Madrid 22 Abril, 2009 1 Experiencias de ingeniería en la implantación de sistemas digitales de seguridad en Centrales Nucleares Carmen Rodriguez Madrid

Madrid 22 Abril, 2009 1

Experiencias de ingeniería Experiencias de ingeniería en la implantación de en la implantación de

sistemas digitales de seguridad ensistemas digitales de seguridad enCentrales NuclearesCentrales Nucleares

Carmen RodriguezMadrid 22 Abril, 2009


ContenidoContenido

Problemática

Panorama actual

Ejemplo de dedicación digital

Trabajos dentro del Grupo de UNESA

Conclusiones y lecciones aprendidas


Necesidad de actualización de Sistemas I&C Necesidad de actualización de Sistemas I&C

En el área de I&C gran parte de las actividades desarrolladas por EA dando servicios de apoyo a la operación de las CCNN españolas han ido encaminadas a la actualización y modernización de equipos y sistemas de I&C.

Necesidad de actualización Problemas de operación Mantenimiento Envejecimiento Obsolescencia

Opciones Uso de las nuevas tecnologías digitales


Problemática de la tecnología digital en seguridadProblemática de la tecnología digital en seguridad

Los sistemas de seguridad requieren Alta fiabilidad en la realización de su función de seguridad en condiciones

adversas (sísmicas, ambientales de temperatura, radiación e interferencias electro magnéticas)

En sistemas digitales entra en juego la ciber-seguridad

Alta calidad (10CFR50 Apéndice B)

Incertidumbre en el comportamiento del software, tanto mayor como complejidad introduce el sistema Potenciales fallos en modo común que puedan inhabilitar los canales

redundantes que realizan una función de seguridad Calidad Diversidad


Problemática de la tecnología digital en seguridadProblemática de la tecnología digital en seguridad

Plantas en operación - 10 CFR50.59 La contestación a las cuestiones planteadas en relación

con el aumento de la probabilidad de accidentes, fallos y consecuencias evaluados en el EFS implica para incorporar los sistemas digitales Análisis de fallos y fiabilidad Evaluación del cumplimiento con las restricciones del 10

CFR50.59

EPRI TR-102348 Revisión 1 (NEI-01-01)Guidelines on Licensing digital UpgradesEndosado por la NRC con el RIS 2002-22


Panorama actual Centrales en OperaciónPanorama actual Centrales en Operación

Algunas CCNN en operación han abordado la modernización de sistemas integrales de seguridad Centrales americanas, pendiente de aprobación por parte de la NRC La NRC esta a punto de editar el DI&C-ISG-06 estableciendo su posición

y guía en el licenciamiento de sistemas de I&C digitales de seguridad en centrales en operación

Centrales Españolas Aunque todas las CCNN españolas han incorporado en mayor o

menor medida sistemas digitales para control y monitorización de funciones NO relacionadas con la Seguridad

En lo relativo a la Seguridad Sus planes estratégicos contemplan la necesidad de modernización de

sistemas de seguridad Pero…hasta el momento solo se acometen aquellas modernizaciones

para las que no hay otra opción


Ejemplo de modernizaciónEjemplo de modernización

Los interruptores automáticos OTOMAX y NOVOMAX han dejado de fabricarse

CN de Almaraz los utiliza en los Centros de Fuerza de Salvaguardia Se requiere un sustituto calificado Clase 1E No existe en el mercado un equipo certificado 1E (fabricado

según el 10 CFR 50 Apéndice B) No se fabrican interruptores automáticos de las

características requeridas que no contengan software

Opción: Dedicación del interruptor EMAX (ABB) Proceso de evaluación, pruebas y aceptación de equipos de

grado comercial para obtener una confianza apropiada de su adecuación a la aplicación de seguridad (10CFR21)


Evaluación de Interruptores digitalesEvaluación de Interruptores digitales

VENTAJAS Simplicidad eliminando componentes

que pueden fallar. Tiempos más cortos de actuación. Las curvas de actuación se adaptan en

mayor medida a las teóricas. Mayor precisión y simplicidad en el

ajuste del relé Los parámetros de protección son

comprobables fácilmente y no sufren desviaciones a lo largo del tiempo.

Capacidad de autodiagnóstico.

INCONVENIENTES

Está equipado con un relé de protección basado en software

El interruptor EMAX se considera suficientemente probado en operación desde 1996 unas 43.500 unidades vendidas en el 2005 tasa de fallos muy baja


Se opta por el relé digital mas sencillo de los comercializados por ABB


Proceso de la dedicaciónProceso de la dedicación

La Guía UNESA-CEN6 Identifica el marco regulador para la dedicación de equipos digitales

de grado comercial Remite a la IEEE Std 7-4.3.2-1993 “Standard Criteria for Digital

Computers in Safety Systems of Nuclear Power Generating Stations” Sección 5.3.2 y Anexo D Requisitos impuestos Sección 5.3.2

Implicado el hardware, el software y el firmware Proceso establecido es por comparación del diseño Aceptación por juicio de ingeniería de adecuadas evidencias de que el

equipo funcionara como se pretende Documentación y software residente bajo control de la configuración Control de cambios


Metodología de la dedicación del SW seguida por ABBMetodología de la dedicación del SW seguida por ABB

IEEE 7-4.3.2 Anexo D1. Identificación de las funciones de seguridad que el equipo

debe realizar

2. Identificación de las características que el componente debe tener para realizar las funciones

3. Comprobar que las características han sido correctamente implementadas y que el dispositivo realiza las funciones que tiene encomendadas


Definición de las funciones (1)Definición de las funciones (1)

Especificación de interruptor de CNA / especificaciones del Interruptor EMAX equipado con el relé digital PR121/P Funciones de seguridad

Detección a través de los transductores de medida de una corriente de fase en el circuito controlado superior a los valores de intensidad y/o tiempo definidos en los documentos de diseño, funciones

– L : función de protección contra sobrecarga– S : función de protección contra cortocircuito en tiempo definido– I : función de protección contra cortocircuito instantáneo

Funciones de no seguridad Autodiagnóstico. Indicaciones ópticas de estado, fallo y actuaciones

Funciones no utilizadas Alimentación auxiliar. Comunicación y señalización eléctrica. Detección de una falta en el circuito controlado distinta a un cortocircuito,

una sobrecarga o a una función de protección distinta a L, S e I Análisis de fallos


Características del componente (2)Características del componente (2)

ABB aporta la documentación que identifica Las características del hardware (Especificaciones del producto) El software del componente (Especificación de requisitos del SW) Proceso de desarrollo del SW

Definición de requisitos y criterios de aceptación Documentación del diseño del software Pruebas de integración del HW y SW Gestión de la configuración del SW Manuales de programadores y de usuarios

El sistema de calidad del suministrador cumple con las normas ISO 9001, 14001 y 19011 y cuenta con procedimientos para Gestión de malfuncionamientos y modificaciones Gestión de comunicación de modificaciones (10CFR21)


Demostración de la implementación correcta (3)Demostración de la implementación correcta (3)

ABB realiza y documenta

Pruebas e inspecciones antes de los ensayos sísmicos

Ensayos sísmicos y climáticos

Pruebas e inspecciones después de los ensayos sísmicos

Ensayos de compatibilidad electromagnética (EMC) según IEC 60947-2 y normas RINA Pt C,Ch3, Sec6


Empresarios AgrupadosEmpresarios Agrupados

Verificación y Validación independiente del proceso de dedicación llevado a cabo por ABB, que consiste en Evaluación objetiva de la calidad del sistema digital Seguimiento y análisis del proceso de dedicación del software Comprobación de que las condiciones sísmicas y ambientales con que

han sido ensayados envuelven las condiciones del emplazamiento y están de acuerdo con lo requerido por la IEE 323 y IEEE 344

Emisión del juicio de ingeniería. Informe de verificación y validación de la dedicación del software Informe del cumplimiento con la RG 1.180 Rev 1 “Guidelines for Evaluating

Electromagnetic and Radio-Frequency Interference in Safety-Related Instrumentation and Control Systems “


Fundación Torres QuevedoFundación Torres Quevedo

Evaluación del código fuente: análisis del lenguaje de programación empleado y desarrollo.

Se valora el cumplimiento con los requisitos y recomendaciones IEC 880 IEC 61508 NASA

FMEA teórico basado en datos de experiencias operativas


Trabajo Grupo I&C de UNESATrabajo Grupo I&C de UNESA

Se ve la necesidad de establecer un proceso de dedicación de equipo digital (SMART) que cubra las necesidades actuales de las CCNN Marco normativo actual para la dedicación GC de equipo SMART

entendiendo por SMART El instrumento o equipo que tiene como misión principal una única

función, como puede ser medir o controlar una única variable de proceso

Aunque esta basado en SW, es un dispositivo comercial para la realización de la función encomendada

Su uso tiene cierta flexibilidad (algunos de sus parámetros son configurables)

El ciclo de vida incluye el firmware desarrollado por el fabricante y la configuración por el usuario

Búsqueda de dispositivos SMARTs susceptibles de ser utilizados en sistemas de seguridad de centrales nucleares


Marco normativo actual para la dedicación de GCMarco normativo actual para la dedicación de GC

RG 1.152 Revisión 2 (2006) Criteria for Use of Computers in Safety Systems of Nuclear Power Plants IEEE Std 7-4.3.2-2003 Sección 5.4.2 EPRI 106439 Guideline on Evaluation and Acceptance of

Commercial Grade Digital Equipment for Nuclear Safety Applications (complementado por TR-107339 + 1011710)

RG 1.180 Revisión 1 (2003) Guidelines for Evaluating Electromagnetic and Radio-frequency Interference in Safety-Related Instrumentation and Control Systems

RG 1.209 (2007) Guidelines for Environmental Qualification of Safety-Related Computer Based Instrumentation and Control systems in Nuclear Power Plants IEEE Std 323-2003


Evaluación del cumplimiento con el 10 CFR50.59Evaluación del cumplimiento con el 10 CFR50.59

EPRI TR-102348 Revisión 1 (NEI-01-01) Guidelines on Licensing digital Upgrades endosado por la NRC con el RIS 2002-22

Es de remarcar la posición de la NRC

“En el caso de equipos digitales simples, la evaluación de fiabilidad podría demostrar en algunos casos que el riesgo de fallo debido al software no es significativo y no necesita una evaluación de más detalle”

EPRI TR-102348 Revisión 1 identifica para equipo simple Candidatos

Arquitectura sencilla (limitado el numero de entradas/salidas (no bus de campo), estados de fallo definidos,

Funcionalidad limitada Uso probado

Requisitos Evaluación de ingeniería del software (Sencillez y Calidad del

software y experiencia de uso) que demuestre que el riesgo de fallo de software no es mayor que el debido a otros fallos comunes como pueden ser errores en mantenimiento o calibración


RG aplicables a sistemas de I&C Digital RG aplicables a sistemas de I&C Digital


Posición de la NRC en relación con la diversidad Posición de la NRC en relación con la diversidad

NUREG 800 Capitulo 7 (Revisión de 2007)

BTP 7-19

In certain cases that software-based components are sufficiently simple and deterministic in performance that measures such as, for example, online error checking and exhaustive testing provide adequate assurance that the component is not a significant source of common-cause failure. Common-cause failure of such components need not be considered in the course of a D3 analysis


Normativa internacional campo nuclearNormativa internacional campo nuclear

IEC 61513-2001 “I&C for systems important to safety - General requirements for systems”, establece los requerimientos para la calificación de equipos de acuerdo con su importancia para la seguridad En la cláusula 6.1.2.1 “Selection of pre-existing components” se

indican los requisitos, evaluaciones y documentación así como lo requisitos de calificación que deberán cumplir los componentes COTS para poder ser utilizados en un servicio nuclear

IEC 60880 -2006 “I&C systems important to safety - Software aspects for

computer-based systems performing category A functions” Establece los criterios para la calificación del software predesarrollado

(PDS), estableciendo que dichos criterios deberán ser tenidos en cuenta en la calificación del equipo en el que el software es integrado

IEC 60987-2007 “I&C important to safety -Hardware design requirements for computer-based systems” incluye orientación en los procesos de valoración de utilización de equipo COTS


Lista mejorada de equipo SMARTLista mejorada de equipo SMART

Búsqueda de dispositivos SMARTs susceptibles de ser utilizados en sistemas de seguridad de centrales nucleares

Concepto “mejorada” Dedicación para aplicación nuclear

Certificación SIL (Exida, TUV, FM Approvals)

Referencias de implantación en centrales nucleares


Posible uso de SMART en CCNNPosible uso de SMART en CCNN

Campo Transmisores de Presión y Temperatura (amplio número SIL 2) Interruptores de potencia (varios dedicados) Posicionadores (dedicados por EPRI, DVC6000 de Fisher, ICOT 5300

de Westlock)

Procesamiento Unidades de Alarma (en proceso SIL y dedicadas) Otras unidades de Cálculo (dedicadas ACROMAG) Controladores (PR Electronic and Moore Industries SIL 2, varios

dedicados)

Panel Indicadores (Ametek clase nuclear, no SIL) Registradores (no SIL, varias dedicadas) Estaciones auto manuales (no SIL, varias dedicadas)


Conclusiones y lecciones aprendidasConclusiones y lecciones aprendidas

La dedicación de un equipo digital es un proceso largo, costoso e incierto

Es ventajoso que el fabricante del equipo se implique en el proceso

Pero no hay muchos interesados debido a la escasez del mercado nuclear

Aprovechar la experiencia en sistemas de seguridad de otros campos de la industria (SIL, TUV ….)

Documents

Madrid 22 Abril, 2009 1 Experiencias de ingeniería en la implantación de sistemas digitales de seguridad en Centrales Nucleares Carmen Rodriguez Madrid