2.2 Построение функциональных деревьев событий (ФДС).
2.3 Построение системных деревьев событий.
2.4 Определение критериев успешной работы систем станции.
1. Деревья событий. Понятия и определения
Разработка вероятностных моделей безопасности АС является следующей после анализа, группировки, классификации и составления перечня исходных событий (ИС) стадией вероятностного анализа безопасности. Такие модели должны быть разработаны для каждой группы ИС, включенной в перечень. В качестве вероятностных моделей безопасности наиболее широко применяются деревья событий (ДС) и деревья отказов.
Деревья событий (Event Tree) являются графическими моделями, которые упорядочивают и отображают события протекания аварии (выполнение функций безопасности или работу систем) согласно требованиям по ослаблению исходных событий. Они показывают, как среагируют системы АС на рассматриваемое исходное событие, будут ли выполнены при этом функции безопасности, условия безопасной эксплуатации и что произойдет в итоге, как отразится исходное событие на ядерно-опасном объекте.
Каждое дерево событий включает диаграмму состояний (граф) и таблицу, поставленные в однозначное соответствие друг к другу. Диаграмма состояний (граф) представляет собой систему горизонтальных и вертикальных линий, развивающуюся слева направо вдоль последовательно составленных ячеек таблицы (рис 1 -- 2). В левой крайней ячейке таблицы указывается исходное событие или его условное обозначение, в последующих -- промежуточные события или их условные обозначения. Разветвление горизонтальной линии в пределах какой-либо ячейки таблицы означает либо осуществление (верхняя ветвь), либо неосуществление (нижняя ветвь) события, указанного в ячейке. В правой части диаграммы у соответствующих ветвей указываются возможные конечные состояния (endstate).
Иначе говоря, ДС условно можно разделить на две части: графическую и табличную, которая, в свою очередь, также состоит из двух частей:
заголовков (или событий верхнего уровня -- Top Event) и их условных обозначений -- собственно верхней части ДС -- и таблицы конечных состояний -- правой части ДС.
"Заголовками" или событиями верхнего уровня могут быть:
- состояния функций безопасности;
- состояния систем;
- базисные события;
- действия оператора по восстановлению систем.
Деревья событий могут быть функциональными или системными -- в зависимости от стадии (глубины) моделирования.
Функциональные деревья событий (ФДС) -- это такие ДС, промежуточными событиями -- "заголовками" в которых является успешное или неуспешное выполнение функций безопасности, требуемых для обеспечения проектного протекания аварий или снижения аварийных последствий. В заголовках таблицы промежуточных состояний записываются названия и условные обозначения функций безопасности.
Пример функционального дерева событий (ФДС) представлен на рис. 1.
В этом упрощенном примере рассмотрено выполнение только двух функций безопасности: аварийный отвод запасенной теплоты и долговременный отвод остаточной теплоты при исходном событии -- потере внешнего питания.
И.С.
Ф.Б.
Ф.Б.
Потеря
Отвод
Отвод
внешнего
запасенной
остаточной
питания
теплоты (авар)
теплоты
LOSP
ECS
CCS
SEQ // ENDSTATE
Рис.1. Пример ФДС.
Дерево событий имеет два верхних события (Top Event), т. е. два заголовка: "аварийный отвод запасенной теплоты" -- условное обозначение "ECS" и "долговременный отвод остаточной те-плоты" -- условное обозначение "CCS".
Дерево событий имеет три конечных состояния
1)ОК;
SMALL-RELEASE (небольшой выброс);
LARGE-RELEASE (большой выброс).
Очевидно, что выполнение обеих функций безопасности приводит к успешному исходу (ОК) (верхняя ветка ДС), а невыполнение обеих функций -- к аварийному исходу -- большому выбросу радиоактивных веществ (нижняя ветка ДС). Эта ветвь ДС и является аварийной последовательностью. Вторая последовательность также аварийная, она образуется при невыполнении одной функции безопасности и отличается от третьей размерами повреждений.
Системные деревья событий -- это такие ДС, промежуточными событиями в которых являются успешное функционирование либо отказы систем, их отдельных каналов, структурных частей, компонентов и/или ошибочные действия персонала, которые могут по-влиять на выполнение рассматриваемых функций безопасности. В качестве промежуточных событий в таблице системного ДС запи-сываются названия или обозначения систем, их отдельных каналов, структурных частей, компонентов или действий персонала.
На рис. 2 показан пример системного ДС для аварии с обесточиванием АС (исходное событие -- LOSP-- Loss of Site Power) с реактором ВВЭР-1000.
Рис. 2. Пример системного ДС для аварии с обесточиванием АС.
Промежуточные события здесь определяются срабатыванием систем, участвующих в работе при аварии с обесточиванием АС:
А -- аварийный останов РУ -- A3;
W -- подача аварийного электроснабжения от ДГ на секции ВХ, BV, BW;
С1 -- ввод бора в первый контур (САОЗ ВД);
Е1 -- компенсация роста давления после закрытия СКТГ (открытие БРУ-А при поступлении требования);
Е2 -- закрытие БРУ-А;
F1 -- компенсация роста давления после закрытия СКТГ при несрабатывании БРУ-А (открытие ПКПГ);
F2 -- закрытие ПКПГ;
V -- подпитка 1-го контура при расхолаживании РУ (САОЗ ВД);
СЗ -- расхолаживание РУ через 2-й контур, при успешной работе БРУ-А;
С4 -- расхолаживание РУ через 2-й контур, при успешной работе ПК ПГ.
В рассматриваемом примере в 11 случаях из 14 протекание аварии приводит к неуспешному исходу -- повреждению активной зоны -- CD. Существенными для безопасности являются поч-ти все определенные для данного ИС функции системы. При невыполнении условий обеспечения подкритичности, т. е. при неуспешной работе систем A3 (А) и САОЗ ВД (C1), a также при отсутствии аварийного электроснабжения (W) следует неуспешный исход.
Подводя итог сказанному, можно сформулировать определение и свойства ДС.
Дерево событий (ДС) представляет собой логическую диаграмму, которая определяет множество возможных конечных состояний АС, каждое из которых, является реализацией определенных сочетаний промежуточных событий, могущих повлиять на процессы развития аварии при заданном ИС.
Графически ДС (рис. 1 - 2) изображается в виде таблицы состояний и собственно логической диаграммы состояний в форме разомкнутого бинарного графа или дерева. В заголовках колонок таблицы слева направо размещаются названия и условные обозначения промежуточных событий -- событий верхнего уровня (Top Event). Характеристики конечных состояний -- результаты аварийных последовательностей -- отображаются в крайнем правом столбце (endstate).
События верхнего уровня (Top Event) -- это вершины деревьев отказов.
Основными свойствами ДС являются следующие:
Каждая последовательность приводит или к безопасным условиям, или к аварийным условиям, например, внутренним повреждениям.
Деревья событий устанавливают связь между системами и функциями безопасности одной из последовательностей событий.
3. Деревья событий обеспечивают полное прослеживание (просмотр) аварийных последовательностей.
4. Деревья событий, отображая путь развития аварии, выполняют такие функции: определяют аварийные последовательности; определяют существенные функции безопасности системы; определяют количество учитываемых последовательностей.
2. Общие принципы построения деревьев событий
2.1 Цели и задачи построения дерева событий
Мы получили уже некоторое представление о ДС, и прежде чем учиться их строить, попытаемся еще раз повторить и понять, зачем это надо делать. Итак, что дают деревья событий.
1. Деревья событий моделируют:
связь функций безопасности и систем безопасности;
развитие аварийных последовательностей.
2. Деревья событий используются:
для определения аварийных последовательностей, приводящих к плавлению активной зоны (CD);
для количественного определения аварийных последовательностей -- вычисления вероятности их реализации.
3. При построении ДС определяются границы ДС (начальные и конечные условия), а именно:
время (машинное время) обеспечения функций безопасности;
важные конечные состояния (OK, CD, ...);
степень моделирования действий оператора по восстановлению систем;
* использования альтернативных систем (и других возможных по реакции станции).
4. При построении ДС определяются критерии успеха (неуспеха):
посредством построения функционального дерева событий;
учета основных функций безопасности.
2.2 Построение функциональных деревьев событий (ФДС)
Разработка ФДС начинается составлением перечня функций безопасности, выполнение которых обеспечивает проектное про-текание рассматриваемой аварии (для проектных ИС) или уменьшение ее последствий (для запроектных ИС). В итоге должен быть получен перечень требуемых функций безопасности, опре-делены наборы выполняющих их систем безопасности и функций персонала, определены критерии их успешного выполнения и выявлены функциональные зависимости между ними. Для составления такого перечня могут быть использованы те же источники информации, что и для этапа классификации исходных событий. Кроме того, могут быть проведены дополнительные расчетные анализы процессов для уточнения критериев выполнения функций безопасности в случае непроектного протекания аварии.
В общем случае должны рассматриваться функции безопасности, важные с точки зрения повреждения активной зоны, а именно:
управление реактивностью;
отведение остаточной и запасенной теплоты;
поддержание целостности границ I контура (управление давлением);
поддержание запаса теплоносителя в I контуре;
защита целостности контайнмента;
удаление радиоактивности из атмосферы контайнмента.
В зависимости от решаемой задачи (ИС) перечисленные функции безопасности обычно уточняются (делятся) на менее или более общие. Сочетание и последовательность их также зависят от задачи. Приведенные функции безопасности являются взаимозависи-мыми (точнее функции 3, 4 и 5 зависят от двух первых). Может быть полезным выделение независимых, "фундаментальных" функций безопасности. Это:
* контроль и управление реактивностью;
обеспечение охлаждения активной зоны реактора;
локализация и надежное удержание радиоактивных продуктов.
Перечень функций безопасности приведен в руководстве МАГАТЭ по безопасности 50-SG-D1.
Построение ФДС начинают с формирования таблицы дерева. При этом важным фактором является порядок и последовательность размещения функций безопасности в таблице промежуточных событий. В значительной мере он определяет конфигурацию дерева и может повлиять на удобство и трудоемкость его построения и последующего количественного анализа. При выборе по-рядка размещения функций безопасности следует руководствоваться принципами:
причинно-следственным -- в соответствии с которым функции безопасности, выполнение которых зависит от выполнения других функций, размещаются в правых колонках таблицы относительно последних;
временным -- в соответствии с которым независимые функции безопасности располагаются в порядке очередности их выполнения во времени.
Например, для ИС "обесточивание" должны рассматриваться функции безопасности, приведенные в табл. 1.
Таблица 1 Пример зависимых ФБ
ФБ причина
ФБ зависимая
Останов реактора
Отвод теплоты при высоком давлении
Поддержание РУ в подкритическом состоянии путем введения бора
Отвод теплоты от РУ при низком давлении
Отвод теплоты от РУ при высоком давлении
Отвод теплоты от РУ при низком давлении
Для разработки диаграммы ФДС необходимо выполнить следующие процедуры:
1) сформировать таблицу функций безопасности, определив рациональную последовательность их размещения с применением причинно-следственного и временного принципов;
2) провести траекторию проектного протекания аварии, ко-торая отражает выполнение всех требуемых функций безопасности; нанести на эту траекторию особые точки, в частности действия персонала, если таковые требуются;
3) начиная с крайней слева функции безопасности последовательно построить траектории, связанные с невыполнением каждой функции до попадания в соответствующие конечные состояния; при таком построении требуется анализ возможных зависимостей между функциями с позиции их влияния на конечные состояния;
4) сформировать таблицу конечных состояний, выполнив их классификацию по видам повреждения АС;
в общем случае рассматриваются следующие виды конечных состояний:
конечные состояния с превышением проектных выбросов L, возникающие вследствие невыполнения только одной или нескольких локализующих функций безопасности;
конечные состояния с тяжелым повреждением активной зоны R, возникающие в результате невыполнения только одной или нескольких защитных функций безопасности. На предварительном этапе анализа безопасности при отсутствии расчетов процессов в реакторной установке целесообразно консервативно принять, что невыполнение любой из защитных функций безопасности вызовет тяжелое повреждение (плавление) активной зоны реактора;
конечные состояния с превышением максимального проектного аварийного выброса радиоактивных продуктов в окружающую среду RL, возникающие в результате совместного невыполнения защитных R и локализующих L функций безопасности.
ФДС содержит относительно небольшое число конечных состояний, и по ним достаточно просто, при наличии соответст-вующего опыта, выполнить предварительную качественную классификацию КС с нарушением безопасности по их виду.
В IRRAS рассматриваются конечные состояния с повреждением активной зоны -- CD и безопасные конечные состояния -- ОК. Степень повреждений должна определяться с помощью других методик и кодов. Код IRRAS определяет вероятности аварийных последовательностей, обозначенных как CD, поэтому, применяя консервативный подход, конечные состояния R, L и RL, рекомендуемые методикой, следует обозначать как CD (или CD/).
После завершения разработки функциональных ДС для расчетов вероятностных показателей безопасности дальнейшая разработка вероятностных моделей проводится для каждой отобранной аварийной последовательности на уровне участвующих в ее реализации систем безопасности и/или функций персонала. Эта цель может быть достигнута двумя способами:
путем. непосредственного применения методик деревьев отказов (ДО) и ошибок персонала (ДОП);
путем разработки промежуточных моделей надежности в виде системных деревьев событий (СДС) и последующего использования методик деревьев отказов и деревьев ошибок персонала.
Второй способ рекомендуется использовать в тех случаях, если непосредственная разработка деревьев отказов затруднена вследствие сложных межсистемных связей, а также в случаях излишне большой размерности разрабатываемых деревьев отказов (данная рекомендация соответствует методологии "большие ДС -- малые ДО"). При этом определенные по ФДС логические (булевы) функции, описывающие отобранные аварийные последовательности (или КС), используются в качестве основных событий дерева отказов или системного дерева событий (СДС).
2.3 Построение системных деревьев событий
Разработка системного дерева событий проводится с целью детализации полученных в результате построения ФДС аварийных последовательностей на системном уровне -- определения систем безопасности, их отдельных каналов, структурных частей или компонентов и функций персонала, необходимых для приведения РУ в безопасное состояние, и разработки промежуточных расчетных моделей для оценки вероятностей их реализаций.
Разработка СДС проводится для каждого отобранного для де-тального моделирования конечного состояния ФДС.
Задача - выполняется на основе предшествующего анализа (первый этап) множества КС соответствующего ФДС. При этом необходимо дать четкое и ясное определение рассматриваемой аварийной последовательности с целью выявления необходимых данных для определения перечня взаимосвязей и критериев для структурно-функциональных блоков системы. В качестве источников таких данных могут быть использованы:
- 6- 94179 расчетные анализы процессов, связанных с реализацией данной аварийной последовательности;
- инструкции по ликвидации рассматриваемой аварии, используемые на аналогичных АС;
- проектная документация с описаниями и принципиальными схемами соответствующих систем безопасности, нормальной эксплуатации (технологических, управляющих, обеспечивающих).
Следующий этап заключается в разработке и описании перечня структурно-функциональных блоков (СФБ) системы, обеспечивающей выполнение рассматриваемых функций безопасности. Определение перечня СФБ предполагает выполнение следующих процедур:
Для каждой функции безопасности, входящей в логическую функцию рассматриваемой аварийной последовательности, определяются технологические системы (защитные, локализующие системы безопасности и системы нормальной эксплуатации), непосредственно выполняющие данную функцию безопасности.
Для каждой технологической системы определяются критерии ее успешного функционирования, т.е. минимально необходимые условия (производительность, мощность, физические параметры и т. д.), реализация которых достаточна для успешного выполнения соответствующих функций безопасности.
Определяются управляющие, обеспечивающие системы и действия персонала, которые необходимы для функционирования каждой технологической системы. При выполнении этой задачи методика рекомендует пользоваться таблицей взаимосвязи основных и поддерживающих систем (табл. 2), разработанной при анализе видов отказов и последствий АВОП.
Таблица 2
Матрица зависимостей фронтальных и поддерживающих систем
Фронтальные
Поддерживающие системы
(основные) системы
Внеш
ний источник электро-энергии
ДГ
СУ СБ
СУ авар, пит. воды
Тех.
вода
Пневмо
система
Об
щая система управле-ния АС
Охлаж-дение щитов электро-переклю-чателя
Охлаж-дение насосов СБ
A3 реактора
Гидро-аккумуляторы аккумтаяторы
САОЗ ВД
+
+
4-
+
+
САОЗ НД
+
+
+
+
+
+
Спринклерная система
+
+
+
+
+
+
Система охлаждения РО
+
+
+
+
+
Отвод теплоты через II контур
+
+
+
+
Аварийная питательная вода
+
+
+
ПККД
Далее необходимо выполнить следующие задачи:
С учетом результатов по пп.1-3 разработать логические или структурно-функциональные схемы для рассматриваемой совокупности функций безопасности, включив в них все технологические, управляющие и обеспечивающие системы, а также действия персонала, которые могут повлиять на выполнение заданных функций. Эти схемы должны отражать взаимосвязи и возможные зависимости между отдельными их частями и компонентами.
Выполнить декомпозицию структурных схем, разбив их на отдельные структурно-функциональные блоки, рассматриваемые при дальнейшем анализе как самостоятельные части. Рекомендуется при включении в таблицу промежуточных событий СДС в качестве структурно-функциональных блоков (СФБ) рассматривать следующее:
- отдельные каналы технологических (защитных, локализующих) систем при отсутствии внутриканального резервирования элементов или при резервировании элементов, которые могут выполнить функцию канала в 100%-м объеме; при резервировании элементов, которые могут выполнить функцию канала в объеме менее 100% (например, 50%), такие элементы (или группы элементов) выделяют в самостоятельный структурно-функциональный блок;
- общие части технологических систем, каждая из которых выполняет самостоятельные функции безопасности;
- общие части управляющих систем, т. е. информационно-логические части УСБ, формирующие признаки возникно-вения исходных событий аварий;
- общие для отдельного канала безопасности части обеспечивающих систем (системы электроснабжения, вентиляции, технической воды, системы отвода теплоты к конечному поглотителю) и других систем;
- части управляющих и обеспечивающих систем, от которых зависит работа отдельных компонент систем безопасности, целесообразно включать в структурно-функциональные блоки технологических систем.
6. Определить общие части, компоненты или действия персонала, отказы которых могут повлиять на выполнение нескольких функций безопасности; определить возможные зависимости между отдельными функциями безопасности с точки зрения возникновения тех или иных конечных состояний.
Системные ДС строятся для каждой аварийной последовательности, выбранной для моделирования вероятности ее реализации на функциональном уровне.
При построении СДС следует стремиться к тому, чтобы таблица событий отражала реальную структуру систем со всеми присущими ей особенностями. Наиболее важной особенностью структуры систем является возможное наличие общих частей в пределах систем (или их каналов), выполняющих различные функции безопасности. Такие общие части, если они имеются, должны быть в явном виде отражены в заголовках системного де-рева событий. Примерами общих частей могут быть управляющие системы, формирующие признаки возникновения ИС, системы электроснабжения, другие обеспечивающие системы. В табл. 2 зависимости нескольких основных систем от одной обеспечи-вающей можно проследить по столбцам, а наличие общих частей следует прослеживать по технологическим схемам.
Для построения СДС, определения логических соотношений и расчета вероятностей реализации КС следует выполнить следующие процедуры:
1. Определить с учетом результатов предыдущего этапа порядок размещения выделенных частей в таблице СДС. При этом рекомендуется использование причинно-следственного принципа, в соответствии с которым системно-функциональные блоки, работа которых, зависит от других блоков или невыполнение функций которых, может привести к менее тяжелым последствиям при условии успешной работы других структурных единиц, размещаются в правых колонках таблицы СДС. Например, системы или их части, выполняющие защитные функции безопасности, которые влияют на состояние активной зоны, располагаются в левых, а системы или их части, выполняющие локализующие функции безопасности, -- в правых колонках СДС. Как правило, первыми в левых колонках размещаются обеспечивающие системы безопасности (рис. 2).
2. Провести траекторию проектного функционирования систем. Нанести на нее особые точки, включая действия персонала события, связанные с функционированием избыточных систем.
3. Начиная с крайней слева системы (части системы), последовательно построить траектории, связанные с невыполнением функции каждой системы до попадания в соответствующие конечные состояния.
4. Сформировать таблицу конечных состояний, в которой для каждой последовательности программно определяются логические (булевы) соотношения в виде условной записи комбинаций отказавших систем (или их частей), что является причиной возникновения рассматриваемого КС. При этом все КС системного дерева событий соответствуют невыполнению только определенной совокупности функций безопасности, за исключением отказа всех каналов обеспечивающих систем, который может привести к другим совокупностям невыполнения функций безопасности. На рис. 2 получено 14 конечных состояний, включая проектное.
На основе полученной диаграммы СДС с целью обеспечения разработки детальных моделей для количественной оценки веро-ятностных показателей безопасности АС при рассматриваемом ИС выполняется анализ полученного множества КС с нарушением безопасности АС, определяются системные минимальные сече-ния и формулируются задачи для последующих этапов ВАБ.
Системные минимальные сечения -- это АП, для которых рассматриваемый вид КС реализуется при меньшем по сравнению с другими последовательностями количестве невыполненных функций безопасности.
Проводится качественный анализ всех логических соотношений из полученного множества системных минимальных сечений с целью отыскания возможных зависимостей между входящими в них системами (межсистемные зависимости). В результате выполнения этого этапа с учетом анализа межсистемных зависимостей формулируются задачи для разработки деревьев отказов для про-ведения количественной оценки вероятностных показателей безопасности.
В соответствии со схемой организации итеративного процесса проведения вероятностного анализа безопасности на различных его стадиях методика ДС (построение и анализ ФДС и СДС) используется многократно. После выполнения оценок вероятностей (или частот) реализации КС с нарушением безопасности АС определяются доминантные аварийные последовательности (см. гл. 6), для которых должны быть выполнены анализы процессов в целях определения размера последствий, а также параметров процессов, которые могут повлиять на разработку более реалистичных вероятностных моделей. В частности, по результатам анализа процессов может быть рассмотрена важность тех или иных функций безопасности или видов конечных состояний.
Важность КС определяется, прежде всего, величиной его вероятности. Более вероятные КС считаются и более опасными, и важными. Расчет вероятности КС по виду ДС производится по его логическому (булеву) выражению в соответствии с рис. 3. Например, вероятность КС № 4, следующего вследствие отказа систем "D" и "?", при успешной работе предыдущих систем "В" и " С будет равна: Р4= РА x Рт x Ра, т. е. простому перемножению вероятностей отказа систем, вошедших в логическое выражение. Заметим также, что полученные логические выражения могут быть упрощены на основе правил булевой алгебры и исключения из рассмотрения АП с очень малыми вероятностями, что приводит к упрощению ДС.
На рис.3 вероятности отказа одной системы различны в разных строках в связи с различием вероятности отказа систем в разных условиях. Так, вероятность Рт -- отказ системы "D" при успешном срабатывании системы "В", а Рт -- отказ системы "D" при отказе системы "5" и т. д.
В национальном стандарте требуется рассмотрение аварийных последовательностей от ИСА, частота возникновения которых превышает 10~7 раз в год (или 1012 1/ч) с учетом ранее сказанного.
Далее приводится пример определения систем реактора PWR, способных реализовать важнейшие функции безопасности: обеспечение подкритичности, отвод теплоты от активной зоны и поддержание уровня в активной зоне.
Рис. 3. Упрощенное дерево событий для аварии "Большая течь"
Таблица 3 Связь функций безопасности и систем, их реализующих
Подкритичность
(RS)
Отвод теплоты от активной зоны (CHR)
Поддержание уровня
воды в зоне (CIC)
Система аварий-
ной защиты
Система аварийной подачи питательной воды
Система подачи питательной воды
Система продувки подпитки
Система аварийного ввода бора
Система впрыска высокого давления
Система впрыска
низкого давления
Поддержание давления и уровня
в ПГ клапанами (Feed &Bleed)
Система отвода остаточного тепловыделения
Система рециркуляции ВД
Система рециркуляции НД
При определении функций безопасности и систем, их обеспечивающих, необходимо принимать во внимание все системы, которые могут оказывать влияние на аварию и управление которыми осуществляется автоматически и/или оператором с БЩУ/РЩУ. Во всех случаях, когда учитываются системы, управление которыми осуществляется с участием персонала не с БЩУ/РЩУ, требуется обосновать возможность такого управления, исходя из особенностей протекания аварии.
Перечень систем АС РУ ВВЭР-1000 можно найти в ТОБ, там же можно найти полное их описание и описание их взаимодействия. Всего конструкторы РУ выделяют 22 фронтальные и поддерживающие системы. Системы энергоснабжения, системы КИПиА, технического водоснабжения и вентиляции связаны со всеми основными и вспомогательными системами. Влияние отказа любой системы на успешное функционирование остальных систем зависит также от выполняемой задачи -- функции безопасности. Иными словами, схема взаимодействия систем может быть изображена для конкретных функций безопасности, как это показано, например, в работах японских инженеров.
2.4 Определение критериев успешной работы систем станции
Критерии успешной работы рассматриваемой системы станции -- это минимальные параметры системы, которые необходимы для успешного выполнения ею функции безопасности в конкретных условиях, создаваемых исходным событием.
Критерии успеха (критерии успешной работы) фронтальных систем зависят от исходного события и являются особо важными для ВАБ, поскольку они определяют "верхние события" или начальную точку для последующего моделирования систем. Критерии успеха для фронтальных систем будут, разумеется, претерпевать дальнейшие уточнения при анализе реакции станции, так как они зависят не только от инициирующих событий, но и, возможно, от дополнительных отказов систем или их нормальной работы в данной аварийной последовательности. Критерии успеха для фронтальных систем могут быть определены однозначно на основе четкого определения успешной работы или отказа с учетом результатов выполнения функции безопасности. В дополнение к определению требований к характеристикам (например, расходу, времени работы и т. д.) критерии успеха должны выражаться в терминах требований к оборудованию -- таких, как число требуемых каналов по расходу, энергоснабжению и т. п.
Критерии успеха для поддерживающих систем не могут быть выражены так однозначно. В большинстве случаев поддерживающие системы обслуживают более чем одну фронтальную систему и, следовательно, каждое возможное состояние системы (например, три работающих канала, два или один, ни одного) оказывает различное воздействие на фронтальную систему, которая выполняет определенную функцию. Поэтому данное состояние поддерживающей системы может вести к успешному выполнению функций безопасности или к отказу в зависимости от конкретного состояния фронтальной системы, с которой она связана, и к другому результату по другой функции безопасности, когда рассматривается другая связанная с нею фронтальная система.
Соответствующая информация для оценки критериев успеха фронтальных систем приводится в отчете по безопасности (ТОБ). Однако критерии, выводимые из этого отчета, могут быть чрезмерно консервативными. Если возможны более реалистические критерии, желательно использовать их. Эти реалистические кри-терии, тем не менее, должны быть подтверждены анализом, удостоверяющим их правильность. Для получения более реалистических критериев, чем те, которые получаются на основе допущений, сделанных в ТОБ, может быть использован имеющийся анализ данной или других подобных АС. Источник такой информации или должен быть четко указан, или соответствующие материалы должны быть включены в документацию ВАБ, если используемые документы труднодоступны. Следует учитывать, что если первоначально используются слишком консервативные критерии успеха, выведенные из ТОБ, то на дальнейших этапах ВАБ может потребоваться дополнительный анализ для обоснования более реалистических критериев для окончательных моделей ВАБ. В дополнение к критериям успеха, предъявляемым к фронтальным системам исходными событиями, должны также быть определены и зафиксированы любые другие особые условия, связанные с этими событиями. Такими условиями являются возможные воздействия на поддерживающие системы, на симптомы, которые видит оператор, на системы автоматического запуска и возможное наведение зависимых отказов. Эти специальные условия будут использованы при группировании инициирующих событий в эквивалентные классы .
В результате выполнения настоящей задачи формируется таблица, отображающая каждое исходное событие, соответствующие указанные выше системы, критерии успеха этих систем для соответствующих ИС, ссылки на обосновывающую документацию и специальные характеристики ИС, которые влияют на допущения при моделировании.
В качестве примера рассмотрим таблицу успеха/неуспеха для ИС "малая течь -- SLOCA" для ДС с участием систем, приведенных в табл. 3. При этом отвод остаточного тепловыделения, полагаем, может обеспечиваться тремя системами (табл. 4).
При определении критериев успеха необходимо определять допущения:
наличие питания;
наличие исправной системы управления;
наличие среды (потока).
Таблица. 4. Критерии успеха/неуспеха
Обеспечение подкритичности
Отвод теплоты в начале аварии
Поддержание уровня воды в зоне
Отвод теплоты I контура (долгосрочный)
1
2
3
4
Система A3
(отказ A3 рассматривается как особая задача, поскольку система A3
имеет высокие показатели надежности)
Один из двух каналов аварийной подачи питательной воды или система (основная)
подачи питательной воды в один
из трех насосов
или
один из трех каналов САОЗ ВД и
один из двух ПК
КД -- режим
"Feed & Bleed"
Один из трех каналов впрыска САОЗ
Один из двух каналов системы отвода остаточных тепловыделений САОЗ HUl-(RHR)или