Системи, описані в ІЕС 61508, можуть бути електричними, електронними або мати в основі програмовану електронну технологію, і хоча цей стандарт містить принципи архітектурних вимог до цих трьох технологій, його основну увагу зосереджено на комп’ютерних системах.
ІЕС 61508 стосується «систем, пов’язаних із безпекою», тоді як цей стандарт, спираючись на практику МАГАТЕ, стосується «систем, важливих для безпеки».
Область дії повного життєвого циклу безпеки
Повний життєвий цикл безпеки в ІЕС 61508 містить усі системи, визначені в проекті безпеки для устатковання, яке перебуває під керуванням, охоплюючи КВК-системи (Е/Е/ПЕ), інші технологічні системи та засоби захисту від зовнішньої небезпеки.
У цьому стандарті не описано окремо аналіз безпеки станції та засоби оцінення відповідності вимогам до характеристик та надійності, що випливають із цього аналізу. Практикою щодо ядерного сектору є виконання проекту безпеки станції відповідно до специфічних принципів МАГАТЕ, правил МЕК та національних норм, які не розглянуто в цьому стандарті. У проектній основі станції визначено постульовані вихідні події, їхні послідовності, концепція глибокоешелонованого захисту станції, категоризація функцій, потрібних для забезпечення захисту. Однак цей стандарт визначає вхідну інформацію, яку вимагають від основного проекту станції й аналіз безпеки, який має бути в розпорядженні розробників КВК-систем для настанов під час наступного проектування КВК-систем;
Загальна валідація/оцінка безпеки
У цьому стандарті загальну верифікацію та валідацію кожної розподіленої функції, важливої для безпеки, відображено у звіті із загальної інтеграції й уведення в експлуатацію.
В ядерному секторі оцінення достатності такого звіту стосовно безпеки регулюють рамками процедур ліцензування;
КВК-системи та КВК-архітектура
КВК-системи в цьому стандарті рівнозначні (Е/Е/ПЕ) ІЕС 61508. У цьому стандарті архітектура системи (див. розділ 5) визначає сукупність окремих систем певних класів та вимоги до незалежності виконання функцій, важливих для безпеки. Для кожної конкретної системи в розділі 6 визначають індивідуальний життєвий цикл безпеки. В ІЕС 61508 будь-який поділ на кілька систем розглянуто в частині 2.
Цю відмінність необхідно враховувати для уникнення непорозумінь;
Рівень цілісності безпеки та класифікація
ІЕС 61508 установлює градації вимог до цілісності безпеки щодо комп'ютерної системи залежно від ступеня зниження ризику, який має забезпечити ця система. Цього можна досягти визначенням жорсткої залежності між ступенем ризику, пов’язаним із небезпекою, й оціночною частотою небезпек та тим захистом, який має забезпечити ця система для зниження ризику від небезпеки до припустимого рівня.
Атомна промисловість традиційно використовує детерміністичний метод для визначення значимості системи для безпеки та її вплив на величину ризику, пов'язаного з можливим погіршенням її діяльності (див. настанови з безпеки МАГАТЕ та ІЕС 61226).
Зазвичай максимально можливу цілісність вважають необхідною для будь-якої системи, що запобігає або зменшує наслідки радіоактивних викидів. Нижчий рівень цілісності може бути прийнятним для систем, що забезпечують захист у разі таких викидів, але безпосередньо не запобігають або не знижують їх. Отже, в атомному секторі немає схеми для загального користування, рівнозначної запропонованій в ІЕС 61508, для зниження рівня цілісності безпеки системи залежно від надійності/ризику. Такий детерміністичний підхід вважають достатнім для ядерної індустрії, він приводить на практиці до встановлення вищих завдань для всіх захисних функцій. Однак у ядерному секторі визнають і кількісний підхід, а методи ймовірнісного аналізу безпеки можуть забезпечувати чіткіші завдання для надійності комп’ютерних систем.
Призначеність «рівнів цілісності» згідно з ІЕС 61508 майже цілком відповідає встановленню категорій в ядерній індустрії. Однак наявні значні відмінності в процедурі призначення;
в ІЕС 61508 призначеність рівнів цілісності безпеки має в основі аналіз імовірності небезпеки та ризику;
в ІЕС 61226 призначеність категорій має в основі детерміністичний критерій та інженерне судження щодо наслідків у разі несправності.
D.2 Відповідність між ІЕС 61508-1 та цим стандартом
|
ІЕС 61508-1 |
ІЕС 61513 |
|
5 Документація |
5.5 Вихідна документація |
|
6 Керування функційною безпекою |
5.4.1 Згідно з IAEA 50-C-QA (Редакція 1) уся діяльність, пов'язана з атомними станціями, підпадає під програму забезпечення якості |
|
7 Вимоги до повного життєвого циклу безпеки |
5 Границі життєвого циклу безпеки КВК |
|
7.1 Загальна частина |
|
|
Загальний життєвий цикл безпеки охоплює: електронні, електричні, електронні системи, що програмують/Інші технології/Зниження зовнішньої небезпеки |
Загальний життєвий цикл безпеки охоплює КВК ФСБ, важливі для безпеки, й усю архітектуру систем (див. а) розділу D.1) |
|
7.2 Концепція |
|
|
Опис керованого устатковання (УПК), необхідних функцій управління та фізичного навколишнього середовища |
Огляд основного проекту безпеки станції (5.1):
|
|
Ідентифікація джерел небезпек |
Внутрішні та зовнішні небезпеки визначено в проектній основі безпеки станції і вони є вхідними даними для КВК (5.1.3) (див. а) розділу D.1) |
|
7.3 Визначення загальної області дії |
|
|
Визначення границь УПК |
Ідентифікація встановлених границь станції/КВК (5.1.3) |
|
Визначити обсяг аналізу небезпеки, ризику та подій, що призводять до аварії |
Постульовані вихідні події (ПВП) визначено в проектній основі безпеки станції і є вхідними даними для КВК (5.1) (див. а) розділу D.1) |
|
7.4 Аналіз небезпеки та ризику |
|
|
Установлення небезпеки УПК |
Не розглянуто в цьому стандарті, є частиною основного проекту безпеки (див. а) розділу D.1) |
|
...і системи керування УПК |
Детерміністичні обмеження для КВК, наприклад, критерії одиничної відмови для функцій категорії А, функ- ційна ізоляція, що походять з основного проекту станції |
|
ІЕС 61508-1 |
ІЕС 61513 |
|
Визначити послідовність подій, що перетворюються в небезпечні події |
Послідовність постульованих вихідних подій (ПВП) визначено в основі проекту безпеки станції і є вихідними даними для КВК-систем (див. 5.1) (див. а) розділу D.1) |
|
Визначити ризик УПК |
Категоризація КВК ФСБ є вхідними даними для КВК (див. 5.1.2) (див. а) розділу D.1) |
|
7.5 Загальні вимоги щодо безпеки |
5.2 Загальне технічне завдання до КВК ФСБ |
|
Специфікація необхідних функцій безпеки Вони охоплюють: |
Загальне технічне завдання до функцій КВК, важливих для безпеки, що походять з основи проекту станції. Вони охоплюють. |
|
— технічне завдання до функцій безпеки |
— технічне завдання до функцій і характеристик (а)1) з 5.2)) |
|
— технічне завдання до цілісності безпеки |
— Специфікацію категорій КВК ФСБ (а)3) з 5.2)) — технічне завдання до незалежності (а)3) з 5.2)) |
|
Загальне технічне завдання до безпеки охоплює КВК (Е/Е/ПЕ системи), системи інших технологій і засоби зниження ризику |
Інша технологія та заходи зниження ризику визначено в проектній основі безпеки станції відповідно до принципів глибокоешелонованого захисту. Вони перебувають поза сферою дії цього стандарту (див. а) розділу D.1) |
|
7.6 Призначення вимог щодо безпеки |
|
|
Призначення системам функцій безпеки та призначення рівня цілісності безпеки кожній функції. Розглядають імовірність ВЗП (7.6.2.7), а завдання цілісності безпеки обмежено для одної Е/Е/ПЕ (7.6.2.11) |
Розкладання всіх КВК на індивідуальні КВК-системи відповідного класу. Призначення системам функції КВК відповідно до класифікації, глибокоешелонованого захисту, враховуючи ВЗП |
|
Загальне планування |
5.4 Загальне планування |
|
6 Керування функційною безпекою |
5.4.1 Загальні програми забезпечення якості |
|
7.8 Загальне планування валідації безпеки |
5.4.3 Загальні плани інтеграції й уведення в експлуатацію |
|
|
5.4.2 Загальний план захисту |
|
7.9 Загальний план установлення й уведення в експлуатацію |
5.4.3 Загальні плани інтеграції й уведення в експлуатацію |
|
7.7 Загальне планування експлуатації та технічного обслуговування |
5.4.4 Загальний план експлуатації |
|
5.4.5 Загальний план технічного обслуговування |
|
|
7.10 Реалізація Е/Е/ПЕС |
6 Життєвий цикл безпеки системи |
|
Див. ІЕС 61508-2 (системні аспекти) |
Див. розділ 6 (життєвий цикл безпеки системи) |
|
Див. ІЕС 61508-3 (вимоги до програмного забезпечення) |
Програмне забезпечення перебуває поза сферою дії цього стандарту |
|
7.11 Реалізація: інша технологія |
Перебуває поза сферою дії цього стандарту (див. а) розділу D.1) |
|
7.12 Реалізація: зовнішні засоби зменшення ризику |
Перебуває поза сферою дії цього стандарту (див. а) розділу D.1) |
|
7.13 Загальне установлення й уведення в експлуатацію |
7 Загальна інтеграція й уведення в експлуатацію |
|
7.14 Загальна валідація безпеки Валідація Е/Е/ПЕ, згідно з загальним технічним завданням, відповідно до призначеності |
7.1 Загальне введення в експлуатацію Верифікація та валідація функцій, важливих для безпеки, виконуваних у більше ніж одній системі 6.4 Кваліфікація системи |
|
ІЕС 61508-1 |
ІЕС 61513 |
|
7.15 Загальна експлуатація, технічне обслуговування та ремонт |
8 Загальна експлуатація та технічне обслуговування |
|
7.16 Загальна модифікація та вдосконалення |
1 Сфера дії стандарту Цей стандарт (або підмножина) застосовний до КВК нових АЕС, а також до модернізованих або вдосконалених |
|
7.17 Виведення з експлуатації або утилізація |
Перебуває поза сферою дії цього стандарту |
|
7.18 Верифікація |
5.4.1 Загальні програми забезпечення якості |
|
8 Оцінка функційної безпеки Отримання відомостей і підтвердження досягнень функційної безпеки Е/Е/ПЕ-систем |
В ядерному секторі таке оцінення пов’язано з процесом ліцензування та залежить від органів контролю за безпекою та національних норм |
D.3 Відповідність між ІЕС 61508-2 та цим стандартом
|
ІЕС 61508-2 |
ІЕС 61513 |
|
5 Документація |
6.3 Вихідна документація |
|
6 Керування функційною безпекою |
5.4.1 Загальні програми забезпечення якості |
|
7 Вимоги до життєвого циклу безпеки Е/Е/ПЕ-систем Життєвий цикл безпеки Е/Е/ПЕ-систем охоплює цілі та вимоги до Е/Е/ПЕ-систем |
6 Життєвий цикл безпеки системи Життєвий цикл безпеки системи охоплює цілі та вимоги до конкретних КВК-систем архітектури КВК (див. позицію с) розділу D.1) |
|
7.1 Загальні положення У таблиці 1 для всіх етапів зазначено цілі та вимоги, обсяг етапу, необхідні вхідні дані етапу, необхідні вихідні дані |
У таблиці 3 для всіх етапів зазначено цілі та вимоги, необхідні для етапу вхідні дані, необхідні вихідні дані |
|
7.2 Технічне завдання з безпеки Е/Е/ПЕС містить: |
6.1.1 Технічне завдання до системи містить: |
|
— технічне завдання до функції безпеки; |
|
|
— технічне завдання до цілісності безпеки |
— катетеризацію КВК-функцій (вхідні дані з 5.2); вимоги до проектних обмежень системи (6.1.1.2); — класифікацію системи |
|
Примітка. Зазначені розділи з ІЕС 61508 та цього стандарту охоплюють однакові проблеми, але в цьому стандарті є розбіжності між вимогами до КВК-функцій та вимогами до КВК-систем, які виконують такі функції. |
|
|
7.3 Планування валідації безпеки Е/Е/ПЕС |
6.2 Планування системи |
|
|
|
|
7.4 Розроблення та проектування Е/Е/ПЕС |
|
|
7.4.2 Загальні вимоги |
— Проектні обмеження (6.1.1.2) — Архітектура системи (6.1.2.2) |
|
7.4.3 Вимоги цілісності безпеки технічного забезпечення |
— Вимоги, пов’язані з проектними обмеженнями (6.1.1.2) — Додаток С — Вимоги до перевірюваності |
|
7.4.4 Вимоги до запобігання відмовам |
— Цикл безпеки системи (розділ 6) |
|
7.4.5 Вимоги до керування систематичними дефектами |
— Захист від поширення та побічних дій відмов (6.1.2.2.3) |
