Современная методология управления безопасностью АЭС
В основе современной методологии управления безопасностью АЭС лежит концепция максимальной безопасности при минимуме возможных затрат (МБМЗ) [1, 2]. Реализация этой концепции базируется на основных положениях, изложенных в работе. В основі сучасної методології керування безпекою АЕС лежить концепція...
Saved in:
| Published in: | Проблеми безпеки атомних електростанцій і Чорнобиля |
|---|---|
| Date: | 2010 |
| Main Authors: | , |
| Format: | Article |
| Language: | Russian |
| Published: |
Інститут проблем безпеки атомних електростанцій НАН України
2010
|
| Subjects: | |
| Online Access: | https://nasplib.isofts.kiev.ua/handle/123456789/58196 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Cite this: | Современная методология управления безопасностью АЭС / В.И. Пампуро, В.И. Борисенко // Проблеми безпеки атомних електростанцій і Чорнобиля: наук.-техн. зб. — 2010. — Вип. 13. — С. 27–37. — Бібліогр.: 23 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1859609283472130048 |
|---|---|
| author | Пампуро, В.И. Борисенко, В.И. |
| author_facet | Пампуро, В.И. Борисенко, В.И. |
| citation_txt | Современная методология управления безопасностью АЭС / В.И. Пампуро, В.И. Борисенко // Проблеми безпеки атомних електростанцій і Чорнобиля: наук.-техн. зб. — 2010. — Вип. 13. — С. 27–37. — Бібліогр.: 23 назв. — рос. |
| collection | DSpace DC |
| container_title | Проблеми безпеки атомних електростанцій і Чорнобиля |
| description | В основе современной методологии управления безопасностью АЭС лежит концепция максимальной безопасности при минимуме возможных затрат (МБМЗ) [1, 2]. Реализация этой концепции базируется на основных положениях, изложенных в работе.
В основі сучасної методології керування безпекою АЕС лежить концепція максимальної безпеки при мінімумі можливих витрат. Реалізація цієї концепції базується на основних положеннях, викладених у даній роботі.
The basis of modern methodology of management of NPP safety - is the concept maximum safety with minimal cost. This concept is based on the main provisions contained in the work.
|
| first_indexed | 2025-11-28T10:27:14Z |
| format | Article |
| fulltext |
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 27
УДК 629.162.658
СОВРЕМЕННАЯ МЕТОДОЛОГИЯ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ АЭС
В. И. Пампуро1, В. И. Борисенко2
1 Институт геохимии окружающей среды НАН и МЧС Украины, Киев
2 Институт проблем безопасности АЭС НАН Украины, Киев
В основе современной методологии управления безопасностью АЭС лежит концепция макси-
мальной безопасности при минимуме возможных затрат (МБМЗ) [1, 2]. Реализация этой концепции
базируется на основных положениях, изложенных в работе.
Ключевые слова: управление безопасностью, вероятностный анализ безопасности, глубоко-
эшелонированная защита, виртуальная авария.
1. Современное управление безопасностью АЭС предполагает сочетание технической
эффективности (обеспечения максимальной безопасности) с практической возможностью ее
реализации на основе экономической эффективности (минимизацией суммарных затрат на
безопасность и их оптимального распределения). Такое сочетание предполагает оптимальное
управление безопасностью АЭС [3 - 6]. Оптимальное управление безопасностью АЭС, преж-
де всего, связано с обоснованием оптимального значения показателя риска аварии.
Необходимо подчеркнуть, что безопасность есть цель оптимального управления, а
практические возможности определяют затраты на обеспечение безопасности. Минимизация
затрат на безопасность является необходимым условием конкурентоспособности атомной
энергетики. Взятый сам по себе тезис «максимальная безопасность» не имеет ни теоретиче-
ского, ни практического смысла. В условиях конкуренции атомная энергетика может эффек-
тивно существовать только при условии обеспечения необходимой прибыли и себестоимо-
сти вырабатываемой энергии. В себестоимость входят и расходы на обеспечение безопасно-
сти, включая страхование. Иначе, необходимым условием практического обеспечения без-
опасности является минимизация затрат на нее. Принцип выбора оптимального значения по-
казателя риска аварии показан на рис. 1.
Основные принципы концепции глубокоэшелонированной защиты (ГЭЗ) [7] «предот-
вращение и ослабление аварий», которым соответствует кривая 1 (см. рис. 1), являются недо-
статочными для оптимального управления безопасностью.
Из кривой 1 следует, что уменьше-
ние значения риска аварии требует увели-
чения затрат. Согласно ей нельзя обосно-
вать оптимальное значение показателя
риска аварии, а также соответствующий
ему минимум затрат на безопасность.
Концепция ГЭЗ стремится к преду-
преждению и ослаблению аварии, но не
учитывает последствия аварии. Без такого
учета невозможно разработать основы оп-
тимального управления безопасностью
при условии минимизации затрат на мак-
симальную безопасность. Они включают в
себя как затраты на предупреждение и
ослабление аварии, так и затраты на стра-
хование последствий возможной аварии.
Рис. 1. Зависимость суммарных затрат на безопас-
ность от показателя риска аварии:
1 – затраты на технологию предупреждения и
ослабления аварии; 2 – затраты на страхование по-
следствий возможной аварии; 3 – суммарные затра-
ты на обе технологии (1 и 2); Сmin – минимальные
суммарные затраты на безопасность; Rопт – опти-
мальное значение показателя риска виртуальной
аварией.
В. И. ПАМПУРО, В. И. БОРИСЕНКО
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 28
Таким образом, концепция МБМЗ принципиально отличается от концепции ГЭЗ, так
как в основе последней отсутствует методология экономической эффективности, а также
принципы ее реализации методами оптимального управления безопасностью АЭС.
2. Оценка риска аварии согласно концепции ГЭЗ [7] производится с помощью вероят-
ностной модели аварии. На этих методологически основополагающих положениях базиру-
ются методы анализа риска [8 - 10]. Погрешность такого постулата подробно рассмотрена в
работах [6, 11, 12].
Теория вероятностей, как известно, изучает стохастические закономерности массы (со-
вокупности) однотипных явлений (событий, объектов) в условиях статистической устойчи-
вости. Условие статистической устойчивости для модели случайного события аварии озна-
чает постоянство частоты события аварии. Иначе, оно означает периодическую повторяе-
мость обстоятельств и причин появления аварии на части объектов из всей совокупности.
Поэтому принятие вероятностной модели события аварии теоретически равносильно посту-
лированию вероятностной закономерности (т.е. априорной неизбежности) появления аварии
в течение срока службы АЭС.
Основанное на вероятностной модели аварии, нормируемое допустимое значение ча-
стоты тяжелого повреждения активной зоны (АкЗ) равно 10-4 (10-5) реактор/год [13]. Как по-
казано в [11, 12], согласно нормированному значению вероятности тяжелой аварии 10-5 реак-
тор/год, среднее значение времени плавления АкЗ 0Т = 105 лет. Это значение не имеет прак-
тического смысла. Действительно, плавление АкЗ возможно только при эксплуатации реак-
тора. В связи с этим статистическое среднее значение времени плавления АкЗ 0
СТТ не может
быть больше срока эксплуатации АЭС τ. Срок эксплуатации АЭС τ измеряется десятками
лет и меньше значения 102 лет. Поэтому всегда имеет место неравенство 0
СТТ ≤ τ << 0Т . Сле-
довательно, нормируемое допустимое значение вероятности риска тяжелой аварии 10-5 реак-
тор/год и вытекающее из него значение среднего времени наступления аварии Т0 = 105 лет не
имеют ни теоретического, ни, тем более, практического смысла.
Таким образом, постулирование вероятностной модели аварии (следовательно, и ее
статистической закономерности) делает теоретически бесполезной любую концепцию обес-
печения безопасности АЭС. Тогда концепция защиты теряет смысл, так как теоретически она
не в состоянии устранить априори принятую статистическую закономерность аварии.
3. Управление безопасностью АЭС согласно концепции МБМЗ опирается на научном
обосновании фундаментальных причин, которые лежат в основе предполагаемой (теоретиче-
ски возможной, но практически не обязательной) аварии [1, 2, 12]. Необходимо учитывать
две фундаментальные причины, которые лежат в основе априорной возможности аварии и не
позволяют полностью исключить ее.
Первая фундаментальная неустранимая причина связана с принципиальной ограни-
ченностью наших знаний и вытекающего из этого отсутствия априорных знаний о природе
локальных (статистически неустойчивых, виртуальных) аварий.
Теоретически нельзя исключить возможность появления виртуальной аварии. Воз-
можна виртуальная авария, для которой отсутствуют статистические закономерности в
настоящем, и, в принципе, их нельзя определить в будущем. Поэтому всегда нужен опти-
мальный компромисс между технологией предупреждения и ослабления аварии (для кото-
рой известны детерминистические и стохастические закономерности), с одной стороны, и
страхованием (технологией устранения последствий) виртуальной аварии, с другой стороны.
В концепции МБМЗ учитывается технологически наиболее важная вторая фунда-
ментальная неустранимая причина виртуальной аварии. Она вызвана ограниченной точно-
стью и надежностью как систем управления и защиты от аварии, так и технологией эксплуа-
тации (в частности, ограниченной надежностью оператора). Эти подсистемы никогда не бу-
дут идеальными из-за ограниченной точности их изготовления и ограниченной надежности
технологии эксплуатации, связанной с человеческим фактором.
СОВРЕМЕННАЯ МЕТОДОЛОГИЯ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ АЭС
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 29
Таким образом, в отличие от концепции ГЭЗ, в концепции МБМЗ учтены фундамен-
тальные постоянно действующие причины возможности появления виртуальной аварии. Без
учета и минимизации влияний этих причин на надежность АЭС невозможно обосновать пути
качественного повышения безопасности АЭС с помощью наукоемких технологий.
4. Управление безопасностью АЭС в условиях отсутствия закономерностей аварии
является принципиально новым положением, впервые использованным в концепции МБМЗ
[1, 2, 12]. Это положение объясняется отсутствием статистически устойчивых данных о тя-
желых авариях, с одной стороны, и неприемлемостью постулата о статистической устойчи-
вости аварии как теоретического обоснования статистической закономерности (неизбежно-
сти) аварии на АЭС, с другой стороны. Это управление основывается на понятии о вирту-
альной аварии.
Виртуальная авария (событие виртуальной аварии Ф) – такая предполагаемая авария,
для которой невозможно установить закономерности (повторяемость причин и следствий),
которая гипотетически возможна (теоретически не может быть исключена) из-за двух рас-
смотренных выше ее фундаментальных причин, но практически необязательна.
В основе определения виртуальной аварии лежит понятие возможности аварии.
Возможность аварии априори предполагаемое событие (последовательность собы-
тий как предполагаемых причин аварии), которое не имеет априори устойчивых статистиче-
ских данных появления этого события. Теоретически это событие можно трактовать как не-
пустое множество, вероятность которого равна нулю.
Понятие возможности имеет принципиально отличное значение от понятия случай-
ность. Теоретически случайность – есть статистическая закономерность, учитывающая
свойство массы однотипных элементов (явлений) в условиях статистической устойчивости.
Статистическая устойчивость определяет физические законы (причины), которые
определяют экспериментальные условия проявления случайности.
Анализ возможностей аварии является основополагающим в обеспечении безопасно-
сти. Этот анализ позволяет учесть причины, которые могут привести к аварии в условиях от-
сутствия ее закономерности. Он служит основой для разработки технологии предупреждения
аварии. В частности, на его основе разрабатываются симптомно-ориентированные инструк-
ции (СОИ) для предупреждения аварии. По сути метод дерева событий также содержит со-
вокупность возможностей аварии, из которых эксперт выбирает наиболее значимые [8 - 10].
Событие виртуальной аварии Ф не является статистически устойчивым, оно является
априори возможным в связи с наличием предполагаемых причин. Оно не может быть опре-
делено так, как это можно сделать для случайного события в рамках теории вероятностей.
Это вызывает определенные трудности построения теории управления безопасностью по
критерию виртуальной аварии. Событие виртуальной аварии можно очертить, рассматривая
предполагаемые причины его появления. Соответствующий подход к определению возмож-
ности виртуальной аварии будет рассмотрен ниже.
В результате теоретического положения о виртуальной аварии, тяжелая авария из из-
вестной категории статистически закономерного события аварии, принятой в концепции
ГЭЗ, переходит в категорию теоретически априори возможного, но практически необяза-
тельного события. Иначе, возможность аварии нельзя теоретически исключить полностью,
но нельзя также утверждать ее статистическую закономерность. Это качественно меня-
ет подход к пониманию природы тяжелой аварии и к методам ее предупреждения. В таком
подходе вся исходная информация для управления безопасностью черпается из работоспо-
собного состояния объекта, без информации о статистической закономерности аварии.
Необходимо рассматривать все варианты возможности аварии, включая внутренние и
внешние экстремальные воздействия. Во всех случаях следует оценивать возможность ава-
рии из-за ограниченной точности предупреждения и ослабления аварии, а также вероятные
затраты на устранение последствий возможной (виртуальной) аварии.
В. И. ПАМПУРО, В. И. БОРИСЕНКО
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 30
Проблема управления при неполных знаниях уже рассматривалась, например в ки-
бернетике согласно энтропийной оценке вероятности аварии. Однако положение о виртуаль-
ной аварии требует принципиально нового подхода, который обусловлен отсутствием зна-
ний закономерностей аварии.
Целью управления безопасностью, как известно, является исключение аварии из экс-
плуатации АЭС. Следовательно, в теории безопасности понятие аварии не должно иметь
толкование практической естественности и теоретической неизбежности. Оно не должно
быть подобным толкованию понятия отказа в теории надежности, которое рассматривается
как практически естественное и теоретически неизбежное событие. Подход к понятию отказа
в теории надежности нельзя автоматически переносить на понятие аварии в теории безопас-
ности, как это имеет место в классической теории безопасности [8 - 10]. Такой подход теоре-
тически означает неизбежность аварии. Поэтому понятие виртуальной аварии является есте-
ственным теоретическим положением, которое исключает теоретическую неизбежность ава-
рии и согласуется с целью управления безопасностью.
5. Использование закономерности технологии предупреждения аварии (согласно кон-
цепции МБМЗ) лежит в основе оптимального управления безопасностью АЭС. Предупре-
ждение виртуальной аварии на основе этих закономерностей сводится к недопущению пере-
хода АЭС в аварийное состояние.
Очевидно, что управление безопасностью (как любое априорное управление) можно
осуществить, только используя закономерности. Следуя методологии виртуальной аварии
(когда отсутствует стохастическая закономерность аварии), наиболее естественной законо-
мерностью обеспечения безопасности, которую целесообразно использовать для управления
безопасностью АЭС, является закономерность технологии предупреждения аварии. Эта тех-
нология достаточно хорошо разработана и постоянно совершенствуется за счет наукоемких
технологий. Поэтому оптимальное управление безопасностью АЭС для модели виртуальной
аварии целесообразно осуществлять путем оптимизации, прежде всего технологии предот-
вращения аварии с целью недопущения плавления АкЗ. Оно заключается в минимизации
влияния на безопасность двух рассмотренных ранее фундаментальных причин.
С целью предотвращения аварии следует использовать интервал запаса управляемо-
сти безопасностью АЭС. Этот интервал является одним из основных понятий концепции
МБМЗ [1, 2]. Этот запас находится на границе устойчивого безопасного состояния АЭС. Он
определяет зону потенциальной опасности перехода АЭС из работоспособного в аварийное
состояние за счет неустойчивого управления, вызванного погрешностью технологии преду-
преждения аварии.
Смысл интервала запаса управляемостью АЭС заключается в переходе от концепции
ГЭЗ (включающей в себя предупреждение и ослабление аварии) к идее предупреждения ава-
рии, как основополагающей в управлении безопасностью. Это положение полностью согла-
суется с международным нормативным руководством по повышению эксплуатационной без-
опасности [14]. При этом идея ослабления аварии также используется в связи с тем, что тео-
ретически нельзя исключить возможность виртуальной аварии.
С позиции обеспечения безопасности АЭС, предупреждение тяжелой аварии, в
первую очередь, связано с предупреждением плавления АкЗ. Если в качестве одного из па-
раметров управляемости безопасностью АЭС принять, например, температуру теплоносите-
ля в АкЗ, то интервал запаса управляемости определим как
],[ 211 zz====∆∆∆∆ , (1)
где 2z - верхняя граница интервала, после которой наступает интенсивное парообразование
теплоносителя и, как следствие, нарушение теплообмена. Нижняя граница 1z выбирается из
условия запаса по температуре, примерно в 20 оС. Интервал находится в пределах законо-
мерности технологии предупреждения и ослабления аварии. Длина W1 интервала запаса
управляемости ],[ 211 zz=∆ определяется как W1 = z2 – z1.
СОВРЕМЕННАЯ МЕТОДОЛОГИЯ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ АЭС
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 31
В общем случае АЭС интервал (1) определяет границы физической величины
(нейтронного потока, давления, расхода, активности и др.), по которой оценивают безопас-
ность и/или ведут управление безопасностью.
Обеспечение приведенного запаса по температуре и соответствующего интервала
],[ 211 zz=∆ недостаточно для управления безопасностью. С целью минимизации риска ава-
рии и определения соответствующего запаса по показателю риска аварии, необходимо обес-
печить запас по значению показателя риска аварии. Чтобы обеспечить такой запас, следует
использовать другую форму записи интервала запаса управляемости. Он определяется раз-
махом значений показателя риска R для предаварийного состояния
2∆ ],[ 101 RR= , (2)
где R10 - начальное значение показателя риска перехода АЭС в аварийное состояние (без уче-
та запаса на погрешность управления); R1 - уточненное новое значение показателя риска пе-
рехода АЭС в аварийное состояние (нижняя граница показателя риска перехода в предава-
рийное состояние).
Уточненное значение показателя риска перехода АЭС в аварийное состояние R1 опре-
деляет вероятность события попадания температуры теплоносителя η в интервал запаса
управляемости, т.е. при условии ( η≥2z 1z≥ ).
Длина интервала запаса управляемости 2∆ ],[ 101 RR= определяется как
W2 = R10 – R1 (3)
Эта длина выбирается так, чтобы ее значение было равно наиболее вероятному размаху 2W
значений случайной погрешности χ технологии предупреждения аварии.
Соответственно значение R1 на длину W2 меньше начального показателя риска R10:
210121 )( WRzzРR −=>≥= η , (4)
10R = )( 2zР >η . (5)
Здесь )( 2z>η - критерий отказа технологии предупреждения виртуальной аварии.
Обычно R10 ≤≤≤≤.10-4. Уменьшение начального значения показателя риска R10 достигается
за счет соответствующего увеличения надежности системы предупреждения аварии.
Таким образом, запас управления безопасностью состоит как в обеспечении интерва-
ла запаса по температуре ],[ 211 zz=∆ , так и в уменьшении начального значения показателя
риска R10 на длину интервала запаса управляемости W2 за счет увеличения надежности си-
стем предупреждения аварии и перехода к устойчивому управлению безопасностью [1, 2, 12]
Подчеркнем, что устойчивое управление безопасностью АЭС осуществляется в пре-
делах интервала безопасности ],0[ 11 z=∃ , верхняя граница которого равна нижней границе
1z интервала запаса управляемости безопасностью АЭС ],[ 211 zz=∆ . При этом значение по-
казателя риска виртуальной аварии должно находиться в пределах интервала безопасности
],0[ 12 R=∃ , которое обеспечивается за счет соответствующего повышения надежности си-
стем предупреждения аварии.
Положение о первостепенном значении принципов предупреждения аварии в управ-
лении безопасностью экологически опасного объекта (ЭОО) полностью согласуется с мето-
дологией комплексной системы управления качеством [14].
6. Как было отмечено во втором положении, нормируемое допустимое значение ча-
стоты тяжелого повреждения АкЗ 10-5 реактор/год не имеет практического смысла. Согласно
концепции МБМЗ теория управления безопасностью АЭС основывается на конструктивных
принципах, позволяющих оценивать безопасность по реальным контролируемым данным. С
этой целью используются максимально возможное значение дозы всей совокупности про-
дуктов деления и допустимое количество выбросов, определяемое соответствующей норма-
В. И. ПАМПУРО, В. И. БОРИСЕНКО
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 32
тивно-технической документацией и, в частности, НРБУ-97/Д-2000 [15]. В работах [12, 16]
приведено подробное обсуждение и обоснование максимально допустимого значения пока-
зателя риска экологической опасности
h
qRМ ≤ , (6)
где q – максимальное значение допустимой согласно НРБУ-97/Д-2000 [15] дозы выбросов,
h - максимальное значение дозы всей совокупности продуктов деления.
Расчеты максимально допустимого значения показателя риска экологической опасно-
сти согласно формуле (6) могут использоваться на любых этапах жизненного цикла обеспе-
чения безопасности ЭОО, включая АЭС. Особо формула (6) удобна при определении макси-
мально допустимого значения показателя риска экологической опасности на этапе проекти-
рования, когда отсутствуют эксплуатационные данные об авариях [12, 16]
7. Согласно концепции МБМЗ управление безопасностью требует соответствующей
теории [4, 12, 18, 19]. Необходимость теории управления надежностью безопасностью вы-
звана непригодностью существующих методов анализа надежности безопасности для управ-
ления надежностью и безопасностью ЭОО. Покажем эту необходимость на примере анализа
методологических ограничений метода дерева событий, наиболее распространенного метода
анализа риска аварии [8, 9].
Дерево событий представляет собой логический метод перебора всех возможных ава-
рийных последовательностей (путей графа событий). Совокупность путей определяет вари-
анты события возможной аварии пε , вызванной исходным событием Aε с учетом надежно-
сти подсистем, влияющих на развитие аварии. На основе экспертного анализа, дерево, состо-
ящее из m исходных вариантов аварии, делится на две части, события которых соответствен-
но Н и H . Сумма этих событий равна достоверному событию I:
Н + H = I. (7)
Событие Н включает в себя только t вариантов аварийных последовательностей (пу-
тей), t < m, которые, по мнению эксперта, имеют практическую возможность привести к ава-
рии. Остальные (m - t)- вариантов относятся к событию H и исключаются как те, которые не
могут привести к аварии. Тем самым теоретически постулируется несовместность исходного
события Aε с событием исключенной части H , т.е. произведение НεА =∅. Это замечание
имеет важное значение для последующего анализа методологических ограничений метода
дерева событий.
Вычисляется вероятность события риска аварии R = Р( пε ), равного сумме вероятно-
стей несовместных событий путей (аварийных последовательностей) BP , по формуле
B
TB
A PRR
B
Σ
∈
= , (8)
где T - множество индексов вариантов, входящих в событие Н. При этом не учитывается
изменения значений вероятностей PВ, что необходимо сделать при переходе к преобразован-
ному (упрощенному) графу в связи с условием НεА =∅.
Ключевыми к пониманию основного методологического ограничения метода событий
являются положения, вытекающие из условия НεА =∅. Они состоят в следующем.
Когда анализируется зависимость события аварии Пε от исходного события Аε
Пε = Н Аε (9)
СОВРЕМЕННАЯ МЕТОДОЛОГИЯ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ АЭС
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 33
с учетом несовместности события Аε и события исключенной части графа Н , т.е. спра-
ведливо равенство НεА =∅, тогда при наступлении исходного события Аε , т.е. при условии
Аε = I, событие исключенной части дерева событий H является невозможным:
H = ∅∅∅∅. (10)
Из выражений (7) и (10) следует, что событие Н достоверное: Н = I.
С учетом последнего равенства и выражения (9) следует, что событие аварии равно
исходному событию [17]
Пε = Аε . (11)
Таким образом, при корректном теоретическом анализе метод дерева событий не учи-
тывает влияния систем управления и защиты на безопасность АЭС.
Отсутствие анализа методологических ограничений метода дерева событий приводит
к ошибочному анализу безопасности. Это наглядно видно на широко используемом класси-
ческом примере анализа тяжелой аварии АЭС с потерей теплоносителя [8, 9]. Из анализа это-
го примера следует, что событие аварии равно исходному событию [17].
Согласно логико-вероятностному методу анализа надежности и безопасности, когда
справедлива вероятностная модель аварии, система, состоящая из двух компонент (объекта
ji и подсистемы защиты ij), описывается соответственно событиями jiε , ijε . Система счита-
ется безопасной, если безотказно функционирует одна из компонент. Логически из этого
следует, что авария может наступить только тогда, когда откажут обе компоненты. Соответ-
ственно событие аварии
Пε = ijji εε , (12)
и, соответственно, для независимых событий вероятность аварии
)( ПР ε = )()( ijji РР εε . (13)
Рассмотренная модель является симметрической функцией. Она справедлива, когда
компоненты системы равноправны в обеспечении безопасности [13]. Так как объект ji и под-
система защиты ij имеют разное значение в обеспечении безопасности, то их взаимодействие
необходимо учитывать в контуре управления безопасностью [13,14]. С учетом этого контура
управления, вероятность аварии [14]
)()(1
)()(
jiij
ijji
А
РP
РР
P
εε
εε
−
= . (14)
Из сравнения выражений (8) и (9) следует неравенство
)()( ijji РР εε <
)()(1
)()(
jiij
ijji
РP
РР
εε
εε
−
. (15)
Современные АЭС имеют следующие значения вероятности безотказной работы:
9999,0)( ≈ijР ε , 999,0)( ≈jiP ε . Для этих значений вероятностей безотказной работы значение
оценки )()( ijji РР εε (13) мало отличается от точного значения, полученного согласно форму-
ле (14): погрешность оценки составляет около 0,1 %. Однако, в преобразованном дереве со-
бытий согласно формуле (8) суммируются вероятности ряда событий путей возможной ава-
рии, среди которых наименьшее значение имеет произведение )()( ijji РР εε . Поэтому, опре-
деленное согласно формуле (8) значение показателя риска, в лучшем случае, можно рассмат-
ривать только как верхнюю оценку показателя риска аварии.
Следует подчеркнуть, что анализ риска аварии с помощью метода событий связан с
проблемой размерности. Так, для системы с n элементами исходное дерево содержит 2n пу-
В. И. ПАМПУРО, В. И. БОРИСЕНКО
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 34
тей. Например, для структурной схемы управления балансом нейтронной и тепловой мощно-
стей, содержащей 18 элементов, соответствующее ей дерево событий должно содержать
260000 путей (ветвей) [20]. Провести анализ всех путей и выбрать наиболее значимые для
последующего анализа безопасности практически невозможно. Поэтому согласно методу де-
рева событий такую схему расчленяют на части, находят оценку сверху показателя риска
аварии для каждой части, а общую оценку получают как сумму оценок всех частей [3, 5].
Как само расчленение на части, так и принцип суперпозиции (суммирования показателей
риска аварии для каждой части) содержат неучтенные ошибки. В результате получаемое зна-
чение показателя риска аварии будет превышать точное значение, в соответствии с (14).
Метод дерева событий принципиально непригоден для реализации структурной опти-
мизации и поиска слабого звена в системе управления надежностью (безопасностью) АЭС.
Это объясняется как уже отмеченной проблемой размерности, так и невозможностью струк-
турного анализа систем без избыточности, что более подробно рассмотрено в [11, 18 - 20].
Оценивая метод дерева событий в целом, заметим следующее:
во-первых, несомненное достоинство метода дерева событий заключается в его прак-
тической направленности, основанной на знаниях специалиста по ядерной энергетике. Необ-
ходимая исходная информация для анализа безопасности не может быть получена формаль-
ным теоретическим путем, ею владеет только специалист, который хорошо разбирается в
технологии функционирования АЭС и систем обеспечения безопасности. Специалист рас-
сматривает не только варианты (пути) возможной аварии, но и возможные ее последствия,
замыкая тем самым контур управления безопасностью. Дерево событий не содержит конту-
ров управления безопасностью. Оно позволяет лишь упорядочить анализ безопасности АЭС,
расчленив общую задачу анализа на части;
во-вторых, метод дерева событий имеет неустранимые методологические ошибки, ис-
ключающие корректный анализ безопасности АЭС. В целом он позволяет получить прибли-
женнее оценки сверху показателя риска, в случае, если справедлива ее вероятностная мо-
дель, без учета значения погрешности приближения. Лежащий в основе метода событий ка-
чественный подход, основанный на знаниях специалиста, не позволяет учесть основные
скрытые причины виртуальной аварии (неполноту знаний и погрешность технологии обес-
печения безопасности);
в-третьих, метод дерева событий непригоден для оптимального управления безопас-
ностью из-за погрешности постулирования вероятностной модели аварии, а также из-за про-
блемы размерности и отсутствия контура управления безопасностью. В целом он является
качественным методом оценки показателя риска аварии на АЭС.
Другие ограничения метода событий приведены в [20].
8. Суть проблемы структурного анализа состоит в том, что в классической теории
анализа безопасности (в частности, в методе дерева событий) и в классической теории
надежности отсутствует необходимая информация для структурного анализа систем без из-
быточности. В этих теориях используется только свойства элемента в виде событий его без-
отказности или отказа. Законы связи элементов в системе без избыточности отсутствуют. В
системной теории управления безопасностью кроме событий безотказности и отказа исполь-
зуются законы связи событий потоков информации [11, 18 - 20]. Связь событий потоков ин-
формации элементов с событиями потоков информации системы определяет все возможные
виды соединений элементов. В многообразие видов входят последовательное, совокупность
параллельных, смешанных соединений элементов, включающее в себя как частный случай
известные в классических теориях надежности и безопасности соединения элементов случай,
когда события потоков информации считаются достоверными. Разработанное в структурной
теории управления соединение по схеме обратной стохастической связи послужило основой
теории управления надежностью и безопасностью. Кроме того, совокупность указанных ви-
дов соединения элементов позволяет разработать математическую модель любой системы
(как с избыточностью, так и, что особенно важно, без избыточности). В результате снята
СОВРЕМЕННАЯ МЕТОДОЛОГИЯ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ АЭС
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 35
проблема размерности. Например, для системы с n элементами дерево событий содержит 2n
путей. Так, для структурной схемы, содержащей 18 элементов, соответствующее ей дерево
событий содержит 260000 путей [20]. Из этого множества путей (вариантов возможной ава-
рии) эксперт должен выбирать те, которые, по его мнению, могут привести к аварии. Пре-
имущество системной теории, которое наглядно иллюстрируется данным примером, очевид-
ное. Согласно системной теории управления, любая система описывается числом уравнений
)1( +≤ nm и имеет одно решение, которое дает однозначную оценку вероятности риска, не
требующую экспертного анализа. Это иллюстрируется и примером, приведенным в [9, 17,
22, 23].
2.1. Модель надежности с оператором (РОП) в контуре управления
ОПОПОП
вх
ОП
вых
РРРР),(Р
)P( θ
)P(РРР
P)P( θ
≈→<
−−
=
2221
12221
1
90
11
2.2. Модель анализа риска с оператором в контуре управления
выхвхвых θθθ −=
22211 РРРР ОПf −=
)P( θ
)P(РРР
PP
)θP( вх
ОП
вых
f
12221
1
11
)1(
−−
−
=
2.3. Модель надежности с оператором в контуре контроля
2222
22
22
22
22
)1(1
)(
)1(1
)(
121
1
РРР
РР
Р
Р
Р
РРР
РP
ОП
ОП
э
э
вхэ
э
вых
>>
−−
=
−−
= θθ
2.4. Модель анализа риска с оператором в контуре контроля
)()(
)(
)1(1
)1(
)(
1
12221
1
2221
вых
э
вых
вхэ
э
fэ
вых
ээ
f
э
выхвх
э
вых
PР
P
РPP
РР
Р
PPР
θθ
θθ
θθθ
<<
−−
−
=
−=
−=
Рис. 2. Анализ влияния оператора в контуре управления надежностью и безопасностью АЭС.
Рассмотрим достаточно простой, но имеющий принципиальное значение пример ана-
лиза слабого звена [21]. Будем анализировать структуру, состоящую из объекта и подсисте-
мы управления безопасностью. Согласно системной теории управления безопасностью, ин-
формационный граф событий структуры приведен на рис. 2.1. Структура состоит из объекта
21 (активной зоны АЭС), вероятность безотказной работы которого 1Р , и подсистем управ-
θвх θэ
вых
P1
P21
PОП
P22
θвх θвых
P1
P21
PОП
P22
θвх θэ
вых
(1-P1)
Pэ
f (1-P1)
θвх θвых
(1-P1)
Pf (1-P1)
В. И. ПАМПУРО, В. И. БОРИСЕНКО
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 36
ления, которые вместе с объектом образуют контур управления. Система управления состоит
из следующих элементов:
подсистемы диагностирования, вероятность безотказной работы которой 21Р ;
оператора, вероятность безотказной работы которого ОПР ;
подсистемы регулирования - дистанционного расхолаживания активной зоны, вероят-
ность безотказной работы которой 22Р .
Элементы структуры описываются событиями работоспособности ε21, ε32, ε43, ε14 со-
ответственно, где вероятности
2214432132121 )(,)(,)(,)( РРPРРРРР ОП ==== εεεε .
Из-за ограниченной надежности оператора система управления надежностью, рис. 2.1
(безопасностью, рис. 2.2) неэффективна.
В результате изменения структуры системы управления надежностью, рис. 2.3 (без-
опасностью, рис. 2.4) , надежность системы управления качественно повышается, что, в свою
очередь, ведет к повышению надежности и безопасности АЭС в целом.
Следует заметить, что обосновать повышение надежности и безопасности АЭС за
счет структурной оптимизации системы управления с помощью метода дерева событий
принципиально невозможно, так как дерево событий зависит только от количества элемен-
тов, и поэтому оно одинаково для всех рассмотренных структур, приведенных на рис. 2. Эту
задачу нельзя решить и с другими методами анализа надежности и безопасности, которые не
учитывают событий потоков информации.
Учитывая изложенное, заметим, что корректный структурный анализ возможен толь-
ко с учетом событий потоков информации, который корректно изложен в теории управления
надежностью и безопасностью [12, 18, 20, 22].
СПИСОК ЛИТЕРАТУРЫ
1. Пампуро В.И. Максимальная безопасность при минимуме возможных затрат // Доп. НАН
України. - 2006. - № 5. - С. 185 - 190.
2. Пампуро В.И. Концепция максимальной безопасности АЭС при минимальных затратах // Два-
дцать лет Чернобыльской катастрофы. Взгляд в будущее. Т3-22. 24-26.04.06. Киев, Украина.
(Сб. докл.)
3. Пампуро В.И. Концепция тяжелой аварии и верхняя оценка ее риска // Доп. НАН України. -
2001. - № 7. - С. 185 - 190.
4. Пампуро В.И. Многокритериальная оптимизация технологии предупреждения экологической
катастрофы из-за тяжелой аварии объекта // Доп. НАН України. - 2000. - № 10. - С. 200 - 206.
5. Пампуро В.И. Оптимизация страхования риска виртуальной тяжелой аварии // Доп. НАН
України. - 2002. - № 3. - С. 198 - 204.
6. Пампуро В.И. Оптимальное управление безопасностью АЭС и вероятностный анализ риска //
Доп. НАН України. - 2001. - № 5. - С. 185 - 191.
7. Основные принципы безопасности атомных станций. Отчет Международной консультативной
группы по ядерной безопасности. Серия безопасности 75. INSAG-3, Rev.1 INSAG-12
8. Хенли Э.Д., Кумато X. Надежность технических систем и оценка риска.- М.: Машиностроение,
1979. - 528 с.
9. Уивер Л. Риск от аварии нa АЭС с легководяными реакторами // Безопасность ядерной энерге-
тики. – М.: Атомиздат, 1980. - С. 114 - 133.
10. Швыряев Ю. В. Вероятностный анализ безопасности атомных станций. Методика выполнения.
- М: ИАЭ им. И. В. Курчатова, 1992. - 265 с.
11. Пампуро В.И. Управление безопасностью объектов атомной энергетики согласно концепции
виртуальной аварии // Доп. НАН України. - 2007. - № 11. - С. 180 - 185.
12. Шестопалов В.М, Пампуро В.И., Шибецкий Ю.А. Проблемы оптимального управления без-
опасностью геологического захоронения радиоактивных отходов. – К., 2008. - 172 с.
13. Загальні положення безпеки атомних станцій. НП 306.2.141-2008.
СОВРЕМЕННАЯ МЕТОДОЛОГИЯ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ АЭС
________________________________________________________________________________________________________________________
ПРОБЛЕМИ БЕЗПЕКИ АТОМНИХ ЕЛЕКТРОСТАНЦІЙ І ЧОРНОБИЛЯ ВИП. 13 2010 37
14. Руководство по управлению предупреждения происшествий (путь к повышению эксплуатаци-
онной безопасности) // Серия безопасности № 75. - 1991.
15. Нормы радиационной безопасности Украины. НРБУ-97/Д-2000.
16. Пампуро В.И. Принцип необходимой оптимальной управляемости безопасностью обращения с
радиоактивными отходами // Доп. НАН України. - 2003. - № 6. - С. 1182 - 187.
17. Пампуро В.И. Методологические ограничения метода дерева событий // Доп. НАН України. -
2008. - № 12. - С. 161 - 165.
18. Пампуро В.И. Метод разработки математических моделей управления экологической безопас-
ностью объектов // Доп. НАН України. - 1999. - № 1. - С. 197 - 203.
19. Пампуро В.И. Структурная информационная теория надежности систем. – К.: Наук. думка,
1992. – 324 с.
20. Pampuro V.I., Borisenko V.I. Management of Individual Ecological Safety of Potentially Hazardous
Object // The third American Nuclear International Topical Meeting on Nuclear Plant Instrumentation,
Control and Human-Machine Interface Technologies (NPIC & HMIT 2000), November 13 - 17, 2000.
- Washington, D.C., р. 707 - 722.
21. Пампуро В.И. Анализ эффективности человеческого фактора в технологии оптимального
управления экологической безопасностью человеко-машинных систем // Кибернетика и вычис-
лительная техника. - 2002. - Т. 136. - С. 32 - 54.
22. Ершов Г.А., Козлов Ю.И., Татусьян А.О. Сравнительный анализ способов моделирования без-
опасности АЭС с помощью метода ДС-ДО, GO-метода и общего логико-вероятностного мето-
да. Материалы конференции «Практика разработки ВАБ и использования их результатов на
действующих и вновь проектируемых АЭС». Москва, 18 - 21 ноября 2002 г.- М.: Атомэнерго-
проект, 2002.
23. Пампуро В.И. Управление безопасностью объектов атомной энергетики согласно концепции
виртуальной аварии // Доп. НАН України. - 2007. - № 11. - С. 198 - 204.
СУЧАСНА МЕТОДОЛОГІЯ КЕРУВАННЯ БЕЗПЕКОЮ АЕС
В. І. Пампуро, В. І. Борисенко
В основі сучасної методології керування безпекою АЕС лежить концепція максимальної без-
пеки при мінімумі можливих витрат. Реалізація цієї концепції базується на основних положеннях,
викладених у даній роботі.
Ключові слова: керування безпекою, імовірнісний аналіз безпеки, глибокоешелонований за-
хист, віртуальна аварія.
MODERN METHODOLOGY OF MANAGEMENT OF NPP SAFETY
V. I. Pampuro, V. I. Borysenko
The basis of modern methodology of management of NPP safety - is the concept maximum safety
with minimal cost. This concept is based on the main provisions contained in the work.
Keywords: safety management, probabilistic safety analysis, in-depth protection, virtual accident.
Поступила в редакцию 16.11.09
|
| id | nasplib_isofts_kiev_ua-123456789-58196 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 1813-3584 |
| language | Russian |
| last_indexed | 2025-11-28T10:27:14Z |
| publishDate | 2010 |
| publisher | Інститут проблем безпеки атомних електростанцій НАН України |
| record_format | dspace |
| spelling | Пампуро, В.И. Борисенко, В.И. 2014-03-20T18:45:24Z 2014-03-20T18:45:24Z 2010 Современная методология управления безопасностью АЭС / В.И. Пампуро, В.И. Борисенко // Проблеми безпеки атомних електростанцій і Чорнобиля: наук.-техн. зб. — 2010. — Вип. 13. — С. 27–37. — Бібліогр.: 23 назв. — рос. 1813-3584 https://nasplib.isofts.kiev.ua/handle/123456789/58196 629.162.658 В основе современной методологии управления безопасностью АЭС лежит концепция максимальной безопасности при минимуме возможных затрат (МБМЗ) [1, 2]. Реализация этой концепции базируется на основных положениях, изложенных в работе. В основі сучасної методології керування безпекою АЕС лежить концепція максимальної безпеки при мінімумі можливих витрат. Реалізація цієї концепції базується на основних положеннях, викладених у даній роботі. The basis of modern methodology of management of NPP safety - is the concept maximum safety with minimal cost. This concept is based on the main provisions contained in the work. ru Інститут проблем безпеки атомних електростанцій НАН України Проблеми безпеки атомних електростанцій і Чорнобиля Проблеми безпеки атомних електростанцій Современная методология управления безопасностью АЭС Сучасна методологія керування безпекою АЕС Modern methodology of management of NPP safety Article published earlier |
| spellingShingle | Современная методология управления безопасностью АЭС Пампуро, В.И. Борисенко, В.И. Проблеми безпеки атомних електростанцій |
| title | Современная методология управления безопасностью АЭС |
| title_alt | Сучасна методологія керування безпекою АЕС Modern methodology of management of NPP safety |
| title_full | Современная методология управления безопасностью АЭС |
| title_fullStr | Современная методология управления безопасностью АЭС |
| title_full_unstemmed | Современная методология управления безопасностью АЭС |
| title_short | Современная методология управления безопасностью АЭС |
| title_sort | современная методология управления безопасностью аэс |
| topic | Проблеми безпеки атомних електростанцій |
| topic_facet | Проблеми безпеки атомних електростанцій |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/58196 |
| work_keys_str_mv | AT pampurovi sovremennaâmetodologiâupravleniâbezopasnostʹûaés AT borisenkovi sovremennaâmetodologiâupravleniâbezopasnostʹûaés AT pampurovi sučasnametodologíâkeruvannâbezpekoûaes AT borisenkovi sučasnametodologíâkeruvannâbezpekoûaes AT pampurovi modernmethodologyofmanagementofnppsafety AT borisenkovi modernmethodologyofmanagementofnppsafety |