Спосіб керування небезпечним технологічним процесом із нестаціонарними об’єктами

1. Спосіб керування технологічним процесом з нестаціонарними об'єктами, що включає збір та аналіз інформації про дії на об'єкти, які беруть участь у технологічному процесі, визначення гранично допустимих значень зазначених дій і виявлення порушень технологічного процесу, при яких ці дії перевищують гранично допустимі, який відрізняється тим, що, базуючись на даних нормативно-технічної документації з безпеки, визначають як інтервали безпеки технологічного процесу такі інтервали, для яких залишається незмінною сукупність зазначених порушень, і розділяють технологічний процес на інтервали безпеки, для кожного інтервалу безпеки проводять аналіз переходу порушень технологічного процесу з одного інтервалу безпеки в інший з урахуванням причинно-наслідкових зв'язків між можливими порушеннями технологічного процесу і функцією захистів та блокувань на кожному етапі технологічного процесу, будують із використанням засобів обчислювальної техніки детерміністські моделі інтервалів безпеки з урахуванням можливих сценаріїв переходу порушень технологічного процесу на наступні інтервали безпеки, для кожного інтервалу безпеки на основі зазначених моделей з використанням засобів обчислюва 2 (19) 1 3 94904 4 9. Спосіб за будь-яким з пп. 1-8, який відрізняється тим, що проводять аналіз і оцінку безпеки технологічного процесу шляхом побудови діаграм розділення на інтервали безпеки. 10. Спосіб за будь-яким з пп. 1-9, який відрізняється тим, що він додатково включає побудову детерміністсько-імовірнісних моделей безпеки всього технологічного процесу. 11. Спосіб за п. 10, який відрізняється тим, що детерміністсько-імовірнісні моделі безпеки всього технологічного процесу будують із використанням отриманих детерміністських моделей інтервалів безпеки. 12. Спосіб за п. 10 або п. 11, який відрізняється тим, що детерміністсько-імовірнісні моделі безпеки всього технологічного процесу будують з використанням отриманих логіко-імовірнісних моделей виникнення порушень. 13. Спосіб за будь-яким з пп. 11 або 12, який відрізняється тим, що детерміністсько-імовірнісні моделі безпеки всього технологічного процесу будують з використанням отриманих детерміністських моделей інтервалів безпеки й логікоімовірнісних моделей виникнення порушень технологічного процесу. 14. Спосіб за п. 1, який відрізняється тим, що при проведенні аналізу переходу порушень технологічного процесу враховують причинно-наслідкові зв'язки між виявленими порушеннями, можливими порушеннями технологічного процесу й функцією захистів і блокувань на кожному етапі технологічного процесу. 15. Спосіб за будь-яким з пп. 1-14, який відрізняється тим, що для аналізу розподілу зон дії порушень технологічного процесу проводять аналіз кожної одиничної ділянки операції технологічного процесу для визначення того, які саме джерела небезпеки викликають те або інше перевищення допустимої дії. 16. Спосіб за будь-яким з пп. 1-15, який відрізняється тим, що при розділенні інтервалів безпеки враховують кожне виявлене порушення в кожній частині розглянутого технологічного процесу для кожного гранично допустимого впливу. 17. Спосіб за п. 1, який відрізняється тим, що як гранично допустимі дії використовують граничні нормативні дії, зазначені у нормативно-технічній документації. 18. Спосіб за п. 17, який відрізняється тим, що нормативно-технічна документація включає щонайменше одне з наступних: технологічні алгоритми, схеми зон обслуговування, схеми транспортно-технологічних операцій, нормативну документацію з безпеки. 19. Спосіб за п. 1, який відрізняється тим, що як показник надійності устаткування використовують показник імовірності відмови устаткування. 20. Система керування технологічним процесом з нестаціонарними об'єктами, що включає центральний процесор для проведення аналізу й оцінки безпеки технологічного процесу; засоби збору, зберігання й обробки інформації; засоби для моделювання технологічного процесу; обчислювальні засоби для розрахунку показників надійності, засоби для виявлення порушень технологічного процесу, при яких ці дії перевищують гранично допустимі, і розбивання технологічного процесу на інтервали безпеки, для яких залишається незмінною сукупність зазначених порушень; і засоби проведення аналізу переходу порушень технологічного процесу з одного інтервалу безпеки в інший; яка відрізняється тим, що зазначені засоби для моделювання виконані з можливістю створення детерміністських моделей безпеки з урахуванням можливих сценаріїв переходу порушень технологічного процесу з одного інтервалу безпеки в інший, зазначені обчислювальні засоби виконані з можливістю розрахунку показників надійності устаткування для наступного внесення змін у систему керування зазначеним технологічним процесом. 21. Система за п. 20, яка відрізняється тим, що вона містить програмувальні засоби обчислювальної техніки для реалізації способу керування за будь-яким з пп. 1-19. Даний винахід відноситься до аналізу та оцінки безпеки технологічних процесів і може бути використаний, зокрема для виконання аналізу й оцінки безпеки при управлінні АЕС. До недавнього часу при виконанні імовірнісного аналізу безпеки проводилася тільки якісна оцінка можливості порушень технологічного процесу. При цьому аналіз безпеки, як правило, обмежувався короткими характеристиками вихідних подій і проведенням функціонального аналізу можливості тих або інших порушень процесу або ушкоджень робочих елементів при невеликому переліку ініціюючих подій, що призводять до таких порушень. Проте все зростаюча складність технологічних процесів, наприклад процесів, пов'язаних з експлуатацією тепло-енергостанцій, особливо, атомних електростанцій, обумовлена великою кількістю логічних і функціональних зв'язків, а також нестаціонарністю, з погляду безпеки, технологічних процесів з ядерним паливом, викликала розробку нових підходів до вирішення питань аналізу та оцінки безпеки. Так, наприклад, у заявці США (US 20040086071) описаний спосіб управління атомною станцією, який передбачає моделювання можливих аварійних подій і застосовує моделі для 5 аналізу безпеки існуючих атомних станцій. При цьому аналіз безпеки включає три процедури. Перша процедура призначена для прийняття рішення про застосовність умов та кодів і складається із кроків з опису сценарію аварії, вибору об'єкта оцінки, підтвердженню основних умов і їх ранжируванню, вибору оптимального коду, впорядкуванню документів, що відносяться до кодів, і прийняттю рішення про застосовність кодів. Друга процедура призначена для оцінки кодів і прийняття рішення про заміну перемінних і складається з кроків щодо оцінки кодів і складання оціночної матриці, прийняттю рішення про розподіл атомної станції на елементи, прийняттю рішення про точність кодів і експериментів, прийняттю рішення про вхідні перемінні атомної станції і їх стани, пов'язані з факторами, одержаними за допомогою аналізу невизначеності й чутливості, а також включає кроки з обчислення чутливості атомної станції, статичної оцінки невизначеності й прийняттю рішення про кінцеву невизначеність. Третя процедура призначена для аналізу чутливості й оцінки невизначеності й полягає в оцінці систематичної помилки, яка не була врахована в першій і другій процедурах. Цей спосіб дозволяє оцінити безпеку тільки існуючих об'єктів і не дозволяє розробити технічні вимоги по забезпеченню безпеки при модернізації й розробці нового устаткування АЕС. Відомі способи зведення задачі з оцінки безпеки до вибору підходящого рішення з наявних у базі даних. Згідно способу виконання комп'ютеризованого аналізу безпеки ядерного реактора (WO03/005376) функціонування атомної станції обмежують областю безпечної експлуатації, яку визначають таким чином: а) використовують результати аналізу безпеки, виконаного раніше, і б) підтверджують розрахунками, що визначену раніше область безпечної експлуатації можна застосовувати до нових умов експлуатації атомної станції. Проте даний спосіб може використовуватися тільки для визначення ресурсу існуючих АЕС і можливості його продовження. Відомий також спосіб оцінки безпеки при управлінні атомною станцією (US 4,632,802), який забезпечує безперервну експлуатацію атомної станції під час відмови або за відсутності готовності одного або декількох елементів станції. Спосіб використовує засоби зберігання баз даних логічних схем ушкодження активної зони та ймовірностей відмов. Передбачений вибір різних сценаріїв стану станції, коректування ймовірностей відмов елементів, прив'язка чутливості до ризику пошкодження активної зони в результаті несправності елементів, а також оцінка чутливості по відношенню до базового або контрольного значення. При проведенні оцінки безпеки, дерева подій/відмов заміняються однією логічною моделлю пошкодження активної зони, яка дозволяє моделювати взаємодію усередині системи, яка виникає в результаті сумісного використання елементів або загальних допоміжних систем. Даний спосіб оцінки безпеки може бути використаний тільки при експлуатації АЕС, але не мо 94904 6 же застосовуватися при проектуванні як інструмент, що дозволяє оптимізувати устаткування АЕС, наприклад, систему управління, вибрати необхідну й достатню кількість захистів і блокувань, що забезпечують безпеку об'єкта. Відомий також спосіб детерміністського аналізу безпеки на основі концепції ризиків (ЕР1378916), який включає впорядкування ініціювальних подій по частоті їх виникнення, визначення граничного рівня частоти ініціювальних подій, визначення критерію приймання, що має настроювальний рівень консерватизму; визначення значення консерватизму з використанням методології аналізу безпеки, аналіз подій за допомогою методології детерміністського аналізу у випадку, якщо частота ініціації події перевищує граничний рівень, або аналіз подій за допомогою методології імовірнісного аналізу, якщо частота ініціації події нижче граничного рівня. Відомий спосіб включає також ототожнення додаткової системи відмов, які не знаходяться у прямому зв'язку з ініціювальними подіями й визначення загального граничного значення частоти для комбінації частоти ініціювальної події й частоти додаткових відмов. Далі проводять додавання додаткової системи відмов до аналізу безпеки до того моменту, коли загальна частота події й додаткових відмов не перевищить граничний рівень частоти. Однак необхідно відзначити, що даний спосіб дозволяє визначити умови, при яких доцільно використовувати або імовірнісні методи аналізу, або детерміністичні методи, але не дозволяє в необхідних випадках використовувати позитивні сторони як тої, так й іншої групи методів. Відомий також спосіб управління установкою (ЕР0411873), в якій застосовується моделююча система, що використовує експертні, імовірнісні й детерміністські методи моделювання. Дана моделююча система є моделлю системи у вигляді ієрархічної структури незалежних об'єктних модулів, що взаємодіють між собою, кожен з яких є елементом або системою. Об'єкти зв'язані один з одним за допомогою бази даних, доступної для всіх об'єктів. Структура об'єктного модуля й сама ієрархічна структура стандартизовані й дозволяють додавати нові елементи або системи шляхом додавання стандартних об'єктних модулів, які включають індивідуальну об'єктну модель модельованого об'єкту. Об'єктна модель містить детерміністську модель деградації елементу, імовірнісну модель деградації елементу й експертні правила, які об'єднують детерміністську й імовірнісну моделі зі знаннями експертів з тим, щоб визначити поточний стан об'єкта й видати рекомендації, відносно майбутніх дій щодо об'єкту. Відома також процедура з виконання імовірнісного аналізу безпеки атомних станції (Procedures for conducting probabilistic safety assessment of nuclear power plants (level 1), International Atomic Energy Agency, Vienna, 1992, STI/PUB/888), яка включає кроки із збору та аналізу початкової інформації, вибору вихідних подій, визначенню функцій безпеки, визначенню функціонально-системних взаємозв'язків, визначенню критеріїв успішної ро 7 боти, групуванню вихідних подій, моделюванню послідовностей подій і систем, проведенню якісного й кількісного аналізу. Пропоновані методи моделювання придатні тільки для стаціонарних, в сенсі умов безпеки, систем, що допускають тільки повільні зміни умов безпеки, пов'язані, наприклад, з деградацією елементів. Ці процедури не придатні для аналізу технологічних процесів з умовами безпеки, що постійно змінюються, як в ході окремих технологічних операцій, так і в ході технологічних циклів. Транспортно-технологічні процеси характеризуються, як правило, тим, що умови безпеки істотно змінюються як при переході від однієї технологічної операції до іншої, так і в ході виконання однієї технологічної операції. При цьому є велика кількість логічних і функціональних зв'язків між окремими операціями, що діють на безпеку технологічного процесу. Ця обставина не дозволяє використовувати для аналізу і оцінки безпеки відомі способи. До таких технологічних процесів відносяться, наприклад, процеси перевантаження ядерного палива. Нестаціонарність технологічних процесів з ядерним паливом не дозволяє також безпосередньо використовувати методи імовірнісного аналізу безпеки (ІАБ) для аналізу безпеки цих процесів. Завдання даного винаходу полягає в створенні способу аналізу й оцінки безпеки технологічних процесів, який дозволив би проводити кількісну оцінку технологічних процесів з умовах безпеки, що постійно змінюються, як в ході окремих технологічних операцій, так і в ході технологічних циклів з використанням обчислювальних засобів ІАБ. Іншим завданням є створення такого способу оцінки безпеки, який міг би дозволити сформувати обґрунтовані вимоги з безпеки для проведення оптимізації структури системи управління технологічними процесами, у тому числі й визначення необхідної й достатньої кількості захистів і блокувань, зокрема, технологічних процесів перевантаження ядерного палива. Запропонований згідно даному винаходу спосіб дозволяє вирішити вказані вище завдання, а також забезпечує підвищення надійності і достовірності оцінки безпеки, що є основним чинником при розробці нових технологічних процесів і модернізації або модифікації наявних процесів. Запропонований згідно даному винаходу спосіб дозволяє також провести кількісну оцінку безпеки технологічного процесу. Крім того, запропонований спосіб може використовуватися для оцінки безпеки процесів перезавантаження ядерного палива та інших технологічних процесів підвищеного ступеня небезпеки. Згідно винаходу спосіб управління небезпечним технологічним процесом з нестаціонарними об'єктами здійснюється з використанням пристрою обробки даних, наприклад, комп'ютера і включає в себе наступну послідовність операцій: - збір та аналіз інформації про дії на об'єкти, що беруть участь у технологічному процесі, - визначення гранично допустимих значень зазначених дій, 94904 8 - виявлення порушень технологічного процесу, при яких ці дії перевищують гранично допустимі. Особливістю пропонованого методу є визначення як інтервалів безпеки технологічного процесу таких інтервалів, для яких залишається незмінною сукупність зазначених порушень і розподіл технологічного процесу на такі інтервали безпеки. При цьому для визначення інтервалів безпеки визначають для кожного виявленого порушення множину частин технологічного процесу, на яких діє це порушення. Далі для кожного інтервалу безпеки: - проводять аналіз переходу порушень технологічного процесу з одного інтервалу безпеки в інший з урахуванням причинно-наслідкових зв'язків; - вибудовують детерміністські моделі інтервалів безпеки з урахуванням можливих сценаріїв переходу порушень технологічного процесу на наступні інтервали безпеки; - на основі зазначених моделей визначають показники надійності устаткування й вносять відповідні зміни в процес, які дозволяють забезпечити задані показники безпеки всього процесу. При цьому при аналізі безпеки технологічного процесу розглядають нестаціонарні об'єкти, такі як технологічний процес у цілому, етапи й ділянки технологічного процесу, вироби, пристрої, вузли пристроїв, умови безпеки яких змінюються залежно від часу й місцезнаходження даного виробу, вузла або пристрою, зокрема, залежно від того, на якому етапі або ділянці технологічного процесу знаходиться зазначений виріб, пристрій або вузол. Аналіз і оцінку безпеки проводять шляхом виконання наступних операцій: - побудова логічних або логіко-імовірнісних моделей для кожного порушення на основі аналізу можливих дій, що викликають відповідні порушення технологічного процесу, і різних поєднань таких дій. - перехід від розгляду нестаціонарного технологічного процесу, до розгляду стаціонарних частин технологічного процесу на основі даних аналізу розподілу зон дії виявлених порушень в різних частинах технологічного процесу, зокрема, аналіз і оцінку безпеки на кожному інтервалі безпеки технологічного процесу здійснюють шляхом побудови діаграм розділення на інтервали безпеки; - побудова детерміністських моделей інтервалів безпеки з урахуванням можливих сценаріїв переходу порушень технологічного процесу на наступні інтервали безпеки. На основі вказаних детерміністських моделей інтервалів безпеки з урахуванням можливих сценаріїв і логіко-імовірнісних моделей виникнення порушень технологічного процесу далі будують детерміністсько-імовірнісні моделі безпеки всього технологічного процесу. При цьому детерміністсько-імовірнісні моделі безпеки всього технологічного процесу можуть бути побудовані з використанням раніше отриманих детерміністських моделей інтервалів безпеки та/або логіко-імовірнісних моделей виникнення порушень технологічного процесу. 9 Однією з особливостей способу, що заявляється, є те, що при проведенні аналізу переходу порушень технологічного процесу враховують причинно-наслідкові зв'язки між виявленими порушеннями, можливими порушеннями технологічного процесу й функцією захистів і блокувань на кожному етапі технологічного процесу. За порушення, що є джерелами небезпеки, приймають порушення технологічного процесу, які можуть призвести до перевищення гранично допустимих дій на вузли, деталі вузлів (пристроїв), й інші об'єкти, дії на які підлягають нормуванню в рамках даного технологічного процесу. Як гранично допустимі дії використовують граничні нормативні дії, зазначені в нормативно-технічній документації з безпеки, що включає технологічні алгоритми, схеми зон обслуговування, схеми транспортно-технологічних операцій, нормативну документацію з безпеки. Іншою особливістю способу є проведення аналізу розподілу зон дії порушень технологічного процесу на основі аналізу кожної одиничної ділянки операції технологічного процесу й визначення того, які саме джерела небезпеки викликають те або інше перевищення допустимої дії. Іншою особливістю способу є побудова логікоімовірнісних моделей можливих порушень технологічного процесу, в яких кожну вихідну подію враховують із показником імовірності її виникнення, отриманим на основі аналізу статистичних даних для даного технологічного процесу. Ще однією особливістю способу є те, що при розділенні на інтервали безпеки враховують кожне порушення в кожній частині розглянутого технологічного процесу для кожної гранично допустимої дії. На основі проведеного аналізу і оцінки безпеки додатково здійснюють оптимізацію структури системи управління технологічним процесом, а також визначають показники надійності устаткування, зокрема показник імовірності відмови устаткування. Даний винахід може бути реалізований також у виді системи для виконання процесу аналізу й оцінки безпеки технологічного процесу, який містить: - засоби збору, зберігання й обробки інформації, які включають у тому числі засоби зберігання даних про технологічний процес, призначених для аналізу нормативно-технологічної документації, і даних, призначених для аналізу порушень технологічного процесу; - засоби для виявлення порушень технологічного процесу, при яких ці дії перевищують гранично допустимі, і розбивки технологічного процесу на інтервали безпеки, для яких залишається незмінною сукупність зазначених порушень; - засоби для проведення аналізу переходу порушень технологічного процесу з одного інтервалу безпеки в інший з урахуванням причиннонаслідкових зв'язків, та з урахуванням вкладу окремих технологічних операцій і окремих захистів і блокувань у загальний показник безпеки технологічного процесу; 94904 10 - засоби для побудови детерміністських моделей для кожного інтервалу безпеки з урахуванням можливих сценаріїв переходу порушень технологічного процесу на наступні інтервали безпеки й для розрахунку показників надійності устаткування в цьому інтервалі, виходячи з розрахунку імовірнісних показників по кожному виду подій, а також комплексного показника безпеки, і - засоби управління процесом для внесення змін у процес, які дозволяють забезпечити задані показники безпеки всього процесу. Система згідно винаходу також може містити засоби створення вербальної моделі технологічного процесу, що включає опис умов та меж експлуатації. Далі, система переважно містить програмовані засоби обчислювальної техніки для реалізації способу управління небезпечним технологічним процесом з нестаціонарними об'єктами згідно із даним винаходом. Зазначені засоби обчислювальної техніки переважно виконані з можливістю розробки й вибору сценаріїв розвитку порушень технологічного процесу з використанням бази даних, що зберігає статистичну інформацію про ймовірності настання різних подій для даного технологічного процесу. Інші особливості й ознаки системи заявленого способу будуть далі описані детальніше на прикладі способу оцінки безпеки процесу перевантаження ядерного палива з посиланнями на фігури, що додаються. Однак слід зазначити, що вказаний приклад реалізації не є обмежувальним, оскільки спосіб, запропонований у даному винаході, може використовуватися для аналізу й оцінки безпеки будьякого технологічного процесу, в якому це потрібно. Короткий опис фігур Фіг. 1 - діаграма розділення на етапи технологічної операції "Встановлення ТВЗ в реактор". Фіг. 2 - вербальна модель для аналізу безпеки технологічного процесу. Фіг. 3 - детерміністська модель транспортнотехнологічної операції "Встановлення ТВЗ в реактор". Фіг. 4 - типова логіко-імовірнісна модель виникнення ПНД (перевищення необхідної дії) на інтервалі безпеки. Фіг. 5 - детерміністсько-імовірнісна модель технологічного процесу перевантаження активної зони РУ (реактивної установки). Фіг. 6 - укрупнена структурна схема системи управління машини перевантажувальної. Фіг. 7 - діаграма розділення на інтервали безпеки технологічної операції "Встановлення ТВЗ в реактор". Фіг. 8 - детерміністська модель технологічної операції "Встановлення ТВЗ у реактор". Фіг. 9 - логіко-імовірнісна модель "Падіння ТВЗ". Фіг. 10 - модель ПНД для інтервалу безпеки R07. Фіг. 11 - модель ПНД для інтервалу безпеки R19. Фіг. 12 - модель ПНД для інтервалу безпеки R18. 11 Фіг. 13 - модель ПНД для інтервалу безпеки R17. Фіг. 14 - логіко-імовірнісна модель ПНД F11 для інтервалу безпеки R17. Фіг. 15 - послідовність моделей F123. Фіг. 16 - логіко-імовірнісна модель ПНД F117 для інтервалу безпеки R21+. Фіг. 17 - алгоритм виконання кількісного аналізу безпеки; Фіг. 18 - алгоритм розробки графічної моделі. Реалізація даного винаходу далі буде показана на прикладі аналізу й оцінки безпеки технологічного процесу перевантаження активної зони реакторної установки ВВЕР-1000. Процедура аналізу безпеки технологічного процесу активної зони проводиться з використанням системи для виконання процесу аналізу й оцінки безпеки технологічного процесу, яка містить центральний процесор для проведення аналізу й оцінки безпеки технологічного процесу, засобу зберігання даних про технологічний процес, і засобу розрахунку імовірнісних показників безпеки по кожному виду подій, а також комплексного показника безпеки. Засоби зберігання даних містять з одного боку, наприклад, дані нормативно-технологічної документації, які служать як початкові дані для розробки переліку критеріїв безпеки і переліку перевищень нормативних дій, а з іншої сторони, дані про реальний технологічний процес, які використовуються при аналізі можливих порушень технологічного процесу і складанні списку таких порушень, які призводять до перевищення припустимих дій. Далі, система містить засоби створення вербальної моделі технологічного процесу, що включає опис умов і меж експлуатації, засоби побудови детерміністсько-імовірнісної моделі, засоби розрахунку імовірнісних показників безпеки, засоби створення логіко-імовірнісних моделей та інші розрахункові засоби. Процедура аналізу й оцінки безпеки згідно даному винаходу полягає у виконанні наступної послідовності операцій. На першому етапі здійснюють збір вихідної інформації, що включає в себе нормативно-технічну й експлуатаційну документацію на перевантажувальну машину, систему управління, перевантажувані вироби, технологічні алгоритми, схему зони обслуговування, схему транспортно-технологічних операцій та інші необхідні документи. 94904 12 На другому етапі здійснюють аналіз вихідної інформації, на основі якої розробляють наступні основні документи: 1. Схема технологічного процесу Дану схему представляють у вигляді багаторівневої структури, що включає в себе процес перевантаження активної зони реактора, технологічний цикл і транспортно-технологічну операцію. Процес перевантаження представляють у вигляді деякого числа технологічних циклів, перелік яких визначається на підставі технічних умов на перевантажувальну машину МПС-В-1000-3 У4.2. У загальному випадку процес перевантаження складається з 22 видів технологічних циклів з тепловиділяючими зборками (ТВЗ), включаючи підрив ТВЗ, контроль рівня встановлення ТВЗ у реакторі, огляд гнізд під встановлення ТВЗ у реакторі; 5 видів технологічних циклів з елементами, що впливають на працездатність (кластер); 4 видів технологічних циклів із пробкою пенала СОДЗ/пенала герметичного. Кожний технологічний цикл складається із заданої кількості типових транспортно-технологічних операцій. Так, наприклад, згідно даному прикладу реалізації, кількість видів транспортнотехнологічних операцій даного процесу включає 11 видів транспортно-технологічних операцій поводження з ТВЗ, 4 види транспортнотехнологічних операцій при поводженні з кластером; 2 види транспортно-технологічні операції при поводженні з пробкою пенала СОДЗ/пенала герметичного. 2. Перелік критеріїв безпеки За критерії безпеки приймають граничнодопустимі значення нормативних дій на перевантажувані вироби. Перевищення допустимої дії є порушенням, яке полягає в перевищенні нормативної дії, встановленої нормативно-технічними документами для різного виду дій на перезавантажуваний виріб. При цьому критерієм безпеки служитиме відсутність перевищень нормативних дій на даний об'єкт, у даному випадку, наприклад, на перезавантажуваний виріб. Критерії безпеки встановлюють на підставі аналізу Норм і Правил Ростехнадзору і експлуатаційної документації на ядерне паливо. Примірний перелік критеріїв безпеки при перевантаженні активної зони РУ (при поводженні з ТВЗ) наведений в таблиці 1. 13 94904 14 Таблиця 1 Вид дії Падіння ТВЗ Критерії безпеки Падіння ТВЗ не допускається Нормативно-технічний документ Пункт 4.2.8 "Правил безпеки при зберіганні і транспортуванні ядерного палива на об'єктах атомної енергетики" ПНАЕ Г- 14-029-91 Обертовий момент Обертовий момент не допускається Пункт 8.2.7 керівництво з експлуатації "КОМПЛЕКС КАСЕТ ВВЕР-1000" 0401.22.00.000 РЕ Бічний удар Зіткнення штанги перевантажува- Пункт 6.5.11 "Правил безпеки при зберіганні і льної машини, що транспортує транспортуванніядерного палива на об'єктах ТВЗ, з конструкціями реактора або атомної енергетики" ПНАЕ Г-14-029-91 басейну витримування (БВ) не допускається Зусилля виймання/ Зусилля виймання не повинне пе- Пункт 8.2.4 керівництво з експлуатації "КОМустановки ревищувати2205 Н ПЛЕКС КАСЕТ ВВЕР-1000" 0401.22.00.000 РЕ Зусилля установки не повинне перевищувати735 Н Зусилля стискання Величина зусилля стискання не Пункт 8.2.3 керівництво з експлуатації "КОМповинна перевищувати 9800 Η ПЛЕКС КАСЕТ ВВЕР-1000" 0401.22.00.000 РЕ Граничне верхнє поПідйом відпрацьованої ТВЗ вище Пункт 6.5.11 "Правил безпеки при зберіганні й ложення ТВЗ відмітки, яка забезпечує відповід- транспортуванні ядерного палива на об'єктах ний шар води з умови безпеки пер- атомної енергетики" ПНАЕ Г-14-029-91 соналу, що управляє перевантаженням ядерного палива, не допускається Зусилля вигину Зусилля вигину не допускається Пункт 6.5.11 "Правил безпеки при зберіганні і транспортуванні ядерного палива на об'єктах атомної енергетики" ПНАЕ Г- 14-029-91 Зусилля розтягування Максимальне зусилля при витяган- Пункт 8.2.5 керівництво з експлуатації "КОМні ТВЗ у реакторі на початковій ді- ПЛЕКС КАСЕТ ВВЕР-1000" 0401.22.00.000 ТЕ лянці 40 мм не повинне перевищувати 39200 Η Саморуйнування ТВЗ Перевантаження ТВЗ із механічни- Пункт 10.6 керівництво з експлуатації "КОМми пошкодженнями (відрив окреПЛЕКС КАСЕТ ВВЕР-1000" 0401.22.00.000 РЕ мих деталей або частин вузлів) не допускаються Перегрів ТВЗ Перевантаження ТВЗ при зниженні Пункт 4.2.11 "Правил безпеки при зберіганні і рівня води в басейні витримки не транспортуванні ядерного палива на об'єктах допускаються атомної енергетики" ПНАЕ Г-14-029-91 3. Перелік порушень технологічного процесу й умов експлуатації, які можуть призвести до ПНД. Як порушення технологічного процесу перевантаження активної зони приймають порушення нормальної експлуатації, які, в загальному вигляді, зводяться до наступних: - несанкціоновані переміщення механізмів; - несанкціоновані швидкості переміщення механізмів; - несанкціоновані напрямки переміщення механізмів; - помилка виходу механізму на задані координати; - знаходження механізму не в заданому положенні; - знаходження перезавантажуваного виробу в положенні, що не відповідає заданому положенню; - наявність сторонніх предметів в зоні розташування перезавантажуваних виробів; - відхилення геометрії перезавантажуваних виробів; - втрата енергопостачання; - сейсмічні дії та ін. Порушення технологічного процесу розподіляють на дві групи: - порушення дії, наприклад: несанкціоноване переміщення моста; - порушення стану, наприклад: захват ТВЗ знаходиться в проміжному положенні. Загальна кількість порушень технологічного процесу (ПТП), що розглядається в рамках даного процесу, складає 55, з них до порушень стану відносяться 16 НТП. 4. Схема розділення транспортнотехнологічних операцій на інтервали з незмінними умовами безпеки. Наступним етапом є розробка діаграми розділення транспортно-технологічних операцій на інтервали, для яких умови безпеки залишаються постійними. Процедура побудови схеми розділення транспортно-технологічних операцій на інтервали з незмінними умовами безпеки буде розглянута стосовно операції "Встановлення ТВЗ в реактор". Спочатку складають таблицю, що містить відомості про ПНВ Dідоп, відповідні ним джерела 15 94904 небезпеки й зони дії джерел небезпеки. Зона дії джерела небезпеки визначає ті ділянки технологічної операції, на яких джерела небезпеки можуть 16 призвести до неприпустимих дій. Наприклад, для деяких критеріїв безпеки, таблиця може виглядати наступним чином (таблиця 2). Таблиця 2 Критерій безпеки Dідоп Джерело небезпеки F(Di) Падіння ТВЗ (П1) Несанкціоноване відкривання захвата ТВЗ Обертовий момент (П2) Зусилля стискання (П5) Зона дії джерела небезпеки Початок - транспортне положення із ТВЗ. Закінчення - хвостовик ТВЗ знаходиться на відстані 100 мм до місця встановлення Несанкціонований поворот роПочаток - хвостовик встановлюваної ТВЗ знахобочої штанги диться на рівні головок ТВЗ, що стоять. Закінчення - ТВЗ встановлена в гніздо реактора Переміщення захвата ТВЗ із ТВЗ Початок - хвостовик ТВЗ знаходиться на відстані донизу на несанкціонованій 100 мм до місця встановлення ТВЗ в гніздо реакшвидкості тора. Закінчення - ТВЗ встановлена в гніздо реактора Далі вибудовують діаграму розподілу зони дії ІО на різних ділянках аналізованої ТО (фіг 1). При цьому технологічний процес представляють у наступній системі координат: На горизонтальну вісь наносять точки початку й закінчення дії джерел небезпеки. На вертикальну вісь наносять точки, що відповідні можливим видам пошкодження (ПНД). Потім для кожного джерела небезпеки вибудовують зону його дії, показуючи її горизонтальною лінією. Далі через початкові й кінцеві точки отриманих зон дії джерел небезпеки проводять вертикальні лінії (показані пунктирними лініями), які розділяють всю технологічну операцію на інтервали, для яких залишаються незмінними умови перевищення меж безпеки, тобто, наприклад, кількість і види можливих пошкоджень ТВЗ. Отримані інтервали безпеки являють собою стаціонарні за умовами безпеки об'єкти, для яких можна застосовувати стандартні розрахункові методи ІАБ (імовірнісного аналізу безпеки). Таким чином, весь технологічний процес виявляється представленим у вигляді послідовно з'єднаних інтервалів безпеки. Причому, інтервали безпеки зв'язані між собою не тільки порядком виконання окремих технологічних операцій, але й причинно-наслідковими зв'язками порушень технологічного процесу, що відбуваються на цих інтервалах. 5. Таблиця поширення порушень Дану таблицю складають на основі аналізу переходу порушень технологічного процесу з одного інтервалу безпеки в іншій. Особливістю багатьох транспортнотехнологічних операцій, зокрема, операцій з пере вантаження ядерного палива, є та обставина, що порушення технологічного процесу перевантаження, яке сталося на якому-небудь інтервалі технологічного процесу може не призводити до ПДД (перевищення допустимої дії) на перевантажуваний виріб на цьому інтервалі, а передаватися на наступні інтервали технологічного процесу, на яких і може відбутися ПДД на перевантажуваний виріб. Наприклад, на інтервалі переміщення ТВЗ у транспортне положення може виникнути порушення технологічного процесу, у результаті якого ТВЗ не буде піднята до потрібного рівня і її нижня частина виступатиме за габарити робочої штанги. На даному інтервалі це порушення не може призвести до пошкодження ТВЗ, проте надалі, при переміщенні ТВЗ через транспортний коридор, можливий її вигин при взаємодії з конструктивними елементами транспортного коридору. Вказана особливість технологічного процесу призводить до необхідності аналізу процесу поширення порушень за технологічним процесом. У зв'язку з цим були розроблені "Правила поширення порушень технологічного процесу" (Правила), які використовують для аналізу переходу порушень технологічного процесу з одного інтервалу безпеки в інший. Потім, складають зведену таблицю поширення порушень, в якій перераховують всі можливі порушення технологічного процесу і всі інтервали безпеки, що складають дану операцію. Заповнення даної таблиці здійснюють, використовуючи розроблені раніше Правила. Наприклад, для перших трьох інтервалів безпеки операції "Встановлення ТВЗ" таблиця буде виглядати наступним чином (таблиця 3). 17 94904 18 Таблиця 3 Умовні позначення Η 2.1.6.1 Η 2.2.6.1 Η 2.2.6.2 Η 2.4.7.1 Η 2.4.7.2 Η 2.4.7.3 Η 2.4.7.4 Η 2.5.7.1 Η 2.5.7.2 Η 2.5.7.3 Η 2.7.7.1 Η 2.7.7.2 Η 10 Найменування порушення Міст знаходиться не на необхідних координатах встановлення / витягання ТВЗ Візок знаходиться не на координатах потрібних для встановлення / витягання ТВЗ Візок знаходиться не на необхідних координатах входу в транспортний коридор ЗТВЗ з ТВЗ знаходиться вище«транспортного положення з ВП(виробом перевантажуваним)» ЗТВЗ з ТВЗ знаходиться нижче «транспортного положення з ВП» ЗТВЗ із підхопленою ТВЗ знаходиться в "транспортному положенні з виробом" ЗТВЗ знаходяться не на необхідних координатах встановлення/витягання ТВЗ (по висоті) Невідповідність потрібному фактичного положення захвата ТВЗ - захват відкритий Невідповідність потрібному фактичного положення захвата ТВЗ - захват закритий Фіксатор захвата знаходиться в проміжному положенні РШ (робоча штанга) знаходиться не в "0°" град (необхідне положення) РШ знаходиться не в "45°" град (необхідне положення) ТВЗ встановлена не в гніздо реактора БІ (безпеки інтервал) 1.15 Вх. Вих. + +  БІ 1.16 БІ 1.17 Вх. +  Вих. + Вх. + 2 Вих. +  + +  + + 2 4 4 4 + 1 1 1 + 1 1 1 4 4 4 4 4 2 2 3 4 4 4 +  + +  + +  + +  + +  + +  + 4 4 4 4 4 … і так далі У даній таблиці знаки "+", "-" позначають наявність або відсутність можливості існування порушення на вході й виході інтервалу безпеки, цифри "1" -"6" відповідають номерам правил поширення порушень технологічного процесу, які полягають, наприклад, у наступному. Правило 1: дія порушення технологічного процесу завершується з початком штатного переміщення механізму. Наприклад, дія порушення технологічного процесу "Помилка виходу моста на задані координати" припиняється після початку штатного переміщення моста. Правило 2: можливість порушення технологічного процесу унеможливлюється, за умови реалізації інтервалу безпеки відповідно до технологічного процесу, що було б неможливо при наявності розглянутого порушення. Наприклад, встановлення ТВЗ в гніздо реактора припиняє дію наступних порушень: "Робоча штанга не в 0 градусів", Міст або візок не на координатах витяган 19 ня/встановлення перевантажуваного виробу, і так далі. Правило 3: дія порушення технологічного процесу (ПТП) припиняється при безумовному переході порушення технологічного процесу в перевищення припустимої дії (ПДД). Наприклад, несанкціоноване відкривання захвата ТВЗ при транспортуванні ТВЗ (ПТП) безумовно, призводить до падіння ТВЗ (ПДД). Правило 4: порушення технологічного процесу припиняє дію на тому інтервалі безпеки, на якому порушення не є порушенням технологічного процесу для даного інтервалу безпеки. Наприклад, порушення технологічного процесу Положення захвата ТВЗ "Захват ТВЗ відкритий" припиняє дію після установки ТВЗ на штатне місце. Правило 5: дія порушення технологічного процесу не розглядається, якщо воно не дозволяє виконати штатну технологічну операцію, але при цьому не призводить до ПНВ. Наприклад, при переміщенні донизу захвата ТВЗ, що знаходиться в положенні "Захват ТВЗ закритий" не відбудеться посадка захвата ТВЗ на ТВЗ, однак при цьому не створюються умови, що призводять до пошкодження ТВЗ. Правило 6: порушення технологічного процесу, пов'язані з порушеннями нормальної експлуатації (сторонні предмети, відхилення геометричних розмірів зони обслуговування, перевантажуваних виробів і тому подібне) вважаються такими, що виникли, коли порушення починають впливати на безпеку технологічного процесу. Наприклад, сторонній предмет, що знаходиться в гнізді реактора, не розглядається як порушення технологічного процесу до тих пір, поки не відбувається встановлення ТВЗ у гніздо реактора, де знаходиться даний предмет. Сторонній предмет у гнізді реактора може призвести до того, що ТВЗ не встане на штатне місце і далі може відбутися падіння ТВЗ. Далі, на основі перерахованих документів формують вербальну модель для аналізу безпеки технологічного процесу (фіг. 2). На третьому етапі здійснюють моделювання технологічного процесу, що виконують у наступній послідовності. На основі отриманої раніше таблиці поширення будують детерміністсько-імовірнісну модель технологічної операції з урахуванням можливого переходу порушень технологічного процесу на наступні інтервали безпеки (фіг. 3). Дана модель являє собою сукупність інтервалів безпеки. При цьому розглядають порушення технологічного процесу, які виникли на даному інтервалі безпеки, а також порушення технологічного процесу, які були передані з попереднього й викликали перевищення допустимої дії на даному інтервалі або можуть викликати перевищення припустимих дій на наступних інтервалах. Дана модель враховує всі можливі сценарії й шляхи розвитку подій і дозволяє провести якісну оцінку безпеки даної технологічної операції. Результати даного аналізу можуть використовуватися як самостійно, так і для проведення наступної кількісної оцінки безпеки технологічного процесу. 94904 20 Далі вибудовують логічні або логіко-імовірнісні моделі виникнення кожного перевищення допустимої дії для кожного інтервалу безпеки (фіг. 4). При цьому розглядають такі порушення технологічного процесу, які виникли на даному інтервалі безпеки або прийшли з попереднього і викликали перевищення допустимої дії на даному інтервалі. Також враховують зовнішні дії та захисти і блокування, що є на даному інтервалі безпеки. При цьому для отримання кількісних показників кожне порушення технологічного процесу або відмови захистів і блокувань враховують із відповідним імовірнісним показником його виникнення. Вхідними діями можуть бути, наприклад: випадкова дія на клавіатуру; видача оператором помилкової команди; відмова пульта дистанційного керування (ПДК) системи управління по функції управління; відмова програмно-технічного комплексу (ПТК) системи управління по функції управління; відмова комплексу електроустаткування (КЕ) системи управління по функції управління. Зовнішніми вхідними діями можуть бути, наприклад: відмови устаткування (перевантажувальної машини і системи управління перевантажувальної машини); помилки експлуатаційного персоналу; відхилення геометричних розмірів перевантажуваних виробів від проектних розмірів; відхилення геометричних розмірів: гнізд установки ТВЗ у реакторі, осередків стелажів басейну витримування, чохлів для свіжого палива і контейнера для відпрацьованого палива від проектних розмірів; непередбачені проектом конструктивні елементи зони обслуговування; сторонні предмети в зоні обслуговування; зниження рівня води внаслідок течі облицювання басейну витримування; повне припинення енергопостачання; сейсмічна дія. Захисти і блокування можуть включати, наприклад, захисти і блокування, реалізовані в структурі системи управління перевантажувальної машини. Захисти і блокування підрозділяють на дві групи: загальні захисти і блокування та захисти і блокування для кожного механізму перевантажувальної машини. За способом реалізації групи захистів і блокувань розподіляють в структурі системи управління таким чином: - пульт дистанційного керування - захисти; - програмно-технічний комплекс - захисти і блокування; - комплекс електроустаткування - захисти і блокування. Такий спосіб розподілу захистів і блокувань дозволяє здійснити ешелонований захист і використовувати принцип незалежності при формуванні певних захистів і блокувань, направлених на забезпечення меж і умов безпечної експлуатації. Залежно від цілей і завдань аналізу безпеки технологічного процесу, що проводиться, можливі різні модифікації і поєднання описуваних моделей, наприклад, детерміністських моделей операцій і логіко-імовірнісних моделей порушень технологічного процесу. Наприклад, послідовно об'єднуючі детерміністсько-імовірнісні моделі технологічних операцій, 21 будують модель технологічного циклу, а потім і модель усього процесу перевантаження активної зони РУ (фіг. 5). Модель процесу перевантаження забезпечує можливість визначення комплексного показника безпеки, а також кількісних показників безпеки за кожним критерієм безпеки. На четвертому етапі проводять розрахунок імовірнісних показників безпеки технологічного процесу перевантаження активної зони з використанням атестованого розрахункового комплексу "Risk Spectrum Professional". Процедуру розрахунку кількісних імовірнісних показників безпеки (критеріїв безпеки) виконують в наступній послідовності: - вводять модель процесу перевантаження в розрахунковий комплекс; - призначають імовірнісні характеристики можливих порушень технологічного процесу; - призначають характеристики надійності захистів і блокувань; - виконують необхідні розрахунки і аналіз результатів; - представляють результати розрахунку імовірнісних показників безпеки транспортнотехнологічної операції "Встановлення ТВЗ"; - представляють результати аналізу дії окремих захистів і блокувань на імовірнісні показники безпеки. На п'ятому етапі проводять аналіз показників безпеки, що характеризують внесок окремих транспортно-технологічних операцій і окремих захистів і блокувань у загальний показник безпеки технологічного процесу перевантаження активної зони. На шостому етапі здійснюють розробку пропозицій і рекомендацій з удосконалення конструктивних і схемних рішень перевантажувальної машини й системи управління. На сьомому етапі здійснюють розробку рекомендацій з підвищення рівня безпеки АЕС при 94904 22 виконанні транспортно-технологічних операцій з ядерним паливом. Далі розглянуто варіант кількісної оцінки безпеки технологічної операції "Встановлення ТВЗ у реактор" для реактора типу ВВЕР-1000, виконаної з використанням заявленого способу аналізу і оцінки безпеки транспортно-технологічного процесу підвищеного ступеня небезпеки. Об'єктом аналізу є технологічний комплекс перевантаження активної зони реакторної установки, що включає машину перевантажувальну (МП), систему управління МП, структурна схема якої показана на фіг. 6, зону перевантаження (реактор), перевантажувані вироби (ТВЗ), які розглядаються з урахуванням можливих порушень технологічного процесу перевантаження, відмов устаткування, відхилення геометрії перевантажуваних виробів (ПВ) від проектних, помилок персоналу та ін. Система управління машини перевантажувальної (фіг. 6) містить пульт дистанційного керування 1, програмно-технічний комплекс каналу А 2, програмно-технічний комплекс каналу В 3, блок логічної обробки 4, комплекс 5 електроустаткування (КЕ) управління виконавчими механізмами, датчики каналів А і В (не показані). У даному прикладі розглянутий один вид ПНВ - Падіння ТВЗ (див. таблицю 1), тобто оцінюється імовірність падіння ТВЗ на операції "Встановлення в реактор". На першому етапі виконують детальний аналіз процесу перевантаження на основі даних нормативно-технічної документації та інформації про дії D, (1