Instrumentation and control systems important to safety of nuclear power plants. Surveillance tests
ОКС 27.120.20
Дата введения - 1 декабря 2021 г.
Введен впервые
Предисловие
1 Подготовлен Акционерным обществом "Русатом Автоматизированные системы управления" (АО "РАСУ"), на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 Внесен Техническим комитетом по стандартизации ТК 322 "Атомная техника"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 марта 2021 г. N 175-ст
4 Настоящий стандарт идентичен международному стандарту МЭК 60671:2007 "Атомные электростанции. Системы контроля и управления, важные для безопасности. Контрольные испытания" (IEC 60671:2007 "NucIear power plants - Instrumentation and control systems important to safety - Surveillance testing", IDT).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 Положения настоящего стандарта действуют в целом в отношении сооружаемых по российским проектам атомных станций за пределами Российской Федерации, а также в отношении сооружаемых на территории Российской Федерации атомных станций в части, не противоречащей требованиям Федеральных норм и правил в области использования атомной энергии
6 Введен впервые
Введение
a) Предпосылки, основные вопросы и организация стандарта
Основным требованием к системам контроля и управления, важным для безопасности атомных станций (АС), является их готовность при необходимости выполнять свои функции по обеспечению безопасности. Контрольные испытания могут быть проведены как испытания на соответствие техническим требованиям или путем самоконтроля внутри систем контроля и управления, важных для безопасности, и дополнены диагностикой и визуальным контролем систем контроля и управления и их индикаторов состояния со стороны рабочего персонала атомной станции. В зависимости от цели и условий испытаний проверку функциональной готовности можно выполнять как во время работы, так и при останове атомной станции. Настоящий стандарт устанавливает технические требования и рекомендации для контрольных испытаний систем контроля и управления, важных для безопасности.
Объектом стандартизации в настоящем стандарте являются:
- в разделе 4: принципы контрольных испытаний оборудования автоматизированной системы управления технологическими процессами (АСУ ТП), важного для безопасности;
- в разделах 5-9: требования, которым должны соответствовать проекты и эксплуатационные характеристики оборудования АСУ ТП, важного для безопасности, что должно быть установлено при контрольных испытаниях.
b) Место настоящего стандарта в структуре серий стандартов подкомитета 45А
МЭК 61513 устанавливает высший уровень требований к системам контроля и управления и оборудованию, важным для безопасности. Среди этих требований - необходимость постоянно подтверждать работоспособность оборудования и его готовность выполнять функции по безопасности или функции, связанные с безопасностью.
МЭК 61226 устанавливает принципы разделения на категории функций АСУ ТП в зависимости от их уровня важности для безопасности. Требуемую надежность любой функции категорий А, В или С следует определять путем количественной вероятностной оценки АС или с помощью качественной технической оценки и включать в инструкцию.
МЭК 60671 устанавливает основы и требования для контрольных испытаний, проводимых для подтверждения работоспособности этих систем и оборудования в течение срока эксплуатации при нормальных условиях работы.
МЭК 60671 обеспечивает достижение показателей надежности путем выявления неисправностей оборудования, что позволяет принять соответствующие меры (своевременный ремонт или любые альтернативные решения).
МЭК 60671 является документом третьего уровня подкомитета 45А и освещает вопрос контрольных испытаний систем контроля и управления, важных для безопасности.
Подробнее о структуре серий стандартов подкомитета 45А сказано в пункте d) настоящего введения.
c) Рекомендации и ограничения, касающиеся применения МЭК 60671
МЭК 60671 применим к системам контроля и управления и оборудованию, важным для безопасности. Он устанавливает требования для контрольных испытаний, проводимых с целью подтверждения на непрерывной основе готовности систем и оборудования выполнять свои функции, важные для безопасности.
Дополнительные требования, связанные с надежностью, а также подробные требования, касающиеся резервирования и разнородности, не представлены в данном стандарте, но содержатся в других документах подкомитета 45А.
Пользователям следует обратить внимание на тот факт, что в некоторых странах объем и содержание периодических испытаний регламентированы обязательными требованиями, и что эти требования могут отличаться от тех, которые изложены в настоящем стандарте.
На действующих АС может оказаться невозможным применять все требования настоящего стандарта. В связи с этим, начиная разработку проекта модернизации систем контроля и управления, важных для безопасности, следует определить ряд необходимых требований, касающихся общего объема и последствий модернизации систем контроля и управления.
d) Описание структуры серий стандартов подкомитета 45А и взаимосвязь с другими документами МЭК и документами других организаций (МАГАТЭ, ИСО)
Документом высшего уровня серии стандартов подкомитета 45А МЭК является стандарт МЭК 61513. Он устанавливает общие требования к системам контроля и управления и оборудованию, используемым для выполнения функций, важных для безопасности АС. МЭК 61513 структурирует серию стандартов подкомитета 45А МЭК.
МЭК 61513 содержит прямые ссылки на другие стандарты подкомитета 45А МЭК по общим вопросам, касающимся категоризации функций и классификации систем, квалификации, разделения систем, защиты от отказа по общей причине, программного и технического обеспечения компьютерных систем и проектирования пунктов управления. Стандарты, относящиеся к этому второму уровню, следует рассматривать вместе с МЭК 61513, как согласованный комплект документов.
Стандартами третьего уровня, на которые не ссылается напрямую МЭК 61513, являются стандарты подкомитета 45А МЭК, связанные с конкретным оборудованием, техническими методами или конкретными действиями. Обычно эти документы содержат ссылки на документы второго уровня по общим вопросам и могут быть использованы самостоятельно.
Четвертый уровень, продолжающий серию стандартов подкомитета 45А МЭК, соответствует техническим отчетам, которые не являются нормативными документами.
МЭК 61513 имеет формат, сходный с форматом основного документа по безопасности - МЭК 61508, с его структурой полного жизненного цикла безопасности и структурой жизненного цикла системы и дает объяснение общих требований МЭК 61508-1, МЭК 61508-2 и МЭК 61508-4 в области ядерных технологий. Соответствие МЭК 61513 облегчит совместимость с требованиями МЭК 61508 в том виде, в котором они были представлены для атомной энергетики. В этой структуре МЭК 60880 и МЭК 62138 соответствуют стандарту МЭК 61508-3 для области ядерного применения.
МЭК 61513 содержит ссылки на документы ИСО, а также на МАГАТЭ 50-C-QA (в настоящее время взамен действует МАГАТЭ GSR Part 2) по вопросам, связанным с обеспечением качества (ОК).
Серии стандартов МЭК подкомитета 45А постоянно используют и подробно излагают принципы и основные аспекты безопасности, предусмотренные законами МАГАТЭ по безопасности АС и серией документов МАГАТЭ по безопасности, в частности Требованиями NS-R-1 1), которые устанавливают требования по безопасности, связанные с проектированием АС, а также Руководством по безопасности NS-G-1.3 2), отвечающим за системы контроля и управления, важные для безопасности атомных станций. Термины и определения, используемые стандартами подкомитета 45А, соответствуют терминам, которые применяет МАГАТЭ.
------------------------------
1)Заменен на SSR-2/1 (Rev. 1).
2)Заменено на SSG-39.
------------------------------
1 Область применения
Настоящий стандарт устанавливает принципы проведения испытаний систем контроля и управления, выполняющих функции категории А, В, и С в соответствии с МЭК 61226, при нормальной работе и в режиме останова с целью проверки их функциональной готовности. Особенно это касается обнаружения отказов, мешающих правильному выполнению функций, важных для безопасности. В область применения стандарта входят испытания, проводимые через короткие промежутки времени или непрерывные наблюдения, а также периодические испытания с более длительными интервалами. Настоящий стандарт также устанавливает основные правила для проектирования и применения испытательного оборудования и его интерфейса совместно с системами, важными для безопасности. Кроме того, стандарт рассматривает влияние отказа любого испытательного оборудования на надежность систем контроля и управления.
Типы контрольных испытаний могут включать следующее:
- самотестирование для оборудования АСУ ТП;
- испытания ряда оборудования или компонентов для подтверждения характеристик, которые обеспечивают функции безопасности (непрерывность, доступность питания и т.д.);
- испытания, основанные на информационном резервировании или сравнении контрольных подписей (проверка последовательности резервируемых датчиков, проверка циклического избыточного кода, контрольная сумма и т.д.);
- периодические испытания, связанные с правильностью функционального поведения систем контроля и управления.
Целевые показатели надежности любой системы контроля и управления достигаются с помощью подходящей комбинации типов испытаний, указанных выше.
Объем системы контроля и управления, подлежащий испытанию, зависит от интерфейса датчиков с процессом через исполнительные устройства (см. рисунок 1). Это применимо к установленным системам контроля и управления, а также к временным установкам, которые являются частью этих систем контроля и управления, важных для безопасности (например, вспомогательному оборудованию для пусконаладочных испытаний и экспериментов). Этот стандарт также применим к отдельным видам электромеханического оборудования, таким как реле и соленоидные исполнительные механизмы.
Дополнительные испытания и проверки оборудования АСУ ТП могут быть проведены также для целей, отличных от демонстрации функциональных возможностей, например таких, как оптимизация профилактического технического обслуживания и т.д. Такие испытания выходят за рамки настоящего стандарта, тем не менее, они могут быть объединены с контрольными испытаниями, обсуждаемыми в данном стандарте.
М - электродвигатель
Рисунок 1 - Объем АСУ ТП для контрольного испытания
При любых испытаниях в режиме реального времени необходимо тщательно изучить возможное взаимодействие и зависимости отказов между тестируемой и тестирующей частями системы. Оценка их взаимного влияния должна быть составной частью оценки надежности функций, важных для безопасности (в соответствии с МЭК 61513).
Настоящий стандарт применяют к АСУ ТП новых атомных станций, а также к АСУ ТП модернизированных или доработанных существующих атомных станций. Для систем управления модернизированных АС может быть применена только часть требований, которая должна быть определена в начале планируемых работ.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения).
IEC 60880, Nuclear power plants - Instrumentation and control systems important to safety - Software aspects for computer-based systems performing category A functions (МЭК 60880, Атомные электростанции. Системы контроля и управления, важные для безопасности. Программное обеспечение компьютерных систем, выполняющих функции категории А)
IEC 60987, Nuclear power plants - Instrumentation and control systems important to safety - Hardware design requirements for computer-based systems (МЭК 60987, Атомные электростанции. Системы контроля и управления, важные для безопасности. Требования к проектированию аппаратных средств для систем на основе компьютеров)
IEC 61226, Nuclear power plants - Instrumentation and control systems important for safety - Classification of instrumentation and control functions (МЭК 61226, Атомные электростанции. Системы контроля и управления, важные для безопасности. Классификация функций контроля и управления)
IEC 61513, Nuclear power plants - Instrumentation and control for systems important to safety - General requirements for systems (МЭК 61513, Атомные электростанции. Системы контроля и управления, важные для безопасности. Общие требования для систем на основе компьютеров)
IEC 62138, Nuclear power plants - Instrumentation and control important for safety - Software aspects for computer-based systems performing category В and С functions (МЭК 62138, Атомные электростанции. Системы контроля и управления, важные для безопасности. Программное обеспечение компьютерных систем, выполняющих функции категории В и С)
IAEA Safety Guide NS-G-1.3 1), Instrumentation and Control Systems Important to Safety in Nuclear Power Plants (Руководство по безопасности МАГАТЭ NS-G-1.3, Системы контроля и управления, важные для безопасности атомных электростанций)
------------------------------
1)Заменено на SSG-39 "Design of Instrumentation and Control Systems for Nuclear Power Plants".
------------------------------
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 автоматическое испытание (automatic test): Испытание, в котором проверка работы всей системы контроля и управления или ее части происходит в полной автоматической последовательности.
Примечание - Последовательность автоматического испытания может быть запущена оператором вручную, циклически по часам или автоматически по четко определенному условию.
3.2 доступность (availability): Способность элемента выполнять требуемую функцию в заданных условиях в данный момент времени или в течение заданного интервала времени, при условии, что предоставлены внешние необходимые условия.
[IEV 191-02-05]
3.3 байпас (bypass): Устройство для преднамеренной, но временной блокировки функционирования цепи или системы, например с помощью короткого замыкания контактов реле.
Примечания
1 Следует различать:
- байпас для техобслуживания: Байпас оборудования системы безопасности во время технического обслуживания, испытания или ремонта;
- технологический байпас: Байпас определенных защитных действий, когда они не являются необходимыми в специальном режиме работы атомной станции.
[IAEA Safety Glossary, 2.0.2006]
2 Байпас для техобслуживания, применяемый к каналу, может по-прежнему оставлять функцию безопасности в рабочем состоянии посредством резервирования или мажоритарной логики (например, логика совпадения 2 из 4 становится 2 из 3).
3 Байпас для техобслуживания отличается от технологического байпаса. Байпас для техобслуживания может снизить степень резервирования оборудования, но не приводит к потере функции безопасности.
3.4 полное функциональное испытание (full functional test): Испытание, включающее изменение технологического параметра, обнаружение датчиком, обработку сигнала(ов), срабатывание соответствующих узлов, логических и исполнительных устройств.
3.5 функциональная надежность (functional reliability): Способность соответствовать требованиям в целом, правильно выполнять функции и соответствовать техническим характеристикам:
a) во всех заданных режимах и условиях работы атомной станции,
b) во всех заданных рабочих режимах системы контроля и управления атомной станции, и
c) в условиях всевозможных неполадок/режимов отказа системы контроля и управления станцией, при которых необходимо сохранять правильное функционирование и соответствие техническим характеристикам.
3.6 контроль (monitoring): Способы непрерывного отслеживания состояния системы, субсистемы, оборудования или сборки.
3.7 периодическое испытание (periodic testing): Проведение испытаний в оговоренный заранее момент времени для подтверждения того, что функциональные способности систем контроля и управления и оборудования, важных для безопасности, сохранны, и что характеристики, соответствующие требованиям безопасности, удовлетворительны.
3.8 самоконтроль (self-supervision): Автоматическое испытание производительности системного оборудования и непротиворечивости программного обеспечения компьютеризированных систем контроля и управления.
3.9 контрольное испытание (surveillance testing): Полный объем действий для подтверждения сохранения функциональных способностей систем контроля и управления и оборудования, важных для безопасности, а также подтверждения соблюдения проектных требований.
3.10 продолжительность испытания (test duration): Промежуток времени между началом и окончанием испытания.
3.11 начало испытания (test initiation): Применение тестового входа.
3.12 тестовый вход (test input): Реальное или сымитированное, но преднамеренное изменение измеряемой переменной или сигнала, которое накладывается на все устройства обработки сигналов, логические устройства или конечные исполнительные устройства или на их часть для проведения испытания.
3.13 интервал между испытаниями (test interval): Промежуток времени между началом идентичных испытаний одного и того же датчика и устройства обработки сигналов, логического устройства или конечного исполнительного устройства.
3.14 окончание испытания (test termination): Удаление тестового входа после получения результатов испытания.
4 Основные принципы контрольных испытаний
4.1 Общие сведения
Целью контрольных испытаний является подтверждение функциональных способностей систем контроля и управления, а также соответствующих путей контрольных действий приводить в рабочее состояние компоненты, важные для безопасности, и периодическое подтверждение соблюдения проектных требований надежности, точности, времени отклика и аварийных уставок (пункт 4.82 МАГАТЭ NS-G-1.3).
4.1.1 Контрольные испытания систем контроля и управления и оборудования, важных для безопасности, должны демонстрировать и вносить вклад в достижение желаемой надежности и пригодности системы путем обнаружения отказов, а также привлекать внимание персонала к ситуации, если система работает не в установленных пределах. Установленные пределы - это минимальные требуемые значения таких характеристик, как время отклика и точность аварийной уставки, а также любых других характеристик системы, крайне важных для удовлетворительного функционирования. Контрольное испытание должно подтверждать, что существующие функции безопасности не ухудшились по сравнению с базовыми функциями, заложенными проектными требованиями и установленными при пусконаладочных испытаниях. Хотя контрольное испытание позволяет обнаружить некоторые конкретные механизмы износа и старения, область обнаружения недостаточна для априорного обнаружения всех механизмов старения. Данные о работоспособности оборудования или системы при нормальных условиях, как правило, недостаточны для оценки сохранности этого свойства в условиях предусмотренной проектом аварии. Не выявленные в процессе эксплуатации отказы, являющиеся потенциальной причиной неисправностей и аварий, могут быть обнаружены только путем испытаний.
4.1.2 Контрольные испытания проводят с целью проверки характеристик соответствующих систем и оборудования, представленных непосредственно в отчетах по оценке безопасности или в других документах по безопасности, с точки зрения функций, выполняемых системами контроля и управления, важными для безопасности. Контрольные испытания также могут быть объединены с испытаниями по техническому обслуживанию для оценки критериев качества, не имеющих прямого отношения к безопасности. Такие испытания не относятся к контрольным испытаниям (см. 3.1) и не входят в область распространения настоящего стандарта.
4.2 Градация требований, основанная на категории
4.2.1 Функциям АСУ ТП, важным для безопасности, присваивают категорию в соответствии с МЭК 61226. Поверочные требования к системам и оборудованию должны быть сопоставимы с категорией функции, которую они выполняют.
4.2.2 Системы контроля и управления и оборудование, выполняющие функции категории А, должны периодически проходить испытания на подтверждение правильного функционирования.
4.2.3 Системы контроля и управления и оборудование, выполняющие функции категории В, должны периодически проходить испытания в объеме, определяемом с учетом заданных показателей надежности функций.
4.2.4 Системы контроля и управления и оборудование, выполняющие функции категории С, подлежат общему периодическому наблюдению за приемлемостью характеристик постоянно выполняющихся функций, а также проверке во время периодов выключения функций, которые не находятся постоянно в работе.
4.2.5 Для систем контроля и управления и оборудования, выполняющих функции категорий В или С, где для соответствия установленным показателям надежности используют резервирование, объем испытаний следует дополнить периодическими единичными испытаниями функциональной способности всех систем или подсистем, потому что отказы резервированного оборудования не могут быть выявлены другими способами, например путем самоконтроля.
4.2.6 В общем случае оборудованию для испытаний может быть присвоена функциональная категория ниже, чем категория функции тестируемого им оборудования. Однако в случае, если использование оборудования для испытания может ненадлежащим образом повлиять на выполнение функций системы или оборудования, важных для безопасности, то оборудованию для испытания должна быть присвоена та же категория функций, что и проверяемым объектам.
4.3 Объем контрольных испытаний
4.3.1 Верификация правильной работы действующего реактора должна включать испытания как можно большего количества устройств обработки сигналов и датчиков, логических устройств и конечных исполнительных устройств без нежелательного вмешательства в нормальную работу атомной станции.
4.3.2 Если общие функциональные испытания невозможны, следует проводить серию испытаний, частично дублирующих друг друга таким образом, чтобы их комбинация полностью соответствовала всем требованиям, предъявляемым к испытаниям.
4.3.3 Функциональные испытания могут быть дополнены постоянным контролем для проверки специфических видов отказа.
4.4 Самоконтроль вместо периодических испытаний
Системы контроля и управления, способные обнаруживать отказы в течение короткого промежутка времени после их появления с помощью самоконтроля, выполняемого оборудованием или контроля со стороны вспомогательного оборудования, могут быть освобождены от требования периодических испытаний, при условии, что удовлетворены следующие требования.
4.4.1 Для такого оборудования следует проводить анализ с целью определения тех предполагаемых видов отказа, которые обнаружены путем самоконтроля.
4.4.2 Все остальные виды отказов, не обнаруженные путем самоконтроля, должны быть признаны не влияющими на функцию оборудования, важную для безопасности, или должны подпадать под периодические испытания, проводимые в соответствии с требованиями настоящего стандарта.
4.4.3 Отказы оборудования, выявленные с помощью самоконтроля, должны быть доведены до сведения рабочего персонала атомной станции посредством соответствующих сигналов тревоги и отображений.
4.5 Продолжительная работа вместо периодических испытаний
Оборудование, выполняющее важную для безопасности функцию на непрерывной основе, например регулируемый контроль, или часто выполняющее свою функцию в течение нормального режима работы, в отличие от оборудования, которое выполняет функцию только в ответ на признаки или событие нарушения производственного процесса, может быть исключено из числа оборудования, требующего периодических испытаний, при условии, что удовлетворены следующие требования.
4.5.1 Действия и поведение оборудования, необходимые для выполнения важной для безопасности функции и происходящие на непрерывной основе, могут быть исключены из периодического испытания. Информация об отклонениях таких действий и поведения от допустимого состояния должна быть доведена до сведения персонала с помощью соответствующих отображений и сигналов тревоги.
4.5.2 Действия и поведение оборудования, необходимые для выполнения важной для безопасности функции и не происходящие на непрерывной основе, подлежат периодическим испытаниям.
4.5.3 Если адекватная характеристика оборудования, подтверждение которой исключено из объема периодических испытаний согласно 4.5.1 (например, время отклика или точность), не может быть подтверждена наблюдением, то должны быть предусмотрены другие способы для подтверждения соответствия данной характеристике.
5 Общие требования к контрольным испытаниям
5.1 Требования к проектированию
5.1.1 Системы контроля и управления и оборудование, важные для безопасности, включая конечные исполнительные устройства, должны быть спроектированы с учетом возможности испытаний как во время работы атомной станции, так и во время останова атомной станции (см. 7.2). Это проектирование должно позволять проведение независимых испытаний резервированных сборок при поддержании способности системы реагировать на полноценные сигналы во время работы.
5.1.2 При проектировании необходимо предусмотреть периодические испытания путем имитации прохождения сигнала по траектории, максимально приближенной к реальной, для подтверждения требуемой эффективности системы. Испытание следует проводить таким образом, чтобы продемонстрировать полную функциональную способность элементов в ходе испытания.
5.1.3 Оборудование для испытаний не должно вызывать потерю независимости между резервируемыми сборками.
5.1.4 При проектировании системы контроля и управления и оборудования должно быть предусмотрено оптимальное вхождение процедуры испытания в работу атомной станции с учетом ее загруженности и режима работы. При необходимости должно быть предусмотрено резервируемое оборудование с совпадающей логикой для выполнения этого условия.
Примечание - Это не всегда возможно для всех частей системы, например для конечных исполнительных устройств.
5.1.5 Системы контроля и управления и оборудование, важные для безопасности, а также оборудование для испытаний должны быть спроектированы так, чтобы избежать функционального снижения эффективности во время проведения испытаний. Во всех случаях, где система контроля и управления, важная для безопасности, включает резервирование, проект должен обеспечивать условие, чтобы пока канал обработки сигнала и соответствующее логическое устройство находятся в процессе испытания, их функции могла выполнять оставшаяся часть системы, не находящаяся в процессе испытания, даже если у системы снижена эффективность посредством единичного случайного отказа. Для выполнения этого условия может быть вызвано искусственное срабатывание сигнала, как часть процедуры испытания.
Примечание - Для исключения критерия единичного отказа во время контрольного испытания может быть оправдан метод "одна из двух" систем, если соблюдены целевые показатели надежности для функции.
5.1.6 При выборе всех компонентов систем контроля и управления, важных для безопасности, необходимо учитывать возможность их испытания. Датчики должны быть доступны и, где это возможно, установлены таким образом, чтобы их можно было проверить "на месте" (in situ) (например, стенды, рассчитанные на подключение тестовой аппаратуры). Выбор исполнительных устройств должен учитывать их способность индикации состояния.
5.1.7 Необходимо предусмотреть в проекте способы коммуникации между рабочими местами дистанционного испытания и блочным пунктом управления, чтобы гарантировать осведомленность диспетчеров о состоянии систем во время испытаний.
5.1.8 Тестируемые каналы обработки сигналов должны быть способны принимать имитированные сигналы срабатывания вместо выходного сигнала датчика, чтобы срабатывание канала обработки сигнала могло быть проверено от точки испытательного ввода, например во время проведения испытания, с целью проверки общего времени отклика системы контроля и управления, важной для безопасности.
5.1.9 Траектория испытательного сигнала после точки ввода должна быть такой же, как траектория реального сигнала технологического процесса. Не допускается применение байпаса для изменения траектории нормального сигнала.
5.1.10 Все схемы системы контроля и управления и оборудования, важных для безопасности, выполняющие временные функции и функции фильтрации, должны реагировать на испытательный сигнал, который может быть очень коротким, чтобы гарантировать, что положительный результат достигается только в том случае, когда:
- схема переключилась;
- состояние после включения устойчивое и корректное;
- задержка времени или постоянная времени имеет корректное значение.
5.2 Процедуры
Периодические испытания следует проводить на основе тщательно подготовленных программ испытаний, в которых определены тестируемые объекты, условия испытаний, включая начальное состояние атомной станции, процедуры испытаний и периоды испытаний.
5.3 Данные для записи при обнаружении отказа
При обнаружении отказа должны быть записаны, как минимум, следующие данные:
- идентификация тестируемой части системы;
- описание устройства для испытания;
- комбинация обнаруженных отказов;
- дата и время испытания, в ходе которого обнаружены отказы;
- период между данным испытанием и предыдущим, который мог позволить выявить отказы;
- описание нарушения, к которому мог привести данный отказ, если бы он произошел в реальности;
- рабочий режим системы контроля и управления и атомной станции, для которых отказ может иметь значение (нормальная работа, запуск, останов и т.д.);
- авторизованная(ые) подпись(и);
- название программы испытаний;
- принятые действия по факту обнаружения отказа.
5.4 Другие данные для записи
5.4.1 После каждого испытания, при проведении которого не было обнаружено ни одного отказа, должны быть записаны следующие данные:
- частота испытаний (только для автоматических испытаний);
- примененный план испытаний;
- дата, время и продолжительность испытания (для испытаний, запускаемых вручную);
- идентификация оборудования для испытаний.
Примечание - Рекомендуется тщательно записывать и анализировать статистические данные, относящиеся к результатам испытаний, чтобы получить реалистичные данные об интенсивности отказов. Когда такие данные становятся доступными с допустимым уровнем конфиденциальности, их следует сопоставить с частотой испытаний, чтобы определить, является ли частота испытаний подходящей.
5.4.2 Любые параметры, не относящиеся к безопасности, которые могут быть измерены во время контрольных испытаний, должны быть проанализированы с точки зрения техобслуживания и записаны. Единственное ограничение этих измерений состоит в том, что они не должны негативно сказываться на контрольных испытаниях по безопасности.
5.5 Интервалы между испытаниями
Интервал между испытаниями является параметром проектирования для подтверждения соответствия целевых показателей надежности и пригодности рассматриваемой системы. Интервалы между испытаниями должны основываться на математических зависимостях, включающих целевые показатели надежности и пригодности, тип архитектуры системы, ожидаемую или определенную опытным путем частоту отказов, продолжительность испытания и допустимую неготовность системы.
5.6 Верификация аварийных уставок срабатывания
5.6.1 Испытание с целью проверки аварийных уставок срабатывания, которые подлежат постоянному вычислению, или аналогичное испытание для проверки рассчитанного комплекса функций безопасности с определенным уровнем аварийной уставки проводят путем изменения каждой переменной, входящей в вычисления.
5.6.2 Если доказано с помощью анализа, что отказы не могут менять значения аварийных уставок или вносить искажения в вычисления, не вызывая при этом других ошибок, которые могут быть выявлены с помощью самоконтроля, то верификация аварийных уставок срабатывания может быть исключена из периодических испытаний.
5.7 Байпас
5.7.1 В тех случаях, когда частям системы контроля и управления, важной для безопасности, необходимо техобслуживание, байпас позволяет проводить испытания при рабочем состоянии реактора (включая останов). Такие байпасы должны быть спроектированы в соответствии со стандартами, применяемыми к системе контроля и управления, важной для безопасности. В дополнение следует учитывать перечисленные ниже требования.
5.7.2 Состояние байпасов для техобслуживания должно быть четко показано оператору в пункте управления. Индикация состояния байпаса должна быть непрерывной.
5.7.3 Каждый байпас для техобслуживания должен быть соединен с остальной частью системы контроля и управления, важной для безопасности, чтобы гарантировать его применение только в предопределенных состояниях атомной станции или, когда некорректное применение приводит к срабатыванию автоматической функции безопасности. Если это невозможно, должна срабатывать сигнализация, когда условия атомной станции требуют изменения состояния байпаса на альтернативное. Эта сигнализация должна быть способна переустанавливаться только в том случае, когда состояние байпаса переведено в корректное положение.
5.7.4 Байпасы рекомендуется применять и выводить из работы автоматически, и в таких случаях при их проектировании следует применять такие технические решения, как резервирование и совпадение для защиты от неправильного применения или отключения в условиях нарушений работы оборудования. Внимательный подход к исполнению автоматического байпаса при его проектировании необходимо обеспечивать для всех переходных состояний атомной станции.
5.8 Время реакции
5.8.1 Измерение времени реакции систем контроля и управления и оборудования, важных для безопасности, проводят для проверки общего времени реакции системы от задействования канала обработки сигналов и логических устройств, включая, где это применимо, датчик, до срабатывания исполнительного устройства (см. рисунок 1). Испытание на время реакции необходимо проводить для тех систем или подсистем, чье время реакции критично для безопасности атомной станции, что указано в аналитическом отчете безопасности атомной станции.
5.8.2 В системах контроля и управления, для которых путем анализа установлено, что отказы в некоторых участках, например в частях на основе компьютеров, не могут оказывать влияния на время реакции системы без появления других эффектов, выявляемых путем самоконтроля, верификация времени реакции таких участков может быть исключена из периодических испытаний.
5.8.3 Там, где невозможно провести испытания на время реакции во время нормальной работы атомной станции, такие испытания следует проводить во время останова реактора. В некоторых случаях, когда периодические испытания не могут быть выполнены в реальных условиях, при которых система использовалась бы для выполнения ею функций безопасности, может потребоваться внести корректировку в результаты испытаний (например, компенсировать воздействие температуры).
5.9 Восстановление
Процедура испытания должна гарантировать восстановление нормального рабочего режима оборудования после проведения испытания.
6 Требования к испытанию датчиков и устройств обработки сигналов
6.1 Общие положения
6.1.1 Проверка правильной работы в процессе эксплуатации должна включать как можно больше каналов обработки сигналов и логических устройств без нежелательного вмешательства в нормальную работу атомной станции.
6.1.2 Если характеристики датчика и остальной части оборудования обработки сигналов требуют разных подходов к испытаниям, следует проводить частичные перекрывающиеся испытания, чтобы гарантировать полную функциональность взаимодействия оборудования с датчиком.
6.2 Части, не подвергающиеся испытанию
Для тех частей, которые не могут быть протестированы во время работы реактора, должна быть обеспечена необходимая доступность путем комбинации следующих способов: соответствующая философия проектирования системы (например, использование принципа отказоустойчивого проектирования), непрерывный контроль и достаточная частота выключений, позволяющих проводить испытания (которая может совпадать с выключениями, запланированными по другим причинам, таким, как перегрузка). Проект систем контроля и управления должен поддерживать, насколько это возможно, полное функциональное тестирование в условиях останова станции.
6.3 Устройства для испытаний
Тестирующие устройства могут быть частью каждого подузла или представлять собою тип подключаемого модуля. Первый подход предпочтителен в том случае, когда промежутки времени между испытаниями должны быть очень короткими (порядка одного или двух месяцев).
6.4 Сигналы
Для подачи испытательного сигнала как можно ближе к датчику может быть использован один из перечисленных ниже подходов.
6.4.1 Возмущение контролируемой переменной. Это относится к изменениям, вносимым в такие переменные, как измененное давление, температура или мощность.
6.4.2 Ввод и изменение, в зависимости от ситуации, замещающего входа на датчик, имеющего тот же тип, что и контролируемая переменная. Это относится к таким действиям, как открытие клапана выравнивания давления в ячейках перепада давления, изоляция и выпуск входа в устройства измерения давления, введение горячих или холодных жидкостей в жидкости, температуру которых контролируют, или нагревание жидкостей с помощью нагревательных змеевиков.
6.4.3 Ввод и изменение, в зависимости от ситуации, аналогового ввода для частичного испытания устройства обработки сигналов, когда полные проверки, включая проверки датчиков, невозможны. Это относится к использованию имитированных сигналов таких, как напряжение, ток или сопротивление, применяемых к участкам цепи.
6.4.4 Процедура испытания в обязательном порядке должна включать этапы, обеспечивающие возврат системы в рабочее состояние и подтверждение того, что это было сделано корректно.
6.5 Изменение сигналов
6.5.1 Общие сведения
Возможность изменять амплитуду испытательных сигналов должна быть достаточной для подтверждения того, что функция безопасности приведет к ожидаемым экстремальным значениям переменных. Вид изменения сигнала испытания должен быть разработан с учетом рабочих характеристик конкретных используемых устройств. Реакция на изменение времени нарастания, амплитуды и других характеристик формы волны испытательного сигнала может зависеть от снижения эффективности или неисправности оборудования.
Примеры используемых испытательных сигналов приведены ниже.
6.5.2 Медленно изменяющийся сигнал
Данный тип сигнала следует выбирать, если в ответ на него требуется защитное действие, а состояние оборудования показывает, что низкая скорость изменения сигнала может не вызвать защитное действие.
6.5.3 Быстро изменяющийся сигнал
Этот тип сигнала следует выбирать, если в ответ на него требуется защитное действие, а состояние оборудования показывает, что высокая скорость изменения сигнала может не вызвать защитное действие.
6.5.4 Большое изменение сигнала
Данный тип сигнала следует выбирать, если в ответ на него требуется защитное действие, а состояние оборудования показывает, что большие отклонения сигнала по сравнению с нормальными могут не вызвать защитное действие (например, насыщение).
При испытании различных устройств может быть использован один тип сигнала или комбинация типов, если необходимо подтвердить эффективность устройств при разных ожидаемых условиях.
6.6 Работоспособность
6.6.1 Работоспособность приборов, оборудованных индикатором, проверяют одним из следующих способов или их комбинацией;
- сравнения показаний датчиков и устройств обработки сигналов, контролирующих одну и ту же переменную, и являющихся пространственно независимыми;
- сравнение показаний датчиков и устройств обработки сигналов, контролирующих одну и ту же переменную и имеющих известную взаимосвязь друг с другом (например, сравнение показаний устройств контроля промежуточного и источникового диапазона потока нейтронов во время запуска или останова, когда оба устройства показывают в пределах данного диапазона);
- сравнение показаний датчиков и устройств обработки сигналов, контролирующих разные переменные, имеющие известную взаимосвязь друг с другом (например, температура отвода теплоносителя первого контура ядерного реактора и соответствующий уровень мощности).
6.6.2 Основополагающие данные о проверке должны быть указаны в документе об испытании наряду с допускаемыми погрешностями измерения контролируемых показателей.
6.7 Время реакции датчика
6.7.1 Датчики, чье время реакции в отчете об анализе безопасности показано как критическое для безопасности реактора, должны быть проверены на точность времени реакции. В документе об испытании должна быть указана принятая погрешность измерения контролируемого показателя. Там, где это представляется возможным, испытание на время реакции следует объединять с испытанием полной функциональной цепочки, включая датчик, устройство обработки сигнала, логическое устройство и исполнительное устройство.
6.7.2 Датчики, не относящиеся к указанным в 6.7.1, чье время реакции составляет значительную часть времени реакции всей системы, должны быть проверены на точность времени реакции.
6.8 Оборудование для испытаний
6.8.1 Оборудование для испытаний по определению времени реакции датчика должно обеспечивать действия, необходимые для активизации входа датчика, и одновременно записывать условия входа и выхода для определения общего времени реакции.
6.8.2 Время реакции датчика может быть получено из анализа спектра шумов технологического сигнала вместо прямой активизации входа датчика.
6.9 Калибровка и функция передачи
Калибровочные испытания датчиков и устройств обработки сигналов проводят с целью получения доказательства, что прибор или связанные схемы со входом известной точности дают требуемый аналоговый или цифровой выход. Дополнительно необходимо проверить корректность работы функции передачи сигнала устройства обработки сигнала. Участки канала обработки сигналов, расположенные после аналого-цифрового преобразователя, которые обрабатывают сигнал как числовое значение, не требуют проведения калибровочных испытаний.
6.10 Наблюдение
Для облегчения наблюдения за датчиками и устройствами обработки сигналов приемлемы приведенные ниже подходы к проектированию.
6.10.1 Датчики с электрическим выходом могут быть обеспечены повышенным нулем и высокопороговой схемой для достоверной проверки сигнала (проверки, что сигнал не падает до нуля и не поднимается выше нормального диапазона).
6.10.2 Логические устройства могут быть спроектированы как отказостойкие применительно к отказам системы питания.
6.10.3 Логические устройства могут быть снабжены однополюсным на два направления контактным выходом для контроля совместимости (исключающей "или") сигналов на контакте и в проводке, соединяющей сигнальный монитор с логическим устройством.
7 Требования к испытанию электромеханического оборудования
7.1 Общие сведения
Хотя электромеханические устройства пригодны для автоматических испытаний, следует учитывать зависимость их срока службы от количества операций.
7.2 Интерфейс
7.2.1 Во избежание трудностей при испытании конечного исполнительного устройства, исключающем влияние на функции безопасности, следует принять меры предосторожности при проектировании интерфейса между оборудованием для испытаний и системой контроля и управления, важной для безопасности, заключающиеся в соблюдении одного из трех следующих требований.
7.2.2 Исполнительные устройства и исполнительное оборудование испытывают отдельно или, рационально объединив их в группы; например, испытывают исполнительное устройство насоса системы отдельно от исполнительного устройства для системных клапанов.
7.2.3 Работа конкретного исполнительного оборудования должна быть прекращена во время испытания соответствующих исполнительных устройств; например, перемещение выключателя насоса в тестовое положение, прекращающее подачу питания к насосу на время испытания выключателя. Работу самого исполнительного оборудования следует проверять, когда состояние атомной станции позволяет совместить работу оборудования с его испытанием.
7.2.4 Работа исполнительного оборудования требует согласованной работы более чем одного исполнительного устройства; например, индивидуальные испытания двух электромагнитных клапанов требуют согласованного контроля сжатого воздуха на отсечном клапане.
7.3 Типовые функциональные испытания
7.3.1 Для того, чтобы удостовериться, что система контроля и управления, важная для безопасности, способна выполнять свою предусмотренную проектом функцию, необходимо провести испытания исполнительных механизмов. Типовые испытания, в зависимости от ситуации, состоят из одного или нескольких перечисленных ниже испытаний.
7.3.2 Ручной запуск оборудования (например, двигателя, насоса, компрессора, турбины или силовой установки) и верификация правильной работы. Продолжительность испытаний должна быть достаточной для достижения устойчивого рабочего режима. Если ручной запуск насоса или другого оборудования невозможен, испытание может быть проведено с переводом выключателя в положение "тест", как описано в 7.2.3.
7.3.3 Ручное опробование клапана и, при необходимости, определение времени полного хода. В тех случаях, когда невозможно ручным методом проверить полный ход клапана, допускается испытание на частичный ход клапана (стопорный клапан острого пара, стопорные клапаны или клапаны управления турбины) или испытание системы контроля клапанов (система контроля предохранительной арматуры с электроприводом или схема контроля клапанов впрыска ингибиторов взрыва).
7.3.4 Проверка работы исполнительных устройств и верификация функций безопасности.
7.3.5 Верификация функций безопасности, инициированных вручную. Если это невозможно осуществить во время работы атомной станции, испытание может быть выполнено во время останова реактора (отключения реактора вручную).
7.3.6 Испытание на определение времени реакции исполнительного механизма.
7.4 Непрерывный контроль
Непрерывный контроль переменных, ассоциированных с исполнительным механизмом (скорость, давление, напряжение питания и т.д.), осуществляют с целью улучшить контроль готовности исполнительного механизма.
7.5 Реле и клапаны
Для электромагнитных устройств, отвечающих за подачу питания, таких как реле и электромагнитные клапаны, должна быть спроектирована система для испытаний, позволяющая проверять целостность контура, а также техническое состояние электромагнитной цепи, т.е. способность генерировать требуемый магнитный поток.
8 Требования к испытанию логических устройств
8.1 Область применения
Перечисленные в настоящем разделе требования также применяют к испытанию конечного участка устройства обработки сигнала, отвечающего за инициирование аварийного останова, который может быть спроектирован для автоматического испытания (полупроводниковые пороговые схемы или таймеры). Поскольку ко всем полупроводниковым системам применяют общие принципы, настоящий раздел не рассматривает как первоочередные методы, отличные от метода испытаний короткими импульсами. Применение испытаний методом коротких импульсов может быть необходимо в тех случаях, где полнофункциональные испытания могли бы привести к недопустимому запуску оборудования атомной станции.
8.2 Общие сведения
Внутренние технические особенности полупроводникового логического устройства таковы, что обеспечивают выполнение более сложных функций и лучшее взаимодействие с испытательным и контрольным оборудованием без значительной потери готовности системы к работе. Испытание с помощью автоматического оборудования легче, и оно рекомендовано, но также разрешены и периодические испытания вручную.
8.3 Переключение сигналов
8.3.1 Возможность быстрого переключения в полупроводниковых логических устройствах позволяет проводить испытания с помощью импульсных сигналов достаточно короткой продолжительности, чтобы избежать изменения состояния конечного устройства срабатывания. Если применяют данный тип испытания, оно должно быть проведено таким образом, чтобы обеспечить полноценное срабатывание функции безопасности тестируемой схемы. В этом случае нет необходимости ни в применении байпаса, ни в переводе тестируемой схемы в режим срабатывания, поскольку наблюдается соответствие критерию единичного отказа (см. 5.1).
8.3.2 При использовании такого вида импульсных испытаний, который описан в 8.3.1, число операций не должно влиять на срок службы оборудования нежелательным образом.
8.3.3 Если полупроводниковые системы контроля и управления, важные для безопасности, спроектированы для автоматического испытания, они должны быть связаны с системой наблюдения (как подробно описано в 8.6).
8.3.4 Поскольку оборудование для испытаний выполняет циклическую работу без непрерывного наблюдения оператора, испытуемая система должна быть наделена функциями самодиагностики (как подробно описано в 8.9).
8.4 Испытательные сигналы
8.4.1 Путем ввода испытательных сигналов во все входы всех устройств обработки сигналов и путем сравнения всех выходов системы контроля и управления, важной для безопасности, рассмотренных во всех возможных логических конфигурациях, испытательная система должна автоматически проверять следующее;
- при введении всех конфигураций входов, не моделирующих запрос на срабатывание функций безопасности, нет выходов, соответствующих запросу на срабатывание;
- при введении всех конфигураций входов, моделирующих запрос на срабатывание функций безопасности, наблюдаются выходы, соответствующие запросу на срабатывание;
- постоянная времени устройства обработки сигнала корректная;
- продолжительность и время выходных сигналов являются корректными.
Вышеупомянутое применимо ко всем входам устройств обработки сигналов, которые могут привести к частичному или полному срабатыванию.
8.5 Интерфейс
Следует внимательно подходить к разработке интерфейса между оборудованием для испытаний и системой контроля и управления, важной для безопасности, чтобы минимизировать влияние отказов оборудования для испытаний на систему контроля и управления, важную для безопасности.
8.6 Данные для отображения
В случае обнаружения отказа аппаратура для наблюдения за системой контроля и управления, важной для безопасности, должна отображать, как минимум, следующую информацию для информирования оператора:
- идентификация испытуемой схемы;
- обнаруживаемые комбинации отказов;
- прерванное испытание;
- система контроля и управления недоступна;
- отказ оборудования для испытаний (см. 8.9);
- небезопасный отказ в испытуемой цепи;
- безопасный отказ в тестируемой цепи;
- частичное срабатывание;
- полное срабатывание;
- положение переключателей рабочего режима, если есть такие (нормальная работа, запуск, останов и т.д.);
- некорректная постоянная времени устройства обработки сигнала;
- промежуток времени между настоящим испытанием и предыдущим испытанием, при котором обнаружена(ы) ошибка(и).
8.7 Данные для регистрации
Следующая информация должна быть зарегистрирована и внесена в документацию, отражающую отказ:
- вся информация, связанная с отображаемым отказом;
- время обнаружения отказа;
- время восстановления полной работоспособности системы контроля и управления.
8.8 Детальное отображение
После срабатывания функции безопасности оператору должно стать доступным детальное отображение, информирующее его о том, что все требуемые срабатывания были выполнены корректно. Обычно любые реальные срабатывания функции безопасности подвергают анализу, включая ложные. В зависимости от результатов такого анализа и полноты собранных данных может быть сделан вывод о том, что показатели периодического наблюдения удовлетворительны и следующее запланированное периодическое испытание данной группы оборудования может быть пропущено.
8.9 Оборудование для испытаний
В случае обнаружения неправильного срабатывания автоматического оборудования для испытаний, оно должно быть автоматически изолировано от системы контроля и управления, важной для безопасности, с помощью функции самодиагностики, о которой сказано ниже. Сигнал отказа оборудования для испытаний должен также поступить оператору. В испытательной системе, использующей импульсные сигналы, это может быть достигнуто с помощью контроля следующих параметров:
- продолжительности и амплитуды испытательного импульса;
- работы цепи, отвечающей за сравнение выхода системы контроля и управления, важной для безопасности, с соответствующими входами (с помощью подходящей процедуры проверки);
- работы испытательной системы;
- внутренних характеристик испытательной системы;
- отклонений последовательности автоматических действий.
8.10 Оборудование для испытаний с использованием импульсов
8.10.1 Автоматическое оборудование для испытаний с использованием импульсов, продолжительность которых может стать больше из-за отказа, должна быть спроектирована таким образом, чтобы испытание любых частей системы контроля и управления, важной для безопасности, приостанавливалось, если происходит частичное срабатывание и продолжение испытания может привести к полному срабатыванию системы безопасности.
8.10.2 Оборудование, позволяющее останавливать испытания и отображать соответствующую информацию, не должно снижать общий уровень безопасности за счет внесения чрезмерной сложности.
9 Самоконтроль в системах контроля и управления на основе компьютеров
Современные системы контроля и управления на основе компьютеров могут помимо выполнения функций, важных для безопасности, ради которых они спроектированы, осуществлять дополнительно контроль своих собственных операций. В той мере, в которой самоконтроль обнаруживает отказы в оборудовании, прежде чем происходит сбой системы, возможно уменьшить объем периодических контрольных испытаний или, как минимум, ослабить требования к необходимому интервалу испытаний, чтобы они совпадали с периодами останова станции.
Испытания, проводимые во время останова атомной станции, могут потребовать меньших мер предосторожности во избежание срабатывания заводского оборудования за счет исключения таких мер, как задействование байпасов или обеспечение избыточного резервирования для работы с единичными отказами, если при данном состоянии атомной станции не требуется, чтобы испытуемое оборудование находилось в рабочем режиме. Это позволяет упростить проектирование системы контроля и управления и повышает общую безопасность атомной станции.
МЭК 60987 устанавливает, что для соблюдения требования к надежности компьютерная система должна контролировать себя с помощью программных средств.
9.1 Диапазон самоконтроля
Проводимый самоконтроль должен подтверждать указанные ниже характеристики. В некоторых случаях аппаратные функции, такие как проверки четности памяти, могут обеспечить достаточный охват, тогда как в других случаях могут понадобиться специальные программные тесты.
9.1.1 Самоконтроль должен подтверждать целостность сохраненной программы, например путем проверки контрольной суммы программной памяти.
9.1.2 Самоконтроль должен подтверждать способность временной памяти (оперативная память) сохранять данные.
9.1.3 Самоконтроль должен подтверждать способность процессора правильно выполнять подгруппу инструкций, используемых в осуществлении важной для безопасности функции, уделив особое внимание инструкциям, не используемым в управлении программным потоком, например арифметическим операциям с плавающей точкой.
9.1.4 Самоконтроль должен подтверждать целостность адресных шин и шин данных, используемых для доступа к памяти и внешним устройствам.
9.1.5 Самоконтроль должен подтверждать правильность сообщений, отправляемых между процессорами по мультиплексным линиям связи.
9.1.6 Самоконтроль должен подтверждать актуальность сообщения, отправляемого между несинхронными процессами.
9.1.7 Самоконтроль должен подтверждать правильность доступа к памяти (данные не доступны в качестве программы, без переполнения стека и т.д.).
9.1.8 Самоконтроль должен подтверждать достоверность технологических сигналов (проверки диапазона, скорости изменения параметра и т.д.).
9.1.9 Самоконтроль должен подтверждать правильность контрольного потока выполнения программы.
9.1.10 Во время периодических функциональных испытаний поведение программы самоконтроля следует оценивать по ожидаемым результатам.
Предполагается, что глубина реализуемого самоконтроля зависит от категории безопасности функций, выполняемых с помощью оборудования на основе компьютеров. Компьютеры, выполняющие функции категорий А или В, должны применять большее количество способов, чем перечислено выше, по сравнению с компьютерами, выполняющими функции категории С.
МЭК 60880 и МЭК 62138 содержат руководящие положения по методам защитного программирования, которые позволяют обнаруживать аномальные состояния, которые могут возникнуть во время выполнения программы в оборудовании АСУ ТП на основе компьютеров.
9.2 Баланс диагностики в сравнении с функциональной обработкой
9.2.1 Для оборудования на основе компьютеров количество ресурсов (продолжительность цикла, производительность обработки и т.д.), выделяемых на функцию самоконтроля, должно быть тщательно сбалансировано с учетом выполнения функции, важной для безопасности.
9.2.2 Рекомендуется проектировать самоконтроль таким образом, чтобы только одна часть функций самоконтроля была востребована для выполнения каждого цикла, и в результате требовалось несколько циклов для выполнения всего набора задач контроля. При использовании таких систем необходимо предусмотреть определенные способы мониторинга выполнения функций самоконтроля для подтверждения того, что эти функции завершены в установленный промежуток времени.
9.3 Сторожевые таймеры (таймеры наблюдения)
Многие неисправности оборудования на основе компьютеров могут привести к приостановке выполнения программы. Также программные аномалии могут привести к выполнению бесконечных циклов, препятствующих нормальному выполнению программного кода.
9.3.1 Для защиты от таких нештатных ситуаций оборудование АСУ ТП на основе компьютеров, выполняющее важные для безопасности функции, должно быть оборудовано таймерами наблюдения (watchdog), обнаруживающими нарушения стандартного хода выполнения программы.
9.3.2 Такие таймеры наблюдения по возможности не должны быть подвержены различного вида отказам, которые могут вызвать остановку выполнения программы.
9.3.3 При достижении значения уставки таймера, таймер наблюдения должен инициировать соответствующие действия по умолчанию, как указано в 9.4.
9.3.4 Таймер наблюдения подлежит периодическим контрольным испытаниям.
9.4 Действия при обнаружении отказа
Если с помощью самоконтроля обнаружен отказ в системе или оборудовании, важных для безопасности, должно быть предпринято соответствующее действие. Это действие может заключаться в одном или нескольких следующих действиях:
- перезапуск и повторная инициализация оборудования на основе компьютеров;
- срабатывание функции, важной для безопасности (частичное или полное);
- передача функций альтернативному или запасному оборудованию на основе компьютеров;
- изменение логики совпадения, чтобы сделать функцию устойчивой к отказу;
- изменение рабочего режима, чтобы сделать функцию устойчивой к отказу;
- выбор альтернативного значения или значения по умолчанию для сигнала или параметров, чтобы продолжить безопасную работу станции;
- срабатывание сигнализации и отображение состояния оборудования, важного для безопасности, в блочном пункте управления.
Выбор действия при обнаружении отказа должен быть определен в техническом задании оборудования и должен исходить из проектных требований, а также верификации, соответствующей категории функции, важной для безопасности.
9.5 Распределение программного обеспечения самоконтроля по категориям
9.5.1 Хотя оборудование, используемое исключительно для наблюдения за системами и оборудованием, выполняющими важные для безопасности функции, может быть отнесено к более низкой категории, чем категория тестируемого оборудования, программное обеспечение, выполняющее самоконтроль оборудования АСУ ТП на основе компьютеров, обычно работает на том же процессоре, что и программное обеспечение, выполняющее важную для безопасности функцию. В связи с этим, неисправность программного обеспечения самоконтроля может помешать надлежащему функционированию оборудования.
9.5.2 Программному обеспечению, выполняющему функции самоконтроля, должна быть присвоена та же категория, что и оборудованию, которое оно тестирует, а его проектирование и проверка должны соответствовать требованиям для этой категории. Эти требования установлены в МЭК 60880 и МЭК 62138 соответственно.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р МЭК 60671-2021 "Системы контроля и управления, важные для безопасности атомных станций. Контрольные испытания" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 30 марта 2021 г. N 175-ст)
Текст ГОСТа приводится по официальному изданию Стандартинформ, Москва, 2021 г.
Дата введения - 1 декабря 2021 г.