ГОСТРМЭК 60709—2011
В том случав, когда единичный случайный отказ и любые вытекающие из него отказы системы
категории А способны вызвать срабатывание управляющей системы, приводящее к таким условиям,
которые требуют выполнения действий по безопасности, система категории А должна быть в состоянии
выполнить эти действия, даже если ее работоспособность снижена в результате второго случайного от
каза. Должны быть предусмотрены такие меры, чтобы данное требование могло быть выполнено даже в
том случае, когда комплектующая деталь или сборочная единица шунтируется или устраняется из
эксплуатации по какой-либо причине, включая испытания или техническое обслуживание.
Допустимые меры будут зависеть от типа реактора и от возможных отказов. Они включают в
себя:
- снижение необходимого совпадения голосований, когда обнаруживаются отказ датчика или не
исправности в оборудовании.
- исключение управляющих сигналов, полученных от резервных компонентов или сборок, если
выясняется, что эти сигналы не отражают истинное состояние процесса.
- инициирование действий по безопасности, выполняемых предохранительной логической сбор
кой. переводя таким образом станцию в состояние, на которое больше не влияют неблагоприятно дей
ствия управляющей системы.
- обеспечение защиты посредством использования различных физических параметров.
Система защиты с голосованием «один из двух», обеспечивающая управляющие сигналы, по
требует обоснования с помощью сбалансированных аргументов (см. 4.7). даже если заявлено о при
менении эффективных байпасов и высокой надежности датчиков и оборудования, подтвержденной
испытаниями. Система с голосованием «два из трех» может удовлетворять требованиям в случае ис
пользования надежного оборудования и автоматической регистрации отказавших датчиков, если соот
ветствующее байпасноо оборудование используется во время технического обслуживания.
Там. где можно показать, что исходное событие является маловероятной причиной для одновре
менного выхода из строя резервных узлов контроля безопасности, допускается наличие узлов контро ля
безопасности, производящих сравнение сигналов. Эти контролирующие безопасность узлы должны
обеспечивать индикацию, выдачу аварийного сигнала или сигнала для срабатывания аппаратуры без
опасности или сделать логику более ограничительной в случае слишком сильного отклонения одного
сигнала от других резервных сигналов, вызванных одним и тем же состоянием станции или ее параме
тра. Контролирующие безопасность узлы, которые выполняют это сравнение, должны быть изолиро
ваны надлежащим образом для предотвращения взаимодействия между резервными каналами. При
мером такого исполнения является передача показаний со всех датчиков на каждый канал резервной
системы безопасности. Затем каждый канал сравнивает полученные значения, чтобы найти среди них
отклоняющиеся или недопустимые значения. После этого каждый канал может провести голосование по
показаниям всех датчиков или выявить с помощью голосования самый ненадежный датчик в каж дом
канале. Следует обеспечить сигнализацию об обнаруженных неисправных датчиках, а показания
можно вывести на дисплей.
6 Требования к разделению кабелей
6.1 Общие требования
Резервные участки систем категории А должны быть разработаны и установлены таким образом,
чтобы отдельные события, перечисленные в разделе 4. не могли привести к отказу функции катего рии
А.
Резервные участки систем категории В должны быть разработаны и установлены таким образом,
чтобы отдельные события, изложенные в 4.2 и 4.3. не могли привести к отказу функции категории В.
Действия в связи с вызывающими отказ исходными событиями, отнесенными в 4.4 и 4.5 к системам
категории В. должны определяться отдельно в каждом конкретном случае, как это рассматривается в
общих положениях (см. раздел. 4).
Необходимо принять во внимание положения следующих подпунктов.
6.2 Разделение
Разделение должно быть выполнено с помощью устройств безопасности, барьеров или физиче
ских интервалов или посредством некоторого их сочетания.
8