2.1 Модель оценки безопасности иус аэс

Рассмотрим математическую модель оценки безопасности ИУС АЭС, которая может быть использована для построения компьютерной системы поддержки экспертной деятельности.

Особенностью экспертизы ИУС АЭС является то, что отсутствует единый всеобъемлющий нормативный документ, который бы регламентировал все требования к безопасности ИУС АЭС. На практике экспертам приходится иметь дело с большим количеством национальных и международных нормативных документов (до 200), в которых устанавливаются требования к различным аспектам обеспечения безопасности ИУС АЭС.

Процедуру оценки безопасности ИУС АЭС можно условно разбить на два больших этапа:

• Этап 1. Формализация критериев оценки путем формирования нормативного профиля для проведения экспертиз;

• Этап 2. Выполнение анализа и оценки экспертируемого документа, обосновывающего безопасность ИУС АЭС, на соответствие требованиям нормативных документов.

Формализация критериев оценки заключается в формировании нормативного профиля для оценки безопасности ИУС АЭС с применением методов теории множеств [9].

Под нормативным профилем понимается совокупность нескольких нормативных документов (или подмножество требований одного из них) с четко определенными и гармонизированными подмножествами обязательных и факультативных возможностей, предназначенных для реализации заданных функций.

Общая задача, решаемая на этапе 1, может быть декомпозирована на ряд последовательных частных задач, для решения которых предлагается следующая модель:

Шаг 1. Формирование общего множества нормативных документов М_НД

Шаг 2. Формирование нормативного профиля путем выделения из общего множества М_НД подмножества М_НДЭ нормативных документов, которые относятся к типу оцениваемого документа, обосновывающего безопасность конкретного типа ИУС.

Шаг 3. Извлечение множеств R₁, R₂, …, R_S регулирующих требований из каждого документа d₁, d₂, …, d_s, являющегося элементом множества М_НДЭ. Здесь под R₁ понимается множество всех требований первого документа из множества М_НДЭ, R₂ – множество всех требований второго документа из множества М_НДЭ и т.д.

Шаг 4. Объединение множеств R₁, R₂, …, R_S регулирующих требований в общее множество М_Т.

Шаг 5. Формирование нормативного профиля регулирующих требований путем выделение из общего множества М_Т подмножества М_ТЭ регулирующих требований, относящихся к типу оцениваемого документа, обосновывающего безопасность конкретного типа ИУС.

Шаг 6. Построение иерархической структуры регулирующих требований.

Схема реализации алгоритмической модели формирования нормативного профиля для оценки безопасности ИУС АЭС показана на рис. 2.1.

Рассмотрим последовательно решение вышеуказанных задач.

Шаг 1. С учетом опыта нормирования и оценки безопасности ИУС АЭС на основе действующих в Украине норм, правил и стандартов, а также на основе международных стандартов (МАГАТЭ, МЭК, ISO и т.д.), формируется множество М_НД.

Рисунок 2.1 – Схема реализации модели формирования нормативного профиля

Множество М_НД которое содержит полный набор нормативных документов по ЯРБ:

М_НД = {c₁, c₂, …, c_p} (2.1)

где c₁, c₂, …, c_p – нормативные документы;

p – общее количество нормативных документов в множестве М_НД.

Документы, входящие в множество М_НД, можно классифицировать следующим образом:

• документы, относящиеся непосредственно (и только) к информационным и управляющим системам АЭС и/или к их компонентам (класс А);

• документы по безопасности АЭС, в которых содержатся требования к различным системам и элементам АЭС, в том числе к ИУС АЭС (класс В);

• документы по общепромышленным (применяемым в различных отраслях промышленности) информационным и управляющим системам и их компонентам, которые применяются и на АЭС (класс С);

• документы, содержащие требования общетехнического характера, которые относятся к ИУС АЭС и их компонентов (класс D):

• безопасность в различных отраслях (подкласс D1);

• надежность, диагностика, испытания (подкласс D2);

• программное обеспечение (подкласс D3);

• электромагнитная совместимость (подкласс D4);

• обеспечение качества (подкласс D5);

• разное (общетехнические документы, существенные для ИУС АЭС, но не попадающие в предыдущие подклассы) (подкласс D6).

Следует отметить, что указанное множество М_НД не является постоянным, а динамично изменяется при введении в действие новых норм, правил, стандартов и руководств, а также при отмене действия старых.

Шаг 2. На экспертизу представляются обосновывающие безопасность документы разного типа (например, техническое решение, технические условия, техническое задание, программы и методики испытаний, отчет по анализу безопасности и т.д.). Для оценки и анализа каждого типа документа, обосновывающего безопасность, при экспертизе используется определенный набор нормативных документов.

Представляемые на экспертизу документы относятся к определенному типу ИУС (система аварийной и предупредительной защит, система внутриреактроного контроля, система управления машиной перегрузочной, информационно-вычислительная система и т.д.). Оценка и анализ безопасности конкретного типа ИУС АЭС проводится на основе требований соответствующего набора нормативных документов.

Исходя из этого, можно ввести функцию F_НДЭ для установления соответствия между типом экспертируемого документа и относящимися к нему нормативными документами, а также между типом ИУС АЭС и нормативными документами, в которых установлены требования к данному типу систем. С помощью данной функции можно сформировать нормативный профиль, который представляет собой множество М_НДЭ, содержащее перечень нормативных документов, непосредственно используемых при экспертизе:

М_НДЭ = F_НДЭ(М_НД, Т_Д, Т_ИУС) , (2.2)

где Т_ИУС – конкретный тип ИУС АЭС;

Т_Д – конкретный тип документа, обосновывающего безопасность.

Однако, при оценке безопасности ИУС АЭС должны использоваться не только те нормативные документы, которые прямо относятся к определенной ИУС и к конкретному типу документа, обосновывающего безопасность. Существуют также нормативные документы более общего характера, которые косвенно связаны с типом экспертируемого документа и с конкретной ИУС АЭС. Поэтому при формировании множества М_НДЭ необходимо учитывать целый ряд дополнительных факторов и на их основе вносить в указанное множество соответствующие нормативные документы.

Как было отмечено в разделе 1 настоящего дипломного проекта, в качестве объекта экспертизы могут рассматриваться:

• ИУС в целом;

• программно-технические комплексы (ПТК), на основе которых создается ИУС;

• технические средства автоматизации (ТСА), используемые в ИУС;

• программное обеспечение (ПО), используемое в ИУС.

Нормативные документы могут быть классифицированы по этому признаку. В зависимости от этого в множество М_НДЭ добавляется соответствующий набор нормативных документов, в которых регламентированы требования к конкретному объекту экспертизы. Вторым фактором, который необходимо учитывать при формировании множества М_НДЭ, является класс безопасности ИУС и их компонентов (ПТК, ТСА, ПО).

По влиянию элементов АС на безопасность устанавливаются четыре класса безопасности.

Класс 1. К нему относятся твэлы и элементы АС, отказы которых являются исходными событиями, приводящими при проектном функционировании систем безопасности к повреждению тепловыделяющих элементов с превышением установленных для проектных аварий пределов.

Класс 2. К нему относятся:

• элементы, отказы которых являются исходными событиями, приводящими к повреждению тепловыделяющих элементов в пределах, установленных для проектных аварий, при проектном

• функционировании систем безопасности с учетом нормируемого для проектных аварий количества отказов в них;

• элементы систем безопасности, отказы которых приводят к невыполнению этими системами своих функций.

Класс 3. К нему относятся:

• элементы систем, важных для безопасности, не вошедшие в классы 1 и 2;

• элементы, выполняющие функции радиационной защиты персонала и населения.

Класс 4. К нему относятся элементы нормальной эксплуатации АС, не влияющие на безопасность и не вошедшие в классы 1, 2, 3.

ИУС и их компоненты могут быть отнесены только к одному из трех классов 2, 3, 4. При этом ИУС, ПТК, ТСА и ПО, относящиеся к классу 4, не влияют на безопасность и не проходят экспертизу ЯРБ.

Таким образом, интерес представляют только те ИУС, ПТК, ТСА и ПО, которые относятся к классам безопасности 2 и 3. Соответственно все ИУС и их компоненты могут быть разделены на две основные группы, исходя из их классификации по безопасности:

• ИУС и их компоненты класса безопасности 2;

• ИУС и их компоненты класса безопасности 3.

Необходимость такого разделения принципиальна ввиду того, что к ИУС, ПТК, ТСА и ПО разных классов безопасности предъявляются требования различной степени жесткости (более жесткие требования предъявляются к ИУС и их компонентам класса безопасности 2).

Каждая ИУС имеет собственный жизненный цикл (ЖЦ). Целый ряд нормативных документов относится не к строго определенному типу документов, обосновывающих безопасность, а к некоторому этапу ЖЦ ИУС АЭС (например, к разработке или к испытаниям). Поэтому при экспертизе должны учитываться не только требования нормативных документов, относящихся к рассматриваемому типу ИУС, но и требования более общих нормативных документов, относящихся к этапу ЖЦ, с которым связан экспертируемый документ.

В настоящий момент, для ИУС АЭС наиболее известной является так называемая V‑модель ЖЦ, представленная на риc. 2.2 [10].

Рисунок 2.2 – V-модель жизненного цикла ИУС

Согласно рис. 2.2 на различных этапах ЖЦ предусмотрено проведение «верификации» и «валидации». Верификация – деятельность, заключающаяся в доказательстве соответствия качества или характеристик некоторого элемента, системы, процесса или документа требованиям, установленным для них на предыдущей стадии ЖЦ.

Валидация – деятельность, заключающаяся в доказательстве соответствия качества или характеристик конечной продукции установленным требованиям (в техническом задании, технических условиях, спецификации и других документах) на эту продукцию.

В зависимости от конкретного этапа жизненного цикл, организация-разработчик, проектная организация или АЭС выпускают набор соответствующих документов, обосновывающих безопасность. Каждому этапу жизненного цикла, соответствует определенный набор документов, которые

проходят обязательную экспертизу ЯРБ. В случае позитивного результата экспертизы документов, выпущенных на конкретном этапе жизненного цикла, Регулирующий орган дает разрешение на переход к следующему этапу реализации проекта разработки и внедрения ИУС на АЭС.

Этап жизненного цикла ИУС АЭС определяет набор нормативных документов, регламентирующих требования, выполнение которых должно оцениваться при экспертизе конкретного документа. В зависимости от этого, соответствующий набор нормативных документов должен быть включен в множество М_НДЭ.

Кроме того, при экспертизе необходимо учитывать требования некоторых нормативных документов по ЯРБ, которые имеют общий характер. Эти нормативные документы невозможно прямо или косвенно связать с конкретной ИУС или с типом экспертируемого документа ни по одному из рассмотренных выше признаков. Однако в них содержатся общие требования по ЯРБ, предъявляемые ко всем ИУС и их компонентам, внедряемым на АЭС. Поэтому такие нормативные документы также должны быть включены в нормативный профиль, представленный множеством М_НДЭ.

С учетом рассмотренных выше факторов формула (2.2) преобразуется к виду:

М_НДЭ = F_НДЭ(М_НД, E_O, K_Б, S_ЖЦ, Т_ИУС, Т_Д, R_ЯРБ) , (2.3)

где E_O – объект экспертизы (ИУС или ее компоненты: ПТК, ТСА, ПО);

K_Б – класс безопасности ИУС АЭС;

S_ЖЦ – этап жизненного цикла ИУС;

R_ЯРБ – общие требования по ядерной и радиационной безопасности.

Получаемое с помощью функции F_НДЭ множество M_НДЭ является подмножеством множества М_НД:

М_НДЭ  М_НД , (2.4)

М_НДЭ = {d₁, d₂, …, d_s}, (2.5)

где d₁, d₂, …, d_s – нормативные документы, на основании требований которых производится анализ и оценка определенного типа документов, обосновывающих безопасность соответствующей ИУС АЭС;

s – количество нормативных документов, применяемых при экспертизе.

Шаг 3. Каждый нормативный документ d₁, d₂, …, d_s содержит набор регламентированных в нем регулирующих требований. Поэтому из каждого нормативного документа, являющегося элементом множества М_НДЭ, может быть выделено множество установленных в нем регулирующих требований

d₁  R₁, d₂  R₂, …, d_k  R_k, …, d_s  R_{s ,} (2.6)

где R₁, R₂, …, R_k, …, R_s – множества всех требований каждого отдельно взятого нормативного документа d₁, d₂, …, d_k, …, d_s.

Шаг 4. Путем объединения указанных множеств [13] формируется общее множество М_Т требований нормативных документов, используемых при экспертизе:

М_Т = R₁R₂…R_{s .} (2.7)

При этом необходимо исключить из результирующего множества М_Т дублирующиеся требования. Если одно и то же требование дублируется в нескольких нормативных документах, то из них необходимо отобрать только одно требование, которое является наиболее современным и гармонизировано с международными стандартами. В результате применения операции разности множеств формула (2.7) преобразуется к виду:

М_Т = (R₁R₂…R_s)\R_{dup ,} (2.8)

где R_dup – подмножество дублирующихся требований нормативных документов.

Шаг 5. В общем случае сформированное с помощью формулы (2.8) множество M_T содержит как требования, которые относятся к экспертируемому документу и оцениваемой ИУС или ее компонентам, так и требования, которые не имеют к ним прямого отношения. Поэтому необходимо сформировать нормативный профиль регулирующих требований, т.е. провести анализ и систематизацию требований, и выделить из всего множества М_Т только те требования, которые имеют непосредственное отношение к представленному на экспертизу документу, обосновывающему безопасность конкретной ИУС или ее компонентов. Предлагается формализовать эту процедуру аналогично тому, как это было рассмотрено выше для формирования множества нормативных документов М_НДЭ.

При проведении экспертизы, на основе сведений о конкретной оцениваемой ИУС и конкретном оцениваемом документе, обосновывающем безопасность, из множества М_Т может быть выделено подмножество требований М_ТЭ, предъявляемых к данной ИУС и данному типу документов. Нормативный профиль регулирующих требований (т.е. множество М_ТЭ) формируется с помощью функции F_ТЭ, аргументами которой являются множества М_Т всех требований, объект экспертизы E_О, класс безопасности K_Б модернизируемой ИУС или ее компонентов, этап жизненного цикла S_ЖЦ, тип модернизируемой ИУС Т_ИУС, тип экспертируемого документа Т_Д и множество общих требований по ЯРБ R_ЯРБ.

М_ТЭ = F_ТЭ(М_Т, E_О, K_Б, S_ЖЦ, Т_ИУС, Т_Д, R_ЯРБ) , (2.9)

М_ТЭ  М_{Т ,} (2.10)

М_ТЭ = {y₁, y₂, …, y_n}, (2.11)

где y₁, y₂, …, y_n – требования нормативных документов, которые используются для анализа и оценки конкретного экспертируемого документа, обосновывающего безопасность конкретной ИУС АЭС;

n – общее количество требований нормативных документов, используемых при экспертизе.

В результате выделения множества требований М_ТЭ, сформированы критерии экспертной оценки представленного документа, обосновывающего безопасность ИУС АЭС.

Шаг 6. Множество М_ТЭ содержит требования к конкретной ИУС АЭС и к конкретным типам документов, обосновывающих их безопасность.

В множестве М_ТЭ могут быть выделены требования различных уровней уровню иерархии.

Значительная часть требований высшего уровня включает в себя требования более низкого уровня. Иными словами, практически каждое общее требование верхнего уровня иерархии, содержащееся в множестве М_ТЭ, может быть разделено на несколько более детальных требований. Например, общие требования к надежности ИУС включают в себя требования к безотказности, ремонтопригодности и долговечности, а требование стойкости к воздействию окружающей среды рассматривает влияние температуры, влажности, ионизирующего излучения и т.д.

Далее можно выделить требования и следующего более низкого уровня, например, требования по безотказности функций к отказам типа «несрабатывание» и «ложное срабатывание» и т.д.

Таким образом, для множества М_ТЭ можно построить иерархию регулирующих требований. При этом необходимо заметить, что общие требования, входящие в множество М_ТЭ, могут иметь разное количество уровней иерархии в зависимости от конкретного требования.

Формирование рассмотренных множеств (нормативных профилей) и иерархии регулирующих требований является задачей верхнего уровня, поскольку они должны создаваться не для каждой отдельной экспертизы, а являются общими и могут быть использоваться при проведении экспертиз различных документов, обосновывающих безопасность различных ИУС и их компонентов. Реализовать указанные множества можно в виде таблиц баз данных, формируемых с помощью функций F_НДЭ и F_ТЭ, что позволит автоматизировать выборку нормативных документов и регулирующих требований, необходимых для выполнения оценки безопасности ИУС АЭС при экспертизе ЯРБ.