Что определяем: Надежность или Безопасность?
Дата: 22/06/2017
Тема: Безопасность и чрезвычайные ситуации


В.И. Борисенко,  Киев

В работе [1] рассмотрена модель определения показателей надежности систем реакторной установки в зависимости от значимости этих систем в обеспечении проектных показателей по суммарной активности изотопов йода в теплоносителе 1-го контура ВВЭР-1000. Некоторый интерес вызвало обсуждение вопроса обоснованности применимости вероятностного анализа безопасности (ВАБ). Поэтому предлагаю более детально рассмотреть вопрос научной обоснованности ВАБ для АЭС.



Традиционный анализ безопасности базируется на положениях и математике классической теории надежности [2]. В теории надежности определяется ряд показателей: наработка на отказ, среднее время между отказами, интенсивность отказов и др., которых достаточно для проведения анализа надежности. Практически это предусматривает, что для проведения оценок по надежности опасных технологий необходимо определить относительные частоты нежелательных событий (отказов, аварий) при длительных испытаниях. Аналогично поступают и для оценки безопасности опасных объектов, «ошибочно» полагая, что анализ надежности и безопасности может проводиться по одинаковым методикам. Другой «ошибкой», принимаемой при анализе безопасности АЭС, является следующий факт: нельзя корректно определить относительные частоты возникновения событий аварий, а можно говорить только о «редких событиях», к которым классический вероятностный подход, основанный на статистических выводах, не может быть применен [3].

Такой необоснованный переход от анализа надежности к анализу безопасности, по-моему мнению, предопределил и получение соответствующих оценок по безопасности, которые существенно отличаются от наблюдаемых. В работе [4] показано, что среднее время жизни реакторной установки, наблюдаемое на практике, составляет ~3000 лет, в то время как минимальное время жизни объекта в соответствии с требованиями НТД [5] должно составлять более 10 000 лет. Наверно трудно найти еще пример такого несоответствия между наблюдаемыми экспериментальными и модельными результатами для высокотехнологичных объектов. Никто бы не согласился применять подобную «технологию», например, для определения подогрева теплоносителя в реакторе. Если в среднем подогрев теплоносителя 1-го контура ВВЭР-1000 составляет 30 оС, а модель давала бы или 10  С, или 100 оС, то однозначно, что такая модель не была бы принята в «эксплуатацию», а ее авторы к подобным работам больше не допускались. Для вероятностного анализа безопасностью (ВАБ) почему-то, такие критерии приемки работ не применяются.

Некоторые другие ограничения принятой методологии ВАБ рассмотрены ниже, а также в [1, 4, 10, 12].

К счастью на практике управление безопасностью АЭС ведется в процессе работоспособного состояния АЭС не по вероятностным показателям, а с помощью подсистем предупреждения и защиты, на основании информации о контролируемых нормированных величинах [1].

Существуют ли другие подходы к анализу безопасности таких объектов как АЭС, которые не попадают под «показатели» классической теории надежности ? Да, конечно же существуют, можно указать на работы [6, 7, 10], но на практике почему-то основное внимание, а главное результаты анализа получены на основе применения так называемого традиционного ВАБ [2, 8].

В работе [1] была предложена модель оценки показателей по надежности и безопасности к элементам 3-х контурной модели АЭС. В данной работе рассмотрены общие задачи анализа безопасности АЭС и его связи с эффективностью, а также рассмотрен пример корректного определения «слабого» звена в модели управления АЭС.

 

1. Оптимальное управление безопасностью АЭС предполагает сочетание технической эффективности с практической возможностью ее реализации на основе экономической эффективности (минимизацией суммарных затрат на безопасность, страхование и их оптимального распределения). Для оптимального управления безопасностью АЭС необходимо обоснование оптимального значения показателя «риска» аварии. А вот из каких соображений в [5] появилось число 10-5 : «п.1.2.17. . . . непревышение суммарной вероятности тяжелых аварий для каждого блока АС на интервале в один год, равной 10-5;. . .», а тем более является ли такое значение оптимальным – не ясно.

Необходимо подчеркнуть, что безопасность есть цель оптимального управления, а практические возможности определяют затраты на обеспечение безопасности.

Минимизация затрат на безопасность является необходимым условием конкурентоспособности атомной энергетики. Взятый сам по себе тезис «максимальная безопасность» или часто можно услышать «постоянное повышение безопасности» не имеют ни теоретического, ни практического смысла. В условиях конкуренции атомная энергетика может эффективно существовать только при условии обеспечения необходимой прибыли и себестоимости вырабатываемой энергии. А в себестоимость входят и расходы на обеспечение безопасности, включая страхование. Принцип выбора оптимального значения вероятности аварии показан на рис. 1.

Основные принципы концепции глубокоэшелонированной защиты (ГЭЗ) [5] «предотвращение и ослабление аварий», которым соответствует кривая 1 (см. рис. 1), являются недостаточными для оптимального управления безопасностью.

Рис. 1. Зависимость суммарных затрат на безопасность от вероятности аварии:

1 – затраты на технологию предупреждения и ослабления аварии; 2 – затраты на страхование последствий возможной аварии; 3 – суммарные затраты на обе технологии (1 и 2); Сmin – минимальные суммарные затраты на безопасность; Rоптоптимальное значение вероятности аварии.

 

Из анализа зависимости 1, следует, что уменьшение вероятности аварии требует увеличения затрат, поэтому нельзя обосновать оптимальное значение вероятности аварии, а также соответствующее ей минимум затрат на безопасность.

Концепция ГЭЗ должна обеспечивать предупреждение и ослабление аварий, но не учитывает последствия аварии, необходимые для оценки риска. Без такого учета невозможно разработать основы оптимального управления безопасностью при условии минимизации затрат на максимальную безопасность. Они включают в себя как затраты на предупреждение и ослабление аварии, так и затраты на страхование последствий возможной аварии.

 

2. Оценка вероятности аварии согласно концепции ГЭЗ [5] производится с помощью вероятностной модели аварии [2, 8]. Теория вероятностей, как известно, изучает стохастические закономерности массы (совокупности) однотипных явлений (событий, объектов) в условиях статистической устойчивости. Условие статистической устойчивости для модели случайного события аварии означает постоянство частоты события аварии. Иначе, оно означает периодическую повторяемость обстоятельств и причин появления аварии на части объектов из всей совокупности. Поэтому принятие вероятностной модели события аварии теоретически равносильно постулированию вероятностной закономерности (т.е. априорной неизбежности) появления аварии в течение срока службы АЭС.

Вероятностная модель АЭС должна быть «адекватна» реальному объекту, о важности этого можно сделать вывод из анализа следующего «мысленного» эксперимента. Представим, что некоторым аналогом модели АЭС, есть набор из нескольких монет. Каждая из монет соответствует какой-либо системе, оборудованию или действиям оператора в ветвях дерева событий ВАБ. Для рассматриваемой модели из монет может быть предложена ее вероятностная модель и получены, подтверждаемые наблюдениями, вероятности различных комбинаций сочетания «орлов» и «решек», бросаемых монет при БОЛЬШОМ наборе испытаний (бросаний монет). Однако результаты наблюдений и модельные предсказания будут коррелированны только, как уже отмечено – при БОЛЬШОМ наборе испытаний, и что не менее, а скорее всего и более важно, при обязательной симметричности монет, а именно вероятности выпадения «орла» и «решки» должны быть ОДИНАКОВЫМИ и равными 0,5. В противном случае, результаты наблюдений и модельные предсказания буду отличаться и тем больше, чем больше асимметрия разных монет. Адекватная вероятностная модель может быть построена и для случая ассиметричных монет, но для этого необходимо в БОЛЬШОМ наборе испытаний получить вероятности выпадения «орла» и «решки» для каждой из монет.

Вернемся к вероятностной модели АЭС: - так как события отказа систем и комбинации отказов систем являются редкими событиями, то и наблюдаемые «вероятности» (а точнее частоты) отказов определены с БОЛЬШОЙ погрешностью, а по некоторым событиям и вообще нет данных. А при этом еще необходимо «включить» в модель: зависимы или независимы, совместны или несовместны события отказов и пр. Поэтому можно УТВЕРЖДАТЬ, что на сегодняшний день нет адекватной вероятностной модели АЭС, а, следовательно, и право усомниться в результатах, получаемых по используемым вероятностным моделям.

 

3. Целью управления безопасностью, как известно, является исключение аварии из эксплуатации АЭС. Следовательно, в теории безопасности понятие аварии не должно иметь толкование практической естественности и теоретической неизбежности как в ВАБ. Оно не должно быть подобным толкованию понятия отказа в теории надежности, которое рассматривается как практически естественное и теоретически неизбежное событие. Подход к понятию отказа в теории надежности нельзя автоматически переносить на понятие аварии в теории безопасности, как это имеет место в классической теории безопасности [2, 8]. Такой подход теоретически означает неизбежность аварии.

 

4. Необходимость «поиска» новой теории управления безопасностью вызвана непригодностью существующих методов анализа надежности для управления безопасностью опасных объектов. Покажем эту необходимость на примере анализа методологических ограничений метода дерева событий, наиболее распространенного метода анализа риска аварии [2, 8].

Дерево событий представляет собой логический метод перебора всех возможных аварийных последовательностей (путей графа событий). Совокупность путей определяет варианты события возможной аварии εS, вызванной исходным событием аварии (ИСА) εИСА с учетом надежности подсистем, влияющих на ход аварии. На основе экспертного анализа, дерево, состоящее из m исходных путей аварии, делится на две части, одна часть, которая приводит к аварии и вторая часть, которая не приводит к аварии, события которых соответственно А и Ā. Сумма этих событий равна достоверному событию I [9]:

Таким образом, при корректном теоретическом анализе метод дерева событий не учитывает влияния систем управления и защиты на безопасность АЭС.

Промежуточный вывод: Отсутствие анализа методологических ограничений метода дерева событий приводит и к ошибочному анализу безопасности.

 

5. Надежность или Безопасность.

В Булевой алгебре противоположенное событие (отрицание) обычно принято обозначать чертой сверху символа события (см. например (1)), но так как в разных версиях редактора такое обозначение для многих символов иногда «теряется», далее принято обозначать противоположенное событие «звездочкой» справа от символа события:   Ā ≡ А*.

Таким образом получено, что событие работоспособности А, полученное в модели надежности АЭС, и событие отсутствия аварии В, полученное в модели безопасности, это разные события, а следовательно, модель надежности системы не может дать корректные результаты для анализа безопасности модели АЭС. А это означает, что в одной модели при заданном (требуемом) значении «допустимой» вероятности аварии Р(В*) <10-5 1/год [5] нельзя определить  требования к вероятности безотказной работы АЭС Р(А).

Противоречие моделей надежности А и безопасности В указывает на отсутствие общих методологических основ, необходимых для анализа безопасности и надежности АЭС, в том числе и при решении задачи минимизации затрат для обеспечения максимальной безопасности (см.п.1).

 

6. Переходя от событий к вероятностям, получаем, что для независимых событий вероятность аварии

Поэтому, определенное согласно формуле (5) значение показателя риска, в лучшем случае, можно рассматривать только как верхнюю оценку показателя риска аварии.

Следует подчеркнуть, что анализ риска аварии с помощью дерева событий связан с проблемой размерности. Так, для системы с n элементами исходное дерево содержит 2n ветвей. Например, для структурной схемы управления балансом нейтронной и тепловой мощностей, содержащей 18 элементов, соответствующее ей дерево событий должно содержать более 260 000 путей (ветвей) [11]. Провести анализ всех путей и выбрать наиболее значимые для последующего анализа безопасности практически невозможно. Поэтому согласно методу дерева событий такую схему расчленяют на части, находят оценку сверху показателя риска аварии для каждой части, а общую оценку получают как сумму оценок всех частей [2, 8]. Как само расчленение на части, так и принцип суперпозиции (суммирования показателей риска аварии для каждой части) содержат неучтенные ошибки. В результате получаемое значение показателя риска аварии будет превышать точное значение, в соответствии с (6).

Метод дерева событий принципиально непригоден для реализации структурной оптимизации и поиска слабого звена в системе управления надежностью (безопасностью) АЭС. Это объясняется как уже отмеченной проблемой размерности, так и невозможностью структурного анализа систем без избыточности, что рассмотрено ниже и более подробно рассмотрено в [10].

Оценивая метод дерева событий в целом, отметим следующее:

Во-первых, несомненное достоинство метода дерева событий заключается в его практической направленности, основанной на знаниях специалиста по ядерной энергетике. Необходимая исходная информация для анализа безопасности не может быть получена формальным теоретическим путем, ею владеет только специалист, который хорошо разбирается в технологии функционирования АЭС и систем обеспечения безопасности. Специалист рассматривает не только варианты (пути) возможной аварии, но и возможные ее последствия, замыкая тем самым контур управления безопасностью. Дерево событий не содержит контуров управления безопасностью. Оно позволяет лишь упорядочить анализ безопасности АЭС, расчленив общую задачу анализа на части.

Во-вторых, метод дерева событий имеет неустранимые методологические ошибки, исключающие корректный анализ безопасности АЭС. В целом он позволяет получить приближеннее оценки сверху показателя риска, в случае, если справедлива ее вероятностная модель (см.п.2), без учета значения погрешности приближения. Лежащий в основе метода событий качественный подход, основанный на знаниях специалиста, не позволяет учесть основные скрытые причины возможной аварии (неполноту знаний и погрешность технологии обеспечения безопасности).

В-третьих, метод дерева событий непригоден для оптимального управления безопасностью из-за погрешности постулирования вероятностной модели аварии, а также из-за проблемы размерности и отсутствия контура управления безопасностью. В целом он является качественным методом оценки безопасности  АЭС.

 

7. Суть проблемы структурного анализа состоит в том, что в классической теории анализа безопасности (в частности, в методе дерева событий) и в классической теории надежности отсутствует необходимая информация для структурного анализа систем без избыточности. В этих теориях используется только свойства элемента в виде событий его безотказности или отказа. Законы связи элементов в системе без избыточности отсутствуют. В системной теории управления безопасностью кроме событий безотказности и отказа используются законы связи событий потоков информации [1, 10, 11]. Связь событий потоков информации элементов с событиями потоков информации системы определяет все возможные виды соединений элементов. В многообразие видов входят последовательное, совокупность параллельных, смешанных соединений элементов, включающее в себя как частный случай известные в классических теориях надежности и безопасности соединения элементов случай, когда события потоков информации считаются достоверными. Важность включения потоков информации в анализ безопасности может быть видна из следующей задачи: Необходимо выполнить «анализ» электрической схемы, состоящей из сопротивлений и произвольных линий связи между ними. Если дана только схема – без номиналов сопротивлений или значений токов по линиям связи, то, естественно, ни о каком численном анализе схемы речи быть не может. А вот почему-то в «схеме» ВАБ не используют аналоги токов (информационных переменных) по ветвям дерева событий, а довольствуются только «схемой» - деревом событий . . . Поэтому для корректного численного анализа безопасности АЭС, необходимо определиться, что может быть выбрано в качестве информационной переменной, аналога тока в электрической схеме.

Рассмотрим достаточно простой, но имеющий принципиальное значение пример анализа «слабого звена» в системе управления реакторной установкой. Будем анализировать модель АЭС, как систему, состоящую, как и ранее из подсистем ЯР и СУБ.

В первом случае, информационный граф надежности системы приведен на рис.2а, система состоит из объекта ЯР, вероятность безотказной работы которого P1, и СУБ, которые вместе с объектом образуют контур управления. Подсистема СУБ состоит из следующих элементов:

подсистема контроля, вероятность безотказной работы которой P21;

оператор, вероятность безотказной работы которого PОП;

подсистема управления, вероятность безотказной работы которой P22 .

Рис. 2. Информационный граф: оператор в контуре управления надежностью

 

Вероятность безотказной работы (вероятность надежности) определяется как структурная функция [10]

Аналогично можно построить информационные графы и получить соответствующие выражения для определения вероятности безопасности системы с оператором в цепи управления [10, 12]. Необходимо подчеркнуть, что классическая теория безопасности не может учесть различие структур для анализа надежности и безопасности, поэтому в классической теории невозможно обеспечить корректное определение надежности (безопасности) объектов без избыточности.

Из изложенного очевидно, что в моделях деревьев событий ВАБ, которые являются полностью симметрическими [2, 8], нельзя не только корректно определить слабое звено в системе управления, но и выработать рекомендации по оптимизации системы управления.

 

Список литературы

 

1.             Борисенко В.И. Обоснование нормативных показателей пределов повреждения твэлов. // Атомная стратегия XXI, вып.125, апрель 2017, с. 12-13. http://proatom.ru/modules.php?name=News&file=article&sid=7429

2.             Острейковский В.А., Швыряев Ю.В. Безопасность атомных станций. Вероятностный анализ / М.: Физматлит, 2008. – 352 с.

3.             Хенли Э.Д., Кумато X. Надежность технических систем и оценка риска. - М.: Машиностроение, 1979. – 528 с.

4.             Борисенко В.И.. О некоторых закономерностях последствий аварий на АЭС // Атомная стратегия XXI, вып.116, июль 2016, с. 19- 21. http://proatom.ru/modules.php?name=News&file=article&sid=6863

5.             Федеральные нормы и правила в области использования атомной энергии "Общие положения обеспечения безопасности атомных станций". НП-001-15. Ростехнадзор, 2015. – 30.

6.             Рябинин И.А. Надежность и безопасность структурно-сложных систем. Издание второе, дополненное и переработанное. СПб, изд. СПбГУ, 2007. – 276 с.

7.             Рябинин И.А., Парфенов Ю.М. Надежность, живучесть и безопасность корабельных электроэнергетических систем. СПб, изд. ВМА, 1997. – 431 с.

8.             Швыряев Ю. В. Вероятностный анализ безопасности атомных станций. Методика выполнения /- М: ИАЭ им. И. В. Курчатова, 1992. – 265 с.

9.             Шум А. А. Логика высказываний и булевы алгебры: Учебное пособие. – Тверь: ТГТУ, 2011. – 60 с.

10.         Пампуро В.И. Оптимальное управление безопасностью экологически опасных объектов. Киев: Наукова думка. 2012. – 599 c.

11.         Pampuro V.I., Borisenko V.I. Management of Individual Ecological Safety of Potentially Hazardous Object // The third American Nuclear International Topical Meeting on Nuclear Plant Instrumentation, Control and Human-Machine Interface Technologies (NPIC & HMIT 2000), November 13 - 17, 2000. - Washington, D.C., р. 707 - 722.

12.         Пампуро В.И., Борисенко В.И.. Современная методология управления безопасностью АЭС //Проблемы безопасности атомных электростанций и Чернобыля, вып. 13, научно-технический сборник, г.Чернобыль, 2010. с. 27–38.







Это статья PRoAtom
http://www.proatom.ru

URL этой статьи:
http://www.proatom.ru/modules.php?name=News&file=article&sid=7535