ПЕРЕЛІК СКОРОЧЕНЬ

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ

2. ПОРЯДОК ПРОВЕДЕННЯ ЕКСПЕРТИЗИ МАТЕРІАЛІВ ІАБ

2.2. Обсяг проведення експертизи

2.3. Учасники експертизи

2.4. Ідентифікація аспектів ІАБ, що підлягають експертизі

2.5. Критерії значимості експертних оцінок

3. ЕКСПЕРТИЗА МАТЕРІАЛІВ ІАБ ПЕРШОГО РІВНЯ ДЛЯ ВНУТРІШНІХ ВИХІДНИХ ПОДІЙ АВАРІЙ

3.1. Дані з надійності обладнання та по відмовах через загальні причини

3.2. Дані по інцидентах і порушеннях

3.3. Ідентифікація і групування ВПА

3.4. Системний аналіз

3.5. Аналіз критеріїв успіху

3.6. Аналіз аварійних послідовностей

3.7. Аналіз дій персоналу

3.8. Кількісні розрахунки й аналіз результатів ІАБ

3.9. Інтерпретація результатів ІАБ

4. ЕКСПЕРТИЗА МАТЕРІАЛІВ ІАБ ДЛЯ ЕКСТРЕМАЛЬНИХ ВПЛИВІВ

4.2. Ідентифікація ЕВ

4.3. Аналіз пожеж

4.4. Аналіз затоплень

5. ЕКСПЕРТИЗА МАТЕРІАЛІВ ІАБ ДРУГОГО РІВНЯ

5.1. Інтерфейс між дослідженнями ІАБ 1 і 2 рівнів

5.2. Аналіз міцнісних характеристик гермооб'єму

5.3. Аналіз уразливості і розвитку процесів у гермооб'ємі

5.4. Аналіз дерев подій гермооб'єму

5.5. Кількісна оцінка дерев подій для гермооб'єму

6. ЕКСПЕРТИЗА ПРОГРАМИ ЯКОСТІ ІАБ

ДОДАТОК Перелік нормативно-правових актів, нормативних документів, документів МАГАТЕ і Комісії по ядерному регулюванню США, що використовуються під час проведення експертизи матеріалів ІАБ

АЕС - атомна електрична станція

АП - аварійна послідовність

БЩК - блочний щит керування

ВВЕР - водо-водяний енергетичний реактор

ВПА - вихідна подія аварії

ГО - гермооб'єм

ДВ - дерево відмов

ДП - дерево подій

ДПГ - дерево подій для гермозони

ДДП - декомпозитне дерево подій

ЕВ - екстремальний вплив

ЗАБ - звіт з аналізу безпеки

ЗЯ - забезпечення якості

ІЛА - інструкція з ліквідації аварій

ІАБ - імовірнісний аналіз безпеки

ІПП - імовірність помилки персоналу

КВПІА - контрольно-вимірювальні прилади і автоматика

МАГАТЕ - Міжнародне Агентство з Атомної Енергії

САОЗ ВТ - система аварійного охолодження зони високого тиску

САОЗ НТ - система аварійного охолодження зони низького тиску

СГО - система герметичних огороджень

СУЕ - ступінь ушкодження енергоблоку

ТА - тяжка аварія

ТВЕЛ - тепловиділяючий елемент

ТОБ - технічне обгрунтування безпеки

ФБ - функція безпеки

ЧУАЗ - частота ушкодження активної зони

PWR - power water reactor

1.1. Дана Методика виконання експертизи (технічної оцінки) матеріалів, які приведені у Додатку до звіту з аналізу безпеки діючих енергоблоків АЕС "Імовірнісний аналіз безпеки" (далі - Методика) поширюється на діяльність по виконанню експертизи (технічної оцінки) матеріалів, які приведені у додатках "Імовірнісний аналіз безпеки" (ІАБ) до звітів з аналізу безпеки (ЗАБ) діючих в Україні енергоблоків АЕС з ВВЕР.

1.2. Дана Методика призначена для використання Державним комітетом ядерного регулювання України (Держатомрегулювання України) та експертними організаціями під час проведення експертизи (технічної оцінки) матеріалів, які приведені у Додатку ІАБ до ЗАБ для діючих енергоблоків, а також інших документів, що обгрунтовують безпеку ядерних установок (ЯУ) і пов'язаних з виконанням ІАБ (далі - інших матеріалів ІАБ).

1.3. Дана Методика встановлює:

- загальний опис процесу проведення експертизи (технічної оцінки) матеріалів ІАБ;

- перелік основних аспектів ІАБ, що повинні бути розглянуті експертами під час проведення експертизи (технічної оцінки) матеріалів, які приведені у Додатку ІАБ до ЗАБ, і послідовність їх розгляду;

- критерії оцінки, якими повинні керуватися експерти під час розгляду матеріалів ІАБ.

1.4. Дана Методика може, при необхідності, доповнюватися узгодженими відповідним чином додатками, в яких рекомендовано процедури аналізу матеріалів ІАБ на відповідність критеріям оцінки.

1.5. Основні аспекти для розгляду експертами під час проведення експертизи (технічної оцінки) матеріалів ІАБ, наведено у розділах 3-6 даної Методики.

1.5.1. Під час виконання експертизи (технічної оцінки) матеріалів, які приведені у Додатку ІАБ до ЗАБ експерти повинні керуватися:

- положеннями даної Методики;

- вимогами технічного завдання на проведення експертизи (технічної оцінки);

- вимогами чинних нормативно-правових актів України, норм і правил з ядерної та радіаційної безпеки (ЯРБ). В випадках коли такі вимоги відсутні, або є не повними, можуть бути використанні документи МАГАТЕ, а також нормативні документи інших країн, положення яких повинні розглядатися як рекомендаційно-довідкова інформація. Перелік чинних нормативно-правових актів України, норм і правил з ЯРБ, які необхідно враховувати під час проведення експертизи (технічної оцінки) матеріалів ІАБ, а також документів міжнародних організацій, які рекомендуються для використання наведено у Додатку;

- відомостями щодо призначення й галузі застосування матеріалів ІАБ, які подані на експертизу.

1.5.2. Під час виконання експертизи (технічної оцінки) інших матеріалів ІАБ (які не є частиною матеріалів, які приведені у Додатку ІАБ до ЗАБ), експерти самостійно визначають перелік необхідних для оцінки основних аспектів ІАБ. При цьому необхідно керуватися документами, які перераховані в п.1.5.1, і враховувати призначення та область застосування матеріалів ІАБ, що аналізуються.

1.6. Під час проведення експертизи (технічної оцінки) матеріалів, які приведені у Додатку ІАБ до ЗАБ і інших матеріалів ІАБ експерти послідовно виконують:

- перевірку наявності в складі поданих матеріалів даних, що висвітлюють основні аспекти ІАБ, прийняті для оцінки відповідно до п.1.5;

- визначення достатності інформації по кожному з прийнятих для оцінки основних аспектів ІАБ для підготовки експертних оцінок і рекомендацій.

При відсутності в поданих на експертизу (технічну оцінку) матеріалах ІАБ відповідних даних або недостатності інформації, експерт запитує додаткову інформацію в порядку, що передбачений [3].

1.7. Критерії для виконання експертизи (технічної оцінки) матеріалів ІАБ встановлюються для кожного основного аспекту ІАБ, який обумовлено відповідно до п. 1.5, на підставі положень розділів 3-6 даної Методики.

1.7.1. Експерти вправі відмовитися від використання тих чи інших критеріїв оцінки, якщо в процесі виконання експертизи (технічної оцінки) зроблено висновки про недоцільність їх застосування. При цьому експерт повинен керуватися критеріями, встановленими [4, 5].

1.7.2. Висновки про недоцільність використання того чи іншого критерію оцінки при формулюванні експертних оцінок повинні бути відповідним чином обгрунтовані.

2.1. У залежності від порядку надходження на експертизу (технічну оцінку) матеріалів ІАБ, експертизу необхідно виконувати за одним з наступних варіантів:

- варіант 1 - експертиза виконується паралельно із розробкою матеріалів ІАБ, по мірі виконання окремих підзадач або етапів, і передачі їх на експертизу.

Перевагою такого варіанта експертизи є те, що виправлення виявлених у процесі експертизи помилок може виконуватися на початкових етапах проведення ІАБ.

Недоліком є те, що подані на експертизу матеріали можуть бути значно змінені в процесі робіт з ІАБ, і може знадобитися їх повторна експертиза.

- варіант 2 - експертиза виконується після завершення розробки матеріалів ІАБ, на експертизу надходить весь комплект розробленої документації (наприклад, цілком матеріали, які приведені у Додатку ІАБ до ЗАБ).

Перевагою даного підходу є те, що рівень трудовитрат на проведення експертизи матеріалів ІАБ в кожному окремому випадку істотно знижується.

Недолік - експертиза може виявити значні недоліки, виправлення яких краще виконувати на ранніх етапах розробки матеріалів ІАБ. Крім того, знижується рівень довіри до результатів ІАБ і підвищуються трудовитрати на виконання експертизи наступних матеріалів ІАБ (з урахуванням вибіркового характеру виконаної експертизи, надалі під час проведення експертизи однотипних матеріалів ІАБ істотного зниження трудовитрат не досягається).

2.2. Обсяг проведення експертизи

На початку виконання експертизи повинно бути прийняте рішення про обсяг проведення експертизи. У залежності від мети і задач експертизи, які визначаються Держатомрегулювання України, і відведених на проведення експертизи термінів, виконується детальна експертиза або експертиза в обмеженому обсязі (далі - обмежена експертиза).

- Під час проведення детальної експертизи, усі матеріали ІАБ підлягають детальній і ретельній перевірці. Метою такої перевірки є підтвердити, що логічні моделі і дані, які використовуються, відображують реальний стан ядерної установки і забезпечують необхідний консерватизм оцінок.

Даний підхід має перевагу з точки зору рівня довіри до результатів ІАБ і зниження трудовитрат на експертизу наступних матеріалів ІАБ (зокрема, під час проведення згодом експертизи матеріалів ІАБ для однотипних енергоблоків, рівень трудовитрат на виконання експертизи буде значно нижчий).

- Під час проведення обмеженої експертизи виконується загальний огляд матеріалів ІАБ і вибіркові детальні перевірки окремих аспектів ІАБ, що мають найбільший вплив на результати ІАБ, які аналізуються.

Перевагою даного підходу є те, що рівень трудовитрат на проведення експертизи матеріалів ІАБ у кожному окремому випадку істотно знижується.

Недолік - зниження рівня довіри до результатів ІАБ і підвищення трудовитрат на експертизу наступних матеріалів ІАБ (з урахуванням вибіркового характеру виконаної експертизи, надалі під час проведення експертизи однотипних матеріалів ІАБ істотне зниження трудовитрат не досягається).

2.3. Учасники експертизи

Для проведення як обмеженої, так і детальної експертизи необхідно забезпечити достатню кількість експертів. Всі експерти повинні мати високу кваліфікацію, практичний досвід виконання ІАБ та повинні бути навчені сучасним методам ІАБ.

Рекомендується включення до складу групи експертів - спеціалістів із досвідом виконання детерміністичних аналізів, що полегшить аналіз матеріалів ІАБ, виконаних із застосуванням імовірнісних і детерміністичних методів.

2.4. Ідентифікація аспектів ІАБ, що підлягають експертизі

2.4.1. Експертиза спрямовується на аналіз аспектів ІАБ, що мають значний вплив на результати ІАБ. Аспекти ІАБ, на які повинні звертати увагу експерти під час проведення експертизи, детально розглянуті в розділах 3-6 даної Методики.

2.4.2. Експерт повинен ідентифікувати значні з погляду ризику частини ІАБ. Ідентифікація виконується шляхом використання аналізів значимості, чутливості і невизначеності. У процесі ідентифікації експерт повинен розуміти, що аналізи значимості, чутливості і невизначеності залежать від якості поданих на експертизу матеріалів ІАБ і не можуть розглядатися як коректні аж до закінчення експертизи.

2.4.3. При експертизі рекомендується проводити порівняння матеріалів ІАБ, що експертуються, із результатами вже виконаних ІАБ для подібних енергоблоків. Навіть, якщо існують розходження у проектах енергоблоків, результати вже виконаних ІАБ надають важливу інформацію по тих аспектах ІАБ, які необхідно детально проаналізувати.

2.4.4. Під час проведення експертизи матеріалів ІАБ першого рівня для внутрішніх вихідних подій аварій необхідно розглянути такі технічні аспекти ІАБ:

- аналіз даних по надійності обладнання і відмовах через загальні причини;

- аналіз даних по інцидентах і порушеннях;

- ідентифікація і групування ВПА;

- системний аналіз;

- аналіз критеріїв успіху;

- аналіз аварійних послідовностей;

- аналіз надійності персоналу;

- кількісні розрахунки й аналіз результатів ІАБ;

- інтерпретація результатів ІАБ.

Обсяг розробки ІАБ має відповідати вимогам п.6.1 [2].

2.4.5. Під час проведення експертизи матеріалів ІАБ другого рівня повинні розглядатися такі технічні аспекти ІАБ:

- інтерфейс між дослідженнями ІАБ 1 і 2 рівнів;

- аналіз міцнісних характеристик гермооб'єму;

- аналіз уразливості і розвитку процесів у гермооб'ємі;

- аналіз дерев подій гермооб'єму;

- кількісні розрахунки й аналіз результатів ІАБ;

- інтерпретація результатів ІАБ.

2.5. Критерії значимості експертних оцінок

2.5.1. Під час виконання експертизи (технічної оцінки) матеріалів ІАБ експертами аналізуються всі основні аспекти ІАБ, обумовлені відповідно до п.2.4 даної Методики. При цьому експерти самостійно визначають значимість експертних оцінок і зауважень з точки зору впливу виявлених недоліків на основні результати ІАБ.

2.5.2. Рекомендується ранжирувати експертні оцінки за наступними критеріями значимості:

- "Високий". Виявлені експертами недоліки або спірні питання істотно впливають на основні результати ІАБ. Без усунення виявлених недоліків чи вироблення прийнятного рішення виявлених спірних питань результати ІАБ не можуть вважатися коректними, що робить неможливим їхнє наступне використання.

- "Середній". Виявлені експертами проблеми або спірні питання ставлять під сумнів достовірність кількісних оцінок, приведених у матеріалах ІАБ, але не роблять істотного впливу на загальні результати ІАБ. Без вирішення виявлених проблем обмежується можливість застосування результатів ІАБ для деяких областей.

- "Низький". У дану категорію включаються проблеми або спірні питання, що відображають розходження у підходах експертів або виконавців ІАБ. Невирішення виявлених проблем істотно не впливає на приведені в матеріалах ІАБ кількісні оцінки і на можливість подальшого застосування результатів ІАБ.

3.1. Дані з надійності обладнання та по відмовах через загальні причини.

3.1.1. Збір і аналіз даних з надійності є одним з основних джерел кількісних даних, необхідних для оцінки частоти ушкодження активної зони або частоти наднормативних викидів. Дана задача включає оцінку:

- параметрів надійності елементів (інтенсивності відмов і можливості відмов на вимогу);

- неготовності елементів внаслідок проведення випробувань або обслуговування;

- відмов через загальні причини (залежних відмов).

Якщо в матеріали ІАБ включений аналіз невизначеності, то для усіх даних, що використовуються, повинні бути задокументовані параметри невизначеності, достатні для відтворення розподілу.

Експерт повинен переконатися, що у документах ІАБ однозначно задокументований період, для якого виконувався збір інформації.

3.1.2. Дані з надійності обладнання

3.1.2.1. Джерелами інформації, яка необхідна для проведення даних оцінок, є як узагальнені дані, так і дані, засновані безпосередньо на досвіді експлуатації ЯУ.

Одним з основних моментів є застосовність узагальнених даних до аналізованої ЯУ, її обладнання й експлуатаційних режимів. Експерт переконується, що в документах ІАБ виконаний аналіз застосовності джерел узагальнених даних, тобто в ідеалі такі дані як розмір, тип, матеріали, вид відмови, умови експлуатації та вік за елементом з узагальнених даних мають відповідати даним по аналізованому елементу.

Узагальнені дані повинні використовуватися в такому порядку переваги:

- дані по інших енергоблоках аналогічного проекту;

- дані по інших енергоблоках ВВЕР;

- узагальнені дані МАГАТЕ по реакторах ВВЕР;

- узагальнені дані із західних джерел для PWR;

- інші дані.

Якщо була використана комбінація різноманітних джерел узагальнених даних, то має бути наведений метод відбору або інтеграції різноманітних джерел.

3.1.2.2. Включення специфічних даних для енергоблоку, що досліджується, підвищує достовірність результатів ІАБ, тому експерт повинен перевірити, що експлуатаційні дані ЯУ, яка аналізується, максимально використовуються в розрахунках даних по надійності. Додатково, експерту рекомендується зробити порівняння експлуатаційних і узагальнених даних і переконатися, що існує (задокументовано та враховано) розумне пояснення будь-яких значних розходжень.

3.1.2.3. Використання тільки експлуатаційної статистики припускається у випадку виконання таких критеріїв:

- зафіксовано не менше 2 відмов елемента; або

- зафіксовано не менше 100 вимог на спрацьовування; або

- час спостережень не менш, ніж 1000 годин.

У всіх інших випадках повинна використовуватися комбінація узагальнених і станційних даних за методом Байєса або методом експертної оцінки.

Припускається використання тільки комбінації узагальнених і станційних даних у розрахунках даних з надійності.

У випадку неможливості визначення експлуатаційних даних і відсутності узагальнених даних, припускається використання інженерної (експертної) оцінки даних з надійності.

3.1.2.4. Такі положення враховуються під час виконання експертизи матеріалів з надійності обладнання:

- немає необхідності збору дуже детальної (специфічної для ЯУ, яка аналізується) інформації з деяких елементів (розподіл останніх на піделементи), якщо виконано коректне визначення меж елемента (особливо це важливо для обладнання КВПІА, наприклад, схема формування сигналів - реле). Підставою для визначення ступеня деталізації може також бути якість експлуатаційної інформації;

- як правило, узагальнені дані відображають консервативні параметри надійності обладнання. Проте, у деяких випадках вони можуть бути неконсервативними (наприклад, коли джерелом даних є звіти ліцензіата про порушення, у яке включаються тільки підзвітні порушення, та ігноруються всі інші);

- припускається використання допущення про те, що інтенсивності відмов обладнання є постійною величиною, що не залежить від часу. Дане допущення є таким, що спрощує і не дозволяє моделювати механізми старіння або зношування обладнання.

3.1.2.5. У процесі проведення перевірки опрацювання експлуатаційної документації по відмовах обладнання, експерт повинен переконатися, що:

- не існує суперечностей поміж видами відмов і межами обладнання, які використовуються у ІАБ, та видами відмов і межами обладнання в експлуатаційній документації;

- оцінка вимог на спрацьовування, періоду спостережень, наробіток на відмову і т.ін. виконана коректно;

- оцінка періодичності випробувань виконана коректно, при цьому необхідно враховувати, що випробування може не виявити усі види і режими відмов обладнання.

3.1.3. Дані з неготовності елементів внаслідок проведення випробувань або обслуговування

3.1.3.1. Дані з неготовності елементів (обладнання, каналів) внаслідок проведення випробувань, обслуговування або налагодження повинні реалістично відображати існуючу (або плановану) експлуатаційну практику. Припустимий мінімальний рівень консерватизму, тому для розрахунків параметрів неготовності перевага повинна віддаватися використанню експлуатаційних даних.

3.1.3.2. Якщо в розрахунках використовувалися експлуатаційні дані, експерт повинен переконатися, що розрахунки виконані коректно. Якщо в розрахунках використовувалися узагальнені дані, експерт переконується, що джерела узагальнених даних не застаріли і проведено аналіз їх застосовності до ЯУ, що аналізується.

3.1.3.3. Такі положення враховуються при експертизі матеріалів щодо неготовності елементів (обладнання, каналів) внаслідок проведення випробувань, обслуговування або налагодження:

а) фактична частота випробувань (обслуговувань, налагодження) може бути оцінена в тому випадку, якщо випробування відбуваються частіше, ніж це приписано в технологічному регламенті з експлуатації ЯУ;

б) випробування (обслуговування) систем не враховуються при розрахунку неготовності у випадку, коли:

- випробування (обслуговування) виконуються в період, коли робота системи не потрібна і не може знадобитися при виникненні ВПА; або

- випробування не впливає на працездатність системи при виникненні ВПА (тобто, система автоматично (без участі персоналу) виконує покладену на неї функцію при виникненні ВПА).

в) при оцінці фактичного часу перебування елемента в стані неготовності через випробування (обслуговування), кількість випробувань (обслуговувань), що враховуються, повинна бути не менше, ніж 10.

3.1.4. Дані по залежних відмовах

3.1.4.1. Особлива увага експертів приділяється експертизі залежних відмов. Розрізняють такі основні види залежних відмов:

1) відмови через загальні причини;

2) міжсистемні залежності і міжелементні залежності:

- функціональні залежності;

- залежності внаслідок наявності загальних елементів;

- фізичні залежності;

- дії персоналу.

3.1.4.2. Експерт повинен переконатися, що для ідентифікації всіх потенційних залежностей, що можуть призвести до зниження надійності обладнання (систем), що беруть участь у подавлені ВПА, застосований систематичний підхід. Така перевірка повинна гарантувати, що ідентифікація і відбір груп обладнання за відмовами через загальні причини виконаний коректно.

3.1.4.3. Такі положення враховуються при експертизі матеріалів по залежних відмовах:

- завжди, коли можливо, функціональні і фізичні залежності (тобто, відмова системи внаслідок неприпустимої температури, тиску, рівня радіації, впливу предметів, що літають, і т.ін.), а також залежності від дій персоналу (більш докладно див. 3.4.1.7), моделюються в явному вигляді на етапі побудови логічних моделей (дерев подій/відмов/успіхів).

- усі міжелементні залежності, які не є наслідком відмов обладнання, що забезпечує роботу декількох систем і функціональних залежностей і не пов'язаних із діями персоналу, розглядаються як відмови через загальні причини однотипних елементів резервованих каналів систем.

3.1.4.4. Матеріали ІАБ повинні надавати адекватне обгрунтування оцінки імовірності відмов через загальні причини. Переважне використання експлуатаційних даних. У випадку відсутності або неадекватності експлуатаційних даних припускається використання узагальнених даних у порядку переваги, приведеному в п. 3.1.1.1.

У випадку використання експлуатаційних даних зусилля експерта повинні бути спрямовані на перевірку коректності категоризації та інтерпретації експлуатаційних даних по відмовах обладнання. Визначення випадків відмови через загальні причини з досвіду експлуатації повинне грунтуватися на розгляді таких чинників:

- тип елемента, включаючи будь-які спеціальні характеристики проекту або конструкції;

- межі елемента;

- призначення елемента;

- завод-виготовлювач;

- внутрішні умови (тиск, температура, середовище);

- розташування елемента;

- початковий стан елемента і його експлуатаційні характеристики;

- режим експлуатації елемента;

- вимоги до обслуговування і випробування елемента;

- вид відмови та його корінна причина.

Необхідно дуже обережно застосовувати зазначені чинники, оскільки жодний чинник не може забезпечити чіткого критерію визначення відмов через загальні причини.

3.1.4.5. Які розрахункові моделі ймовірностей відмов через загальні причини припускається використання таких узвичаєних параметричних моделей:

- модель базових параметрів;

- модель а чинника;

- модель грецьких букв;

- модель б чинника.

3.2. Дані по інцидентах і порушеннях

3.2.1. У рамках задачі по збору бази даних по інцидентах і порушеннях підготовляється інформація, необхідна для оцінки частоти ушкодження активної зони. Збір даних по порушеннях і інцидентах у роботі АЕС спрямований на:

- доповнення переліку ВПА (див., п.3.3 ) подіями, що характерні для ЯУ, що аналізується, і які призводять до порушення нормальної експлуатації;

- визначення спеціальних (або відмов через загальні причини) ініціаторів, що характерні для ЯУ, що аналізується;

- визначення частот виникнення ВПА.

3.2.2. Вимоги до вихідних даних

3.2.2.1. В обсяг необхідних вихідних даних повинні входити частота ВПА, кількість порушень у роботі, період експлуатації і тривалість зупинок енергоблоку. Якщо в матеріали ІАБ включений аналіз невизначеності, то для всіх частот ВПА повинні бути задокументовані параметри невизначеності, достатні для відтворення розподілу.

3.2.2.2. Задача коректного вибору даних по відмовах і порушеннях у роботі АЕС є надто важливою під час аналізу частот виникнення ВПА. Це пов'язано з тим, що частоти виникнення ВПА істотно впливають на результати розрахунку частоти ушкодження активної зони реактора. Джерелами інформації, необхідної для оцінки частот ВПА, є як узагальнені дані, так і дані, засновані безпосередньо на досвіді експлуатації ЯУ .

3.2.2.3. Матеріали ІАБ повинні надавати адекватне обгрунтування оцінки частот виникнення ВПА. Віддається перевага використанню експлуатаційних даних. У випадку відсутності або неадекватності експлуатаційних даних припускається використання узагальнених даних (або прямо, або в комбінації з експлуатаційними даними) у порядку переваги, приведеному в п. 3.1.1.1.

Одним з основних моментів є застосовність узагальнених даних до ЯУ, що аналізується, її обладнання й експлуатаційних режимів. Експерт переконується, що був виконаний аналіз застосовності джерел узагальнених даних.

3.2.3. Оцінка частот ВПА

3.2.3.1. Експерт повинен переконатися, що для кожної ВПА або групи ВПА оцінена частота її виникнення. Деякі ВПА можуть мати декілька різноманітних і незалежних друг від друга корінних причин їх виникнення. Рекомендується виконати перевірку того, що частота ВПА покриває всі наведені причини. Не припускається подвійне урахування частот ВПА.

3.2.3.2. Експерт повинен переконатися в достовірності або реалістичній оцінці частот ВПА. У розрахунках частот ВПА не повинна враховуватися статистика перших років експлуатації ЯУ. Події, для яких усунуті корінні причини їх виникнення, звичайно не враховуються в розрахунках частот ВПА.

3.2.3.3. Експерт повинен переконатися в доцільності застосування різноманітних розрахункових моделей частот ВПА. Як розрахункові моделі частот ВПА припускається використання таких методів:

- метод Байєса. Не рекомендується застосування для оцінки рідкісних подій;

- метод прямої оцінки. Застосовний тільки у випадку достатньої експлуатаційної статистики (більше 0,5 рік (-1))*;

- експертна оцінка рідкісних подій. Застосовний тільки для подій, не зафіксованих як в експлуатаційній, так і у світовій практиці;

- метод частоти відмов і часу функціонування. Рекомендується для розрахунку подій, специфічних для аналізованої ЯУ ;

- емпіричні методи. Застосовні для розрахунку частоти течій 1 і 2 контурів;

- метод дерев відмов. Рекомендується застосовувати для розрахунку частот ВПА, пов'язаних із відмовами систем. Якщо для системи, відмова або помилкове спрацьовування якої призводить до виникнення ВПА, розроблена модель, то за цим деревом може бути оцінена частота ВПА. У цьому випадку експерту необхідно приділяти увагу коректному використанню даних з надійності обладнання для розрахунку частот ВПА.

3.3. Ідентифікація і групування ВПА

3.3.1. Ідентифікація ВПА. Метою даного аспекту ІАБ є ідентифікація набору вихідних подій, що потенційно можуть призвести до ушкодження активної зони реактора або наднормативних викидів.

3.3.1.1. Експерт повинен переконатися, що для ідентифікації ВПА були використані систематичні методи. Припускається застосування таких методів:

- аналітичні методи (наприклад, метод аналізу видів відмов та їх наслідків);

- дедуктивні методи (наприклад, методологічних діаграм);

- порівняльний аналіз із результатами ІАБ для подібних ЯУ;

- аналіз досвіду експлуатації ЯУ, що аналізується.

Як мінімум два останніх методи повинні бути використані для ідентифікації ВПА.

3.3.1.2. Перелік ВПА повинен бути максимально повним (відповідно до цілей аналізованого ІАБ). На сучасному етапі розвитку ІАБ неможливо довести абсолютну повноту переліку ВПА. Експерт повинен переконатися у наступному: комбінацією наведених у п. 3.3.1.1. методів досягнутий достатній рівень довіри того, що сукупність не врахованих ВПА є незначним вкладником у ризик.

Експерт повинен переконатися, що в перелік ВПА включені дуже рідкісні події, що задовольняють критерію урахування по частоті. Рекомендується урахування усіх ВПА з частотою виникнення більш 1 x 10(-7)* рік (-1)*.

3.3.1.3. Якщо матеріали ІАБ стосуються енергоблоку, що має загальні із сусідніми енергоблоками системи, експерт переконується, що аналізувалися ВПА і системи, що впливають на обидва енергоблоки.

3.3.1.4. Експерт виконує порівняння експлуатаційних та узагальнених даних і переконується, що існує розумне пояснення будь-яких значних розходжень.

3.3.2. Групування ВПА

3.3.2.1. Групування виконується з метою зменшення загальної кількості дерев подій, необхідних для аналізу аварійних послідовностей. Необхідно врахувати, що групування ВПА є ітеративним процесом і фінальний варіант поділу ВПА на групи може бути розроблений тільки після етапу моделювання дерев подій (див. розділ 3.6).

3.3.2.2. Експерт повинен переконатися, що усі ВПА в межах окремо узятої групи ВПА мають однакові вимоги до відповідної реакції енергоблоку на кожну з цих подій:

- однаковий набір функцій безпеки, необхідних для пом'якшення наслідків аварії;

- однаковий набір систем, які можуть виконувати необхідні функції безпеки;

- однакові критерії успіху;

- однакові спеціальні умови, що накладаються специфікою аварійного процесу.

3.3.2.3. Припускається зведення в одну групу таких ВПА, які, хоча і викликають ідентичну відповідну реакцію енергоблоку, але характеризуються різними критеріями успішного виконання необхідних функцій безпеки. Експерт повинен переконатися, що для такої групи ВПА критерії успіху є найгіршими (найбільше консервативними) серед усіх складових ВПА. Доцільність застосування даного підходу повинна бути ретельно зважена з погляду того, що скорочення обсягу робіт може призвести до невиправдано консервативного результату.

3.3.2.4. ВПА таких основних категорій повинні бути подані в документах ІАБ:

- аварії з утратою теплоносія 1 контуру;

- перехідні процеси.

3.3.2.5. У документах ІАБ повинен розглядатися спектр течій першого контуру, що відрізняються еквівалентним діаметром розриву, а, отже, і конфігурацією необхідних систем безпеки. Аналіз місця розташування можливого розриву так само є важливим, оскільки воно визначає ступінь деградації відповідних систем безпеки з погляду ефективності виконання ними необхідних функцій. Конкретні межі для груп течій різноманітного діаметра встановлюються, виходячи зі спільності вимог, що пред'являються до роботи систем безпеки, (тобто критеріїв успіху для систем) у межах кожної з груп.

3.3.2.6. У документах ІАБ повинні бути проаналізовані ВПА, викликані такими порушеннями:

- порушення, пов'язані зі зміною витрати теплоносія або тиску першого контуру;

- порушення в роботі системи основної живильної води або системи основного конденсату;

- зниження витрати гострої пари;

- втрата витрати гострої пари;

- події, пов'язані з аварійним зупиненням турбогенератора;

- порушення в роботі систем КВП і А та електропостачання;

- повні і часткові відмови забезпечуючих систем;

- помилкові спрацьовування систем автоматики;

- аварійна зупинка ректора;

- реактивнісні перехідні процеси;

- зупинка енергоблоку в плановому порядку (тобто без спрацьовування аварійного захисту реактора).

3.3.2.7. При упорядкуванні груп повинен бути забезпечений консервативний підхід при виборі характерного представника групи ВПА для моделювання аварійних послідовностей. При виборі характерного представника групи ВП треба дотримуватися таких умов:

- повинна бути обрана ВП із найбільше важкими наслідками з усіх ВП даної групи;

- обрана ВП повинна моделюватися так, щоб були відображені особливості усіх ВП, що входять у групу.

3.4. Системний аналіз

3.4.1. Системні моделі

3.4.1.1. Для кожної системи, визначеної на стадії аналізу аварійних послідовностей, розробляються логічні моделі. Ступінь деталізації при розробці моделі залежить від наявності даних, необхідних для кількісної оцінки, і вимог до систем, що є забезпечуючими по відношенню до декількох систем.

3.4.1.1. Аналіз аварійних послідовностей і системний аналіз практично завжди виконуються шляхом побудови і кількісної оцінки дерев подій (ДП) і дерев відмов (або дерев успіху). Всі типи дерев логічно еквівалентні і, у принципі, припускається використання будь-яких комбінацій за умови достатнього документування.

3.4.1.2. Експерт повинен перевірити, що для кожної системи, визначеної на стадії аналізу аварійних послідовностей (що виконують функції безпеки), та їх забезпечуючих систем, розроблені системні моделі у вигляді дерев відмов (або дерев успіхів).

Необхідно врахувати, що для деяких систем потрібна побудова декількох системних моделей із метою урахування різних критеріїв успіху для різних аварійних послідовностей або, для урахування різних критеріїв успіху для забезпечуючих систем. Якщо такі випадки моделювалися за допомогою спеціальних умовних подій, експерт повинен ретельно проаналізувати коректність їх моделювання. У документах ІАБ повинні бути чітко і коректно задокументовані залежності систем та їх критеріїв успіху від ВПА.

3.4.1.3. Припускається використання для аналізу відмов систем трьох типів системних моделей. Для одержання найбільш достовірної інформації, моделювання повинне виконуватися якомога детальніше. Проте, досвід виконання ІАБ показав, що деякі системи можуть бути коректно представлені спрощеними моделями, що дозволяє оптимізувати матеріальні і тимчасові ресурси ІАБ.

3.4.2. Типи системних моделей.

3.4.2.1. Детальна системна модель. Являє собою дерево відмов (успіху), що моделює всі можливі стани обладнання (включаючи механічні відмови обладнання, помилки персоналу, вплив випробувань/обслуговувань і т.ін.), і які можуть вносити вклад у неготовність системи.

3.4.2.2. Спрощена системна модель. Являє собою дерево відмов (успіху), що моделює не всі елементи системи (забезпечуючі системи, стани і т.ін.), а тільки найбільш значимі відмови. Якщо за результатами якісного аналізу надійності систем виявлені один або декілька домінуючих відмов, то тільки такі відмови моделюються. Всі важливі міжсистемні залежності моделюються.

3.4.2.3. Суперкомпозит. Являє собою не явну логічну модель, а лише одиничну базову подію. Готовність системи подається у вигляді чисельного значення, отриманого або безпосередньо з бази даних по надійності, або за допомогою Булева рівняння. Слід зазначити, що така модель не повинна використовуватися при наявності міжсистемних залежностей, або наявності загального обладнання з іншими системами, або у випадку, коли базові події характеризуються різними чинниками відновлення, або є взаємовиключними подіями.

3.4.3. Область застосування системних моделей

3.4.3.1. При побудові системних моделей припускається використання одного з типів моделі, або комбінації зазначених у п.3.4.2 типів.

Експерт повинен перевірити, що системні моделі враховують усі базові події відмов, що можуть безпосередньо або в комбінації з іншими базовими подіями призводити до відмови системи. Для ідентифікації базових подій відмов застосовується один з аналітичних методів (наприклад, аналіз видів відмов та їх наслідків).

Однією із задач експерта є перевірка коректності, ясності і послідовності кодування (або найменування) систем і базових подій у системних моделях. Використання чіткої схеми кодування (або найменування) полегшує роботу з імовірнісною моделлю і дозволяє уникнути помилки моделювання компонентів, загальних для декількох систем (див. п. 3.4.3.5).

Особливу увагу необхідно приділити експертизі (технічній оцінці) систем, що мають значний вплив на величину ризику.

3.4.3.2. Детальна системна модель застосовується, головним чином, для аналізу систем, що моделюються на рівні дерев подій, тому що відмови таких систем значно впливають на частоту ушкодження активної зони. Аналогічно моделюються ті забезпечуючі системи, відмова яких призводить до одночасної відмови декількох систем, і, які таким чином, можуть бути домінантними вкладниками в частоту ушкодження зони реактора. Важливим моментом є ідентифікація прихованих відмов, міжсистемних зв'язків і залежностей.

3.4.3.3. Спрощена системна модель застосовується у випадках, коли неготовність системи визначається декількома специфічними відмовами (наприклад, дії персоналу, механічна відмова тільки одного елемента). З погляду невизначеності, для таких систем не потрібна побудова детального дерева успіху.

Спрощена системна модель розробляється також у тих випадках, коли немає достатніх даних з надійності на рівні елементів, а найбільш повна інформація доступна тільки на рівні каналів (підсистем). Тому, важливим аспектом є визначення рівня деталізації на основі досвіду збору даних з надійності обладнання. Експерту рекомендується переконатися, що межі обладнання та види відмов, аналізованих у спрощеній системній моделі, не суперечать базі даних з надійності обладнання і розроблялися в тісному співробітництві з фахівцем із надійності обладнання.

3.4.3.4. Складні системи, для яких існують необхідні дані для визначення неготовності і які не мають міжсистемних зв'язків і залежностей, можуть бути представлені у вигляді суперкомпозита з одним чисельним значенням. Неготовність деяких систем із домінуючими декількома відмовами, і не потребуючих роботи забезпечуючих систем, може бути подане у вигляді Булевих рівнянь.

3.4.3.5. З метою визначення меж системної моделі повинен бути отриманий чіткий опис меж системи, що моделюється. Експерту необхідно брати до уваги, що припускаються розходження між проектними межами систем і межами, визначеними для цілей ІАБ. Під час виконання експертизи експерту рекомендується враховувати положення:

- якщо дві системи спільно виконують одну функцію, то вони можуть бути розглянуті як одна комбінована система;

- якщо дві системи (або канали системи) різних енергоблоків мають загальне обладнання (наприклад, трубопроводи), і кожна система може виконувати ту саму функцію для енергоблоку, що аналізується, то вони можуть бути розглянуті як одна система;

- забезпечуюча система, що обслуговує тільки одну систему і не пов'язана з будьякою іншою системою, яка аналізується в рамках ІАБ, може бути змодельована в рамках такої системи. У цьому випадку, інформація про забезпечуючу систему повинна бути включена в опис системи, що є її споживачем;

- забезпечуюча система двох або більше систем (наприклад, система електропостачання) моделюється в деревах відмов систем - споживачів як одна подія, для якої окремо розробляється системна модель;

- якщо елемент є загальним для двох і більше систем (каналів), то він може бути включений у модель для кожної із систем. При цьому повинне бути забезпечене однакове найменування компонента в різних системних моделях;

- загальна для декількох систем система КВП і А може моделюватися в складі цих систем. Загальні елементи, у такому випадку, повинні бути позначені одним ідентифікатором базової події й враховані в системному аналізі таких систем.

3.4.4. Під час експертизи коректності урахування відмов елементів у системних моделях рекомендується враховувати такі положення:

- системні моделі повинні бути розроблені до рівня, для якого існують відповідні дані з надійності, або до рівня, для якого подальша деталізація не має сенсу;

- припускається невключення відмов пасивних елементів у системні моделі через дуже низьку (у порівнянні з активними елементами) інтенсивність відмов. Винятками є одиничні відмови пасивних елементів, що призводять до відмови всієї системи;

- припускається невключення відмов, пов'язаних із заклинюванням арматури систем нормальної експлуатації, за умови, що така відмова буде негайно виявлена. Винятками є одиничні відмови, що призводять до відмови декількох каналів;

- відмови обладнання на трубопроводах малого діаметра, що призводять до зменшення витрати від каналу/елемента, але значно не впливають на функцію, яка виконується системою, можуть бути виключені з розгляду. Критерієм такого винятку є: діаметр малого трубопроводу менше, ніж 1/3 діаметра основного трубопроводу. Слід зазначити, що навіть у тих випадках, коли даний критерій формально дотримується, може бути проведений детальний аналіз всіх обставин із метою визначення ступеня деградації необхідної функції безпеки;

- припускається невключення в системні моделі відмов, пов'язаних із помилковими сигналами, що призводять до неправильного положення елемента, якщо під час аварії елемент не змінює свого положення і не одержує яких-небудь додаткових сигналів під час аварії;

- припускається невключення в системні моделі відмов, пов'язаних із неправильним положенням елемента до аварії, якщо протягом аварії елемент одержує сигнал, що повертає його в працездатне положення.

3.4.5. При експертизі коректності моделювання випробувань/ обслуговувань у системних моделях рекомендується враховувати такі положення:

- для моделювання неготовності системи в результаті випробування й обслуговування припускається використання однієї базової події.

- для всіх елементів, що обслуговуються при роботі енергоблоку на потужності, неготовність внаслідок обслуговування повинна враховувати планові і позапланові типи обслуговувань.

- елементи, що не обслуговуються при роботі енергоблоку на потужності (наприклад, обладнання 1 контуру) не мають неготовність внаслідок обслуговувань/випробувань.

- неготовність каналу в зв'язку з випробуванням враховується, крім випадків, коли система автоматично повертається в необхідну під час аварії конфігурацію при виникненні вимоги.

3.4.6. Експерт повинен переконатися, що під час виконання системного аналізу розглядалися можливі помилки персоналу.

3.4.6.1. Дії персоналу по запобіганню або пом'якшенню аварійної послідовності можуть бути змодельовані таким же чином, як і забезпечуючі системи. У контексті аналізу системних моделей, помилки персоналу повинні бути розглянуті з погляду їх можливого впливу на окремий елемент, а також на роботу каналу або системи.

3.4.6.2. Експерт повинен переконатися, що були ідентифіковані, проаналізовані і задокументовані доаварійні та післяаварійні дії персоналу. Зокрема, експерт повинен оцінити коректність відбору й аналізу залежностей дій персоналу. Доаварійні дії персоналу - це неправильне настроювання, встановлення неправильного положення арматури або невідновлення працездатного стану обладнання після обслуговування. Післяаварійні дії персоналу - це помилки по запуску або конфігуруванню систем, для яких не надходить сигнал автоматики після виникнення ВПА. Можливість доаварійних помилок персоналу повинна бути оцінена за допомогою аналізу експлуатаційних інструкцій. Післяаварійні дії персоналу повинні бути оцінені в контексті кожної аварійної послідовності.

3.4.6.3. Під час експертизи коректності моделювання дій персоналу в системних моделях рекомендується враховувати такі положення:

- доаварійні дії персоналу, пов'язані з неправильним настроюванням або невідновленням необхідного стану елемента після обслуговування (наприклад, не вмикання вимикача, або арматура була залишена в неправильному положенні), при необхідності (тобто, якщо доаварійні дії ще не враховані в неявному вигляді в базі даних з надійності обладнання) можуть моделюватися в системних моделях. Відбудовні дії персоналу при випробуваннях/обслуговуванні розглядаються в аналізі надійності доаварійних дій персоналу.

- дії персоналу, що включені в базу даних з надійності обладнання, не повинні повторно враховуватися в аналізі дій персоналу.

- у системні моделі повинні бути включені приписані інструкціями дії персоналу з управління системою. Такі дії моделюються на рівні систем (підсистем), а не на рівні елементів.

3.4.7. Залежні відмови

Рекомендується звертати особливу увагу на експертизу моделювання залежних відмов.

3.4.7.1. Функціонування систем безпеки, і систем, важливих для безпеки може безпосередньо або побічно мати залежність від визначених забезпечуючих систем. Всі функціональні залежності між забезпечуючими системами та системами, що забезпечуються (наприклад, електропостачання, вентиляція, охолодження і т.ін.), повинні бути розглянуті та змодельовані в явному вигляді в системних моделях.

Зусилля експертів повинні бути спрямовані на перевірку коректності ідентифікації і моделювання міжсистемних залежностей.

3.4.7.2. Окремі елементи, загальні для декількох систем, визначаються і у явному вигляді моделюються в деревах відмов.

3.4.7.3. Помилки персоналу, які пов'язані з невиконанням вимог інструкцій, можуть служити причиною відмови або неготовності системи (каналу). Такі залежності визначаються й у явному вигляді моделюються в системних моделях.

3.4.7.4. Відмова одного елемента внаслідок відмови іншого елемента, безпосередньо пов'язаного з ним, визначається й у явному вигляді моделюється в системних моделях.

3.4.7.5. При експертизі коректності моделювання відмов через загальні причини рекомендується враховувати такі положення: (див., також п. 3.1.3).

- у групу відмов через загальні причини включаються ідентичні елементи резервованих каналів системи. Елементи включаються до складу груп, які можуть об'єднувати елементи різних систем, але будь-яка базова подія усередині групи повинна моделювати відмови через загальні причини тільки в межах однієї системи. Наприклад, арматура на напірних лініях систем САОЗ ВТ і САОЗ НТ може бути ідентифікована як ідентична, і включена в одну групу відмов через загальні причини, але для комбінації арматури в межах кожної системи повинні бути розроблені окремі базові події або логічні структури - відмови через загальні причини;

- відмови неідентичних резервованих елементів звичайно розцінюються як незалежні. Проте, якщо неідентичні елементи складаються з ідентичних резервованих піделементів, то для таких піделементів необхідно розглянути можливі відмови через загальні причини. Наприклад, система має два паралельно встановлені насоси різного типу (відцентровий і об'ємний) і насоси мають ідентичні пристрої для пуску (наприклад, силові вимикачі). Такі піделементи можуть бути проаналізовані на предмет можливих відмов через загальні причини. Одним із методів для визначення загальних піделементів є аналіз елементів у межах їх (елементів) границь. При виявленні загальних піделементів необхідно пам'ятати, що: (а) усі члени сімейства відмов через загальні причини, що аналізується, повинні мати одну і ту ж імовірність відмови; (б) кожний із піделементів може належати тільки до одного визначеного сімейства відмов через загальні причини;

- деякі пасивні елементи звичайно не розглядаються в системному аналізі. Проте, такі елементи повинні бути ретельно проаналізовані з погляду можливих відмов через загальні причини (наприклад, засмічення резервованих фільтрів).

3.4.7.6. Проектно-конструкторські - відмови, що пов'язані з особливостями проекту/конструкції. Проектно-конструкторські відмови звичайно залежать від особливостей проекту або монтажу і не можуть бути визначені без виконання детального аналізу. Подібні відмови можуть бути виявлені під час аналізу досвіду експлуатації або результатів інших досліджень.

Експерту рекомендується переконатися, що для визначення проектноконструкторських відмов був проаналізований досвід експлуатації і виявлені відмови були коректно змодельовані.

3.4.7.7. Залежними через ВПА відмовами є такі відмови компонентів або систем, що виявляються внаслідок виникнення вихідної події.

Експерт повинен переконатися, що такі відмови ідентифіковані і коректно враховані.

3.4.8. Аналіз комп'ютерних систем

3.4.8.1. Аналіз систем, що засновані на комп'ютерній техніці, відрізняється від аналізу традиційних систем і потребує особливого підходу. На відміну від традиційних апаратних систем, для комп'ютерних систем передбачається наступне:

- такі системи мають достатній ступінь резервування і домінуючою причиною відмов будуть помилки в програмному забезпеченні;

- імовірність відмов через неполадки в комп'ютерному обладнанні, у порівнянні з імовірністю відмов через помилки в програмному забезпеченні, зневажливо мала.

Одна з основних проблем, яка пов'язана з використанням дискретної логіки в комп'ютерах (як протиставлення апаратним системам) - це величезна кількість можливих комбінацій цифрових вхідних даних, що надходять до комп'ютера від датчиків, що об'єднана з неможливістю довірчої інтерполяції між успішними тестами. Тобто, тестування не може забезпечити одержання обгрунтованого значення надійності для системи для всієї області вхідних даних.

Експерт повинен розуміти, що на сучасному етапі розвитку ІАБ неможливо одержати об'єктивну і достовірну оцінку надійності таких систем. Під час виконання аналізу надійності комп'ютерних систем, які звичайно розбиваються на декілька більш простих систем, тому що якщо система об'єднана і розглядається як суцільна, то залежності (зв'язки) у ній можуть бути занадто великі і невизначені, хоч і правильно змодельовані. Але, незважаючи на це, дуже ефективно розділяти системи на підсистеми, кожна з яких буде виконувати певну кількість функцій безпеки, тому що при заміні апаратних систем, які використовувалися раніше, на комп'ютерні має місце зберігання старих функціональних взаємозв'язків. Тому поділ систем на підсистеми більш вигідний з погляду оцінки надійності, що можна виконати для кожної підсистеми окремо.

Експерту рекомендується виконати аналіз комп'ютерних систем. Якщо система має адекватне резервування каналів (ланцюгів) (триразове або чотириразове дублювання), то їх надійність буде достатньо високою, порядку 1 x 10(-4)* - 1 x 10(-5)* відмов на вимогу. Більш висока імовірність відмови комп'ютерної системи вказує на недолік проекту або на проблеми в моделюванні такої системи.

3.4.8.2. Оскільки надійність комп'ютерної системи, яка необхідна з погляду безпеки ЯУ, може бути недостатня, то, як правило, використовуються дублюючі системи. Якщо дублююча система є апаратною, то припускається використання припущення про їх абсолютну незалежність. Якщо дублююча система є комп'ютерною, то в документах ІАБ оцінюється ступінь залежності (відмови через загальні причини, залежні відмови і т.ін.). Не рекомендується застосовувати, як обгрунтування незалежності комп'ютерних систем, такі чинники, як:

- різні виробники комп'ютерної техніки і програмного забезпечення;

- використання різних мов програмування;

- обслуговування комп'ютерних систем різним експлуатаційним персоналом.

Якщо вимірювальні і керуючі системи є комп'ютерними, то можуть бути оцінені залежності програмного забезпечення (наприклад, відмови програмного забезпечення, що призводять до виникнення ВПА і непрацездатності керуючих систем безпеки).

Експертам рекомендується спрямовувати зусилля на аналіз моделювання в системних моделях і деревах подій можливих відмов комп'ютерних систем внаслідок впливу навколишнього середовища (температура, вологість) і електромагнітного випромінювання.

3.4.8.3. Експертизи аналізу комп'ютерних систем повинні виконуватися спільно з фахівцем із комп'ютерних систем, навченим методології ІАБ (зокрема, аналізу надійності і моделюванню систем).

3.4.9. Вимоги по документуванню вихідної інформації в документах ІАБ

3.4.9.1. З метою розробки системної моделі, для кожної з систем, що моделюються, має бути зібрана і задокументована інформація, яка відображає такі основні моменти:

- проектні основи;

- режими функціонування;

- міжсистемні (міжелементні) залежності;

- випробування й обслуговування;

- функції безпеки системи і критерії успіху;

- розташування обладнання;

- вимоги технологічного регламенту по експлуатації;

- дії персоналу.

Обсяг і повнота документування повинні бути достатніми для незалежної побудови системної моделі без застосування додаткових джерел інформації.

3.4.9.2. Експерт повинен переконатися, що матеріали ІАБ відображають реальний стан ЯУ на момент збору інформації.

3.4.10. Кількісний аналіз систем

3.4.10.1. Експерт повинен переконатися, що була проведена верифікація логічної структури кожної системної моделі з усуненням логічних помилок.

3.4.10.2. Експерт повинен переконатися, що був виконаний аналіз мінімальних перетинів кожної системної моделі для виявлення взаємовиключних подій, тобто таких подій, що не можуть одночасно з'являтися в одному мінімальному перетині. Всі взаємовиключні події повинні бути ідентифіковані, задокументовані і виключені із системної моделі.

3.4.10.3. Експерт повинен переконатися, що рівень відсікання, який використовується у розрахунках, є достатнім для виявлення всіх значимих мінімальних перетинів. Рівень відсікання повинен бути як мінімум на три порядки менше, ніж значення домінантного перетину.

3.4.10.4. Особливу увагу експерт повинен приділити коректності рішення логічних петель системної моделі.

3.5. Аналіз критеріїв успіху

3.5.1. Експерт повинен переконатися, що в документах ІАБ ідентифіковані і задокументовані відповідності між фізичними станами активної зони і комбінаціями можливих дискретних станів систем/елементів з урахуванням їх ресурсів. Такі основні моменти повинні бути обчислені:

- визначення критеріїв успіху для систем (первинні критерії успіху), тобто, обгрунтування логіки аварійних послідовностей;

- визначення критеріїв успіху для обладнання і забезпечуючих систем, (другорядні критерії успіху);

- оцінка часових характеристик для аналізу надійності персоналу.

3.5.1.1. У рамках аналізу критеріїв успіху припускається використання всіх доступних матеріалів з теплогідравлічними розрахунками для АЕС із ВВЕР за умови виконання аналізу їх застосовності для ЯУ, що аналізується, з урахуванням таких моментів:

а) критерії, які отримані на підставі ТОБ, є надмірно консервативними;

б) навіть у випадках, коли теплогідравлічні розрахунки для проектних аварій виконані з прийнятним рівнем консерватизму, необхідно врахувати, що це коректно стосовно погіршених умов (численні відмови), аналізованих у ІАБ;

в) у тих випадках, коли надмірно консервативні первинні критерії успіху були первісно встановлені на основі ТОБ, може знадобитися додатковий інженерний аналіз на певних стадіях виконання ІАБ, для забезпечення реалістичного критерію успіху у фінальній імовірнісній моделі.

г) досвід експлуатації має бути широко використаний для встановлення критеріїв успіху для подій або аварійних послідовностей, що мають високу частоту виникнення, за умови, що цей досвід є представницьким.

д) рекомендується такий порядок пріоритетності використання джерел інформації:

- досвід експлуатації ЯУ, що аналізується;

- раніше виконані теплогідравлічні розрахунки для обгрунтування безпеки ЯУ, що аналізується;

- теплогідравлічні розрахунки для інших АЕС із ВВЕР аналогічного проекту, якщо їх застосовність до енергоблоку, що аналізується, може бути обгрунтована;

- ІАБ для інших АЕС із ВВЕР.

3.5.1.2. Експерт повинен перевірити, що для основного обладнання кожної системи, що виконує функції безпеки або забезпечуючі функції, визначені другорядні критерії успіху.

Аналіз другорядних критеріїв успіху повинен бути якомога більше прив'язаний до елементів систем і насамперед заснований на експлуатаційному досвіді ЯУ, що аналізується, за умови, що цей досвід є представницьким. У випадку відсутності інформації, повинен бути виконаний аналіз дійсної працездатності елемента без забезпечуючих систем.

3.5.1.3. Експерт повинен перевірити, що подана в документах ІАБ інформація, достатня для визначення запасу до ушкодження активної зони реактора при різних конфігураціях систем (тобто, визначення запасу часу для виконання дій персоналу, у тому числі на відбудовні дії, у певних умовах, що накладаються вихідною подією аварії). Така інформація необхідна для виконання задачі аналізу людського чинника.

Час, що є у розпорядженні, повинен бути визначений таким чином, щоб невизначеності, пов'язані з теплогідравлічними розрахунками або моделюванням, не домінували над імовірністю відмови персоналу, визначеної стосовно цього часу.

3.5.1.4 Експерт повинен переконатися, що були коректно встановлені критерії прийнятності для палива і границь тиску головного циркуляційного контуру. Критерії прийнятності повинні бути отримані з проектної документації. Наприклад, критерієм прийнятності стосовно палива для визначення ушкодження активної зони повинно бути перевищення розрахунковою температурою оболонки максимально навантаженого паливного стержня другої проектної межі 1200 град. С.

3.5.2. Вимоги з програмного забезпечення і документування

3.5.2.1. У документах ІАБ повинна бути задокументована інформація, що задовольняє таким вимогам:

- чітка відповідність дерев подій виконаним теплогідравлічним розрахункам;

- чітка відповідність між кожною групою течій і аналізом, що обгрунтовує поділ течій по діаметрах на групи;

- обгрунтування прийняття менш консервативних критеріїв успіху повинно бути задокументовано в повному обсязі;

- повинні бути приведені посилання на виконані раніше розрахунки і дослідження там, де це згадується;

- у тих випадках, коли застосовуються спрощуючи припущення під час побудови дерев подій, то необхідно показати, чому такі припущення розглядаються як граничні (консервативні);

- для кожного теплогідравлічного розрахунку, який виконано для розробки критеріїв успіху, має бути надана інформація з початкових і граничних умов та опис результатів розрахунку.

Усі графіки повинні бути надані в обсязі, який достатній для оцінки результатів розрахунку.

3.5.2.2. Під час виконання експертизи аналізу критеріїв успіху експерту рекомендується перевірити, що:

- розрахункові методи, що використовуються, призначені для моделювання аварійних режимів (перехідних процесів), які аналізуються у ІАБ, і дають поліпшену оцінку результатів;

- розрахункові коди верифіковані і валідовані для відповідних областей їх застосування.

3.6. Аналіз аварійних послідовностей

3.6.1. Одним з основних етапів ІАБ є моделювання аварійних послідовностей, тобто сценарію розвитку ВПА, який обумовлений комбінацією успішних і неуспішних спрацьовувань необхідних систем, що приводить до певного кінцевого стану активної зони та енергоблоку в цілому. Моделювання аварійних послідовностей досягається шляхом побудови логічної діаграми на системному рівні деталізації, що описує можливі сценарії розвитку ВПА.

Якщо одне дерево подій використовується для моделювання декількох груп ВПА, експерт повинен переконатися, що таке дерево подій дійсно покриває всі послідовності, що можуть розвиватися з різноманітних груп ВПА, і що групування не вносить надлишкового консерватизму.

3.6.2. Основним рекомендованим підходом є використання об'єднаної методології дерев подій і системних моделей (тобто, дерев відмов або успіхів). Проблема, що звичайно виникає при виборі методології ІАБ, - це визначення рівня детальності, на якому припиняється моделювання послідовності подій і починається моделювання систем. Узвичаєно застосування приведених у п.3.6.2.1- 3.6.2.2 методів:

3.6.2.1. Метод "малі дерева подій/великі системні моделі", при якому залежності між захисними і забезпечуючими системами не відображаються в деревах подій. На рівні дерев подій явно відображаються стани всіх забезпечуючих систем. Верхні події в системних моделях мають відповідні граничні умови. Граничні умови включають припущення, що забезпечуюча система знаходиться в конкретному стані, відповідному до умов аварійної послідовності. Для кожного набору граничних умов для системи необхідно мати окремі дерева відмов.

Перевагою методу є явне відображення існуючих залежностей систем. Недоліком є те, що складність дерев подій геометрично зростає зі збільшенням кількості станів модельованих систем, які явно відображаються в дереві подій. Процес розрахунку таких дерев є більш громіздким і може призводити до недоглядів і помилок під час аналізу. Крім того, при такому підході в явному вигляді не виявляються конкретні сполучення відмов забезпечуючих систем, що призводять до відмов забезпечуваних (захисних) систем.

3.6.2.2. Метод "великі дерева подій/малі системні моделі", при якому залежності між захисними і забезпечуючим системами у явному вигляді моделюються тільки на рівні системних моделей. На рівні дерев подій у явному вигляді моделюються тільки феноменологічні або функціональні залежності. Відповідно до даного методу спочатку розробляються дерева подій із функціями безпеки в якості верхніх подій. Потім дерева подій модифікуються (деталізуються) на основі того, що замість функцій безпеки в якості верхніх подій вказуються конкретні захисні системи з відповідними критеріями успіху. Ступінь деталізації моделей захисних систем повинна забезпечувати можливість визначення всіх критичних груп обладнання цих систем, а також взаємодії цього обладнання з відповідними забезпечуючими, керуючими й іншими системами. Системні моделі (дерева відмов або успіхів) для цих систем моделюються окремо і потім інтегруються з моделями для захисних систем.

Перевагою є те, що такий підхід приводить до малих дерев подій і зручний для уявлення і документування аварійних послідовностей. Більш того, при наявності відповідних розрахункових кодів, малі дерева подій можуть бути легше представлені в комп'ютерному виді. З іншого боку, залежності та вплив забезпечуючих систем не настільки очевидні.

3.6.2.3. Прийнятними є обидва підходи, тому що, у принципі, вони еквівалентні. Фактично можливо включити як моделювання послідовностей подій, так і моделі систем у будь-який із згаданих методів. Точний рівень переходу від послідовностей подій до моделювання систем визначається можливостями обчислювальних засобів і кваліфікацією виконавця.

У якості інструмента проміжного або допоміжного якісного аналізу припускається застосовувати методи діаграм послідовності подій, діаграми причин і наслідків і т.ін.

3.6.3. Ідентифікація верхніх подій

3.6.3.1. Дерева подій звичайно розробляються таким чином, щоб відобразити залежність верхньої події дерева від попередньої верхньої події. При цьому порядок розташування верхніх подій не є постійним і надалі може змінюватися. Під час встановлення порядку розташування верхніх подій у першу чергу розглядаються функції безпеки. Необхідні функції розташовуються в хронологічному порядку (тобто в тому порядку, в якому вони повинні бути виконані в процесі протікання аварії). Даний порядок розташування може бути модифікований із метою мінімізації дерева подій. На цьому етапі проводиться аналіз дерева подій, спрямований на спрощення структури дерева без збитку коректності відображення раніше змодельованих системних залежностей. При спрощенні дерев подій використовують підхід причинно-слідчих зв'язків. Застосування підходу причинно-слідчих зв'язків при спрощенні структури дерева подій означає таке розташування верхніх подій, при якому кількість вузлових точок розгалуження аварійних послідовностей є мінімальним. Припускається застосування імовірнісного методу спрощення дерева подій: у випадку, якщо добуток частоти виникнення даного ВПА на умовні імовірності відмови перших трьох верхніх подій менше, ніж 10(-8)* рік(-1)*, то такі послідовності далі можуть не моделюватися.

3.6.3.3. Експерт повинен перевірити, що при моделюванні аварійних послідовностей і побудові дерев подій були коректно проаналізовані і задокументовані усі функції безпеки і системи, необхідні для пом'якшення протікання аварії. Верхні події дерев подій повинні відображати статус необхідних систем безпеки. У якості верхніх подій також можуть бути дії персоналу, забезпечуючі системи та будь-які інші події, що безпосередньо значно впливають на протікання аварійних послідовностей.

3.6.4. Критерій прийнятності - ключовий критерій стосовно усього ІАБ, оскільки він встановлює необхідні стандарти для аналізу і визначає прийнятність отриманих результатів. Основним критерієм прийнятності для ІАБ рівня 1 є ушкодження оболонки палива або ушкодження палива. У якості початкового критерію передбачається, що початок ушкодження палива збігається за часом із моментом досягнення температури оболонки ТВЕЛ другої проектної межі (1200 град.). Надалі, у міру накопичення знань з розвитку аварій, припускається використання менш консервативних допущень.

Після визначення критеріїв успіху припускається застосування додаткових критеріїв прийнятності, пов'язаних із:

- припустимим кавітаційним запасом для насосів САОЗ;

- припустимий тиск/температура корпусу реактора;

- максимальна припустима температура обладнання систем.

3.6.5. Кінцеві стани