками аварійних умов. Інша основна мета цього ешелону захисту полягає в досягненні стабільних та прийнятних умов після аварії;
За межами третього ешелону захисту передбачають подальше сприяння захисту населення за допомогою додаткових засобів станції (які не визначено як важливі для безпеки) і планів миттєвої готовності, які переважно не залежать від проекту реактора.
