---

Друге застосування концепції глибокоешелонованого захисту — це будівництво й експлуатація АЕС у такій спосіб, щоб радіоактивні матеріали утримувалися в межах послідовних фізичних бар'єрів. Такі фізичні бар’єри в основному пасивні та зазвичай охоплюють саме паливо, його обо­лонку, границі системи охолодження реактора й оболонку контайнмента. Проект має забезпечувати необхідну ефективність і захист кожного з цих бар’єрів.

Додатковим застосуванням концепції глибокоешелонованого захисту є використання одинич­них або численних резервних КВК-систем. Для мінімізації значущості пошкоджень і досягнення глибокоешелонованого захисту можливо використовувати більше ніж одну КВК-систему, які діють послідовно, коли контрольовані параметри відхиляються від установлених величин. Спочатку, у зв’язку з відхилом параметрів від нормальних умов, діють некласифіковані керівні системи. Услід за дією цих керівних систем перед включенням систем захисту можуть вступати в дію один чи більше рівнів додаткових керівних систем, важливих для безпеки, у міру того, як подія перетворюється з незначного експлуатаційного порушення в незначний перехідний режим, а потім у суттєвий нестійкий режим. Мета кожної стадії — припинення події та повернення системи до нормальної роботи за незначних подій та безпечного зупинення для серйозніших подій.

ДОДАТОК В
(довідковий)

КАТЕГОРИЗАЦІЯ ФУНКЦІЙ ТА КЛАСИФІКАЦІЯ СИСТЕМ

IAEA 50-SG-D1 установлює перелік функцій безпеки, які дають можливість у проекті станції виконувати основні вимоги щодо безпеки — від засобів безпечного зупинення реактора до відводу залишкового тепла з активної зони та зменшення ймовірності викиду радіоактивного матеріалу. Унаслідок цього виникла ідея класифікувати компоненти, потрібні для виконання функції безпеки, відповідно до їхньої важливості для безпеки. Упроваджують методологію ранжирування функцій безпеки та призначеності проектних вимог, в основі якої лежать наслідки відмови функції безпе­ки, імовірності того, що функція буде потрібна, та ймовірності, що її не буде виконано, коли буде потрібно.

IAEA 50-SG-D8 розглядає ідею класифікації інформаційних і керівних систем. КВК-системи поділяються на «системи, важливі для безпеки» та «системи, не важливі для безпеки». Потім системи, важливі для безпеки, підрозділяються на «системи безпеки» та «системи, пов’язані з безпекою» (див. рисунок 1 і «визначення» в IAEA 50-SG-D8). IAEA 50-SG-D3 та IAEA 50-SG-D8 вво­дять проектні вимоги відповідно для систем захисту та систем, пов’язаних із безпекою. ІЕС 60880 та ІЕС 60987 мають посилання на цю класифікацію МАГАТЕ.

ІЕС 61226 класифікує функції та пов’язані з ними системи й устатковання, важливі для без­пеки, на три категорії: А, В та С. У ньому введено критерії для призначення категорій функцій КВК і проектні вимоги для пов'язаних систем й устатковання (див. розділ 8 ІЕС 61226).

Число класів, визначених МАГАТЕ, відрізняється від ІЕС 61226 (системи безпеки та систе­ми, пов’язані з безпекою проти категорій А, В та С). Окрім того, МАГАТЕ та МЕК користуються неідентичними визначеннями та концепціями (система класифікації в МАГАТЕ проти класифікації ФСБ у МЕК), і ці суперечності можуть призвести до різних тлумачень.

Цей стандарт спирається на ІЕС 61226 стосовно поділу на три класи, це типово щодо по­дання різних рівнів забезпечення потрібних характеристик і досяжної надійності за використання наявних КВК технологій і продуктів (розроблених відповідно до ядерних стандартів, відібраних і кваліфікованих КП, відібраних КП). Проте з метою уникнення невизначеності під час тлумачення вимог приймають окрему градацію відповідно до ФСБ і систем.

У цьому стандарті розроблено такі базові вихідні дані для категоризації/класифікації.

Функції, системи й устатковання АЕС необхідно розглядати з двох точок зору (рисунок В.1): — Функційна точка зору.

Із цього боку розглядають тільки виконувані функції. Коли відомо, що датчики, процесорні пристрої, інтерфейсні пристрої тощо потрібні для виконання функцій, то з функційної точки зору їх не розглядають, тому що вони можуть входити до більших угруповань устатковання та виконувати також інші функції (див. «системну точку зору»). Засоби, потрібні для виконання функцій, називають системами й устаткованням, асоційованими з цією функцією.

— Системна точка зору.

Із цього боку розглядають системи як організовану сукупність устатковання, що виконує бага­то функцій/підфункцій, наприклад система захисту, автоматизована система керування, система інтерфейсу «людина-машина». Конкретні функції, виконувані одною системою, можуть стосуватися різних категорій.

Функційний розгляд

Системний розгляд

ФСБ станції
№ 1

ФСБ станції
№ п

КВКФСБ
№ 1

Датчик
+
Технологічне
устатковання
+
Приведення
устатковання
в дію

КВКФСБ
№ п

Технологічне
устатковання

(КВК) Система захисту

У

(КВК) Система ІЛМ

статковання
для моніторінгу

Електричні, механічні, гідравлічні системи

I ЕС 194/01

Рисунок В.1 — Взаємозв’язок між КВК-функціями та КВК-системами

Проектувальники технології на АЕС аналізують станцію та відповідні системи з функційної точки зору. Вони визначають специфічні постульовані вихідні події станції та реактора, а також функції, важливі для безпеки, які треба виконувати для попередження можливості переростання цих постульованих вихідних подій в аварійні умови. Кількість незалежних функцій (або підфункцій), яка може потребуватися для кожної ПВП, визначають відповідно до принципу глибокоешелонова- ного захисту. Ці функції (або підфункції) стосуються категорій А, В чи С залежно від того, яку роль у безпеці атомної станції вони виконують: основну, додаткову, допоміжну або непряму.

Методи катетеризації зазвичай мають у своїй основі детерміністський, імовірнісний роз­гляд та розгляд з точки зору зниження ризику. Вони враховують різні чинники, такі як імовірність і потенційна можливість серйозних наслідків ПВП у разі, якщо відбувається відмова КВК-системи, проміжок часу, потрібний для миттєвого приведення КВК-системи в дію, своєчасність і надійність, з якою може бути розпочато будь-які альтернативні дії або може бути виправлено будь-яку відмову КВК-системи.

Процеси катетеризації можуть давати змогу, щоб функції КВК-системи в групі безпеки нале­жали до різних категорій, наприклад різноманітне відімкнення реактора може знадобитися тільки за умови малоймовірного очікуваного перехідного режиму за одночасної відмови первісної функції захисту. У цьому разі КВК-функції категорії А (яку впроваджено в системі класу 1) може бути пере­ведено до нижчої категорії В чи С.

Категорії визначають рівень проектних вимог, а також мінімальний необхідний клас асоційованих систем й устатковання, потрібних для реалізації функції.

Проект функційної та системної безпеки станції

Функції, важливі для безпеки
(категорій А, В, С)

Постульовані вихідні події

У

Групи безпеки

сі КВК-функції

Проектувальники КВК АЕС аналізують КВК-функції й асоційовані з ними системи й устатко- вання із системної точки зору. їхнє завдання — забезпечити ряд КВК-систем, які виконують КВК- функції, із таким рівнем якості та незалежності, який установлено проектувальниками процесів. Класи систем встановлюються залежно від досяжного рівня якості.

Архітектурний і системний проект КВК, функційна призначеність

Загальна КВК-архітектура

К

Прикладні функції

онкретні КВК-системи
(класів 1, 2 та 3)

Процес класифікації та призначення функцій у комп’ютерних системах відрізняється від того, що застосовують в апаратнореалізованих системах, тому що:

• в апаратнореалізованих системах функції зазвичай виконуються в ланцюгах окремих елек­тронних компонентів або реле, тоді яку комп’ютерних системах можливо виконання ряду функцій одними й тими самими компонентами технічного забезпечення;

• комп’ютерні системи вміщують ряд допоміжних функцій, наприклад, функції самоконтролю, функції діагностики, які не є частиною катетеризації проекту станції. Ці функції можуть мати нижчий рівень кваліфікації, але потребують функційної ізоляції;

• вибір архітектури системи може обмежувати складність, щоб полегшити виконання функцій високої категорії безпеки;

• у проектувальника є потенційна можливість умістити вимоги до архітектури систем, на­приклад, функційний розподіл, внутрішнє поводження, складність, заходи проти ВЗП, пов’язані не з конкретними функціями, а з КВК-системами та властивостями сімейства устатковання, що використовується для реалізації та кваліфікації таких систем.

Це може привести до усвідомленої потреби встановити систему класифікації для КВК-систем залежно від функції найвищої категорії, яку вони виконують.

У цьому стандарті передбачено, що проектна основа безпеки станції, розроблена проекту­вальниками процесів, визначає розподіл конкретних КВК-функцій, важливих для безпеки, за трьома категоріями А, В та С. Вимоги категоризації встановлюють ступінь якості одиниць устатковання, які використовують для виконання функцій.

Категоризацію КВК-функцій виконують до рівня підфункцій (див. примітку), щоб розробникам КВК не треба було робити додатковий аналіз на рівні процесів для її завершення.

Примітка. Одну й ту саму функцію, важливу для безпеки, можна виконувати з використанням ряду підфункцій або унікальної функції, до складу якої належать усі під фу н кції. Це може створити двотлумачність під час визначання вимог до категоризації, тому що підфункції можуть мати різну важливість для безпеки і, як наслідок, різні категорії, призначені кожній із них.

На додаток до вимог категоризації в проектній основі безпеки станції визначають вимоги до незалежності та різноманітності конкретних функцій, відповідно до принципу глибокоешелоновано- го захисту. Незалежність потрібна між функціями, що забезпечують різні ешелони захисту в одній групі безпеки, між деякою функцією та функцією, що зменшує ризик.

Вимоги незалежності та різноманітності є вхідними даними для процесу призначання КВК- функцій КВК-системам. «Асоційовані з функцією системи та устатковання» може бути розподілено до різних КВК-систем за умови, що в них однакова класифікація безпеки (див. В.2).

КВК-системи, що становлять усю КВК-архітектуру, зазвичай містять групу з кількох КВК-функцій або підфункцій, які разом виконують подібні завдання для станції. Зазвичай системи характе­ризуються функціями, які вони реалізують. Кількість КВК-систем та їхні функції визначають для конкретної станції. Типові приклади КВК-систем, важливих для безпеки, наведено нижче.

1. Системи автоматизації й управління

Системи управляють параметрами станції чи устатковання:

• для підтримання параметрів процесу в межах, установлених під час аналізу безпеки станції;

• для підтримання безпечної роботи систем й устатковання станції, важливих для безпеки;

• для мінімізації величини та швидкості можливих порушень;

• для мінімізації частоти виникнення подій, що спричиняють дію системи захисту. Цього можна досягти, забезпечуючи високоякісні, резервовані різноманітні системи автоматизації й управління чи забезпечуючи більше ніж один рівень дії. Наприклад, комбінація автоматичних керівних дій та ручних дій, якщо є достатньо часу щодо правильної реакції або забезпечення двох чи більше комбінацій, наведених вище.

Системи автоматизації й управління можуть впливати на безпеку, оскільки їхні характерис­тики, надійність і наслідки відмов становлять частину основного проекту для системи захисту (див. 3.3 IAEA 50-SG-D8). Системи автоматизацій та управління також можуть бути головним за­собом виконання функцій, важливих для безпеки, наприклад, коли є великий проміжок часу для дій із коригування.

Типові функції даних систем охоплюють керування в розімкненому контурі, керування в за­мкненому контурі та виконання керівних дій, ініційованих уручну;

2. ІЛМ-системи

Системи забезпечують інформацією оператора станції й інших співробітників про стан станції та її систем, важливих для безпеки. їх також використовують для підтримання процесу прийняття рішень оператором та надання дозволу на керування вручну для підтримання безпеки станції.

Типові функції даних систем:

• перетворення інформації датчиків або сигналів від інших систем в інформацію, зручну для відображення або реєстрації на індикаторах, дисплеях, принтерах тощо. Система виводить таку інформацію, як загальний огляд, небезпечне змінення стану та робочі інструкції;

• відображення тривожної сигналізації, попередження й іншої інформації;

• підтримання інтерфейсів ручного керування;

3. Системи захисту та безпеки

Ці системи гарантують, що встановлені в проекті граничні значення не буде перевищено внаслідок прогнозованих експлуатаційних подій і що наслідки аварій розглянуто в проектній основі.

Програма безпеки МАГАТЕ (див. IAEA 50-SG-D3) визначає типові функції таких систем:

• виявлення аварійного стану й автоматичне ініціювання дій відповідних систем, охоплюючи зупинку реактора;

• установлення пріоритетів для функцій різних категорій (наприклад, скасування дій системи керування);