Приложение А (справочное). Основные вопросы безопасности АС. Национальный стандарт РФ ГОСТ Р МЭК 61513-2011 "Атомные станции. Системы контроля и управления, важные для безопасности. Общие требования" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 28.09.2011 N 377-ст) (утратил силу)

Приложение А
(справочное)

Основные вопросы безопасности АС

В настоящем приложении представлены основные положения концепции безопасности, которые применены в настоящем стандарте к проекту систем контроля и управления на АС.

А.1 Цели безопасности АС

Любая промышленная деятельность, которая влечет за собой риски для рабочих, населения и окружающей среды, требует от оператора принятия всех мер, необходимых для того, чтобы эти риски находились на разумно достижимом низком уровне. Одним из характерных рисков ядерной энергетики является потенциальная опасность ионизирующего излучения (см. раздел 201 МАГАТЭ 50-C-D).

Основная цель радиационной безопасности - защитить людей, общество и окружающую среду посредством установления и поддержания эффективной защиты от радиационного воздействия АС (см. 2.1 75-INSAG-3 и раздел 2 МАГАТЭ 50-C-D).

Безопасность современных АС определяется вероятностью тяжелого повреждения активной зоны менее событий в год. Применение всех принципов безопасности для будущих АС должно привести к достижению уровня этой вероятности не более событий в год. Строгое применение мер по управлению в аварийных условиях и мер по ликвидации последствий должно привести к уменьшению вероятности повышенного выброса с АС, требующего контроля за ее пределами, по крайней мере, в 10 раз (см. 2.3 МАГАТЭ 75-INSAG-3).

А.2 Анализ безопасности АС

Анализ безопасности в проекте АС выполняют, чтобы установить и подтвердить основы проектирования узлов, важных для безопасности, и гарантировать, чтобы проект АС в целом был способен обеспечить соблюдение пределов и контрольных уровней доз облучения, а также выбросов и сбросов, установленных регулирующим органом, при всех режимах работы АС (см. 2.3 МАГАТЭ 75-INSAG-3).

Анализ безопасности может включать в себя:

- подтверждение того, что пределы эксплуатации и условия соответствуют требованиям нормальной эксплуатации АС;

- описание постулированных исходных событий, характерных для проекта АС, и места их возникновения;

- анализ и оценку последовательностей событий, возникающих вследствие исходного постулированного события;

- сравнение результатов анализов с принятыми радиационными критериями и проектными пределами;

- установление и подтверждение основ проектирования;

- подтверждение того, что возможно управление при отклонениях от нормальной эксплуатации и авариях с помощью средств автоматических систем безопасности в комбинации с предписанными действиями оператора.

Такой анализ безопасности проводится в виде итеративного процесса, начиная с концептуальных основ проекта вплоть до окончательной оценки безопасности АС, и должен учитывать все детали структуры АС, которые могут отразиться на безопасности. При анализе безопасности рассматриваются вероятные ошибки персонала в процессе эксплуатации и условиях аварии.

Анализ должен показать, что действия, выполнение которых обеспечивается системами управления и операторами, влияют на состояние АС, поддерживая дозы облучения персонала и населения ниже установленных пределов как при нормальной эксплуатации и отклонениях от нормальной эксплуатации, так и в аварийных условиях.

А.2.1 Анализ последующих событий

Целью анализа является последовательное детальное выявление возможных последствий постулированного исходного события, включая те из них, которые возникают из-за отказов вспомогательных и обеспечивающих систем и из-за ошибки оператора. Результаты такого анализа последующих событий могут затем использоваться для определения соответствия требованиям безопасности АС, правилам проектирования, установленным МАГАТЭ (см. приложение к МАГАТЭ 50-C-D).

При анализе для определения возможных состояний АС после постулированного исходного события полезными инструментами являются анализ дерева событий (качественный анализ) и дерева отказов (количественный анализ).

Отмечается, что невозможно и нет необходимости включать в анализ безопасности каждое последующее событие, которое может произойти. Однако в анализе безопасности следует выявить и рассмотреть в деталях те постулированные исходные события и их последствия, которые соответствуют граничным случаям проекта безопасности.

Даже ограничиваясь рассмотрением последствий событий, приводящих к граничным состояниям, указанным выше, использование методологии дерева событий во многих практических случаях приводит для каждого постулированного исходного события к выявлению большого числа состояний АС, которые действительно могут быть рассмотрены детально. Поэтому допустимо ограничиваться при детальном анализе рядом типичных последствий события.

А.2.2 Оценка основ проектирования: детерминистический или вероятностный методы

Для оценки степени достижения целей безопасности разработаны соответствующие методики (см. 3.3.4 МАГАТЭ 75-INSAG-3).

При использовании детерминистического подхода проектные события выбирают так, чтобы ограничить круг связанных вероятных исходных событий, которые могли бы повлиять на безопасность АС.

Вероятностный метод используют для оценки вероятности любого отдельного случая и его последствий. При проведении оценки допустимо принимать в расчет меры по смягчению последствий как на самой АС, так и за ее пределами.

Сравнение детерминистического и вероятностного методов:

отсутствие достаточных данных о поведении компонентов или систем контроля и управления или невозможность определить подходящую модель могут препятствовать строгой количественной вероятностной оценке. Однако частичный вероятностный метод может дополняться качественным инженерным рассмотрением. С другой стороны, детерминистический метод требует такого инженерного рассмотрения, которое, безусловно, содержит некоторые качественные вероятностные оценки.

В сущности, текущая практика состоит в использовании детерминистического метода при проектировании систем контроля и управления и вероятностного - для оптимизации отдельных частей проекта и оценки общей безопасности АС.

А.3 Глубокоэшелонированная защита

Основой философии безопасности является концепция глубокоэшелонированной защиты. Эта концепция должна применяться ко всем аспектам деятельности, связанной с безопасностью, для гарантии обеспечения частичного перекрытия мер безопасности, чтобы в случае, когда отказ произошел, он компенсировался или исправлялся дополнительными мерами (см. раздел 2 МАГАТЭ 50-C-D; 3.2 и приложение к МАГАТЭ 75-INSAG-3; 3.3 МАГАТЭ 50-SG-D8 и МАГАТЭ 50-SG-D11).

Первое применение концепции глубокоэшелонированной защиты заключается в создании в процессе проектирования набора независимых, но дополняющих друг друга устройств и процессов для предотвращения аварии или обеспечения соответствующей защиты в случае, если отказ все-таки имел место. Примеры многоуровневой защиты:

- создание многократно резервированных средств, обеспечивающих выполнение каждой основной функции безопасности, т.е. управление реактивностью, отвод тепла и удержание радиоактивности;

- использование надежных защитных устройств в дополнение к внутренним свойствам безопасности;

- организация управления АС с помощью автоматики и действий оператора;

- создание оборудования и процессов, обеспечивающих уменьшение последствий аварии.

В общем, все линии защиты должны применяться в течение всего времени действия различных эксплуатационных режимов:

Цель первой линии защиты - предотвратить отклонение эксплуатации АС от нормальной. Для этого необходимо, чтобы станция была надежно, с определенной степенью консервативности спроектирована, построена и эксплуатировалась при соответствующем уровне качества и инженерного опыта.

Цель второй линии защиты - выявить и предупредить отклонения от условий нормальной эксплуатации, чтобы предотвратить переход предусмотренных проектом эксплуатационных событий в аварийную ситуацию.

Для третьей линии защиты предполагается, что (хотя это крайне нежелательно) развитие предусмотренных событий не могло быть предотвращено предыдущими линиями защиты, и поэтому для управления последствиями возникающих аварийных условий предусматривается дополнительное оборудование и процессы.

После третьей линии защиты дополнительная защита населения обеспечивается за счет неосновных вспомогательных свойств АС (которые не представляются важными для безопасности) и планов аварийной готовности, которые, по большей части, не зависят от типа реакторной установки.

Второе применение концепции глубокоэшелонированной защиты состоит в сооружении и эксплуатации АС так, чтобы радиоактивные материалы удерживались рядом физических барьеров. Эти физические барьеры являются пассивными и чаще всего включают в себя топливо, оболочку топливного элемента, границу контура охлаждения реактора и контейнмент. Проект должен обеспечить необходимую эффективность и защитные свойства каждого из указанных выше физических барьеров.

Еще одно применение концепции глубокоэшелонированной защиты заключается в осуществлении однократного или многократного резервирования систем контроля и управления. Для того, чтобы уменьшить масштаб нарушения и достичь глубокоэшелонированной защиты, допускается использование более одной системы контроля и управления, которые срабатывают по мере того, как контролируемая переменная отклоняется от нормального значения. В первую очередь, если переменная отклоняется от значений, соответствующих нормальным условиям, отрабатывают неклассифицированные системы. После действий этих систем управления может включаться один или несколько уровней дополнительных систем управления, важных для безопасности, прежде чем будут задействованы защитные системы, в случае если событие превращается из незначительного отклонения от нормальной эксплуатации в постепенно нарастающий переходный процесс. Целью каждой линии защиты является приостановление развития события и возврат системы к нормальной эксплуатации при небольших отклонениях и безопасный останов при событиях, которые могут превратиться в более серьезные.