1 1 Использование международных нормативных документов при разработке технических требований к АСУ ТП ВВЭР-ТОИ Сивоконь В.П. Тимохин Е.С, Колотов А.П., Кабачников А.А. Первая Международная научно-техническая конференция «Автоматизированные системы управления технологическими процессами АЭС и ТЭС г. Минск, февраля 2015 Проектно-конструкторский филиал ОАО «Концерн Росэнергоатом»

1 2 Введение: Новые технические требования, разработанные ОАО «Концерн Росэнергоатом» В декабре 2014 г. Проектно- конструкторский филиал ОАО «Концерн «Росэнергоатом» разработал документ по АСУ ТП нового проекта ВВЭР- ТОИ, основанный на последних технических требованиях МАГАТЭ, МЭК и Европейских регулирующих органов к цифровым АСУ ТП АЭС В данной презентации кратко представлены технические требования и показаны какие новые международные и европейские стандарты были использованы для ВВЭР-ТОИ

1 3 Содержание документа (сокращенно) Общие положения Базовые требования и принципы Реализация концепции глубокоэшелонированной защиты в архитектуре АСУ ТП Требования к архитектуре АСУ ТП Функциональные требования Контроль технологических процессов Эксплуатационные качества Удобство обслуживания Специальные требования к системам, важным для безопасности Требования к системам управления нормальной эксплуатации Кибербезопасность

1 4 Основные причины выпуска новых требований для АСУ ТП АЭС в мире В последние годы, начиная с 2010, многие страны, развивающие атомную энергетику, и международные организации, связанные с этой отраслью, активно пересматривают нормативную базу в сторону повышения требований по ядерной безопасности АЭС. Это вызвано в первую очередь двумя основными причинами: тяжелой аварией на АЭС Фукусима в марте 2011 года; массовым повреждением центрифуг обогатительного производства в Иране в 2010 году новым типом компьютерного вируса, способного фатально поражать промышленные контроллеры, в том числе в АСУ ТП АЭС

1 5 Основные выявленные направления развития требований к АСУ ТП АЭС Разработанные и разрабатываемые в мире новые требования в части АСУ ТП АЭС касаются в основном следующих вопросов: Соответствия архитектуры АСУ ТП новой концепции глубокоэшелонированной защиты; Технических характеристик и качества АСУ ТП; Принципов классификации оборудования по безопасности, включая АСУ ТП; Надежности программируемых АСУ ТП и их ПО в частности; обеспечения кибербезопасности на АЭС (дополнительный фактор, который не позволяет полагаться на высокую надежность аппаратуры АСУ ТП с программным обеспечением); обеспечения высокой степени разнообразия систем безопасности и СКУ ЗПУ.

1 6 Основные проанализированные и использованные в технических требованиях публикации IAEA. SSG-30. Safety Classification of Structures, Systems and Components in Nuclear Power Plants. Vienna, 2014 IAEA SSR-2/1. Safety of Nuclear Power Plants: Design. Vienna, 2012 IAEA. Nuclear Security Series No. 17. Computer Security at Nuclear Facilities. Vienna, 2011 WENRA. Report. Safety of new NPP designs. Study by Reactor Harmonization Working Group RHWG. March Licensing of safety critical software for nuclear reactors. Common position of seven European nuclear regulators and authorized technical support organizations EUR. Volume 2, Revision D, Generic nuclear island requirements. Chapter 10. Instrumentation & control and human-machine interface. October 2012 STUK. Guide YVL B.1, draft L5, Safety design of a NPP ; STUK. Guide YVL B.3, draft L5, Deterministic safety analyses for nuclear power plants ; Requirements of Hanhikivi NPP (Finland) Customers (C7 Chapter). Canadian Nuclear Safety Commission. RD-337 v.2, Design of New Nuclear Power Plants. July 2012

1 7 Обновленная концепция глубокоэшелонированной защиты В Концепции, принятой МАГАТЭ в 2012 и детализированной в рабочей группе Европейских регулирующих органов RHWG WENRA, предложена скорректированная Концепция глубокоэшелонированной защиты. Предложено четкое различие между средствами и условиями для подуровней защиты 3. а и 3.б.

8 Цели различных уровней глубокоэшелонированной защиты 1)Цель первого уровня защиты состоит в том, чтобы предотвращать отклонения от нормальной эксплуатации и отказы узлов, важных для безопасности. 2)Цель второго уровня защиты – обнаружить и взять под контроль отклонения от нормальных эксплуатационных состояний, чтобы предотвратить ситуацию, при которой ожидаемые при эксплуатации события могут привести к возникновению аварийных условий. 3)В отношении третьего уровня защиты предполагается (хотя это и маловероятно), что развитие некоторых ожидаемых при эксплуатации событий или постулируемых исходных событий может не контролироваться на предыдущем уровне и что может произойти развитие аварии. 4)Цель четвертого уровня защиты состоит в смягчении последствий аварий, которые возникают в результате отказа третьего уровня глубокоэшелонированной защиты. 5)Цель пятого и последнего уровня защиты состоит в смягчении радиологических последствий радиоактивных выбросов, которые потенциально могут происходить в условиях аварий

1 9 Усовершенствованная концепция глубокоэшелонированной защиты (WENRA-2013) Уровни защиты в глубину Цель/задача Основные средства Радиационные последствия Категории режимов эксплуатации станции и соответствующие подсистемы АСУ ТП Уровень 1 Предупреждение нарушений нормальной эксплуатации и отказов Консервативный подход и высокое качество при строительстве и эксплуатации, управление основными параметрами станции в установленных пределах Радиационное воздействие за территорией станции отсутствует (ограничено допустимыми пределами эксплуатации по выбросам) Нормальные условия эксплуатации Автоматические регуляторы Уровень 2 Управление нарушениями нормальной эксплуатации Системы управления и предупредительной защиты и другие системы контроля этого уровня Ожидаемые эксплуатационные события Предупредительная защита

1 10 Усовершенствованная концепция глубокоэшелонированной защиты (WENRA-2013) (2) Уровни защиты в глубину Цель/задача Основные средства Радиационные последствия Категории режимов эксплуатации станции и соответствующие подсистемы АСУ ТП Уровень 3 3. а Управление аварией для ограничения радиационных выбросов и защита от условий расплавления активной зоны (1) Система защиты реактора, системы безопасности, аварийные инструкции Радиационное воздействие за территорией станции отсутствует или незначительно Постулируемые единичные исходные события АЗ-УСБТ 3. б Дополнительные функции безопасности, аварийные инструкции Постулируемые исходные события с многократными отказами АЗ-УСБТ СКУ ЗПУ

1 11 Усовершенствованная концепция глубокоэшелонированной защиты (WENRA-2013) (3) Уровни защиты в глубину Цель/задача Основные средства Радиационные последствия Категории режимов эксплуатации станции и соответствующие подсистемы АСУ ТП Уровень 4 Управление аварией с расплавлением активной зоны для ограничения выбросов за пределы станции Дополнительные функции безопасности для уменьшения расплавления активной зоны, Управление авариями с расплавлением активной зоны (тяжелые аварии) Радиационное воздействие за территорией станции может потребовать защитных мер, ограниченных по территории и времени Постулируемые аварии с расплавлением активной зоны (краткосрочные и длительные) СКУ ЗПУ Уровень 5 Уменьшение радиационных последствий от значительных выбросов радиоактивных материалов Ответные действия за территорией станции. Уровни вмешательства Радиационное воздействие за территорией станции, требующее защитных мер Смягчение радиационных последствий Противоаварийные мероприятия и СУТА кризисного центра.

1 12 Общие принципы разработки АСУ ТП систем безопасности Основные требования, которые должны быть приняты во внимание: избыточность (резервирование); независимость; Разнообразие; Стойкость к условиям окружающей среды; правило 30-ти минут; Надежность (включая проблему ПО); Принцип безопасного отказа; Устойчивость к отказам по общей причине Критерий единичного отказа, N + 2 и общая отказоустойчивость; Бесперебойность питания; Готовность передать управление в РПУ при невозможности использования БПУ

1 13 Надежность СКУ (МЭК-61069) Надежность должна оцениваться посредством рассмотрения каждого из вышеуказанных свойств. Она базируется на анализе тестов или результатах исследования и также на доказательстве того, что специфические требования применимы к проекту АСУ ТП (т.е. выполняются требования по качеству и проекту на каждой стадии жизненного цикла); Поставщик должен изначально учитывать требования Заказчика, которые могут прямо или косвенно влиять на надежность АСУ ТП и должен разрабатывать в детальные требования, применимые к архитектуре АСУ ТП и проекту системы. Должен рассматриваться полный жизненный цикл АСУ ТП (иногда это проблематично для ПО)

1 14 Перечень показателей надёжности частота отказов; вероятность несрабатывания на требование; частота (или вероятность) ложных срабатываний; доля безопасных отказов; вероятность опасных отказов в час; объем диагностики; время восстановления; тестируемость и ремонтопригодность.

1 15 Риск ООП должен быть определен. При этом следует учитывать показанные типичные условия возникновения ООП в цифровых СКУ. Условия возникновения ООП в цифровых СКУ (IAEA TD-CCF)

1 16 Надёжность ПО Так как для цифровых систем на практике не существует общепринятых методик оценки надежности ПО, ООП могут быть рассмотрены методом инженерной оценки с соответствующим обоснованием. Необходимые меры должны быть рассмотрены, чтобы избежать ООП или уменьшить их последствия (соответствующие руководства даны в МЭК 61513, МЭК и отчете WENRA по общей позиции в отношении надежности важных для безопасности ПТК. Отказы ПО обычно вызываются ошибками при разработке. Это означает, что один тип отказа может проявиться в резервированных частях системы. Риск ООП, связанный с ошибками при разработке, должен быть достаточно низкого уровня путем использования принципа разнообразия и других возможных средств для обеспечения высокой надежности. Меры, предпринятые для исключения ООП, должны быть обоснованы и задокументированны.

1 17 Лучшие практики по разнообразию Системы, основанные на программируемых средствах должны в полной мере использовать принцип разнообразия, которое по существующей лучшей мировой практике достигается, но не ограничивается следующими решениями: функциональное и сигнальное разнообразие; независимые команды разработчиков технических средств СБ без прямого взаимодействия; разное программное обеспечение; разные описания/программные языки и представления; различные методы разработки; различные платформы разработки, инструменты и компиляторы; различная аппаратура (ПЛК, ПЛИС, аналоговые); различные производители; различная верификация и валидация.

1 18 Отказоустойчивость Системы, важные для безопасности, должны удовлетворять детерминистским и вероятностным требованиям, которые определены в «Технических требованиях к базовой части проекта АСУ ТП АЭС ВВЭР ТОИ». Наиболее важные детерминистские требования: а) СКУ, не важные для безопасности, должны быть сконструированы так, чтобы, насколько это экономически оправдано, единичный отказ их компонентов не имел влияния на устойчивую работу АЭС (экономическая причина); б) СКУ класса 2 по безопасности (IAEA, SSG-30, 2014) должны удовлетворять критерию единичного отказа (N+1), где N – число работоспособных функциональных элементов (по причине безопасности); c)Для систем СКУ 1 класса безопасности должны быть применены новые критерии отказоустойчивости N+2 (N-2 в некоторых американских документах) Это означает отказоустойчивость к 2 отказам. В общем случае, отказоустойчивость может быть оценена количественно. Примечание: Общий случай количественной оценки отказоустойчивости системы представлен в отчете: Malkin S., Sivokon V., Shmatkova L. Quantitative evaluation of fault tolerance of safety related nuclear power plant systems. Atomnaya Ehnergiya ISSN (in English in Soviet Journal of Atomic Energy (USA), Nov. 1990, v. 69(5), p.6-9.

1 19 Рекомендуемые инструменты для оценки разнообразия: атрибуты и критерии разнообразия Различные технологии Различные подходы Одна технология Различная архитектура Одна технология Функции Механизмы Время отклика Проектные организации Управленческий персонал Конструкторы, инженеры, программисты Испытатели, наладчики, сертификаторы Алгоритмы Временные графики и порядок срабатывания Операционные системы Языки программирования Различные параметры Одинаковые эффекты Разл. параметры Разл. эффекты Одинаковые параметры Различные датчики Различная архитектура связи Различные версии логики обработки данных в одной архитектуре Различная архитектура интеграции компонентов Различная архитектура логики обработки данных Один производитель разл. версий оборудования Разл. производители Одно оборудование Один производитель Разл. оборудование Различные производители Разл. оборудование Атрибуты разнообразия и соответствующие критерии

1 20 Физическая безопасность, кибербезопасность и защита от саботажа Поставщик должен разработать, задокументировать и представить должным, непротиворечивым образом все средства, примененные для обеспечения надежного функционирования архитектуры, отдельных систем и оборудования АСУ ТП с целью предотвращения любого вида внутренней или внешней угрозы для них. Кибербезопасность должна быть обеспечена как минимум 2 независимыми группами специалистов, одна из которых должна быть ответственна за разработку и внедрение соответствующих технических решений и другая– для контроля доступа и соблюдения конфеденциальности. Для обеспечения безопасности и кибербезопасности, важно принимать во внимание внутренние опасности, от возможного саботажа со стороны персонала. Это также актуально для АСУ ТП с непрограммируемой логикой, и эта проблема не является новой: Malkin S., Sivokon V., Khromov V., Poznyakov V. Technical solution of the NPP sabotage invulnerability problem. In Proc. of IAEA and OECD Symposium: Balancing Automation and Human Action in Nuclear Power Plants, 9-13 July 1990, Munich, Germany, p

21 Надеемся на дальнейшее сотрудничество!