PRoAtom - О разных вероятностях, риске, безопасности и качестве

Р.Т.Исламов, д.ф.-м.н., профессор, директор МЦЯБ

Давным-давно, еще в прошлом тысячелетии, где-то в начале 90-х, мы с группой специалистов из РФ посетили несколько объектов использования атомной энергии в США. На одном объекте в перчаточных боксах встряхивали металлические стаканы с рыжим порошком диоксида плутония (нам божились, что он "ни разу не военный", но спецы у нас тертые, нам не альфа-излучение, нам гамма подавай!), на другом собирали "алмазы пламенные" солевых шахт 2100 футов под землей, на третьем "разгоняли гремучих змей" в пустыне Аламогордо на месте взрыва первой в мире атомной бомбы на ракетном полигоне (см. Рис.1).

Рисунок 1. Место взрыва первой в мире атомной бомбы, Trinity Site (значок шерифа в местной лавке стоит пять баксов, стетсон - восемнадцать).

Наконец, после посещения музея атомных бомб в Лос-Аламосе(LANL), добрались до Сандийской национальной лаборатории(SNL). Здесь нам устроили специальные встречи "по интересам", в соответствии со специализацией. Мне торжественно объявили, что меня ждет эксперт по вероятностному анализу риска, и отвели в конференц-зал с огромным овальным столом. Минут через двадцать ожидания дверь приоткрылась, и в дверях появился джентльмен с огромной стопкой отчетов. Он положил ее на стол, поздоровался, сел и сообщил мне удивительные вещи:

- Существует пять понятий вероятности, которые определяют риск, - и далее стал рассказывать об алеатори источниках, сайхолоджи, стохастик, эпистемик и еще бог весть каких замечательных словах, которые я не запомнил, но внимательно выслушал.

- Я очень сожалею, что не такой образованный, как Вы, и мне знакомо только одно определение вероятности, которое мне сообщили на мехмате МГУ, - ответил я. - Это определение через пространство элементарных событий, сигма-алгебру и аддитивную нормируемую вероятностную меру, с теорией которой связано понятие интеграла Лебега.
- Wow! - восторженно воскликнул "эксперт", - теперь у нас есть целых шесть определений вероятности!

Я стойко перенес грандиозный прорыв в американской науке. Можно сказать, тихо приобщился к уникальному сообществу "экспертов шести вероятностей".

К сожалению, в области анализа безопасности и риска в большом количестве работают прекрасные инженеры, физики, экономисты и даже философы, но не всегда с достаточным уровнем математических знаний. Это приводит к разному пониманию проблем анализа риска. По незнанию и лукавства ради, манипулируют с такими понятиями, как критерий риска, ущерб, категории, частотные характеристики, уровень доверия, оценка и т.п. Поэтому иногда выводы о безопасности, основанные на оценках риска, имеют оттенок псевдонаучной профанации.

Летом 2012 года мы, НТЦ ЯРБ Ростехнадзора и МЦЯБ, проводили обучение и аттестацию специалистов по вероятному анализу безопасности (ВАБ) из разных организаций (институты и АЭС). Инженеры прекрасно разбираются в оборудовании, системах управления, некоторые имеют большой опыт работы на АЭС. Обсуждаем раздел "Интерпретация результатов", объясняю, что вероятностные оценки являются случайными величинами, действия над ними нелинейны. Навскидку задаю простой вопрос:

- Насос с вероятностью 0.5 отказывает днем, а с вероятностью 0.6 ночью. Какова вероятность отказа за сутки?

Большинство склоняется к цифре 0.55, кто-то даже предположил, что 1.1. Есть и те, кто знает правильный ответ. Нет ничего удивительного в том, что простенькая формула для вероятностей P(A+B)=P(A)+P(B)-P(AB) не сразу укладывается в инженерной голове. Для них специально читались лекции, на которых им объясняли, каким образом нужно правильно "считать вероятности". Чем отказы по общим причинам отличаются от зависимых отказов с точки зрения математической модели и реальной статистики. На лекциях рассматриваются конкретные системы. Объясняется, как из высоконадежного оборудования при неправильных конструкторских решениях получаются слабонадежные системы. И, наоборот, из слабонадежных элементов, путем грамотного резервирования, получаются высоконадежные системы. Обсуждаем состояние системы сбора информации об отказах оборудования со специалистами, работающими на АЭС, которые все "трогали своими руками". Рассматриваем формулы, по которым рассчитывается статистика с учетом старения оборудования и систем. И только тогда становится понятным, каким образом нужно формировать базы данных по отказам и статистику на АЭС, и почему это трудная проблема до сих пор не решена.

То, что не все слушатели курсов одинаково готовы для проведения ВАБ, это не плохо, им читаются лекции, они потом дополнительно сами обучаются в процессе работы. Плохо другое, что конструктора, разработчики систем управления и систем безопасности, слабо представляют себе не только расчеты по надежности, но и цену своих решений. Бездумное резервирование систем, вклад которых в аварийные последовательности ничтожен, ведет к необоснованному удорожанию объекта. Отсутствие разумного резервирования, естественно, снижает безопасность. Поэтому то, что Г.А.Ершов, один из лучших специалистов по математической теории надежности в атомной отрасли, назначен ГИПом БН-1200, говорит о продуманной политике в области безопасности.

О неопределенности

Позже, особенно после работ с комиссией ядерного регулирования (NRC) в национальных лабораториях: Сандия (SNL), Брукхевен (BNL), Тихоокеанская северо-западная( PNNL), Аргонская (ANL); и другими организациями министерства энергетики (DoE) и обороны (DoD), был приобретен определенный опыт в понимании некоторых особенностей того, что называется "культура безопасности". В штаб-квартире НАСА, в отделе безопасности, куда пригласили прочитать лекцию о методах анализа безопасности, с удивлением узнал, что для вероятностного анализа безопасности (ВАБ) и риска космических аппаратов используется компьютерный код Saphire, разработанный для атомных станций национальной лабораторией Айдахо (IENL). Были иллюзии, что уж в космической индустрии методология и уровень работ по анализу безопасности выше, чем в атомной, оказалось с точностью до наоборот. Опыт работы в национальных лабораториях был полезен также и с точки зрения научной составляющей. Работая экспертом в отделе новых разработок SNL, познакомился со специалистами в области методов конечных элементов, искусственного интеллекта, нейронных сетей. Было предложено решить необычную задачу "оценка уязвимости" (Vulnerability Study) некоего устройства. Для этого нужно было сначала решить задачу на поиск экстремума многоэлементной, многокомпонентной системы, где связь параметров, как и сами параметры, были случайными, и потом обратную задачу по определению области значений аргументов. Обычными, известными методами задача не решалась, потому что в ходе ее решения нужно было решить проблему оценки неопределенности. Поясню на простом примере. Пусть значения некой функции Y, зависящей от X1, X2, X3 , заданы в виде таблицы для трех точек (см. Таблицу 1):

Таблица 1. Исходные данные трехмерной модели Y и ее значения.

N	X1	X2	X3	Y
1	0	0	0.5	1.35
2	0	0.25	0	2.57
3	0.75	0.25	0	3.69

Необходимо оценить значение функции Y в других точках, например (см. Таблицу 2):

Таблица 2. Исходные данные трехмерной модели Y.

N	X1	X2	X3	Y
1	0	0	0	?
2	0.1	0.4	0.3	?
3	0.5	0.5	0.7	?

Попробуйте решить эту простенькую, на первый взгляд, задачку самостоятельно. Директор Института искусственного интеллекта А.С.Нариньяни, специалист по анализу неопределенности, выразился очень образно: "эта задача чересчур перенедоопределена". Сегодня это уже обычная задача по анализу неопределенности, но в то время пришлось повозиться и придумать новый метод аппроксимации детерминистической модели с помощью стохастических преобразований. Здесь пригодился функциональный анализ, который, к моему удивлению, был слабо известен моим американским коллегам. Полученные свойства этого подхода оказались очень удобны для решения задач по анализу неопределенности детерминистических моделей.

О валидации и верификации

20 августа 2012 года на сайте www.proatom.ru была опубликована статья А.М.Букринского "О терминах «верификация» и «валидация»", обсуждение которой показывает, что даже у специалистов есть некоторое недопонимание не столько самих терминов, сколько того, какие конкретно работы стоят за ними. Не буду касаться всех аспектов, остановлюсь лишь на анализе неопределенности, который принципиально различается для процедур верификации и валидации. Прежде всего, следует отметить, что анализ неопределенности необходим для получения количественных оценок качества расчетного кода.

В свое время весь хаос общественной мысли с "uncertainty analysis" сводился к учету бесконечных источников неопределенности, вкупе с мутной философией epistemic-aleatory, которая конкретно не приводила ни к каким количественным оценкам. Нужно было навести порядок. Это было сделано в работе МАГАТЭ: PSA Quality for Applications, IAIE, 2005. Наконец, удалось сформулировать в конкретных терминах и определениях, что же конкретно стоит за так называемым "анализом неопределенности". Споров с иностранными коллегами было много, но в документ вошли не только epistemic-aleatory рассуждения, но и, наконец, предложенные нами классы анализов неопределенности. Всего их четыре, что, существенно упрощает процедуру проведения исследований. Для каждого класса используются разные методы и подходы:

1.            Анализ неопределенности параметров вероятностных моделей.
2.            Анализ неопределенности вероятностных моделей.
3.            Анализ неопределенности параметров детерминистических моделей.
4.            Анализ неопределенности детерминистических моделей.

К сожалению, и это повсеместное заблуждение, но разработчики кодов не понимают разницы между пп. 3 и 4. Я объяснял это на протяжении последних лет десяти на разных конференциях и семинарах. Безрезультатно. Практически все исследователи докладывают результаты работ, которые явно выполнены по п.3, но они упорно настаивают, что это именно то, что должно быть сделано по п.4. Вообще, это всеобщая проблема, такая же дискуссия состоялась и в GRS(Германия), и на конференциях в Италии, США. Не все читают и понимают документы МАГАТЭ.

Зато, когда читаю лекции для молодых выпускников МФТИ, МВТУ и МИФИ, которые занимаются расчетами или разработкой теплогидравлических и нейтронно-физических кодов, им более-менее понятно. И дело не столько в том, что методы анализа неопределенности базируются на теории вероятностей и функциональном анализе, но и в том, что "начиная с некоторого возраста человек становится необучаемым". У некоторых этот возраст наступает слишком рано.

Анализ неопределенности п.3 необходим для проведения валидации (validation) , в то время как анализ по п.4 необходим для проведения верификации (verification) расчетных кодов. Пока разработчики и расчетчики не разберутся с этим, качество расчетных кодов будет определяться не с помощью количественной оценки качества, а путем простого голосования этими же самыми разработчиками и расчетчиками. Как правило, используются жаркие заверения разработчиков кодов "поверьте, все будет хорошо" и разработчики приходят к выводу: "мы посчитали некоторые режимы, сравнили кое-где с экспериментами и результатами других кодов, не все, но кое-где похоже на правду ". Потом проходят различные НТС. И, наконец, аттестация кода в НТЦ ЯРБ Ростехнадзора. Там существуют требования к анализу погрешности. Но никто не знает, что конкретно должно входить в анализ неопределенности, какой должен быть результат и какие конкретно цифры нужно считать приемлемым уровнем качества. Таких требований нет. Все очень просто – заслушали, проголосовали, аттестовали. Тем не менее, эти требования уже давным-давно должны были быть сформулированы на основе существующих рекоммендаций МАГАТЭ. Конструктора и проектировщики принимают решения на основе подобных "проголосованных" кодов. А вот ответственность за безопасность объектов, обоснованной с помощью этих кодов, целиком лежит на эксплуатирующей организации, что делает позицию разработчиков кодов и расчетчиков абсолютно неуязвимой ("мы вам все прекрасно рассчитали-обосновали, а вы все сломали"). Чтобы повышать безопасность объектов, надо прежде всего повышать качество принимаемых решений и инструментов (в данном случае расчетных кодов), на основе которых принимаются эти решения. Это необходимо делать через процедуру независимой экспертизы.

Процедура разработки расчетного кода является итерационной и ее, в общем случае, можно представить в виде следующих этапов:

1. Разработка модели. Определение параметров и функциональных связей между ними.

2. Анализ точности. Исследования сходимости, устойчивости, аппроксимации выбранных методов и алгоритмов, нодализации и пр.

3. Анализ чувствительности параметров.

4. Анализ неопределенности параметров модели. Результаты необходимы для валидации расчетного кода.

5. Анализ неопределенности модели. Результаты необходимы для верификации расчетного кода.
5.1. Оценка близости результатов расчетов модели и статистических данных эксперимента или результатов другого кода (кросс-верификация)
5.2. Анализ полноты данных. Планирование дополнительных экспериментов и/или дополнительных расчетов.
5.3. Оценка вклада параметров в расхождение между результатами расчетных кодов и экспериментов.

6. Коррекция модели. Изменение параметров и/или функциональных связей между ними в случае неудовлетворительных результатов п.5 и переход к п.2.

Рассмотрим подробнее анализ неопределенности параметров детерминистических моделей и моделей.

Анализ неопределенности параметров детерминистических моделей

Здесь море разливанное всяких методов: The analytical approach, Fourier Amplitude Sensitivity Test, The Extreme Condition Approach for Uncertainty Propagation, The Statistical Approach for Uncertainty Propagation, Regression Analysis, The SUAM and CSSUAM methods, Uncertainty Calculation System & Method (UCSM), Law of propagation of error, GRS-method to quantify uncertainties, Response Surface Method (RSM), Simple random sampling (SRS), Latin hypercube sampling, Sample size justification, First-order second-moment analysis, , Fuzzy sets, Bayesian Model.

Методы включены в уже упомянутые отчеты NRC и МАГАТЭ с подробным описанием достоинств, недостатков и области применения. Есть подозрение, что такое количество разных методов определяется не четким пониманием "экспертов" зачем данный анализ вообще нужен (я не удержался от искушения и добавил свой метод Probabilistic uncertainty of input parameters).

Анализ неопределенности детерминистических моделей

1. Оценка близости результатов расчетов модели Y и статистических данных эксперимента или результатов другого кода Z.

Был предложен коэффициент 0количественную характеристику качества кода.

2. Анализ полноты информации.

С помощью статистического критерия (в данном случае, Смирнова) можно оценить, сколько дополнительных расчетов и/или экспериментов нужно провести, чтобы массив данных, на котором сравнивается расчет и эксперимент, был достаточен. Это дает понятный механизм планирования расчетов и/или экспериментов. Как правило, сегодня на вопрос, а сколько и каких нужно проводить расчетов, и вообще, каких нужно провести дополнительных экспериментов, "эксперты" дырявят потолок глазами, морщат кожу на лбу и неожиданно заявляют - "вот денег дадут, будем на такую сумму и делать". Поэтому не ругайте руководителей за планирование – у них такие помощники-"эксперты".

3. Обратная задача. Анализ влияния параметров моделей.

Это, пожалуй, самая интересная часть для разработчиков кодов. Для каждого параметра X многомерных моделей определяется коэффициент корреляции с расхождением моделей Y(X) и Z(X). Например, определяется вклад каждого параметра в "ошибку" между расчетом и экспериментом. Не секрет, что в современных расчетных кодах количество параметров достигает несколько сотен и даже тысяч. Каким бы опытным инженером, физиком или математиком разработчик кодов ни был, разобраться ему в хаосе сотен параметров и их влиянием на результаты многомерных расчетов крайне затруднительно, а порой и технически невозможно. Показатель корреляции для параметров дает простой механизм, на что в первую очередь обратить внимание разработчиков, почему тот или иной параметр так сильно "портит" картину несовпадения расчетов и экспериментов, и где скрывается главная недоработка компьютерной модели.

Код PRAISE/MATRIX

На основе этого подхода был разработан код PRAISE/MATRIX, а практическое применение нашло в очень небольшом количестве работ. В 1999 году приказом министра Минатома Е.О. Адамова был создан Отраслевой центр по расчетным кодам Минатома (ОЦРК), и при разработке отечественного теплогидравлического кода КОРСАР(НИТИ) в ОЦРК были проведены работы по оценке неопределенности модели и оценке качества параметров, используемых в моделях кода. Подробнее можно ознакомиться в работе R. Islamov, S. Soloviev, Uncertainty Analysis of Thermodynamical Code KORSAR Models, ICONE10: Tenth International Conference on Nuclear Engineering, Arlington, Virginia, USA, April 14-18, 2002. (см. рис.2-3 )

Рисунок 2. Результаты расчетов международной проблемы ISP27: отлично (зеленый), хорошо (синий), плохо (красный).

Рисунок 3. Результаты расчетов международной проблемы ISP33: отлично (зеленый), хорошо (синий), плохо (красный).

Стоит отметить, что в дальнейшем модели кода КОРСАР были доработаны и улучшены.

В другой работе - R. Islamov, V. Ustinov, Uncertainty Analysis and Stochastic Approximaton, International Meeting on "Best-Estimate" Methods in Nuclear Installation Safety Analysis (BE-2000), Washington, DC, November, 2000, был приведен результат сравнения двух расчетных кодов: одного - разработанного в Курчатовском институте GIDR-3M и другого - в ЦКТИ, при трехмерном расчете теплообменника. Сначала результаты расчетов каждого кода сравнивались с экспериментальными данными. А потом коэффициенты SAR для обоих кодов сравнивались "послойно", по высоте теплообменника (см. Таб.3).

Таблица 3. Коэффициенты SAR сравнения с экспериментом для кодов GIDR-3M и CKTI по высоте теплообменника, хорошо (синий), плохо (красный).

Как видно из результатов анализа, код GIDR-3M стабильно показывает достаточно устойчивое совпадение расчетов и экспериментов, в то время как код ЦКТИ неудачно описывает входной участок теплообменника, где входное сечение гораздо шире выходного. Примечательно то, что для проведения сравнительных расчетов не требуется знания "внутреннего устройства" кодов, количественные результаты сравнения компьютерной программой лишены субъективости. Если расчеты программы плохо согласуются с экспериментом, то никакие экспертные похвалы об "углубленности и сложности используемых моделей" не играют никакой роли.

Пример анализа неопределенности нейтронно-физических моделей кода БАРС и оценка полноты исходных данных (критерий Смирнова KS) приведен в таблице 4:

Таблица 4. Результаты расчетов неопределенности моделей и оценка полноты исходных данных.

Параметр	SAR	KS
1. Кz	0.895	0.117
2. Кeff	0.998	0.999
3. r¥	0.925	0.588

Несмотря на хороший показатель сравнения SAR в Таблице 4, только для анализа Кeff экспериментальных данных оказалось достаточно, для двух других параметров необходимы дополнительные статистические и/или расчетные данные. Для расчетного кода БАРС была рассмотрена и обратная задача - анализ влияния параметров моделей (см Таблицу 5.)

Таблица 5. Анализ вклада параметров в неопределенность (расхождение) расчетной и экспериментальной моделей.

Модель	Параметр	Коэффициент корреляции
Kz	Расстояние от центра а.з., шагов ТВС	0.246
Kz	Энерговыделение в ТВС, отн.единиц	0.246
Кeff	Количество загруженных ТВС	0.692
Кeff	H, мм	0.733

PRAISE/MATRIX предоставляет также возможность взглянуть на N-мерные модели визуально, что удобно для виртуального анализа физических процессов в моделях :

Рисунок 4. Графическое представление сечений модели

Возможность аппроксимации сложных аварийных физических процессов исключительно полезна для поддержки эксплуатации при сопровождении управления аварией, например, в кризисных центрах, когда необходим мгновенный прогноз поведения параметров, а прогнозный расчет режимов даже на сверхмощных компьютерах требует несколько часов.
Никаких других работ по анализу неопределенности моделей мне сегодня не известно, хотя в РНЦ КИ, ГИДРОПРЕСС, ВНИИАЭС есть подготовленные специалисты, которые могут работать с программами типа PRAISE/MATRIX (более того, код был передан конкретным специалистам). К сожалению, нужных специалистов нет в составе НТС-ов Росатома, где рассматриваются вопросы качества разрабатываемых кодов.

О технологической безопасности. Расчетный код РИСК

В рамках работы проекта Kolisa (1996-1998) для проведения вероятностного анализа(ВАБ) Кольской АЭС нам был передан американский расчетный код Saphire. Финансировала работу министерство энергетики США, а сам код принадлежал NRC. И в разгар работ по проекту NRC неожиданно прислало письмо, запрещающее использовать российскими гражданами этот код в связи с санкциями США против РФ из-за Ирана. Так возникло понимание существования "политического риска" и необходимости технологической независимости для снижения этих рисков. И нужны ли "бесплатные" зарубежные закрытые коды в серьезных работах. То есть разработка отечественных кодов в атомной энергетике – это не прихоть любителей попрограммировать, а вопрос технологической и ядерной безопасности прежде всего.

На одном из совещаний в Минатоме я поднял вопрос о недопустимости ситуации, когда работы по безопасности АЭС зависят от "капризов иностранной погоды". Замминистра Минатома Б.И. Нигматуллин в 2000 году подписал соответствующее распоряжение об открытии темы. В 2003 году код РИСК был аттестован в Госатомнадзоре. За три года мы сделали то, на что у американцев и шведов ушло несколько десятилетий. Кроме того, что он совместим со шведским RiskSpectrum, дополнительно были включены отечественные модели старения, а позднее и оценки значимости ошибок персонала по методике НТЦ ЯРБ внедрены в Риск мониторе (см. далее). С 2003 года никакого финансирования со стороны Минатома-Росатома не было. И находятся критики кода РИСК, которые возмущаются тем, что мы абсолютно бесплатно на протяжении последних десяти лет не выполняем работ по поддержке и дальнейшему развитию кода РИСК в том же объеме, за который шведы получают десятки миллионов евро ежегодно. Хотя нам удается эпизодически его поддерживать и развивать в рамках смежных работ, где это технически связанно с ВАБ.

Рисунок 5. Расчетный код РИСК. Пример моделей деревьев событий и деревьев отказов.

Вместе с тем был закуплен код RiskSpectrum для проектных и конструкторских институтов и для всех АЭС. На Ленинградской АЭС на заседании главных инженеров несколько лет тому назад в своем докладе я высказал предположение, что следующим шагом, надо думать, будет замена не только программных кодов, но и всех главных инженеров на иностранцев. Как в футболе, сначала футболистов, а потом и тренеров – все к этому идет. Я не увидел на лицах инженеров радости по этому поводу. Кроме того, обосновал необходимость создания подразделений по ВАБ (не на всех АЭС с РБМК они были). Это предложение нашло поддержку руководством концерна (спасибо за мудрость Н.М. Сорокину).

О мониторе риска

Монитор риска представляет собой программу, которая пересчитывает значения риска (вероятности расплавления активной зоны) в соответствии с состоянием оборудования и систем (отказ, ремонт, ошибка оператора) блока АЭС. Широко известны следующие программы по монитору риска: шведская RiskWatcher (на базе RiskSpectrum), американская Saphire, и наша отечественная разработка RiskMonitor (на базе кода РИСК). Поскольку пользователи монитора риска не всегда должны быть специалистами в области теории вероятностей, то результирующий риск выводится в удобной форме, как у светофора. Зеленая зона - приемлемый риск, желтая - предупредительная, красная - опасная. Пример графика монитора риска представлен на рисунке ниже (использовалась тестовая модель ВАБа, по которой проводилась кросс-верификация отечественного кода RiskMonitor со шведским кодом RiskWatcher):

Рисунок 6. Пример графика монитора риска программы RiskMonitor.

В декабре 2012 проходило совещание по монитору риска на Ленинградской АЭС с приглашенными специалистами с других АЭС с РБМК, а также шведскими и финскими специалистами. Опыт разработок, внедрения и прочее. Мы очень долго, на протяжении последних десяти лет, мучились тем, что наш код РИСК считает гораздо дольше, чем шведский код RiskSpectrum. Ну да, модели ВАБов огромны, расчеты продолжительны. Но монитор риска для некоторых задач требует другой скорости. Наконец, смогли сообщить о том, что, решив не совсем тривиальную математическую проблему, наш код RiskMonitor считает гораздо быстрее шведского кода монитора риска RiskWatcher. И не просто быстрее, а может работать в on-line режиме, практически реального времени. Но для этого нужно провести предварительно так называемый вариационный ВАБ. Работа трудоемкая, но все окупается эффективностью при скорости анализа решения в процессе эксплуатации. Кроме того, подключив к АСУТП, можно получать "картинку риска" в соответствии с реальным состоянием блока, (см. Рис.7).

Рисунок 7. RiskMonitor. Регистрация компонент выведенного оборудования и систем.

Чем немало расстроил шведов и некоторых сотрудников АЭС. Прекрасно понимаю их: дважды в год ездить на учебу в Швецию всяко лучше, чем в Москву. Переход отечественного кода RiskMonitor на сетевую версию создает возможность контроля за каждым блоком АЭС в режиме on-line на удаленном рабочем месте (сетевая версия опробована на Смоленской АЭС в 2012 году ). Это позволит непосредственно работникам Росатома/Росэнергоатома, отвечающим за безопасность АЭС, получать мгновенную информацию о состоянии безопасности напрямую, без панических криков в никуда "ну-ка доложите, что там у вас происходит, только честно". Специалистам, отвечающим за безопасность, нет необходимости разбираться в тонкостях вероятностных оценок и их абсолютных значений, достаточно иметь представление о критическом изменении безопасности (для этого и введены цветовые границы, Рис. 6) и данные о вкладе в риск конкретного оборудования и систем, выраженном в значениях увеличения и снижения риска. Цветовая визуализация показывает, на какие системы нужно обращать внимание в первую очередь (см. Рис.8):

Рисунок 8. RiskMonitor. Значимость Оборудования

При эксплуатации сетевой версии нужно особо обращать внимание на компьютерную безопасность. Для этого в Международном центре по ядерной безопасности (МЦЯБ) разработано Руководство по анализу безопасности компьютерных систем ядерных установок - Guidance on Security of Computer Systems in Nuclear Facilities, Report on Service Agreement for IAEA, 2005.

Тренажерный вариант Монитора риска дополнительно дает возможность прогноза, насколько изменится безопасность, например, если какие-нибудь системы предполагается отключить (вывести в ремонт) без останова блока. Эту ситуацию можно промоделировать непосредственно, получив оценку предполагаемого риска. Как говорится, "семь раз отмерь - один раз отрежь", то есть, возможно планирование ремонта с оглядкой на безопасность, а не только на Киум. Подобные элементы управления риском и составляют общую культуру безопасности эксплуатации АЭС.

Про антитеррористическую безопасность.

Согласно рекомендациям МАГАТЭ, расчеты по оценке уязвимости АЭС необходимо проводить в соответствии с методологией вероятностного анализа. Это отраженно в Руководстве по анализу жизненно важных зон физической защиты ядерных объектов против терроризма, Guidance for Identification of Vital Areas at Nuclear Facilities for Physical Protection Against Sabotage. Руководство мы писали несколько лет со специалистами из США, Англии, Германии, Ю.Кореи, Японии, Австралии, причем особенно учитывались не только технические, но и политические аспекты документа. Например, слово терроризм был заменен на саботаж, само руководство писалось таким образом, что, в случае попадания в ненадлежащие руки, не смогло бы стать "руководством к действию" и т.д. Особенно умиляли дискуссии с двумя представителями Японии, у которых, как правило, всегда было два взаимоисключающих мнения. Идеологически методология оценки антитеррористической защиты (vital area identification) напрямую связана с ВАБ объекта на уровне эксплуатации (operation safety), обе методологии связаны одной общей вероятностной моделью функционирования оборудования и систем. И если ВАБ оперирует минимальными сечениями событий, связанных с оборудованием и персоналом, то VAI оперирует с минимальными сечениями, связанными с трехмерной геометрией помещений и оборудования. Подход к процедуре идентификации мы формировали в рамках дискуссий, связанных, в том числе, и с различием в практике разных стран. Например, в южнокорейском центре ядерных исследований Дейджоне были продемонстрированы возможности расчетного кода для VAI, в котором была реализована алгебро-логическая процедура идентификации с очень сложным, но крайне эффективным алгоритмом, совмещенным с виртуальным представлением блока АЭС. По понятным причинам подобные коды не распространяются (просьба о продаже нам этого кода была мягко отклонена). Позднее, в работе R.Islamov, Analytical-Statistical Simulation Approach, Report on Service Agreement for IAEA, 2006 была предложена процедура идентификации с учетом моделирования действий персонала служб безопасности.

Сегодня необходимы отраслевое руководство по оценке уязвимости важных зон физической защиты ядерных объектов против терроризма, методики, расчетный код, которые соответствовали бы рекомендациям МАГАТЭ и, соответственно, результаты оценки отечественных АЭС, чтобы, в первую очередь самим убедится в приемлемом уровне безопасности. А уж потом доказывать преимущества наших АЭС на поле конкурентоспособности с помощью новых технологий и конкретных цифр. Нужно ликвидировать отставание от других стран, ведь даже единственный исследовательский реактор в Австралии уже давно был "просчитан на терроризм", не говоря уже о блоках АЭС в США. Вряд ли здесь можно рассчитывать на помощь от иностранцев, уж очень щепетильная область. Тем более, что у нас есть свои перспективные компьютерные разработки. Например, создан прототип системы видеонаблюдения Interactive System Safety Analysis (ISSA), в котором нет персонала security. Их заменили на компьютерные коды распознавания образов и их перемещений по камерам и датчикам слежения. Система совмещена с моделью ВАБ несанкционированного доступа на базе кода РИСК. Эти системы безопасности нового поколения лишены ошибок так называемого "человеческого фактора", когда охрана засыпает у монитора наблюдения. Система также отслеживает сложные ситуации, когда персонал охраны проникает в помещения, повышая риск несанкционированного доступа (случай саботажа и соучастия охраны в сговоре). На Рис. 9 приведен пример работы прототипа системы ISSA, определяющей вероятность несанкционированного проникновения. Система звуковым оповещением реагирует на все возможные опасности несанкционированного доступа и предоставляет оптимальный план перехвата путей проникновения.

Рисунок 9 . Дерево отказов и оценка риска в зависимости от перемещения объекта.

В Росатоме пока не чувствуется понимания важности этих работ, поэтому, к сожалению, инвесторами этих разработок являются компании из США и Англии. Прямо как в анекдоте: "то что русский придумает за червонец, китаец сделает за рубль, а продаст за сотню". Только вместо китайцев у нас американцы и англичане.

О независимой экспертизе

С одной стороны в Росатоме проводятся перспективные работы, в которые вовлечено большое количество специалистов. С другой стороны, обсуждения на proatom.ru показывают, что и среди специалистов очень широкий спектр мнений, много скоротечных, субъективных, эмоциональных, не подкрепленных корректным обоснованием и глубоким анализом.

Не буду долго жевать набившую оскомину тему качества работ в отрасли, но существует понятие внутренней (Internal) и внешней(External) независимой экспертизы (Peer Review) в программе качества (Quality Assurance Program). Та экспертиза проектов, которая проводится сегодня, все-таки подпадает более под определение внутренней экспертизы. А без независимой внешней экспертизы трудно обеспечить надлежащее качество работ. Косвенно это также подтверждается эмоциональными дискуссиями на proatom.ru. Лично я, прочитав статьи и комментарии к ним, так и не понял, ВВЭР-ТОИ и БН-1200 - это хорошо или плохо?

Нужно создать ясный и простой механизм внешней независимой экспертизы, привлекать специалистов для ее проведения. Есть организации, которые имеют специальные лицензии на проведение экспертизы в атомной энергетике и опыт работ. Практически все специалисты отрасли имеют форму допуска в соответствии с законом о гостайне, поэтому выполнить соглашение о конфиденциальности, на предмет озабоченности о некой "коммерческой тайне", для экспертов не представит труда. Форма и процедуры проведения экспертизы уже давно созданы в рамках работ для блоков АЭС, например пакеты по детерминистическому и вероятностному обоснованию безопасности Peer Review Plan for NPP in-Depth Safety Analysis соответствуют международным требованиям и оплачены в свое время DoE. Конечно же, качество вещь не дешевая, например, в проектах Kolisa и Novisa объем работ по независимой экспертизе составлял 20% от стоимости работ. Но ядерная безопасность вещь настолько важная, что к ней, как ни к чему другому, подходит поговорка "скупой платит дважды". А иногда и стократ...