Приложение С (справочное). Качественный анализ мер защиты от отказов по общей причине. Национальный стандарт РФ ГОСТ Р МЭК 61513-2020 "Системы контроля и управления, важные для безопасности атомной станции. Общие требования" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.02.2020 N 66-ст)

Приложение С
(справочное)

Качественный анализ мер защиты от отказов по общей причине

С.1 Примеры распределения функций группы безопасности по системам

Рисунок С.1 - Примеры распределения функций группы безопасности по СКУ

Требования к свойствам оборудования и квалификации, как, например, требования к внешней среде и надежности программного обеспечения, могут быть получены из подходящего выбранного комплекса оборудования. Требования к системам сфокусированы на особенностях проекта, как, например, допустимый дефект архитектуры системы и адекватность процедур верификации и валидации проекта, принятых для обеспечения корректного функционирования.

На рисунке С.1 показаны некоторые примеры распределения функций по группам безопасности СКУ ¹⁾, которые отражают различные проектные стратегии для достижения требуемой надежности. Стратегии основаны на анализе эффективности различных мер против ООП.

------------------------------

¹⁾_{В НП-026-16 "Требования к управляющим системам, важным для безопасности атомных станций" определено понятие "функциональная группа" - совокупность элементов управляющей системы, важной для безопасности, выполняющая управляющую или информационную функцию в установленном проектом АС объеме".}

------------------------------

F_A1-F_A2: состав группы безопасности включает две функционально различные функции: F_A1 и F_A2 категории А. Оценка анализа ООП должна показать, что для этого случая использование функционального разнообразия способствует эффективной защите от ООП. Затем обе функции реализуются в независимых системах класса 1, выполненных на том же самом комплексе оборудования.

F_A-F_X: состав группы безопасности включает основную функцию F_A1 категории А и дополнительную функцию категории В или С, функция F_X как резервная. Анализ ООП должен в этом случае показать, что применение разнообразия оборудования обеспечивает достаточную защиту от ООП. Функция F_A назначается одной системе класса 1, а функция F_X реализуется в системе класса 2, выполненной на другом комплексе оборудования для того, чтобы обеспечить разнообразие оборудования.

F_B1-F_B: состав группы безопасности включает две функционально разнообразные функции категории В-F_B1 и F_B. Анализ ООП должен показать, что применение разнообразия оборудования и функционального разнообразия обеспечивает достаточную защиту от ООП. Функцию F_B1 назначают одной системе класса 1, а функцию F_B реализуют в системе класса 2, выполненной на другом комплексе оборудования для того, чтобы обеспечить разнообразие оборудования.

Случай с функциями F_C1 и F_C аналогичен предыдущему случаю.

С.2 Примеры чувствительности к ООП в группах безопасности

Могут возникнуть следующие типичные ситуации.

Таблица С.1 - Примеры чувствительности ООП в группе безопасности

Пример 1 Группа безопасности, содержащая систему с тремя идентичными резервированными каналами, выполняющими единственную защитную функцию А
Возможные причины ООП		Возможная защита
Вероятность:	(Н) = высокая; (М) = средняя; (L) = низкая	Эффективность:	(Н) = высокая; (М) = средняя; (L) = низкая
Ошибка в спецификации требований к прикладной функции А (Н)		Независимая верификация спецификации (М)
Дефект в спецификации или в разработке прикладного программного обеспечения или дефект в модуле системного программного обеспечения (М). Отказ может возникнуть как следствие прохождения одинаковых сигналов по трем каналам [(L) - для систем класса 1)]		Разработка системы, соответствующей классу 1 (Н)
Одновременный отказ аппаратного обеспечения трех каналов вследствие опасного воздействия на станцию		Физическая и электрическая независимость (Н)
Отказ при срабатывании двух из трех (или при других действиях каналов)		Разработка системы класса 1 (Н); надежные, проверенные на практике решения (стандартный модуль) (Н)
Пример 2 Группа безопасности, содержащая систему с резервированными каналами, реализующими одиночную функцию защиты А с общей спецификацией требований и разным программным обеспечением (блоки Р, Q, R)
Возможные причины ООП		Возможная защита
Вероятность:	(Н) = высокая; (М) = средняя; (L) = низкая	Эффективность:	(Н) = высокая; (М) = средняя; (L) = низкая
Ошибка в спецификации требования к прикладной функции А (Н)		То же, что в примере 1
Дефект в спецификации или при разработке прикладного обеспечения или дефект в модуле системного программного обеспечения (М). Отказ может произойти вследствие особенности прохождения одинаковых сигналов в каждом из трех каналов (L)		Разработка системы класса 1 (Н). Недостаток: разнообразное программное обеспечение
Одновременный отказ оборудования трех каналов вследствие опасного воздействия на станцию		То же, что в примере 1
Отказ при срабатывании двух из трех каналов (или при других действиях каналов)		То же, что в примере 1
Пример 3 Группа безопасности, содержащая систему с двумя каналами, выполняющими независимо одну и ту же защитную операцию * ______________________________ * Предполагается, что оператор имеет достаточное время и информацию для реагирования.
Возможные причины ООП		Возможная защита
Вероятность:	(Н) = высокая; (М) = средняя; (L) = низкая	Эффективность:	(Н) = высокая; (М) = средняя; (L) = низкая
Ошибка при спецификации требования к обеим функциям (L)		Защита обеспечивается функциональным разнообразием (автоматически; вручную) (Н)
Дефект в спецификации или при разработке прикладных программ или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе]		Разработка системы класса 1 (Н)
Одновременный отказ оборудования каналов системы вследствие опасного воздействия на станцию		То же, что в примере 1
Ошибка при голосовании "два из трех" (или при других действиях каналов)		Ручное управляющее действие по управлению приоритетом голосования (Н)
Пример 4 Группа безопасности, содержащая распределенные диверсные защитные функции Р, Q, R, использующие различные датчики и исполнительные устройства и одинаковое аппаратное обеспечение в каждом канале управления
Возможные причины ООП		Возможная защита
Вероятность:	(Н) = высокая; (М) = средняя; (L) = низкая	Эффективность:	(Н) = высокая; (М) = средняя; (L) = низкая
Ошибка в спецификации требований к трем функциям (L)		Защита обеспечивается функциональным разнообразием (Р, Q, R) (Н)
Дефект при определении требований или при разработке прикладного программного обеспечения или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе]. Различные траектории сигнала (L)		Полностью независимое оборудование. Система класса 1 (Н)
Одновременный отказ оборудования каналов системы вследствие опасного воздействия		То же, что в примере 1
Отказ в двух из трех каналов (или другие события в каналах)		Ручное управляющее действие по направлению основного трафика голосования (Н)
Пример 5 Группа безопасности, содержащая дублированные защитные функции W и Y, распределенные в двух различных системах (разнообразие оборудования и системного программного обеспечения при возможном сходстве, например, алгоритмов, синхронизации операций, документации и общим персоналом)
Возможный случай отказа по общей причине		Возможная защита
Вероятность:	(Н) = высокая; (М) = средняя; (L) = низкая	Эффективность:	(Н) = высокая; (М) = средняя; (L) = низкая
Ошибка при спецификации требований к обеим функциям (L)		Защита обеспечивается за счет функционального разнообразия (W и Y) (Н)
Дефект спецификации требований или при разработке прикладных программ или дефект в общесистемных программных модулях М, N [(L) при асинхронной работе]. Различные траектории сигнала (L). Вероятность некоторого подобия траекторий сигнала		Полностью независимое оборудование. Разработка системы класса 1 (Н)
Одновременный отказ аппаратного обеспечения каналов системы вследствие опасного воздействия на станции		То же, что в примере 1
Ошибка в обоих исполнительных действиях по обеспечению безопасности (L)		Различные (дублированные) системы исполнительных устройств (Н)