Использование международных нормативных документов при разработке технических требований к АСУ ТП ВВЭР-ТОИ

Проектно-конструкторский филиал
ОАО «Концерн Росэнергоатом»
Использование международных
нормативных документов при
разработке технических требований к
АСУ ТП ВВЭР-ТОИ
Сивоконь В.П. Тимохин Е.С,
Колотов А.П., Кабачников А.А.
Первая
Международная
научно-техническая
конференция
«Автоматизированные
системы
управления технологическими процессами АЭС и
ТЭС
1
г. Минск, 25-27 февраля 2015
1
Введение: Новые технические требования,
разработанные ОАО «Концерн Росэнергоатом»
• В декабре 2014 г. Проектноконструкторский филиал ОАО
«Концерн «Росэнергоатом»
разработал документ по
АСУ ТП нового проекта ВВЭРТОИ, основанный на последних
технических требованиях
МАГАТЭ, МЭК и Европейских
регулирующих органов к
цифровым АСУ ТП АЭС
• В данной презентации кратко
представлены технические
требования и показаны какие
новые международные и
европейские стандарты были
использованы для ВВЭР-ТОИ
1
2
Содержание документа (сокращенно)
• Общие положения
• Базовые требования и принципы
• Реализация концепции глубокоэшелонированной защиты в архитектуре
АСУ ТП
• Требования к архитектуре АСУ ТП
• Функциональные требования
• Контроль технологических процессов
• Эксплуатационные качества
• Удобство обслуживания
1
• Специальные требования к системам, важным для безопасности
• Требования к системам управления нормальной эксплуатации
• Кибербезопасность
3
Основные причины выпуска новых требований
для АСУ ТП АЭС в мире
В последние годы, начиная с 2010, многие страны,
развивающие атомную энергетику, и международные
организации,
связанные
с
этой
отраслью,
активно
пересматривают нормативную базу в сторону повышения
требований по ядерной безопасности АЭС.
Это вызвано
причинами:
в
первую
очередь
двумя
основными
 тяжелой аварией на АЭС Фукусима в марте 2011 года;
 массовым повреждением центрифуг обогатительного
производства в Иране в 2010 году новым типом
компьютерного вируса, способного фатально поражать
промышленные контроллеры, в том числе в АСУ ТП АЭС
1
4
Основные выявленные направления развития
требований к АСУ ТП АЭС
Разработанные и разрабатываемые в мире новые требования в
части АСУ ТП АЭС касаются в основном следующих вопросов:
 Соответствия
архитектуры
АСУ
глубокоэшелонированной защиты;
ТП
новой
концепции
 Технических характеристик и качества АСУ ТП;
 Принципов классификации
включая АСУ ТП;
оборудования
по
безопасности,
 Надежности программируемых АСУ ТП и их ПО в частности;
 обеспечения кибербезопасности на АЭС (дополнительный фактор,
который не позволяет полагаться на высокую надежность
аппаратуры АСУ ТП с программным обеспечением);
 обеспечения высокой степени разнообразия систем безопасности
и СКУ ЗПУ.
1
5
Основные проанализированные и использованные в
технических требованиях публикации
•
IAEA. № SSG-30. Safety Classification of Structures, Systems and Components in Nuclear Power
Plants. Vienna, 2014
•
IAEA № SSR-2/1. Safety of Nuclear Power Plants: Design. Vienna, 2012
•
IAEA. Nuclear Security Series No. 17. Computer Security at Nuclear Facilities. Vienna, 2011
•
WENRA. Report. Safety of new NPP designs. Study by Reactor Harmonization Working Group
RHWG. March 2013. Licensing of safety critical software for nuclear reactors. Common position of
seven European nuclear regulators and authorized technical support organizations. 01.2010
•
EUR. Volume 2, Revision D, Generic nuclear island requirements. Chapter 10. Instrumentation &
control and human-machine interface. October 2012
•
STUK. Guide YVL B.1, draft L5, Safety design of a NPP. 31.5.2013; STUK. Guide YVL B.3, draft L5,
Deterministic safety analyses for nuclear power plants. 2.10.2013;
•
Requirements of Hanhikivi NPP (Finland) Customers (C7 Chapter).
•
Canadian Nuclear Safety Commission. RD-337 v.2, Design of New Nuclear Power Plants. July 2012
1
6
Обновленная концепция
глубокоэшелонированной защиты
В Концепции, принятой МАГАТЭ в 2012 и
детализированной в рабочей группе Европейских
регулирующих органов RHWG WENRA, предложена
скорректированная Концепция
глубокоэшелонированной защиты. Предложено
четкое различие между средствами и условиями
для подуровней защиты 3.а и 3.б.
1
7
Цели различных уровней
глубокоэшелонрованной защиты
1) Цель первого уровня защиты состоит в том, чтобы предотвращать
отклонения от нормальной эксплуатации и отказы узлов, важных для
безопасности.
2) Цель второго уровня защиты – обнаружить и взять под контроль
отклонения от нормальных эксплуатационных состояний, чтобы
предотвратить ситуацию, при которой ожидаемые при эксплуатации
события могут привести к возникновению аварийных условий.
3) В отношении третьего уровня защиты предполагается (хотя это и
маловероятно), что развитие некоторых ожидаемых при эксплуатации
событий или постулируемых исходных событий может не
контролироваться на предыдущем уровне и что может произойти
развитие аварии.
4) Цель четвертого уровня защиты состоит в смягчении последствий аварий,
которые возникают в результате отказа третьего уровня
глубокоэшелонированной защиты.
5) Цель пятого и последнего уровня защиты состоит в смягчении
радиологических последствий радиоактивных выбросов, которые
потенциально могут происходить в условиях аварий
8
Усовершенствованная концепция
глубокоэшелонированной защиты (WENRA-2013)
Уровни защиты в
глубину
Уровень 1
Уровень 2
Цель/задача
Основные средства
Консервативный
подход и высокое
качество при
строительстве и
Предупреждение
эксплуатации,
нарушений
управление
нормальной
основными
эксплуатации и
параметрами станции
отказов
в установленных
пределах
Управление
нарушениями
нормальной
эксплуатации
Системы
управления и
предупредительной
защиты и другие
системы контроля
этого уровня
Радиационные
последствия
Радиационное
воздействие за
территорией
станции
отсутствует
(ограничено
допустимыми
пределами
эксплуатации по
выбросам)
Категории режимов
эксплуатации станции
и соответствующие
подсистемы АСУ ТП
Нормальные условия
эксплуатации
Автоматические
регуляторы
Ожидаемые
эксплуатационные
события
Предупредительная
защита
1
9
Усовершенствованная концепция
глубокоэшелонированной защиты (WENRA-2013) (2)
Уровни защиты в
глубину
3.а
Уровень
3
3.б
Цель/задача
Управление
аварией для
ограничения
радиационны
х выбросов и
защита от
условий
расплавления
активной
зоны(1)
Основные
средства
Система защиты
реактора, системы
безопасности,
аварийные
инструкции
Дополнительные
функции
безопасности,
аварийные
инструкции
Радиационные
последствия
Категории режимов
эксплуатации
станции и
соответствующие
подсистемы АСУ ТП
Постулируемые
единичные исходные
события
АЗ-УСБТ
Радиационное
воздействие за
территорией станции
отсутствует или
незначительно
Постулируемые
исходные события с
многократными
отказами
АЗ-УСБТ
СКУ ЗПУ
1
10
Усовершенствованная концепция
глубокоэшелонированной защиты (WENRA-2013) (3)
Цель/задача
Основные
средства
Радиационные
последствия
Категории режимов
эксплуатации станции и
соответствующие
подсистемы АСУ ТП
Уровень 4
Управление
аварией с
расплавлением
активной зоны
для ограничения
выбросов за
пределы станции
Дополнительные
функции
безопасности для
уменьшения
расплавления
активной зоны,
Управление
авариями с
расплавлением
активной зоны
(тяжелые аварии)
Радиационное
воздействие за
территорией станции
может потребовать
защитных мер,
ограниченных по
территории и
времени
Постулируемые аварии с
расплавлением активной
зоны (краткосрочные и
длительные)
СКУ ЗПУ
Уровень 5
Уменьшение
радиационных
последствий от
значительных
выбросов
радиоактивных
материалов
Ответные действия
за территорией
станции.
Уровни
вмешательства
Радиационное
воздействие за
территорией
станции, требующее
защитных мер
Смягчение радиационных
последствий
Противоаварийные
мероприятия и СУТА
кризисного центра.
Уровни защиты в
глубину
11
1
Общие принципы разработки АСУ ТП систем
безопасности
Основные требования, которые должны быть приняты во
внимание:
избыточность (резервирование);
независимость;
Разнообразие;
Стойкость к условиям окружающей среды;
правило 30-ти минут;
Надежность (включая проблему ПО);
Принцип безопасного отказа;
Устойчивость к отказам по общей причине
Критерий единичного отказа, N + 2 и общая отказоустойчивость;
1
Бесперебойность питания;
Готовность передать управление в РПУ при невозможности
использования БПУ
12
Надежность СКУ (МЭК-61069)
Надежность должна оцениваться посредством рассмотрения каждого из
вышеуказанных свойств. Она базируется на анализе тестов или
результатах исследования и также на доказательстве того, что
специфические требования применимы к проекту АСУ ТП (т.е. выполняются
требования по качеству и проекту на каждой стадии жизненного цикла);
Поставщик должен изначально учитывать требования Заказчика, которые
могут прямо или косвенно влиять на надежность АСУ ТП и должен
разрабатывать в детальные требования, применимые к архитектуре АСУ
ТП и проекту системы. Должен рассматриваться полный жизненный цикл
АСУ ТП (иногда это проблематично для ПО)
1
13
Перечень показателей надёжности
частота отказов;
вероятность несрабатывания на требование;
частота (или вероятность) ложных срабатываний;
доля безопасных отказов;
вероятность опасных отказов в час;
объем диагностики;
время восстановления;
тестируемость и ремонтопригодность.
1
14
Условия возникновения ООП в цифровых СКУ
(IAEA TD-CCF)
1
Риск ООП должен быть определен. При этом следует учитывать
показанные типичные условия возникновения ООП в цифровых СКУ.
15
Надёжность ПО
Так как для цифровых систем на практике не существует
общепринятых методик оценки надежности ПО, ООП могут быть
рассмотрены методом инженерной оценки с соответствующим
обоснованием. Необходимые меры должны быть рассмотрены,
чтобы
избежать
ООП
или
уменьшить
их
последствия
(соответствующие руководства даны в МЭК 61513, МЭК 60880 и
отчете WENRA по общей позиции в отношении надежности важных
для безопасности ПТК.
Отказы ПО обычно вызываются ошибками при разработке. Это
означает,
что
один
тип
отказа
может
проявиться
в
резервированных частях системы.
Риск ООП, связанный с ошибками при разработке, должен быть
достаточно низкого уровня путем использования принципа
разнообразия и других возможных средств для обеспечения высокой
надежности. Меры, предпринятые для исключения ООП, должны
быть обоснованы и задокументированны.
1
16
Лучшие практики по разнообразию
Системы, основанные на программируемых средствах должны
в полной мере использовать принцип разнообразия, которое по
существующей лучшей мировой практике достигается, но не
ограничивается следующими решениями:
 функциональное и сигнальное разнообразие;
 независимые команды разработчиков технических средств СБ
без прямого взаимодействия;
 разное программное обеспечение;
 разные описания/программные языки и представления;
 различные методы разработки;
 различные платформы разработки, инструменты и
компиляторы;
 различная аппаратура (ПЛК, ПЛИС, аналоговые);
 различные производители;
 различная верификация и валидация.
1
17
Отказоустойчивость
Системы, важные для безопасности, должны удовлетворять детерминистским и
вероятностным требованиям, которые определены в «Технических требованиях к базовой
части проекта АСУ ТП АЭС ВВЭР ТОИ». Наиболее важные детерминистские требования:
а) СКУ, не важные для безопасности, должны быть сконструированы так, чтобы, насколько
это экономически оправдано, единичный отказ их компонентов не имел влияния на
устойчивую работу АЭС (экономическая причина);
б) СКУ класса 2 по безопасности (IAEA , SSG-30, 2014) должны удовлетворять критерию
единичного отказа (N+1), где N – число работоспособных функциональных элементов (по
причине безопасности);
c)
Для систем СКУ 1 класса безопасности должны быть применены новые критерии
отказоустойчивости N+2 (N-2 в некоторых американских документах) Это означает
отказоустойчивость к 2 отказам. В общем случае, отказоустойчивость может быть
оценена количественно.
Примечание: Общий случай количественной оценки отказоустойчивости системы
представлен в отчете: Malkin S., Sivokon V., Shmatkova L. Quantitative evaluation of fault
tolerance of safety related nuclear power plant systems. Atomnaya Ehnergiya ISSN 0004-7163 (in
English in Soviet Journal of Atomic Energy (USA), Nov. 1990, v. 69(5), p.6-9.
18
1
Различные производители
Разл. оборудование
Рекомендуемые инструменты для оценки
разнообразия: атрибуты и критерии разнообразия
Атрибуты
разнообразия и
соответствующие
критерии
1
19
Физическая безопасность, кибербезопасность и
защита от саботажа
Поставщик должен разработать, задокументировать и представить
должным, непротиворечивым образом все средства, примененные для
обеспечения надежного функционирования архитектуры, отдельных систем
и оборудования АСУ ТП с целью предотвращения любого вида внутренней
или внешней угрозы для них.
Кибербезопасность должна быть обеспечена как минимум 2
независимыми группами специалистов, одна из которых должна быть
ответственна за разработку и внедрение соответствующих технических
решений и другая– для контроля доступа и соблюдения конфеденциальности.
Для обеспечения безопасности и кибербезопасности, важно принимать
во внимание внутренние опасности, от возможного саботажа со стороны
персонала. Это также актуально для АСУ ТП с непрограммируемой логикой,
и эта проблема не является новой:
1
Malkin S., Sivokon V., Khromov V., Poznyakov V. Technical solution of the NPP sabotage
invulnerability problem. In Proc. of IAEA and OECD Symposium: Balancing Automation and Human
Action in Nuclear Power Plants, 9-13 July 1990, Munich, Germany, p.189-199.
20
Надеемся на дальнейшее сотрудничество!
21