Деревья событий и принципы их построения

ДЕРЕВЬЯ СОБЫТИЙ И ПРИНЦИПЫ ИХ ПОСТРОЕНИЯ

План

 

1.Деревья событий. Понятия и определения.

2. Общие принципы построения деревьев событий.

2.1 Цели и задачи построения дерева событий.

2.2 Построение функциональных деревьев событий (ФДС).

2.3 Построение системных деревьев событий.

2.4 Определение критериев успешной работы систем станции.

1. Деревья событий. Понятия и определения

 

Разработка вероятностных моделей безопасности АС является следующей после анализа, группировки, классификации и составления перечня исходных событий (ИС) стадией вероятностного анализа безопасности. Такие модели должны быть разработаны для каждой группы ИС, включенной в перечень. В качестве вероятностных моделей безопасности наиболее широко применяются деревья событий (ДС) и деревья отказов.

Деревья событий (Event Tree) являются графическими моделями, которые упорядочивают и отображают события протекания аварии (выполнение функций безопасности или работу систем) согласно требованиям по ослаблению исходных событий. Они показывают, как среагируют системы АС на рассматриваемое исходное событие, будут ли выполнены при этом функции безопасности, условия безопасной эксплуатации и что произойдет в итоге, как отразится исходное событие на ядерно-опасном объекте.

Каждое дерево событий включает диаграмму состояний (граф) и таблицу, поставленные в однозначное соответствие друг к другу. Диаграмма состояний (граф) представляет собой систему горизонтальных и вертикальных линий, развивающуюся слева направо вдоль последовательно составленных ячеек таблицы (рис 1 — 2). В левой крайней ячейке таблицы указывается исходное событие или его условное обозначение, в последующих — промежуточные события или их условные обозначения. Разветвление горизонтальной линии в пределах какой-либо ячейки таблицы означает либо осуществление (верхняя ветвь), либо неосуществление (нижняя ветвь) события, указанного в ячейке. В правой части диаграммы у соответствующих ветвей указываются возможные конечные состояния (endstate).

Иначе говоря, ДС условно можно разделить на две части: графическую и табличную, которая, в свою очередь, также состоит из двух частей:

заголовков (или событий верхнего уровня — Top Event) и их условных обозначений — собственно верхней части ДС — и таблицы конечных состояний — правой части ДС.

"Заголовками" или событиями верхнего уровня могут быть:

-            состояния функций безопасности;

-            состояния систем;

-            базисные события;

-            действия оператора по восстановлению систем.

Деревья событий могут быть функциональными или системными — в зависимости от стадии (глубины) моделирования.

Функциональные деревья событий (ФДС) — это такие ДС, промежуточными событиями — "заголовками" в которых является успешное или неуспешное выполнение функций безопасности, требуемых для обеспечения проектного протекания аварий или снижения аварийных последствий. В заголовках таблицы промежуточных состояний записываются названия и условные обозначения функций безопасности.

Пример функционального дерева событий (ФДС) представлен на рис. 1.

В этом упрощенном примере рассмотрено выполнение только двух функций безопасности: аварийный отвод запасенной теплоты и долговременный отвод остаточной теплоты при исходном событии — потере внешнего питания.

И.С.	Ф.Б.	Ф.Б.
Потеря	Отвод	Отвод
внешнего	запасенной	остаточной
питания	теплоты (авар)	теплоты
LOSP	ECS	CCS	SEQ // ENDSTATE

Рис.1. Пример ФДС.

Дерево событий имеет два верхних события (Top Event), т. е. два заголовка: "аварийный отвод запасенной теплоты" — условное обозначение "ECS" и "долговременный отвод остаточной те­плоты" — условное обозначение "CCS".

Дерево событий имеет три конечных состояния

1)ОК;

2) SMALL-RELEASE (небольшой выброс);

3) LARGE-RELEASE (большой выброс).

Очевидно, что выполнение обеих функций безопасности приводит к успешному исходу (ОК) (верхняя ветка ДС), а невыполнение обеих функций — к аварийному исходу — большому выбросу радиоактивных веществ (нижняя ветка ДС). Эта ветвь ДС и является аварийной последовательностью. Вторая последовательность также аварийная, она образуется при невыполнении одной функции безопасности и отличается от третьей размерами повреждений.

Системные деревья событий — это такие ДС, промежуточными событиями в которых являются успешное функционирование либо отказы систем, их отдельных каналов, структурных частей, компонентов и/или ошибочные действия персонала, которые могут по­влиять на выполнение рассматриваемых функций безопасности. В качестве промежуточных событий в таблице системного ДС запи­сываются названия или обозначения систем, их отдельных каналов, структурных частей, компонентов или действий персонала.

На рис. 2 показан пример системного ДС для аварии с обесточиванием АС (исходное событие — LOSP— Loss of Site Power) с реактором ВВЭР-1000.

Рис. 2. Пример системного ДС для аварии с обесточиванием АС.

Промежуточные события здесь определяются срабатыванием систем, участвующих в работе при аварии с обесточиванием АС:

А — аварийный останов РУ — A3;

W — подача аварийного электроснабжения от ДГ на секции ВХ, BV, BW;

С1 — ввод бора в первый контур (САОЗ ВД);

Е1 — компенсация роста давления после закрытия СКТГ (открытие БРУ-А при поступлении требования);

Е2 — закрытие БРУ-А;

F1 — компенсация роста давления после закрытия СКТГ при несрабатывании БРУ-А (открытие ПКПГ);

F2 — закрытие ПКПГ;

V — подпитка 1-го контура при расхолаживании РУ (САОЗ ВД);

СЗ — расхолаживание РУ через 2-й контур, при успешной работе БРУ-А;

С4 — расхолаживание РУ через 2-й контур, при успешной работе ПК ПГ.

В рассматриваемом примере в 11 случаях из 14 протекание аварии приводит к неуспешному исходу — повреждению активной зоны — CD. Существенными для безопасности являются поч­ти все определенные для данного ИС функции системы. При невыполнении условий обеспечения подкритичности, т. е. при неуспешной работе систем A3 (А) и САОЗ ВД (C1), a также при отсутствии аварийного электроснабжения (W) следует неуспешный исход.

Подводя итог сказанному, можно сформулировать определение и свойства ДС.

Дерево событий (ДС) представляет собой логическую диаграмму, которая определяет множество возможных конечных состояний АС, каждое из которых, является реализацией определенных сочетаний промежуточных событий, могущих повлиять на процессы развития аварии при заданном ИС.

Графически ДС (рис. 1 - 2) изображается в виде таблицы состояний и собственно логической диаграммы состояний в форме разомкнутого бинарного графа или дерева. В заголовках колонок таблицы слева направо размещаются названия и условные обозначения промежуточных событий — событий верхнего уровня (Top Event). Характеристики конечных состояний — результаты аварийных последовательностей — отображаются в крайнем правом столбце (endstate).

События верхнего уровня (Top Event) — это вершины деревьев отказов.

Основными свойствами ДС являются следующие:

1.Каждая последовательность приводит или к безопасным условиям, или к аварийным условиям, например, внутренним повреждениям.

2.Деревья событий устанавливают связь между системами и функциями безопасности одной из последовательностей событий.

3. Деревья событий обеспечивают полное прослеживание (просмотр) аварийных последовательностей.

4. Деревья событий, отображая путь развития аварии, выполняют такие функции: определяют аварийные последовательности; определяют существенные функции безопасности системы; определяют количество учитываемых последовательностей.

2. Общие принципы построения деревьев событий

 

2.1 Цели и задачи построения дерева событий

Мы получили уже некоторое представление о ДС, и прежде чем учиться их строить, попытаемся еще раз повторить и понять, зачем это надо делать. Итак, что дают деревья событий.

1. Деревья событий моделируют:

•   связь функций безопасности и систем безопасности;

•   развитие аварийных последовательностей.

2. Деревья событий используются:

•   для определения аварийных последовательностей, приводящих к плавлению активной зоны (CD);

•   для количественного определения аварийных последовательностей — вычисления вероятности их реализации.

3. При построении ДС определяются границы ДС (начальные и конечные условия), а именно:

•    время (машинное время) обеспечения функций безопасности;

•    важные конечные состояния (OK, CD, ...);

степень моделирования действий оператора по восстановлению систем;

• использования альтернативных систем (и других возможных по реакции станции).

4. При построении ДС определяются критерии успеха (неуспеха):

•   посредством построения функционального дерева событий;

•   учета основных функций безопасности.

 

2.2 Построение функциональных деревьев событий (ФДС)

Разработка ФДС начинается составлением перечня функций безопасности, выполнение которых обеспечивает проектное про­текание рассматриваемой аварии (для проектных ИС) или уменьшение ее последствий (для запроектных ИС). В итоге должен быть получен перечень требуемых функций безопасности, опре­делены наборы выполняющих их систем безопасности и функций персонала, определены критерии их успешного выполнения и выявлены функциональные зависимости между ними. Для составления такого перечня могут быть использованы те же источники информации, что и для этапа классификации исходных событий. Кроме того, могут быть проведены дополнительные расчетные анализы процессов для уточнения критериев выполнения функций безопасности в случае непроектного протекания аварии.

В общем случае должны рассматриваться функции безопасности, важные с точки зрения повреждения активной зоны, а именно:

•   управление реактивностью;

•   отведение остаточной и запасенной теплоты;

•   поддержание целостности границ I контура (управление
давлением);

•   поддержание запаса теплоносителя в I контуре;

•   защита целостности контайнмента;

•   удаление радиоактивности из атмосферы контайнмента.

В зависимости от решаемой задачи (ИС) перечисленные функции безопасности обычно уточняются (делятся) на менее или более общие. Сочетание и последовательность их также зависят от задачи. Приведенные функции безопасности являются взаимозависи­мыми (точнее функции 3, 4 и 5 зависят от двух первых). Может быть полезным выделение независимых, "фундаментальных" функций безопасности. Это:

• контроль и управление реактивностью;

•   обеспечение охлаждения активной зоны реактора;

•   локализация и надежное удержание радиоактивных продуктов.

Перечень функций безопасности приведен в руководстве МАГАТЭ по безопасности 50-SG-D1.

Построение ФДС начинают с формирования таблицы дерева. При этом важным фактором является порядок и последовательность размещения функций безопасности в таблице промежуточных событий. В значительной мере он определяет конфигурацию дерева и может повлиять на удобство и трудоемкость его построения и последующего количественного анализа. При выборе по­рядка размещения функций безопасности следует руководствоваться принципами:

1)  причинно-следственным — в соответствии с которым функции безопасности, выполнение которых зависит от выполнения других функций, размещаются в правых колонках таблицы относительно последних;

2)  временным — в соответствии с которым независимые функции безопасности располагаются в порядке очередности их выполнения во времени.

Например, для ИС "обесточивание" должны рассматриваться функции безопасности, приведенные в табл. 1.

Таблица 1 Пример зависимых ФБ

ФБ причина	ФБ зависимая
Останов реактора	Отвод теплоты при высоком давлении
Поддержание РУ в подкритическом состоянии путем введения бора	Отвод теплоты от РУ при низком давлении
Отвод теплоты от РУ при высоком давлении	Отвод теплоты от РУ при низком давлении

Для разработки диаграммы ФДС необходимо выполнить следующие процедуры:

1) сформировать таблицу функций безопасности, определив рациональную последовательность их размещения с применением причинно-следственного и временного принципов;

2) провести траекторию проектного протекания аварии, ко­торая отражает выполнение всех требуемых функций безопасности; нанести на эту траекторию особые точки, в частности действия персонала, если таковые требуются;

3) начиная с крайней слева функции безопасности последовательно построить траектории, связанные с невыполнением каждой функции до попадания в соответствующие конечные состояния; при таком построении требуется анализ возможных зависимостей между функциями с позиции их влияния на конечные состояния;

4) сформировать таблицу конечных состояний, выполнив их классификацию по видам повреждения АС;

в общем случае рассматриваются следующие виды конечных состояний:

•   конечные состояния с превышением проектных выбросов L, возникающие вследствие невыполнения только одной или нескольких локализующих функций безопасности;

•   конечные состояния с тяжелым повреждением активной зоны R, возникающие в результате невыполнения только одной или нескольких защитных функций безопасности. На предварительном этапе анализа безопасности при отсутствии расчетов процессов в реакторной установке целесообразно консервативно принять, что невыполнение любой из защитных функций безопасности вызовет тяжелое повреждение (плавление) активной зоны реактора;

•   конечные состояния с превышением максимального проектного аварийного выброса радиоактивных продуктов в окружающую среду RL, возникающие в результате совместного невыполнения защитных R и локализующих L функций безопасности.

ФДС содержит относительно небольшое число конечных состояний, и по ним достаточно просто, при наличии соответст­вующего опыта, выполнить предварительную качественную классификацию КС с нарушением безопасности по их виду.

В IRRAS рассматриваются конечные состояния с повреждением активной зоны — CD и безопасные конечные состояния — ОК. Степень повреждений должна определяться с помощью других методик и кодов. Код IRRAS определяет вероятности аварийных последовательностей, обозначенных как CD, поэтому, применяя консервативный подход, конечные состояния R, L и RL, рекомендуемые методикой, следует обозначать как CD (или CD/).

После завершения разработки функциональных ДС для расчетов вероятностных показателей безопасности дальнейшая разработка вероятностных моделей проводится для каждой отобранной аварийной последовательности на уровне участвующих в ее реализации систем безопасности и/или функций персонала. Эта цель может быть достигнута двумя способами:

•   путем. непосредственного применения методик деревьев отказов (ДО) и ошибок персонала (ДОП);

•   путем разработки промежуточных моделей надежности в виде системных деревьев событий (СДС) и последующего использования методик деревьев отказов и деревьев ошибок персонала.

Второй способ рекомендуется использовать в тех случаях, если непосредственная разработка деревьев отказов затруднена вследствие сложных межсистемных связей, а также в случаях излишне большой размерности разрабатываемых деревьев отказов (данная рекомендация соответствует методологии "большие ДС — малые ДО"). При этом определенные по ФДС логические (булевы) функции, описывающие отобранные аварийные последовательности (или КС), используются в качестве основных событий дерева отказов или системного дерева событий (СДС).