(21), (22) Заявка: 2007125615/06, 02.07.2007
(23) Дата поступления дополнительных материалов к ранее поданной заявке: 2007.05.30 (2005116169 от 20.05.2005
(24) Дата начала отсчета срока действия патента:
30.05.2007
(46) Опубликовано: 27.09.2008
(56) Список документов, цитированных в отчете о поиске:
ЕР 0411873 А2, 06.02.1991. ЕР 1378916 А2, 07.01.2004. US 4632802 А, 30.12.1986. WO 03/005376 A1, 16.01.2003. US 2004/0086071 A1, 06.05.2004. RU 2181510 C1, 20.04.2002. RU 2030800 C1, 10.03.1995. RU 2150756 C1, 10.06.2000. SU 1429821 A1, 27.09.1999.
Адрес для переписки:
190068, Санкт-Петербург, ул. Садовая, 51, офис 303, ООО “ПАТЕНТИКА”, пат.пов. М.И.Ниловой
|
(72) Автор(ы):
Дунаев Вадим Игоревич (RU), Копьев Юрий Владимирович (RU), Первушин Леонид Александрович (RU), Федосовский Михаил Евгеньевич (RU), Шерстобитов Александр Евгеньевич (RU)
(73) Патентообладатель(и):
Общество с ограниченной ответственностью “Диаконт” (RU)
|
(54) СПОСОБ УПРАВЛЕНИЯ ОПАСНЫМ ТЕХНОЛОГИЧЕСКИМ ПРОЦЕССОМ С НЕСТАЦИОНАРНЫМИ ОБЪЕКТАМИ
(57) Реферат:
Изобретение относится к анализу и оценке безопасности технологических процессов и может быть использовано, в частности, для выполнения анализа и оценки безопасности при управлении АЭС. Технический результат заключается в возможности оценки технологических процессов с постоянно изменяющимися условиями безопасности. Согласно изобретению способ управления опасным технологическим процессом с нестационарными объектами включает в себя измерение воздействий на объекты технологического процесса, определение предельно-допустимых значений указанных воздействий и сравнение измеренных воздействий с допустимыми для выявления нарушений технологического процесса. Для каждого выявленного нарушения определяют множество частей технологического процесса, на которых действует это нарушение, и разбивают технологический процесс на интервалы безопасности, для которых остается неизменной совокупность указанных нарушений. После этого для каждого интервала безопасности проводят анализ перехода нарушений технологического процесса из одного интервала безопасности в другой с учетом причинно-следственных связей, а также проводят моделирование путем построения детерминистских моделей безопасности с учетом возможных сценариев перехода нарушений технологического процесса на последующие интервалы безопасности. На основе полученных моделей для каждого интервала безопасности определяют вероятности отказа оборудования, используемого при проведении технологического процесса, и вносят соответствующие изменения в процесс, позволяющие обеспечить заданные показатели безопасности. 15 з.п. ф-лы, 18 ил., 13 табл.
Настоящее изобретение относится к анализу и оценке безопасности технологических процессов и может быть использовано, в частности, для выполнения анализа и оценки безопасности при управлении АЭС.
До недавнего времени при выполнении вероятностного анализа безопасности проводилась только качественная оценка возможности нарушений технологического процесса. При этом анализ безопасности, как правило, ограничивался краткими характеристиками исходных событий и проведением функционального анализа возможности тех или иных нарушений процесса или повреждений рабочих элементов при небольшом перечне инициирующих событий, приводящих к таким нарушениям.
Однако все возрастающая сложность технологических процессов, например процессов, связанных с эксплуатацией тепло-энергостанций, в особенности, атомных электростанций, обусловленная большим количеством логических и функциональных связей, а также нестационарностью, с точки зрения безопасности, технологических процессов с ядерным топливом, потребовала разработки новых подходов к решению вопросов анализа и оценки безопасности.
Так, например, в заявке США (US 20040086071) описан способ управления атомной станцией, который предусматривает моделирование возможных аварийных событий и применяет модели для анализа безопасности существующих атомных станций. При этом анализ безопасности включает три процедуры. Первая процедура предназначена для принятия решения о применимости условий и кодов и состоит из шагов по описанию сценария аварии, выбору объекта оценки, подтверждению основных условий и их ранжированию, выбору оптимального кода, упорядочиванию документов, относящихся к кодам, и принятию решения о применимости кодов. Вторая процедура предназначена для оценки кодов и принятия решения о замене переменных и состоит из шагов по оценке кодов и составлению оценочной матрицы, принятию решения о разбиении атомной станции на элементы, принятию решения о точности кодов и экспериментов, принятия решения о входных переменных атомной станции и их состояниях, связанных с факторами, полученными при помощи анализа неопределенности и чувствительности, а также включает шаги по вычислению чувствительности атомной станции, статической оценке неопределенности и принятию решения о конечной неопределенности. Третья процедура предназначена для анализа чувствительности и оценки неопределенности и заключается в оценке систематической ошибки, которая не была учтена в первой и второй процедурах.
Этот способ позволяет оценить безопасность только существующих объектов и не позволяет разработать технические требования по обеспечению безопасности при модернизации и разработке нового оборудования АЭС.
Известны способы сведения задачи оценки безопасности к выбору подходящего решения из имеющихся в базе данных. Согласно способу выполнения компьютеризированного анализа безопасности ядерного реактора (WO 03/005376) функционирование атомной станции ограничивают областью безопасной эксплуатации, которую определяют следующим образом: а) используют результаты анализа безопасности, выполненного ранее, и б) подтверждают расчетами, что определенная ранее область безопасной эксплуатации применима к новым условиям эксплуатации атомной станции.
Однако данный способ может использоваться только для определения ресурса существующих АЭС и возможности его продления.
Известен также способ оценки безопасности при управлении атомной станцией (US 4,632,802), который обеспечивает непрерывную эксплуатацию атомной станции во время отказа или при отсутствии готовности одного или нескольких элементов станции. Способ использует средства хранения баз данных логических схем повреждения активной зоны и вероятностей отказов. Предусмотрен выбор различных сценариев состояния станции, корректировка вероятностей отказов элементов, привязка чувствительности к риску повреждения активной зоны в результате неисправности элементов, а также оценка чувствительности по отношению к базовому или контрольному значению. При проведении оценки безопасности деревья событий/отказов заменяются одной логической моделью повреждения активной зоны, которая позволяет моделировать взаимодействие внутри системы, возникающее в результате совместного использования элементов или общих вспомогательных систем.
Данный способ оценки безопасности может быть использован только при эксплуатации АЭС, но не может применяться при проектировании в качестве инструмента, позволяющего оптимизировать оборудование АЭС, например, систему управления, выбрать необходимое и достаточное количество защит и блокировок, обеспечивающих безопасность объекта.
Известен также способ детерминистистского анализа безопасности на основе концепции рисков (ЕР 1378916), который включает упорядочивание инициирующих событий по частоте их возникновения, определение порогового уровня частоты инициирующих событий, определение критерия приемки, имеющего настраиваемый уровень консерватизма, определение значения консерватизма с использованием методологии анализа безопасности, анализ событий при помощи методологии детерминистического анализа в случае, если частота инициации события превышает пороговый уровень, или анализ событий при помощи методологии вероятностного анализа, если частота инициации события ниже порогового уровня.
Известный способ включает также отождествление дополнительной системы отказов, которые не находятся в прямой связи с инициирующими событиями, и определение общего порогового значения частоты для комбинации частоты инициирующего события и частоты дополнительных отказов. Далее производят добавление дополнительной системы отказов к анализу безопасности до того момента, когда общая частота события и дополнительных отказов не превысит пороговый уровень частоты.
Однако необходимо отметить, что данный способ позволяет определить условия, при которых целесообразно использовать либо вероятностные методы анализа, либо детерминистические методы, но не позволяет в необходимых случаях использовать положительные стороны как той, так и другой группы методов.
Известен также способ управления установкой (ЕР 0411873), в которой применяется моделирующая система, использующая экспертные, вероятностные и детерминистские методы моделирования. Данная моделирующая система представляет модель системы в виде иерархической структуры взаимодействующих между собой независимых объектных модулей, каждый из которых представляет собой элемент или систему. Объекты связаны друг с другом при помощи базы данных, доступной для всех объектов. Структура объектного модуля и сама иерархическая структура стандартизованы и позволяют добавлять новые элементы или системы путем добавления стандартных объектных модулей, которые включают индивидуальную объектную модель моделируемого объекта. Объектная модель содержит детерминистскую модель деградации элемента, вероятностную модель деградации элемента и экспертные правила, которые объединяют детерминистскую и вероятностную модели со знаниями экспертов с тем, чтобы определить текущее состояние объекта и выдать рекомендации, касающиеся будущих действий в отношении объекта.
Известна также процедура по выполнению вероятностного анализа безопасности атомных станции (Procedures for conducting probabilistic safety assessment of nuclear power plants (level 1), International Atomic Energy Agency, Vienna, 1992, STI/PUB/888), которая включает шаги по сбору и анализу исходной информации, выбору исходных событий, определению функций безопасности, определению функционально-системных взаимосвязей, определению критериев успешной работы, группированию исходных событий, моделированию последовательностей событий и систем, проведению качественного и количественного анализа.
Предлагаемые методы моделирования пригодны только для стационарных, в смысле условий безопасности, систем, допускающих только медленные изменения условий безопасности, связанные, например, с деградацией элементов.
Эти процедуры не пригодны для анализа технологических процессов с постоянно изменяющимися условиями безопасности как в ходе отдельных технологических операций, так и в ходе технологических циклов.
Транспортно-технологические процессы характеризуются, как правило, тем, что условия безопасности существенно изменяются как при переходе от одной технологической операции к другой, так и в ходе выполнения одной технологической операции. При этом имеется большое количество логических и функциональных связей между отдельными операциями, влияющими на безопасность технологического процесса.
Это обстоятельство не позволяет использовать для анализа и оценки безопасности известные способы. К таким технологическим процессам относятся, например, процессы перегрузки ядерного топлива. Нестационарность технологических процессов с ядерным топливом не позволяет также непосредственно использовать методы вероятностного анализа безопасности (ВАБ) для анализа безопасности этих процессов.
Задача настоящего изобретения заключается в создании способа анализа и оценки безопасности технологических процессов, который позволил бы проводить количественную оценку технологических процессов с постоянно изменяющимися условиями безопасности, как в ходе отдельных технологических операций, так и в ходе технологических циклов с использованием вычислительных средств ВАБ.
Другой задачей является создание такого способа оценки безопасности, который мог бы позволить сформировать обоснованные требования по безопасности для проведения оптимизации структуры системы управления технологическими процессами, в том числе и определения необходимого и достаточного количества защит и блокировок, в частности, технологических процессов перегрузки ядерного топлива.
Предложенный согласно настоящему изобретению способ позволяет решить указанные выше задачи, а также обеспечивает повышение надежности и достоверности оценки безопасности, что является основным фактором при разработке новых технологических процессов и модернизации или модификации имеющихся процессов.
Предложенный согласно настоящему изобретению способ позволяет также провести количественную оценку безопасности технологического процесса.
Кроме того, предложенный способ может использоваться для оценки безопасности процессов перегрузки ядерного топлива и других технологических процессов повышенной степени опасности.
Согласно изобретению способ управления опасным технологическим процессом с нестационарными объектами осуществляется с использованием устройства обработки данных, например, компьютера и включает в себя следующую последовательность операций:
– измерение при помощи датчиков воздействий Di(1
– определение предельно-допустимых значений воздействий Diдоп;
– сравнение измеренных воздействий Di с допустимыми Diдоп для выявления нарушений Fi=f(Di) технологического процесса, выступающих в качестве источников опасности, которые могут привести к превышению указанных допустимых воздействий Di>Diдоп;
– определение для каждого выявленного нарушения Fi=f(Di>Diдоп) множества частей технологического процесса, на которых действует это нарушение, и разбиение технологического процесса на интервалы безопасности Rj={F1, F2, …Fi, … Fn} (1.
Далее для каждого интервала безопасности Rj:
– проводят анализ перехода нарушений Fi=f(Di>Diдоп) технологического процесса из одного интервала безопасности в другой с учетом причинно-следственных связей;
– проводят моделирование путем построения детерминистских моделей безопасности с учетом возможных сценариев перехода нарушений Fi=f(Di>Diдоп) технологического процесса на последующие интервалы безопасности.
На основе полученных моделей для каждого интервала безопасности Rj определяют вероятности отказа оборудования, используемого при проведении технологического процесса, и вносят соответствующие изменения в процесс, позволяющие обеспечить заданные показатели безопасности.
Дальнейший анализ и оценку безопасности проводят путем выполнения следующих операций:
– построение логических или логико-вероятностных моделей для каждого нарушения Fi=f(Di>Diдоп) на основе анализа возможных воздействий Di, вызывающих соответствующие нарушения Fi=f(Di) технологического процесса, и различных сочетаний таких воздействий;
– переход от рассмотрения нестационарного технологического процесса к рассмотрению стационарных частей технологического процесса на основе данных анализа распределения зон действия выявленных нарушений Fi=f(Di>Diдоп) в различных частях технологического процесса, в частности, анализ и оценку безопасности на каждом интервале безопасности Rj технологического процесса осуществляют путем построения диаграмм разделения на интервалы безопасности Rj;
– построение детерминистских моделей интервалов безопасности Rj с учетом возможных сценариев перехода нарушений технологического процесса на последующие интервалы безопасности Rj+1.
На основе указанных детерминистских моделей интервалов безопасности с учетом возможных сценариев и логико-вероятностных моделей возникновения нарушений технологического процесса далее строят детерминистко-вероятностые модели безопасности всего технологического процесса.
При этом детерминистко-вероятностные модели безопасности всего технологического процесса могут быть построены с использованием ранее полученных детерминистских моделей интервалов безопасности Rj и/или логико-вероятностных моделей возникновения нарушений Fi=f(Di>Diдоп) технологического процесса.
Одной из особенностей заявляемого способа является то, что при проведении анализа перехода нарушений технологического процесса учитывают причинно-следственные связи между нарушениями Fi=f(Di>Diдоп), возможными нарушениями Fi=f(Di) технологического процесса и функцией защит и блокировок на каждом этапе технологического процесса.
В качестве нарушений, являющихся источниками опасности, принимают нарушения технологического процесса, которые могут приводить к превышению нормативно-допустимых воздействий Diдоп на узлы, детали узлов (устройств) и другие объекты, воздействия на которые подлежат нормированию в рамках данного технологического процесса и указаны в нормативно-технической документации по безопасности.
Другой особенностью способа является проведение анализа распределения зон действия источников опасности на основе анализа каждого единичного участка операции технологического процесса и определения того, какие именно источники опасности вызывают то или иное превышение допустимого воздействия Diдоп.
Другой особенностью способа является построение логико-вероятностных моделей возможных нарушений технологического процесса, в которых каждое исходное событие учитывают с показателем вероятности его возникновения, полученной на основе анализа статистических данных для данного технологического процесса.
При анализе и оценке безопасности технологического процесса в качестве объектов, подлежащих оценке безопасности, рассматривают нестационарные объекты, в частности, по меньшей мере, одно из следующих: технологический процесс в целом, этапы и участки технологического процесса, изделия, устройства, узлы устройств, условия безопасности которых изменяются в зависимости от времени и местонахождения данного изделия, узла или устройства, в частности, в зависимости от того, на каком этапе или участке технологического процесса находится указанное изделие, устройство или узел.
Еще одной особенностью способа является то, что при разделении на интервалы безопасности учитывают каждое нарушение Fi=f(Di>Diдоп) в каждой части рассматриваемого технологического процесса для каждого выбранного критерия безопасности Diдоп.
На основе проведенного анализа и оценки безопасности дополнительно осуществляют оптимизацию структуры системы управления технологическим процессом, а также определяют обоснованные показатели надежности оборудования.
Другие особенности и признаки заявленного способа будут далее описаны более подробно на примере способа оценки безопасности процесса перегрузки ядерного топлива со ссылками на прилагаемые чертежи.
Следует отметить, однако, что указанный пример реализации не следует рассматривать как ограничительный, поскольку способ, предложенный в настоящем изобретении, может использоваться для анализа и оценки безпасности любого технологического процесса, в котором это требуется.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг.1 – диаграмма разделения на этапы технологической операции “Установка ТВС в реактор”.
Фиг.2 – вербальная модель для анализа безопасности технологического процесса.
Фиг.3 – детерминистская модель транспортно-технологической операции “Установка ТВС в реактор”.
Фиг.4 – типовая логико-вероятностная модель возникновения ПНВ на интервале безопасности.
Фиг.5 – детерминистско-вероятностная модель технологического процесса перегрузки активной зоны РУ.
Фиг.6 – укрупненная структурная схема системы управления машины перегрузочной.
Фиг.7 – диаграмма разделения на интервалы безопасности технологической операции “Установка ТВС в реактор”.
Фиг.8 – детерминистская модель технологической операции “Установка ТВС в реактор”.
Фиг.9 – логико-вероятностная модель “Падение ТВС”.
Фиг.10 – модель ПНВ для интервала безопасности R07.
Фиг.11 – модель ПНВ для интервала безопасности R19.
Фиг.12 – модель ПНВ для интервала безопасности R18.
Фиг.13 – модель ПНВ для интервала безопасности R17.
Фиг.14 – логико-вероятностная модель ПНВ F11 для интервала безопасности R17.
Фиг.15 – последовательность моделей F123.
Фиг.16 – логико-вероятностная модель ПНВ F117 для интервала безопасности R21+.
Фиг.17 – алгоритм выполнения количественного анализа безопасности.
Фиг.18 – алгоритм разработки графической модели.
Реализация настоящего изобретения далее будет показана на примере анализа и оценки безопасности технологического процесса перегрузки активной зоны реакторной установки ВВЭР-1000.
Процедура анализа безопасности технологического процесса активной зоны проводится с использованием системы для выполнения процесса анализа и оценки безопасности технологического процесса, которая содержит центральный процессор для проведения анализа и оценки безопасности технологического процесса, средства хранения данных о технологическом процессе и средства расчета вероятностных показателей безопасности по каждому виду событий, а также комплексного показателя безопасности.
Средства хранения данных содержат, с одной стороны, например, данные нормативно-технологической документации, которые служат в качестве исходных данных для разработки перечня критериев безопасности и перечня превышений нормативных воздействий, а с другой строны, данные о реальном технологическом процессе, которые используются при анализе возможных нарушений технологического процесса и составлении списка таких нарушений, которые приводят к превышению допустимых воздействий.
Далее система содержит средства создания вербальной модели технологического процесса, включающую описание условий и пределов эксплуатации, средства построения детерминистко-вероятностной модели, средства расчета вероятностных показателей безопасности, средства создания логико-вероятностных моделей и другие расчетные средства.
Процедура анализа и оценки безопасности согласно настоящему изобретению заключается в выполнении следующей последовательности операций.
На первом этапе осуществляют сбор исходной информации, включающей в себя нормативно-техническую и эксплуатационную документацию на перегрузочную машину, систему управления, перегружаемые изделия, технологические алгоритмы, схему зоны обслуживания, схему транспортно-технологических операций и другие необходимые документы.
На втором этапе осуществляют анализ исходной информации, на основе которой разрабатывают следующие основные документы:
1. Схема технологического процесса
Данную схему представляют в виде многоуровневой структуры, включающей в себя процесс перегрузки активной зоны реактора, технологический цикл и транспортно-технологическую операцию.
Процесс перегрузки представляют в виде некоторого числа технологических циклов, перечень которых определяется на основании технических условий на перегрузочную машину МПС-В-1000-3 У4.2.
В общем случае процесс перегрузки состоит из 22 видов технологических циклов с тепловыделяющими сборками (ТВС), включая подрыв ТВС, контроль уровня установки ТВС в реакторе, осмотр гнезд под установку ТВС в реакторе; 5 видов технологических циклов с элементами, влияющими на работоспособность (кластер); 4 видов технологических циклов с пробкой пенала СОДС/пенала герметичного.
Каждый технологический цикл состоит из заданного количества типовых транспортно-технологических операций. Так, например, согласно данному примеру реализации количество видов транспортно-технологических операций данного процесса включает 11 видов транспортно-технологических операций при обращении с ТВС, 4 вида транспортно-технологических операций при обращении с кластером; 2 вида транспортно-технологических операций при обращении с пробкой пенала СОДС/пенала герметичного.
2. Перечень критериев безопасности
В качестве критериев безопасности принимают предельно-допустимые значения нормативных воздействий на перегружаемые изделия.
Превышение допустимого воздействия является нарушением, которое заключается в превышении нормативного воздействия, установленного нормативно-техническими документами для различного вида воздействий на перегружаемое изделие. При этом критерием безопасности будет служить отсутствие превышений нормативных воздействий на рассматриваемый объект, в данном случае, например, на перегружаемое изделие.
Критерии безопасности устанавливают на основании анализа Норм и Правил Ростехнадзора и эксплуатационной документации на ядерное топливо.
Примерный перечень критериев безопасности при перегрузке активной зоны РУ (при обращении с ТВС) приведен в таблице 1.
Таблица 1 |
Вид воздействия |
Критерии безопасности |
Нормативно-технический документ |
Падение ТВС |
Падение ТВС не допускается |
Пункт 4.2.8 “Правил безопасности при хранении и транспортировке ядерного топлива на объектах атомной энергетики” ПНАЭ Г-14-029-91 |
Крутящий момент |
Крутящий момент не допускается |
Пункт 8.2.7 руководство по эксплуатации “КОМПЛЕКС КАССЕТ ВВЭР-1000” 0401.22.00.000 РЭ |
Боковой удар |
Соударение штанги перегрузочной машины, транспортирующей ТВС, с конструкциями реактора или бассейна выдержки не допускается |
Пункт 6.5.11 “Правил безопасности при хранении и транспортировке ядерного топлива на объектах атомной энергетики” ПНАЭ Г-14-029-91 |
Усилие извлечения/установки |
Усилие извлечения не должно превышать 2205 Н. Усилие установки не должно превышать 735 Н |
Пункт 8.2.4 руководство по эксплуатации “КОМПЛЕКС КАССЕТ ВВЭР-1000” 0401.22.00.000 РЭ |
Усилие сжатия |
Величина усилия сжатия не должна превышать 9800 Н |
Пункт 8.2.3 руководство по эксплуатации “КОМПЛЕКС КАССЕТ ВВЭР-1000” 0401.22.00.000 РЭ |
Предельное верхнее положение ТВС |
Подъем отработавшей ТВС выше отметки, обеспечивающей соответствующий слой воды из условия безопасности персонала, управляющего перегрузкой ядерного топлива, не допускается |
Пункт 6.5.11 “Правил безопасности при хранении и транспортировке ядерного топлива на объектах атомной энергетики” ПНАЭ Г-14-029-91 |
Усилие изгиба |
Усилие изгиба не допускается |
Пункт 6.5.11 “Правил безопасности при хранении и транспортировке ядерного топлива на объектах атомной энергетики” ПНАЭ Г-14-029-91 |
Усилие растяжения |
Максимальное усилие при извлечении ТВС в реакторе на начальном участке 40 мм не должно превышать 39200 Н |
Пункт 8.2.5 руководство по эксплуатации “КОМПЛЕКС КАССЕТ ВВЭР-1000” 0401.22.00.000 ТО |
Саморазрушение ТВС |
Перегрузка ТВС с механическими повреждениями (отрыв отдельных деталей или частей узлов) не допускается |
Пункт 10.6 руководство по эксплуатации “КОМПЛЕКС КАССЕТ ВВЭР-1000” 0401.22.00.000 РЭ |
Перегрев ТВС |
Перегрузка ТВС при снижении уровня воды в бассейне выдержки не допускается |
Пункт 4.2.11 “Правил безопасности при хранении и транспортировке ядерного топлива на объектах атомной энергетики” ПНАЭ Г-14-029-91 |
3. Перечень нарушений технологического процесса и условий эксплуатации, которые могут привести к ПНВ
В качестве нарушений технологического процесса перегрузки активной зоны принимают нарушения нормальной эксплуатации, которые, в общем виде, сводятся к следующим:
– несанкционированные перемещения механизмов;
– несанкционированные скорости перемещения механизмов;
– несанкционированные направления перемещения механизмов;
– ошибка выхода механизма на заданные координаты;
– нахождение механизма не в заданном положении;
– нахождение перегружаемого изделия в положении, не соответствующем заданному положению;
– наличие посторонних предметов в зоне расположения перегружаемых изделий;
– отклонение геометрии перегружаемых изделий;
– потеря энергоснабжения;
– сейсмические воздействия и др.
Нарушения технологического процесса распределяют на две группы:
– нарушения действия, например несанкционированное перемещение моста;
– нарушения состояния, например захват ТВС находится в промежуточном положении.
Общее количество нарушений технологического процесса, рассматриваемое в рамках данного процесса, составляет 55, из них к нарушениям состояния относятся 16 НТП.
4. Схема разделения транспортно-технологических операций на интервалы с неизменными условиями безопасности
Следующим этапом является разработка диаграммы разделения транспортно-технологических операций на интервалы, для которых условия безопасности остаются постоянными.
Процедура построения схемы разделения транспортно-технологических операций на интервалы с неизменными условиями безопасности будет рассмотрена применительно к операции “Установка ТВС в реактор”.
Сначала составляют таблицу, содержащую сведения о ПНВ Diдоп, соответствующих им источниках опасности и зонах действия источников опасности. Зона действия источника опасности определяет те участки технологической операции, на которых источники опасности могут привести к недопустимым воздействиям. Например, для некоторых критериев безопасности таблица может выглядеть следующим образом (таблица 2).
Таблица 2 |
Критерий безопасности Diдоп |
Источник опасности F(Di) |
Зона действия источника опасности |
Падение ТВС (П1) |
Несанкционированное открывание захвата ТВС |
Начало – транспортное положение с ТВС. Окончание – хвостовик ТВС находится на расстоянии 100 мм до места установки |
Крутящий момент (П2) |
Несанкционированный поворот рабочей штанги |
Начало – хвостовик устанавливаемой ТВС находится на уровне головок стоящих ТВС. Окончание – ТВС установлена в гнездо реактора |
Усилие сжатия (П5) |
Перемещение захвата ТВС с ТВС вниз на несанкционированной скорости |
Начало – хвостовик ТВС находится на расстоянии 100 мм до места установки ТВС в гнездо реактора. Окончание – ТВС установлена в гнездо реактора |
Далее строят диаграмму распределения зоны действия ИО по различным участкам анализируемой ТО (фиг.1).
При этом технологический процесс представляют в следующей системе координат.
На горизонтальную ось наносят точки начала и окончания действия источников опасности. На вертикальную ось наносят точки, соответствующие возможным видам повреждения (ПНВ). Затем для каждого источника опасности строят зону его действия, показывая ее горизонтальной линией. Далее через начальные и конечные точки полученных зон действия источников опасности проводят вертикальные линии (показаны пунктирными линиями), которые разделяют всю технологическую операцию на интервалы, для которых остаются неизменными условия превышения пределов безопасности, т.е., например, количество и виды возможных повреждений ТВС.
Полученные интервалы безопасности представляют собой стационарные, в смысле условий безопасности, объекты, для которых применимы стандартные расчетные методы ВАБ.
Таким образом, весь технологический процесс оказывается представленным в виде последовательно соединенных интервалов безопасности. Причем интервалы безопасности связаны между собой не только порядком выполнения отдельных технологических операций, но и причинно-следственными связями нарушений технологического процесса, происходящих на этих интервалах.
5. Таблица распространения нарушений
Данную таблицу составляют на основе анализа перехода нарушений технологического процесса из одного интервала безопасности в другой.
Особенностью многих транспортно-технологических операций, в частности, операций по перегрузке ядерного топлива является то обстоятельство, что нарушение технологического процесса перегрузки, произошедшее на каком-либо интервале технологического процесса, может не приводить к ПДВ на перегружаемое изделие на этом интервале, а передаваться на последующие интервалы технологического процесса, на которых и может произойти ПДВ на перегружаемое изделие. Например, на интервале перемещения ТВС в транспортное положение может возникнуть нарушение технологического процесса, в результате которого ТВС не будет поднята до нужного уровня и ее нижняя часть будет выступать за габариты рабочей штанги. На рассматриваемом интервале это нарушение не может привести к повреждению ТВС, однако в дальнейшем, при перемещении ТВС через транспортный коридор, возможен ее изгиб при взаимодействии с конструктивными элементами транспортного коридора.
Указанная особенность технологического процесса приводит к необходимости анализа процесса распространения нарушений по технологическому процессу. В связи с этим были разработаны “Правила распространения нарушений технологического процесса” (Правила), которые используют для анализа перехода нарушений технологического процесса из одного интервала безопасности в другой.
Затем составляют сводную таблицу распространения нарушений, в которой перечисляют все возможные нарушения технологического процесса и все интервалы безопасности, составляющие данную операцию. Заполнение данной таблицы осуществляют, используя разработанные ранее Правила. Например, для первых трех интервалов безопасности операции “Установка ТВС” таблица будет выглядеть следующим образом (таблица 3).
Таблица 3 |
Условные обозначения |
Наименование нарушения |
БИ 1.15 |
БИ 1.16 |
БИ 1.17 |
… |
|
|
Вх. |
|
Вых. |
Вх. |
|
Вых. |
Вх. |
|
Вых. |
|
Н 2.1.6.1 |
мост находится не на требуемых координатах установки/извлечения ТВС |
+ |
× |
+ |
+ |
× |
+ |
+ |
2 |
– |
|
Н 2.2.6.1 |
тележка находится не на координатах, требуемых установки/извлечения ТВС |
+ |
× |
+ |
+ |
× |
+ |
+ |
2 |
– |
|
Н 2.2.6.2 |
тележка находится не на требуемых координатах входа в транспортный коридор |
– |
4 |
– |
– |
4 |
– |
– |
4 |
– |
|
Н 2.4.7.1 |
ЗТВС с ТВС находится выше «транспортного положения с ИП» |
+ |
1 |
– |
– |
1 |
– |
– |
1 |
– |
|
Н 2.4.7.2 |
ЗТВС с ТВС находится ниже «транспортного положения с ИП” |
+ |
1 |
– |
– |
1 |
– |
– |
1 |
– |
|
Н 2.4.7.3 |
ЗТВС с подхваченной ТВС находится в “транспортном положении с изделием” |
– |
4 |
– |
– |
4 |
– |
– |
4 |
– |
|
Н 2.4.7.4 |
ЗТВС находится не на требуемых координатах установки/извлечения ТВС (по высоте) |
– |
4 |
– |
– |
4 |
– |
– |
– |
– |
|
Н 2.5.7.1 |
несоответствие фактического положения захвата ТВС – захват открыт – требуемому |
– |
2 |
– |
– |
2 |
– |
– |
3 |
– |
|
Н 2.5.7.2 |
несоответствие фактического положения захвата ТВС – захват закрыт – требуемому |
– |
4 |
– |
– |
4 |
– |
– |
4 |
– |
|
Н 2.5.7.3 |
фиксатор захвата находится в промежуточном положении |
+ |
× |
+ |
+ |
× |
+ |
+ |
× |
+ |
|
Н 2.7.7.1 |
РШ находится не в “0°” (требуемое положение) |
+ |
× |
+ |
+ |
× |
+ |
+ |
× |
+ |
|
Н 2.7.7.2 |
РШ находится не в “45°” (требуемое положение) |
– |
4 |
– |
– |
4 |
– |
– |
4 |
– |
|
Н 10 |
ТВС установлена не в гнездо реактора |
– |
4 |
– |
– |
4 |
– |
– |
– |
– |
|
и т.д. |
|
|
|
|
|
|
|
|
|
|
|
В данной таблице знаки “+”, “-” обозначают наличие или отсутствие возможности существования нарушения на входе и выходе интервала безопасности, цифры “1”-“6” соответствуют номерам правил распространения нарушений технологического процесса, которые заключаются, например, в следующем.
Правило 1: действие нарушения технологического процесса завершается с началом штатного перемещения механизма. Например, действие нарушения технологического процесса “Ошибка выхода моста на заданные координаты” прекращается после начала штатного перемещения моста.
Правило 2: возможность нарушения технологического процесса исключается при условии реализации интервала безопасности в соответствии с технологическим процессом, что было бы невозможно при наличии рассматриваемого нарушения. Например, установка ТВС в гнездо реактора прекращает действие следующих нарушений: “Рабочая штанга не в 0 градусов”, “Мост или тележка не на координатах извлечения/установки перегружаемого изделия”, и т.д.
Правило 3: действие нарушения технологического процесса (НТП) прекращается при безусловном переходе нарушения технологического процесса в превышение допустимого воздействия (ПДВ). Например, несанкционированное открывание захвата ТВС при транспортировке ТВС (НТП) безусловно приводит к падению ТВС (ПДВ).
Правило 4: нарушение технологического процесса прекращает действие на том интервале безопасности, на котором нарушение не является нарушением технологического процесса для данного интервала безопасности. Например, нарушение технологического процесса Положение захвата ТВС “Захват ТВС открыт” прекращает действие после установки ТВС на штатное место.
Правило 5: действие нарушения технологического процесса не рассматривается, если оно не позволяет выполнить штатную технологическую операцию, но при этом не приводит к ПНВ. Например, при перемещении вниз захвата ТВС, находящегося в положении “Захват ТВС закрыт” не произойдет посадка захвата ТВС на ТВС, однако при этом не создаются условия, приводящие к повреждению ТВС.
Правило 6: нарушения технологического процесса, связанные с нарушениями нормальной эксплуатации (посторонние предметы, отклонения геометрических размеров зоны обслуживания, перегружаемых изделий и т.п.), считаются возникшими, когда нарушения начинают оказывать влияние на безопасность технологического процесса. Например, посторонний предмет, находящийся в гнезде реактора, не рассматривается как нарушение технологического процесса до тех пор, пока не происходит установка ТВС в гнездо реактора, где находится данный предмет. Посторонний предмет в гнезде реактора может привести к тому, что ТВС не встанет на штатное место и далее может произойти падение ТВС.
Далее на основании перечисленных документов формируют вербальную модель для анализа безопасности технологического процесса (фиг.2).
На третьем этапе осуществляют моделирование технологического процесса, которое выполняют в следующей последовательности.
На основе полученной ранее таблицы распространения строят детерминистско-вероятностную модель технологической операции с учетом возможного перехода нарушений технологического процесса на последующие интервалы безопасности (фиг.3). Данная модель представляет собой совокупность интервалов безопасности. При этом рассматривают нарушения технологического процесса, которые возникли на данном интервале безопасности, а также нарушения технологического процесса, которые были переданы с предыдущего и вызвали превышение допустимого воздействия на данном интервале или могут вызвать превышения допустимых воздействий на последующих интервалах.
Данная модель учитывает все возможные сценарии и пути развития событий и позволяет провести качественную оценку безопасности данной технологической операции. Результаты данного анализа могут использоваться как самостоятельно, так и для проведения последующей количественной оценки безопасности технологического процесса.
Далее строят логические или логико-вероятностные модели возникновения каждого превышения допустимого воздействия для каждого интервала безопасности (фиг.4). При этом рассматривают такие нарушения технологического процесса, которые возникли на данном интервале безопасности или пришли с предыдущего и вызвали превышение допустимого воздействия на данном интервале. Также учитывают внешние воздействия и имеющиеся на данном интервале безопасности защиты и блокировки. При этом для получения количественных показателей каждое нарушение технологического процесса или отказы защит и блокировок учитывают с соответствующим вероятностным показателем его возникновения.
Входящими воздействиями могут быть, например: случайное воздействие на клавиатуру; выдача оператором ошибочной команды; отказ пульта дистанционного управления (ПДУ) системы управления по функции управления; отказ программно-технического комплекса (ПТК) системы управления по функции управления; отказ комплекса электрооборудования (КЭ) системы управления по функции управления.
Внешними входящими воздействиями могут быть, например: отказы оборудования (перегрузочной машины и системы управления перегрузочной машины); ошибки эксплуатационного персонала; отклонения геометрических размеров перегружаемых изделий от проектных размеров; отклонения геометрических размеров: гнезд установки ТВС в реакторе, ячеек стеллажей бассейна выдержки, чехлов для свежего топлива и контейнера для отработавшего топлива от проектных размеров; непредусмотренные проектом конструктивные элементы зоны обслуживания; посторонние предметы в зоне обслуживания; снижение уровня воды вследствие течи облицовки бассейна выдержки; полное прекращение энергоснабжения; сейсмическое воздействие.
Защиты и блокировки могут включать, например, защиты и блокировки, реализованные в структуре системы управления перегрузочной машины. Защиты и блокировки подразделяют на две группы: общие защиты и блокировки и защиты и блокировки для каждого механизма перегрузочной машины.
По способу реализации группы защит и блокировок распределяют в структуре системы управления следующим образом:
– пульт дистанционного управления – защиты;
– программно-технический комплекс – защиты и блокировки;
– комплекс электрооборудования – защиты и блокировки.
Такой способ распределения защит и блокировок позволяет осуществить эшелонированную защиту и использовать принцип независимости при формировании определенных защит и блокировок, направленных на обеспечение пределов и условий безопасной эксплуатации.
В зависимости от целей и задач проводимого анализа безопасности технологичесокго процесса возможны различные модификации и сочетания описываемых моделей, например, детерминистских моделей операций и логико-вероятностных модели нарушений технологического процесса.
Например, последовательно объединяя детерминистско-вероятностные модели технологических операций, строят модель технологического цикла, а затем и модель всего процесса перегрузки активной зоны РУ (фиг.5).
Модель процесса перегрузки обеспечивает возможность определения комплексного показателя безопасности, а также количественных показателей безопасности по каждому критерию безопасности.
На четвертом этапе производят расчет вероятностных показателей безопасности технологического процесса перегрузки активной зоны с использованием аттестованного расчетного комплекса “Risk Spectrum Professional”.
Процедуру расчета количественных вероятностных показателей безопасности (критериев безопасности) выполняют в следующей последовательности:
– вводят модель процесса перегрузки в расчетный комплекс;
– назначают вероятностные характеристики возможных нарушений технологического процесса;
– назначают характеристики надежности защит и блокировок;
– выполняют необходимые расчеты и анализ результатов;
– представляют результаты расчета вероятностных показателей безопасности транспортно-технологической операции “Установка ТВС”;
– представляют результаты анализа влияния отдельных защит и блокировок на вероятностные показатели безопасности.
На пятом этапе проводят анализ показателей безопасности, характеризующих вклад отдельных транспортно-технологических операций и отдельных защит и блокировок в общий показатель безопасности технологического процесса перегрузки активной зоны.
На шестом этапе осуществляют разработку предложений и рекомендаций по усовершенствованию конструктивных и схемных решений перегрузочной машины и системы управления.
На седьмом этапе осуществляют выработку рекомендаций по повышению уровня безопасности АЭС при выполнении транспортно-технологических операций с ядерным топливом.
Далее рассмотрен вариант количественной оценки безопасности технологической операции “Установка ТВС в реактор” для реактора типа ВВЭР-1000, выполненной с использованием заявленного способа анализа и оценки безопасности транспортно-технологического процесса повышенной степени опасности.
Объектом анализа является технологический комплекс перегрузки активной зоны реакторной установки, включающий машину перегрузочную (МП), систему управления МП, структурная схема которой показана на фиг.6, зону перегрузки (реактор), перегружаемые изделия (ТВС), которые рассматриваются с учетом возможных нарушений технологического процесса перегрузки, отказов оборудования, отклонения геометрии перегружаемых изделий (ПИ) от проектных, ошибок персонала и др.
Система управления машины перегрузочной (фиг.6) содержит пульт дистанционного управления 1, программно-технический комплекс канала А 2, программно-технический комплекс канала В 3, блок логической обработки 4, комплекс 5 электрооборудования (КЭ) управления исполнительными механизмами, датчики каналов А и В (не показаны).
В настоящем примере рассмотрен один вид ПИВ – “Падение ТВС” (см. таблицу 1), т.е. оценивается вероятность падения ТВС на операции “Установка в реактор”.
На первом этапе выполняют детальный анализ процесса перегрузки на основе данных нормативно-технической документации и информации о воздействиях Di(1iдоп на данной операции, которые приведены в таблице 4.
Таблица 4 |
Критерий безопасности |
Воздействие Di |
Условия отказа |
Падение ТВС Diдоп |
Несанкционированное открывание захвата ТВС при перемещении ТВС |
“Падение” может происходить при нахождении хвостовика ТВС выше уровня установки более чем на 50 мм |
Перемещение ТВС при не полностью закрытом захвате ТВС |
“Падение” может происходить при самопроизвольном открывании захвата ТВС, при нахождении перемещаемой ТВС на вертикальных и горизонтальных участках технологического процесса |
Несанкционированное открывание захвата ТВС после установки ТВС не в гнездо реактора (не на штатное место) |
“Падение” может происходить при сходе захвата ТВС с ТВС |
Перемещение “подхваченной” ТВС: |
“Падение” “подхваченной” ТВС может самопроизвольно происходить на вертикальных и горизонтальных участках технологического процесса |
– в результате заклинивания ТВС при посадке или сходе захвата ТВС с головки ТВС |
– при неполном открывании захвата ТВС |
Обрыв каната захвата ТВС |
“Падение” может происходить при нахождении хвостовика ТВС выше уровня установки более чем на 50 мм |
Разрушение силовой цепи захвата ТВС |
Разрушение силовой цепи механизма перемещения ЗТВС |
На основании полученных данных формируют перечень нарушений технологического процесса (НТП) F=f(Di) и условий эксплуатации, которые непосредственно могут привести к ПНВ на операции “Установка ТВС в реактор”, т.е. нарушений, для которых Di>Diдоп, приведенный в таблице 5.
Таблица 5 |
Обозначение НТП |
Наименование НТП |
F06 |
Выход моста не в заданные координаты |
F12 |
Выход тележки не в заданные координаты |
F19 |
Несанкционированное перемещение захвата ТВС выше координаты установки ТВС при открывании ЗТВС |
F20 |
Перемещение захвата ТВС при нахождении фиксатора захвата ТВС в промежуточном положении |
F31 |
Останов фиксатора захвата ТВС в промежуточном положении |
F33 |
Неполное открытие захвата ТВС |
F34 |
Неполное закрытие захвата ТВС |
F40 |
Мост находится не на координатах установки ТВС |
F41 |
Тележка находится не на координатах установки ТВС |
F46 |
Захват ТВС находится не на координатах установки ТВС (по высоте) |
F52 |
Фиксатор захвата ТВС находится в промежуточном положении |
F55 |
ТВС не в гнезде реактора вследствие выхода не на координаты установки по горизонтали |
F56 |
Установка ТВС не в гнездо реактора вследствие отказов оборудования (по горизонтали) |
F57 |
Открытие ЗТВС при нахождении ЗТВС не на координатах установки по вертикали |
F64 |
Перемещение механизмов МП при заклинивании ЗТВС (при обращении с ТВС) |
F66 |
Перемещение подхваченной ТВС согласно технологическому процессу |
F67 |
Перемещение захвата ТВС при подхвате ТВС |
F68 |
Несанкционированное открытие ЗТВС при установке ТВС не на координаты установки по горизонтали |
F73 |
Препятствие движению ТВС при установке вследствие отказов оборудования и нарушений условий эксплуатации |
F75 |
Препятствие движению ТВС при установке вследствие отклонения установленных ТВС от вертикального положения |
F76 |
Препятствие установке ТВС в гнездо реактора (загруженная зона) вследствие отказов оборудования и нарушений условий эксплуатации |
F79 |
Препятствие установке ТВС в гнездо реактора (свободная зона) вследствие отказов оборудования и нарушений условий эксплуатации |
F117 |
Установка ТВС не в гнездо реактора |
F118 |
Несанкционированное перемещение фиксатора в направлении открывания захвата ТВС при вертикальных перемещениях |
F123 |
Захват ТВС открыт при установке ТВС не в гнездо реактора |
F124 |
ТВС не в гнезде реактора вследствие выхода не на координаты установки по вертикали |
В таблице 5 и далее использованы обозначения НТП и других событий, принятые при проведении анализа безопасности перегрузки ядерного топлива одного из энергоблоков Российской АЭС.
На следующем этапе выполняют разделение транспортно-технологической операции “Установка ТВС в реактор” на интервалы Rj(1
Данная операция включает следующие действия:
– перемещение ТВС из транспортного положения вниз до гнезда реактора;
– установка ТВС в гнездо реактора;
– открывание захвата ТВС;
– сход захвата ТВС с головки ТВС;
– перемещение пустого захвата вверх в транспортное положение.
Для разделения указанной операции на интервалы с неизменными условиями безопасности (БИ) составляют таблицу (фиг.7), аналогичную таблице, приведенной на фиг.1.
В результате технологическая операция оказывается разделенной на следующие технологические интервалы:
R17 – Перемещение ТВС вниз до положения хвостовика ТВС на 200 мм выше уровня головок ТВС.
R18 – ТВС вниз до положения хвостовика ТВС, соответствующего уровню головок ТВС.
R19 – Перемещение хвостовика ТВС от уровня головок ТВС до уровня гнезда реактора.
R21 – Установка ТВС в гнездо реактора.
R23 – Перемещение фиксатора в положение «ЗАХВАТ ТВС ОТКРЫТ».
R26 – Сход захвата ТВС с ПИ в реакторе.
R07 – Перемещение захвата ТВС на 4770 мм выше уровня головок ПИ в реакторе.
R19 – Перемещение захвата ТВС в транспортное положение без ПИ в реакторе.
Анализ НТП, полученных на предыдущем этапе, показывает, что существуют такие НТП, которые после их возникновения могут не сразу приводить к ПНВ, а сохраняться какое-то время в ходе технологического процесса. В рассматриваемом примере к таким НТП относятся следующие:
F40 – Мост находится не на координатах установки ТВС.
F41 – Тележка находится не на координатах установки ТВС.
F46 – Захват ТВС находится не на координатах установки ТВС (по высоте).
F52 – Фиксатор захвата ТВС находится в промежуточном положении.
F55 – ТВС не в гнезде реактора вследствие выхода не на координаты установки по горизонтали.
F66 – Перемещение подхваченной ТВС согласно технологическому процессу.
F123 – Захват ТВС открыт при установке ТВС не в гнездо реактора.
Для указанных НТП составляют таблицу распространения нарушений по интервалам безопасности, входящим в рассматриваемую технологическую операцию (таблица 6). Таблицу 6 заполняют в соответствии с Правилами распространения нарушений технологического процесса. В необходимых случаях номера Правил указаны в таблице цифрами.
Таблица 6 |
|
Обозначение НТП |
F40 |
F41 |
F46 |
F52 |
F55 |
F66 |
F123 |
R17 |
Вх. |
+ |
+ |
– |
+ |
– |
– |
– |
|
× |
× |
4 |
|
|
|
|
Вых. |
+ |
+ |
– |
+ |
– |
– |
– |
R18 |
Вх. |
+ |
+ |
– |
+ |
– |
– |
– |
|
× |
× |
4 |
|
|
|
|
Вых. |
+ |
+ |
– |
+ |
– |
– |
– |
R19 |
Вх. |
+ |
+ |
– |
+ |
– |
– |
– |
|
|
|
|
|
|
|
|
Вых. |
+ |
+ |
+ |
+ |
– |
– |
– |
R21 |
Вх. |
+ |
+ |
+ |
+ |
– |
– |
– |
|
2 |
2 |
|
|
|
|
|
Вых. |
– |
– |
+ |
+ |
+ |
– |
– |
R23 |
Вх. |
– |
– |
+ |
+ |
+ |
– |
– |
|
|
|
|
1 |
|
|
|
Вых. |
– |
– |
+ |
– |
+ |
– |
+ |
R26 |
Вх. |
– |
– |
+ |
– |
+ |
– |
+ |
|
|
|
3 |
|
3 |
|
|
Вых. |
– |
– |
– |
– |
– |
+ |
+ |
R07 |
Вх. |
– |
– |
– |
– |
– |
+ |
+ |
|
|
|
|
|
|
|
3 |
Вых. |
– |
– |
– |
– |
– |
+ |
– |
R08 |
Вх. |
– |
– |
– |
– |
– |
+ |
– |
|
|
|
|
|
|
|
|
Вых. |
– |
– |
– |
– |
– |
+ |
– |
Далее формируют таблицу причинно-следственных связей ПНВ и НТП (таблица 7). В рассматриваемом примере таблица заполняется только для одного вида ПНВ – “Падение ТВС”.
Таблица 7 формируется для каждого интервала безопасности на основании данных, приведенных в таблице причин и условий возникновения ПНВ (таблица 4) и перечня НТП, которые непосредственно могут привести к ПНВ (таблица 5).
Для наглядности рассматриваемого примера анализ выполнен только для некоторых НТП (из перечня НТП, составленного ранее), которые могут привести к ПНВ, а именно НТП, связанные с возможностью несанкционированного открывания захвата ТВС во время вертикального перемещения ТВС и с возможностью установки ТВС не в гнездо реактора. При установке ТВС не в гнездо реактора при последующем открывании захвата ТВС и сходе его с головки ТВС последняя может упасть. Результаты анализа причинно-следственных связей ПНВ и НТП приведены в таблице 7.
Таблица 7 |
Обозначение БИ |
Критерий безопасности |
Нарушения технологического процесса |
Наименование НТП |
Обозначение НТП |
R17 |
Падение ТВС |
Несанкционированное перемещение фиксатора в направлении открывания захвата ТВС при вертикальных перемещениях |
F118 |
R18 |
F118 |
R19 |
F118 |
R21 |
ТВС не в гнезде реактора вследствие выхода не на координаты установки по вертикали |
F124 |
R23 |
Захват ТВС открыт при установке ТВС не в гнездо реактора |
F123 |
R26 |
F123 |
R07 |
– |
– |
R08 |
– |
– |
Результаты проведенного анализа позволяют построить детерминистскую модель для анализа и оценки вероятности падения ТВС на операции “Установка ТВС в реактор”.
Детерминистскую модель строят на основании проведенного разделения операций на БИ и данных, приведенных в таблицах 4, 5, 6, 7, с учетом принятых ограничений по рассматриваемым НТП. Графическое изображение детерминистской модели представлено на фиг.8.
Как показано на фиг.8, падение ТВС на операции “Установка ТВС в реактор” по причинам, выбранным для рассматриваемого примера, может произойти на интервалах R17, R18, R19, R07.
На фиг.8 пунктирными линиями показаны технологические связи между интервалами технологического процесса, а сплошными, с обозначением нарушений, показаны распространяющиеся нарушения или нарушения, переходящие с одного БИ на другой.
На следующем этапе формируют логико-вероятностную модель (ЛВМ), используемую для анализа и оценки безопасности перегрузки.
Сначала строят ЛВМ ПНВ (падение ТВС) на рассматриваемой операции. Графическое изображение этой модели приведено на фиг.9.
Для события “Падение ТВС” на технологической операции принято обозначение D01. Для события “Падение ТВС” на каком-либо интервале к обозначению D01 добавляется обозначение соответствующего интервала. Аналогичное правило действует для НТП, т.е. если НТП происходит на каком-либо интервале, то к обозначению НТП добавляется обозначение интервала.
Знак , изображенный под событиями модели, показывает, что это событие является следствием других событий и для него будет создана своя ЛВМ. Знак , изображенный под событием, показывает, что это событие не предполагает рассматривать его как следствие других событий, т.к. для него может быть назначен вероятностный показатель появления этого события.
Как показано на фиг.9, событие D01 на технологической операции соответствует логической сумме событий D01RXX на каждом БИ.
Далее на основании таблицы 7 строят модели ПНВ на БИ, которые показаны на фиг.10, 11, 12 и 13 соответственно.
Анализ этих моделей показывает, что они включают НТП, которые сами являются следствием других НТП и для них должны быть построены отдельные модели. К таким НТП относятся F118R17, F118R18, F118R19 и F123R07+.
Для построения таких моделей необходимо определить перечень инициирующих событий, которые могут привести к указанным нарушениям и определить те защиты и блокировки системы управления, которые могут предотвратить или прекратить развитие этих инициирующих событий. Эта информация может быть получена в результате анализа технической документации на систему управления МП. Указанный перечень инициирующих событий для рассматриваемой операции приведен в таблице 8.
Таблица 8 |
Обозначение НТП |
Инициирующие события |
Отказы защит и блокировок |
Наименование |
Обозначение |
Наименование |
Обозначение |
F118 |
Ошибочная команда оператора на открытие ЗТВС |
I061 |
Отказ защиты ПДУ на запрет открывания ЗТВС при вертикальном перемещении ТВС |
FP007 |
Самопроизвольная выдача ПДУ команды на открытие ЗТВС |
I062 |
Отказ защиты ПТК на запрет открывания ЗТВС при вертикальном перемещении ТВС |
FP033 |
Самопроизвольная выдача ПТК команды на открытие ЗТВС |
I063 |
– |
– |
F123 |
ТВС не в гнезде реактора вследствие выхода не на координаты установки по вертикали (посторонний предмет в гнезде реактора) |
F124 |
Отказ защиты ПТК на запрет открытия ЗТВС при установке ТВС выше требуемого уровня |
FP063 |
На фиг.14 приведена ЛВМ F118R17. Аналогичные модели строят для R18 и R19.
НТП F123 является распространяющимся нарушением (см. таблицу 6), поэтому для оценки вероятности F123 на R07 должна быть построена последовательность моделей F123 по всем БИ. Эти модели приведены на фиг.15. Связь моделей различных интервалов показана пунктирными линиями.
НТП F123 возникает на интервале R23 как следствие отказа защиты FP063 при установке ТВС не в гнездо реактора (F117). Таким образом, необходимо построение еще одной модели – F117R21+.
Установка ТВС не в гнездо реактора может произойти по ряду причин. Для данного примера рассмотрен один случай, а именно установка ТВС не в гнездо реактора из-за попадания постороннего предмета в гнездо реактора. ЛВМ F117R21+ для этого случая показана на фиг.16.
Все построенные модели объединяют в одну общую модель падения ТВС на операции “Установка ТВС в реактор”.
Как правило, из-за громоздкости физическое объединение отдельных моделей в одну не производят.
Объединение осуществляют путем организации ссылок с событий модели более высокого уровня на верхнее событие моделей более низкого уровня. Такой способ применяется, например, при использовании для формирования модели и проведения расчетов программного комплекса Risk Spectrum (RELCON, Швеция).
События моделей, обозначенные знаком , являются базовыми событиями, для которых назначаются вероятностные показатели. В рассматриваемом примере к ним относятся FP063, F070, I061, FP007, I062, FP033, I063.
Исходные данные по вероятности базовых событий взяты из анализа безопасности, выполненного для одного из энергоблоков АЭС с реактором типа ВВЭР-1000, и приведены в таблице 9.
Таблица 9 |
Обозначение события |
Название события |
Вероятность события P(FDi) |
FP063 |
Отказ защиты ПТК на запрет открытия ЗТВС при установке ТВС выше требуемого уровня |
5*10-3 |
F070 |
Посторонний предмет в гнезде реактора |
6*10-3 |
I061R17 |
Ошибочная команда оператора на открытие ЗТВС |
5,4*10-2 |
I061R18 |
2,7*10-2 |
I061 R19 |
4,12*10-1 |
FP007 |
Отказ защиты ПДУ на запрет открывания ЗТВС при вертикальном перемещении ТВС |
6,24*10-3 |
I062R17 |
Самопроизвольная выдача ПДУ команды на открытие ЗТВС |
8,1*10-5 |
I062R18 |
4,05*10-5 |
I062R19 |
6,18*10-4 |
FP033 |
Отказ защиты ПТК на запрет открывания ЗТВС при вертикальном перемещении ТВС |
5*10-3 |
I063R17 |
Самопроизвольная выдача ПТК команды на открытие ЗТВС |
5,4*10-5 |
I063R18 |
2,7*10-5 |
I063R19 |
4,12*10-4 |
Вероятность событий рассчитывалась с учетом общего числа операций по установке ТВС в реактор, выполняемых в процессе перегрузки активной зоны.
Расчеты и анализ результатов выполнялись с использованием программного комплекса Risk Spectrum [Risk Spectrum PSA Professional 1.20 / Theory Manual – RELCOM AB, 1998. – 57 c.].
Результаты расчетов приведены в таблице 10.
Таблица 10 |
№ МСО |
Вероятность P(Fi) |
Вклад, % |
Событие F1 |
Событие F2 |
Событие F3 |
Событие F4 |
1 |
1,70E-07 |
39,27 |
I063R19 A |
I063R19 В |
|
|
2 |
1,50E-07 |
34,71 |
F070R21 |
FP063 A |
FP063 В |
|
3 |
6,43E-08 |
14,87 |
FP007 |
FP033 A |
FP033 В |
I061R19 |
4 |
1,55E-08 |
3,57 |
FP033 A |
FP033 В |
I062R19 |
|
5 |
8,42E-09 |
1,95 |
FP007 |
FP033 A |
FP033 В |
I061R17 |
6 |
5,30E-09 |
1,23 |
FP007 |
FP033 В |
I061R19 |
I063R19 А |
7 |
5,30E-09 |
1,23 |
FP007 |
FP033 A |
I061R19 |
I063R19 В |
8 |
4,21E-09 |
0,97 |
FP007 |
FP033 A |
FP033 В |
I061R18 |
9 |
2,92E-09 |
0,67 |
I063R17 A |
I063R17 В |
|
|
10 |
2,03E-09 |
0,47 |
FP033 A |
FP033 В |
I062R17 |
|
11 |
1,27E-09 |
0,29 |
FP033 A |
I062R19 |
I063R19 В |
|
12 |
1,27E-09 |
0,29 |
FP033 В |
I062R19 |
I063R19 A |
|
13 |
1,01E-09 |
0,23 |
FP033 A |
FP033 В |
I062R18 |
|
14 |
7,29E-10 |
0,17 |
I063R18 A |
I063R18 В |
|
|
15 |
9,10E-11 |
0,02 |
FP007 |
FP033 В |
I061R17 |
I063R17 А |
16 |
9,10Е-11 |
0,02 |
FP007 |
FP033 А |
I061R17 |
I063R17 В |
17 |
2,27Е-11 |
0,01 |
FP007 |
FP033 А |
I061R18 |
I063R18 В |
18 |
2,27Е-11 |
0,01 |
FP007 |
FP033 В |
I061R18 |
I063R18 А |
19 |
2,19Е-11 |
0,01 |
FP033 В |
I062R17 |
I063R17 A |
|
20 |
2,19Е-11 |
0,01 |
FP033 А |
I062R17 |
I063R17 В |
|
21 |
5,47Е-12 |
0 |
FP033 В |
I062R18 |
I063R18 A |
|
22 |
5,47Е-12 |
0 |
FP033 А |
I062R18 |
I063R18 B |
|
Общее значение вероятности падения ТВС |
4,322Е-07 |
|
|
|
|
|
В таблице, наряду с общим значением вероятности падения ТВС на операции “Установка ТВС в реактор”, приведены значения вероятностей отдельных минимальных сечений (МСО), которые позволяют определить группы базовых событий, в наибольшей степени влияющие на вероятность падения ТВС.
В инженерной практике наиболее распространен анализ значимости базисных событий по коэффициенту Fussell-Veselu (FV). Коэффициент FV показывает насколько (если его измерять в %) уменьшится вероятность оцениваемого события (падения ТВС), если каждый из компонентов системы станет абсолютно ненадежным. Простота интерпретации коэффициента FV позволяет использовать его для формирования рекомендаций по исключению слабых мест в рассматриваемом объекте анализа.
Значение коэффициентов FV для рассматриваемых базисных событий приведены в таблице 11.
Таблица 11 |
№ |
Обозначение базисного события |
Описание базисного события |
FV |
1 |
I063 |
Самопроизвольная выдача ПТК команды на открытие ЗТВС |
4,079*10-01 |
2 |
FP063 |
Отказ защиты ПТК на запрет открытия ЗТВС при установке ТВС выше требуемого уровня |
3,47*10-01 |
3 |
F070 |
Посторонний предмет в гнезде реактора |
3,47*10-01 |
4 |
FP033 |
Отказ защиты ПТК на запрет открывания ЗТВС при вертикальном перемещении ТВС |
2,362*10-01 |
5 |
FP007 |
Отказ защиты ПДУ на запрет открывания ЗТВС при вертикальном перемещении ТВС |
2,03*10-01 |
6 |
I061 |
Ошибочная команда оператора на открытие ЗТВС |
1,732*10-01 |
7 |
I062 |
Самопроизвольная выдача ПДУ команды на открытие ЗТВС |
4,164*10-02 |
Анализ полученных результатов показывает, что наибольшее влияние на вероятность падения ТВС оказывают базисные события I063, FP063 и F070 (FV=0,347÷0,408). Первые два события связаны с отказами ПТК (по функции управления и функции защиты).
Основой ПТК (программно-технического комплекса) являются контроллеры, в которые загружена управляющая программа и программа, реализующая работу защит и блокировок. Отказы ПТК могут быть вызваны как отказом технических средств, так и отказами программного обеспечения (ПО), которые связаны с наличием ошибок ПО, не выявленных в процессе наладки и испытаний. Однако если ПО длительное время функционирует на нескольких объектах без проявления дефектов, то вероятность отказа по причине ошибок ПО может считаться пренебрежительно малой. Вероятность отказа технических средств контроллера зависит от надежности комплектующих его изделий и качества изготовления контроллера. Как правило, контроллеры различных типов, выпускаемые различными производителями, имеют различные надежностные характеристики и это дает возможность, при необходимости, произвести замену одних изделий на другие, обладающие теми же самыми функциональными возможностями, но лучшими показателями по надежности.
Анализ надежности программируемых контроллеров, выпускаемых ведущими фирмами, показывает, что в ПТК могут быть использованы контроллеры, надежность которых в несколько раз превышает надежность существующего оборудования.
Далее показано как указанная замена повлияет на вероятность падения ТВС.
Для ПТК на базе новых контроллеров (фирма Siemens) взяты данные по вероятности базовых событий, приведенные в таблице 12.
Таблица 12 |
Обозначение события (Fi) |
Название события |
Вероятность события P(Fi) |
FP063 |
Отказ защиты ПТК на запрет открытия ЗТВС при установке ТВС выше требуемого уровня |
1,25*10-3 |
FP033 |
Отказ защиты ПТК на запрет открывания ЗТВС при вертикальном перемещении ТВС |
1,25*10-3 |
I063R17 |
Самопроизвольная выдача ПТК команды на открытие ЗТВС |
1,35*10-5 |
I063R18 |
0,675*10-5 |
I063R19 |
1,03*10-4 |
Данные по вероятности остальных базовых событий остаются прежними (см. таблицу 10).
Далее проводят повторный расчет вероятности падения ТВС. Результаты расчета сведены в таблицу 13.
Таблица 13 |
№ МСО |
Вероятность P(Fi) |
Вклад, % |
Событие F1 |
Событие F2 |
Событие F3 |
Событие F4 |
1 |
1,06Е-08 |
39,24 |
I063R19A |
I063R19 В |
|
|
2 |
0,93Е-08 |
34,43 |
F070R21 |
FP063 А |
FP063 В |
|
3 |
4,01Е-09 |
14,84 |
FP007 |
FP033 А |
FP033 В |
I061R19 |
4 |
0,97Е-09 |
3,59 |
FP033A |
FP033 В |
I062R19 |
|
5 |
5,26Е-10 |
1,95 |
FP007 |
FP033 А |
FP033 В |
I061R17 |
6 |
3,31Е-10 |
1,23 |
FP007 |
FP033 В |
I061R19 |
I063R19 A |
7 |
3,31Е-10 |
1,23 |
FP007 |
FP033 А |
I061R19 |
I063R19 В |
8 |
2,62Е-10 |
0,97 |
FP007 |
FP033 А |
FP033 В |
I061R18 |
9 |
1,82Е-10 |
0,67 |
I063R17 A |
I063R17 В |
|
|
10 |
1,27Е-10 |
0,47 |
FP033 A |
FP033 В |
I062R17 |
|
Общее значение вероятности падения ТВС |
2,701Е-08 |
|
|
|
|
|
Полученный результат показывает, что вероятность падения ТВС при использовании контроллеров, имеющих более высокую надежность, уменьшилась более чем в 10 раз (прежнее значение 4,322Е-07).
Таким образом, целенаправленное изменение характеристик системы управления приводит к эффективному снижению вероятности повреждения перегружаемых изделий.
Рассмотренный пример носит иллюстративный характер и не характеризует вероятность падения ТВС при перегрузке реактора, т.к. при анализе была учтена только небольшая часть возможных нарушений технологического процесса и не учитывалась возможность падения ТВС на других операциях.
Рассмотренный пример носит иллюстративный характер и не характеризует вероятность падения ТВС при перегрузке реактора, т.к. при анализе была учтена только небольшая часть возможных нарушений технологического процесса и не учитывалась возможность падения ТВС на других операциях.
Формула изобретения
1. Способ управления опасным технологическим процессом с нестационарными объектами, включающий
измерение при помощи датчиков воздействий Di(1
определение предельно-допустимых значений воздействий Diдоп,
сравнение измеренных воздействий Di с допустимыми Diдоп для выявления нарушений Fi=f(Di) технологического процесса, при которых Diдоп>Diдоп,
отличающийся тем, что
для каждого выявленного нарушения Fi=f(Di>Diдоп) определяют множество частей технологического процесса, на которых действует это нарушение, и разбивают технологический процесс на интервалы безопасности Rj={f1, f2, … Fj, …Fn} (1
для каждого интервала безопасности Rj:
проводят анализ перехода нарушений Fi=f(Di>Diдоп) технологического процесса из одного интервала безопасности в другой с учетом причинно-следственных связей;
проводят моделирование путем построения детерминистских моделей безопасности с учетом возможных сценариев перехода нарушений Fi=f(Di>Diдоп) технологического процесса на последующие интервалы безопасности, и
на основе полученных моделей для каждого интервала безопасности Rj, определяют вероятности отказа оборудования, используемого при проведении технологического процесса, и вносят соответствующие изменения в процесс, позволяющие обеспечить заданные показатели безопасности.
2. Способ по п.1, отличающийся тем, что он дополнительно включает построение логических или логико-вероятностных моделей для каждого нарушения Fi=f(Di>Diдоп).
3. Способ по п.2, отличающийся тем, что логические или логико-вероятностные модели строят на основе анализа возможных воздействий Di, вызывающих соответствующие нарушения Fi=f(Di) технологического процесса, и различных сочетаний таких воздействий.
4. Способ по п.1, отличающийся тем, что в качестве нестационарных объектов рассматривают, по меньшей мере, одно из следующих: технологический процесс в целом, этапы и участки технологического процесса, изделия, устройства, узлы устройств, условия безопасности которых изменяются в зависимости от времени и местонахождения данного изделия, узла или устройства, в частности, в зависимости от того, на каком этапе или участке технологического процесса находится указанное изделие, устройство или узел.
5. Способ по п.4, отличающийся тем, что осуществляют переход от рассмотрения нестационарного технологического процесса к рассмотрению стационарных частей технологического процесса на основе данных анализа распределения зон действия выявленных нарушений Fi=f(Di>Diдоп) в различных частях технологического процесса.
6. Способ по п.1, отличающийся тем, что осуществляют переход к стационарным условиям путем анализа и оценки безопасности на каждом интервале безопасности Rj технологического процесса.
7. Способ по п.1, отличающийся тем, что анализ и оценку безопасности технологического процесса осуществляют путем построения диаграмм разделения на интервалы безопасности Rj.
8. Способ по п.1, отличающийся тем, что он дополнительно включает построение детерминистских моделей интервалов безопасности Rj с учетом возможных сценариев перехода нарушений технологического процесса на последующие интервалы безопасности Rj+1.
9. Способ по п.1, отличающийся тем, что он дополнительно включает построение детерминистско-вероятностных моделей безопасности всего технологического процесса.
10. Способ по п.8 или 9, отличающийся тем, что детерминистко-вероятностные модели безопасности всего технологического процесса строят с использованием полученных детерминистских моделей интервалов безопасности Rj.
11. Способ по п.2 или 9, отличающийся тем, что детерминистско-вероятностные модели безопасности всего технологического процесса строят с использованием полученных логико-вероятностных моделей возникновения нарушений Fi=f(Di>Diдоп).
12. Способ по любому из пп.2, 8, 9, отличающийся тем, что детерминистско-вероятностные модели безопасности всего технологического процесса строят с использованием полученных детерминистских моделей интервалов безопасности Rj и логико-вероятностных моделей возникновения нарушений Fi=f(Di>Diдоп) технологического процесса.
13. Способ по п.1, отличающийся тем, что при проведении анализа перехода нарушений технологического процесса учитывают причинно-следственные связи между нарушениями Fi=f(Di>Diдоп), возможными нарушениями Fi=f(Di) технологического процесса и функцией защит и блокировок на каждом этапе технологического процесса.
14. Способ по п.1, отличающийся тем, что для анализа распределения зон действия источников опасности проводят анализ каждого единичного участка операции технологического процесса для определения того, какие именно источники опасности вызывают то или иное превышение допустимого воздействия Diдоп.
15. Способ по п.1, отличающийся тем, что при разделении на интервалы безопасности учитывают каждое нарушение Fi=f(Di>Diдоп) в каждой части рассматриваемого технологического процесса для каждого выбранного критерия безопасности Diдоп.
16. Способ по п.1, отличающийся тем, что в качестве допустимых воздействий Diдоп используют нормативные воздействия, указанные в нормативно-технической документации по безопасности.
РИСУНКИ
TK4A – Поправки к публикациям сведений об изобретениях в бюллетенях “Изобретения (заявки и патенты)” и “Изобретения. Полезные модели”
Напечатано: (73) Патентообладатель(ли): Общество с ограниченной ответственностью «Диаконт» (RU)
Следует читать: (73) Патентообладатель(ли): Закрытое акционерное общество «Диаконт» (RU)
Номер и год публикации бюллетеня: 27-2008
Код раздела: FG4A
Извещение опубликовано: 27.03.2009 БИ: 09/2009
TK4A – Поправки к публикациям сведений об изобретениях в бюллетенях “Изобретения (заявки и патенты)” и “Изобретения. Полезные модели”
Напечатано: (24) 30.05.2007
Следует читать: (24) 02.07.2007
Номер и год публикации бюллетеня: 27-2008
Код раздела: FG4A
Извещение опубликовано: 20.05.2009 БИ: 14/2009
|