Nuclear power plants. Logic assemblies used in safety systems performing category A functions. Characteristics and test methods
УДК 621.311.3.049.75:006.354
ОКС 27.120.20
Дата введения - 1 декабря 2023 г.
Введен впервые
Предисловие
1 Подготовлен Акционерным обществом "Русатом Автоматизированные системы управления" (АО "РАСУ") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 Внесен Техническим комитетом по стандартизации ТК 322 "Атомная техника"
3 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 9 октября 2023 г. N 1086-ст
4 Настоящий стандарт идентичен международному стандарту МЭК 60744:2018 "Атомные электростанции. Системы контроля и управления, важные для безопасности. Логические устройства обеспечения безопасности в системах, выполняющих функции категории А. Характеристики и методы испытаний" (IEC 60744:2018 "Nuclear power plants - Instrumentation and control systems important to safety - Safety logic assemblies used in systems performing category A functions: Characteristics and test methods", IDT).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.
Дополнительные сноски в тексте настоящего стандарта, выделенные курсивом, приведены для пояснения текста оригинала
5 Введен впервые
6 Положения настоящего стандарта действуют в целом в отношении сооружаемых по российским проектам атомных станций за пределами Российской Федерации
Введение
a) Техническая справка, основные вопросы и организация настоящего стандарта
Настоящий стандарт посвящен логическим устройствам безопасности, используемым на атомных станциях (АС). Логические устройства первоначально были встроены в системы защиты, использовавшиеся, в основном, для управления исполнительными механизмами. В МЭК 60744 основное внимание уделяется проектированию, а также техническим решениям, интерфейсам с блочным пунктом управления (БПУ) и резервным пунктом управления (РПУ), испытаниям и квалификации. Также изложены требования к отображению входных данных и состояния систем безопасности.
МЭК 60744 является документом, в котором рассматриваются функции и рабочие характеристики логического устройства безопасности.
Применение компьютеризированного оборудования или программного обеспечения всесторонне освещено в других стандартах. Из технических средств при проектировании логических устройств (SLA) используют главным образом аппаратно реализуемые технологии и субмикронные высокоинтегрированные компоненты (HPD), применение которых ограничено из-за очень высоких требований безопасности.
Стандарт рассматривает проектные и испытательные характеристики логических устройств безопасности, уделяя особое внимание функциональным требованиям, вопросам надежности и сопряженным с логическими устройствами средствам управления, в том числе средствам сигнализации, индикации и контроля. Стандарт также содержит требования к функционированию, испытаниям и квалификации логических устройств и требования к интерфейсам для взаимодействия между устройствами.
Настоящий стандарт предназначен для использования операторами АС (энергетическими компаниями), экспертами-системотехниками и лицензирующими органами.
b) Место настоящего стандарта в структуре серий стандартов подкомитета МЭК ПК 45А
Среди документов, находящихся в ведении ПК 45А, МЭК 60744 является документом третьего уровня, посвященным конкретному вопросу проектируемых и контролируемых характеристик логических устройств безопасности.
МЭК 60744 следует рассматривать совместно с МЭК 61513, также находящимся в ведении МЭК ПК 45А, содержащим требования к системам контроля и управления (СКУ), важным для безопасности АС, а также с МЭК 60964, содержащим требования к пунктам управления АС, поскольку система безопасности тесно сопряжена с БПУ и РПУ.
Более подробная информация о структуре серий стандартов МЭК ПК 45А представлена в пункте d) настоящего введения.
c) Рекомендации и ограничения, касающиеся применения настоящего стандарта
Следует отметить, что настоящий стандарт не устанавливает дополнительные функциональные требования на уровне систем безопасности.
Настоящий стандарт содержит конкретные рекомендации по следующим аспектам:
- принятие решения по частичным отключениям для выявления каждого срабатывания системы безопасности;
- выходные устройства, подающие сигналы отключения и срабатывания;
- проектные и подлежащие испытаниям параметры функциональных требований;
- надежность логических устройств безопасности;
- функциональные характеристики логических устройств;
- требования к испытаниям, квалификации и интерфейсам логических устройств безопасности.
Чтобы настоящий стандарт и далее оставался актуальным, его положения акцентированы на принципиальных вопросах, а не на конкретных технологиях.
d) Описание структуры серии стандартов подкомитета МЭК ПК 45А и их взаимосвязи с другими документами МЭК и документами других организаций (МАГАТЭ, ИСО)
Стандартами самого высокого уровня серии стандартов ПК 45А МЭК являются МЭК 61513 и МЭК 63046. МЭК 61513 содержит общие требования к СКУ и оборудованию, используемым для выполнения важных для безопасности АС функций. МЭК 63046 содержит общие требования к электроэнергетическим системам АС и распространяется на системы электроснабжения, включая системы питания СКУ. МЭК 61513 и МЭК 63046 следует рассматривать вместе и на одном уровне. МЭК 61513 и МЭК 63046 формируют структуру серии стандартов ПК 45А МЭК и устанавливают полный набор общих требований к системам контроля и управления и к электротехническим системам атомных станций.
МЭК 61513 и МЭК 63046 содержат прямые ссылки на другие стандарты ПК 45А МЭК по общим вопросам, связанным с категоризацией функций и классификацией систем, квалификацией, разделением, защитой от отказов по общим причинам, проектированием пунктов управления, электромагнитной совместимостью, кибербезопасностью, программными и аппаратными аспектами программируемых цифровых систем, согласованием требований безопасности и защиты информации и управлением старением. Стандарты, на которые напрямую ссылаются МЭК 61513 и МЭК 63046, являющиеся стандартами второго уровня, следует рассматривать вместе с МЭК 61513 и МЭК 63046, как единый комплект документов.
Третий уровень стандартов ПК 45А МЭК составляют стандарты, на которые отсутствуют прямые ссылки в МЭК 61513 или МЭК 63046, относящиеся к конкретному оборудованию, техническим методам или определенным видам деятельности. Как правило, эти стандарты, содержащие ссылки на стандарты второго уровня по общим темам, могут быть использованы самостоятельно.
Четвертый уровень документов ПК 45А МЭК представлен техническими отчетами, которые не являются нормативными документами.
Серия стандартов ПК 45А МЭК постоянно реализует и детализирует принципы безопасности и защиты информации, а также базовые аспекты, содержащиеся в соответствующих стандартах безопасности МАГАТЭ и соответствующей серии документов МАГАТЭ по ядерной безопасности (NSS). В частности, к этим документам относятся нормы безопасности МАГАТЭ SSR-2/1, устанавливающие требования безопасности, связанные с проектированием АС, руководство по безопасности МАГАТЭ SSG-30, в котором рассмотрена классификация безопасности конструкций, систем и компонентов АС, руководство по безопасности МАГАТЭ SSG-39, относящееся к проектированию систем контроля и управления АС, руководство по безопасности МАГАТЭ SSG-34, рассматривающее проектирование электроэнергетических систем для АС, а также внедряемое руководство NSS17 по компьютерной безопасности оборудования атомных станций. Термины и определения, используемые в стандартах ПК 45А по безопасности и защите информации, соответствуют терминам и определениям, используемым в документах МАГАТЭ.
МЭК 61513 и МЭК 63046 представлены в том же формате, что и основной стандарт по безопасности МЭК 61508, с той же схемой жизненного цикла в целом и схемой жизненного цикла системы. В отношении ядерной безопасности МЭК 61513 и МЭК 63046 содержат толкование основных требований, действующих в атомной энергетике и изложенных в МЭК 61508-1, МЭК 61508-2 и МЭК 61508-4. В этой структуре МЭК 60880, МЭК 62138 и МЭК 62566 соответствуют МЭК 61508-3 для атомной энергетики. МЭК 61513 и МЭК 63046 содержат ссылки на документы ИСО, а также на документы МАГАТЭ GS-R-3, МАГАТЭ GS-G-3.1 и МАГАТЭ GS-G-3.5 по вопросам, связанным с обеспечением качества (ОК). На втором уровне по вопросам ядерной безопасности вводным документом для серии стандартов по безопасности ПК 45А МЭК является МЭК 62645. Он основан на действующих принципах высокого уровня и главных концепциях стандартов по безопасности, в частности ИСО/МЭК 27001 и ИСО/МЭК 27002. МЭК 62645 адаптирует и дополняет их применительно к атомной отрасли и приводит в соответствие с серией стандартов МЭК 62443. По пунктам управления на втором уровне первичным документом среди стандартов ПК 45А МЭК является МЭК 60964, а по вопросам управления старением - МЭК 62342.
Примечания
1 Предполагается, что при проектировании систем контроля и управления АС, реализующих стандартные функции безопасности (например, обеспечение безопасности работников, защита объекта, химическая безопасность, энергетическая безопасность технологических процессов), будут применяться международные или национальные стандарты.
2 В 2013 г. расширена сфера ответственности ПК 45А МЭК, которая распространилась также на электрические системы. В 2014 и 2015 гг. в ПК 45А МЭК проведены дискуссии с целью принятия решения о том, каким образом и где следует учитывать общие требования к проектированию электрических систем. Эксперты ПК 45А МЭК рекомендовали разработать независимый стандарт такого же уровня, как и МЭК 61513, устанавливающий общие требования к электрическим системам. В настоящее время для решения этой задачи начата работа над проектом МЭК 63046, и когда он будет опубликован, примечание 2 во введении стандартов подкомитета ПК 45А МЭК будет исключено.
1 Область применения
Настоящий стандарт устанавливает требования и рекомендации к проектированию, конструкции и испытаниям логических устройств, используемых в системах безопасности для выполнения функций безопасности категории А (в соответствии с МЭК 61226). Логические устройства безопасности представляют собой логические схемы, такие как аппаратно-реализованный логический узел, обеспечивающий взаимодействие компьютеризированных систем с распределительными устройствами, исполнительными механизмами или контакторами для осуществления отключений или срабатывания технических средств безопасности. Логические устройства являются значимой частью систем безопасности, способной применять мажоритарную логику при обработке сигналов резервных каналов.
Настоящий стандарт содержит общее описание логических устройств безопасности для управления исполнительными механизмами защиты. В стандарте представлены принципы достижения целей надежности, описаны и разъяснены основные особенности, относящиеся к проектным требованиям.
Представлены различные испытания и их требования, позволяющие оценивать правильность проекта (в том числе квалификационные испытания), изготовления, а также корректность установки на месте.
В приложении А представлен перечень возможных применений логических устройств.
В приложении В приведен перечень возможных аппаратно-реализуемых технологий с соответствующими требованиями к проектированию логических устройств.
Приложение С содержит пояснение понятия надежности и ее характеристик с целью повышения работоспособности и снижения конечного риска, ставящего под угрозу безопасность и готовность АС.
В область применения настоящего стандарта не входит проектирование системы защиты, здесь рассмотрены только технологические и архитектурные решения, необходимые для проектирования логического устройства. Проектирование систем безопасности с использованием логических устройств рассматривают в МЭК 61513.
Отдельные детали и конкретные функции, реализуемые логическим устройством, сильно зависят от проекта каждого отдельного ядерного реактора и в настоящем стандарте не рассматриваются.
Поскольку положения настоящего стандарта относятся к части системы, осуществляющей контроль и управление, конечная мажоритарная логика в отношении выключателей питания исключена из области применения настоящего стандарта.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты [для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения)]:
IEC 60255 (all parts), Measuring relays and protection equipment [Реле измерительные и защитное оборудование (все части)]
IEC 60671, Nuclear power plants - Instrumentation and control systems important to safety - Surveillance testing (Атомные электростанции. Системы контроля и управления, важные для безопасности. Контрольные испытания)
IEC 60709, Nuclear power plants - Instrumentation and control systems important to safety - Separation (Атомные станции. Системы контроля и управления, важные для безопасности. Разделение) 1)
-----------------------------
1)Заменен на IEC 60709:2018 "Nuclear power plants - Instrumentation, control and electrical power systems important to safety - Separation".
-----------------------------
IEC/IEEE 60780-323, Nuclear facilities - Electrical equipment important to safety - Qualification (Объекты использования атомной энергии. Электрооборудование, важное для безопасности. Квалификация)
IEC 60812, Analysis techniques for system reliability - Procedure for failure mode and effects analysis (FMEA) (Методы анализа надежности систем. Метод анализа видов и последствий отказа) 2)
-----------------------------
2)Заменен на IEC 60812:2018 "Failure modes and effects analysid (FMEA and FMECA)".
-----------------------------
IEC 60964, Nuclear power plants - Control rooms - Design (Атомные станции. Пункты управления. Проектирование)
IEC 60965, Nuclear power plants - Control rooms - Supplementary control room for reactor shutdown without access to the main control room (Атомные станции. Пункты управления. Резервный пункт управления для останова реактора без доступа к блочному пункту управления)
IEC 60980, Recommended practices for seismic qualification of electrical equipment of the safety system for nuclear generating stations (Рекомендуемая практика проведения сейсмической квалификации электрооборудования системы безопасности для атомных электростанций) 3)
-----------------------------
3)Заменен на IEC/IEEE 60980-344:2020 "Nuclear facilities - Equipment important to safety - Seismic qualification".
-----------------------------
IEC 61000 (all parts), Electromagnetic compatibility (EMC) [Электромагнитная совместимость (ЭМС)]
IEC 61225, Nuclear power plants - Instrumentation and control systems important to safety - Requirements for electrical supplies (Атомные станции. Системы контроля и управления, важные для безопасности. Требования к электроснабжению) 4)
-----------------------------
4)Заменен на IEC 61225:2019 "Nuclear power plants - Instrumentation, control and electrical power systems - Requirements for static uninterruptible DC and AC power supply systems".
-----------------------------
IEC 61226, Nuclear power plants - Instrumentation and control systems important to safety - Classification of instrumentation and control functions (Атомные электростанции. Системы контроля и управления, важные для безопасности. Классификация функций контроля и управления) 5)
-----------------------------
5)Заменен на IEC 61226:2020 "Nuclear power plants - Instrumentation, control and electrical power systems important to safety - Categorization of functions and classification of systems".
-----------------------------
IEC 61227, Nuclear power plants - Control rooms - Operator controls (Атомные станции. Пункты управления. Органы управления оператора)
IEC 61513:2011, Nuclear power plants - Instrumentation and control important to safety - General requirements for systems (Атомные станции. Системы контроля и управления, важные для безопасности. Общие требования)
IEC 62003, Nuclear power plants - Instrumentation and control important to safety - Requirements for electromagnetic compatibility testing (Атомные станции. Системы контроля и управления, важные для безопасности. Требования к испытаниям на электромагнитную совместимость) 6)
-----------------------------
6)Заменен на IEC 62003:2020 "Nuclear power plants - Instrumentation, control and electrical power systems - Requirements for electromagnetic compatibility testing".
-----------------------------
IEC 62241, Nuclear power plants - Main control room - Alarm functions and presentation (Атомные электростанции. Блочный пункт управления. Функции и представление сигнализации)
IEC 62566:2012, Nuclear power plants - Instrumentation and control important to safety - Development of HDL-programmed integrated circuits for systems performing category A functions (Атомные электростанции. Системы контроля и управления, важные для безопасности. Разработка HDL-программируемых интегральных схем для систем, выполняющих функции категории А)
IAEA-GSR Part 2, Leadership and Management for Safety (Общие требования МАГАТЭ по безопасности. Часть 2. Руководство и управление в целях обеспечения безопасности)
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 готовность (availability): Способность объекта или системы выполнять требуемые функции в заданных условиях, в заданный момент или период времени при условии, что все необходимые внешние ресурсы обеспечены.
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.2 канал (channel): Совокупность взаимосвязанных элементов в системе, которая выдает один выходной сигнал.
Примечание - Канал теряет свою идентичность, когда одиночные выходные сигналы объединяются с сигналами, поступающими от других каналов (например, от контрольно-измерительного канала или канала исполнительного средства защиты).
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.3 надежность (dependability): Общий термин, применяемый для обозначения всесторонней надежности системы; т.е. степень, в которой этой системе можно оправданно доверять.
Примечания
1 Работоспособность, готовность и безопасность являются характеристиками надежности.
2 Разъяснения, касающиеся данного определения, приведены в приложении С.
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.4 оборудование с динамическими логическими схемами (dynamic logic equipment): Системный узел или подузел, использующий динамические логические сигналы.
3.5 динамический логический сигнал (dynamic logic signal): Периодически изменяющееся напряжение или ток при частоте, согласующейся с требуемым временем отклика системы.
Примечания
1 Одно логическое состояние может быть связано с отсутствием периодического изменения такого сигнала.
2 Различные логические состояния связаны с различными значениями одного или более параметров периодического изменения, например амплитуды, крутизны, частоты повторения импульсов, направления изменений или импульсного кодирования.
3.6 техническое средство безопасности (engineered safety feature): Исполнительная часть системы безопасности (исполнительный механизм, связанный с ее электрической и приводной частью).
Примечание - Техническим средствам безопасности необходима энергия для функционирования (клапаны, приводы и т.д.). Обычно их противопоставляют выключателям аварийной защиты ядерного реактора, которым не нужна энергия для функционирования.
3.7 отказ (failure): Потеря способности конструкции, системы или компонента функционировать в соответствии с критериями приемлемости 1).
-----------------------------
1)Согласно ГОСТ Р 27.102-2021, статья 36: "отказ: Событие, заключающееся в нарушении работоспособного состояния объекта. Примечания: Отказ может быть полным или частичным. Полный отказ характеризуется переходом объекта в неработоспособное состояние. Частичный отказ характеризуется переходом объекта в частично неработоспособное состояние".
-----------------------------
Примечания
1 Отказ конструкции, системы или компонента признают в случае, если они оказываются неспособными функционировать независимо от того, есть ли в этом необходимость в данный момент времени. Отказ, например, резервной системы, может не проявиться до тех пор, пока не возникнет необходимость в ее функционировании во время испытаний или при отказе системы, которую она дублирует.
2 Отказ конструкции, системы или компонента является событием, приводящим к ошибке конструкции, системы или компонента.
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.8 программируемая логическая интегральная схема; ПЛИС (Field Programmable Gate Array, FPGA): Интегральная схема, которую может запрограммировать на месте производитель СКУ.
Примечания
1 ПЛИС включает в себя программируемые логические блоки (комбинаторные или последовательностные), программируемые схемы соединения между ними и программируемые блоки для входных и/или выходных сигналов. Его функцию определяет проектировщик СКУ, а не поставщик интегральных схем 1).
-----------------------------
1)ПЛИС обладают всеми достоинствами специализированных интегральных схем, но не требуют значительных затрат времени на разработку и изготовление. Однако без надлежащих средств проектирования все указанные преимущества ПЛИС ничего не значат. Эти средства проектирования не только должны быть простыми в применении, надежными и эффективными, но им нельзя также отставать в своем развитии от развития и совершенствования различных приборов данного класса. Особенно важную роль играет то обстоятельство, что средства проектирования схем на ПЛИС должны быть хорошо объединены и состыкованы со всеми остальными средствами проектирования и конструирования схемных плат. Например, важную роль при выявлении проектных ошибок играет совместное функциональное моделирование ПЛИС со всеми остальными компонентами схемной платы.
-----------------------------
2 Хотя ПЛИС по существу являются цифровыми устройствами, некоторые из них могут включать в состав преобразователи аналоговых входных/выходных сигналов и аналого-цифровые преобразователи. ПЛИС могут включать такие усовершенствованные цифровые функции, как функции аппаратных умножителей, выделенную память, память встраиваемых процессоров.
[МЭК 62566:2012, пункт 3.5]
3.9 язык описания аппаратных средств; HDL (hardware description language, HDL): Язык, используемый для формального описания функций и/или конструкции электронного элемента с целью документирования, моделирования или синтеза.
[МЭК 62566:2012, пункт 3.6]
3.10 HDL-программируемое устройство; HPD (HDL-Programmed Device, HPD): Интегральная схема, конфигурированная (для систем контроля и управления АС) с использованием языков описания аппаратных средств и сопутствующих программных инструментов.
[МЭК 62566:2012, пункт 3.7]
3.11 эксплуатационные состояния (operational states): Состояния АС, определяемые в условиях нормальной эксплуатации и в условиях ожидаемых нарушений нормальной эксплуатации.
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.12 сигнал частичного отключения (partial trip signal): Двоичный сигнал канала системы безопасности, полученный после обработки сигналов от датчиков этого канала, до его конечной обработки с применением мажоритарной логики и выдачи требования аварийного останова ядерного реактора или срабатывания технических средств безопасности.
3.13 программируемое логическое устройство; ПЛУ (programmable logic device, PLD): Интегральная микросхема, состоящая из логических элементов с рисунком межсоединений, части которой программирует пользователь.
Примечания
1 Существуют различные виды ПЛУ, например ПЛУ с возможностью стирания или сложные ПЛУ (СПЛУ).
2 Различия между ПЛИС и ПЛУ определены нечетко, но ПЛУ обычно относят к более простым устройствам, чем ПЛИС.
[МЭК 62566:2012, пункт 3.13]
3.14 аттестованный ресурс (qualified life): Период, в течение которого конструкция, система или компонент демонстрируют посредством испытаний, анализа или на основе опыта способность функционировать в пределах критериев приемлемости при возникновении особых условий эксплуатации, сохраняя при этом способность выполнять свои функции безопасности в случае проектной аварии или проектного землетрясения 2), 3).
-----------------------------
2)Согласно ГОСТ Р 27.102-2021, статья 27: "ресурс: Суммарная наработка объекта от начала его эксплуатации или ее возобновления после ремонта до момента достижения объектом предельного состояния".
3)Согласно НП-096-15, приложение N 1, пункт 1: "Выработанный ресурс - изменение значений ресурсных характеристик оборудования и трубопроводов от начала их эксплуатации до текущего момента эксплуатации (или контроля их технического состояния)"; пункт 7: "Остаточный ресурс - разность между установленным и выработанным ресурсом".
-----------------------------
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.15 резервирование (redundancy): Обеспечение альтернативных (идентичных или отличающихся) конструкций, систем и компонентов для того, чтобы любая отдельная конструкция, система или компонент могли выполнять требуемую функцию независимо от эксплуатационного состояния или отказа любых других 1).
-----------------------------
1)Согласно НП-001-15, приложение N 2: "Принцип резервирования (избыточности) - принцип повышения надежности путем применения нескольких одинаковых или неодинаковых элементов (каналов, систем) таким образом, чтобы каждый из них мог выполнить требуемую функцию независимо от состояния, в том числе отказа, других элементов (каналов, систем), предназначенных для выполнения этой функции".
-----------------------------
Примечание - В контексте настоящего стандарта это определение нуждается в пояснениях:
- не отличающееся резервирование учитывает риск одиночного (случайного) отказа;
- отличающееся резервирование учитывает риск случайного отказа или отказа по общим причинам.
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.16 работоспособность (reliability): Вероятность того, что устройство, система, компонент или техническое средство будет удовлетворять минимальным эксплуатационным требованиям, когда возникнет такая необходимость 2).
-----------------------------
2)Согласно ГОСТ Р 27.102-2021, статья 5: "надежность (объекта): Свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность объекта выполнять требуемые функции в заданных режимах, условиях применения, стратегиях технического обслуживания, хранения и транспортирования".
-----------------------------
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.17 безопасность (ядерная) [safety (nuclear)]: Защита людей и окружающей среды от радиационных рисков и обеспечение безопасности установок и деятельности, связанных с радиационными рисками 3), 4).
-----------------------------
3)Согласно ГОСТ 26392-84, статья 1: "ядерная безопасность - Свойство ядерного объекта, обусловливающее с определенной вероятностью невозможность ядерной аварии".
4)Согласно НП-001-15, приложение N 2: "Безопасность АС (ядерная и радиационная безопасность АС) - свойство АС обеспечивать надежную защиту персонала, населения и окружающей среды от недопустимого в соответствии с федеральными нормами и правилами в области использования атомной энергии радиационного воздействия".
-----------------------------
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.18 функция безопасности (safety function): Конкретная цель, которая должна быть достигнута для обеспечения безопасности, заключающаяся в предотвращении или уменьшении последствий радиоактивных выбросов от оборудования или видов деятельности в условиях нормальной эксплуатации, ожидаемых нарушений нормальной эксплуатации или аварийных ситуаций 5), 6).
-----------------------------
5)Согласно НП-001-15, приложение N 2: "Функция безопасности - конкретная цель и действия, обеспечивающие ее достижение, направленные на предотвращение аварий и (или) ограничение их последствий".
6)Согласно НП-001-15, приложение N 2: "Авария на АС (авария) - нарушение нормальной эксплуатации АС, при котором произошел выход радиоактивных веществ и (или) ионизирующего излучения за границы, предусмотренные проектной документацией АС для нормальной эксплуатации в количествах, превышающих установленные пределы безопасной эксплуатации; авария характеризуется исходным событием, путями протекания и последствиями".
-----------------------------
Примечания
1 Нормы безопасности МАГАТЭ SSR-2/1 устанавливают требования к функциям безопасности, которые должны быть удовлетворены при проектировании АС, чтобы проект соответствовал трем основным требованиям безопасности:
a) возможность безопасного останова ядерного реактора и поддержания его в безопасном остановленном состоянии во время соответствующих эксплуатационных состояний и аварийных условий, а также после них;
b) возможность отводить остаточное тепло из активной зоны реактора, от реакторной установки и ядерного топлива в хранилищах после останова ядерного реактора, во время соответствующих эксплуатационных состояний и аварийных условий, а также после них;
c) способность снижать потенциальную возможность выброса радиоактивных материалов и обеспечивать удерживание любых выбросов в предписанных пределах во время эксплуатационных состояний и после них, а также в допустимых пределах во время проектных аварий и после них.
2 В МЭК 61226 даны рекомендации, связанные с категориями функций безопасности.
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.19 логическое устройство (safety logic assembly): Оборудование, являющееся частью системы защиты, выполняющее простые логические функции категории А, с очень высоким уровнем надежности и обычно используемое для отправки команд исполнительным механизмам защиты или сигналов другому логическому устройству.
Примечание - Простая логическая функция бывает комбинаторной и/или последовательностной. Соответственно, такая функция полностью пригодна для тестирования.
3.20 система безопасности (safety system): Система, важная для безопасности, обеспечивающая безопасный останов ядерного реактора или отвод остаточного тепла из активной зоны, либо ограничивающая последствия ожидаемых нарушений нормальной эксплуатации и проектных аварий 1).
-----------------------------
1)Согласно НП-001-15, приложение N 2: "Локализующие системы (элементы) безопасности - системы (элементы) безопасности, предназначенные для предотвращения или ограничения распространения выделяющихся при авариях радиоактивных веществ и ионизирующего излучения за предусмотренные проектом АС границы и выхода их в окружающую среду".
-----------------------------
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.21 аварийный останов (scram): Быстрое прекращение работы ядерного реактора при возникновении чрезвычайной ситуации.
Примечание - Термин "аварийный останов" связан с устройством отключения, которое является частью автоматического выключателя, размыкающего цепь. Поэтому аварийный останов часто называют отключением ядерного реактора.
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.22 единичный отказ (single failure): Отказ, который приводит к потере способности отдельной системы или компонента выполнять назначенные им функции безопасности, а также любые последующие отказы, являющиеся его результатом 2).
-----------------------------
2)Согласно НП-001-15, приложение N 2: "Исходное событие - единичный отказ в системе (элементе) АС, внутреннее или внешнее воздействие, или ошибка персонала, либо сочетания указанных событий, которые приводят к нарушению нормальной эксплуатации АС и могут привести к нарушению пределов и (или) условий безопасной эксплуатации".
-----------------------------
Примечания
1 Единичный отказ обычно вызывают такие факторы, как коррозия, термическое напряжение и полный износ, относящиеся к аппаратным средствам системы.
2 Единичный отказ также называют случайным отказом.
3 По причине случайного характера статистическую информацию можно получить из результатов испытаний или из накопленного со временем опыта. Таким образом, можно рассчитать среднюю вероятность и, соответственно, риск, связанный с возникновением случайного отказа.
[Словарь терминов МАГАТЭ по безопасности, 2016 г.]
3.23 отключение (trip): Быстрое снижение мощности ядерного реактора.
Примечание - Отключение ядерного реактора также называют аварийным остановом.
[МЭК 60050-395:2014, статья 395-07-91]
4 Обозначения и сокращения
АС - атомная станция (nuclear power plant, NPP);
БПУ - блочный пункт управления (main control room, MCR);
МАГАТЭ - международное агентство по атомной энергии (international atomic energy agency, IAEA);
ОК - обеспечение качества (quality assurance, QA);
ООП - отказ по общей причине (common cause failure, CCF);
ПИС - постулируемое исходное событие (postulated initiating event, PIE);
ПЛИС - программируемая логическая интегральная схема (field programmable gate array, FPGA);
ПЛУ - программируемое логическое устройство (programmable logic device, PLD);
РПУ - резервный пункт управления (safety control room/emergency control room, SCR);
СКУ - система контроля и управления (instrumentation and control system, l&C system);
СПЛУ - сложное программируемое логическое устройство (complex programmable logic device, CPLD);
ЭМС - электромагнитная совместимость (electromagnetic compatibility, EMC);
EMI/RFI - электромагнитные помехи/радиочастотные помехи (electromagnetic interference/radiofrequency interference);
EMR - электромагнитное реле (electromagnetic relay);
ESF - технические средства безопасности (а также действия и последовательности после их срабатывания) (engineered safety feature);
FMEA - анализ типов и последствий отказов (failure mode and effect analysis);
HDL - язык описания аппаратных средств (hardware description language);
HPD - HDL-программируемое устройство (HDL-programmed device);
SCP - дополнительные точки управления (supplementary control points);
SLA - логическое устройство безопасности (safety logic assembly);
SSR - твердотельное реле (solid state relay);
2oo3 - элемент мажоритарной логики 2 из 3;
2oo4 - элемент мажоритарной логики 2 из 4.
5 Принципы и описание логических устройств
5.1 Логическое устройство
Систему защиты для выполнения функций безопасности цифровыми средствами проектируют с применением программно-реализуемой технологии.
Как правило, такая система имеет несколько, подчас разнообразных дублирующих каналов, обеспечивающих, среди прочего, соответствие системы критериям единичного отказа, достижение заданного уровня работоспособности, а также возможность функционального диагностирования и технического обслуживания системы в режиме реального времени.
Выходные сигналы от различных каналов до отправки конечного сигнала команды исполнительному механизму проходят дополнительную обработку логическим устройством. Процедура обработки зависит от проекта, но обычно включает некоторую форму мажоритарной логики в отношении каналов, в результате чего выходной сигнал канала может быть проигнорирован или направлен в обход для периодической проверки.
В приложении А приведены и другие примеры возможных функций, выполняемых логическим устройством.
Поскольку конечная обработка является простой (последовательная и/или комбинаторная) и важной для безопасности (прямая команда исполнительным механизмам защиты), технология проектирования логического устройства должна быть высоконадежной, т.е. обеспечивать достоверность и безопасность. В приложении С приведены сведения, поясняющие понятие надежности.
Настоящий стандарт не рассматривает логические устройства, использующие программно-реализуемую технологию, поскольку компьютеризированные системы и разработка программного обеспечения надлежащим образом изложены в других стандартах.
Таким образом, логическое устройство, описанное в настоящем стандарте, выполняет логические функции категории А для отправки прямых команд исполнительным механизмам без применения программно-реализуемой технологии.
Проектирование логического устройства, являющегося частью системы защиты, должно осуществляться в соответствии с требованиями МЭК 61513.
5.2 Технология проектирования логического устройства
Логическое устройство может быть спроектировано с применением технологии любого типа, если характеристики надежности соответствуют требованиям. В настоящем стандарте рассмотрены два типа технологий: аппаратно-реализуемая технология и технология с применением HPD.
a) Аппаратно-реализуемая технология подразумевает определение функции логического устройства характеристиками входящих в него компонентов и связями между ними. Данная технология использовалась в первых электронных системах, выполняющих функции безопасности.
Рассмотрено несколько типов технических компонентов, таких как реле, твердотельные компоненты, динамические логические схемы. Иногда вместо термина "аппаратно-реализуемая технология" используют термин "аналоговая технология", чтобы подчеркнуть тот факт, что сигналы являются аналоговыми (напряжение, ток, частота и др.). Но сигналы не обязательно являются аналоговыми, поскольку более ранние цифровые компоненты не были программируемыми. Аппаратно-реализуемая технология является простой, устойчивой к сбоям и быстрой. Функция устройства, спроектированного по такой технологии, постоянна и стабильна.
После валидации и испытаний остающийся риск отказа может быть связан только со случайными отказами по причинам старения, износа, условий окружающей среды, которые могут вызывать отклонения.
Поскольку вероятность отказа можно оценить, поведение системы более или менее предсказуемо.
При применении аппаратно-реализуемой технологии безопасность обеспечивают за счет принятия мер против случайных отказов, что достигается использованием конкретного проекта и неразнообразным резервированием.
b) Технология с применением HPD
Значительное уменьшение размеров электронных компонентов за последнее время способствовало созданию нового вида технологии, основанной на логических схемах с высокой плотностью упаковки, способных выполнять сложные функции с использованием языка описания аппаратных средств (HDL). Такие устройства называют "HDL-программируемыми устройствами" (HPD), к которым относятся ПЛИС, ПЛУ, СПЛУ или специализированные интегральные схемы. Их проектирование основано на принципах аппаратно-реализуемой технологии, поскольку функции аппаратно фиксированы соединениями между логическими элементами. Тем не менее применение данной технологии имеет много сходства с программно-реализуемой технологией, в частности в том, что на проект могут влиять ошибки. Для снижения риска ошибки, обусловленной сложностью устройств, необходимо следовать рекомендациям МЭК 62566.
В связи с очень высокими требованиями к работоспособности и характеристикам безопасности SLA при их проектировании следует тщательно контролировать и выбирать HPD, соответствующие требованиям.
Рекомендации и ограничения, относящиеся к HPD, приведены в В.4.3 приложения В.
5.3 Интерфейсы логического устройства
На рисунке 1 показана типовая организация канала контроля и управления в системе защиты с использованием логического устройства для управления исполнительными механизмами защиты.
Рисунок 1 - Типовые интерфейсы системы защиты, использующей логическое устройство
Как правило, в системе защиты с использованием логического устройства выделяют три части:
a) оборудование безопасности
Например, резервный канал контроля и управления в системе защиты. Канал 1 на рисунке 1, выполняющий функции категории А, в том числе обработку аналоговых сигналов и сравнение уставки с сигналами от датчиков. Это оборудование генерирует двоичные сигналы, являющиеся входными сигналами для логического устройства;
b) логическое устройство (аппаратно-реализуемое или с применением HPD)
Устройство выполняет функции категории А с использованием двоичных сигналов, получаемых от цифрового оборудования безопасности, и других сигналов, в том числе от ручных управляющих устройств, тестовых сигналов и сигналов от других каналов контроля и управления, если востребована мажоритарная логика. В некоторых проектах логические устройства используют для отправки конечных и прямых управляющих сигналов выключателям аварийной защиты или исполнительным механизмам защиты.
Возможно использование дисплеев для индикации данных о безопасности (удаленно или на месте). Некоторые сигналы от коммуникационного и диагностического оборудования (поступающие в логическое устройство системы защиты извне) подключают к интерфейсу системы защиты для улучшения мониторинга системы при поддержке компьютерной системы станции.
Сигналы также могут быть соединены с другими частями системы защиты (например, с другим логическим устройством) в зависимости от функций и архитектуры системы защиты.
Функции, выполняемые логическим устройством, зависят от каждого конкретного проекта и могут существенно отличаться. В некоторых случаях логическое устройство может получать сигналы от исполнительных механизмов, несущие информацию о статусе или месте расположения;
c) интерфейс коммуникационного и диагностического оборудования
Это оборудование связано с логическим устройством системы защиты и выполняет функции категории С, получая сигналы от логического устройства. Сигналы от диагностических устройств с результатами проверки могут быть переданы на компьютеры и в пункты управления при условии, что это оборудование надлежащим образом изолировано от логического устройства.
5.4 Показатели надежности
Рассматривая вопрос о важности логического устройства, направляющего сигнал прямого управления исполнительным механизмам защиты, а также о его надежности, необходимо обратить внимание на его функционирование в случае отказа. Вероятность отказа следует подразделять на вероятность отказа в безопасном состоянии (ложное аварийное отключение) и в небезопасном состоянии (блокирование действия).
Наиболее подходящим параметром, характеризующим безопасность и готовность АС, является надежность (см. приложение С). Функциональная надежность включает два главных показателя работы АС: безопасность и готовность станции.
Назначение логического устройства в системе безопасности АС заключается в гарантированной отправке команды исполнительному механизму безопасности, если требуется выключение.
Лучшего уровня безопасности и готовности можно достичь путем повышения надежности (вероятности надлежащего функционирования без отказов).
В случае отказа SLA рассматривают два варианта:
- отказ с выходным сигналом в состоянии срабатывания (ложное срабатывание механизмов безопасности). Реакторная установка будет остановлена и поэтому будет находиться в состоянии меньшей готовности, но большей безопасности. Для повышения готовности необходимо снизить вероятность отказа в безопасном состоянии;
- отказ с выходным сигналом, заблокированным в небезопасном состоянии. Энергоблок продолжает функционировать, но безопасность под угрозой. Для повышения безопасности необходимо снизить вероятность отказа в состоянии ненахождения в действии.
Безопасность и готовность - показатели, которые могут быть выражены двумя вероятностями:
- вероятность отказа отправки команды, когда такая команда необходима (вероятность отказа по запросу);
- вероятность отказа путем отправления ложного сигнала срабатывания (вероятность отказа в год).
Эти вероятности следует предусмотреть для логического устройства во время проектирования системы защиты, как предписано в МЭК 61513.
Фактические вероятности рассчитывают при анализе работоспособности, выполняемом в соответствии с процедурой, приведенной в МЭК 60812.
Данные вероятности можно корректировать в ходе разработки проекта, обращая внимание на такие аспекты, как внутренняя архитектура, технология, выявление отказа.
5.5 Режимы функционирования
Для подтверждения того, что функционирование логического устройства не нарушено, следует подвергнуть анализу указанные ниже различные режимы функционирования устройства.
Нормальные условия эксплуатации:
- отсутствие отказа, нормальные условия окружающей среды;
- режим отказа;
- тестовый режим;
- пусковой режим для технологии HDL.
Нештатные условия эксплуатации:
- предусмотренные аномальные условия окружающей среды;
- человеческая ошибка: следует учитывать риск человеческой ошибки при реализации некоторых профилактических функций.
5.6 Принципы достижения целей безопасности
5.6.1 Безопасное функционирование в нормальных условиях
Надлежащее функционирование логического устройства возможно при выполнении следующих указаний:
а) корректность функций, реализуемых логическим устройством. Это достигается качеством составления спецификаций и их валидацией, а также качеством проектирования;
b) проведение периодических испытаний для обнаружения отказа, который нельзя выявить с помощью постоянной схемы обнаружения. Если при проведении периодического испытания испытуемая часть оборудования должна быть выведена из эксплуатации, но при этом ее функционирование при испытании необходимо, в проекте следует предусмотреть соответствующее резервирование;
c) работоспособность компонентов для снижения частоты отказов при их функционировании в заданных условиях. Это достигается выбором соответствующих компонентов при проектировании системы защиты;
d) прогнозирование поведения в случае отказа. Даже если все компоненты имеют низкую частоту отказа, поведение в случае отказа логического устройства должно быть понятно. Для этого следует реализовать несколько функций:
- отказоустойчивая конструкция: в случае отказа логического устройства контрольные сигналы автоматически приводят компонент к выключенному или безопасному состоянию;
- проектирование с учетом ограничения времени функционирования с компонентом или частью оборудования, находящимися в состоянии отказа. Это означает, что в проект оборудования закладывают постоянную схему обнаружения отказов, аварийное сигнальное устройство для оповещения операторов технического обслуживания, а также план быстро и легко выполнимого ремонта отказавших модулей;
- внутреннее резервирование логического устройства, чтобы реагировать на риск неотключения в случае отказа.
5.6.2 Безопасное функционирование в нештатных условиях
Логическое устройство должно быть способно функционировать в заданных условиях окружающей среды. Проект должен учитывать все функциональные особенности путем соответствующего выбора компонентов, чтобы оборудование было устойчивым к сбоям. Безопасное функционирование в нештатных условиях достигается посредством квалификации, проводимой в соответствии с 6.5.
5.6.3 Защита от человеческой ошибки
Согласно функциональным спецификациям логическое устройство получает ручные управляющие сигналы, например, для того, чтобы перевести оборудование в тестовый режим или начать вручную управлять исполнительными механизмами безопасности.
Проект должен учитывать риск возможного ненадлежащего управления оператором. Например, запрещено одновременно переводить две зарезервированные части системы в тестовый режим. Необходимо внедрить схему блокировки для изменения логики в зависимости от количества объектов, находящихся в тестовом режиме. Данные особенности важны, и их следует тщательно анализировать при проектировании оборудования.
5.7 Принципы достижения готовности
5.7.1 Требования к готовности АС
Требования к готовности АС понятны и не ограничиваются требованиями к SLA. Так как SLA направляют команды непосредственно исполнительным механизмам, в случае отказа последствия сказываются на функционировании АС, и этот аспект является принципиальным.
5.7.2 Готовность АС при нормальных условиях эксплуатации
При проектировании необходимо обеспечить минимизацию риска ложного срабатывания по причине аппаратного отказа, проектной ошибки или недопустимой команды оператора. Принципы схожи с теми, которые применяют для достижения целей безопасности, но некоторые решения (особенно внутренняя архитектура с мажоритарной логикой) следует тщательно продумывать, чтобы не ставить под угрозу состояние безопасности.
Вероятность того, что единичный случайный отказ вызовет автоматическое срабатывание, должна соответствовать значению, присвоенному логическому устройству.
Мажоритарная логика и после резервирования частей логического устройства должна быть простой и высоконадежной.
5.7.3 Готовность АС в нештатных условиях эксплуатации
Принципы достижения целей безопасности в нештатных условиях эксплуатации применимы также для достижения готовности АС в нештатном режиме эксплуатации.
5.7.4 Защита от человеческой ошибки
Во избежание ложных срабатываний по причине ошибки оператора необходимо реализовать определенные решения, например:
- осуществлять индикацию состояния других резервных каналов с целью четкого информирования оператора о риске срабатывания в случае ручного управления, например, когда канал уже находится в тестовом режиме;
- реализовать схему блокировки во избежание ложного срабатывания. Если проектировщик решает реализовать такую схему, проект следует подвергнуть тщательному анализу, чтобы не ставить под угрозу безопасное функционирование.
6 Проектные требования к логическим устройствам
6.1 Общие положения
Проект логического устройства должен быть разработан таким образом, чтобы:
- обеспечить надлежащее функционирование устройства во всех предусмотренных условиях;
- были достигнуты показатели надежности;
- устройство соответствовало всем требованиям, применимым к системам безопасности.
6.2 Функции
6.2.1 Спецификация функций
Функции безопасности логического устройства специфичны для каждого проекта и должны быть установлены и подвергнуты валидации в соответствии с требованиями МЭК 61513.
Функции с двоичными сигналами являются, в основном, комбинаторными или последовательностными. Выходные сигналы подаются на исполнительные механизмы или другие устройства системы безопасности.
Поскольку функции логического устройства в соответствии с МЭК 61226 относятся к категории А, их необходимо подвергать периодическим испытаниям в соответствии с рекомендациями, изложенными в МЭК 60671.
По возможности в логическое устройство следует внедрить постоянную аппаратно-реализуемую диагностическую схему для обнаружения постулированного отказа или неправильного положения ручных управляющих средств.
Если положение соответствует небезопасному состоянию, должны быть обеспечены индикация сигнала опасности и генерация управляющего сигнала для автоматического срабатывания исполнительного механизма безопасности (проектирование отказоустойчивой системы).
При проектировании логического устройства должны быть тщательно продуманы, а затем внедрены принципы постоянной аппаратно-реализуемой диагностики. Для определения функций схемы постоянной аппаратно-реализуемой диагностики проводят анализ работоспособности и безопасности. Следует определить полноту охвата отказов этой схемой мониторинга.
Постоянная аппаратно-реализуемая диагностика не должна негативно влиять на безопасное функционирование системы.
В качестве примеров функций постоянной аппаратно-реализуемой диагностики можно привести проверку корректного соединения платы, наблюдение за подачей электропитания или корректным положением переключателей.
При возникновении отказа схема аппаратно-реализуемой диагностики передает соответствующие сигналы:
- в систему безопасности, если необходимо отменить любые сигналы, передаваемые неисправным каналом. Это требование следует обосновать посредством анализа;
- оператору на устройство отображения, расположенное по месту, или на удаленный пункт управления через интерфейс и оборудование связи.
6.2.2 Средства ручного управления
Ручными управляющими средствами являются двоичные сигналы, передаваемые непосредственно от оборудования или дистанционно от пунктов управления. Такие управляющие сигналы применяют:
- для ручной активации конкретного исполнительного механизма или всей исполнительной системы безопасности с несколькими исполнительными механизмами;
- переведения части оборудования в состояние для испытания.
В МЭК 60965 установлены требования к средствам ручного управления, применяемым в случае невозможности использования блочного пункта управления.
Ручные управляющие средства оператора проектируют в соответствии с МЭК 61227.
6.2.3 Время срабатывания
Время срабатывания логического устройства должно быть определено и установлено таким образом, чтобы его значение соответствовало требованиям системы безопасности.
Временные характеристики включают два аспекта:
- временная последовательность срабатывания (все управляющие средства не могут быть активированы одновременно);
- время отклика между входным и выходным сигналом каждого модуля.
Временную последовательность срабатываний и время отклика логического устройства подвергают валидации и используют для расчета времени срабатывания системы безопасности в целом.
6.2.4 Отображение аварийных сигналов на дисплее
Состояние выходного сигнала (нормальное или инициирующее срабатывание защиты) от каждого логического устройства должно быть отображено на дисплее (или следует обеспечить средства оповещения). На дисплее также должна быть отображена степень важности входных сигналов.
Рекомендации и требования, относящиеся к функциям аварийной сигнализации в блочном пункте управления, приведены в МЭК 62241.
Требования к реализации функций сигнализации в пунктах управления приведены в МЭК 60964.
Необходимо обеспечить индикацию информации об извлечении модуля для замены.
Следует также отображать (или обеспечить средства оповещения) изменение функции мажоритарной логики логического устройства (например, замену логики 2оо4 на 2оо3), чтобы сократить время, необходимое для обнаружения этого обстоятельства и для ремонта неисправных компонентов.
6.2.5 Интерфейс
Логическое устройство может быть соединено с интерфейсом, диагностическим и коммуникационным оборудованием для предоставления компьютерной системе АС и операторам пункта управления всех важных сигналов от логического устройства. Эти сигналы должны быть изолированы в соответствии с 6.7.
6.3 Архитектура и резервирование
Архитектуру логического устройства, закрепленного за определенным набором исполнительных механизмов в канале системы защиты, проектируют в соответствии с параметрами надежности, как указано в 5.4.
Для достижения необходимого уровня надежности и безопасности в логическом устройстве предусматривают внутреннюю резервную архитектуру, причем резервные части должны обеспечивать высоконадежную мажоритарную логику.
Основные требования к проекту архитектуры логического устройства изложены в МЭК 61513.
6.4 Технология
При проектировании логического устройства возможны различные технологические решения.
В приложении В представлены несколько возможных типов аппаратно-реализуемых технологий и условия их применения при проектировании логических устройств.
Основные критерии при выборе технологии включают способность выполнять функцию, достижение заданной надежности (см. 5.4) и соблюдение условий квалификации (см. 6.5).
6.5 Квалификация
Логические устройства должны быть спроектированы и квалифицированы как важное для безопасности оборудование, устойчивое к окружающим условиям, являющимся следствием нормальных и постулированных исходных событий. Необходимо учитывать влияние следующих параметров 1):
-----------------------------
1)В НП-026-16, пункт 70 к условиям окружающей среды, при которых должно обеспечиваться сохранение работоспособности важного для безопасности оборудования, помимо указанных параметров включены также скорость изменения температуры окружающей среды, предельные значения концентрации коррозионно-активных и иных химических агентов, предельные значения концентрации пыли.
-----------------------------
- температура;
- давление;
- влажность;
- механическая вибрация;
- землетрясение;
- радиация;
- электромагнитная совместимость (ЭМС);
- электрическая изоляция.
Квалификационные испытания и соответствующие применяемые стандарты указаны в 7.2.4.
Спецификация логических устройств должна устанавливать аттестованный срок службы устройств и продолжительность выполнения целевого задания при заданных условиях эксплуатации.
Аттестованный срок службы логического устройства должен соответствовать заданным условиям эксплуатации и продолжительности выполнения целевого задания системы безопасности.
6.6 Обслуживание
Логическое устройство должно позволять проводить простой и быстрый ремонт после обнаружения отказа и при профилактическом обслуживании. Данное положение подразумевает две особенности:
- обнаружение отказов осуществляют с применением специальной детекторной схемы с оповещением оператора о том, какой именно компонент или плата вышли из строя;
- необходимо обеспечивать быструю замену и ограниченную потребность наладки или регулировки. Замена неисправного компонента должна быть быстрой и несложной. Она возможна только после обнаружения и получения сигнала о неисправном компоненте, что возможно, например, путем использования печатных плат, реализованных в стандартных электронных панелях.
Для облегчения обслуживания и быстрой идентификации логического состояния логического устройства и заменяемых модулей необходимо предоставить внутренние и внешние средства.
Запасную часть (модуль, плату) необходимо верифицировать и испытать, прежде чем устанавливать вместо неисправного компонента. Требования к испытаниям всех заменяющих компонентов приведены в 7.3.3.
После извлечения заменяемого модуля вероятность безопасного функционирования соответствующей системы должна поддерживаться на приемлемом уровне безопасности и готовности.
Поскольку для каждого из описанных в приложении В видов технологического решения требуется специфическое обслуживание, оно должно быть тщательно проработано на этапе проектирования.
6.7 Разделение
Проект логического устройства должен быть таким, чтобы все независимые критерии, применимые к системе безопасности в целом, были удовлетворены. Требования к разделению между резервными и другими частями системы должны соответствовать рекомендациям, изложенным в МЭК 60709.
Логические устройства резервных каналов должны быть спроектированы с учетом достаточной степени электрической независимости и физического разделения. Это необходимое, но не достаточное условие для снижения вероятности множественных отказов до приемлемого уровня, соответствующего требованиям к работоспособности, заложенным в проекте системы защиты.
Логическое устройство должно функционировать надлежащим образом при заданном уровне помех. Также необходимо обеспечить защиту в целях соблюдения требований к ЭМС логического устройства с другими устройствами. Принципы проведения квалификации приведены в 6.5, а квалификационных испытаний - в 7.2.4.
Входные и выходные цепи должны быть защищены от возникновения электрического напряжения под воздействием внешних источников и от возможного электрического контакта с ними вследствие неисправности.
При необходимости применения средств для предотвращения образования электрической дуги эти средства не должны отрицательно влиять ни на скорость переключений, ни на работоспособность логического устройства и выводить значения соответствующих показателей за пределы допустимых.
Сигналы ручного управления, получаемые логическим устройством (на месте или от БПУ), должны быть аппаратно реализованы, защищены от влияния ЭМС и разделены изоляционным модулем во избежание отклонений, вызванных непредусмотренным напряжением, аккумулированным на кабелях.
Логическое устройство может быть соединено с другими устройствами, относящимися к другим каналам. Все сигналы соединяют через изоляционные модули других каналов.
Требования к функциональному и коммуникационному разделению архитектуры СКУ на АС должны быть соблюдены во внутренних и внешних соединениях логических устройств.
6.8 Энергообеспечение
К логическим устройствам резервного канала должно подаваться электропитание от резервного канала электроснабжения.
Для поддержания требуемых функций логического устройства, действующего в системе, важной для безопасности, необходимо обеспечивать источник электропитания достаточной независимости и мощности.
Систему энергообеспечения проектируют в соответствии с МЭК 61225.
7 Испытания логических устройств
7.1 Общие положения
Для логического устройства предусмотрено четыре вида испытаний:
- типовые испытания для валидации проекта;
- производственные испытания для валидации изготовления;
- испытания на месте эксплуатации для валидации установки;
- периодические испытания для обнаружения отказов при функционировании логических устройств.
7.2 Типовые испытания
7.2.1 Общие положения
Типовые испытания проводят с целью валидации проекта логического устройства и для подтверждения того, что наблюдаемые рабочие характеристики логического устройства соответствуют или превосходят заданные рабочие характеристики для общего и/или специального проектного условия.
Допускается заменять некоторые типовые испытания теоретическим анализом. Однако, такой анализ должен быть обоснован и зафиксирован документально в квалификационной программе.
7.2.2 Последовательность испытаний
Типовые испытания логического устройства следует выполнять в установленной последовательности, письменно зафиксированной в процедуре испытаний.
Рекомендуются две последовательности испытаний:
a) функциональные и эксплуатационные валидационные испытания - для валидации функций и их выполнения в нормальных условиях эксплуатации;
b) квалификационные испытания - для валидации функционирования оборудования в нештатных и экстремальных внешних условиях.
7.2.3 Функциональные и эксплуатационные валидационные испытания
Логические устройства являются частями систем безопасности, и их функциональные валидационные испытания следует включать в валидационные испытания этих систем безопасности.
Валидационные испытания должны быть выполнены по программе обеспечения качества (ОК) и задокументированы.
Логические устройства испытывают для верификации следующих эксплуатационных характеристик:
- диапазон входных сигналов (допущение для элементов мажоритарной логики 0 и 1);
- диапазон выходных сигналов (допущение для элементов мажоритарной логики 0 и 1);
- логическая функция;
- время реагирования (логическое устройство должно выдавать выходной сигнал в течение установленного времени после инициации конфигурации входных сигналов);
- ограничения выхода за пределы диапазона входных сигналов;
- входное и выходное сопротивление;
- допустимые нагрузки;
- допустимые характеристики входного сигнала;
- допустимые характеристики выходного сигнала, где применимо;
- характеристики изолирования и разделения (для любого входа и выхода от любого входа и выхода);
- номинальная нагрузка (переменный ток, постоянный ток индуцирующий и резистивный);
- соотношение сигнал/шум (измеряемое в децибелах и указываемое в качестве меньшего значения, соответствующего элементу мажоритарной логики 1).
7.2.4 Квалификационные испытания
Необходимо провести верификацию того, что оборудование выполняет предписанные ему функции до, в процессе и после постулируемого исходного события. Типовое испытание состоит из процедур, осуществляемых в заданной последовательности:
- квалификационные испытания на влияние условий внешней среды в соответствии с IEC/IEEE 60780-323;
- квалификационные испытания на сейсмостойкость в соответствии с МЭК 60980;
- квалификационные испытания на ЭМС в соответствии с серией стандартов МЭК 61000 и МЭК 62003;
- квалификационные испытания на облучение, где применимо, в соответствии с IEC/IEEE 60780-323.
7.3 Производственные испытания
7.3.1 Общие положения
Для верификации того, что логические устройства, изготовленные на заводе, находятся в полном соответствии с устройствами, прошедшими типовые испытания, выполняют нижеуказанные испытания на соответствующем количестве образцов.
Условия и процедуры производственных испытаний устанавливают в программе обеспечения качества, составляемой производителем.
7.3.2 Испытания запасных частей
Запасные части предоставляют в виде электронных модулей или печатных плат. Они могут быть изготовлены в любое время в течение жизненного цикла оборудования и испытаны в соответствии с технологическими процедурами.
Для проверки функционирования запасных частей рекомендуется использовать специальный испытательный стенд, представляющий все интерфейсы в реальных условиях.
На протяжении жизненного цикла АС необходимо обращать внимание на возможное моральное устаревание, в связи с чем может потребоваться разработка новой конструкции запасной части. Квалификацию новой запасной части следует проводить в соответствии с требованиями, изложенными в 7.2.4.
Функциональную квалификацию и квалификацию на соответствие условиям окружающей среды необходимо анализировать, чтобы определить последовательность выполнения испытаний для обеспечения действительности квалификации.
7.3.3 Производственные испытания изготовленных логических устройств
Производственные испытания логических устройств должны включать:
- визуальный осмотр;
- проверку сварки, пайки, накрутки проводов и других методов соединения;
- проверку механических допусков;
- электрические испытания (испытание изоляции на сопротивление и пробой);
- испытания источников электропитания;
- функциональные испытания. Может быть указана необходимость предварительной приработки оборудования.
Вышеуказанные испытания выполняют в отношении всего объема выпущенных логических устройств.
7.3.4 Испытания замещающих компонентов/модулей
Все приобретаемые компоненты должны быть такого же типа, как и в квалифицированном оборудовании. Однако, когда возникает необходимость применения замещающих компонентов, они должны иметь соответствующее подтверждение в виде квалификационной документации, в которой должны быть отражены процесс изготовления, процедуры обеспечения качества и отличия ожидаемых характеристик, имеющие отношение к работе оборудования.
Если программа обеспечения качества включает испытания образцов, число компонентов или модулей, отбираемых в качестве образцов, должно соответствовать указанному уровню обеспечения качества, уровню отбора образцов и уровню контроля.
7.3.5 Испытания сборных шкафов
В отношении каждого сборного шкафа должны быть выполнены следующие испытания:
- функциональные испытания, по возможности наряду с аппаратурой автоматики, по крайней мере в отношении всех конфигураций входных и выходных сигналов, необходимые для выявления отказоопасных дефектов;
- проверка корректности функционирования вентиляции и других средств охлаждения;
- испытания статистической выборки для верификации изоляции между входными и выходными терминалами, а также между клеммными колодками и корпусами. Число испытаний может быть выбрано в соответствии со спецификацией.
7.4 Испытания на месте эксплуатации
7.4.1 Проверки технического состояния оборудования перед установкой
Перед установкой на месте логическое устройство необходимо проверить для подтверждения того, что оно не было повреждено во время транспортирования.
Проверку проводят в соответствии с прописанной процедурой и составляют отчет, подтверждающий, что все компоненты логического устройства перед установкой находятся в надлежащем состоянии.
7.4.2 Валидационные испытания установки
После установки на месте необходимо провести испытания, подтверждающие, что логическое устройство установлено должным образом и функционирует корректно.
Испытания проводят в соответствии с прописанной процедурой, учитывающей все возможные влияния на функционирование логического устройства условий места установки, например:
- адресация и соединение кабелей;
- закрепление шкафа;
- заземление.
После испытаний установки выполняют приемочные испытания в рамках приемочных испытаний системы защиты.
Возможность проведения диэлектрических испытаний изоляции или EMI/RFI испытаний следует рассматривать особо, учитывая ограничения во избежание нарушений в работе других систем.
7.4.3 Периодические испытания
Периодические испытания необходимо проводить в нормальных эксплуатационных условиях с целью выявления отказа, который нельзя обнаружить с помощью постоянных диагностических схем.
Согласно МЭК 61226 логические устройства выполняют функции категории А, они являются частью системы защиты и функционируют на протяжении многих лет. Их необходимо подвергать испытанию, которое должно подтверждать соответствие логического устройства критерию единичного отказа.
Промежутки времени между периодическими испытаниями определяют при анализе надежности в соответствии с вероятностными требованиями безопасности.
Рекомендуется использовать автоматический тестер, формирующий отчет об испытании.
Методы и процедуры контрольных испытаний должны соответствовать требованиям МЭК 60671.
8 Обеспечение качества
Для логического устройства обеспечения безопасности должен быть составлен план обеспечения качества с учетом специфики атомной отрасли и в соответствии с требованиями IAEA-GSR, часть 2.
В МЭК 61513 приведен большой перечень рекомендаций, относящихся к проектированию и реализации систем, в том числе к обеспечению качества.
Библиография
IEC 60050-395, |
International Electrotechnical Vocabulary - Part 395: Nuclear instrumentation: Physical phenomena, basic concepts, instruments, systems, equipment and detectors |
IEC 60300 (all parts) |
Dependability management |
IEC 60706 (all parts) |
Maintainability of equipment |
IEC 60880 |
Nuclear power plants - Instrumentation and control systems important to safety - Software aspects for computer-based systems performing category A functions |
IEC 62340 |
Nuclear power plants - Instrumentation and control systems important to safety - Requirements for coping with common cause failure (CCF) |
IAEA Safety fundamentals - SF-1, Fundamental safety principles | |
IAEA Safety Glossary - edition 2016 | |
IAEA Specific Safety Guide - SSG-30, Safety classification of structures, systems and components in nuclear power plants | |
IAEA - SSG-39, Design of Instrumentation and Control Systems for NPP (Specific Safety Guide) | |
IAEA - SSR-2/1 Rev1, Safety of Nuclear Power Plants Design (Specific Safety requirements) |
Ключевые слова: атомные станции; системы контроля и управления, важные для безопасности; логические устройства; классификация систем.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Национальный стандарт РФ ГОСТ Р МЭК 60744-2023 "Атомные станции. Логические устройства, используемые в системах безопасности, выполняющих функции категории А. Характеристики и методы испытаний" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 9 октября 2023 г. N 1086-ст)
Текст ГОСТа приводится по официальному изданию Российского института стандартизации, Москва, 2023 г.
Дата введения - 1 декабря 2023 г.