Проблемы сбора и обработки данных по отказам общего видаПРОБЛЕМЫ СБОРА И ОБРАБОТКИ ДАННЫХ ПО ОТКАЗАМ ОБЩЕГО ВИДА
Токмачев Г.В. (ОАО «Атомэнергопроект»)
Результаты выполненных вероятностных анализов безопасности (ВАБ) показывают, что вклад отказов общего вида (отказов по общей причине) в частоту повреждения активной зоны может быть весьма большим и иногда доминирующим, вплоть до 90% [1, 2]. Тем не менее, исторически основные усилия исследователей в стране и за рубежом были направлены на сбор и обработку данных по независимым отказам. Об этом красноречиво свидетельствует перечень публикаций МАГАТЭ, являющихся зеркалом мировой научно-технической мысли: пять документов посвящены данным по независимым отказам [3–8] и только один – отказам общего вида [9], хотя выполненное МАГАТЭ обобщение опыта эксплуатации доказывает существование таких событий [10]. Как в известном анекдоте: ищем не там, где потеряли, а где лучше освещено. Основной источник неопределенностей при моделировании в ВАБ отказов общего вида связан с исходными данными. Эти неопределенности вызваны редкостью таких событий, трудностью их классификации, несовершенством системы сбора информации, а также тем, что отказы общего вида являются проявлением всей совокупности свойств конкретной АЭС. Поэтому они находятся в сильной зависимости от особенностей проекта, условий изготовления, монтажа и эксплуатации оборудования. Следовательно, сбор и обработка достоверной и представительной эксплуатационной информации по отечественным АЭС позволили бы с меньшей неопределенностью оценить значения параметров модели, адекватно отражающих специфику конкретных объектов. Отсутствие таких данных отмечается российским надзорным органом в экспертных заключениях к отчетам по ВАБ в качестве замечаний, на которые следует реагировать. Аналогичная рекомендация содержится в недавно выпущенном стандарте МАГАТЭ [11], который предписывает, чтобы вероятности отказов общего вида, насколько это возможно, были основаны на специфических данных для конкретной АЭС с учетом данных из опыта эксплуатации однотипных АЭС.
Определение понятия «отказ общего вида»
Существуют различия в трактовке термина «отказ по общей причине» в отечественных и зарубежных документах. Основной отечественный документ по безопасности ОПБ-88/97 [12] определяет отказы по общей причине как отказы систем (элементов), возникающие вследствие одного отказа или ошибки персонала, либо в результате внешнего или внутреннего воздействия (например воздействия, возникающего при исходном событии аварий, включая ударные волны, струи, летящие предметы, изменение параметров среды, пожар или землетрясение), либо иной внутренней причины, причем «зависимый отказ» трактуется как частный случай отказа по общей причине. В мировой практике ВАБ установилась прямо противоположная система понятий: все виды зависимостей определяются понятием «dependent failure» («зависимый отказ»), частным случаем которого является «common cause failure» («отказ по общей причине»). Это создает проблемы в мультиязычных проектах, в частности, при выполнении ВАБ для иностранного заказчика. В стандарте МАГАТЭ [11], обобщающем мировой опыт, отмечаются следующие четыре источника зависимых отказов:
Получается, что [12] относит к отказам по общей причине все четыре источника, а стандарт МАГАТЭ – только последний из них. Для устранения существующей коллизии в Комментарии к [13], не являющимся нормативным документом, введен термин «отказ общего вида» как частный случай отказа по общей причине, который затем использован в РБ-024-11 [14]. Определение термина «отказ общего вида», данное в [14], по смыслу соответствует иностранному термину «common cause failure» и поэтому используется как в настоящей статье, так и в отечественных ВАБ. Определения понятия «отказ общего вида» в иностранных источниках достаточно аморфны, что видно и из приведенной выше классификации зависимостей, заимствованной из стандарта [11], в которой ошибки персонала могут быть причиной последних двух типов зависимостей. Общепринятыми признаками отказов общего вида являются [15–19]:
Кроме того, этот механизм отказа не должен быть рассмотрен в других задачах ВАБ, в частности, при анализе функциональных зависимостей (примером является отказ дизель-генератора, который приводит к незапуску насоса при обесточивании), анализе надежности персонала, ВАБ для внутренних (например пожаров) и внешних (например землетрясений) воздействий. На недавно произошедшей аварии на АЭС «Фукусима-Дайичи» в Японии отказ всех дизель-генераторов из-за цунами является типичным примером последствия внешнего воздействия, который не подпадает под определение отказа общего вида. Другим примером такого множественного отказа может быть ложное срабатывание быстродействующих редукционных установок из-за перемерзания импульсных трубок. Как отмечается в обзоре [18], подавляющее большинство событий отказов общего вида связано не с множественными отказами при поступлении требования на срабатывание, а с деградацией оборудования. Такие множественные неисправности часто выявляются при инспекциях, когда обнаружение одного дефекта вызывает необходимость инспекции резервного элемента, в котором обнаруживается аналогичный дефект. Если при отборе событий для оценки интенсивностей (вероятностей) независимых отказов дефекты оборудования, как правило, не учитываются, то при анализе данных по отказам общего вида они обеспечивают значительный консерватизм полученных значений параметров моделей. Механизм отказа общего вида обычно описывается двумя составляющими: скрытым единичным систематическим дефектом или причинно связанными дефектами (корневая причина), возникшими при изготовлении, монтаже, техническом обслуживании и на других стадиях жизненного цикла в нескольких единицах однотипного оборудования, и специфическим событием или условием, которые дают этим дефектам проявиться (фактор воздействия) [16, 17, 18]. Одновременность событий отказов общего вида ограничивается временным промежутком, сравнимым со временем выполнения функции безопасности при аварии [18, 20], временем восстановления оборудования [19] или интервалом между последовательными проверками [16].
Проблемы использования обобщенной информации
В ряде стран ведется национальный сбор данных по отказам общего вида. В частности, немецкая база данных насчитывает свыше 300 записей [21], а в США за период 1991 – 2007 гг. была накоплена информация о 645 событиях, классифицированных как отказы общего вида [22]. Следует отметить, что оценки параметров моделей отказов общего вида, выполненные по эксплуатационной статистике США, являются единственным открытым доступным источником, вследствие чего эти данные обычно используются в отечественных ВАБ. Еще одной характеристикой отказов общего вида на АЭС США является устойчивая тенденция снижения ежегодного числа таких событий, которое за 20 лет уменьшилось почти на порядок, что объясняется внедренными мероприятиями [23]. В международной базе данных ОЭСР (OECD) [24], работы по которой ведутся с 1994 г., аккумулируется информация по центробежным насосам, предохранительной арматуре, запорно-регулирующей арматуре с электроприводом, обратным клапанам, аккумуляторным батареям, силовым выключателям, теплообменникам, элементам системы аварийной защиты реактора (аппаратура измерения уровня, приводы регулирующих стержней и т.п.). Годовой бюджет проекта составляет 120 тыс. евро. Доступ к информации международной базы данных имеют только участники проекта, которыми являются 11 стран, представленных, в основном, национальными регулирующими органами. Неопределенности оценок параметров моделей отказов общего вида связаны с редкостью таких событий, трудностью их классификации, несовершенством системы сбора информации, а также с тем, что отказы по общей причине являются проявлением всей совокупности свойств конкретной АЭС. Следовательно, полученные значения находятся в сильной зависимости от конкретных особенностей проекта, условий изготовления, монтажа и эксплуатации оборудования и применение данных зарубежных АЭС вносит значительный вклад в неопределенность результатов, получаемых при проведении ВАБ. Кроме того, с ростом понимания механизмов отказов общего вида и благодаря расширяющемуся учету их в специфических разделах ВАБ для внутренних и внешних воздействий относительная доля событий, которые моделируются как остаточные отказы, имеет тенденцию к уменьшению [15]. Отсутствие целенаправленного сбора и обработки информации по отказам общего вида порождает стремление использовать в отечественной практике непосредственно зарубежные оценки параметров или их пересчет, что может привести к ошибочным результатам по ряду причин [25]:
Примеры корректировки данных по отказам общего вида в «лучшую» сторону, приводящей к искажению результатов, описаны в [26]. В рамках различных исследований были исключены из статистических оценок 16 из 19 отказов общего вида насосов отвода остаточных тепловыделений, более половины таких событий, зарегистрированных на аварийных питательных насосах, 26 из 80 событий – на насосах технической воды и т.д. Таким образом, уменьшалась как вероятность отказов общего вида, так и их относительная доля, поскольку число рассматриваемых независимых отказов оставалось неизменным. Обоснованием таких «улучшений» была невозможность повторения событий на анализируемой АЭС или в исследуемом режиме ее эксплуатации, и именно это трудно оспорить. Однако такой подход оставляет «за кадром» общие причины, которые не существуют на АЭС, являющейся источником исходных данных, но могут проявиться на исследуемой АЭС, что приводит к недооценке вероятностей отказов общего вида. Поэтому в мировой практике сложился негласный консенсус, грубо нарушающий постулаты классической теории вероятностей, в соответствии с которым учет случившихся в прошлом и невозможных в будущем событий компенсирует меру нашего незнания об еще не проявившихся общих причинах.
Проблемы сбора информации на отечественных АЭС
Основные требования к системе сбора и обработки данных – обеспечение максимальной достоверности информации. В первую очередь, должно быть минимизировано число нерегистрируемых системой событий. Эта проблема связана с двумя причинами: наличием промежуточных звеньев в передаче информации и ориентацией существующих информационных систем на задачи, не связанные с ВАБ. Таким образом, для повышения достоверности собираемой информации по отказам общего вида требуется сократить до минимума число промежуточных звеньев и установить обеспечение задач ВАБ приоритетной целью сбора и обработки данных. Это достигается путем ретроспективного сбора данных непосредственно по первичной эксплуатационной документации АЭС (оперативным журналам, журналам испытаний, дефектов, состояний оборудования, актам испытаний и отчетам расследования нарушений). В настоящей работе использована такая информация, собиравшаяся как в прошлом веке [27, 28], так и в последнее время на Запорожской, Балаковской, Калининской, Нововоронежской и Кольской АЭС. Отказы общего вида зарегистрированы у дизель-генераторов, арматуры с электроприводом, насосов и предохранительных клапанов. Другим важным аспектом являются реконструкции систем безопасности, проведенные на рассматриваемой АЭС за период наблюдения. Значительные конструктивные изменения могут сделать малопригодными данные, собранные в дореконструкционный период. В первую очередь, это относится к множественным отказам клапанов БРУ-А на закрытие и зависаниям стержней системы управления и защиты ядерного реактора. После реализации корректирующих мероприятий практически исчезли множественные отказы этого оборудования, ранее регулярно случавшиеся. С другой стороны, принято учитывать отказы общего вида, вызванные проектными ошибками. Обычно первопричина подобных событий однозначно выявляется, устраняется и никогда не повторяется. Однако учет таких одноразовых множественных отказов является своего рода страховкой от неучета еще не выявленных проектных ошибок. Примерами таких проектных ошибок являются:
Принципы классификации отказов общего вида
Собранный статистический материал должен быть подвергнут качественному инженерному анализу. Под подозрение попадают не только одновременно случившиеся события, но и события, произошедшие через небольшие промежутки времени, достаточные для попадания под «юрисдикцию» понятия «отказ общего вида». Кроме того, проверки, выявляющие скрытые отказы общего вида, могут проводиться не одновременно, хотя это, как правило, является нарушением требований технологического регламента. Цель инженерного анализа заключается в формировании массива событий-кандидатов, которые потенциально могут быть отказами общего вида. При этом определяются как сам факт существования реального или потенциального события отказа общего вида, так и другие важные параметры, его характеризующие. К ним относятся:
Последний фактор является определяющим для последующих оценок параметров моделей отказов общего вида. На основании описания зарубежных анализов исходных данных можно заключить, что число учтенных потенциальных отказов общего вида может быть больше, чем число реальных отказов. Поэтому условная вероятность перерастания зарегистрированных дефектов во множественный отказ оказывает решающее влияние на получаемые оценки параметров отказов большой размерности. Для большинства моделей отказов общего вида необходима также оценка числа независимых отказов рассматриваемых видов. Ниже охарактеризован подход, разработанный для отбора и классификации событий-кандидатов в отказы общего вида:
Принципы приведения событий к оцениваемой размерности
Для уменьшения статистической неопределенности исходную информацию с различных АЭС объединяют в группы различной размерности, что приводит к возникновению проблемы проецирования реально произошедших событий одной размерности в оцениваемую группу другой размерности. Это проводится для уменьшения статистической неопределенности. Процесс проецирования события в группу меньшей размерности является детерминированным и зависит только от размерности исходной и целевой групп общего вида. При проецировании исключаются необходимое число элементов и все успешные и отказовые комбинации, в которые они входили. Этот процесс можно описать формулой [29]: где – число исходов отказов k-ой кратности (вектор воздействия) в анализируемой группе из m элементов; – число исходов отказов i-ой кратности (вектор воздействия) в исходной группе из n элементов; – число сочетаний из x по y (биномиальный коэффициент). Обратный процесс, описанный в [30], более сложный и вносит определенный субъективизм в получаемые оценки. Он основан на применении биномиальной модели для проецирования событий. При этом число независимых отказов увеличивается пропорционально размерности группы элементов, так называемые летальные воздействия приводят к отказу всех элементов в группе любой размерности, а нелетальные воздействия проецируются с условной вероятностью отказа каждого элемента. Ее оценка, а также деление воздействий на летальные и нелетальные вносят основную неопределенность в процесс проецирования событий на группы большей размерности.
Результаты оценок параметров модели отказов общего вида
Оценки параметров выполнены для модели α-фактора, рекомендуемой руководством МАГАТЭ [9] и наиболее часто используемой при проведении ВАБ [31]. Одним из преимуществ модели α-фактора является независимость оценок ее параметров от стратегии проверок систем безопасности и числа требований на срабатывание элементов на энергоблоках, на которых проводится сбор исходных данных [16, 30]. Оценки проводятся по формуле [30]:
(2) где αk(m) – параметр модели α-фактора, т.е. отношение числа событий с отказом k элементов к суммарному числу отказов любой кратности в группе из m элементов; nk – число событий с k отказавшими элементами; m – число элементов в группе отказов общего вида. В таблице представлены результаты, полученные для отказов дизель-генераторов при запуске (всего зарегистрировано 175 отказавших дизель-генераторов по любым причинам), и их сравнение с результатами американских источников. В состав дизель-генераторов входят выключатели напряжением 6 кВ. При изменении границ элемента несколько изменятся и значения параметров модели. Таблица
Параметры модели α-фактора для отказов дизель-генераторов на запуск
Из таблицы видно, что значения параметров модели α-фактора сравнимы с данными американских источников, причем они меньше, чем в старых публикациях [30, 32], но превышают значения из обновленной базы данных [22]. Это отражает тенденцию постепенного уменьшения числа отказов общего вида. За последние десять лет на отечественных АЭС резко сократилось число сообщений о единичных отказах дизель-генераторов, поэтому процентное соотношение независимых отказов и отказов общего вида практически не меняется.
Выводы
1. Отказы общего вида, несомненно, происходят на АЭС с ВВЭР, хотя и являются очень редкими событиями, что способствует существова-нию популярной точки зрения об их полном отсутствии на практике. Тем не ме-нее, редкость таких событий компенсируется их последствиями, что обеспечива-ет значительный вклад отказов общего вида в вероятностные показатели безо-пасности АЭС. В связи с этим, актуальным представляется присоединение Рос-сии к международному проекту ОЭСР по сбору и обработке данных по отказам общего вида. 2. Интенсивность отказов общего вида уменьшается в процессе эксплуатации АЭС. Это связано с тем, что коренные причины ряда отказов, заложенные в проекте или при изготовлении, выявляются и устраняются со временем, что можно объяснить растянутым периодом приработки, а процессы старения еще не оказывают заметного влияния на показатели надежности оборудования в течение 30 лет после пуска энергоблока. С другой стороны, число независимых отказов тоже снижается. Поэтому нельзя однозначно утверждать об уменьшении значений параметров моделей отказов общего вида. 3. Часть отказов общего вида вызвана внешними или внутренними воздействиями. Недавно сформировавшаяся тенденция – перенос рассмотрения подобных событий в ВАБ для внутренних и внешних воздействий. Поэтому оценки параметров моделей отказов общего вида, полученные при ранних анализах, являются достаточно консервативными и приводят к двойному учету некоторых событий. 4. Анализ опыта эксплуатации АЭС с ВВЭР не выявил ни одного классического отказа общего вида при длительной работе резервных элементов. Все зарегистрированные события относятся или к быстро проявляющимся скрытым отказам, или к последствиям внутреннего воздействия (пожара, затопления). 5. Трактовка множественных дефектов общего вида оказывает решающее влияние на получаемые значения параметров модели. Общепринятой практикой является учет таких событий с теми или иными весовыми коэффициентами, значения которых полностью основаны на субъективном мнении аналитиков.
Литература
1. Shanley L. B. The development and use of CCF data at European and US boiling water reactors. ANS PSA 2008 Topical Meeting – Challenges to PSA during the nuclear renaissance, Knoxville, Tennessee, September 7–11, 2008, on CD-ROM, American Nuclear Society, LaGrange Park, IL, 2008. 2. Ершов Г.А., Ермакович Ю.Л., Парфентьев М.А., Морозов В.Б., Токмачев Г.В. Моделирование отказов по общей причине при проведении вероятностного анализа безопасности АЭС. Тяжелое машиностроение, № 10. -М.: 2008. 3. Component reliability data for use in probabilistic safety assessment. IAEA-TECDOC-478. IAEA, Vienna, 1988. 4. Survey of ranges of component reliability data for use in probabilistic safety assessment. IAEA-TECDOC-508. IAEA, Vienna, 1989. 5. Manual on reliability data collection for research reactor PSAs. IAEA-TECDOC-636. IAEA, Vienna, 1992. 6. Evaluation of reliability data sources. IAEA-TECDOC-504. IAEA, Vienna, 1989. 7. Data collection and record keeping for the management of nuclear power plant ageing. Safety series No. 50-P-3. IAEA, Vienna, 1991. 8. Generic component reliability data for research reactor PSA. IAEA-TECDOC-930. IAEA, Vienna, 1997. 9. Procedures for Conducting Common Cause Failure Analysis in Probabilistic Safety Assessment. IAEA-TECDOC-648. IAEA, Vienna, 1992. 10. Nuclear power plant operating experience from the IAEA/NEA international reporting system for operating experience, 2005–2008. -Vienna: International Atomic Energy Agency, 2010. 11. Development and application of level 1 probabilistic safety assessment for nuclear power plants: specific safety guide. IAEA Safety Standards Series No. SSG-3. -Vienna: International Atomic Energy Agency, 2010. 12. ПНАЭ Г-01-011-97 «Общие положения обеспечения безопасности атомных станций. ОПБ-88/97». Госатомнадзор России. -М.: 1997. 13. Комментарий к Общим положениям обеспечения безопасности атомных станций (ОПБ-88/97). -М.: НТЦ ЯРБ, 2005. 14. Положение об основных рекомендациях к разработке вероятностного анализа безопасности уровня 1 для внутренних инициирующих событий для всех режимов работы энергоблока атомной станции (РБ-024-11). Ростехнадзор, 2011. 15. ICDE Project Report on Collection and Analysis of Common-Cause Failures of Emergency Diesel Generators, NEA/CSNI/R(2000)20, OECD Nuclear Energy Agency, 2000. 16. Procedures for Treating Common-cause Failures in Safety and Reliability Studies, NUREG/CR-4780, Volume 1, January 1988, and Volume 2, U.S. Nuclear Regulatory Commission, 1989. 17. Common-Cause Failure Database and Analysis System: Event Data Collection, Classification, and Coding, NUREG/CR-6268, Rev. 1, U.S. Nuclear Regulatory Commission, 2007. 18. Rasmuson D.M., Mosleh A. A Brief History of Common-Cause Failure Analysis. IAEA Technical Meeting on «CCF in Digital Instrumentation and Control Systems for Nuclear Power Plants», June 20, 2007, Bethenesda, Maryland USA, available at http://www.docstoc.com/docs/2185870/A-Brief-History-of-Common-Cause-Failure-Analysis. 19. Protecting against common cause failures in digital I&C systems of nuclear power plants. IAEA Nuclear Energy Series No. NP-T-1.5, -IAEA: Vienna, 2009. 20. Weston R. A. Treatment of Common Cause Failures in Support System Initiator Models. ANS PSA 2008 Topical Meeting – Challenges to PSA during the nuclear renaissance, Knoxville, Tennessee, September 7–11, 2008, on CD-ROM, American Nuclear Society, LaGrange Park, IL, 2008. 21. Kreuser A., Verstegen C., Schubert B., Wohlstein R. Development and Structure of the German Common Cause Failure Data Pool (PSAM-0020) In: Proceedings of the Eighth International Conference on Probabilistic Safety Assessment and Management (PSAM8). 22. U.S. Nuclear Regulatory Commission, "CCF Parameter Estimations, 2007 Update", http://nrcoe.inl.gov/results/CCF/ParamEst2007/ccfparamest.htm, September 2008. 23. Rasmuson D. M., Mosleh A., and Wierman T. E. Some component insights from analyzing NRC’s common-cause failure database. ANS PSA 2008 Topical Meeting – Challenges to PSA during the nuclear renaissance, Knoxville, Tennessee, September 7–11, 2008, on CD-ROM, American Nuclear Society, LaGrange Park, IL, 2008. 24. OECD/NEA ICDE Project. Сайт http://www.nea.fr/jointproj/icde.html. 25. Токмачев Г.В. Проблемы сбора и обработки данных по отказам по общим причинам. – В кн. «Диагностика и прогнозирование надежности элементов ядерных энергетических установок». Сборник научных трудов № 7 кафедры АСУ. – Обнинск, ОИАтЭ, 1991. 26. Jo Y. G. The effects of using unscreened independent events on plant specific common cause failure probabilities. ANS PSA 2008 Topical Meeting – Challenges to PSA during the nuclear renaissance, Knoxville, Tennessee, September 7–11, 2008, on CD-ROM, American Nuclear Society, LaGrange Park, IL, 2008. 27. Токмачев Г.В. Разработка метода вероятностного анализа безопасности АС с реакторами типа ВВЭР с учетом зависимых отказов. Автореферат диссертации на соискание ученой степени кандидата технических наук. Обнинск, ОИАтЭ, 1992. 28. Tokmachev G. Issues Related to Development of VVER Specific Data Base on CCFs//Proceedings of PSAM4 Conference, 13–18 September 1998, New York, NY, USA, Vol. 1. 29. Tokmachev G. VVER Specific Common Cause Failure Data. Advances in Safety and Reliability. In: Proceedings of the ESREL’97 Conference, 17–20 June, 1997, Lisbon Portugal, Vol. 3. 30. NUREG/CR-5485. Guidelines on Modeling Common-Cause Failures in Probabilistic Risk Assessment, U.S. NRC, Washington, DC, November, 1998. 31. Морозов В.Б., Токмачев Г.В. Подход к моделированию отказов по общей причине в вероятностном анализе безопасности проектов новых АЭС с ВВЭР-1000. Известия ВУЗов. Ядерная энергетика. 2008, № 4. 32. NUREG/CR-5497. «Common-Cause Failure Parameter Estimations», U.S. NRC, Washington, DC, October, 1998. |
ПРОТИВОДЕЙСТВИЕ КОРРУПЦИИ
|