II. Общие требования к управляющим системам, важным для безопасности
5. Состав и функции управляющих систем, важных для безопасности, должны устанавливаться в проектной документации АС (далее - проект АС) с соблюдением требований федеральных норм и правил в области использования атомной энергии. Для каждого блока АС должны предусматриваться следующие управляющие системы, важные для безопасности:
УСНЭ ВБ;
УСБ;
управляющие системы, относящиеся к важным для безопасности специальным техническим средствам для управления запроектными авариями.
Управляющие системы нормальной эксплуатации, важные для безопасности, выполняют функции, относящиеся к первому и второму уровням глубокоэшелонированной защиты; управляющие системы безопасности - к третьему уровню глубокоэшелонированной защиты; управляющие системы, относящиеся к важным для безопасности специальным техническим средствам по управлению запроектными авариями - к четвертому уровню глубокоэшелонированной защиты.
6. Требования к каждой из УСВБ должны указываться в техническом задании на разработку данной системы, которое входит в состав проекта АС. Для каждой УСВБ в ООБ должно подтверждаться соблюдение требований технического задания на разработку соответствующей УСВБ и требований проекта АС.
7. Все элементы УСВБ должны быть отнесены в проекте АС к функциональным группам.
8. Управляющим и информационным функциям, выполняемым функциональными группами, в проекте АС должна назначаться одна из категорий - A, B, C.
9. Категория A назначается управляющим и информационным функциям:
выполняемым УСБ (в том числе аварийной защиты реактора, управления системами аварийного охлаждения активной зоны, управления локализующими системами безопасности);
предназначенным для предоставления персоналу АС информации и возможностей управления, необходимых при возникновении исходного события проектной аварии для выполнения действий, направленных на достижение контролируемого безопасного состояния АС.
10. Категория B назначается управляющим и информационным функциям:
управления системами, осуществляющими поддержание реактора в подкритическом состоянии после срабатывания аварийной защиты реактора;
управления системами отвода тепла от остановленного реактора и бассейна выдержки (других хранилищ отработавшего ядерного топлива);
невыполнение при нормальной эксплуатации АС которых потребует введения в действие управляющей или информационной функции категории A для предотвращения предаварийной ситуации или аварии;
предназначенным для предоставления персоналу АС информации и (или) возможностей управления, необходимых для выполнения действий, имеющих целью ограничение последствий аварии после достижения контролируемого безопасного состояния АС;
предназначенным для предоставления персоналу АС информации о соблюдении пределов и условий безопасной эксплуатации, а также информации о выполнении функций безопасности при авариях.
11. Категория C назначается управляющим и информационным функциям:
управления технологическим процессом АС в эксплуатационных пределах и предотвращения нарушения пределов безопасной эксплуатации;
обнаружения опасных событий (пожар, затопление) и (или) ограничения влияния этих событий на безопасность АС (например, управление системами пожаротушения, локализации затоплений);
выполняемым управляющими системами, относящимися к важным для безопасности специальным техническим средствам для управления запроектными авариями;
радиационного контроля.
12. Если к одной управляющей или информационной функции применимы одновременно несколько классификационных критериев, перечисленных в пунктах 9 - 11 Правил, ее следует относить к более высокой категории из тех, что определяются этими критериями, при этом наиболее высокой считается категория A.
13. Организации, осуществляющие свою деятельность на какой-либо из стадий жизненного цикла УСВБ, должны вести эту деятельность в соответствии с разрабатываемыми в указанных организациях программами обеспечения качества.
14. В отношении результатов деятельности на стадиях жизненного цикла УСВБ должна выполняться верификация. Все несоответствия, выявленные во время верификации, должны быть задокументированы и устранены.
15. В проекте АС должны быть установлены требования к надежности выполнения управляющих и информационных функций управляющими системами, важными для безопасности.
Соответствие установленным в проекте АС требованиям по надежности должно подтверждаться посредством выполнения расчета показателей надежности для каждой управляющей и информационной функции (в том числе с учетом опыта эксплуатации), при этом должны учитываться возможность возникновения явных и скрытых отказов (в том числе ошибок в ПО и отказов устройств диагностирования), отказов по общим причинам, ошибок персонала, а также периодичность технического обслуживания, испытаний (проверок) и ремонтов.
16. В проекте АС должны быть установлены критерии и порядок оценки предельного состояния элементов УСВБ, а также данные об их назначенном ресурсе.
17. В проекте АС должен быть выполнен анализ последствий отказов элементов УСВБ (включая отказы по общим причинам, в том числе вследствие ошибок в ПО) и предусмотрены меры по обеспечению безопасности АС при указанных отказах.
18. В проекте АС для каждой из УСВБ должны быть установлены и обоснованы условия безопасной эксплуатации, порядок вывода из работы, выполнения периодических проверок, испытаний и порядок ввода в работу элементов (каналов) системы, требования к объему и периодичности проведения технического обслуживания и ремонта, к количеству и квалификации обслуживающего персонала.
19. В проекте АС должна предусматриваться выдача сигнала персоналу АС о выводе из работы каналов (элементов) УСВБ или функциональных групп.
20. В проекте АС должен предусматриваться непрерывный автоматический контроль (самодиагностика) работоспособности УСВБ. Кроме того, должны быть предусмотрены периодические проверки УСВБ для выявления скрытых отказов, которые не обнаруживаются при непрерывном автоматическом контроле в процессе эксплуатации.
21. В составе УСВБ должны быть предусмотрены средства архивирования и отображения (с обоснованной в проекте АС периодичностью) диагностической информации о техническом состоянии элементов УСВБ, смежных систем, включая данные об отказах, обнаруженных при непрерывном автоматическом контроле в процессе эксплуатации в предусмотренном проектом АС случае.
22. На блоке АС информация должна регистрироваться в системе единого времени.
23. В проекте АС для УСВБ должны предусматриваться меры для обеспечения того, чтобы выполнение управляющей или информационной функции и (или) отказ на выполнение управляющей или информационной функции более низкой категории не приводили к невыполнению управляющей или информационной функции более высокой категории.
24. В случае когда управляющая или информационная функция выполняется с участием персонала АС, в проекте АС должно быть показано, что персоналу АС обеспечены условия для выполнения данной управляющей или информационной функции. В проекте АС должны быть приведены и обоснованы меры по снижению вероятности ошибок персонала.
25. Функциональные группы, выполняющие управляющие или информационные функции категории A, должны удовлетворять принципам резервирования, независимости и разнообразия. Выбор вида (видов) разнообразия должен производиться на основе анализа возможных причин отказов выполнения управляющей или информационной функции функциональной группы и ожидаемых последствий. При использовании в составе функциональной группы, выполняющей управляющую или информационную функции категории A, программируемых цифровых устройств для обеспечения соблюдения принципа разнообразия должны использоваться несколько видов разнообразия.
26. Функциональные группы, выполняющие управляющие или информационные функции категории B, должны удовлетворять принципам резервирования, независимости и разнообразия. Необходимость применения или неприменения принципов независимости, резервирования и разнообразия должна быть обоснована в проекте АС.
27. Для подтверждения способности элементов УСВБ выполнять управляющие и информационные функции должно предусматриваться проведение их оценки соответствия (в форме испытаний).
28. В группе каналов УСВБ, задействованных в выполнении одной и той же управляющей (информационной) функции категории A, резервирующих друг друга, каждый канал должен быть способен выполнить управляющую (информационную) функцию канала независимо от:
неработоспособности (в том числе вследствие вывода из работы, испытаний, технического обслуживания) других каналов, относящихся к данной группе каналов;
нарушения работоспособности линии передачи сигналов и данных между каналами данной группы;
влияния на другие каналы данной группы внешних воздействий природного и техногенного характера, а также воздействий проектных аварий.