4 Основные принципы разделения внутри систем контроля и управления, важных для безопасности. Национальный стандарт РФ ГОСТ Р МЭК 60709-2011 "Атомные станции. Системы контроля и управления, важные для безопасности. Разделение" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 26.09.2011 N 337-ст)

4 Основные принципы разделения внутри систем контроля и управления, важных для безопасности

4.1 Общие положения

МЭК 61226 устанавливает классификацию функций безопасности соответственно их важности для безопасности и содержит требования по физическому разделению с целью обеспечения защиты от распространения отказов, обусловленных физическими явлениями, и от одновременной подверженности риску резервных систем.

Система контроля и управления может выполнять функции различных категорий безопасности. В таком случае системе присваивается наивысшая категория из тех, которые соответствуют выполняемым ею функциям. Например, система, выполняющая функции категорий А и В, определяется как система категории А.

Для поддержания независимости резервных систем, независимости различных систем, а также для обеспечения эффективности применения резервирования и разнообразия (предусмотренных для достижения высокой надежности систем, важных для безопасности) в проектных решениях СКУ, важных для безопасности, следует применять следующие общие принципы.

Системы, выполняющие функции категории А, должны быть защищены от побочных физических явлений, вызываемых неисправностями и нормальными процессами:

a) в резервных частях таких систем;

b) в системах более низкой категории.

Рассматриваемые неисправности должны включать в себя как внутренние неисправности СКУ и ее электропитания, так и те, которые происходят в результате событий, являющихся внешними по отношению к СКУ.

В ряде случаев может возникнуть необходимость в обеспечении физического разделения между различными системами, выполняющими функции категории А, если требуется независимость этих функций.

Системы, выполняющие функции категории В, должны быть защищены от побочных физических явлений, вызванных неисправностями и нормальными процессами:

a) в резервных частях таких систем;

b) в системах более низкой категории.

Рассматриваемые неисправности должны включать в себя внутренние неисправности СКУ и ее электропитания, однако могут не включать неисправности, возникающие в результате внешних по отношению к СКУ событий. В тех случаях, когда функции категории В предназначены для обеспечения защиты от конкретных угроз, системы должны подчиняться принципам категории А. Например, в некоторых странах все системы, необходимые для осуществления и поддержания в течение длительного времени останова, должны быть, независимо от их категории, защищены от угрозы пожара.

Некоторые системы, выполняющие функции категории С, могут нуждаться в защите от воздействий, вызванных неисправностями в других системах. Это должно определяться в каждом конкретном случае.

Системы без категории не нуждаются в защите от воздействий, вызванных неисправностями в других системах.

Разделение препятствует:

a) распространению отказов от системы к системе,

b) распространению отказов между резервными частями внутри систем,

c) отказам по общей причине вследствие внутренних угроз на станции.

Там, где требуется физическое разделение, необходимо рассмотреть меры по предупреждению распространения отказов:

- возникающих одновременно в однотипных компонентах системы вследствие ПИС;

- между системами одной и той же категории безопасности;

- между резервными группами безопасности одной и той же СКУ, важной для безопасности; и

- от систем низшей категории к системам высшей категории и в отдельных случаях от систем высшей категории к системам низшей категории.

Необходимо принимать во внимание (т.е. должны быть определены, зафиксированы документально и обоснованы) приведенные в последующих подпунктах типы исходных событий, вызывающих отказы. В СКУ, важных для безопасности, должны быть приняты соответствующие меры, ограничивающие эффекты от этих событий до приемлемого уровня. Следует учитывать эффекты, возникающие при комбинации явлений отказа.

4.2 Проектные ошибки

Нельзя игнорировать возможные ошибки в технических требованиях к СКУ, важным для безопасности. Подобные проектные ошибки могут привести к распространению неисправностей между системами, например к недостаточной изоляции кабелей, неподходящим размерам проводников и т.п. Средства по предотвращению такого типа неисправностей обычно включают в себя консервативное проектирование физического разделения и электрической изоляции.

4.3 Случаи отказа системы контроля и управления

Должны быть учтены вызывающие отказ исходные события, причина которых заключается внутри каждой СКУ, важной для безопасности. Такие события обычно характеризуются локальными механическими и электрическими явлениями, функциональные последствия которых могут быть различны. Единичные отказы в центральном обрабатывающем устройстве СКУ и в интерфейсах мультиплексных линий связи потенциально могут вызвать и многократные отказы. Можно выделить следующие случаи отказа СКУ.

4.3.1 Случайный единичный отказ

Должен быть учтен случайный единичный отказ компонента СКУ, включая электропитание или другое запасное энергоснабжение, который может привести к неисправной работе компонента, короткому замыканию, разрывам цепи, изменению напряжения или частоты замыканием на землю, механическому повреждению компонента или локальному возгоранию. Причиной этого могут быть перегрузка, потеря охлаждения или недостаточное охлаждение, механические повреждения, ошибки во время технического обслуживания или ремонта, химические повреждения, случайный отказ, обусловленный некачественными материалами, а также другие явления.

4.3.2 Множественные отказы, вызванные одной общей причиной

Должны быть учтены последствия, которые возникают в результате отказов в двух или большем количестве компонентов и которые влияют на резервные группы безопасности. Эти отказы могут быть вызваны одной общей причиной, такой как ошибка технического обслуживания, механические повреждения или электрические помехи. Необходимо также учесть влияние окружающей среды, повреждения, вызванные радиацией, и другие возможные общие физические факторы.

4.4 События на атомной станции, приводящие к отказам

Вызывающие отказ исходные события, причиной которых являются условия на станции, могут привести к отказам компонентов СКУ. Эти события характеризуются их способностью приводить к выбросам большой энергии и набором явлений, которые затрагивают отдельные помещения и части здания. Такие события можно разделить на следующие подгруппы.

4.4.1 Внешние условия

Необходимо учесть изменение внешних условий, таких как поля радиации, температуры, давления и влажности, в период нормальной эксплуатации и в аварийных условиях. Пожар или задымление, воздействующие на оборудование в помещении или на кабельную проводку, также являются важным условием окружающей среды. Необходимо также принять во внимание ложное срабатывание систем ликвидации пожара.

4.4.2 Электромагнитные помехи

Основа функционирования СКУ - это формирование и передача электромагнитных сигналов. Эти сигналы могут быть подвержены случайным изменениям или искажениям, которые возникают в результате воздействия внешних источников. Техническое развитие СКУ, в особенности уменьшение напряжения сигнала, может сделать системы еще более подверженными сбоям и искажениям. Поэтому необходимо учитывать электромагнитные помехи как возможный источник отказа по общей причине в резервной группе безопасности СКУ. Разделение является одним из подходов к сохранению независимости сигналов СКУ и их защиты от возможного ООП, вызванного электромагнитными помехами.

В серии стандартов МЭК 61000 дано руководство по проектированию и испытаниям на электромагнитные помехи.

4.4.3 Отказы систем, оборудования или устройств станции

Должны быть учтены ПИС в системах, оборудовании или устройствах станции, такие как пожар, ракетный удар, провисание труб, механические и термические эффекты, взрывы или утечки воды, пара, жидкого металла, газа, масла и другие события, способные вызвать повреждение оборудования.

4.4.4 Ошибки оператора

Должны быть учтены ПИС, которые могут быть вызваны неправильными действиями оператора в режиме нормальной эксплуатации и в особенности в аварийных условиях.

4.5 Внешние события, приводящие к отказам

К отказам компонентов СКУ могут приводить события, причины которых являются внешними по отношению к станции. Эти события характеризуются очень большим выбросом энергии и воздействием на части зданий или целые здания. Такие события можно разделить на следующие подгруппы.

4.5.1 Природные явления

Должны быть учтены природные явления, такие как землетрясения, наводнения, торнадо, грозовой разряд, большая приливная волна или цунами, если эти явления присущи месту расположения станции.

4.5.2 Внешние причины, вызванные деятельностью человека

Должны быть учтены события, происходящие в пределах или за пределами АС, причиной которых является деятельность человека, как, например, взрыв, пожар, крушение самолета, диверсия и саботаж.

4.6 Особые условия эксплуатации

ПИС, причина которых может заключаться в особых условиях, таких как ввод в эксплуатацию, модификация, техническое обслуживание, ремонт, процедуры проектирования и административного управления, должны быть учтены при проектировании и конструировании с целью снижения их влияния до приемлемых уровней.

4.7 Вопросы разделения на действующих атомных станциях

Физическое разделение СКУ, выполняющих функции, важные для безопасности действующих АС, очень часто бывают неполным вследствие того, что функции, первоначально не отнесенные к категориям безопасности, могут быть впоследствии классифицированы как функции, важные для безопасности, а также вследствие изменения стандартов по проектированию. При проведении усовершенствований на действующих станциях все аспекты потенциальных последствий несоблюдения из практических соображений требований настоящего стандарта должны быть обоснованы сточки зрения дополнительной безопасности, получаемой благодаря усовершенствованиям в целом. Для обоснования могут быть приемлемы следующие аргументы:

- гражданские строения или доступное физическое пространство на станции могут не позволить выполнить требуемое разделение. Следует пересмотреть физические ограничения при размещении усовершенствованных СКУ;

- необходимо определить основные недостатки существующих СКУ с учетом уже существующего разделения и повышения безопасности, которые могут быть получены в результате усовершенствований;

- существующее разделение или достижимое его улучшение необходимо оценить на основе системного подхода с учетом анализа конкретных преимуществ или альтернатив к требованиям настоящего стандарта;

- можно установить альтернативный набор правил по разделению, отмечая и обосновывая существующие условия, подтвержденные протоколами эксплуатации станции;

- необходимо представить и оценить альтернативные технологии в случае особых ситуациях на станции, например с использованием барьеров, оптических кабелей, распределения СКУ.

Необходимо подробно остановиться на вопросах разделения при реализации стратегии усовершенствования станции. Необходимо рассмотреть следующие вопросы:

- разделение в промежуточных конфигурациях, когда новые СКУ устанавливаются в соответствии с поэтапной программой;

- определение подсистем, для которых имеется возможность разделения без использования промежуточных интерфейсов;

- пригодность существующего разделения для новых технологий контроля и управления (главным образом чувствительность цифровых СКУ к электромагнитным помехам, особые требования к температуре и восприимчивость к радиоактивному излучению);

- ограничения для кабельных трасс и оценку потребностей, связанных с новыми технологиями применения специальных кабельных трасс для оптоволоконных кабелей, для кабельных магистралей и требованиями по разделению.

Руководство для принятия решения по модернизации СКУ - по МЭК 62096.