УДК 629.039.58
АЛГОРИТМИЗАЦИЯ УПРАВЛЕНИЯ ДИВЕРСНОЙ СИСТЕМОЙ КОМПЛЕКСНОЙ ЗАЩИТЫ БЛОКОВ АЭС
Е.В. Андропов, И.Р. Коган, В.П. Поваров, Л.П. Павлов
Приводится описание реализации применения принципа разнообразия как способа исключения (снижения вероятности) отказа по общей причине в управляющей системе безопасности Нововоронежской АЭС-2
Ключевые слова: отказ по общей причине, программное обеспечение, управляющие системы безопасности, диверсная система защит, алгоритмы защит
Описание проблемы
В проекте АСУ ТП АЭС-2006 используется программируемые технические средства как в управляющих системах безопасности (СБ) так и в системах нормальной эксплуатации (СНЭ).
Представление информации на блочном пункте управления (БПУ) реализовано на унифицированных программно-технических средствах системы верхнего блочного уровня (СВБУ). Эти решения обладают рядом преимуществ по сравнению с аналоговой техникой, включая самодиагностику,
надежность, повышение точности, доступность в процессе эксплуатации, что облегчают работу оперативного персонала БПУ. Централизация контроля и управления осуществляется с мониторов рабочих станций на БПУ и резервном щите управления (РПУ). При этом резервирование управления с панелей РПУ осуществляется в полном объёме для СБ и в минимально достаточном объёме для СНЭ.
Однако наряду с преимуществами использования программируемых технических средств возрастает тяжесть последствий в случае отказа систем АСУ ТП по общей причине в результате ошибки в программном обеспечении (ПО). Российские и
международные нормативные документы однозначно указывают, что надежную защиту от ошибок по общей причине (ООП), связанных с возможными ошибками в ПО,
Андропов Евгений Владимирович - ООО «Московский завод «Физприбор», заместитель главного конструктора по программному обеспечению, e-mail: [email protected] Коган Исаак Рувимович - АО «Атомэнергопроект», главный технический эксперт, e-mail: [email protected] Поваров Владимир Петрович - Нововоронежская АЭС, канд. техн. наук, директор, e-mail: [email protected] Павлов Леонид Павлович - Нововоронежская АЭС, главный технолог ТГ, e-mail: [email protected]
можно реализовать только на основе принципа разнообразия.
В ВВЭР-2006 не защищены от ООП, вызванных возможными ошибками в ПО инициирующая часть подсистем аварийной и предупредительной защит реактора, которые реализована на одних программно-технических средствах TELEPERM XS (Ж).
Для снижения вероятности отказа по общей причине рекомендуется применять сочетание программируемой
непрограммируемой техники [1].
После событий на АЭС Фукусима (Япония) надзорные органы ряда стран существенно ужесточили требования по выполнению действуюших НТД в области безопасности АЭС, включая вопросы разнообразия и глубокоэшелонированной защиты.
Согласно проекту АСУ ТП АЭС-2006, управляющая система безопасности по технологическим параметрам (УСБТ) реализована на программируемых технических средствах.
Замечание экспертного заключения ФБУ НТЦ ЯРБ к предварительному отчёту обоснования безопасности(ПООБ) НВАЭС-2: «проект аварийной защиты реактора, представленный в ПООБ, в части технических средств не удовлетворяет принципу разнообразия, т.к. инициирующая часть двух комплектов подсистем аварийной и предупредительной защит реактора
реализована на одних программно-технических средствах TXS (отступление от требования п. 4.4.5.7 ОПБ-88/97)».
Разнообразие как способ уменьшения вероятности отказа по общей причине
Разнообразие специально создается как защита от ООП. Оно может быть достигнуто наличием систем, которые физически отличаются одна от другой, либо с помощью функционального разнообразия, если
аналогичные системы достигают
установленной цели различными путями (ГОСТ Р МЭК 60880-2011 «Атомные электростанции. Системы контроля и управления, важные для безопасности. Программное обеспечение компьютерных систем, выполняющих функции категории А»).
Анализ требований NUREG/CR-7007 «Diversity Strategies for Nuclear Power Plant Instrumentation and Control Systems» («Методы обеспечения разнообразия в АСУ ТП АЭС»), с учетом опыта проектирования УСБ АЭС позволяет выделить шесть базовых направлений реализации принципа
разнообразия:
- функциональное разнообразие;
- параметрическое разнообразие;
- проектное разнообразие:
• архитектурное разнообразие,
• алгоритмическое разнообразие,
- разнообразие, определяемое человеческим фактором;
- аппаратное разнообразие;
- программное разнообразие.
В УСБТ АЭС-2006 реализованы в разной степени все принципы разнообразия, кроме программного разнообразия.
Несмотря на то, что разработка ПО УСБТ была выполнена в соответствии с требованиями стандарта МЭК, 60880 убедительных доказательств невозможности отказа или оценки показателей надёжности ПО разработчиком системы не были представлены.
В соответствии с ГОСТ Р ИСО/МЭК 912693. Оценка программной продукции, надежность программного обеспечения - это набор атрибутов, относящихся к способности программного обеспечения сохранять свой уровень качества функционирования при установленных условиях за установленный период времени.
Комиссия по ядерному регулированию США выпустила разъяснение, в котором ООП ПО определяется как результат множественных отказов, не выявляемых при проверках, и который надо относить к запроектной аварии (ЗПА).
Для реализации принципа разнообразия, как одного из направлений по преодолению ООП, необходимо наличие независимой от системы АЗ-УСБТ диверсной системы защиты (ДСЗ), реализованной на других технических средствах. Эта система должна обеспечить перевод энергоблока в контролируемое и
безопасное состояние для различных проектных исходных событий.
Решение о применении разнообразия (диверсификации) принималось с учетом положений [2].
«Меры проекта по предотвращению отказа по общей причине связаны с архитектурой систем контроля и управления, которая включает, по крайней мере, две системы контроля и управления, выполняющие функции категории А. Доказательство того, что любая индивидуальная система контроля и управления не имеет ошибок, невозможно, и поэтому существование скрытых дефектов и связанных с ними механизмов срабатывания не может быть исключено в принципе.»
В связи с этим постулирован ООП ПО как запроектная ситуация и принято решение о ее преодолении с вводом в проект диверсной системы защит.
ДСЗ в случае отказа инициирующей части системы АЗ-УСБТ или исполнительной части системы АЗ по общей причине должна обеспечивать выполнение следующих основных функций безопасности при наступлении проектных исходных событий режимов категории 2, 3, 4:
- аварийной остановки реактора и поддержания его в подкритическом состоянии;
- аварийного отвода тепла от реактора;
- удержания радиоактивных веществ в установленных границах.
В настоящей статье рассматривается реализация компенсирующих мероприятий по устранению замечания экспертного
заключения путем выполнения части функций на независимой системе защит.
Определение объёма компенсирующих мероприятий
Для определения объёма компенсирующих мероприятий организациями Главного конструктора РУ (ОКБ ГП) и научного руководителя (РНЦ КИ) выполнен анализ исходных событий с наложением ООП, приводящих к ЗПА с наиболее тяжелыми последствиям, с точки зрения выполнения функций безопасности и не удовлетворяющие критериям приёмки для запроектных аварий без плавления топлива. Определены необходимые исполнительные механизмы, работу которых должны инициировать дополнительные сигналы. Разработаны алгоритмы диверсных защит для выполнения всех функций безопасности, действующие на
останов реактора и реализующие функции УСБТ. Выполнены поверочные расчеты последствий развития исходного события с ООП с учётом работы дополнительных алгоритмов ДСЗ и действий персонала.
Всего разработано и обосновано 15 алгоритмов, реализация которых удовлетворяет критериям приёмки, предъявляемых для запроектных аварий без плавления топлива в случае отказа по общей причине проектной СУЗ-УСБТ.
Для исключения рисков, связанных с надёжностью применения других
программируемых средств при выполнении принципа разнообразия, было принято решение реализации ДСЗ на
непрограммируемых технических средствах.
Расчёт вероятности отказа на требование при совместной работе СУЗ - УСБТ и ДСЗ с учётом отказа ПО в двух комплектах и наложением отказа датчиков или устройств размножения сигналов в одном канале СБ составил 4.74*10"'. Это удовлетворяет требованиям технического задания на СУЗ -УСБТ ( < 5*10"7 ).
Для двух комплектов программируемых средств УСБТ при проведении расчётов показателей надёжности в соответствии с рекомендациями НТЦ ЯРБ принята вероятность отказа 10"5 .
Описание диверсной системы защит
В каждом канале СБ устанавливается по одному одинаковому комплекту ДСЗ. В состав каждого комплекта входят по 3 шкафа комплекса средств автоматизации (КСА) ДСЗ производства ООО «Московский завод Физприбор».
КСА ДСЗ предназначен для:
- ввода и обработки аналоговых и дискретных сигналов от первичных преобразователей (датчиков) и смежных систем (аппаратуры контроля нейтронного потока, панелей БПУ, устройства для гальванической развязки сигналов (УГРС), программно-технических комплексов локальных защит (ПТК ЛЗ) и TXS) для выдачи сигналов ООП и реализация функций защит на непрограммируемых средствах;
- представления на блочном пункте управления и в СВБУ энергоблока информации о контролируемых параметрах и состоянии частей комплекса с помощью непрограммируемых и программируемых средств.
В каждом шкафу реализован один канал защит с питанием от двух источников: постоянного и переменного тока.
Формирование логики «2 из 3» защит на останов реактора производится двумя выключателями прерывания питания ОР СУЗ по переменному и двумя по постоянному току.
Формирование логики «2 из 3» защит инициирующей части УСБТ производится в шкафах КСА и проводными связями передаются в существующую исполнительную часть УСБТ, ПТК приоритетного управления, (далее ПТК ПУ) на модули приоритетного управления исполнительными механизмами (далее МПУ). Один МПУ управляет одним механизмом. Для исключения отказов МПУ по общей причине, внутри МПУ реализован принцип разнообразия.
Распределение приоритетов выполнения команд защит УСБТ реализованных в МПУ в порядке убывания:
- автоматическое управление от TXS (штатная работа при отсутствии отказа);
- от ДСЗ (при отказе TXS (невыдаче команд));
- от ключей БПУ, РПУ;
- от систем управления нормальной эксплуатации.
При срабатывании ДСЗ, также как и при срабатывании TXS, накладывается запрет на 30 минут на выполнение команд оператора.
Для выполнения команд защит на останов реактора команды от TXS и ДСЗ равно приоритетны.
В качестве источников аналоговых параметров для TXS и ДСЗ используются существующие датчики. Для исключения влияния работы TXS и ДСЗ выполнено гальванически разделённое размножение сигналов на имеющихся в составе СУЗ - УСБТ непрограммируемых модулях гальванического разделения в шкафах УГРС.
Такое решение было принято для обеспечения строгой последовательности работы вначале защиты на TXS, при отсутствии отказа, затем ДСЗ из-за того, что уставки срабатывания защит TXS и ДСЗ отличаются незначительно. В случае использования различных датчиков не исключается возможность срабатывания ДСЗ раньше TXS, что может спровоцировать оператора на неправильные действия.
Например, в СУЗ-УСБТ уставка аварийной защиты по уровню в парогенераторах составляет Нном-650 мм, а в ДСЗ Нном-700 мм. Отличие составляет менее
трех погрешностей измерения, что при разных датчиках может привести к нарушению последовательности работы систем.
Таким образом основной причиной использования общих датчиков является необходимость обеспечения
последовательности срабатывания вначале СУЗ - УСБТ затем ДДСЗ при исправности обеих систем.
При этом в части выполнения функции АЗ системы ДСЗ и СУЗ-УСБТ равно приоритетны. По отношению к управлению системами безопасности приоритет отдан командам СУЗ-УСБТ. В соответствии с алгоритмами ДСЗ формирует команды на обесточивание приводов СУЗ для останова реактора, локализацию гермообъема и ввод в работу системы пассивного отвода тепла (СПОТ).
Реализация функций защиты на непрограммируемых средствах позволяет исключить из рассмотрения непредсказуемую надёжность ПО и влияние на функцию защиты аспектов информационной безопасности. Расчёты надёжности возможны для непрограммируемых технических средств, в том числе с учётом ООП, и невозможны для программного обеспечения.
КСА ДСЗ основывается на следующих инновационных подходах:
- реализация алгоритмов защит на непрограммируемых средствах (логические вентили, счётчики, регистры и др.) без использования микроконтроллеров и ПЛИС любой степени интеграции;
- реализация непрограммируемыми средствами цифровой обработки аналоговых сигналов (преобразование шкал, фильтрация, 50 Гц, демпфирование, линеаризация, компенсация температуры холодного спая, необходимой коррекции значений параметров) посредством табличной обработки на микросхемах энергонезависимой памяти;
- периодическая автоматизированная проверка (опробование) основной доли оборудования, включая проверку алгоритмов, внутрисистемных линий связи, линий связи с исполнительными механизмами непрограммируемыми средствами;
- резервирование (троирование) не только датчиков, но и аппаратных средств реализации алгоритмов защит с возможностью опробования оборудования без вывода его из эксплуатации и без потери функции защит, на работающем энергоблоке;
- наличие внутренней резервированной локальной сети и резервированной сети связи с информационно - управляющей системой энергоблока для выдачи информации о дискретных и аналоговых сигналах, срабатывании системы, состоянии технических средств, при этом невозможность влияния программируемых сетевых средств на средства непрограммируемой логики обеспечивается аппаратно.
Встроенные средства проверки обеспечивают диагностику от выходов датчиков до линий связи с модулями управления исполнительными механизмами, входящими в УСБТ.
Построение системы
Структура системы (рис. 1) предусматривает резервирование (троирование) не только датчиков, но и аппаратных средств реализации алгоритмов с возможностью опробования оборудования без вывода его из эксплуатации и без потери функции защит, на работающем энергоблоке.
Блоки сбора сигналов осуществляют ввод сигналов от датчиков (первичных преобразователей) и смежных систем.
Блоки сбора аналоговых сигналов на непрограммируемых средствах обеспечивают:
- ввод сигналов термопар, термометров сопротивления, унифицированных токовых сигналов,
- преобразование шкал, фильтрацию помехи промышленной частоты (50 Гц),
- демпфирование (с постоянной времени, настраиваемой в диапазоне 50 мс - 10 с индивидуально для каждого входа блока),
- линеаризацию сигналов по стандартным (или нестандартным по согласованию с заказчиком) номинальным статическим характеристикам термопар и термометров сопротивлений (тип характеристики и диапазон сигналов задаются индивидуально для каждого входа блока),
- компенсацию температуры холодного спая термопар, коррекцию уровня;
- сравнение с уставкой на повышение или понижение с регулируемой зоной возврата (зона возврата задаётся индивидуально для каждой уставки и может быть любой в пределах диапазона входных сигналов);
- при необходимости питание датчиков с индивидуальной гальванической развязкой источников питания.
Рис. 1. Структурная схема КСА ДСЗ
Вычисление рассогласований аналоговых сигналов и контроль диапазонов сигналов осуществляются программируемыми
средствами с помощью микроконтроллеров функциональных блоков и концентраторов (промышленных ЭВМ).
Сбор дискретных сигналов от аппаратуры контроля нейтронного потока предусматривает ввод сигналов типа «сухой контакт» с обеспечением питания датчиков и мажоритарную обработку по логике «2 из 4».
Логическая обработка сигналов предусматривает:
- мажоритарную обработку по логике «2 из 3» («2 из 4»),
- логические вентили (И, ИЛИ, НЕ),
- выдержку времени.
Каждый из аналоговых сигналов вводится от трёх одноимённых датчиков
в три шкафа ДСЗ. В шкафах ДСЗ (в блоках сбора и обработки унифицированных сигналов тока) каждый сигнал подвергается обработке: фильтрации помехи частотой 50 Гц,
демпфированию, коррекции, компенсации температуры холодного спая, сравнению с уставкой с учётом зоны возврата.
Результаты сравнения с уставкой из каждого шкафа раздаются в два других шкафа и подвергаются в каждом шкафу мажоритарной обработке «2 из 3» (в блоках мажоритарной логики «2 из 3», логической обработке и в блоках управления силовыми ключами) для формирования команды на обесточивание ОР СУЗ. Сформированные команды поступают на силовые ключи - «сухие» контакты (блоки силовых ключей). Указанная обработка реализована в трёх шкафах одинаково. На силовых ключах реализована мажоритарная обработка «2 из 3».
Работа алгоритма ДСЗ
Пример структуры алгоритма ДСЗ по управлению исполнительными механизмами на примере защиты парогенератора показан на рис. 2.
ШкасЬ 1 ЛСЗ
Давле-ние в Температуры горячих
ПГ ниток петель,
ШкасЬ 2 ЛСЗ
Давле-ние в Температуры горячих
ПГ ниток петель,
ч ц 'р
I
I .
I П -и Схема «2 из и !Ц 3» на ключах
ШкасЬ 3 ЛСЗ
Давле-ние в Температуры горячих
ПГ ниток петель,
ДО || ||
К модулям приоритетного управления
Рис. 2. Структура алгоритма ДСЗ по управлению исполнительными механизмами
Каждый из аналоговых сигналов вводится от трёх одноимённых датчиков в три шкафа ДСЗ. В шкафах ДСЗ каждый сигнал подвергается обработке: фильтрации помехи частотой 50 Гц, демпфированию, коррекции уровня, компенсации температуры холодного спая, сравнению с уставкой с учётом зоны возврата.
Результаты сравнения с уставкой из каждого шкафа раздаются в два других шкафа и подвергаются в каждом шкафу мажоритарной обработке «2 из 3» и логической обработке для формирования команды. Указанная обработка реализована в трёх шкафах одинаково.
Сформированные команды поступают на блоки выдачи команд (БВК). Команда на выходе БВК формируется по логике «2 из 3» на схеме 6 ключей (оптореле). Команда размножается на несколько модулей приоритетного управления (МПУ) на диодном размножителе блоков размножения сигналов БРС. Один выход БРС подключается к одному или более МПУ.
Сбор аналоговых и дискретных сигналов с технических средств комплекса и их выдачу в СВБУ в две взаиморезервирующих локальных сети осуществляют микроконтроллеры, встроенные в функциональные блоки.
Локальные сети работают под управлением двух взаиморезервирующих концентраторов - промышленных ЭВМ. Концентраторы установлены непосредственно в шкафах комплекса. Предусматривается два взаиморезервирующих концентратора.
Концентраторы реализуют следующие программные функции:
- сбор и обработка сигналов от оборудования ДСЗ по двум взаиморезервирующим локальным сетям;
- проверку рассогласования одноименных аналоговых сигналов, проверку диапазонов сигналов с целью обнаружения отказов узлов аналого-цифрового преобразования блоков и / или датчиков;
- диагностику аппаратных и программных средств комплекса;
- передачу в информационную систему
энергоблока информации о состоянии технологического процесса и технических средств.
Взаимодействие штатной и диверсной систем защит.
Схема взаимодействия штатной и диверсной системы защит приведена на рис. 3.
Рис. 3. Схема взаимодействия штатной и диверсной систем защит
В качестве исполнительного механизма для снятия напряжения с ОР СУЗ используются выключатели с двумя независимыми соленоидами. На каждый соленоид действует команда от одного комплекта ДСЗ. Выключатели управляемые ДСЗ включены последовательно с штатными выключателями. Таким образом, действие команд на останов реактора от защит ДСЗ и штатной СУЗ равно приоритетны. Формирование команды на отключающий соленоид по логике «2 из 3» производится проводными связями из 6 команд из блоков силовых ключей (по 2 из каждого канала) на клеммах соленоида.
Управление исполнительными
механизмами осуществляется через имеющиеся модули приоритетного управления. Причём более высокий приоритет имеют команды штатной СУЗ-УСБТ. Так как уставки срабатывания защит штатной УСБТ ниже уставок работы защит ДСЗ, при отсутствии
отказа по общей причине управление осуществляется от штатной УСБТ, а при её отказе управление осуществляется от ДСЗ.
Выводы
1. В ВВЭР-2006 не защищена от отказов по общей причине, вызванных возможными ошибками в ПО инициирующая часть подсистем аварийной и предупредительной защит реактора, которая реализована на одних программно-технических средствах TELEPERM XS.
2. Защита от ошибок по общей причине может быть обеспечена только применением разнообразия.
3. Реализация принципа разнообразия в виде создания ДСЗ, реализованной без применения ПО является эффективным средством преодоления ООП.
Литература
1. Алпеев А.С. Надёжность программного обеспечения управляющих систем и безопасность атомных станций [Текст] / А.С. Алпеев // Доклады БГУИР.- 2015г.- № 2 (88) .- С. 101-103.
2. ГОСТ Р-МЭК 62340-2011. Атомные станции. Системы контроля и управления, важные для безопасности. Требования по предотвращению отказов по общей причине [Текст] - Введ. 2012-01-07. - М: Стандартинформ, 2012. - 24 с.
ООО «Московский завод «Физприбор» АО «Атомэнергопроект», г. Москва
Филиал ОАО «Концерн «Росэнергоатом» «Нововоронежская атомная станция»
ALGORITHMIZATION OF THE CONTROL DIVERSEY THE SYSTEM OF COMPREHENSIVE PROTECTION OF NUCLEAR POWER UNITS
E.V. Andropov, I.R. Cogan, V.P. Povarov, L.P. Pavlov
The description of the implementation of the principle of diversity as a way to exclude (minimize the probability) of common cause failure in safety control system of Novovoronezh NPP-2
Key words: common cause failure, software, safety control systems, diverse protection systems, protection algorithms