Приложение В (обязательное). Логическое устройство как аппаратно-реализованное технологическое решение. Национальный стандарт РФ ГОСТ Р МЭК 60744-2023 "Атомные станции. Логические устройства, используемые в системах безопасности, выполняющих функции категории А. Характеристики и методы испытаний" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 09.10.2023 N 1086-ст)

Приложение В
(обязательное)

Логическое устройство как аппаратно-реализованное технологическое решение

В.1 Краткий обзор

В.1.1 Общие положения

Ни на одну электронную технологию нельзя положиться на 100 %. У любого решения есть показатель частоты отказов. Для удовлетворения достаточно жестких требований, предъявляемых к системе безопасности, следует особенно тщательно подходить к выбору технологии и конечной логики, применяемых к резервным управляющим сигналам.

Логические устройства могут быть реализованы посредством различных технологических решений в целях достижения заданного уровня безопасности. Выбор логических систем (статических или динамических) должен соответствовать требованиям к работоспособности системы защиты в целом.

Наивысших уровней защиты обычно достигают при использовании систем, спроектированных с учетом заданного вида отказа (параметрами отказоустойчивости). Когда для этой цели применяют динамические полупроводниковые или магнитные логические устройства, их виды отказов должны быть изучены, чтобы убедиться, что все они соответствуют характеру безопасных отказов (обычно отсутствуют динамические логические сигналы).

Для повышения безопасности и/или готовности можно использовать резервирование как для статических, так и для динамических логических систем.

Испытания статических логических систем повышают надежность благодаря сокращению средней продолжительности отказа и, следовательно, времени, в течение которого опасный невыявленный отказ остается в системе. Рекомендации приведены в МЭК 60671.

Электронная технология использует компоненты с низким энергопотреблением для выполнения функций контроля и управления.

Проектирование логического устройства может предусматривать использование компонентов различных технологий. В следующих разделах представлены возможные аппаратно-реализуемые технологические решения, их основные особенности и требования к проектированию логического устройства.

В.1.2 Реле

Логическое устройство, генерирующее сигнал останова или срабатывание ESF, может быть реализовано в виде реле.

Реле являются простыми и надежными компонентами, которые применяют для исполнения логических функций посредством соответствующих соединений между контактами и катушками. Для реле существует два основных технологических решения:

- электромагнитные реле (EMR);

- твердотельные реле (SSR).

Для применения в качестве логических устройств здесь рассмотрены только реле, работающие на низком напряжении и низких токах.

В.1.3 Электромагнитные реле

Электромагнитное реле (EMR) представляет собой переключатель с электрическим приводом, контакты которого перемещаются силой магнитного поля, регулируемой электрическим током.

Реле, используемые в системе безопасности, должны быть рассчитаны на непрерывную работу в соответствии с серией стандартов МЭК 60255. Необходимо учитывать следующие аспекты:

- необходимо установить напряжение для испытания изоляции катушки реле;

- необходимо установить номинальное напряжение изоляции контактов;

- размер контактов реле должен быть обеспечен с запасом.

Особый интерес представляют специфические особенности EMR в конструкции логического устройства:

- разделение управляющего сигнала и управляемых цепей и разделение контактов. Важно соблюдать электроизоляцию между сигналами, поступающими от нескольких резервных каналов, даже в случае отказа. По этой причине электромагнитные реле предпочтительнее использовать для выполнения простых логических функций с изолированными двоичными сигналами;

- полное сопротивление катушки позволяет реализовать в конструкции контроль целостности цепи. Для этого целесообразно использовать низкий ток, меньший чем рабочий ток, или импульсные токи продолжительностью менее времени работы цепи. В тех исключительных случаях, когда подача питания вызывает останов, тестовый ток должен составлять порядка одной десятой минимального тока, который может подаваться для питания реле. Последнюю рекомендацию не обязательно применять к испытанию или контролю непрерывности импульса;

- время переключения EMR, которое может быть значительным, должно быть установлено с учетом времени срабатывания логического устройства;

- благодаря механической конструкции EMR должны быть прочными, чтобы противостоять ударам и ускорениям при сейсмических событиях.

- EMR с несколькими полюсами и изолированными контактами подходят для проектирования логических функций между несколькими сигналами.

За длительное время эксплуатации подвижные элементы изнашиваются и могут выйти из строя. Из-за искрения меняется электрическое сопротивление, контакты подвергаются эрозии, что делает реле непригодным, сокращая его срок службы. Работоспособность EMR зависит от нескольких параметров, включая число совершаемых операций, напряжение и ток на контактах.

Реле подлежат квалификации на время срабатывания и функционирование в конкретных условиях системы безопасности. Хотя требование ко времени срабатывания реле может меняться в зависимости от типа и/или механизма действия, необходимо обоснованное доказательство того, что время срабатывания реле подходит для останова ядерного реактора и для функционирования ESF. Обоснование должно касаться также пригодности с точки зрения охраны окружающей среды в соответствии с серией стандартов МЭК 60255.

В.1.4 Твердотельные реле

Твердотельное реле (SSR) представляет собой электронный компонент, который выполняет такую же функцию, как и электромагнитное реле, но не имеет подвижных элементов, что увеличивает продолжительность его срока службы.

В твердотельном реле для переключения управляемой нагрузки вместо соленоида применяют тиристор или другое твердотельное переключающее устройство, приводимое в действие управляющим сигналом.

Для изолирования управляющих и управляемых схем можно использовать оптическую развязку (светоизлучающий диод совместно с фототранзистором). Но такая конструктивная особенность предполагает обеспечение отдельного энергоснабжения.

Время переключения SSR очень короткое, а собственная индуктивность незначительна, что усложняет реализацию схемы контроля целостности цепи.

В.2 Магнитные усилители

Магнитный усилитель представляет собой электромагнитное устройство на основе нескольких очень простых компонентов, таких как катушки индуктивности, ферромагнитный сердечник и диоды. В нем нет подвижных элементов и изнашивающегося механизма, и он имеет хорошую устойчивость к механическим ударам и колебаниям. Многочисленные изолированные сигналы можно суммировать с помощью дополнительных управляющих обмоток на магнитных сердечниках. Обмотки магнитного усилителя более устойчивы к кратковременным перегрузкам, чем сопоставимые твердотельные устройства. Сердечники магнитных усилителей устойчивы к воздействию радиации. По этой причине они давно нашли применение в ядерной энергетике.

Благодаря своей простой конструкции магнитный усилитель имеет очень низкую частоту отказов и может работать без отказов очень долгое время.

Применение магнитных усилителей ограничено выполнением простых функций, сочетающихся с размерами и массой таких компонентов. Квалификацию на сейсмостойкость следует предусмотреть в самом начале проектирования, чтобы обеспечить жесткое крепление тяжелых компонентов.

В.3 Применение динамической логики для повышения отказобезопасности системы

Динамическая логика является электронной технологией на основе дискретных компонентов и преобразователей, использующая переменный тактовый сигнал, с несколькими ячейками для выполнения логической функции. На протяжении времени существования тактового сигнала выходной сигнал устройства корректен. В случае любого отказа тактовый сигнал прекращается, и выходной сигнал становится равным нулю. Данная особенность интересна с точки зрения характеристики отказобезопасности системы, т.к. выходной сигнал прогнозируем, а также может быть использована для повышения характеристик безопасности логического устройства.

Необходимо выполнить формальный анализ проекта и оформить это документально для подтверждения того факта, что проект соответствует требованиям функциональной надежности и не содержит неизвестных режимов отказа.

В.4 Твердотельные схемы

В.4.1 Общие положения

Как правило, для функционирования твердотельных логических устройств необходимы сигналы меньшей мощности, чем для работы реле. В связи с этим необходимо уделять особое внимание минимизации внешних (шумовых) сигналов от электромагнитных излучений, электростатических разрядов, блуждающих токов и бросков напряжения источников электропитания.

Необходимо установить соответствующие методы определения допустимых пределов нарушения функционирования при наличии влияния источников наихудших постулированных помех.

При соблюдении вышеуказанных условий маловероятно повреждение компонентов логических устройств в результате электрических помех. Тем не менее компоненты, применяемые на входных и выходных интерфейсах логического устройства (например, оптические вентили), должны без повреждений выдерживать постулированные наихудшие уровни электрических помех, индуцируемых в соединительных кабелях.

В.4.2 Дискретные компоненты

В твердотельных схемах для генерирования выходных электрических сигналов из входных электрических сигналов и выполнения необходимых функций применяют такие дискретные электронные компоненты, как транзисторы, конденсаторы, диоды и т.д.

Наиболее важно то, что в случае отказа выходной сигнал твердотельной схемы нельзя прогнозировать, он может быть инициирован или нет.

Более того, в некоторых особых случаях отказ может привести к неустойчивым управляющим сигналам.

В проект логического устройства с твердотельными схемами необходимо включать дублирующие схемы, ограничивающие последствия отказа. Дублирующие выходные управляющие сигналы должны быть связаны с очень простой и надежной логической функцией.

В.4.3 HPD в качестве интегрированных компонентов логических устройств

Электронные компоненты естественным образом развиваются в направлении большей миниатюризации и становятся пригодны в качестве компонентов с высоким уровнем интеграции: HDL-программируемые устройства (HPD), такие как программируемые логические интегральные схемы (ПЛИС), ПЛУ, СПЛУ.

По сути, это проводные компоненты (узлы с большим количеством логических элементов), но их сложность такова, что требует применения вычислительных средств при их проектировании, например, конфигурацию ПЛИС обычно определяют с использованием программы на основе языка описания аппаратных средств (HDL). Кроме того, они могут воспроизводить поведение некоторых микропроцессоров.

Современный быстрый процесс миниатюризации технологий субмикронных комплементарных металл-оксидных полупроводников, используемых в качестве компонентов HPD, выявил три фундаментальных проблемы, относящиеся к привлечению этих компонентов для выполнения функций безопасности, и эти проблемы усугубляются с повышением степени миниатюризации:

- данные компоненты склонны к одиночным отказам из-за интерференции частиц;

- на них может влиять миграция токов, что может сократить срок их службы;

- сложность высоко интегрированных компонентов не оправдывает повышение безопасности.

В связи с вышесказанным применение HPD в качестве интегрированных компонентов при проектировании SLA следует ограничить простыми логическими функциями, и их следует выбирать из тех, которые имеют доказанные характеристики, свидетельствующие о сроке службы, сопоставимом с заданным сроком службы системы, и отвечают требованиям, необходимым для обоснования безопасности. По этой причине применение в качестве компонентов логических устройств HPD с высокой степенью миниатюризации не рекомендовано.

Компоненты HPD с высокой плотностью распределения элементов проектируют для выполнения сложных функций, и это не относится к функциям, выполняемым логическими устройствами. Для логических устройств следует выбирать HPD компоненты малой сложности.

Показатели, характеризующие работоспособность и безопасность логических устройств, должны быть тщательно оценены и согласованы с работоспособностью и безопасностью системы защиты, в которой их используют. В соответствии с требованиями МЭК 62566 указанные компоненты могут быть использованы для выполнения функций категории А.