Товары в корзине: 0 шт Оформить заказ
Стр. 1 

53 страницы

389.00 ₽

Купить ПНСТ 119-2016 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Рассматривает определенные устройства, содержащие встроенное программное обеспечение или электронно-конфигурируемые цифровые схемы, которые не были произведены согласно другим стандартам МЭК, применяемым к системам и оборудованию, важному для безопасности на атомных станциях (далее - АС), но которые претендуют на использование на АС. Приведены требования к выбору и оценке таких устройств, в случае если они обладают узкоспециальной ограниченной и специфичной функциональностью и ограниченной конфигурируемостью. В соответствии с МЭК 61513 системы контроля и управления, важные для безопасности классов 1, 2 и 3, могут быть реализованы с помощью традиционного оборудования с жестким монтажом, оборудования на основе цифровой технологии (компьютеризированные или программируемые аппаратные средства), или с помощью сочетания обоих типов оборудования. Стандарт устанавливает критерии обоснования применения для выбора, оценки и использования определенных цифровых устройств, которые не были разработаны специально для использования в ядерных системах контроля и управления. Как правило, такие устройства разрабатывают с учетом соответствия МЭК 61508, и данный стандарт подтверждает, что соответствие МЭК 61508 может быть ключевым положительным фактором при аттестации неядерных элементов для использования в ядерной отрасли. Рассматриваемые в стандарте устройства являются узкоспециальными устройствами ограниченной, специфичной функциональности, которые содержат или могут содержать элементы, активируемые программным обеспечением, или цифровые схемы, разработанные с помощью программных инструментов. Примерами служат интеллектуальные датчики, позиционеры клапанов, электрические защитные устройства или инверторы, которые содержат или могут содержать элементы, активируемые программным обеспечением, или цифровые схемы, разработанные с помощью программных инструментов. Стандарт не рассматривает аспекты программного обеспечения комплексных универсальных устройств, которые рассматриваются в других стандартах, таких как МЭК 60880 и МЭК 62138 для программного обеспечения. Стандарт обращается к вопросам, которые следует рассмотреть при оценке пригодности этих специализированных устройств ограниченной, специфичной функциональности к использованию на АС. Замысел состоит в применении дифференцированного подхода к данным проблемам, при этом к более высоким классам применяют повышенные требования.

 Скачать PDF

Идентичен IEC 62671(2013)

Оглавление

1 Область применения

     1.1 Общие положения

     1.2 Справочная информация

     1.3 Назначение настоящего стандарта

     1.4 Структура

2 Нормативные ссылки

3 Термины и определения

4 Сокращения

5 Общие требования

     5.1 Общие положения

     5.2 Применение настоящего стандарта

     5.3 Общие требования к процессу оценки

6 Критерии функциональной и эксплуатационной пригодности

     6.1 Общие положения

     6.2 Функциональная компетенция основной функции

     6.3 Вспомогательные функции

     6.4 Конфигурируемость

     6.5 Излишние функции

     6.6 Ошибкоустойчивость аппаратуры

     6.7 Надежность, ремонтопригодность и контролепригодность

     6.8 Безопасность киберпространства

     6.9 Пользовательская документация по безопасности

7 Критерии общей надежности — сведения, подтверждающие правильность

     7.1 Общие положения

     7.2 Предыдущая аттестация

     7.3 Предотвращение систематических отказов

     7.4 Доказательство качества в процессе проектирования

     7.5 Доказательство качества при изготовлении

     7.6 Устойчивость изделия

     7.7 Опыт эксплуатации

     7.8 Дополнительные испытания и/или анализ (верификация)

     7.9 Усовершенствование документации

8 Критерии для интеграции в приложение — пределы и условия использования

     8.1 Общие положения

     8.2 Ограничения использования

     8.3 Модификации устройства, необходимые для приложения

     8.4 Модификации системы для размещения устройства

     8.5 Интеграция и ввод в эксплуатацию устройства в системах безопасности станции

9 Аспекты сохранения приемлемости

     9.1 Общие положения

     9.2 Уведомления от проектировщика и изготовителя устройства

     9.3 Изготовление и срок поддержки текущей версии

     9.4 Сохранение средств технического обслуживания и документации

     9.5 Рекомендации для конечного пользователя

Приложение А (справочное) Возможные конструктивные особенности системы программного обеспечения, которые могут повлиять на общую надежность устройства

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам

Библиография

 
Дата введения01.04.2017
Добавлен в базу01.02.2017
Завершение срока действия01.04.2018
Актуализация01.01.2021

Этот документ находится в:

Организации:

08.06.2016УтвержденФедеральное агентство по техническому регулированию и метрологии41-пнст
РазработанНОЧУ НИШ
РазработанМЭК/ТК 45
ИзданСтандартинформ2016 г.

Nuclear power plants. Instrumentation and control important to safety. Selection and use of industrial digital devices of limited functionality

Нормативные ссылки:
Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ПРЕДВАРИТЕЛЬНЫЙ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

ПНСТ 119—

2016/

МЭК 62671: 2013

АТОМНЫЕ СТАНЦИИ

Контроль и управление, важные для безопасности. Выбор и использование промышленных цифровых устройств ограниченной функциональности

(IEC 62671:2013, ЮТ)

Издание официальное

Москва

Стандартинформ

2016

Предисловие

1    ПОДГОТОВЛЕН Негосударственным образовательным частным учреждением «Новая Инженерная Школа» (НОЧУ «НИШ») на основе официального перевода на русский язык англоязычной версии указанного в пункте 4 стандарта, который выполнен Российской комиссией экспертов МЭК/ТК 45

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 322 «Атомная техника»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 июня 2016 г. № 41-пнет

4    Настоящий стандарт идентичен международному стандарту МЭК 62671:2013 «Атомные станции. Контроль и управление, важные для безопасности. Выбор и использование промышленных цифровых устройств ограниченной функциональности» (IEC 62671:2013 «Nuclear power plants — Instrumentation and control important to safety — Selection and use of industrial digital devices of limited functionality», IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА.

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и 6).

Федеральное агентство по техническому регулированию и метрологии собирает сведения о практическом применении настоящего стандарта Данные сведения, а также замечания и предложения по содержанию стандарта можно направить не позднее чем за 9 мес до истечения срока его действия разработчику настоящего стандарта по адресу: vniinmash@gost.ru и в Федеральное агентство по техническому регулированию и метрологии по адресу: Ленинский проел. д. 9. Москва В-49. ГСП-1. 119991.

В случае отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты» и журнале «Вестник технического регулирования». Уведомление будет размещено также на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www gost.ru)

© Стандартинформ. 2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

ПНСТ 119—2016

IEC 62138:2004. Nuclear power plants — Instrumentation and control important for safety — Software aspects for computer-based systems performing category В or C functions (МЭК 62138:2004 Атомные станции. Системы контроля и управления, важные для безопасности. Программное обеспечение компьютерных систем, выполняющих функции категорий В и С)

ISO 9001:2008. Quality management systems — Requirements (ИСО 9001:2008 Системы менеджмента качества. Требования)

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1    вспомогательная функция (ancillary function): Любая функция, выполняемая ранее разработанным образцом, которая поддерживает его основную функцию.

Примечание 1— Примерами служат функции ранее разработанного образца, используемого для поддержки функции, важной для безопасности, такой как обеспечение адекватного средства контроля его рабочих параметров или его непрерывного правильного функционирования, как того требует приложение безопасности

Примечание 2 — См также термины «Основная функция» и «Излишняя функция»

3.2    подконтрольный (auditable): Свойство документально зафиксированных подтверждающих

данных, которые легко доступны для просмотра независимым персоналом. 3.3

Л Принятое в ОПБ-88/97 определение термина «отказ по общей причине» — отказы систем (элементов), возникающие вследствие одного отказа, или ошибки персонала, или внешнего или внутреннего воздействия, или иной внутренней причины

3.6 __

компьютерная система (computer-based system): Система контроля и управления, функции которой в большой степени зависят от или полностью выполняются с использованием микропроцессоров. программируемого электронного оборудования или компьютеров.

Примечание 1 — Эквивалентно программная система, программированная система

[IEC 61513:2011, статья 3.11)

3.7    специализированная функциональность (dedicated functionality): Свойство устройств, предназначенных для выполнения только одной ясно определенной функции либо лишь очень узкого диапазона функций, включая, например, снятие и оповещение о значении технологического параметра или переключение источника электропитания переменного тока на постоянный ток. Данная функция (или узкий диапазон функций) является внутренне присущей устройству, а не полученной в результате программирования пользователем.

Примечание 1 — Вспомогательные функции (например, самоконтроль, самокалибровка, передача данных) могут также быть реализованы внутри устройства, но они не изменяют фундаментальную узкую область применимости устройства

Примечание 2 — Настоящий стандарт применяется к устройствам специализированной функциональности, которые соответствуют всем заданным критериям в 5 2 2

Примечание 3 — Слово «специализированный» в том смысле, в котором оно используется в данном стандарте, относится к проектированию для одной конкретной функции, которую нельзя изменить в производственных условиях

3.8    цифровое устройство (digital device): Устройство, реализация которого основана на операциях, выполняемых с помощью сигналов с определенными, дискретными уровнями, или в котором присутствуют определенные, дискретные внутренние состояния и происходят переключения между этими состояниями.

Примечание 1 — Функции таких устройств обычно определяются процессами, которые включают в себя разработку и испытание с применением языков описания программного обеспечения или аппаратуры, такие устройства могут внутренне управляться программным обеспечением или могут состоять из специализированных интегральных схем или FPGAn т д.. сконфигурированных с помощью программного обеспечения

Примечание 2 — Устройства, оборудование или системы, которые управляются программным обеспечением, описывают как «компьютерные», тогда как «цифровой» является более широким термином, который охватывает любое устройство, использующее цифровые схемы для реализации логики

Примечание 3 — Цифровые устройства, разработанные для неядерной промышленности, называют промышленными цифровыми устройствами

3.9 _

оборудование (equipment): Одна или более частей системы. Элемент оборудования — отдельный определяемый (обычно заменяемый) элемент или часть системы.

Примечание 1— См также термины «компонент», «система контроля и управления»

Примечание 2 — Оборудование может включать в себя программное обеспечение

Примечание 3 — Термины «оборудование», «элемент» и «модуль* часто применяют как синонимы Взаимоотношение между ними пока не стандартизовано

Примечание 4 — Настоящее определение отклоняется от приведенного в МЭК 60780 Отклонение оправдано тем фактом, что в МЭК 61513 оборудование рассматривается как часть системы, тогда как в МЭК 60780 оборудование рассматривается как предмет аттестации

[IEC 61513:2011, статья 3.16)

3.10 _

язык описания аппаратуры; HDL (Hardware Description Language; HDL): Язык, используемый для формального описания функций и/или структуры электронного элемента для документации, моделирования или синтеза.

6

Наиболее широко используемые языки описания аппаратуры — это VHDL (IEEE 1076) и Verilog (IEEE 1364).

(IEC 62566:2012. статья 3.6)

3.11 _

HDL-программируемое устройство; HPD (HDL-Programmed Device; HPD): Интегральная схема. конфигурируемая (для систем контроля и управления атомной станции) с помощью языков описания аппаратуры и сопутствующих программных инструментов.

Примечание 1 — Языки HDL и сопутствующие инструменты (например, симулятор, синтезатор) используют для реализации требований в надлежащей сборке предварительно разработанных микроэлектронных ресурсов,

Примечание 2 — При разработке HDL-программируемых устройств можно использовать предварительно разработанные блоки

Примечание 3 — HDL-лрограммируемые устройства, как правило, основаны на заготовках FPGA, ПЛИС или подобных микроэлектронных технологиях

(IEC 62566:2012. статья 3.7)

3.12 _

функция контроля и управления (I & С function): Функция контроля, управления и/или наблюдения за определенной частью процесса.

Примечание 1 — Термин «функция контроля и управления* применяется инженерами-технологами при определении требований к функционированию контроля и управления Функция контроля и управления определена таким образом, что она

-    дает полное представление о цели выполнения функции.

-    может быть классифицирована по степени важности для безопасности.

-    охватывает все составляющие отдатчика до исполнительного устройства для достижения цели

Примечание 2 — Функция контроля и управления может быть разделена на ряд подфункций (например, измерительная функция, функция управления, функция воздействия) с целью распределения по системам контроля и управления

[IEC 61513:2011. статья 3 28)

3.13 _

система контроля и управления (СКУ)1* (I & С system): Система, основанная на применении электрической и/или электронной и/или программируемой электронной техники, выполняющая функции контроля и управления, а также функции обслуживания и наблюдения, связанные с эксплуатацией самой системы.

Термин используется как обобщающий, охватывающий все элементы системы, включая питание, датчики и другие входные устройства, линии передачи данных и другие связи, интерфейсы исполнитепьных устройств и других выходных устройств (см. примечание 2). Различные функции системы могут использовать как выделенные, так и разделенные ресурсы.

Примечание 1 — См также термин «функция контроля и управления»

Примечание 2 — Элементы, входящие в состав конкретной системы контроля и управления, определяют в спецификации границ этой системы

Примечание 3 — В соответствии с их функциональностью МАГАТЭ делает различие между системами автоматического и ручного управления, системами взаимодействия человек — машина, системами защиты и блокировки

[IEC 61513:2011, статья 3.29)

В ОПБ-88/97 используются следующие термины «управляющие системы нормальной эксплуатации*, «управляющие системы безопасности» и «управляющие системы, важные для безопасности»

3.14 _

прерывание (interrupt): Приостановление процесса, например, выполнения компьютерной программы. вызванное внешним по отношению к данному процессу событием.

(IEC 61513:2011. статья 3.32)

3.15 _

элемент, важный для безопасности (item important to safety): Элемент, который является частью группы безопасности и/или неисправность или отказ которого может привести к радиационному обпучению персонала на площадке или лиц из населения.

Элементы, важные для безопасности, включают в себя:

a)    конструкции, системы и компонент системы, неисправность ипи отказ которых могут приводить к чрезмерному радиационному облучению персонала на площадке или лиц из населения;

b)    конструкции, системы и компонент системы, которые препятствуют тому, чтобы ожидаемые при эксплуатации события приводили к аварийным условиям;

c)    средства, которые предусматриваются дпя смягчения последствий неисправности или отказа конструкций, систем и компонентов системы.

Примечание 1 — Настоящее определение предназначено для всех аспектов ядерной безопасности

Примечание 2 — В настоящем стандарте основные рассматриваемые элементы — системы контроля и управления или функции контроля и управления

Примечание 3 — См также термин «функция контроля и управления».

(IAEA Safety Glossary. 2007]

3.16    ограниченная функциональность (limited functionality): Синоним специализированной функциональности (см. 3.7)

3.17 _

полный жизненный цикл безопасности контроля и управления (overall l&C safety life cycle): Необходимый объем действий, включающий в себя оснащение всей архитектуры контроля и управления системами и оборудованием, важными для безопасности, и выполняемый в течение периода времени начиная с установления требований на основе проекта безопасности АС и заканчивая периодом. когда ни одна система контроля и управления непригодна к эксплуатации.

(IEC 61513:2011. статья 3.34)

3.18    основная функция (primary function): Исключительная функция (или минимальный набор связанных функций) ранее разработанного образца, которая требуется для системы, важной для безопасности. для выполнения ее функции, заявленной в анализе безопасности, и на которую опираются с целью автономного функционирования для достижения этой функции.

Примечание 1 — Согласно определению в 52 2 многофункциональное устройство может предложить возможность использования нескольких своих главных функций в качестве «основной функции», но такое устройство может не входить в область применения настоящего стандарта, или в любом случае будет менее предпочтительным. чем монофункциональное устройство

Примечание 2 — См также термины «вспомогательная функция» и «излишняя функция».

Примечание 3 — Например, можно использовать интеллектуальный усилитель для генерации и выдачи и логарифмического электрического сигнала, и линейного сигнала, каждый из которых используется для сигнала аварийного останова реактора Эти две функции сформировали бы набор основных функций (и в целях настоящего стандарта к этому набору будет применяться термин «основная функция»), тогда как функциональность в поддержку изменения выходного масштаба или фильтрования выходных сигналов была бы вспомогательной функцией Прочие функции, не являющиеся необходимыми для выбора устройства, такие как локальная индикация или дистанционная сигнализация посредством сетевого соединения, были бы излишними функциями

Примечание 4 — Например, интеллектуальный датчик может быть способен к выводу сигнала, представляющего поток или уровень через аналоговый выход в диапазоне от 4 мА до 20 мА или по протоколу HART Если проектировщик ядерного приложения решает использовать сигнал от 4 мА до 20 мА в целях безопасности, то это будет основной функцией, а остальные выходные сигналы будут излишними

ПНСТ 119—2016

3.19 _

аттестация (qualification): Процесс определения соответствия системы или элементов эксплуатационным условиям. Аттестация осуществляется для установления соответствия определенного класса системы контроля и управления определенному набору аттестационных требований.

Примечание 1 — Требования аттестации вытекают из контекста конкретного класса системы контроля и управления и конкретного приложения

Примечание 2 — Системы контроля и управления, как правило, реализуют на основе взаимодействующих комплектов оборудования Такое оборудование может быть разработано как часть выполнения проекта, или оно может уже существовать (т е разработано в рамках предыдущего проекта или является серийным готовым продуктом) Как правило, аттестация «системы контроля и управления» выполняется этапами сначала аттестацией отдельного, ранее существовавшего оборудования (обычно в начале процесса реализации системы), на втором этапе — аттестацией комплексной системы контроля и управления (т е окончательный полученный проект)

(IEC 61513:2011. статья 3.38]

3.20 _

качество (quality): Степень соответствия совокупности присущих характеристик требованиям.

[ISO 9000:2005]

3.21 _

обеспечение качества (quality assurance: QA): Функция системы управления, которая обеспечивает уверенность в том, что установленные требования будут выполнены.

[IAEA Safety Glossary, 2007]

3.22 _

требование (requirement): Выражение в содержании документа, передающее критерии, которые необходимо выполнить в случае заявления о соответствии данному документу и отклонение от которых недопустимо.

[ISO/IEC Directives. Part 2. 2011. статья 3.3.1]

Примечание 1 — В документах МЭК ПК 45Апроведено различие между следующими типами требований

Требования безопасности — требования, наложенные органами власти (законодательными, распорядительными или органами стандартизации) и проектными организациями на безопасность атомной станции с точки зрения воздействия на человека, общество и окружающую среду в течение жизненного цикла атомной станции

Функциональные требования и требования к рабочий характеристикам — в функциональных требованиях сформулировано, какие действия должна предпринять система в ответ на конкретные сигналы или условия, а требования к рабочим характеристикам определяют свойства, например, время реакции и точность

Эксплуатационные требования — требования к работоспособности и характеристикам станции, наложенные владельцем

Требования к проектированию станции — технические требования к общему проекту станции для выполнения требований безопасности и эксплуатационных требований к станции

Требования к проектированию системы — требования к проектированию индивидуальных систем для получения полного проекта станции, выполняющего требования к проекту станции

Требования к оборудованию — требования к индивидуальному оборудованию в отношении выполнения им требований проектирования системы

Примечание 2 — Глоссарий МАГАТЭ по вопросам безопасности издания 2007 г содержит следующие определения

Требуемый (требующийся). требование — требуемый (национальными или международными) законами или регулирующими положениями, либо Основами безопасности или Требованиями безопасности МАГАТЭ

Настоящее определение МАГАТЭ удобно в рамках публикаций МАГАТЭ, но слишком узко для применения в техническом стандарте Оно соответствует определению «требование безопасности» МЭК/ПК 45А, приведенному в примечании 1.

Примечание 3 — Подразумевается, что любые отклонения от требований будут обоснованы

9

Примечание 4 — Если возникнут отклонения от требований, то эти отклонения и их обоснования будут также четко документально зафиксированы в ООП, чтобы позволить потенциальному пользователю устройства обосновать свое применение устройства или выбрать альтернативное устройство,

[IEC 61513:2011, статья 3.44]

3.23    ограниченная конфигурируемость (restricted configurability): Применяется к устройствам, которые можно весьма ограниченно конфигурировать, выбирая из числа относительно немногих опций способ, которым устройство будет функционировать при своем намеченном применении.

3.24

3.27 анализ критичности программного обеспечения (software criticality analysis): Анализ программного обеспечения с целью классификации каждой функции в программном обеспечении относительно ее потенциала вызвать опасные отказы.

328_

дефект программного обеспечения (software fault): Ошибка программирования, содержащаяся в одном из компонентов программного обеспечения.

[IEC 61513:2011, статья 3.53]

3 29 излишняя функция (superfluous function): Все функции, выполняемые ранее разработанным образцом, которые не являются требуемыми функциями.

Примечание 1 — Например, основной функцией может быть считывание передаваемого давлением сигнала от 4 до 20 мА на другое устройство, а вспомогательной функцией может быть функция, поддерживающая настройку параметров фильтрования этого выходного сигнала для достижения желательной функции безопасности, тогда как излишней функцией может быть второй выходной сигнал, например сигнал напряжения, необязательный для функции безопасности

Примечание 2 — См также «основнаяфункция» и «вспомогательная функция».

ПНСТ 119—2016

Содержание

1    Область применения.................................................................1

1.1    Общие положения................................................................1

1.2    Справочная информация..........................................................2

1.3    Назначение настоящего стандарта..................................................2

1.4    Структура.......................................................................3

2    Нормативные ссылки.................................................................4

3    Термины и определения...............................................................5

4    Сокращения.......................................................................11

5    Общие требования..................................................................12

5.1    Общие положения...............................................................12

5.2    Применение настоящего стандарта.................................................12

5.3    Общие требования к процессу оценки...............................................13

6    Критерии функциональной и эксплуатационной пригодности...............................17

6.1    Общие положения...............................................................17

6.2    Функциональная компетенция основной функции.....................................17

6.3    Вспомогательные функции........................................................18

6.4    Конфигурируемость..............................................................18

6.5    Излишние функции..............................................................19

6.6    Ошибкоустойчивость аппаратуры..................................................20

6.7    Надежность, ремонтопригодность и контролепригодность..............................20

6.8    Безопасность киберпространства..................................................21

6.9    Пользовательская документация по безопасности....................................22

7    Критерии общей надежности — сведения, подтверждающие правильность...................23

7.1    Общие положения...............................................................23

7.2    Предыдущая аттестация..........................................................24

7.3    Предотвращение систематических отказов..........................................26

7.4    Доказательство качества в процессе проектирования................................. 28

7.5    Доказательство качества при изготовлении..........................................33

7.6    Устойчивость изделия............................................................34

7.7    Опыт эксплуатации..............................................................35

7.8    Дополнительные испытания и/или анализ (верификация)..............................36

7.9    Усовершенствование документации................................................37

8    Критерии для интеграции в приложение — пределы и условия использования................38

8.1    Общие положения...............................................................38

8.2    Ограничения использования......................................................38

8.3    Модификации устройства, необходимые для приложения..............................38

8.4    Модификации системы для размещения устройства...................................39

8.5    Интеграция и ввод в эксплуатацию устройства в системах безопасности станции...........39

9    Аспекты сохранения приемлемости....................................................40

9.1    Общие положения...............................................................40

9.2    Уведомления от проектировщика и изготовителя устройства............................40

9.3    Изготовление и срок поддержки текущей версии......................................41

9.4    Сохранение средств технического обслуживания и документации...................... 41

9.5    Рекомендации для конечного пользователя..........................................41

III

ПНСТ 119—2016

Приложение А (справочное) Возможные конструктивные особенности системы программного

обеспечения, которые могут повлиять на общую надежность устройства..........42

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам ..............................................44

Библиография.......................................................................45

IV

ПНСТ 119—2016

Введение

a)    Технические положения, основные вопросы и организация настоящего стандарта

Настоящий стандарт заостряет внимание на выборе и оценке предварительно разработанных специализированных устройств ограниченной, специфичной функциональности и ограниченной конфигурируемости для применения на атомной станции, где в эти устройства входит либо программное обеспечение, либо проекты цифровых схем, определенные с помощью языков описания аппаратуры, и где эти устройства были изготовлены согласно признанному неядерному стандарту, но не стандартам серии ПК 45А.

Настоящий стандарт предназначен для проектировщиков атомных станций, операторов АС (энергетических компаний), экслертов-системотехников и лицензиаров.

Настоящий стандарт направлен на два аспекта, которые не рассмотрены в других стандартах серии МЭК ПК 45А:

-    в прочих стандартах рассматриваются аппаратные аспекты устройств, содержащих программное обеспечение, или рассматриваются сложные устройства типа PLC. содержащих программное обеспечение, где это программное обеспечение обладает потенциалом большей сложности1 \ чем в устройствах, охваченных настоящим стандартом; и

-    прочие стандарты направлены на устройства, проектируемые специально для ядерных приложений. тогда как настоящий стандарт сосредоточен на факторах, необходимых для применения на атомных станциях устройств, которые не предназначены для ядерного использования.

Проектировщики систем контроля и управления для атомных станций вынухщены все чаще обращаться к подобным устройствам по таким причинам, как устаревание оборудования, малый объем ядерного рынка по сравнению с промышленным рынком и растущее число поставщиков, которые намерены проектировать по общим стандартам безопасности, таким как МЭК 61508.

Следовательно, для проектировщиков этих систем стало жизненно важным получить рекомендации настоящего стандарта, чтобы иметь возможность выбрать и оценить ранее разработанные образцы на пригодность к приложениям на атомных станциях. В настоящем стандарте предоставлено такое методическое руководство, без которого проектировщики систем контроля и управления были бы обязаны рассмотреть, каким образом интерпретировать МЭК 60880, МЭК 62138 или МЭК 62566 с этой целью.

b)    Место настоящего стандарта в структуре серии стандартов МЭК ПК 45А

МЭК 61513 является документом МЭК ПК 45А первого уровня и приводит рекомендации, применимые к контролю и управлению на системном уровне. Он дополнен рекомендациями на уровне устройств МЭК 60987 для проектирования аппаратных средств. МЭК 60880 и МЭК 62138 для программного обеспечения и МЭК 62566 для потенциально сложных устройств. Все эти стандарты направлены на специализированные ядерные проекты и применяют концепцию жизненного цикла.

МЭК 62671 является документом МЭК ПК 45А второго уровня, касающимся конкретной проблемы отбора и оценки устройств для применения на атомных станциях в случае, если ранее разработанные образцы спроектированы для неядерного использования (и. возможно, аттестованы как соответствующие общепринятым стандартам безопасности, например МЭК 61508). Кроме того, в МЭК 62671 рассмотрены только устройства, обладающие узкоспециализированной ограниченной и специфичной функциональностью и ограниченной конфигурируемостью.

МЭК 62671 рассматривают последовательно с МЭК 60880 (справочный), МЭК 62138 (справочный), МЭК 60987 (справочный) и МЭК 62566 (справочный), которые являются иными надлежащими документами ПК 45А МЭК, приводящими рекомендации о компьютеризированных системах, выполняющих функции, важные для безопасности на атомных станциях.

Более подробное описание структуры серии стандартов МЭК ПК 45А см. в перечислении d) настоящего введения.

11 Согласованное определение «сложности» отсутствует, но чем больший объем функциональности поддерживают устройства, тем больше сопутствующее увеличение объема кода, конфликтов за ресурсы системы и связанных с синхронизацией процессов, которые могут привести к неожиданным отказам устройства В настоящем стандарте данные проблемы рассмотрены с охватом только устройств очень ограниченной функциональности

V

c)    Рекомендации и ограничения относительно применения стандарта

Важно отметить, что настоящий стандарт не устанавливает дополнительных функциональных требований к системам класса 1.2 или 3.

Аспекты, в отношении которых в настоящем стандарте приведены требования и рекомендации:

-    Использование запланированного процесса для выбора и последующей оценки ранее разработанных образцов, а также для включения аспектов интеграции устройства в системы станции.

-    Критерии оценки функциональной пригодности устройства, которое содержит встроенное программное обеспечение или использует цифровые схемы, разработанные с помощью программных инструментов. таких как HDL (язык описания аппаратуры).

-    Критерии рассмотрения и баланса в общей оценке для получения адекватного уровня гарантии того, что характеристики устройства будут такими, как было указано при возникшей необходимости обращения к нему.

-    Аспекты безопасного применения выбранного устройства в системах станции.

Для гарантии того, что настоящий стандарт останется актуальным в будущем, особое внимание уделено принципиальным вопросам, а не конкретным технологиям.

По всему тексту настоящего стандарта сделан акцент на обзор свидетельств о наличии процессов у проектировщика и изготовителя (которые могут быть различными организациями), так как они являются организациями, которые влияют на приемлемость ранее разработанного образца для его намеченного применения. Возможно, такое свидетельство придется получить через поставщика, с которым у конечного пользователя установлен прямой контакт.

d)    Описание структуры серии стандартов МЭК ПК 45А и их связи с другими документами МЭК и документами других организаций (МАГАТЭ, ИСО)

Стандартом высшего уровня в серии стандартов МЭК ПК 45А является МЭК 61513. Он содержит общие требования к системам и оборудованию контроля и управления, выполняющим функции, важные для безопасности на атомных станциях. МЭК 61513 формирует структуру серии стандартов МЭК ПК45А

МЭК 61513 содержит прямые ссылки на другие стандарты МЭК ПК 45А. рассматривающие общие темы, связанные с классификацией функций и классификацией систем, аттестацией, разделением систем. защитой от отказа по общей причине, аспектами программного обеспечения ЭВМ. аспектами аппаратных средств ЭВМ и проектированием пунктов управления. Стандарты второго уровня, на которые имеются ссылки, последовательно рассматривают вместе с МЭК 61513.

На третьем уровне стандарты МЭК ПК 45А. на которые нет прямых ссылок в МЭК 61513, — это стандарты, связанные с определенным оборудованием, техническими методами или определенной деятельностью. Как правило, документы, ссылающиеся на документы второго уровня (по общим темам), могут использоваться самостоятельно.

Четвертый уровень серии стандартов МЭК ПК 45А представляет собой Технические отчеты, которые не являются нормативными документами.

МЭК 61513 выполнен в том же формате изложения, что и основной документ по безопасности. МЭК 61508. и содержит полную схему жизненного цикла безопасности и структуру жизненного цикла системы. Касательно ядерной безопасности документ приводит интерпретацию основных требований, изложенных в МЭК 61508-1, МЭК 61508-2 и МЭК 61508-4. применительно к ядерной отрасли. С этой точки зрения МЭК 60880 и МЭК 62138 соответствуют МЭК 61508-3 в части использования для ядерной отрасли. МЭК 61513 ссылается на стандарты ИСО, а также на документы МАГАТЭ GS-R-3, МАГАТЭ GS-G-3.1 и МАГАТЭ GS-G-3.5 по вопросам, связанным с обеспечением качества (ОК).

Серия стандартов МЭК ПК45А последовательно внедряет и детализирует принципы и основные аспекты безопасности, предусмотренные в Руководствах МАГАТЭ по безопасности атомных станций и в других документах по безопасности МАГАТЭ, в частности, в Требованиях NS-R-1. устанавливающих требования к безопасности при проектировании атомных электростанций, и в Руководстве по безопасности NS-G-1.3, рассматривающем системы контроля и управления, важные для безопасности на атомных электростанциях. Терминология и определения, используемые в стандартах ПК45А. соответствуют терминам и определениям, используемым в документах МАГАТЭ.

Примечание — Предполагается, что для проектирования систем контроля и управления на атомных станциях, которые реализуют традиционные функции безопасности (например, для решения проблем безопасности работников, защиты имущества или ресурсов, химических опасных факторов, опасных факторов процессов получения, переработки и использования энергии) будут применены международные или национальные стандарты, основанные на требованиях стандартов, например МЭК 61508

VI

ПНСТ 119—2016/ МЭК 62671:2013

ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ

АТОМНЫЕ СТАНЦИИ

Контроль и управление, важные для безопасности.

Выбор и использование промышленных цифровых устройств ограниченной

функциональности

Nuclear power plants Instrumentation and control important to safety Selection and use of industnal digital devices of limited functionality

Срок действия — с 2017—04—01 по 2018—03—31

1 Область применения

1.1 Общие положения

Настоящий стандарт рассматривает определенные устройства, содержащие встроенное программное обеспечение или электронно-конфигурируемые цифровые схемы, которые не были произведены согласно другим стандартам МЭК. применяемым к системам и оборудованию, важному для безопасности на атомных станциях (далее — АС), но которые претендуют на использование на АС. Приведены требования к выбору и оценке таких устройств, в случае если они обладают узкоспециализированной1 >, ограниченной и специфичной функциональностью и ограниченной конфигурируемостью.

В соответствии с МЭК 61513 системы контроля и управления, важные для безопасности классов

1.2 и 3. могут быть реализованы с помощью традиционного оборудования с жестким монтажом, оборудования на основе цифровой технологии (компьютеризированные или программируемые аппаратные средства) или с помощью сочетания обоих типов оборудования. Настоящий стандарт устанавливает критерии обоснования применения для выбора, оценки и использования определенных цифровых устройств, которые не были разработаны специально для использования в ядерных системах контроля и управления. Как правило, такие устройства разрабатывают с учетом соответствия МЭК 61508. и данный стандарт подтверждает, что соответствие МЭК 61508 может быть ключевым положительным фактором при аттестации неядерных элементов для использования в ядерной отрасли.

Рассматриваемые в настоящем стандарте устройства являются узкоспециальными устройствами ограниченной, специфичной функциональности, которые содержат или могут содержать элементы. активируемые программным обеспечением, или цифровые схемы, разработанные с помощью программных инструментов. Примерами служат интеллектуальные датчики, позиционеры клапанов, электрические защитные устройства или инверторы, которые содержат или могут содержать элементы. активируемые программным обеспечением, или цифровые схемы, разработанные с помощью программных инструментов. Настоящий стандарт не рассматривает аспекты программного обеслече-

11 Слово «специализированный» в том смысле, в котором оно используется в настоящем стандарте, относится к проектированию для одной конкретной функции, которую нельзя изменить в производственных условиях См 3.7.

Издание официальное

ния комплексных универсальных устройств, которые рассматриваются в других стандартах, таких как МЭК 60880 и МЭК 62138 для программного обеспечения. Настоящий стандарт обращается к вопросам, которые следует рассмотреть при оценке пригодности этих специализированных устройств ограниченной. специфичной функциональности к использованию на АС. Замысел состоит в применении дифференцированного подхода к данным проблемам, при этом к более высоким классам применяют повышенные требования.

Указанные проблемы включают в себя:

-    функциональную пригодность (выполняет ли устройство требуемые функции и защищены ли соответственно данные функции от помех, исходящих от любых других функций);

-    подтверждающие сведения, необходимые для демонстрации этой пригодности (например, процесс разработки, эксплуатационный опыт и зрелость устройства);

-    аспекты, влияющие на интеграцию устройства в существующие системы (например, функциональная совместимость и влияние на техническое обслуживание и эксплуатацию);

-    требования, связанные с обеспечением сохранения пригодности устройства на протяжении его требуемого срока службы (такого, как срок службы станции).

Настоящий стандарт опирается на другие стандарты, особенно на МЭК 60780. при рассмотрении вопросов аттестации аппаратуры, не связанных со сложностями программного обеспечения, а именно аспектов надежности, связанных с аттестацией для работы в условиях окружающей среды и отказами, обусловленными старением или физической деградацией. В качестве дополнительного руководства для анализа и оценки элементов можно использовать другие стандарты, такие как МЭК 61508. но признано. что аттестации только по одним неядерным стандартам недостаточно.

1.2    Справочная информация

Необходимость настоящего стандарта вытекает из современных тенденций в индустрии контроля и управления, включая прогрессирующее устаревание существующих устройств, используемых ныне на атомных станциях Все более затрудняется и становится почти невозможной идентификация аналоговых устройств или замена многих существующих устройств идентичными, потому что поставщики все чаще используют микроконтроллеры, специализированные интегральные схемы (ASIC) и т. д.. встроенные в рассматриваемые в качестве замены устройства, а аналоговые устройства становятся все менее доступными.

Существуют различные технические риски относительно обоснования применения данных устройств на ядерных установках, потому что:

-    многие из данных устройств не дублируют точную функциональность заменяемого устаревшего устройства, обладая в некоторых случаях меньшей, а 8 других случаях большей функциональностью, или даже слегка иной функциональностью, которая может не соответствовать замыслу оригинального проекта;

-    эти различия в функциональности не всегда очевидны. Существуют примеры проблем, которые возникли из-за отсутствия методических рекомендаций в этой области; проблемы обычно возникают из-за различия в целях проектирования между ядерными установками и промышленными приложениями. для которых проектируют оборудование;

-    устройства могут обладать специфическими уязвимостями или видами отказа, которые не существовали при первоначальном оборудовании и которые нужно рассмотреть.

1.3    Назначение настоящего стандарта

Настоящий стандарт устанавливает требования к определению того, являются ли цифровые устройства промышленного качества, обладающие узкоспециализированной, ограниченной и специфичной функциональностью и ограниченной конфигурируемостью, пригодными для использования в ядерном приложении. Это потребует применения критериев, подобных применяемым к нецифровым устройствам, но в настоящем стандарте приведены дополнительные критерии, которые применимы к цифровым устройствам. Также будут учтены пределы выполнимости при условии, что в оцениваемом промышленном устройстве будут выполнены незначительные или не будет никаких изменений.

Настоящий стандарт предназначен для использования в контексте определенного приложения, для которого разработчики приложений ищут пригодные устройства для его реализации. Однако зачастую разработчик приложений вынужден рассматривать применение устройств, не предназначенных специально для ядерного применения. Цель настоящего стандарта состоит в том. чтобы помочь раз-2

ПНСТ 119—2016

работнику приложений в выборе и использовании таких устройств и таким способом, который отвечает классу безопасности и требованиям намеченного приложения.

Таким образом, настоящий стандарт можно применять на различных этапах жизненного цикла проектирования системы согласно определению МЭК 61513. Настоящий стандарт можно применять на раннем этапе жизненного цикла проектирования станции, когда проектируется архитектура конкретной системы контроля и управления и наличие пригодных устройств может повлиять на проектирование системы. В случае более позднего применения, когда завершено проектирование системы, настоящий стандарт можно использовать для оценки ранее разработанного образца. Наконец, настоящий стандарт можно также применять для ситуаций реконструкции, когда система уже находится в эксплуатации и некоторые устройства необходимо заменить.

Классы 1. 2 и 3 характеризуют классифицированными наборами требований. Настоящий стандарт предназначен для интерпретации в контексте категории выполняемой функции безопасности и класса системы. Это означает, что классифицированная интерпретация требований адекватна и ожидаема. Также признано, что приемлемые режимы отказа могут весьма отличаться в каждом прикладном контексте станции, и это может определить приемлемость данного устройства или его форму использования. Предполагается, что интерпретация и строгость применения требований данного стандарта в каждом случае рассмотрены надлежащим образом.

Часто приходится сталкиваться с такой проблемой, как сопротивление поставщика предоставить доказательства правильности, например подробные сведения о внутренних функциях устройства или как оно было спроектировано. Данный вопрос следует рассматривать как можно раньше, возможно, посредством предварительной квалификации поставщиков, что может потребовать выбора других компании-поставщиков в целях соблюдения данного стандарта.

План оценки и применения (ЕАР)1* устанавливает цели оценки и содержит руководство по интерпретации данного стандарта для конкретного устройства и приложения. В данном плане определены и обоснованы подходы, которые будут использоваться в проблематичных случаях, включая вид компенсационных мер. которые будут предприняты для решения таких вопросов, как расхождения между заданной и доступной функциональностью или отсутствие традиционного доказательства правильности.

Конечным этапом в процессе оценки является подготовка Отчета об оценке и применении (EAR). Данный отчет идентифицирует аттестуемое устройство, приложения, для которых его аттестуют, и все ограничения, которые применимы к его использованию.

1.4 Структура

Настоящий стандарт организован следующим образом:

-    в разделе 5 рассматривается применимость данного стандарта и процесс оценки и определены:

-    колебания функциональности устройства, охваченные данным стандартом, и

-    степень гибкости и конфигурируемость устройства, охваченные данным стандартом, а также

-    входные и выходные данные процесса оценки и ЕАР, который документально зафиксирует, как эксперт(ы) применит положения настоящего стандарта;

-    содержание документа ООП, рассмотренное свидетельство и результаты анализа этого свидетельства. и сделанные выводы о пригодности устройства;

-    в разделе 6 рассматриваются элементы функциональности и другие требования, которые необходимо оценить, например;

-    минимальный уровень документации по разработке ранее разработанного образца:

-    способность ранее разработанного образца выполнять заданную функцию(и);

-    невосприимчивость основной функции ранее разработанного образца к нежелательным влияниям от излишних функций;

-    способность ранее разработанного образца к функционированию при всех ожидаемых условиях окружающей среды согласно МЭК 60780 и другим указанным стандартам;

-    надежность и ремонтопригодность ранее разработанного образца;

-    адекватность мер по безопасности киберпространства;

-    приведенная пользовательская документация;

-    в разделе 7 рассматриваются критерии обеспечения уверенности в правильности проектирования и изготовления устройства, определяющие:

Требованию к плану аттестации, определенному в МЭК 61513, отвечает План оценки и применения

3

-    пригодность предыдущих неядерных аттестаций;

-    методы, позволяющие избегать систематических отказов;

-    применение жизненного цикла безопасности при проектировании устройства;

-    обеспечение качества на производстве и

-    разрешенные средства компенсации некоторых недостатков в подтверждение некоторых из этих проблем путем завершения дела в пользу принятия ранее разработанного образца на основе устойчивости продукта, сосредоточенного опыта эксплуатации, усовершенствований в документации или дополнительных испытаний и/или анализа;

-    в разделе 8 рассматриваются критерии интеграции устройства в систему контроля и управления станции, включая:

-    ограничения на способы использования устройства (например, самый высокий класс приложения. для которого он аттестован);

-    модификации, которые могут понадобиться либо для устройства, либо для системы назначения. чтобы интегрировать устройство в систему назначения, и

-    интеграция и ввод в эксплуатацию устройства в системах безопасности станции;

-    в разделе 9 рассматриваются аспекты сохранения приемлемости устройства, а именно:

-    уведомления, выдаваемые пользователям устройства проектировщиком устройства или изготовителем;

-    срок поддержки устройства;

-    сохранение средств обслуживания и документации;

-    рекомендации для конечного пользователя.

2 Нормативные ссылки

Для применения настоящего стандарта необходимы следующие документы. Для датированных ссылок применяют только указанное издание ссылочного документа. Для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения).

МЭК 60671 Атомные электростанции. Системы контроля и управления, важные для безопасности. Испытания для проверки работоспособности (IEC 60671, Nuclear power plants — Instrumentation and control systems important to safety — Surveillance testing)

IEC 60780. Nuclear power plants — Electrical equipment of the safety system — Qualification (МЭК 60780:1998 Атомные электростанции. Электрическое оборудование системы безопасности. Квалификация)

IEC 60880. Nuclear power plants — Instrumentation and control systems important to safety — Software aspects for computer-based systems performing category A functions (МЭК 60880 Атомные электростанции. Системы контроля и управления, важные для безопасности. Аспекты программного обеспечения компьютерных систем, выполняющих функции категории А)

IEC 60980:1989. Recommended practices for seismic qualification of electrical equipment of the safety system for nuclear generating stations (МЭК 60980:1989 Рекомендуемый порядок проведения сейсмической аттестации электрического оборудования систем безопасности для атомных электростанций)

IEC 60987:2007, Nuclear power plants — Instrumentation and control important to safety — Hardware design requirements for computer-based systems (МЭК 60987:2007 Программируемые цифровые компьютеры. используемые в системах, важных для безопасности АЭС)

IEC 61000 (all parts). Electromagnetic compatibility (EMC) (МЭК 61000 (все части) Электромагнитная совместимость)

IEC 61226:2005. Nuclear power plants — Instrumentation and control systems important to safety — Classification of instrumentation and control functions (МЭК 61226 Атомные станции. Системы контроля и управления, важные для безопасности. Классификация функций контроля и управления)

IEC 61508-7:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 7: Overview of techniques and measures (МЭК 61508-7:2010 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства)

IEC 61513:2011, Nuclear power plants — Instrumentation and control important to safety — General requirements for systems (МЭК 61513:2011 Атомные станции. Системы контроля и управления, важные для безопасности. Общие требования)

4