Аварійна система живлення
Типові функції:
скидання навантаження;
послідовне навантаження дизель-генераторів й інших джерел живлення.
КВК-системи, що виконують функції, важливі для безпеки, розподіляють за трьома класами, яким відповідають визначені в проекті вимоги до виготовлення та кваліфікації, щоб ці системи були прийнятними для виконання функцій одної чи кількох категорій А, В чи С або некласифікованих (див. В.2). Типову класифікацію КВК-систем наведено в таблиці В.1.
Таблиця В.1 —Типова класифікація КВК-систем
|
|
Клас 1 |
Клас 2 |
Клас 3 |
Не класифікують |
|
Системи автоматизації й управління станції |
|
X |
X |
X |
|
ІЛМ-системи |
|
X |
X |
X |
|
Система захисту та система безпеки |
X |
|
|
|
|
Аварійна система живлення |
X |
|
|
|
Вимоги до функції вищої категорії безпеки визначають клас системи.
ДОДАТОК С
(довідковий)
ЯКІСНИЙ ПІДХІД ДО ЗАХИСТУ ВІД взп
Клас 1*
Вимоги до властивостей системи та кваліфікації сімейства устаткування
Клас 2*
Клас 3* [——'
Fa Сфера виконання функцій,
що стосуються категорії А
* Див. таблицю 4
Див. таблицю 5
Познаки
Різноманітні сімейства устатковання КВК
Поділ Fa за двома групами диверсних функцій Fai ■'’) FAi — FA2
КВК-системи, що виконують функції, які відповідають одній групі безпеки
Fx Відповідає підгрупі функцій Fa
і є дублювальною
ІЕС 195/01
Рисунок С.1 — Приклади призначеності функцій групи безпеки для КВК-систем
С.1 Приклад призначеності функцій групі систем безпеки
Рисунок С.1 розроблено згідно з даними таблиць 4 та 5 підрозділу 6.5, і він пов’язує відповідні розділи цього стандарту. Таблиця 4 наводить вимоги до властивостей і кваліфікації сімейств устатковання, призначеного для реалізації КВК-систем різних класів. Таблиця 5 наводить вимоги до КВК-систем, призначених для виконання функцій, для яких встановлено категорію згідно з цим стандартом. Вимоги до характеристик і кваліфікації устатковання, такі як надійність програмного забезпечення і стійкість до впливу навколишнього середовища, може бути задоволено за допомогою вибирання відповідного сімейства устатковання. Вимоги до систем фокусуються на таких проектних характеристиках, як, наприклад, нечутливість архітектури системи до дефектів та відповідність методів верифікації та валідації, прийнятих у проекті для гарантування правильності функціювання.
На рисунку С.1 зображено кілька прикладів призначеності функцій групи безпеки КВК-систе- мам, які відображають різні проектні стратегії для виконання вимог до надійності. Ці стратегії вибирають на основі аналізу ефективності різних заходів захисту від ВЗП (див. 5.3.3.1).
FA1—FA2. До складу цієї групи безпеки входять дві функційно різні функції FA1 та FA2 категорії А. Виконання аналізу стійкості до ВЗП потрібно для того, щоб показати, що в цьому разі застосування функційної різноманітності (див. 5.3.1.5.5b)) забезпечує ефективний захист від ВЗП. Обидві функції виконуються в незалежних системах класу 1, які базуються на однаковому сімействі устатковання.
FA—FX. До складу цієї групи безпеки входить основна функція FA1 категорії А та додаткові функції категорій В та С, і функція FX як засіб дублювання. Аналіз має показувати, що в цьому разі застосування різноманітного устатковання (див. 5.3.1.5.5d)) забезпечує достатньо ефективний захист від ВЗП. Функцію FA призначають системі класу 1, а функцію FX — системі класу 2, виконаній на іншому сімействі устатковання для забезпечення апаратної різноманітності.
FB1—FB. До складу цієї групи безпеки належать дві функційно різні функції FB1 та FB категорії В. Аналіз має показувати, що застосування різноманітного устатковання та функційної різноманітності забезпечують достатньо ефективний захист від ВЗП. Функцію FB1 призначають системі класу 1, а функцію FB — системі класу 2, виконаній на іншому сімействі устатковання, для забезпечення апаратної різноманітності.
Випадки FC1 та FC подібні до попереднього.
С.2 Приклади чутливості до ВЗП у групах безпеки
Можуть відбуватися наведені нижче типові ситуації.
|
Приклад 1 Група безпеки, що складається із системи з трьох однакових резервних каналів, які виконують єдину функцію захисту А |
|
1 2 3 АЛЛ 1 2 3 А А А МММ |
|
|
Вибір «два з трьох» Захисна дія |
|||
|
Імовірність виникнення ВЗП Імовірність: (Н) = висока; (М) = середня; (L) = низька |
Можливий захист Ефективність: (Н) = висока; (М) = середня; (L) = низька |
||
|
Помилка в технічному завданні до прикладної функції А(Н) |
Незалежна верифікація технічного завдання (М) |
||
|
Дефект у специфікації або під час розробляння прикладного програмного забезпечення, або дефект у модулі системного програмного забезпечення (М). Відмова може бути наслідком проходження однакових сигналів за трьома каналами ((L) для систем класу 1) |
Розроблення системи класу 1 (Н) |
||
|
Одночасна відмова технічного забезпечення трьох каналів унаслідок небезпеки для станції |
Фізична, електрична незалежність (Н) |
||
|
Відмова під час вибирання «2 з 3» (або за інших дій, ужитих каналами) |
Розроблення системи класу 1(H); надійний зворотний зв'язок від досвіду експлуатації (стандартний модуль) (Н) |
||
|
Приклад 2 Група безпеки, що складається із системи з резервованими каналами, які виконують єдину функцію захисту А, з однаковим технічним завданням і різним програмним забезпеченням (блоки Р, Q, R) |
|
1 2 3 І ї ї 1 2 3 Р Q R |
|
|
|
Комбінація дій Захисна дія |
||||
|
Можливі випадки ВЗП Імовірність: (Н) = висока; (М) = середня; (L) = низька |
Можливий захист Ефективність: (Н) = висока; (М) = середня; (L) = низька |
|||
|
Помилка в технічному завданні до прикладної функції А (Н) |
Те саме, що в прикладі 1 |
|||
|
Дефект у специфікації або під час розробляння прикладного програмного забезпечення, або дефект у модулі (М) системного програмного забезпечення. Відмова може бути наслідком проходження однакових сигналів за трьома каналами (L) |
Розроблення системи класу 1 (Н) Недоліки: багаторазове впровадження програмного забезпечення |
|||
|
Одночасна відмова апаратури трьох каналів унаслідок небезпеки для станції |
Те саме, що в прикладі 1 |
|||
|
Відмова під час вибирання «2 з 3» (або за інших дій, ужитих каналами) |
Те саме, що в прикладі 1 |
|||
|
Приклад 3 Група безпеки, що складається із системи з двома каналами, що виконують одну захисну дію в різний спосіб* * Вважають, що оператор має достатньо часу й інформації, щоб зреагувати |
|
Датчики захисту 1 2 3 І І І |
|
Ручне керування з основного щита |
|
|
|
Функції мажоритарного захисту, реалізовані в програмному забезпеченні А з використанням модулів М, N |
|
Логічні операції управління, реалізовані в програмному забезпеченні В із використанням модулів М, N |
|
|
|
|
Захисна дія |
|
|
|
|
|
Можливі випадки ВЗП Імовірність: (Н) = висока; (М) = середня; (L) = низька |
Можливий захист Ефективність: (Н) = висока; (М) = середня; (L) = низька |
||||
|
Помилка в технічному завданні обох функцій (L) |
Захист забезпечується внаслідок використання функційної різноманітності (автоматично, уручну) (Н) |
||||
|
Дефект у специфікації або під час розробляння прикладного програмного забезпечення, або дефект у модулях М, N загального системного програмного забезпечення ((L) за асинхронної роботи) |
Розроблення системи класу 1 (Н) |
||||
|
Одночасна відмова апаратури каналів системи внаслідок небезпеки для станції |
Те саме, що в прикладі 1 |
||||
|
Відмова під час вибирання «2 з 3» (або під час інших дій, ужитих каналами) |
Ручне керування, що діє після вибору (Н) |
||||
|
Приклад 4 Група безпеки, що має у своєму складі розподілені різні функції захисту Р, Q, R, які використовують різні датчики та виконавчі механізми й однакове апаратне забезпечення в кожному каналі керування |
Датчик /] Р І А М N Управління Упр Р |
атчик Датчик Q R І І В С м м N N )авління Управління Q R |
|
Можливі випадки ВЗП Імовірність: (Н) = висока; (М) = середня; (L) = низька |
Можливий захист Ефективність: (Н) = висока; (М) = середня; (L) = низька |
|
|
Помилка в технічному завданні до трьох функцій (L) |
Захист забезпечується внаслідок використання функційної різноманітності (Р, Q, R) (Н) |
|
|
Дефект у специфікації або під час розробляння прикладного програмного забезпечення або дефект у модулях М, N загального системного програмного забезпечення ((L) за асинхронної роботи). Траєкторії сигналу різні (L) |
Цілком незалежне апаратне забезпечення. Розроблення системи класу 1(H) |
|
|
Одночасна відмова апаратного забезпечення каналів системи внаслідок небезпеки для станції |
Те саме, що в прикладі 1 |
|
|
Відмова під час вибирання «2 з 3» (або за інших дій, ужитих каналами) |
Ручне керування, що діє після вибору (Н) |
|
|
Приклад 5 Група безпеки, що складається з диверсних функцій захисту W та Y, розподілених за двома різними системами (диверсне апаратне та програмне забезпечення з можливою подібністю, наприклад, можливі подібні алгоритми, час виконання операцій, документація та загальний персонал) |
|
Датчики системи W 1 2 3 І І І |
|
Датчики системи Y 1 2 3 І І І |
|
|
Визначення зупинення вибором «два з трьох», метод А |
|
Визначення зупинення реактора вибором «два з трьох», метод В |
|
|
|
|
І І Захисна дія W Захисна дія Y 1—1 1—1 Зупинення реактора чи захисна дія |
||
|
Можливі випадки ВЗП Імовірність: (Н) = висока; (М) = середня; (L) = низька |
Можливий захист Ефективність: (Н) = висока; (М) = середня; (L) = низька |
|||
|
Помилка в технічному завданні до обох функцій (L) |
Захист забезпечується внаслідок використання функційної різноманітності (W, Y) (Н) |
|||
|
Дефект у специфікації або під час розробляння прикладного програмного забезпечення, або дефект у модулях М, N загального системного програмного забезпечення ((L) за асинхронної роботи). Траєкторії сигналу різні (L). Імовірність кількох подібних траєкторій сигналу |
Цілком незалежне апаратне забезпечення. Розроблення системи класу 1(H) |
|||
|
Одночасна відмова апаратного забезпечення каналів системи внаслідок небезпеки для станції |
Те саме, що в прикладі 1 |
|
||
|
Відмова в обох виконавчих діях захисту (L) |
Різні (різноманітні) виконавчі системи (Н) |
|||
ДОДАТОК D
(довідковий)
ВЗАЄМОЗВ’ЯЗОК ІЕС 61508 з ІЕС 61513 ТА СТАНДАРТАМИ,
ЯКІ ЗАСТОСОВУЮТЬ В ЯДЕРНОМУ СЕКТОРІ
У наведеному додатку цей стандарт порівнюють із частинами 1,2 та 4 ІЕС 61508.
Частини 3, 5, 6 та 7 з ІЕС 61508 не розглядають, тому що вони виходять за межі дії цього стандарту. Наприклад, область дії частини З ІЕС 61508, що стосується програмного забезпечення, частково відображено в ІЕС 60880.
Цей додаток містить 4 розділи:
— D.1 ідентифікує основні відмінності між областями дії та концепціями двох стандартів;
— D.2 порівнює цей стандарт з ІЕС 61508-1 (загальні вимоги);
— D.3 порівнює цей стандарт з ІЕС 61508-2 (системні аспекти);
— D.4 порівнює цей стандарт з ІЕС 61508-4 (визначення).
D.1 Область дії і концепції
Перш за все під час порівняння розглядають деякі важливі відмінності в області дії двох стандартів.
