Про затвердження Вимог з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки атомних станцій

Відповідно до статей 22 та 24 Закону України "Про використання ядерної енергії та радіаційну безпеку" та з метою вдосконалення нормативно-правової бази України щодо регулювання ядерної та радіаційної безпеки ядерних установок

1. Затвердити Вимоги з ядерної та радіаційної безпеки до інформаційних та керуючих систем, важливих для безпеки атомних станцій, що додаються.

2. Департаменту з питань безпеки ядерних установок (Столярчук Б.В.) забезпечити подання цього наказу на державну реєстрацію до Міністерства юстиції України у встановленому порядку.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

1. Ці Вимоги поширюються на інформаційні та керуючі системи й елементи, важливі для безпеки атомних станцій, компоненти (програмно-технічні комплекси, технічні засоби автоматизації) і програмне забезпечення зазначених систем, а також на процеси їх розроблення, оцінювання, підтвердження відповідності та експлуатації. Інформаційні та керуючі системи поділяються на керівні системи безпеки та системи контролю й управління, визначені у Загальних положеннях безпеки атомних станцій, затверджених наказом Державного комітету ядерного регулювання України від 19 листопада 2007 року № 162, зареєстрованих у Міністерстві юстиції України 25 січня 2008 року за № 56/14747 (зі змінами) (далі - Загальні положення безпеки атомних станцій).

Ці Вимоги поширюються також на технічні засоби автоматизації у складі забезпечуючих, захисних, локалізуючих систем безпеки, технологічних систем нормальної експлуатації та технологічного устаткування, які виконують у цих системах функції автоматичного контролю (технічного діагностування, відображення, сигналізації, реєстрації) або керування (захисту, обмеження, регулювання, блокування), що пов'язані з контролем та управлінням технологічними процесами атомної станції, або підтримують дії експлуатаційного персоналу під час періодичного контролю стану та/або характеристик конструкцій, систем, компонентів технологічного устаткування, виявляють порушення їх працездатності, сповіщають персонал про результати контролю та виявлені порушення, за винятком сервісних функцій, які використовуються тільки під час ремонту цих систем або устаткування.

2. Терміни, використані у цих Вимогах, вживаються в таких значеннях:

безпечний контрольований стан енергоблока - стан енергоблока, за якого досягнуто стабілізацію будь-яких перехідних процесів, реактор знаходиться в підкритичному стані, забезпечено необхідне відведення тепла й обмежений вихід радіоактивності;

верифікація - підтвердження шляхом аналізу та надання об'єктивних доказів того, що результати, отримані на кожній стадії розробки, відповідають цілям і вимогам, що були задані на попередніх стадіях;

відмова - подія, що призводить до порушення працездатності системи (компонента), тобто до втрати здатності виконувати одну або декілька необхідних функцій;

відновлення працездатності - поновлення здатності системи (компонента) виконувати всі необхідні функції, що здійснюється безпосередньо на місці експлуатації персоналом інформаційних та керуючих систем з використанням за потреби експлуатаційно-відновного резерву, призначених для цього інструментів і пристосувань та експлуатаційної документації;

виведення з роботи - навмисне тимчасове припинення використання системи (компонента) за призначенням із збереженням можливості виконання необхідної частини основних та/або додаткових функцій системи (компонента), у тому числі спеціально передбачених для цього режиму;

вид порушення - форма прояву порушення (наприклад, неспрацьовування, помилкове спрацьовування, обрив, коротке замикання, недостовірність вхідного сигналу);

виріб - одиниця продукції виробничо-технічного призначення, яка виготовлена, пройшла випробування та постачається або поставлена для автономного застосування або для використання в складі іншого виробу;

граничні умови експлуатації - порушення робочих умов експлуатації, що враховуються проектом, імовірність виникнення та тривалість яких є незначними;

додаткова функція системи (компонента) - функція, що доповнює основні функції системи (компонента) та сприяє досягненню необхідних споживчих властивостей, якості та/або надійності їх виконання;

експлуатаційно-автономний пристрій - окремий компонент системи або його складова частина, для яких передбачено й забезпечено можливість транспортування, зберігання й застосування в заданих умовах без потреби розміщення всередині іншого експлуатаційно-автономного пристрою;

елемент - складова частина інформаційної та керуючої системи, яка знаходиться на найбільш низькому рівні розукрупнення, тобто подальше розукрупнення якої в конкретному випадку неможливе або недоцільне;

життєвий цикл - сукупність стадій створення, впровадження й використання системи (компонента) в інтервалі часу, що починається з моменту розробки концепції й визначення технічних вимог і закінчується під час виведення системи (компонента) з експлуатації у зв'язку з неможливістю або недоцільністю подальшого використання за призначенням;

задана функція - будь-яка функція системи (компонента), виконання якої передбачене в документації та гарантується проектувальником системи (розробником компонента);

замовник - суб'єкт господарювання, за договором з яким здійснюється проектування системи або розробка, виготовлення та/або поставка її компонентів. Замовник може виступати як користувач системи (компонента);

захист - функція управління, яка ініціює дії, спрямовані на усунення небезпеки, пов'язаної з виникненням визначеної події, умови або обставин, та/або заходи, спрямовані на запобігання виникненню можливої небезпеки;

зняття з експлуатації - припинення використання за призначенням з подальшим демонтажем інформаційних та керуючих систем (програмно-технічного комплексу, технічних засобів автоматизації);

зовнішній фактор - фізична величина або комбінація взаємозалежних фізичних величин, що характеризує вплив на пристрій з боку його оточення під час транспортування, зберігання, експлуатації і за певних умов може викликати погіршення його властивостей, обмеження або втрату працездатності;

інтерфейс - спільна межа двох або більше об'єктів разом із сукупністю правил і вимог до цих об'єктів, що забезпечують можливість та ефективність їх взаємодії через цю межу;

інтерфейс "людина-машина" - інтерфейс, одним з об'єктів якого є оперативний персонал та/або персонал інформаційних і керуючих систем ("людина"), іншим - інформаційні та керуючі системи (програмно-технічні комплекси, технічні засоби автоматизації) ("машина");

інформаційна система - система, призначена для одержання, обробки, зберігання, відображення та/або реєстрації даних про технічний стан конструкцій, систем, елементів, їх властивості та/або функціонування;

канал вимірювання - канал, призначений для знаходження значення вимірюваної фізичної величини з нормованою точністю;

канал індикації - канал, призначений для спостереження за змінами в часі або просторовому розподілі фізичних величин без оцінки їх значень із нормованою точністю;

канал сигналізації - канал, призначений для оповіщення оперативного персоналу та/або персоналу інформаційних та керуючих систем про виникнення визначеної проектом події, загрози, умови ініціювання функції, важливої для безпеки, або про зміну стану контрольованого об'єкта;

канал управління - канал, призначений для ініціювання роботи іншого каналу однієї з керуючих або технологічних (захисних, локалізуючих, забезпечуючих) систем або для безпосереднього управління технологічною системою (устаткуванням);

категорія функції - градація, яка характеризує ступінь важливості функції для безпеки на підставі оцінки її призначення та/або наслідків, спричинених невиконанням або помилковим виконанням функції;

керуюча система - система, призначена для ініціювання роботи однієї чи декількох інших систем або технологічного устаткування та/або для безпосереднього управління ними;

контроль - функція, метою якої є одержання, обробка, зберігання, відображення та/або реєстрація даних про вихідні події, зовнішні та внутрішні впливи, поточний стан, властивості та/або функціонування об'єкта контролю, виявлення їх відхилень від заданих або допустимих та сигналізування про них;

конфігурація - розпізнавальна ознака системи (компонента), що у кожний момент життєвого циклу повністю визначається сукупністю розпізнавальних ознак та з'єднань усіх елементів апаратного та програмного забезпечення цієї системи (цього компонента);

користувач - суб'єкт господарювання, що використовує систему (компонент) за призначенням. Користувач може виступати замовником цієї системи (цього компонента);

метрологічне підтвердження - сукупність операцій, потрібних для гарантування того, що вимірювальне устаткування відповідає метрологічним вимогам щодо його використання за призначенням;

необхідна функція - функція системи (компонента), зазначена в проектній та/або експлуатаційній документації певної системи і в документах, що обґрунтовують безпеку;

непрацездатність - несправність, яка характеризується нездатністю системи (компонента) виконувати хоча б одну з потрібних функцій;

несправність - стан системи (компонента), який характеризується нездатністю виконувати хоча б одну із заданих функцій;

неспрацьовування - вид відмови, що характеризується відсутністю команди на виході керуючої системи (компонента), незважаючи на наявність заданих умов, за яких команду має бути сформовано й видано;

нормальні умови випробувань - межі якісних ознак і кількісних параметрів зовнішніх факторів, у яких вважається можливим ігнорувати їх вплив на результати випробувань певного виробу;

об'єкт - системи, їх компоненти, складові частини компонентів, канали; виконувані ними функції та властивості; процеси створення, впровадження, використання за призначенням і модернізації систем (компонентів);

оперативний персонал/оператори - фахівці, які здійснюють управління технологічними процесами енергоблока в передбачених проектом режимах експлуатації; виконують дії, спрямовані на запобігання та/або усунення порушень нормальної експлуатації; забезпечують досягнення безпечного контрольованого стану енергоблока після вихідної (початкової) події; здійснюють управління аваріями та обмеження їх наслідків;

основна функція системи (компонента) - функція, потрібна для використання системи (компонента) за призначенням;

персонал інформаційних та керуючих систем - фахівці, які контролюють стан і здійснюють технічне обслуговування, випробування й відновлення інформаційних, керуючих систем та їх компонентів;

помилкове спрацьовування - вид відмови, що характеризується наявністю команди на виході керуючої системи (компонента), незважаючи на відсутність заданих умов, за яких команду має бути видано;

постачальник - суб'єкт господарювання, який постачає продукцію за договором із замовником (постачальником може бути розробник та/або виготовлювач продукції);

працездатний стан - стан системи (компонента), що характеризується здатністю виконувати всі потрібні функції;

прихована непрацездатність - непрацездатність системи (компонента), яку не може бути виявлено під час роботи вбудованими засобами діагностування (автоматичного контролю технічного стану), але яку виявляють під час проведення технічного обслуговування;

проектний термін експлуатації - тривалість експлуатації обладнання інформаційних і керуючих систем, яка визначається проектом;

програмне забезпечення - сукупність програм, необхідних для виконання всіх основних і додаткових функцій системи (компонента), які зберігаються в пам'яті та/або в програмувальних електронних пристроях, що входять до складу цієї системи (компонента), а також програм на зовнішніх носіях і програмної документації;

програмно-технічний комплекс - виріб з вбудованим програмним забезпеченням, виконаний у вигляді однієї або декількох експлуатаційно-автономних складових частин, який разом з периферійним устаткуванням та (за потреби) з іншими програмно-технічними комплексами виконує всі основні функції інформаційної або керуючої системи, компонентом якої він є;

резервований канал - один з групи незалежних каналів (не обов'язково ідентичних), що виконують ту саму функцію, виходи яких об'єднуються так, що відмова одного або визначеної кількості каналів не призводить до відмови цієї функції;

резервування - спосіб забезпечення надійності за рахунок використання додаткових засобів та/або можливостей, надлишкових порівняно з мінімально необхідними для виконання функції;

рівень розукрупнення - виділена категорія складових частин в ієрархічній структурі об'єкта. З точки зору конструктивної складності такими категоріями можуть бути система, компоненти системи, експлуатаційно-автономні складові частини компонентів, вбудовані в них блоки, конструктивно завершені модулі у складі цих блоків, радіоелектронні вироби, застосовані в модулях;

різноманітність - спосіб зниження імовірності відмови із загальної причини двох або більшої кількості резервованих систем (компонентів, каналів), що незалежно виконують ту саму функцію, за рахунок спеціально передбачених проектом відмінностей між цими системами (компонентами, каналами), реалізованих на стадії їх проектування, розробки та/або виготовлення;

робочі умови експлуатації - умови експлуатації, які за відсутності порушень, врахованих проектом, зберігаються протягом необмеженого часу;

розрізнювальна здатність за часом - мінімальний часовий інтервал між двома подіями, за якого вони будуть зафіксовані як такі, що належать до різних моментів часу;

справний стан - стан системи (компонента), що характеризується спроможністю виконувати всі задані функції;

стійкість - властивість пристрою, що полягає в його спроможності виконувати всі потрібні функції та зберігати характеристики у межах значень, що допускаються, під час та/або після впливу на нього певного зовнішнього фактора за умови, що його якісні ознаки й кількісні параметри перебувають у заздалегідь встановлених межах. Функції, виконання яких потрібне під час цього впливу, і межі значень характеристик пристрою, що допускаються у цьому разі, не завжди збігаються з тими, які потрібні до початку й після закінчення впливу;

технічний засіб автоматизації - виріб, виконаний переважно у вигляді одного експлуатаційно-автономного пристрою, який призначений та/або бере участь у виконанні однієї або кількох функцій автоматичного контролю та/або керування у складі певної системи або технологічного устаткування;

технологічний захист - захист, який ініціює заздалегідь визначену зміну режиму роботи технологічного устаткування або його відключення в умовах, коли збереження попереднього режиму роботи може спричинити пошкодження цього устаткування або його руйнування;

умови експлуатації - сукупність наявних та/або можливих зовнішніх факторів впливу в місцях фактичного або передбачуваного розміщення пристрою під час експлуатації;

управління - функція керуючої системи, метою якої є наближення стану, положення, властивостей об'єкта управління та/або характеристик їх змінювання у часі до таких, що в цих умовах вважаються потрібними або найкращими;

управління конфігурацією - процес ідентифікації та документування розпізнавальних ознак, що обумовлюють конфігурацію системи (компонента) у кожний момент життєвого циклу;

функціональна безпека - властивість системи (компонента) атомної станції, що полягає у здатності виконувати всі потрібні функції, важливі для безпеки, зберігати потрібні властивості та відповідати заданим характеристикам в усіх передбачених проектом режимах й умовах експлуатації;

функція аварійного захисту - функція, що ініціює швидку зупинку реактора та тривалу підтримку активної зони у підкритичному стані у разі порушення умов безпечної експлуатації або ризику переростання аварійної ситуації в аварію;

функція, важлива для безпеки, - функція, яка віднесена до категорії A, B або C на підставі оцінки її призначення та/або наслідків, спричинених невиконанням або помилковим виконанням.

Інші терміни вживаються у значеннях, наведених у Загальних положеннях безпеки атомних станцій і Вимогах до проведення модифікацій ядерних установок та порядку оцінки їх безпеки, затверджених наказом Державного комітету ядерного регулювання України від 10 січня 2005 року № 4, зареєстрованих у Міністерстві юстиції України 24 січня 2005 року за № 78/10358 (із змінами) (далі - Вимоги до проведення модифікацій ядерних установок та порядку оцінки їх безпеки).

3. У цих Вимогах вживаються скорочення, що мають такі значення:

БЩУ - блоковий щит управління;

ІКС - інформаційна та/або керуюча система;

ПТК - програмно-технічний комплекс;

РЩУ - резервний щит управління;

ТЗ - технічне завдання;

ТЗА - технічний засіб автоматизації;

ТУ - технічні умови.

4. Ці Вимоги регламентують функціональну безпеку нових і модернізованих ІКС, яка забезпечується за рахунок:

відповідності на всіх стадіях життєвого циклу ІКС параметрів і характеристик ІКС та їх компонентів вимогам норм, правил і стандартів з ядерної та радіаційної безпеки;

дотримання порядку створення, впровадження, використання за призначенням і модернізації ІКС та їх компонентів, встановленого нормами, правилами і стандартами з ядерної та радіаційної безпеки.

Технічні вимоги до ІКС та їх компонентів мають забезпечувати їх відповідність нормам, правилам і стандартам з ядерної та радіаційної безпеки, у тому числі цим Вимогам.

5. Ці Вимоги обов’язкові для всіх юридичних осіб і фізичних осіб - підприємців, які здійснюють:

розробку, виготовлення, випробування, приймання та поставку виробів (крім загальнопромислових), призначених для застосування на атомних станціях України як компоненти нових або модернізованих ІКС;

розробку і верифікацію програмного забезпечення ІКС, ПТК і за наявності ТЗА;

проектування, комплектування, монтаж, налагоджувальні роботи, введення в експлуатацію, експлуатацію та модернізацію ІКС;

розробку документів, що обґрунтовують безпеку ІКС та/або їх компонентів;

державну експертизу ядерної та радіаційної безпеки на всіх стадіях життєвого циклу ІКС та/або їх компонентів.

6. Вимоги не поширюються:

на периферійне устаткування (датчики та виконавчі пристрої), яке розміщене в реакторі;

на системи контролю радіаційних і метеорологічних параметрів у санітарно-захисній зоні та зоні спостереження;

на системи фізичного захисту атомних станцій.

7. Експлуатуюча організація визначає та узгоджує з Державною інспекцією ядерного регулювання України необхідність, обсяг та строки усунення виявлених невідповідностей цим Вимогам тих ІКС та/або їх компонентів, що експлуатуються на атомних станціях України, або тих, на виконання робіт з монтажу яких Державною інспекцією ядерного регулювання України видано дозвіл.

1. Усі системи та елементи атомних станцій за впливом на безпеку поділяються на важливі для безпеки й такі, що не впливають на безпеку відповідно до Загальних положень безпеки атомних станцій.

ІКС, важливі для безпеки, та їх елементи належать до класів безпеки 2, 3 відповідно до класифікації, передбаченої у додатку до Загальних положень безпеки атомних станцій.

Згідно з цими Вимогами додатково визначаються категорії функцій, які виконуються ІКС, важливими для безпеки, - A, B, C.

Застосування цих Вимог до ІКС, які не впливають на безпеку, має рекомендаційний характер.

2. Відповідно до Загальних положень безпеки атомних станцій, ІКС, важливі для безпеки, з урахуванням їх призначення, належать до:

керівних систем безпеки (далі - керуючі системи безпеки);

систем нормальної експлуатації (далі - керуючі та/або інформаційні системи нормальної експлуатації).

3. Вимоги до проектування, розроблення, виготовлення, випробувань та експлуатації ІКС визначено у цих Вимогах із врахуванням категорій функцій, що відповідно до проекту AC виконуються цими ІКС, їх компонентами та/або окремими елементами (складовими частинами) цих компонентів.

Категорія функцій ІКС, компонентів та програмного забезпечення визначається в проекті, обґрунтовується у звіті з аналізу безпеки та зазначається в документації на їх розроблення, виготовлення, постачання і монтаж.

1. Функції, що виконуються ІКС, які належать до класів безпеки 2, 3, класифікуються за категоріями A, B, C залежно від їх ролі в забезпеченні й підтримці безпеки, а також можливих наслідків, спричинених невиконанням або помилковим виконанням функції.

2. До категорії A належать такі функції контролю та управління:

аварійний захист (швидке переведення і тривале підтримування активної зони реактора в підкритичному стані);

аварійне відведення тепла від активної зони реактора;

відведення залишкового тепла від активної зони реактора та басейну витримки відпрацьованого ядерного палива;

запобігання або обмеження виходу радіоактивних речовин за передбачені проектом межі;

надання можливості оперативному персоналу виконувати дії, спрямовані на досягнення безпечного контрольованого стану енергоблока після вихідної (початкової) події;

виявлення внутрішніх і зовнішніх впливів, що є вихідними (початковими) подіями, які можуть призвести до аварійних ситуацій і аварій та ініціюють автоматичне переведення реактора у підкритичний стан;

відмови яких можуть безпосередньо призвести до аварійних ситуацій або аварій, якщо не існує інших функцій категорії A, що обмежують таку можливість.

3. До категорії B належать функції контролю та управління, що не належать до категорії A за будь-яким із критеріїв, зазначених у пункті 2 цієї глави, які:

виявляють виникнення порушень нормальної експлуатації або обмежують їх негативні наслідки;

забезпечують можливість виконання оперативним персоналом дій, спрямованих на запобігання порушенням нормальної експлуатації або обмеження їх негативних наслідків;

після досягнення безпечного контрольованого стану енергоблока необхідні для обмеження наслідків вихідної (початкової) події та/або для забезпечення оперативному персоналу можливості виконувати дії, спрямовані на обмеження таких наслідків;

у разі відмови в режимі нормальної експлуатації потребують виконання функцій категорії A для запобігання аварійним ситуаціям або аваріям;

забезпечують утримання основних параметрів технологічних процесів, стану та/або характеристик конструкцій, систем, компонентів технологічного устаткування в установлених (допустимих) межах;

передбачені для запобігання викидам радіоактивних речовин або пошкодженням палива, що перевищують встановлені проектом межі нормальної експлуатації;

здійснюють безперервний автоматичний контроль та/або підтримують дії персоналу ІКС під час періодичного контролю стану та/або характеристик конструкцій, систем, компонентів технологічного устаткування, що беруть участь у виконанні функцій категорії A, виявляють порушення їх працездатності, сповіщають персонал ІКС про результати контролю та виявлені порушення.

4. До категорії C належать функції контролю та управління, що не належать до категорії A або B за будь-яким із критеріїв, зазначених у пунктах 2, 3 цієї глави, які:

передбачені для запобігання викидам радіоактивних речовин або пошкодженням палива, що не перевищують встановлені проектом межі нормальної експлуатації;

здійснюють безперервний автоматичний контроль та/або підтримують дії персоналу ІКС під час періодичного контролю стану та/або характеристик конструкцій, систем, компонентів технологічного устаткування, що беруть участь у виконанні функцій категорії B, виявляють порушення їх працездатності, сповіщають персонал ІКС про результати контролю та виявлені порушення;

виявляють виникнення внутрішніх і зовнішніх впливів, що є вихідними (початковими) подіями, які можуть призвести до аварійних ситуацій і аварій, або обмежують їх наслідки;

забезпечують інформаційну підтримку дій персоналу, спрямованих на управління аваріями та/або обмеження наслідків запроектних аварій;

потрібні для попередження та/або забезпечення безпеки персоналу під час і після подій, що призводять до викиду радіоактивних речовин, ризику радіаційного опромінення персоналу або пов'язані з іншими небезпечними ситуаціями, в умовах порушення нормальної експлуатації.

5. Категорії функцій контролю та управління визначаються окремо для кожної функції контролю та управління, важливої для безпеки, незалежно від того, які ІКС беруть участь у її реалізації.

Якщо до однієї функції можуть бути застосовані одночасно кілька класифікаційних критеріїв, визначених у пунктах 2-4 цієї глави, вона належить до найвищої з категорій, обумовлених цими критеріями.

Функціям, які не впливають на безпеку, категорія не визначається.

6. Кожна функція ПТК (ТЗА) класифікується окремо із врахуванням категорії тієї функції ІКС, у реалізації якої її участь є необхідною, а саме:

якщо функція ПТК (ТЗА) потрібна для реалізації однієї або кількох функцій ІКС, для яких визначено однакові категорії, вона належить до тієї самої категорії;

якщо функція ПТК (ТЗА) потрібна для реалізації кількох функцій ІКС, для яких визначено різні категорії, вона належить до найвищої з цих категорій.

7. Кожна функція, що передбачена для виконання або виконується будь-якою складовою частиною ПТК або (за наявності) ТЗА, класифікується окремо, а саме:

функція, потрібна для реалізації однієї функції ПТК (ТЗА) або кількох функцій, для яких визначено однакові категорії, належить до тієї самої категорії;

функція, потрібна для реалізації кількох функцій ПТК або ТЗА, для яких визначено різні категорії, належить до найвищої з цих категорій.

1. ІКС, які спільно із захисними, забезпечуючими, локалізуючими системами безпеки, технологічними системами нормальної експлуатації, компонентами цих систем (технологічним устаткуванням) і оперативним персоналом реалізують функції контролю та управління, передбачені Загальними положеннями безпеки атомних станцій, а саме:

1) дистанційне та/або автоматичне управління технологічними процесами, системами та устаткуванням;

2) автоматичний захист систем, обладнання та енергоблока (далі - технологічний захист);

3) автоматичний контроль поточного стану безпеки, зокрема, неперевищення меж безпечної експлуатації енергоблока;

4) отримання, оброблення, архівування, відображення й реєстрування даних про стан конструкцій, систем та елементів, необхідних для надійної та безпечної експлуатації енергоблока, а саме:

контрольованих параметрів, які характеризують процес ділення, цілісність активної зони реактора і системи охолодження активної зони реактора та басейну витримки відпрацьованого ядерного палива, поточний стан конструкцій, систем, технологічного устаткування (зокрема, фізичних бар'єрів на шляху поширення іонізуючого випромінювання та радіоактивних речовин), поточний стан безпеки енергоблока загалом;

вихідних (початкових) подій, які спричинили порушення нормальної експлуатації, виникнення й розвиток аварійних ситуацій та аварій;

фактичних дій систем безпеки та оперативного персоналу, спрямованих на забезпечення безпеки (запобігання порушенням нормальної експлуатації, виникнення аварійних ситуацій та аварій, управління проектними аваріями) і пом’якшення наслідків аварій.

2. Вимоги до функцій, зазначених у пункті 1 цієї глави, встановлюються проектом відповідно до Загальних положень безпеки атомних станцій, Правил ядерної безпеки реакторних установок атомних станцій з реакторами з водою під тиском, цих Вимог та інших норм, правил і стандартів з ядерної та радіаційної безпеки.

3. Основні функції кожної ІКС визначаються проектом відповідно до її призначення. Вимоги до основних функцій окремих ІКС визначаються за необхідності для різних режимів експлуатації енергоблока (зокрема під час проектних та запроектних аварій).

4. Додаткові функції ІКС визначаються проектом, конкретизуються в ТЗ на створення або модернізацію ІКС і сприяють досягненню потрібних споживчих властивостей ІКС, зокрема якості та/або надійності виконання основних функцій.

5. Функції ПТК і ТЗА, що є компонентами ІКС, визначаються на основі вихідних даних (технічних вимог), заданих проектною організацією, замовником та/або розробниками цих виробів на підставі проекту ІКС, конкретизуються в ТЗ на розробку, виготовлення та поставку ТЗА (ПТК) і забезпечують реалізацію усіх основних і додаткових функцій ІКС, компонентами якої вони є.

6. Поєднання в одній ІКС (ПТК, ТЗА) функцій безпеки та функцій нормальної експлуатації, допускається лише у тому випадку, якщо таке поєднання є обґрунтованим і не призводить до зниження надійності та/або до порушення відповідності іншим вимогам, що встановлені для функцій безпеки і для ІКС (ПТК, ТЗА), які реалізують ці функції.

Функції безпеки є пріоритетними стосовно функцій нормальної експлуатації. Забезпечується відсутність негативного впливу відмови будь-якої функції нормальної експлуатації на можливість ІКС (ПТК, ТЗА) виконувати необхідні функції безпеки та/або на відповідність іншим вимогам до функцій безпеки і до ІКС (ПТК, ТЗА), які реалізують ці функції.

7. Поєднання в одній ІКС (ПТК, ТЗА) функцій, віднесених до різних категорій, допускається лише у тому випадку, якщо таке поєднання не призводить до зниження надійності та/або до порушення відповідності іншим вимогам, що встановлені для функцій з вищим пріоритетом і для ІКС (ПТК, ТЗА), які реалізують ці функції.

Функції категорії А є пріоритетними стосовно функцій категорій В і С, функції категорії В - стосовно функцій категорії С. Функції, для яких категорія не встановлена, мають найнижчий пріоритет. Забезпечується відсутність негативного впливу відмови будь-якої функції з нижчим пріоритетом на можливість ІКС (ПТК, ТЗА) виконувати необхідні функції з вищим пріоритетом та/або на відповідність іншим вимогам до цих функцій і до ІКС (ПТК, ТЗА), які їх реалізують.

8. При відмові або навмисному відключенні функції управління, що належить до категорії А або В, виходи ІКС (ПТК, ТЗА), на яких формуються відповідні команди управління, автоматично встановлюються в заздалегідь передбачений стан, обраний і обґрунтований при аналізі безпеки таким чином, щоб мінімізувати негативний вплив цієї події на безпеку.

1. Керуючі системи безпеки разом із захисними, локалізуючими, забезпечуючими системами безпеки та/або технологічним устаткуванням функції безпеки, зазначені в підпункті 1 пункту 2 глави 2 розділу IІ цих Вимог.

2. Перелік вихідних (початкових) подій, які вимагають виконання функцій безпеки, визначається в проекті. Зокрема, він охоплює вихідні (початкові) події, зазначені в Правилах ядерної безпеки реакторних установок атомних станцій з реакторами з водою під тиском, у цих Вимогах та в інших нормах, правилах і стандартах з ядерної та радіаційної безпеки.

3. Керуючі системи безпеки ініціюють виконання встановлених функцій безпеки в тих випадках, коли системи нормальної експлуатації внаслідок відмов або з будь-яких інших причин не в змозі утримувати параметри технологічних процесів, стан та/або характеристики конструкцій, систем і компонентів технологічного устаткування в установлених проектом експлуатаційних межах, а також якщо необхідна швидка й надійна реакція на вихідні (початкові) події, порушення проектних меж нормальної експлуатації або умов безпечної експлуатації.

4. Ефективність, оперативність і точність виконання функцій безпеки забезпечують неперевищення встановлених у проекті меж безпечної експлуатації.

5. Переліки умов, за яких кожна керуюча система безпеки ініціює виконання певної функції безпеки, визначаються в проекті з урахуванням пункту 2 цієї глави і погоджуються з Державною інспекцією ядерного регулювання України.

6. Керуюча система безпеки, яка ініціювала виконання певної функції безпеки, формує й видає передбачені проектом команди, які приводять у дію одну чи декілька інших (керуючих, захисних, забезпечуючих та/або локалізуючих) систем безпеки (далі - команди захисту), а також команди управління цими системами та/або компонентами технологічного устаткування, необхідні під час виконання ініційованої функції безпеки.

7. Після видачі відповідно до заданих умов першої команди захисту (далі - спрацьовування керуючої системи безпеки) всі наступні команди захисту та команди управління, передбачені проектом, формуються й видаються автоматично до повного виконання ініційованої функції безпеки.

8. Після спрацьовування керуючої системи безпеки автоматично блокується виконання будь-яких команд від інших джерел, якщо вони суперечать тим, що видаються цією системою.

9. Унеможливлюється те, що після ініціювання функції безпеки помилкові дії оперативного персоналу або викликані будь-якими причинами дії інших ІКС можуть призвести до відмови або втрати ефективності виконання цієї функції.

Після спрацьовування керуючої системи безпеки можливість виведення її з роботи або заборони виконання будь-яких виданих нею команд оперативним персоналом автоматично блокується протягом часу, встановленого в проекті, але не менше ніж на 10 хвилин.

У проекті визначається та обґрунтовується у звіті з аналізу безпеки перелік технологічних систем та обладнання, система контролю та управління якими після спрацювання керуючої системи безпеки не потребує втручання у їх роботу оперативного персоналу БЩУ протягом 30 хвилин.

Необхідність будь-яких дій оперативного персоналу для дистанційного управління визначеними в проекті технологічними системами чи обладнанням або втручання у їх роботу інших ІКС протягом меншого часу після спрацювання керуючої системи безпеки обґрунтовується у звіті з аналізу безпеки.

10. Команди захисту, за винятком тих, тривалість яких безпосередньо зазначена в проекті, утримуються на виходах керуючої системи безпеки до завершення виконання функції безпеки, що ініційована нею (у тому числі після зникнення причини, що зумовила спрацьовування керуючої системи безпеки).

Тривалість утримання команд і правила повернення керуючої системи безпеки у вихідний стан визначаються проектом енергоблоку атомної станції.

11. Керуючі системи безпеки повинні зберігати здатність до виконання передбачених функцій, необхідних для забезпечення безпеки, при впливах на їх компоненти, можливих під час порушень нормальної експлуатації, в аварійних ситуаціях, що враховуються проектом, після будь-яких проектних аварій і в післяаварійних режимах (як мінімум в обсязі функцій, які передбачені відповідними інструкціями з управління аваріями).

Якісні ознаки та кількісні параметри зовнішніх факторів, які у цих випадках можуть впливати на компоненти керуючої системи безпеки, визначає експлуатуюча організація або замовник з урахуванням технічних вимог до ІКС та їх компонентів.

12. Забезпечується автоматичне виявлення порушень працездатності компонентів керуючої системи безпеки, а у випадку виявлення таких порушень - ініціювання необхідних (передбачених в проекті) дій, спрямованих на забезпечення безпеки.

13. Оперативний персонал негайно сповіщається про порушення працездатності компонентів, які можуть призвести до неготовності керуючої системи безпеки виконувати необхідні функції із заданою надійністю та якістю. Порядок сповіщення визначається експлуатуючою організацією.

14. Можливість та умови продовження роботи енергоблока протягом обмеженого часу при виявленні порушень працездатності компонентів керуючої системи безпеки, а також експлуатаційні обмеження, що допускаються при цьому, і час, протягом якого дозволяється робота, зазначаються в технологічному регламенті безпечної експлуатації і в документах, що обґрунтовують безпеку.

15. Можливість здійснення оперативним персоналом дозволених дій щодо управління захисними, локалізуючими, забезпечуючими системами безпеки та/або компонентами технологічного устаткування не залежить від стану керуючих систем безпеки та їх компонентів.

1. ІКС нормальної експлуатації разом з технологічними системами нормальної експлуатації, компонентами технологічного устаткування та оперативним персоналом виконують функції автоматичного контролю та управління, необхідні для нормальної експлуатації енергоблока й запобігання порушенням нормальної експлуатації, зокрема:

утримання основних параметрів технологічних процесів, стану та/або характеристик конструкцій, систем, компонентів технологічного устаткування в установлених (допустимих) межах в умовах зовнішніх і внутрішніх впливів, можливих для певного режиму експлуатації;

підтримку необхідних дій оперативного персоналу в передбачених режимах експлуатації (пуск енергоблока, набір і зменшення потужності, планова зупинка, розхолоджування, перевантаження ядерного палива тощо);

подання персоналу ІКС інформації щодо протікання технологічних процесів, а також стану та/або характеристик конструкцій, систем, компонентів технологічного устаткування, зокрема систем безпеки і фізичних бар’єрів на шляху поширення іонізуючого випромінювання та радіоактивних речовин.

2. ІКС нормальної експлуатації виконують функції, що запобігають переходу порушень нормальної експлуатації в аварійні ситуації:

виявлення порушень експлуатаційних меж та/або умов нормальної експлуатації, що враховуються проектом, та автоматичне ініціювання дій, необхідних для їх усунення;

виявлення небезпечних внутрішніх та зовнішніх подій, що враховуються проектом (землетрус, пожежа, викид радіоактивних речовин тощо), та автоматичне ініціювання дій, необхідних для обмеження їх наслідків (сповіщення персоналу, зупинення механізмів, включення автоматичного гасіння пожежі тощо);

підтримка дій оперативного персоналу, спрямованих на усунення порушень або обмеження їх наслідків (приймання команд операторів, видача відповідних управляючих впливів, відображення їх результатів тощо).

Ефективність, оперативність і точність виконання зазначених функцій мають забезпечувати неперевищення експлуатаційних меж, встановлених у проекті.

3. На кожному енергоблоці передбачають інформаційну систему нормальної експлуатації, що здійснює:

автоматичний контроль нейтронно-фізичних і теплогідравлічних параметрів активної зони реактора;

розрахунки характеристик розподілу нейтронного потоку та поля енерговиділення в активній зоні;

видачу сигналів при відхиленнях показників стану активної зони і теплоносія від проектних значень.

Функції автоматичного контролю нейтронно-фізичних і теплогідравлічних параметрів і розрахунки характеристик активної зони реактора виконуються в усіх експлуатаційних режимах (у тому числі в підкритичному стані зупиненого реактора та після перевантаження ядерного палива), під час перехідних процесів при змінах режимів експлуатації, при порушеннях нормальної експлуатації, в аварійних ситуаціях, що враховуються проектом, під час і після проектних аварій.

Результати автоматичного контролю та дані розрахунків зберігаються як мінімум між двома паливними завантаженнями активної зони.

4. ІКС нормальної експлуатації зберігають здатність до виконання необхідних функцій при впливах на їх компоненти, можливих в експлуатаційних умовах, під час порушень нормальної експлуатації, в аварійних ситуаціях, що враховуються проектом, і після будь-яких проектних аварій.

Якісні ознаки та кількісні параметри зовнішніх факторів, які у цих випадках можуть впливати на компоненти ІКС, визначає експлуатуюча організація або замовник з урахуванням технічних вимог до ІКС та їх компонентів.

5. Порушення працездатності компонентів, які можуть призвести до неготовності ІКС нормальної експлуатації виконувати необхідні функції, важливі для безпеки, із заданою надійністю та якістю, автоматично виявляються засобами технічного діагностування у складі цієї самої системи та відображаються в такому вигляді, що полегшує персоналу ІКС вжиття заходів щодо відновлення системи.

6. Можливість та умови продовження роботи енергоблока при виявленні порушень працездатності компонентів ІКС нормальної експлуатації, а також експлуатаційні обмеження, що допускаються при цьому, і час, протягом якого дозволяється робота, вказуються в технологічному регламенті безпечної експлуатації енергоблока та в документах, що обґрунтовують безпеку.

1. Функції передачі даних виконуються:

компонентами у складі однієї або декількох ІКС, які безпосередньо здійснюють формування й видачу цифрових повідомлень з даними для іншої (інших) ІКС;

компонентами у складі однієї або декількох ІКС, які безпосередньо здійснюють приймання й розшифрування цифрових повідомлень з даними від іншої (інших) ІКС;

лініями в електричних або оптоволоконних кабелях, якими передають цифрові повідомлення між двома або декількома ІКС;

електронними засобами перевірки достовірності даних, які передаються.

2. Функції передачі даних належать до категорій A, B або C відповідно до найбільш високої з категорій тих функцій автоматичного контролю та/або управління, для яких призначено ці дані (які користуються ними).

3. Отримання даних, необхідних ІКС для реалізації певної функції, від функції з більш низьким пріоритетом, що реалізується в іншої ІКС, може передбачатися лише у тому випадку, якщо обґрунтована й забезпечена можливість використання альтернативних джерел даних та/або способів виконання цієї функції.

4. Достовірність цифрових повідомлень автоматично перевіряється засобами, що входять до складу ІКС, яка здійснює приймання цих повідомлень.

При виконанні зазначених перевірок, а також у випадку будь-яких порушень працездатності самих засобів діагностування забезпечується відсутність негативного впливу на передачу цифрових повідомлень.

5. При порушенні працездатності компонентів, що здійснюють формування й видачу цифрових повідомлень, забезпечуються:

готовність ІКС, до складу якої входять ці компоненти, виконувати із заданою надійністю та якістю всі необхідні функції, зокрема ті, що є джерелом даних для зазначених повідомлень;

відсутність негативного впливу на передачу цифрових повідомлень, що формують і видають працездатні компоненти цієї системи.

6. При порушенні працездатності компонентів, що здійснюють приймання й розшифрування цифрових повідомлень, а також у випадку недостовірності отриманих ними даних забезпечуються:

готовність ІКС, до складу якої входять ці компоненти, виконувати необхідні функції категорій А і B із заданою надійністю та якістю;

відсутність негативного впливу на передачу цифрових повідомлень.