3.1.1. Системы и элементы, важные для безопасности, должны проектироваться и конструироваться в соответствии с принципами настоящих Общих положений и с соблюдением других федеральных норм и правил в области использования атомной энергии. Требования иных нормативных документов, не относящихся к нормативным правовым актам, могут применяться в части, не противоречащей федеральным нормам и правилам в области использования атомной энергии.

Комментарий

Первый абзац комментируемого пункта конкретизирует применительно к проектированию и конструированию систем и элементов, важных для безопасности, требования пункта 1.1.2 о необходимости реализации принципов и требований Общих положений обеспечения безопасности атомных станций в объеме, установленном ФНП.

Требование второго предложения комментируемого пункта вытекает из положений статьи 6 Федерального закона "Об использовании атомной энергии", в соответствии с которыми ФНП являются нормативными правовыми актами и носят обязательный характер. Соответственно, нормативные документы, не являющиеся нормативными правовыми актами, имеют меньшую юридическую силу и применяются при проектировании и конструировании систем и элементов, важных для безопасности, в части, не противоречащей ФНП.

3.1.2. АС должна иметь системы безопасности, предназначенные для выполнения следующих основных функций безопасности:

аварийного останова реактора и поддержания его в подкритическом состоянии;

аварийного отвода тепла от реактора;

удержания радиоактивных веществ в установленных границах.

Должно быть исключено взаимное влияние систем безопасности, препятствующее надлежащему выполнению ими функций безопасности. Это достигается, в том числе такими способами, как физическое разделение, функциональная независимость.

К основным функциям безопасности относятся также обеспечение подкритичности при хранении и транспортировании ядерного топлива, а также отвод тепла от ядерного топлива при его хранении и транспортировании в пределах площадки АС, выполнение которых допускается осуществлять системами нормальной эксплуатации.

Для бассейнов выдержки ОЯТ должны предусматриваться системы аварийной подпитки.

Комментарий

СБ относятся к третьему уровню ГЭЗ. Их работа по выполнению ФБ предусматривается в ситуации, когда при нарушении нормальной эксплуатации системам нормальной эксплуатации и персоналу не удается предотвратить дальнейшее развитие нарушения, достигаются пределы безопасной эксплуатации и возникает переход или непосредственная угроза перехода нарушения в аварию.

Комментируемый пункт устанавливает три основных ФБ, которые должны выполняться СБ. Под выполнением ФБ СБ понимается работа комплекса защитных (для первой и второй основных ФБ) или локализующих (для третьей основной ФБ), а также необходимых для их работы управляющих и обеспечивающих СБ, которые в совокупности без участия систем, не относящихся к СБ, способны выполнить упомянутые основные ФБ при возникновении любого события, включенного в перечень ИС для анализа проектных аварий.

Проектирование СБ подчинено излагаемым в ФНП специальным принципам и требованиям, направленным на обеспечение их высокого уровня надежности, в том числе принципам резервирования, независимости, разнообразия и другим.

Новые, по сравнению с ранее действовавшими Общими положениями обеспечения безопасности атомных станций (ОПБ-88/97), требования содержатся в двух последних абзацах рассматриваемого пункта. В одном из них к основным ФБ отнесены также обеспечение подкритичности при хранении и транспортировании ЯТ и отвод тепла от ЯТ при его хранении и транспортировании в пределах площадки АС. При этом оговорено, что выполнение этих ФБ допускается осуществлять системами нормальной эксплуатации. Данное требование - исключение из общего правила, которое специально оговаривается. Оно принято в связи с оправдавшей себя имеющейся практикой.

Требование о наличии для БВ ОЯТ систем аварийной подпитки излагается также в ФНП "Правила безопасности при хранении и транспортировании ядерного топлива на объектах использования атомной энергии".

3.1.3. В проекте АС должны быть предусмотрены специальные технические средства, обеспечивающие управление запроектными авариями.

Комментарий

Комментируемый пункт требует предусматривать в составе проекта АС специальные системы и элементы, предназначенные для управления ЗПА. Данное требование является новым, по сравнению с ранее действовавшими Общими положениями обеспечения безопасности атомных станций (ОПБ-88/97), и обусловлено сложившимся пониманием важности (в том числе по результатам выполнявшихся анализов безопасности, а также извлечения уроков из имевших место нарушений в работе АС и аварий) разработки проектных технических решений по управлению ЗПА. Специальные технические средства для управления ЗПА предназначены для выполнения функций, указанных в пункте 1.2.4:

возвращение АС в контролируемое состояние, при котором прекращается СЦР, обеспечиваются постоянное охлаждение топлива и удержание РВ в установленных границах;

предотвращение развития ЗПА и ослабление их последствий;

защита ГО РУ от разрушения и поддержание его работоспособности.

Специальные технические средства для управления ЗПА применяются для управления как авариями, не перешедшими в тяжелую стадию, так и тяжелыми авариями.

Примерами специальных технических средств для управления ЗПА являются: устройство локализации расплава, мобильные системы электроснабжения и подачи воды, системы аварийного мониторинга и другие.

Необходимый состав технических средств по управлению ЗПА обосновывается в проекте АС.

3.1.4. В составе специальных технических средств, используемых для управления запроектными авариями, указанных в пункте 3.1.3 настоящих Общих положений, должны быть предусмотрены технические средства по обеспечению выполнения основных функций безопасности для следующих запроектных аварий:

отказ систем нормальной эксплуатации и систем безопасности, осуществляющих отвод тепла от реактора и хранилищ ядерного топлива к конечному поглотителю;

отказ систем электроснабжения нормальной эксплуатации, сопровождающийся отказом систем аварийного электроснабжения.

Проектом АС должны быть предусмотрены меры, направленные на защиту указанных специальных технических средств от внешних воздействий, а также от воздействий, возникающих при авариях (в том числе при запроектных авариях), например за счет применения мобильных средств, хранящихся в безопасных местах.

Комментарий

Комментируемый пункт устанавливает, наряду с пунктом 3.1.5, минимальные требования к составу специальных технических средств для управления ЗПА, позволяющих обеспечить выполнение основных ФБ в двух аварийных сценариях: сценарии полного обесточивания АС (отказ всех систем электроснабжения, задействованных на первом, втором и третьем уровнях ГЭЗ) и сценарии потери предусмотренных в проекте АС систем, предназначенных для осуществления отвода тепла к конечному поглотителю на первых трех уровнях ГЭЗ. Сценарии такого вида реализовались в ходе тяжелой аварии на АЭС "Фукусима-Дайичи", также подобные сценарии (без перехода нарушения в работе АС в тяжелую стадию вследствие эффективности предпринятых мер по управлению авариями) реализовывались и на ряде других АЭС; значительный вклад подобных сценариев в общую вероятность тяжелой аварии для целого ряда АЭС подтверждался (до реализации пост-фукусимских мероприятий) и выполнявшимися анализами безопасности, что также показывает правомерность введения такого требования. По результатам выполнявшихся в 2011 г. после аварии на АЭС "Фукусима-Дайичи" дополнительных анализов защищенности российских АЭС было принято решение об оснащении АЭС мобильным оборудованием, обеспечивающим выполнение основных ФБ в аварийных сценариях с полным обесточиванием АС, а также с потерей отвода тепла к конечному поглотителю.

Необходимым условием обеспечения эффективности использования специальных технических средств для управления ЗПА является их защищенность от внешних и внутренних воздействий, чтобы избежать отказов по общей причине СБ АС и специальных технических средств по управлению ЗПА вследствие одних и тех же внешних или внутренних воздействий. Одним из способов обеспечения такой защищенности является нахождение указанных средств в безопасных местах (например, в укрытиях или в защищенных от внешних воздействий контейнерах, находящихся в местах, не подверженных возможным при внешних воздействиях обрушениям зданий, строительных конструкций) при условии, что это не препятствует своевременному (за приемлемое время) началу их использования для выполнения требуемых ФБ.

3.1.5. В проекте АС должны быть предусмотрены технические средства контроля состояния РУ и АС в условиях аварий, в том числе тяжелых аварий, а также средства послеаварийного мониторинга. Объем контроля РУ и АС, предусмотренный в проекте АС, должен быть достаточным для управления авариями.

Комментарий

Основные управляющие системы на АС предназначены для управления технологическими процессами при нормальной эксплуатации и проектных авариях. Вместе с тем, контроль и управление, хотя бы в ограниченном объеме, необходимы и при ЗПА, в том числе тяжелых, для идентификации происходящих процессов и определения необходимых действий по управлению аварией. Условия работы приборов и аппаратуры при ЗПА могут быть намного жестче, чем при нормальной эксплуатации и проектных авариях. Кроме того, эти условия трудно надежно прогнозировать. Тем не менее, такие приборы и аппаратуру в проекте АС необходимо предусматривать, исходя из анализа представительных сценариев ЗПА и планируемых действий персонала по управлению ими.

Достаточность предусмотренного объема контроля РУ и АС для управления авариями обосновывается в проекте АС. Требования к указанным в комментируемом пункте техническим средствам контроля установлены также в ФНП "Требования к управляющим системам, важным для безопасности атомных станций", а рекомендации по их применению содержатся в руководстве по безопасности при использовании атомной энергии "Системы аварийного мониторинга атомных станции с водо-водяными энергетическими реакторами. Общие рекомендации и номенклатура контролируемых параметров".

3.1.6. В проекте АС должны быть определены приспособления и устройства для:

подтверждения работоспособности систем и элементов (включая устройства, расположенные внутри реактора), замены оборудования, отработавшего свой ресурс;

испытания систем на соответствие их проектным показателям;

проверки последовательности прохождения сигналов и включения оборудования (в том числе переход на аварийные источники электроснабжения);

контроля состояния металла (в том числе сварных соединений) оборудования и трубопроводов;

метрологической поверки средств измерений и измерительных каналов измерительных систем на соответствие проектным требованиям.

Комментарий

Требования, содержащиеся в комментируемом пункте, направлены на то, чтобы на стадии проектирования АС предусматривались технические решения, необходимые для подтверждения работоспособности элементов АС (включая технические решения для проведения необходимых испытаний, технические решения по контролю состояния основного металла и сварных соединений оборудования и трубопроводов, а также технические средства для метрологических поверок).

Реализация рассматриваемых нормативных положений позволяет организовать на АС контроль работоспособности систем и элементов в соответствии с требованиями, представленными в проекте АС, в том числе с требованиями, содержащимися в условиях безопасной эксплуатации и эксплуатационных условиях.

3.1.7. Проектом АС должны быть предусмотрены необходимые и достаточные средства для противопожарной защиты АС, включая средства обнаружения и тушения горения замедлителя и теплоносителя. Автоматизированный режим работы систем тушения пожаров, предусмотренный проектом АС, должен быть обеспечен с момента подачи напряжения на оборудование блока АС при проведении предпусковых наладочных работ.

Комментарий

Комментируемый пункт содержит более развернутые, по сравнению с пунктом 1.2.29, положения по учету требований пожарной безопасности при проектировании АС. К мерам противопожарной защиты АС относятся как технические и организационные меры по предотвращению пожаров, так и по ограничению последствий пожаров за счет своевременного обнаружения и тушения пожаров, применения пожарных отсеков, физического разделения каналов СБ (обеспечивающего нераспространение поражающих факторов, связанных с пожаром, а также с работой систем пожаротушения, с одного канала СБ на другой).

Средства обнаружения и тушения горения теплоносителя и замедлителя предусматриваются в случае использования горючего теплоносителя (в частности, горючим является жидкий натрий, используемый в качестве теплоносителя в РУ типа БН) и горючего замедлителя (горючий замедлитель, графит, применяется на АС с РУ типа РБМК).

3.1.8. Системы и элементы, важные для безопасности, должны быть способны выполнить свои функции в установленном проектом АС объеме с учетом внешних природных воздействий (землетрясений, ураганов, смерчей, наводнений и иных явлений, возможных в районе площадки АС), внешних техногенных воздействий, характерных для площадки АС, и (или) при возможных гидравлических механических, тепловых, химических и прочих воздействиях, возникающих в результате аварий, при которых требуется работа рассматриваемых систем и элементов.

Комментарий

Ключевыми в данном нормативном требовании являются слова "в установленном проектом АС объеме".

Работа системы (элемента) безопасности, либо специального технического средства для управления ЗПА, требуется, в соответствии с проектом АС, при конкретных проектных или ЗПА. Указанные системы и элементы должны быть способны выполнить установленные проектом АС функции с учетом воздействий, возникающих при тех авариях, работа в ходе которых от них требуется проектом АС (такими воздействиями могут быть воздействия высокой температуры, влажности, радиационных полей, биения трубопроводов, реактивных струй, химических реакций - например, рекомбинации водорода, и другие воздействия).

Требования по стойкости к воздействиям, возникающим в условиях аварий, проект АС предъявляет не только к СБ и специальным техническим средствам по управлению ЗПА, но и к ряду систем и элементов нормальной эксплуатации, если это требуется для предотвращения эскалации развития аварии. Такие требования, в частности, предъявляются к оборудованию и трубопроводам первого контура.

При внешних воздействиях природного и техногенного происхождения системы и элементы АС, важные для безопасности, должны обеспечить выполнение требований нормативных документов и проекта АС по защищенности АС от внешних воздействий (например, при сейсмическом воздействии, не превышающем ПЗ, все системы и элементы, отнесенные в проекте АС к I и II категории сейсмостойкости, должны сохранять свою работоспособность, а при сейсмическом воздействии, превышающим ПЗ, но не превышающем МРЗ, системы и элементы АС, отнесенные к I категории сейсмостойкости, должны сохранять способность выполнять свои функции по обеспечению безопасности АС).

Таким образом, требования по способности выполнять свои функции с учетом воздействий аварий, а также внешних воздействий устанавливаются в проекте АС дифференцированно в зависимости от проектных функций системы или элемента и их роли в обеспечении безопасности АС.

3.1.9. При проектировании АС должны быть рассмотрены и обоснованы меры по защите систем и элементов безопасности, а также систем и элементов специальных технических средств для управления авариями от отказов по общей причине посредством реализации принципов разнообразия, резервирования (избыточности) и независимости.

Комментарий

Для обеспечения необходимой надежности выполнения ФБ СБ, а также специальными техническими средствами для управления ЗПА при проектировании должны разрабатываться меры по их защите от отказов по общим причинам. Достаточность упомянутых мер обосновывается в проекте АС.

Необходим учет отказов по общей причине, которые могут возникнуть с определенной вероятностью из-за наличия некоторого фактора общности (общность конструкции, общность обслуживания, условий работы и другие). Возможные источники отказов по общей причине представлены в комментарии к определению термина 46.

Основными путями защиты от отказов по общим причинам является применение принципов разнообразия, резервирования (избыточности) и независимости, в частности, посредством:

применения для выполнения ФБ систем, состоящих из независимых каналов;

применения для выполнения ФБ разнотипных устройств;

формирования аварийных сигналов по параметрам различной физической природы;

пространственного разнесения, либо организации барьеров между резервирующими каналами СБ;

обеспечение устойчивости систем к экстремальным воздействиям;

сведение к минимуму воздействия персонала на системы и элементы, выполняющие ФБ, и другие.

3.1.10. При проектировании систем (элементов) АС и РУ должно отдаваться предпочтение системам (элементам), устройство которых основано на пассивном принципе действия и свойствах внутренней самозащищенности (саморегулирование, тепловая инерционность, естественная циркуляция и другие естественные процессы), а также на реализации принципа безопасного отказа.

Комментарий

Разработка проекта АС с развитым свойством внутренней самозащищенности, в соответствии с положениями пункта 1.2.4, является одним из аспектов, образующих первый уровень ГЭЗ. Сами свойства внутренней самозащищенности могут использоваться на всех уровнях ГЭЗ.

Примеры использования свойств внутренней самозащищенности представлены в комментарии к определению термина 18.

Пассивные устройства, свойства внутренней самозащищенности позволяют упростить схемные решения, повысить устойчивость РУ и АС к ошибкам персонала, отказам по общей причине, потере источников энергии.

При реализации принципа безопасного отказа в случае возникновения такого отказа АС переводится в безопасное состояние независимо от того, сработают ли соответствующие УСБ. Реализация свойств внутренней самозащищенности зачастую имеет своим следствием также и реализацию принципа безопасного отказа. Однако в других случаях, когда такое свойство отсутствует, для реализации этого принципа могут предусматриваться специальные меры.

3.1.11. Ввод в действие систем безопасности должен осуществляться автоматически. Допустимость ввода в действие систем безопасности оператором должна обосновываться в проекте АС.

Комментарий

Ввод в действие СБ оператором допустим, например, в тех случаях, когда изменение параметров РУ и АС при нарушениях работы АС, требующих ввода в действие СБ, протекает медленно и оператор располагает достаточным временем для оценки ситуации и выполнения необходимых действий. При обосновании допустимости ввода в действие СБ оператором в проекте АС, как правило, показывается высокая надежность выполнения соответствующих действий с учетом имеющихся запасов времени на принятие решения и иных факторов, влияющих на принятие правильного решения (качество интерфейса "человек-машина", уровень стресса, при котором оператор должен действовать при принятии решения, сложность идентификации условий, требующих принятия решения о вводе в действие СБ и иные).

3.1.12. В проекте АС должны предусматриваться средства, с помощью которых предотвращаются ошибки персонала или ослабляются их последствия, в том числе при техническом обслуживании и ремонте.

Комментарий

Опыт эксплуатации АС, а также результаты выполнявшихся анализов безопасности свидетельствуют, что ошибки персонала могут являться причиной существенной доли нарушений в работе АС, могут вносить значительный вклад в вероятность возникновения тяжелой аварии. Поэтому проблеме надежности персонала, снижению вероятности ошибок персонала следует уделять соответствующее внимание.

Наиболее эффективный способ борьбы с ошибками персонала - применение принципов, определенных в пункте 3.1.10. Примерами других решений по защите от ошибок персонала и снижению вероятности их возникновения являются:

оптимальная организация взаимодействия "человек-машина";

системы поддержки оператора;

необходимость выполнения последовательно нескольких (обычно двух) действий для ответственных операций;

осуществление независимого контроля (например, одного работника из состава смены другим), а также самоконтроля;

разработка качественной эксплуатационной документации;

обучение и тренировки (в том числе с использованием различных видов тренажеров - полномасштабного тренажера блока АС, аналитических тренажеров, тренажеров (макетов) для отработки действий по ТОиР и других);

использование бланков переключений;

исключение возможности блокировки сигналов УСБ или использование в отдельных случаях автоматической деблокировки;

организация автоматического выхода из режима проверок каналов УСБ при поступлении аварийного сигнала.

3.1.13. Многоцелевое использование систем безопасности и их элементов должно быть обосновано. Совмещение функций безопасности с функциями нормальной эксплуатации не должно приводить к нарушению требований обеспечения безопасности АС и снижению требуемой надежности выполнения функций безопасности.

Системы безопасности одного блока многоблочной АС должны быть независимыми от систем безопасности другого блока той же АС.

Должна быть показана достаточность специальных технических средств для управления запроектными авариями при возникновении аварий на всех блоках многоблочной АС одновременно.

Комментарий

Отдельные системы (элементы) безопасности могут использоваться также для выполнения функций нормальной эксплуатации или нескольких ФБ. При совмещении ФБ с функциями нормальной эксплуатации необходимо, в частности, убедиться, что ни нормальное функционирование, ни отказы, связанные с выполнением функции нормальной эксплуатации, не сказываются на возможности выполнения рассматриваемой системой ФБ с требуемой эффективностью и надежностью. Например, САЭ может осуществлять электроснабжение как потребителей СБ, так и потребителей систем нормальной эксплуатации. В этом случае электроснабжение потребителей нормальной эксплуатации должно осуществляться САЭ таким образом, чтобы это не приводило к перегрузке аварийных источников электроснабжения САЭ при включении в работу потребителей СБ (для этого, например, может предусматриваться автоматическое отключение потребителей нормальной эксплуатации при прохождении сигнала на запуск ДГ), также должно обеспечиваться надежное отключение присоединений потребителей нормальной эксплуатации при возникновении в них отказов (например, при возникновении коротких замыканий), способных негативно повлиять на электроснабжение потребителей СБ.

При выполнении системой (элементом) нескольких ФБ необходимо, чтобы отсутствовало недопустимое негативное влияние выполнения одной ФБ на возможность эффективного выполнения другой ФБ. Так, например, выполнение спринклерной системой функции выведения РВ из атмосферы защитной оболочки с использованием химических реагентов не должно препятствовать выполнению функции теплоотвода (например, за счет чрезмерного отложения химических реагентов на теплопередающих поверхностях).

Согласно рассматриваемому требованию, СБ каждого блока многоблочной АС должны быть независимы, в то время как к специальным техническим средствам для управления ЗПА такое требование не предъявляется. Однако достаточность таких средств при одновременном возникновении ЗПА на всех блоках АС должна быть показана в проекте АС.

3.1.14. Системы и элементы АС, важные для безопасности, должны проходить, как правило, прямую и полную проверку на соответствие проектным характеристикам при их вводе в эксплуатацию, после ремонта и периодически в течение всего срока службы АС.

Если проведение прямой и (или) полной проверки невозможно, что должно быть обосновано в проекте АС, следует проводить косвенные и (или) частичные проверки. Достаточность косвенной и (или) частичной проверки должна быть обоснована в проекте АС.

В проекте АС должна быть предусмотрена возможность технической диагностики (проверки) состояния систем безопасности, специальных технических средств для управления запроектными авариями, а также важных для безопасности элементов нормальной эксплуатации, отнесенных к классам безопасности 1 и 2, и возможность их представительных испытаний.

Комментарий

Проведение прямой и полной проверки систем и элементов АС, важных для безопасности, необходимо для подтверждения их эффективности и работоспособности с точки зрения выполнения требуемых проектом АС функций. В отдельных случаях, если особенности конструкции или условия функционирования системы делают невозможным проведение прямой и полной проверки, осуществляются косвенные и частичные проверки. Обоснование достаточности косвенной (частичной) проверки предполагает рассмотрение перечня потенциально возможных скрытых отказов и обоснование того, что все виды отказов могут быть выявлены косвенной (частичной) проверкой, также должно уделяться внимание проверке взаимодействия различных элементов и каналов СБ.

Для СБ проектными являются условия аварии. Это значит, что их следует проверять в условиях, максимально имитирующих аварийные. Однако это не требует имитации аварийной ситуации на АЭС, а предполагает лишь моделирование, по возможности, условий работы системы по отношению к параметрам среды (например, температура, давление, расход теплоносителя), нагрузкам и другим характеристикам, близким к аварийным условиям.

Комментируемый пункт требует обязательного проведения проверок систем и элементов АС на соответствие проектным характеристикам при их вводе в эксплуатацию и после ремонта. Периодичность и условия проведения подобных проверок при эксплуатации АС определяются установленными в проекте АС условиями безопасной эксплуатации.

Проверки работоспособности должны проводиться при соблюдении условий безопасной эксплуатации. Так, например, проверка отдельных элементов может допускаться только на остановленном реакторе, других элементов при работе реактора на мощности, но в течение ограниченного времени или в ограниченном диапазоне мощности и так далее.

3.1.15. Системы безопасности должны функционировать таким образом, чтобы их начавшееся действие не прекращалось до полного выполнения ими своих функций.

Комментарий

При возникновении требования на работу СБ должна в полном объеме выполнить предусмотренную проектом АС функцию, а УСБ не должна допускать приостановку выполнения управляемыми СБ требуемой ФБ. Так, при формировании сигнала АЗ рабочие органы АЗ полностью вводятся в активную зону и осуществляют перевод реактора в подкритическое состояние. При этом приостановка введения рабочих органов не допускается.

3.1.16. Если система, важная для безопасности, реализована с использованием программируемых цифровых устройств, то должны быть установлены и применяться соответствующие нормы, правила и методы для разработки, испытаний и верификации программируемых цифровых устройств и программного обеспечения в течение всего срока службы системы и, в особенности, в процессе разработки программных средств. Все разработки должны быть предметом системы обеспечения качества. В проекте АС должны быть предусмотрены средства защиты от несанкционированного вмешательства в работу программного обеспечения.

Комментарий

Данное требование является новым по сравнению с ранее действовавшими Общими положениями обеспечения безопасности атомных станций (ОПБ-88/97). Оно введено в связи с внедрением и расширяющимся применением вычислительной техники и программируемых цифровых устройств в системах АС, важных для безопасности.

Отличительной особенностью таких устройств является наличие специфического (вследствие использования в них ПО) механизма возникновения отказов. На появление отказа в ходе эксплуатации программируемого устройства преобладающее влияние может оказывать не наработка устройства, а наличие ошибок в ПО, которые не проявляются при одних условиях эксплуатации (например, при одном характере изменения входных сигналов), но могут стать причиной отказа при возникновении других условий эксплуатации устройства (при другом характере изменения входных сигналов), причем в последнем случае отказ может наступить одновременно во всех резервирующих друг друга идентичных программируемых цифровых устройствах и будет повторяться вновь, если снова сложатся соответствующие условия работы.

Для обеспечения защиты от описанного выше механизма отказа по общим причинам ПО важным является обеспечение качества (включая всесторонние испытания и верификацию) программируемых цифровых устройств и ПО на всех стадиях жизненного цикла, прежде всего, при проектировании. Вопросы использования ПО в системах, важных для безопасности, регулируются ФНП и иными нормативными документами.

3.1.17. В ООБ АС должны быть представлены анализы надежности выполнения функций системами, важными для безопасности, а также показатели надежности элементов, важных для безопасности. Анализ надежности должен проводиться с учетом отказов по общей причине и ошибок персонала.

Показатели надежности систем и элементов, важных для безопасности, должны поддерживаться в процессе эксплуатации за счет технического обслуживания, ремонта, а также контроля состояния металла (включая сварные соединения), выполняемых с учетом требований федеральных норм и правил в области использования атомной энергии с обоснованной в проекте АС периодичностью.

Комментарий

Перед выполнением упоминаемого в комментируемом пункте анализа надежности выполнения функций системой, важной для безопасности, определяются функции рассматриваемой системы, на основании выполнения которых она отнесена к важным для безопасности. Для каждой из таких функций анализ надежности выполняется отдельно. Если в выполнении функции задействовано несколько систем, анализ надежности выполняется для всей совокупности систем.

Для анализа надежности выполнения системами своих функций предварительно определяются показатели надежности (прежде всего, показатели безотказности) элементов, важных для безопасности. Также определяются показатели надежности персонала, если работоспособность системы зависит от действий персонала. В соответствии с имеющимися методиками оцениваются параметры отказов по общим причинам.

Анализ надежности позволяет:

определить соответствие показателей надежности функции, выполняемой системой, требованиям нормативных документов (при наличии таких требований), а также требованиям проекта АС;

установить факторы, вносящие наибольший вклад в вероятность невыполнения системой функции, выработать, при необходимости, рекомендации по снижению этого влияния;

оценить достаточность защищенности от отказов по общим причинам и от ошибок персонала;

оценить допустимое время вывода системы (канала системы, элемента) из рабочего состояния для ремонта, технического обслуживания и испытаний, а также обосновать периодичность проведения технического обслуживания, испытаний и ремонта.

Результаты анализа надежности используются также при проведении ВАБ АС.

Рекомендации по выполнению анализа надежности содержатся в руководстве по безопасности при использовании атомной энергии "Рекомендации по порядку выполнения анализа надежности систем и элементов АС, важных для безопасности, и их функций".

При эксплуатации проектные значения показателей надежности поддерживаются за счет своевременного принятия мер, направленных на предотвращение отказов и снижение надежности систем и элементов. Такими мерами являются: проведение ТОиР, контроля состояния основного металла и сварных соединений оборудования и трубопроводов. Значения показателей надежности при эксплуатации могут оцениваться на основании эксплуатационной статистики дефектов и отказов.

3.1.18. В проекте АС должны быть установлены и обоснованы, а в ООБ АС отражены эксплуатационные пределы и условия, пределы и условия безопасной эксплуатации для всех эксплуатационных состояний АС, включая работу реактора на мощности, состояния останова, перегрузки топлива.

Комментарий

Эксплуатационные пределы и условия, а также пределы и условия безопасной эксплуатации (см. также комментарии к определениям терминов 55, 86, 91, 92) ограничивают, соответственно, состояния нормальной эксплуатации АС (состояния, при выходе АС из которых должны вступать в действие технические и организационные меры, предусмотренные на втором и последующих уровнях ГЭЗ), а также совокупность состояний АС, для которой выполнено обоснование безопасности АС (обосновано как отсутствие аварий, так и готовность АС ограничивать проектные аварии установленными для таких аварий пределами), и выход за пределы которых требует принятия экстренных мер по обеспечению безопасности АС (см. также комментарий к пункту 1.2.6). Указанные пределы и условия устанавливаются индивидуально для различных эксплуатационных состояний АС.

3.1.19. В проекте АС должны быть установлены требования к химическим режимам сред в системах и элементах АС, которые должны соблюдаться при эксплуатации с целью поддержания целостности физических барьеров на пути распространения ионизирующего излучения и радиоактивных веществ в окружающую среду.

Комментарий

От химического режима среды в системах и элементах АС зависит ее взаимодействие с поверхностью оборудования и трубопроводов, с которым она соприкасается. Требование комментируемого пункта направлено на установление таких требований к химическим режимам сред, взаимодействующим с физическими барьерами, чтобы негативное влияние химического режима на целостность соответствующего физического барьера отсутствовало или было приемлемым с точки зрения безопасности АС.

Требования комментируемого пункта указывают цель регулирования химического режима - поддержание целостности физических барьеров, из чего следует вывод, что рассматриваемый пункт не распространяется на химические режимы сред в системах и элементах, не влияющих на безопасность.

Общие рекомендации Ростехнадзора в части химического режима для систем и элементов АС с водной средой представлены в руководстве по безопасности при использовании атомной энергии "Водно-химический режим атомных станций".