Деревья событий и принципы их построения

2.3 Построение системных деревьев событий

Разработка системного дерева событий проводится с целью детализации полученных в результате построения ФДС аварийных последовательностей на системном уровне -- определения систем безопасности, их отдельных каналов, структурных частей или компонентов и функций персонала, необходимых для приведения РУ в безопасное состояние, и разработки промежуточных расчетных моделей для оценки вероятностей их реализаций.

Разработка СДС проводится для каждого отобранного для де-тального моделирования конечного состояния ФДС.

Задача - выполняется на основе предшествующего анализа (первый этап) множества КС соответствующего ФДС. При этом необходимо дать четкое и ясное определение рассматриваемой аварийной последовательности с целью выявления необходимых данных для определения перечня взаимосвязей и критериев для структурно-функциональных блоков системы. В качестве источников таких данных могут быть использованы:

- 6- 94179 расчетные анализы процессов, связанных с реализацией данной аварийной последовательности;

- инструкции по ликвидации рассматриваемой аварии, используемые на аналогичных АС;

- проектная документация с описаниями и принципиальными схемами соответствующих систем безопасности, нормальной эксплуатации (технологических, управляющих, обеспечивающих).

Следующий этап заключается в разработке и описании перечня структурно-функциональных блоков (СФБ) системы, обеспечивающей выполнение рассматриваемых функций безопасности. Определение перечня СФБ предполагает выполнение следующих процедур:

Для каждой функции безопасности, входящей в логическую функцию рассматриваемой аварийной последовательности, определяются технологические системы (защитные, локализующие системы безопасности и системы нормальной эксплуатации), непосредственно выполняющие данную функцию безопасности.

Для каждой технологической системы определяются критерии ее успешного функционирования, т.е. минимально необходимые условия (производительность, мощность, физические параметры и т. д.), реализация которых достаточна для успешного выполнения соответствующих функций безопасности.

Определяются управляющие, обеспечивающие системы и действия персонала, которые необходимы для функционирования каждой технологической системы. При выполнении этой задачи методика рекомендует пользоваться таблицей взаимосвязи основных и поддерживающих систем (табл. 2), разработанной при анализе видов отказов и последствий АВОП.

Таблица 2

Матрица зависимостей фронтальных и поддерживающих систем

Далее необходимо выполнить следующие задачи:

С учетом результатов по пп.1-3 разработать логические или структурно-функциональные схемы для рассматриваемой совокупности функций безопасности, включив в них все технологические, управляющие и обеспечивающие системы, а также действия персонала, которые могут повлиять на выполнение заданных функций. Эти схемы должны отражать взаимосвязи и возможные зависимости между отдельными их частями и компонентами.

Выполнить декомпозицию структурных схем, разбив их на отдельные структурно-функциональные блоки, рассматриваемые при дальнейшем анализе как самостоятельные части. Рекомендуется при включении в таблицу промежуточных событий СДС в качестве структурно-функциональных блоков (СФБ) рассматривать следующее:

- отдельные каналы технологических (защитных, локализующих) систем при отсутствии внутриканального резервирования элементов или при резервировании элементов, которые могут выполнить функцию канала в 100%-м объеме; при резервировании элементов, которые могут выполнить функцию канала в объеме менее 100% (например, 50%), такие элементы (или группы элементов) выделяют в самостоятельный структурно-функциональный блок;

- общие части технологических систем, каждая из которых выполняет самостоятельные функции безопасности;

- общие части управляющих систем, т. е. информационно-логические части УСБ, формирующие признаки возникно-вения исходных событий аварий;

- общие для отдельного канала безопасности части обеспечивающих систем (системы электроснабжения, вентиляции, технической воды, системы отвода теплоты к конечному поглотителю) и других систем;

- части управляющих и обеспечивающих систем, от которых зависит работа отдельных компонент систем безопасности, целесообразно включать в структурно-функциональные блоки технологических систем.

6. Определить общие части, компоненты или действия персонала, отказы которых могут повлиять на выполнение нескольких функций безопасности; определить возможные зависимости между отдельными функциями безопасности с точки зрения возникновения тех или иных конечных состояний.

Системные ДС строятся для каждой аварийной последовательности, выбранной для моделирования вероятности ее реализации на функциональном уровне.

При построении СДС следует стремиться к тому, чтобы таблица событий отражала реальную структуру систем со всеми присущими ей особенностями. Наиболее важной особенностью структуры систем является возможное наличие общих частей в пределах систем (или их каналов), выполняющих различные функции безопасности. Такие общие части, если они имеются, должны быть в явном виде отражены в заголовках системного де-рева событий. Примерами общих частей могут быть управляющие системы, формирующие признаки возникновения ИС, системы электроснабжения, другие обеспечивающие системы. В табл. 2 зависимости нескольких основных систем от одной обеспечи-вающей можно проследить по столбцам, а наличие общих частей следует прослеживать по технологическим схемам.

Для построения СДС, определения логических соотношений и расчета вероятностей реализации КС следует выполнить следующие процедуры:

1. Определить с учетом результатов предыдущего этапа порядок размещения выделенных частей в таблице СДС. При этом рекомендуется использование причинно-следственного принципа, в соответствии с которым системно-функциональные блоки, работа которых, зависит от других блоков или невыполнение функций которых, может привести к менее тяжелым последствиям при условии успешной работы других структурных единиц, размещаются в правых колонках таблицы СДС. Например, системы или их части, выполняющие защитные функции безопасности, которые влияют на состояние активной зоны, располагаются в левых, а системы или их части, выполняющие локализующие функции безопасности, -- в правых колонках СДС. Как правило, первыми в левых колонках размещаются обеспечивающие системы безопасности (рис. 2).

2. Провести траекторию проектного функционирования систем. Нанести на нее особые точки, включая действия персонала события, связанные с функционированием избыточных систем.

3. Начиная с крайней слева системы (части системы), последовательно построить траектории, связанные с невыполнением функции каждой системы до попадания в соответствующие конечные состояния.

4. Сформировать таблицу конечных состояний, в которой для каждой последовательности программно определяются логические (булевы) соотношения в виде условной записи комбинаций отказавших систем (или их частей), что является причиной возникновения рассматриваемого КС. При этом все КС системного дерева событий соответствуют невыполнению только определенной совокупности функций безопасности, за исключением отказа всех каналов обеспечивающих систем, который может привести к другим совокупностям невыполнения функций безопасности. На рис. 2 получено 14 конечных состояний, включая проектное.

На основе полученной диаграммы СДС с целью обеспечения разработки детальных моделей для количественной оценки веро-ятностных показателей безопасности АС при рассматриваемом ИС выполняется анализ полученного множества КС с нарушением безопасности АС, определяются системные минимальные сече-ния и формулируются задачи для последующих этапов ВАБ.

Системные минимальные сечения -- это АП, для которых рассматриваемый вид КС реализуется при меньшем по сравнению с другими последовательностями количестве невыполненных функций безопасности.

Проводится качественный анализ всех логических соотношений из полученного множества системных минимальных сечений с целью отыскания возможных зависимостей между входящими в них системами (межсистемные зависимости). В результате выполнения этого этапа с учетом анализа межсистемных зависимостей формулируются задачи для разработки деревьев отказов для про-ведения количественной оценки вероятностных показателей безопасности.

В соответствии со схемой организации итеративного процесса проведения вероятностного анализа безопасности на различных его стадиях методика ДС (построение и анализ ФДС и СДС) используется многократно. После выполнения оценок вероятностей (или частот) реализации КС с нарушением безопасности АС определяются доминантные аварийные последовательности (см. гл. 6), для которых должны быть выполнены анализы процессов в целях определения размера последствий, а также параметров процессов, которые могут повлиять на разработку более реалистичных вероятностных моделей. В частности, по результатам анализа процессов может быть рассмотрена важность тех или иных функций безопасности или видов конечных состояний.

Важность КС определяется, прежде всего, величиной его вероятности. Более вероятные КС считаются и более опасными, и важными. Расчет вероятности КС по виду ДС производится по его логическому (булеву) выражению в соответствии с рис. 3. Например, вероятность КС № 4, следующего вследствие отказа систем "D" и "?", при успешной работе предыдущих систем "В" и " С будет равна: Р4= РА x Рт x Ра, т. е. простому перемножению вероятностей отказа систем, вошедших в логическое выражение. Заметим также, что полученные логические выражения могут быть упрощены на основе правил булевой алгебры и исключения из рассмотрения АП с очень малыми вероятностями, что приводит к упрощению ДС.

На рис.3 вероятности отказа одной системы различны в разных строках в связи с различием вероятности отказа систем в разных условиях. Так, вероятность Рт -- отказ системы "D" при успешном срабатывании системы "В", а Рт -- отказ системы "D" при отказе системы "5" и т. д.

В национальном стандарте требуется рассмотрение аварийных последовательностей от ИСА, частота возникновения которых превышает 10~7 раз в год (или 1012 1/ч) с учетом ранее сказанного.

Далее приводится пример определения систем реактора PWR, способных реализовать важнейшие функции безопасности: обеспечение подкритичности, отвод теплоты от активной зоны и поддержание уровня в активной зоне.

Рис. 3. Упрощенное дерево событий для аварии "Большая течь"

Таблица 3 Связь функций безопасности и систем, их реализующих

При определении функций безопасности и систем, их обеспечивающих, необходимо принимать во внимание все системы, которые могут оказывать влияние на аварию и управление которыми осуществляется автоматически и/или оператором с БЩУ/РЩУ. Во всех случаях, когда учитываются системы, управление которыми осуществляется с участием персонала не с БЩУ/РЩУ, требуется обосновать возможность такого управления, исходя из особенностей протекания аварии.

Перечень систем АС РУ ВВЭР-1000 можно найти в ТОБ, там же можно найти полное их описание и описание их взаимодействия. Всего конструкторы РУ выделяют 22 фронтальные и поддерживающие системы. Системы энергоснабжения, системы КИПиА, технического водоснабжения и вентиляции связаны со всеми основными и вспомогательными системами. Влияние отказа любой системы на успешное функционирование остальных систем зависит также от выполняемой задачи -- функции безопасности. Иными словами, схема взаимодействия систем может быть изображена для конкретных функций безопасности, как это показано, например, в работах японских инженеров.

2.4 Определение критериев успешной работы систем станции

Критерии успешной работы рассматриваемой системы станции -- это минимальные параметры системы, которые необходимы для успешного выполнения ею функции безопасности в конкретных условиях, создаваемых исходным событием.

Критерии успеха (критерии успешной работы) фронтальных систем зависят от исходного события и являются особо важными для ВАБ, поскольку они определяют "верхние события" или начальную точку для последующего моделирования систем. Критерии успеха для фронтальных систем будут, разумеется, претерпевать дальнейшие уточнения при анализе реакции станции, так как они зависят не только от инициирующих событий, но и, возможно, от дополнительных отказов систем или их нормальной работы в данной аварийной последовательности. Критерии успеха для фронтальных систем могут быть определены однозначно на основе четкого определения успешной работы или отказа с учетом результатов выполнения функции безопасности. В дополнение к определению требований к характеристикам (например, расходу, времени работы и т. д.) критерии успеха должны выражаться в терминах требований к оборудованию -- таких, как число требуемых каналов по расходу, энергоснабжению и т. п.

Критерии успеха для поддерживающих систем не могут быть выражены так однозначно. В большинстве случаев поддерживающие системы обслуживают более чем одну фронтальную систему и, следовательно, каждое возможное состояние системы (например, три работающих канала, два или один, ни одного) оказывает различное воздействие на фронтальную систему, которая выполняет определенную функцию. Поэтому данное состояние поддерживающей системы может вести к успешному выполнению функций безопасности или к отказу в зависимости от конкретного состояния фронтальной системы, с которой она связана, и к другому результату по другой функции безопасности, когда рассматривается другая связанная с нею фронтальная система.

Соответствующая информация для оценки критериев успеха фронтальных систем приводится в отчете по безопасности (ТОБ). Однако критерии, выводимые из этого отчета, могут быть чрезмерно консервативными. Если возможны более реалистические критерии, желательно использовать их. Эти реалистические кри-терии, тем не менее, должны быть подтверждены анализом, удостоверяющим их правильность. Для получения более реалистических критериев, чем те, которые получаются на основе допущений, сделанных в ТОБ, может быть использован имеющийся анализ данной или других подобных АС. Источник такой информации или должен быть четко указан, или соответствующие материалы должны быть включены в документацию ВАБ, если используемые документы труднодоступны. Следует учитывать, что если первоначально используются слишком консервативные критерии успеха, выведенные из ТОБ, то на дальнейших этапах ВАБ может потребоваться дополнительный анализ для обоснования более реалистических критериев для окончательных моделей ВАБ. В дополнение к критериям успеха, предъявляемым к фронтальным системам исходными событиями, должны также быть определены и зафиксированы любые другие особые условия, связанные с этими событиями. Такими условиями являются возможные воздействия на поддерживающие системы, на симптомы, которые видит оператор, на системы автоматического запуска и возможное наведение зависимых отказов. Эти специальные условия будут использованы при группировании инициирующих событий в эквивалентные классы .

В результате выполнения настоящей задачи формируется таблица, отображающая каждое исходное событие, соответствующие указанные выше системы, критерии успеха этих систем для соответствующих ИС, ссылки на обосновывающую документацию и специальные характеристики ИС, которые влияют на допущения при моделировании.

В качестве примера рассмотрим таблицу успеха/неуспеха для ИС "малая течь -- SLOCA" для ДС с участием систем, приведенных в табл. 3. При этом отвод остаточного тепловыделения, полагаем, может обеспечиваться тремя системами (табл. 4).

При определении критериев успеха необходимо определять допущения:

наличие питания;

наличие исправной системы управления;

наличие среды (потока).

Таблица. 4. Критерии успеха/неуспеха

Литература:

1. INSC of Ukraine : Technical Publications

Страницы: 1, 2