1. На главную
  2. Электронные версии
  3. Вестник Военного инновационного технополиса «ЭРА»
  4. T. 3, № 3, 2022

Вестник Военного инновационного технополиса «ЭРА», 2022, T. 3, № 3, стр. 271-281

ПОДХОДЫ К ОПРЕДЕЛЕНИЮ ТРЕБОВАНИЙ ПО СОЗДАНИЮ СРЕДСТВ МОНИТОРИНГА ПРИ ЗАПРОЕКТНЫХ АВАРИЯХ НА АТОМНЫХ СТАНЦИЯХ

А. С. Тимонин *

Национальный исследовательский центр “Курчатовский институт”
Москва, Россия

* E-mail: timonin@nrcki.ru

Поступила в редакцию 04.04.2022
После доработки 04.04.2022
Принята к публикации 14.04.2022

Полный текст (PDF)

Аннотация

Представлены результаты разработки системы требований к контрольно-измерительным приборам (КИП), предназначенным для работы в условиях запроектных аварий (ЗПА) на энергоблоках атомных станций. Показано, что требования к предназначенному для ЗПА КИП обладают значительной спецификой, которая может приводить к довольно существенным отличиям технических решений этого КИП по сравнению с освоенной в отрасли технологией создания КИП управляющих систем нормальной эксплуатации и КИП управляющих систем безопасности. Специфика требований к КИП для ЗПА проанализирована на основе строгого соответствия методологическому аппарату и обязательным требованиям, установленным в НП-001-15 [1], вместе с тем сделанные из этих обязательных требований выводы отражают авторскую логику рассуждений и могут не являться технической позицией НИЦ “Курчатовский институт”, поэтому с учетом новизны проблематики их целесообразно рассматривать в качестве предложений для вновь разрабатываемых средств КИП для ЗПА.

ВВЕДЕНИЕ

Вопросы обеспечения контроля и управления энергоблоками атомных станций (АС) во время и после запроектных аварий (ЗПА) были особо выделены в атомной энергетике в отдельную проблему после аварии в 1979 г. на энергоблоке № 2 АС Three Mile Island (США).

Одна из особенностей управления ЗПА заключается в том, что для управления ЗПА и ограничения их последствий на четвертом уровне глубокоэшелонированной защиты (ГЭЗ-4) широко используется автоматизированный способ управления, т.е. управления ЗПА с участием персонала.

При развитии ЗПА степень нарушения безопасности характеризуется с помощью устанавливаемых в проекте уровней тяжести нарушения состояния критических функций безопасности (КФБ). Уровни тяжести нарушения состояния КФБ определяются на основе данных контроля как технологических процессов, так и состояния оборудования. Данные контроля должны позволить оперативному персоналу своевременно получать предупреждения о возникновении предвестника аварии; идентифицировать степень нарушения состояния КФБ; определять требуемые точки входа в “Руководство по управлению ЗПА” (РУЗА) (РУТА) [2], а затем, руководствуясь инструкциями РУЗА, управлять ЗПА, в том числе автоматизированно выполнять функции безопасности. Необходимые для этого данные контроля должны обеспечить персонал информацией:

– о рисках нарушения и оценке тяжести нарушения безопасного состояния физических барьеров на пути распространения радиоактивности [1];

– о состоянии автоматических функциональных групп важных для безопасности систем (либо они инициированы и необходимые действия автоматически выполняются, либо эти действия уже выполнены, либо могут быть выполнены в связи с должным состоянием всех обеспечивающих систем);

– о величине радиационных выбросов и об исходных данных для оценки потенциального воздействия радиационных выбросов.

В [1] установлено: “в проекте АС должны быть предусмотрены технические средства контроля состояния реакторной установки (РУ) и АС в условиях аварий, в том числе тяжелых аварий, а также средства послеаварийного мониторинга. Объем контроля РУ и АС, предусмотренный в проекте АС, должен быть достаточным для управления авариями”. “Достаточность” контроля при ЗПА должна обеспечить исключение ошибочных решений оператора из-за “неверной оценки протекающих процессов” [1]. Следовательно, под “достаточностью” контроля в условиях ЗПА в данном случае логично понимать такой объем и такое качество контроля, которые позволяют оператору:

– идентифицировать состояние оборудования, которое может быть использовано для выбранной с учетом РУЗА стратегии действий; предпринять подходящую последовательность конкретных действий по автоматизированному управлению (как дистанционных, так и ручных по месту) в случаях, когда не обеспечено или не предусмотрено автоматическое управление, а также получать информационную поддержку при осуществлении своих действий и подтверждать успешность их выполнения;

– оценивать достоверность и непротиворечивость информации;

– определять потенциальные опасности и прогнозировать их развитие для персонала в пределах границы площадки АС.

Из-за увеличения жесткости внешних воздействующих факторов (ВВФ) при ЗПА, а также с учетом возможной деградации характеристик оборудования при ЗПА как контрольно-измерительных приборов (КИП) управляющих систем нормальной эксплуатации (УСНЭ), так и КИП управляющих систем безопасности (УСБ), могут уже не обеспечивать требуемую “достаточность” информационного сопровождения автоматизированного процесса управления при ЗПА. Для обеспечения персонала информацией, “достаточной для управления” при ЗПА, в проект вводят дополнительные технические средства (ТС), специально предназначенные для этой цели (элементы с классификационным обозначением “Т” [1]). ТС “Т” для обеспечения информационной поддержки оперативного персонала при ЗПА, а также ТС “Т” для поставарийного контроля (мониторинга) и уменьшения последствий ЗПА часто обозначают как “аварийный КИП” (АКИП) [3]. Близкими к этому понятию являются англоязычные термины “Accident Monitoring Instrumentation” и “Post-Accident Monitoring System (PAMS)”, [47].

При анализе феноменологии решения рассматриваемой проблемы на Западе следует упомянуть документ, первоначально разработанный в 1983 г. регулирующим органом США RG 1.97 [8], в котором были установлены общие требования к средствам PAMS. Затем на основе развитой симптомно-ориентированной методологии управления ЗПА были разработаны взаимообусловленные с PAMS руководства по управлению ЗПА (SAMG – Severe Accident Management Guidance) для реакторов типа PWR и BWR. (Здесь отметим, что методология симптомно-ориентированного способа управления была впервые разработана основателем военно-полевой хирургии Н.И. Пироговым и применена им в 1854 г. при выборе стратегии и тактики управления врачебной помощью в экстремальных условиях.)

После аварии на АЭС Fukushima Daiichi (Япония) в 2011 г. SAMG были существенно откорректированы. В частности, требования SAMG к управлению ЗПА были взаимоувязаны с возможной деградацией при ЗПА характеристик КИП УСНЭ и КИП УСБ. К примеру, компания Westinghouse отмечает, что доработанные SAMG “включают методы верификации точности и правильности показаний КИП при ЗПА в том случае, если этот КИП не был разработан специально для ЗПА” [9].

В России существенная интенсификация работ по разработке решений в части обеспечения информационной поддержки оперативного персонала при ЗПА произошла после аварии в 1986 г. на энергоблоке № 4 Чернобыльской АЭС, во время которой вышли из строя практически все проектные средства контроля процесса деления, энерговыделения, температуры и так далее. В настоящее время на российских АС проводится поэтапная работа по дооснащению действующих энергоблоков средствами АКИП. На первом этапе для РУ с ВВЭР были выделены две представительные ЗПА, связанные, во-первых, с потерей электроснабжения собственных нужд энергоблока, и, во-вторых, связанные с потерей конечных поглотителей тепла. Анализ путей протекания выделенных ЗПА позволил определить перечень параметров, необходимых для применения Р-УЗА, а также возможности использования существующих ТС КИП СНЭ и УСБ в качестве ТС АКИП. В отдельных случаях для РУ типа ВВЭР, РБМК и БН была обоснована необходимость внедрения новых дополнительных ТС АКИП и прокладки новых кабельных трасс (сигнальных и электропитания). Для реализации второго этапа указанных работ целесообразно проанализировать отличия требований к вновь разрабатываемым ТС АКИП от требований к штатному КИП УСНЭ и УСБ [10].

В свидетельствах оперативного персонала об аварии в 1986 г. на энергоблоке № 4 Чернобыльской АЭС [17] можно выделить одно крайне важное обстоятельство, а именно: неожиданную потерю достоверности и достаточности оперативного контроля за состоянием АС с одновременным резким возрастанием необходимости автоматизированных действий по управлению аварией. Второй достаточно важный факт – обоснованное обстоятельствами отключение электропитания от измерительных каналов штатного КИП. (“26 апреля. … послышался гул очень низкого тона, сильно шатнуло пол и стены, на БЩУ-4 потухло освещение, затем раздался глухой удар, сопровождавшийся громоподобными раскатами. … Первое, что пришло в голову – над БЩУ-4 взорвался деаэратор. Я побежал в машзал. … Кровля над турбиной № 7, над шкафами электрических сборок разрушена, свисают куски железобетона. Сверху доносится рев пара. Сквозь клубы пара видны всполохи огня на площадке ПН. … Машинисты обходчики проникли в затопленные горячей водой помещения и отключили их для предотвращения развития пожара … В машинном зале дышать трудно, в воздухе много пыли, пахло озоном… мощность дозы составляла более 100 Р/ч, но персонал продолжал работать … /Команда одна: обеспечить подачу воды в реактор…. Поднялись на площадку ПН. ПН-1 – разбит всас, ПН-2 – на двигателе отбит ввод, ПН-3 – поврежден всас. Команда: рассекаться по всасу ПН, чтобы включить ПН-5, но привод задвижки отбит, над ней на арматуре висит бетонная плита… / Подошли к панелям на БЩУ-4, ничего не понять. Отдельные приборы что-то показывают… Решили: подаем воду в БС по линии ПВ … Я прихватил с собой “кормилец” (рычаг с вилкой на конце) – пригодится для открывания задвижки… В коридоре питательного узла темно … Под ногами вода, сверху тоже хлещет вода … Работаем без перерыва: один крутит регулятор, другой отдыхает … Топтунову плохо, его рвет, рвота не прекращается, Акимову тоже плохо, еле держится на ногах … Появились признаки расхода воды …/ Насколько эффективна подача воды на реактор, доходит ли она до него – определить с БЩУ-4 было невозможно… Черанев сказал, что на БЩУ-4 мощность дозы в 1000 раз больше предельно допустимой дозы для нормальных условий, в дальнейшем делал только качественную оценку, дозиметриста не было… / Сразу после взрыва произошли множественные короткие замыкания. Через частично разрушенные трубопроводы технического водоснабжения вода хлынула на минусовые отметки, затапливая на своем пути сборки, секции и другое электрооборудование. Это добавило количество коротких замыканий к тем, что уже произошли в результате разрушения строительных конструкций реакторного отделения, машзала и затопления нижних отметок радиоактивной водой из технологических контуров. …/ 22 мая. Прошли кабельными этажами. Горит кабельный короб в помещении электродвигателей ГЦН. В помещении электродвигателей “светит” около 20 Р/ч, местами простреливает до 200 P/ч. На дальней стене тлеет пучок кабелей, добраться невозможно. … Принято решение: обесточить весь энергоблок полностью и ни при каких обстоятельствах не подавать напряжение по штатным электрическим коммуникациям. Снято напряжение с кабельных линий КИПиА, дозиметрического контроля и связи энергоблока…”). Анализ приведенных и подобных им свидетельств подтверждает, что требования к ТС АКИП, работающему на уровне ГЭЗ-4, могут довольно сильно отличаться от традиционных требований, предъявляемых на уровнях ГЭЗ-1,2,3 к штатному КИП УСНЭ и УСБ.

АНАЛИЗ ОСОБЕННОСТЕЙ ТЕХНИЧЕСКИХ ТРЕБОВАНИЙ К АКИП

В процедурах анализа проектных аварий (ПА) и ЗПА имеются различия, которые сказываются на соответствующих технических решениях, применяемых в системах контроля и управления, предназначенных для функционирования на уровне ГЭЗ-4. (Для АКИП, применяемого на уровне ГЭЗ-5, имеются дополнительные отличия, обусловленные, в частности, требованиями по передаче информации в мобильные узлы связи и в удаленные кризисные центры.)

Проектной аварией” по определению является такая авария, для которой проектом определены исходные события и конечные состояния и предусмотрены системы безопасности (СБ), обеспечивающие ограничение последствий этой аварии установленными для таких аварий пределами. При этом при анализе безопасности должна быть доказана способность конкретной СБ (ее работоспособность) выполнить соответствующую функцию в условиях перерастания исходного события в предаварийную ситуацию и во время ПА, а также обеспечить ограничение последствий ПА установленными для них пределами даже в случае наложения на исходное событие независимого от него и учтенного в проекте АС отказа одного из элементов этой СБ (так называемый “принцип единичного отказа”), или при одной, независимой от исходного события, ошибке персонала [1]. Обязательность учета принципа единичного отказа при проектировании УСБ существенно “утяжеляет” технические решения, допустимые для этих УСБ, по сравнению с аналогичными решениями, применяемыми для УСНЭ [11].

По определению “запроектная авария” является аварией, которая вызывается не учитываемыми для ПА исходными событиями или которая сопровождается дополнительными по сравнению с ПА отказами СБ сверх единичного отказа, реализацией ошибочных решений персонала [1]. При анализе возможности перерастания ПА в ЗПА в силу самих определений “ЗПА” необходимо дополнительно принимать во внимание не учитываемые для ПА исходные события, т.е. с учетом определения понятия “исходное событие” принимать во внимание дополнительные отказы элементов и систем, не исключая при этом дополнительные отказы элементов АКИП и отказы КИП УСБ, дополнительные по отношению к уже учтенным для ПА отказам, а также реализацию дополнительных ошибочных действий персонала в экстремальной ситуации. Следовательно, при анализе ЗПА требуются учет и анализ функционирования оборудования, которое может иметь более одного отказа его элементов.

Отметим, что и само понятие “отказ” при ЗПА имеет специфику. Во-первых, это понятие традиционно определяется через нарушение требований к “работоспособности”, которые устанавливаются только для вполне специфицированных условий эксплуатации и конкретно определенных значений ВВФ, параметров качества электропитания и обеспечивающих сред. Наличие несчетного множества путей протекания ЗПА (в отличие от ПА) и соответствующих этим путям сочетаний значений ВВФ не позволяет конкретизировать критерии некоторых “отказов” при ЗПА так же четко и однозначно, как это делается для отказов оборудования при ПА. Однако нарушение функционирования оборудования, которое не связано с нарушением какого-либо предустановленного требования, к примеру, по причине отсутствия соответствующего предустановленного требования, формально “отказом” не является, а относится больше к техническому несовершенству оборудования. Во-вторых, понятие “отказ”, с помощью которого разделяются понятия “работоспособное состояние” и “неработоспособное состояние”, в случае ЗПА неполно, так как оно не учитывает переход системы в состояние, к примеру, с двумя “отказами” элементов этой системы или в состояние с существенной деградацией метрологических характеристик и пр. Аналогичное замечание касается используемого в определениях как ПА, так и ЗПА единого понятия “ошибка персонала”, которое само определяется на основе “непреднамеренности” и “неправильности” единичного действия персонала, что, в свою очередь, исключает из области определения этого понятия целенаправленные последовательности злоумышленных действий, а также некоторые действия, не оговоренные в соответствующих инструкциях и руководствах. При анализе ЗПА учет подобных специфических “отказов” и “ошибок”, не подпадающих под определения этих понятий из [1], становится существенным.

В отличие от УСБ средства “Т”, в том числе ТС АКИП, проектно предназначены для выполнения своих функций в экстремальных запроектных условиях ВВФ ЗПА, в частности в условиях тяжелых аварий. При ЗПА могут появиться и иные, не учитываемые для ПА виды ВВФ [11], к примеру локальные взрывы водорода, сопровождаемые ударными волнами и возможными повышениями температуры до 1500°С. При таких значениях ВВФ могут происходить процессы деградации параметров основного технологического оборудования вплоть до его полного разрушения. Логично полагать, что при воздействии подобных значений ВВФ и оборудование самого АКИП также будет претерпевать деградацию показателей и характеристик своей работоспособности. Если деградация работоспособности системы АКИП не произойдет одномоментно до полного ее отказа (до предельного ее состояния), то использование этой системы АКИП при ЗПА может и должно быть продолжено и после того как отдельные элементы этой системы выйдут из строя и ее работоспособность, к примеру, ее метрологические характеристики ухудшатся. Следовательно, одной из особенностей анализа управления ЗПА является необходимость учета состояний оборудования АКИП со множественными отказами, необходимость анализа функционирования этого оборудования, находящегося в процессе деградации его работоспособности. В этом случае традиционный проектный анализ надежности, требующийся для важных для безопасности систем (в том числе для ТС “Т” [1]), оказывается необходимым, но недостаточным для ТС “Т”. Неприменимы без соответствующей модификации для ТС “Т” принцип единичного отказа, а также определения классов безопасности, устанавливаемых в [1] для элементов на основе анализа влияния их отказов на безопасность.

Для анализа поведения оборудования при ЗПА целесообразно ввести понятие “частичный отказ” (“повреждение”, “дефект”), характеризующее частичную потерю работоспособности. Частичная работоспособность может предполагать выполнение только части предписанных функций либо выполнение предписанных функций не в полном установленном объеме (с показателями назначения пониженного качества). В процессе анализа работоспособности системы со множественными частичными отказами ее элементов возникает необходимость устанавливать, а затем оценивать и подтверждать значения характеристик смежного с надежностью свойства элементов (систем) – значения их показателей живучести. Требование по проектному обоснованию живучести функциональных групп (ФГ) АКИП следует, к примеру, из обязательного требования по обоснованию “достаточной живучести” блочного и резервного пунктов управления (БПУ/РПУ) АС [1], частью которых верхний уровень АКИП и является.

Согласно стандарту США [13] “живучесть” (survivability) определяется как “свойство объекта, которое обеспечивает определенную степень уверенности в том, что названный объект будет продолжать функционировать во время и после повреждения или нарушения, вызванного естественными или искусственными причинами …. Показатели живучести должны быть установлены с учетом определения диапазона условий и воздействий, в которых придется существовать и функционировать объекту, минимально допустимого уровня функциональных возможностей объекта после воздействия, а также максимально допустимой продолжительности нахождения объекта в неработоспособном состоянии”. В близких к термину “живучесть” значениях иногда употребляются термины “fault tolerance”, “fail-safe” и др.

В [1] “живучесть” определяется как свойство систем и элементов, в том числе пунктов управления, выполнять возложенные на них функции, несмотря на полученные повреждения. В [10] (со ссылкой на ГОСТ 27.002-89) для “живучести” дается более развернутое определение: “Живучесть – (1) свойство объекта, состоящее в его способности противостоять развитию критических отказов и повреждений при установленной системе технологического обслуживания и ремонтов (ТО-иР); или (2) свойство объекта сохранять ограниченную работоспособность при воздействиях, не предусмотренных условиями эксплуатации; или (3) свойство объекта сохранять ограниченную работоспособность при наличии дефектов и повреждений определенного вида, а также при отказе некоторых компонентов”.

Понятие “живучести” системы является центральным при рассмотрении ее поведения во время и после характерных для ЗПА воздействий. Чем больше живучесть системы, тем больше появляется потенциальных возможностей для управления ЗПА. Малая живучесть системы свидетельствует о возможности быстрого разрушения системы и перехода ее в предельное (полностью неработоспособное) состояние.

Для средств АКИП, составляющих единую ФГ, один измерительный канал (ИК), должны быть установлены сравнимые по величине запасы по живучести во избежание полного отказа ИК из-за отказа самого “маложивучего” ТС АКИП. Живучесть ФГ в целом определяется самым “маложивучим” ТС, входящим в данную ФГ. Показатели живучести систем, обеспечивающих АКИП, также должны быть гармонизированы с соответствующими показателями для самого АКИП. Требования к живучести АКИП должны быть согласованы с аналогичными требованиями к БПУ/РПУ, к местным щитам и пультам управления как стационарным, так и мобильным (передвижным, переносным), которые предназначены специально для управления ЗПА.

Показатели живучести могут определяться в виде условных вероятностей сохранения системой заданного объема и состава ее функциональных свойств при условии, что эта система получила локальное повреждение, либо в виде соотношения между какими-либо параметрами и показателями назначения системы, характеризующими неповрежденное состояние этой системы и ее состояние при наличии локального повреждения, в частности в виде отношения вероятностей отказа системы при наличии повреждения ее элемента и вероятности отказа неповрежденной такой системы. Для количественной оценки живучести элемента (системы) могут использоваться и нормируемые функциональные соотношения, характеризующие ухудшение качества показателей ее назначения в зависимости от жесткости и/или времени воздействия соответствующего ВВФ и т.п.

Для вводимых требований к показателям живучести элементов АКИП необходимы оценка и подтверждение соответствия этим требованиям. Испытания для подтверждения соответствия подобным требованиям должны, в свою очередь, опираться на возможности экспериментальной и испытательной базы, способной моделировать условия ЗПА, в том числе для проверки радиационной стойкости и прочности элементов АКИП.

Значимую специфику при анализе ЗПА имеют и требования, связанные с защитой от отказов по общей причине (ООП). Согласно [1] соответствующая защита от ООП должна быть обеспечена при проектировании СБ и ТС “Т” “посредством реализации принципов разнообразия, резервирования (избыточности) и независимости”. Указанные принципы могут быть реализованы только относительно установленных в проекте перечней конкретных общих причин, а сами эти причины могут различаться на разных уровнях ГЭЗ.

Рассмотрим специфику реализации на уровне ГЭЗ-4 принципа независимости. В [1] установлено, что “должны быть предприняты все разумно достижимые меры, обеспечивающие независимость уровней глубокоэшелонированной защиты друг от друга; предпринятые меры должны быть обоснованы”. (В документах МАГАТЭ соответствующие меры определены как “as reasonable”.) Каковы критерии “разумности” обоснования предпринимаемых мер? Эти критерии зависят от самого уровня ГЭЗ и для четвертого уровня ГЭЗ должны учитывать его специфику. На ГЭЗ-4 “разумность” мер по функциональному и физическому разделению ИК АКИП должна определяться с учетом необходимости сохранения живучести функциональных групп АКИП при ЗПА. На этом уровне ГЭЗ проектант не должен исключать из анализа ситуации, при которых в работоспособном состоянии остаются только отдельные части и элементы разных ФГ. Отсюда следует, что если это способствует повышению живучести при ЗПА, то для АКИП целесообразны технические решения (нетрадиционные для УСНЭ и УСБ), позволяющие оперативно переконфигурировать при ЗПА структуру АКИП, к примеру, решения по закладыванию конструктивных и технологических возможностей для создания между разными ИК различных резервных (не активных до момента возникновения ЗПА) перекрестных связей для оперативных переключений, подключений, переподсоединений, временных схем соединений между оставшимися в работоспособном состоянии элементами АКИП, если необходимость таких связей будет выявлена при ЗПА.

При анализе ЗПА возникает специфика требований и к функциям диагностики. Установлено [1], что в этом случае обосновывается достаточность средств для предотвращения развития ЗПА и ослабления их последствий как с помощью специальных ТС “Т” для управления ЗПА, так и с помощью любых систем (элементов), “включая системы (элементы) СНЭ и системы (элементы) СБ, способные выполнять требуемые функции в сложившихся условиях”. Здесь важно подчеркнуть, что для управления ЗПА кроме ТС “Т” предусматривается применение “любых иных ТС, пригодных для применения независимо от их исходного предназначения” [1]. Эти “иные ТС” из состава УСНЭ и УСБ, оставшиеся при ЗПА “пригодными”, могут быть использованы для управления ЗПА, в частности для проверки достоверности поступающей к оператору информации. Однако при этом в условиях ЗПА оператором должна быть решена задача оценки степени “пригодности” упомянутых ТС УСНЭ и УСБ. Для решения данной задачи к функциям диагностики состояния оборудования СНЭ и СБ (а также и к функции самодиагностики самого АКИП) должны быть предъявлены довольно специфические дополнительные требования. Так как степень “пригодности” для применения систем УСНЭ и УСБ при ЗПА должна быть идентифицируема оперативным персоналом также в условиях ЗПА, т.е. функции, обеспечивающие диагностику этих систем, должны быть работоспособны и при ЗПА, в то время, когда проект допускает, что “основные” функции назначения данных систем в условиях ЗПА могут уже находиться в состоянии частичного, а то и полного отказа. Это требование приводит, в свою очередь, к необходимости проверки и подтверждения работоспособности в условиях ЗПА функций диагностики упоминаемых в РУЗА УСНЭ и УСБ (а также “утяжеляет” технические решения для функции самодиагностики самого АКИП).

При функциональном анализе на уровне ГЭЗ-4 функции диагностики могут рассматриваться как элементы инициирующих звеньев цепочек автоматизированного управления – “основных” информационных или даже управляющих ФГ, так как в рассматриваемом случае отказ этих функций означает отказ всей соответствующей управляющей ФГ автоматизированного управления (при таком отказе оператор лишается возможности проверки достоверности информации, что может вызвать его ошибочные действия). Следовательно, на уровне ГЭЗ-4 подобные элементы КИП УСНЭ и УСБ и их функции самодиагностики так или иначе подпадают под требования, которые предъявляются к элементам и функциям управляющих ФГ. Аналогичное замечание относится к ТС “Т”, обеспечивающим автоматизированное управление при ЗПА. Решению задачи о повышении живучести функций диагностики способствует создание избыточности ИК АКИП, к примеру, с помощью их резервирования с разнообразием.

Требования к метрологическому обеспечению и сопровождению АКИП также отличаются от аналогичных требований, устанавливаемых для КИП УСНЭ и УСБ. Отметим три основных отличия. Во-первых, во время ЗПА и в послеаварийный период имеются крайне слабые возможности для метрологического обслуживания средств измерений (СИ) из-за не исключенных при ЗПА неприемлемых дозовых нагрузках на персонал. ИК и СИ, относимые при ГЭЗ-1,2,3 к подлежащим поверке, при ЗПА могут стать недоступными для метрологического обслуживания через установленные межповерочные интервалы, утрачиваются актуальность свидетельств об их поверке и нормативное основание для использования данных СИ и ИК. В условиях ЗПА возрастает роль требований к проектно предусмотренному наличию встроенных средств контроля метрологических характеристик СИ, требований к автоматизации и к бездемонтажной поверке ИК, а также, что особенно важно, к оценке достоверности контроля. Дополнительные возможности для обеспечения достоверности информации при ЗПА могут обеспечить кросс-верификационные технологии сравнения показаний ИК, принадлежащих, в том числе, к разным уровням ГЭЗ, что не исключает создания в условиях ЗПА оперативных связей между этими ИК, а также закладывания в проект соответствующих возможностей для реализации подобных связей. Для верификации качества информационной поддержки на ГЭЗ-4, для проверки и подтверждения метрологических характеристик АКИП целесообразно использовать весь имеющийся КИП ГЭЗ-1,2,3,4, “способный выполнять требуемые функции в сложившихся условиях” [1]. Степень автоматизации кросс-верификационных калибровок СИ (а также индикаторов) на уровне ГЭЗ-4, необходимые для проведения калибровок резервные кабельные связи между ИК КИП разных уровней ГЭЗ должны обосновываться в проекте АС с учетом защиты от отказов по общим причинам, которые учитываются в проекте на уровне ГЭЗ-4.

Возрастающую роль на ГЭЗ-4 начинают играть “показания” так называемых “виртуальных датчиков”, которые представляют собой результаты расчетной обработки функциональных соотношений между измеренными величинами. При этом в условиях ГЭЗ-4 необходимо учитывать “отказы” подобных “виртуальных датчиков” из-за аварийного нарушения вида задаваемых конструктором функциональных связей.

Во-вторых, установленные в проекте значения показателей точности измерений ИК УСНЭ и УСБ, нормируемые для условий ГЭЗ-1,2,3 (как правило, для стационарных состояний [15]), для АКИП при ЗПА могут утрачивать возможность верификации и вообще терять физический смысл. Даже в случае нарушения при ЗПА требований к точности измерений, установленных для условий ГЭЗ-1,2,3 для каждого ИК, показания этих ИК в условиях ЗПА могут учитываться оперативным персоналом. Особенно актуальным этот учет становится в ситуации, когда, к примеру, данный ИК является единственным измерительным каналом, который сохранил целостность измерительной цепи, хотя и находится в частично работоспособном состоянии (а по нормам для условий ГЭЗ-1,2,3 – в неработоспособном состоянии). При нормировании показателей живучести на ГЭЗ-4 деградация метрологических характеристик СИ и ИК может быть учтена в виде установления зависимостей дополнительных погрешностей от величин ВВФ и от времени их воздействия.

В-третьих, в условиях ГЭЗ-4 претерпевает изменение сам информационный потенциал измерений. Несколько упрощая, можно отметить, что при нормальной эксплуатации наиболее информативными являются абсолютные значения измеряемой величины (в шумовой диагностике – характеристики вторых моментов распределений измеренных значений); при предаварийных ситуациях – крайне важны запасы до значений пределов безопасной эксплуатации, т.е. измерения относительных разностных величин; а в случае измерений при ЗПА информационную важность и ценность начинают приобретать скорости изменения измеряемых параметров, а также направления тенденций изменения этих параметров. Требования к подобным параметрам измерительной информации, необходимой при ЗПА, должны быть определены в технических заданиях на ТС АКИП.

Для средств АКИП может возникать своеобразие в составе и содержании информации, необходимой для диагностики работоспособности самих этих средств. К примеру, при ЗПА на энергоблоке № 4 Чернобыльской АЭС достаточными для подтверждения физической работоспособности детекторов прямого заряда и термопар оказались проверки откликов на единичные возмущения (по сообщению В.Ф. Шикалова [14]).

Диапазоны и точность измерений для АКИП определяются в зависимости от типа измеряемого параметра. Например, для параметра, который используется для выбора наиболее подходящей точки входа в РУЗА при нарушении безопасного состояния КФБ, эти характеристики будут зависеть от ожидаемого относительного изменения измеряемого параметра при различных сценариях аварии, следовательно, от диапазона и точности, которые потребуются для того, чтобы различить эти сценарии. А для параметра, который используется для последующего определения степени нарушения состояния КФБ, диапазон и точность измерения будут зависеть от соотношения между изменением этого параметра и степенью важности этого изменения для оценки состояния КФБ. Таким образом, диапазон измерения должен простираться до значения, эквивалентного крайней опасности для каждой КФБ, при этом точность измерения должна допускать оценку относительной степени опасности нарушения состояния различных КФБ.

Инерционность средств измерений АКИП, времена циклов опроса ИК АКИП, а также частота обновления и представления информации оператору должны быть достаточными для оперативного определения степени опасности нарушения состояния КФБ. Выбор значений этих характеристик должен гарантировать, что персонал не может быть введен в заблуждение при быстро изменяющихся условиях ЗПА. На различных уровнях тяжести ЗПА необходимые времена работы ТС АКИП (в том числе и частично работоспособных) определяются с учетом обоснованной в проекте продолжительности соответствующих режимов и состояний АС.

Учет особенностей ЗПА влияет на требования и к таким частным характеристикам надежности, как долговечность, ремонтопригодность и сохраняемость. Например, установление срока службы средств АКИП должно проводиться с учетом срабатывания запаса живучести ТС АКИП в условиях ЗПА (даже при возникновении ЗПА в конце срока их службы) и ускоренного перехода этих ТС в предельное состояние. Из рис. 1 следует, что устанавливаемый срок службы для средств АКИП, как правило, меньше, чем срок службы КИП УСНЭ.

Рис. 1.

Установленный срок службы для КИП УСНЭ и для средств АКИП.

Для поддержания работоспособности между плановыми ремонтами для средств КИП УСНЭ и УСБ применяется профилактическое техническое обслуживание, при этом по отношению к определенному перечню повреждений, дефектов и сбоев эти средства КИП являются еще и восстанавливаемыми, к примеру, с помощью перенастройки и наладки оборудования. Если поддержание готовности и работоспособности ТС АКИП на ГЭЗ-1,2 и даже на ГЭЗ-3 может быть обеспечено традиционными операциями по техническому обслуживанию, то в условиях ЗПА и в послеаварийный период подобные работы (как для АКИП, так и для КИП) практически не возможны, так как они сопряжены с большими дозовыми нагрузками на персонал. Этой же причиной обусловлены особенности требований к виду, составу и хранению ЗИП АКИП. Из-за резкого увеличения при ЗПА дозовых нагрузок на обслуживание ТС АКИП, особенно СИ нижнего уровня, ТС АКИП являются, как правило, необслуживаемыми и в этих условиях невосстанавливаемыми.

Возможности по реализации текущих (а также средних и капитальных) ремонтов ТС АКИП в условиях ЗПА также крайне ограничены. Можно полагать, что перечень отказов ТС, при которых данное ТС является ремонтопригодным в условиях ЗПА, будет менее обширным, чем соответствующий перечень отказов, относительно которых это ТС является ремонтопригодным в условиях нормальной эксплуатации. Деградация объема и качества контроля при ЗПА должна купироваться техническими решениями, которые позволяли бы поддерживать живучесть ТС АКИП.

ОЦЕНКА СООТВЕТСТВИЯ АКИП УСТАНОВЛЕННЫМ ТРЕБОВАНИЯМ

Основным способом подтверждения соответствия ТС АКИП предустановленным требованиям являются их натурные испытания. Требования к видам испытаний могут быть установлены в виде эксплуатационных, испытательных и предельных норм. Рассмотрим отличия устанавливаемых норм для ТС АКИП по сравнению с аналогичными нормами для КИП УСНЭ и УСБ.

Для КИП УСНЭ в проекте обычно устанавливаются и обосновываются требования к эксплуатационным нормам (рабочим условиям, пределам и нормальным значениям ВВФ), во время и после воздействия которых испытываемое ТС должно сохранять номинальные значения своих параметров. Рабочие значения ВВФ в данном случае соответствуют условиям нормальной эксплуатации. Для КИП УСБ также устанавливаются эксплуатационные нормы, при этом рабочими значениями ВВФ являются ВВФ ПА.

Для КИП УСНЭ установление предельных норм и испытания на соответствие этим нормам, если и проводятся, то полученные результаты, как правило, не указываются в эксплуатационной документации, а учитываются в проектно-конструкторской документации при определении и обосновании различных технологических и конструкторских запасов.

Для КИП УСБ дополнительно устанавливаются требования к испытательным нормам (предельным рабочим условиям и пределам эксплуатации), при которых значения параметров и показателей назначения ТС могут отклоняться от своих номинальных значений, но не выходят за заданные границы установленных отклонений. Как номинальные параметры ТС КИП УСБ, так и заданные отклонения от этих параметров могут быть указаны в рабочей и эксплуатационной документации на ТС. Предельные рабочие значения ВВФ соответствуют в данном случае условиям ПА, при которых УСБ должна оставаться работоспособной при выполнении ряда условий, к примеру с учетом принципа единичного отказа. Как правило, при задании предельных рабочих значений ВВФ определяют продолжительность воздействий этих ВВФ, а также допустимую частоту таких воздействий. (Испытательные нормы могут быть установлены и для КИП УСНЭ. В этом случае предельные рабочие значения ВВФ соответствуют значениям ВВФ при нарушении нормальной эксплуатации вплоть до предаварийной ситуации, а подтверждение работоспособности этих ТС при возникновении единичных отказов обычно не требуется.)

Определение степени допустимых отклонений показателей работоспособности при испытаниях по испытательным нормам может быть нормировано с помощью устанавливаемых критериев качества функционирования (ККФ) ТС. Примером установления подобных ККФ может служить установление в [16] ККФ ТС при испытаниях на помехоустойчивость: “А” – нормальное функционирование при воздействии ВВФ в соответствии с установленными требованиями к ТС; “В” – воздействие ВВФ вызывает кратковременное нарушение функционирования ТС с последующим восстановлением его нормального функционирования после прекращения воздействия без вмешательства персонала; “С” – временное нарушение функционирования ТС при воздействии ВВФ, требующее вмешательства персонала (как правило, после прекращения воздействия) для восстановления нормального функционирования после прекращения воздействия.

Для ТС УСБ испытания на соответствие предельным нормам могут проводиться при значениях ВВФ, характерных для ЗПА. В этом случае целесообразно определять запасы по живучести КИП УСБ при выполнении ряда условий, к примеру требований к частичной работоспособности КИП УСБ при наличии минимум двух единичных отказов, либо наложения отказа и неисправности, либо наложения нескольких неисправностей и дефектов (с учетом неконсервативности анализа ЗПА [1]).

Для АКИП особенности выбора “рабочих условий” и “предельных рабочих условий” заключаются в следующем. Условия ЗПА являются для оборудования АКИП рабочими условиями, предельными рабочими условиями (испытательными нормами) целесообразно считать условия, при которых происходит деградация работоспособности АКИП, а предельные нормы определять с использованием значений ВВФ, при которых происходит полный отказ и переход ТС АКИП в предельное, полностью неработоспособное состояние, к примеру в состояние с обрывами всех измерительных цепей. В качестве предельных ВВФ могут быть выбраны значения ВВФ, характерные для тяжелой ЗПА. Предельные нормы для ТС АКИП должны быть указаны в эксплуатационной документации на эти ТС.

Для средств “Т”, с учетом определения ЗПА, “принцип единичного отказа” должен быть модифицирован. Учет множественности отказов при ЗПА при неконсервативном подходе может быть осуществлен в виде требования к частичной работоспособности АКИП при наличии как минимум двух отказов (либо наложения отказа и неисправности, либо наложения нескольких неисправностей и дефектов) элементов АКИП при испытании АКИП по испытательным нормам. В этом случае верификация требований в части живучести АКИП должна подтвердить, во-первых, работоспособность ТС АКИП при значениях ВВФ, характерных для ЗПА, и, во-вторых, сохранение установленной степени частичной работоспособности (ККФ) при отказах как минимум двух любых элементов ФГ АКИП, состоящей из измерительного канала и средств обработки, преобразования, индикации и отображения результатов измерения.

Таким образом, при испытаниях на соответствие испытательными предельным нормам для АКИП установлению подлежат показатели, характеризующие запасы по живучести АКИП (степень деградации эксплуатационных характеристик, показателей назначения и параметров, определяющих эффективность ТС вплоть до момента, когда исчезает проектная необходимость в использовании данного ТС). Для этой цели возможно установление нескольких “частично предельных состояний” конкретного ТС АКИП и связанных с ними соответствующих ККФ и критериев частичных отказов. При этом могут быть использованы ККФ, характеризующие деградацию ТС, к примеру: “D” – ухудшение выполнения одной или нескольких функций в результате воздействия ВВФ, которое не поддается восстановлению персоналом; “Е” – полная потеря одной или нескольких функций в результате воздействия ВВФ, которая не поддается ремонту и восстановлению.

Для целей проектирования АКИП изменение значений ВВФ при ЗПА можно охарактеризовать условно экспоненциальным процессом, выделив в нем три или четыре стадии, каждая из которых определяется соответствующими эффективными и экстремальными значениями ВВФ, а также временами воздействия каждого вида ВВФ (рис. 2):

Рис. 2.

Длительность стадий ЗПА для целей проектирования АКИП.

– τ1, временем увеличения значения параметра ВВФ от начального значения х0 до 2/3 от величины (хmaxх0) с эффективным значением величины ВВФэф, равным 2/3хmax;

– τ2, временем сохранения близкого к своему максимальному значению ВВФ и его уменьшением до значения 2/3(хmaxхend), при этом интегральное эффективное значение ВВФэф – 0.95хmax, а экстремальное максимальное ВВФэксхmax;

– τ3, временем уменьшения значения ВВФ от значения 2/3(хmaxхend) до величины, характерной для послеаварийных условий хend, с эффективным значением ВВФэф – 2/3(хmax);

– τ4 – временем сохранения послеаварийных условий с уменьшением значения от хend до х0.

Временные, эффективные и экстремальные значения для ВВФ определенного вида должны выбираться с учетом месторасположения и предусмотренных мер защиты конкретных элементов соответствующей функциональной группы АКИП (элементов одного ИК).

Каждая из стадий ЗПА характеризуется возможным состоянием работоспособности, частичной работоспособности или неработоспособности как ТС “Т”, так и “любых иных технических средств, пригодных для применения независимо от их исходного предназначения” [1] для ограничения последствий ЗПА. По этой причине возникает необходимость выявления степени “пригодности” [1] оборудования КИП разных уровней ГЭЗ для использования этого КИП при ЗПА, которая может быть учтена введением соответствующих жесткостей испытаний функциональных групп диагностики (ФГД) этого оборудования. Жесткость испытаний на живучесть ФГД оборудования ГЭЗ-1,2,3, которое согласно РУЗА может быть использовано на уровне ГЭЗ-4, выше, чем соответствующая жесткость испытаний “основных” функций этого оборудования.

Вариант нормирования значений ККФ для используемых в РУЗА ТС КИП разных уровней ГЭЗ приведен в табл. 1.

Таблица 1.

Вариант установления ККФ, подтверждаемых при испытаниях

Вид испытания Нормы испытаний для ТС, используемых в РУЗА
УСНЭ УСБ ТС “Т”
Эксплуатационные (рабочие ВВФ) ВВФэф НЭ, ККФ “А”, номинальные параметры ТС ВВФэф ПА, ККФ “А”, номинальные параметры ТС ВВФэф ЗПА, ККФ “А”, номинальные параметры ТС
Испытательные (предельные рабочие ВВФ) ВВФ ННЭ (включая предаварийную ситуацию), ККФ “В”, предельные рабочие параметры ТС ВВФэкс ПА, ККФ “B”, предельные рабочие параметры и допустимые отклонения параметров ТС (с учетом единичного отказа) ВВФэкс ЗПА, ККФ “B” предельные рабочие параметры и допустимые отклонения параметров ТС (с учетом минимум двух отказов)
Предельные Жесткость 1. ВВФ ПА, ККФ “D”, запасы по живучести ТС. Жесткость 1. ВВФ ЗПА, ККФ “D”, запасы по живучести ТС с учетом минимум двух отказов Жесткость 1. ВВФ ЗПА, ККФ “E”, запасы по живучести ТС с учетом полной деградации ТС
Жесткость 2. ВВФ ЗПА, ККФ ФГД “С”, запасы по живучести ФГД с учетом единичного отказа Жесткость 2. ВВФ ЗПА, ККФ ФГД “С”, запасы по живучести ФГД с учетом минимум двух отказов Жесткость 2. ВВФ ЗПА (тяжелой), ККФ ФГД “D”, запасы по живучести ФГД с учетом полной деградации ТС

В случае проведения испытаний ТС АКИП последовательным способом, т.е. с раздельным воздействием отдельных видов ВВФ, должно быть представлено обоснование эквивалентности этих последовательных испытаний испытаниям данных ТС при совместном воздействии ВВФ, характерных для соответствующего уровня тяжести ЗПА. Комбинированные испытания ТС АКИП (с учетом опыта аварии в 2011 г. на АС Fukushima Daiichi, Япония) являются в этом случае более представительными.

Отметим, что оценка установленных значений показателей живучести более затратная и трудоемкая, чем испытания на надежность. Подтверждение значений показателей живучести требует проведения испытаний при воздействии характерных для ЗПА значений ВВФ вплоть до разрушения опытного образца изделия.

ЗАКЛЮЧЕНИЕ

Одним из основных критериев при проектировании АКИП в отличие от критериев, применяемых при создании КИП ГЭЗ-1,2,3, должен являться критерий минимизации дозовых аварийных нагрузок на персонал, как использующий информацию АКИП для управления ЗПА, так и на персонал, поддерживающий работоспособность АКИП. Эта разница в требованиях с аналогичными требованиями для КИП УСНЭ и КИП УСБ обусловлена выделением в [1] особого уровня ГЭЗ-4, управление на котором имеет свои специфические цели.

При разработке ТС АКИП следует учитывать требования не только к надежности, но и к живучести ФГ, в которые входят эти ТС. Учет дополнительных требований к живучести приводит к специфике в технических решениях для ИК АКИП: в части реализации принципа независимости [1] и к специфике технических решений по созданию возможностей для оперативных соединений оборудования КИП различных уровней ГЭЗ; к специфике в организации метрологического сопровождения и диагностического обеспечения АКИП при ЗПА; при установлении требований по долговечности, ремонтопригодности и сохраняемости ТС АКИП. Дополнительно возникает необходимость создания специальной экспериментальной базы для верификации этих требований [18].

В качестве основных критериев для оценки необходимости создания конкретного типа ТС АКИП, показания которого используются в Р-УЗА, целесообразно выбирать критерии на основе так называемого рискового подхода, учитывающего вероятность возникновения конкретной ЗПА и тяжесть потенциального ущерба от отказа данного ТС АКИП при этой ЗПА.

Оценка соответствия АКИП установленным требованиям должна быть направлена на подтверждение того, что ТС АКИП сохраняют достаточную проектную степень частичной работоспособности в условиях ЗПА и послеаварийного периода в течение установленного в проекте времени.

Список литературы

  1. НП-001-15. Общие положения обеспечения безопасности атомных станций.

  2. РБ-102-15. Рекомендации к структуре и содержанию руководства по управлению запроектными авариями, в том числе тяжелыми авариями.

  3. РБ-140-17. Системы аварийного мониторинга атомных станций с водо-водяными энергетическими реакторами. Общие рекомендации и номенклатура контролируемых параметров.

  4. NP-T-3.16. Accident Monitoring Systemsfor Nuclear Power Plants. IAEA, 2015.

  5. IEEE Std 497. Criteria for Accident Monitoring Instrumentation for Nuclear Power Generating Stations. IEEE, 2016.

  6. SSG-39. Design of instrumentation and Control Systems for Nuclear Power Plants. IAEA, 2016. (Ibid.: N-S‑G-1.3, 2008).

  7. KTA 3502 (2012-11). Störfallinstrumentierung. KTA, 2012.

  8. RG 1.97. Instrumentation for light-water-cooled nuclear power plants to assess plant and environs conditions during and following an accident. US NRC, 1983. (Ibid.: RG 1.97. Criteria for Accident Monitoring Instrumentation for Nuclear Power Plants. Revision 5, 2019).

  9. NS-ES-0203. Severe Accident Management Guidance Support. Westinghouse Electric Company, July 2014.

  10. ГОСТ 15.016-2016. Техническое задание. Требований к содержанию и оформлению.

  11. Tecdoc-1818. Assessment of Equipment Capability to Perform Reliably under Severe Accident Conditions. IAEA, 2017.

  12. НП-026-16. Требования к управляющим системам, важным для безопасности атомных станций.

  13. Federal Standard 1037C. Telecommunications: Glossary of Telecommunication Terms. USA. 1996.

  14. Опыт ликвидации радиационных аварий (Челябинск–Чернобыль). Технические материалы. М.: ИздАт, 2012. 216 с.

  15. РД ЭО 1.1.2.11.0515-2014. Нормы точности измерений основных теплотехнических величин для атомных электрических станций с водо-водяными энергетическими реакторами.

  16. ГОСТ 32137-2013. Совместимость технических средств электромагнитная. Технические средства для атомных станций. Требования и методы испытаний.

  17. Копчинский Г.А., Штейнберг Н.А. Чернобыль: о прошлом, настоящем и будущем. М.: Литтерра, 2021. 424 с.

  18. Тимонин А.С., Донецкий В.И., Петрунин С.Л. // ВАНТ. Сер. Физика ядерных реакторов. 2018. Вып. 3. С. 106.

Дополнительные материалы отсутствуют.

Инструменты

следующая статья выпуска предыдущая статья выпуска содержание выпуска

Вестник Военного инновационного технополиса «ЭРА»

Архивы выпусков Информация о журнале Отправить рукопись в журнал