О подходах регулирующих органов стран с развитой ядерной энергетикой к верификации и признанию обоснованности применения программных средств при обосновании безопасности ОИАЭ

В статье представлены результаты обзора подходов регулирующих органов США, Канады, Великобритании и Франции, а также рекомендаций МАГАТЭ к оценке верификации программных средств, применяемых для обоснования безопасности ОИАЭ. Приведены сведения об опыте оценки (экспертизы) программных средств, о выполняемой в рамках действующей в системе Ростехнадзора процедуры аттестации программных средств.

О применяемых терминах «верификация» и «валидация»

Приведенные в документах МАГАТЭ [1], [2] и американского ядерного общества (The American Nuclear Society, далее – ANS) [3] определения терминов «верификация» и «валидация» программных средств (далее – ПС) несколько отличаются друг от друга, но сводятся к следующему:

• «верификация» («verification») – подтверждение правильности решения уравнений;
• «валидация» («validation») – подтверждение правильности выбора этих уравнений (т.е. корректности решения «правильных» уравнений).

С тем фактом, что определения указанных терминов в разных странах отличаются и далеки от идеала, мы столкнулись давно, еще в начале 90-х, когда формировалась система экспертного совета по аттестации ПС при Госатомнадзоре России. Тогда же были проведены дискуссии на эту тему, в том числе с иностранными экспертами, после чего стало ясно, что во всех странах исходят из того, что процедуры «verification» и «validation» ПС взаимосвязаны, искусственно не отделяются друг от друга и не противо¬поставляются друг другу.

Фактически во всех странах применяется объединенный термин «verification and validation process» («V&V process»). При проведении верификации-валидации ПС оценке подлежат все компоненты:

• расчетная модель (как совокупность физической/математической постановки, применяемых уравнений, принятых допущений с учетом области применения ПС и т.п.);
• собственно программное средство (как реализация расчетной модели);
• результаты, получаемые посредством программного средства.

Все эти 3 компонента тесно связаны, поэтому установить однозначную границу между процессами «verification» и «validation», скорее всего, невозможно. Упрощенно можно охарактеризовать, что процесс «verification» направлен в большей степени на оценку адекватности реализации расчетной модели в программном средстве (model implementation), в то время как процесс «validation» направлен в большей степени на оценку адекватности собственно расчетной модели и расчетных результатов с точки зрения отображения реальных физических явлений или процессов (representation of the real world).

В руководящем документе Ростехнадзора РД-03-34-2000 [4] предусмотрено применение только термина «верификация», который определен следующим образом:

«Верификация – это обоснование возможности использования ПС в заявленной области применения и погрешности расчета параметров путем сравнения с экспериментальными данными, расчетными данными, полученными по другим ПС, результатами аналитических тестов, теоретического анализа».

Таким образом, понятие «верификация» ПС, с точки зрения регулирующих требований Ростехнадзора, включает в себя как верификацию, так и валидацию ПС в объеме определений этих терминов, приведенных в документах МАГАТЭ [1], [2] и ANS [3].

О рекомендациях МАГАТЭ

В документе МАГАТЭ SSG-2 [2], который развивает требования документа МАГАТЭ SSR-2/1 «Безопасность АЭС: проектирование» [5], приведены рекомендации о применении только верифицированных программных средств при обосновании безопасности АЭС. Рекомендациям по проведению верификации программных средств посвящен раздел 6 «Verification and validation of computer codes» документа МАГАТЭ [2].

Требования к верификации ПС, установленные в РД-03-34-2000 [4], в целом соответствуют упомянутым рекомендациям МАГАТЭ. В п. 6.22 SSR-2/1 [5] МАГАТЭ рекомендует проводить оценку программных средств, предназначенных для комплексного анализа безопасности, в два этапа: первый этап выполняется разработчиками ПС, второй – независимой от разработчиков командой с использованием собственных экспериментальных данных. При этом, согласно п. 6.28 документа [2], МАГАТЭ рекомендует представлять результаты обоснования применения ПС в верификационном отчете, который должен являться частью документов, подаваемых в регулирующий орган при лицензировании.

О практике оценки ПС в США

Требования к верификации программных средств и процедура их признания Комиссией по ядерному регулированию США (The US Nuclear Regulatory Commission, далее – US NRC) приведены в NUREG-0800 [6] и Regulatory Guide 1.203 [7]. Раздел 15.0.2 NUREG-0800 [8] достаточно подробно описывает предмет экспертизы (Глава I «Areas of review»), критерии оценки (Глава II «Acceptance criteria»), процедуру экспертизы (Глава III «Review procedure») и результаты экспертизы (глава IV «Evaluation findings»).

Целью экспертизы методик и программных средств, применяемых для обоснования безопасности, является подтверждение того, что расчетные модели, выбранные заявителем для выполнения указанных анализов, позволяют получить достоверные результаты.

Согласно главе III документа [8], процедура экспертизы ПС включает в себя проведение экспертами US NRC предварительной оценки документов по ПС (Acceptance Review) и собственно экспертизы ПС (Detailed Review). При этом US NRC оставляет за собой право проводить независимые расчетные оценки (Independent Analysis) представленных на экспертизу обоснований применимости ПС.

Раздел 4 «Review of General Purpose Computer Programs» главы III документа [8] описывает подходы US NRC к экспертизе комплексных программных средств, которые могут быть применены для обоснования безопасности различных АЭС одного типа, а не для конкретного энергоблока. Процедура экспертизы ПС предусматривает проведение экспертами US NRC оценки расчетных моделей, реализованных в ПС. При этом указывается, что эксперты US NRC должны составлять отчет по оценке ПС, содержащий результаты экспертизы и анализа документов о верификации ПС с выводами об области применения ПС и указаниями о выявленных ограничениях по их применению.

Рекомендации по проведению верификации программных средств, предназначенных для обоснований безопасности легководных реакторов, содержатся в регулирующем руководстве RG 1.203 [7]. Согласно этому документу, US NRC рекомендует оценивать концепцию расчетной модели (Evaluation Model Concept), под которой понимается вся расчетная структура ПС, которая может включать в себя несколько программных модулей и базы исходных данных. Документ [7] детально описывает требования к процессу разработки расчетной модели и ее верификации, к представлению информации о задачах, поставленных для расчетной модели (EM requirements), к описанию методологии расчетной модели (EM methodology), к описанию программных модулей, входящих в расчетную модель (code description manuals), к структуре руководства пользователя ПС (user manuals and user guidelines), а также отчетов по оценке получаемых по ПС результатов (scaling reports, assessment reports) и отчетов по анализу неопределенностей расчетной модели (uncertainty analysis reports).

US NRC уделяет большое внимание верификации программных средств. Так, для проведения верификации теплогидравлических кодов US NRC инициировала программу CAMP (Code Applications and Maintenance Program), а для тяжелоаварийных кодов – программу CSARP (The Cooperative Severe Accident Research Program). В рамках этих программ US NRC совместно с различными международными организациями разрабатывает верификационные отчеты по ПС (например [9]-[11]). Отметим, что участие в таких программах представляет интерес и для российского регулирующего органа.

Кроме экспертизы верификационных отчетов по ПС, для признания возможности их применения при обосновании безопасности US NRC проводит аудиты заявителей программных средств (на территории заявителей). Например, согласно документу [12], целью такого аудита является оценка программных средств, применяемых для статических, динамических и теплогидравлических расчетов трубопроводов и элементов реактора.

Из анализа документа [12] следует еще один важный вывод о том, что US NRC требует проведения обоснования применимости для анализов безопасности не только специализированных программных средств, но и так называемых «коммерческих кодов» (таких, как ANSYS, ABAQUS и NASTRAN), широко применяемых промышленностью вне атомной отрасли.

В США, помимо рекомендаций US NRC, действует ряд национальных стандартов, содержащих требования к верификации программных средств, например ANSI/ANS-10.4-2008 [3], ASME V&V 20-2009 [13], ASME V&V 10-2006 [31].

В информационной системе ADAMS US NRC представлены верификационные отчеты по ПС ARCADIA (совместный нейтронно-физический и теплогидравлический расчет) [14], COBRA-FLX (теплогидравлический расчет) [15] и MONC 8A (расчет размножающих свойств различных систем методом Монте-Карло) [16]. В информационной системе можно также найти результаты экспертной оценки этих верификационных отчетов, выполненной экспертами US NRC (например [17] и [18]).

Анализ указанных материалов показал схожесть подходов, принятых в США и в России как к разработке верификационных отчетов по ПС, так и к экспертизе таких отчетов.

Кроме того, стоит обратить внимание на сроки выполнения экспертиз. Например, экспертиза ПС ARCADIA заняла 3 года – с момента поступления в US NRC заявления до даты выпуска отчета о результатах экспертизы, в котором эксперты US NRC признают возможность использования ПС при обосновании безопасности. Такие сроки соответствуют практике Совета по аттестации ПС при Ростехнадзоре по экспертизе аналогичных ПС.

Согласно информации, представленной на официальном сайте US NRC (http://www.nrc.gov/about-nrc/regulatory/research/safetycodes.htmlexternal link, opens in a new tab), эксперты US NRC располагают различными программными средствами для проведения независимых расчетных оценок (в том числе и при экспертизе верификации программных средств), например:

• PARCS – для расчетов кинетики реактора;
• TRACE, RELAP5, SNAP – для теплогидравлических расчетов;
• FRAPCON-3, FRAPTRAN – для расчетов поведения топлива;
• MELCOR, MACCS2, SCDAP/RELAP5, CONTAIN, IFCI, VICTORIA – для расчетов тяжелых аварий;
• VARSKIN – для расчетов дозовых нагрузок;
• DandD, RESRAD 6.0 – для расчетов миграции радионуклидов;
• SAPHIRE – для расчетов применительно к ВАБ.

О практике оценки ПС в Канаде

Основным документом, устанавливающим требования Комиссии по атомному регулированию Канады (далее – CNSС) к обоснованию безопасности АЭС, является RD-310 [19]. Требование о том, что применяемые для обоснования безопасности АЭС ПС должны быть верифицированы, установлены в разделе 5.4.1 документа [19].

Рекомендации CNSС о том, как это требование выполнять, приведены в документе GD-310 [20]. Раздел 5.4.5 документа [20] предполагает, что при обосновании возможности использования ПС для лицензионных расчетов необходимо:

• установить границы применимости кода (computer code applicability);
• представить сведения о верификации ПС и оценке погрешностей получаемых результатов расчетов (code validation and quantification of accuracy);
• оценить степень консерватизма ПС (conservatism in analysis).

По каждому указанному выше пункту в документе [20] даются детальные рекомендации. В части, касающейся верификации ПС, эти рекомендации близки по структуре к требованиям, предъявленным к верификационным отчетам, установленным в РД-03-34-2000 [4]. Стоит отметить также рекомендации пункта 5.4.5.2 [20], которые предусматривают, что используемые в ПС модели расчета должны быть не просто верифицированы, но и рекомендованы для обоснования безопасности. При этом верификационные отчеты по ПС должны пройти квалифицированную экспертизу, участники которой не должны иметь никакого отношения к разработке верификационных отчетов.

Кроме того, согласно требованиям пп. 5.1 и 5.4.5 [19], разработка, верификация и использование программных средств, применяемых при обосновании безопасности, являются объектами менеджмента качества и должны соответствовать требованиям стандарта Канадской ассоциации стандартов CSA N 286.7-99 [21] (содержание данного документа, к сожалению, в открытых источниках не доступно).

Регулирующий документ RD-327 [22], устанавливающий требования CNSС, направленные на предотвращение аварий с возникновением критичности при обращении, хранении, переработке и транспортировании делящихся материалов и при долгосрочном обращении с ядерными отходами, также содержит требования, касающиеся программных средств. Согласно разделу 2.3.4 документа [22], расчетные методы и программные средства, применяемые при анализе аварий с возникновением критичности, должны быть верифицированы, а п. 2.3.4.4 [22] устанавливает требования к содержанию верификационного отчета по ПС.

Анализ годовых отчетов о работе CNSС [23] и [24] дает представление о том, какие ПС проходили экспертизу в канадском регулирующем органе в 2009 и 2010 г. соответственно. В частности, на стр.119 приложения E «Проблемы безопасности реакторов CANDU» [23] CNSС указывает, что в 2009 г. CNSС продолжала работы по экспертизе верификации ПС, используемых заявителями, а также по мониторингу соблюдения эксплуатирующими организациями установленных требований к верификации ПС. При этом отмечается, что, несмотря на успехи в некоторых областях, работы, проводимые по верификации, не в полной степени соответствуют требованиям, которые позволили бы оценить качество этих ПС.

О практике оценки ПС во Франции

Французские нормативные документы не так широко освещены в открытых источниках как американские или канадские, однако представление о подходах регулирующего органа (далее – ASN) к признанию ПС для применения при обоснованиях безопасности можно получить из информационных сообщений на официальном сайте ASN.

Например, согласно информационной справке № 11 от 12 сентября 2011 г. [25], ASN проводило оценку расчетных методов, примененных эксплуатирующей организацией при анализе аварий на АЭС с реактором EPR. ASN отмечает, что компанией «EDF Energy» разработано новое ПС «MTC 3D», предназначенное для анализа аварий с разрывом трубопроводов. Основываясь на выполненных экспертами организации научно-технической поддержки (далее – IRSN) результатах «всесторонних» исследований, ASN сделал выводы о том, что ПС «MTC 3D» не может быть использовано для анализа аварий с разрывом паропроводов с одновременным отключением главного циркуляционного насоса (и это при том, что компания «EDF Energy» представляла дополнительное обоснование, которое эксперты IRSN также сочли недостаточным).

Отметим, что обмен опытом с IRSN по подходам и регулирующей основе «всесторонних» исследований, которые были применены при экспертизе ПС «MTC 3D», представляет интерес для ФБУ «НТЦ ЯРБ» и российского регулирующего органа.

О практике оценки ПС в Великобритании

В документе британского регулирующего органа (далее – HSE) [26], пункты FA.17,18 «Анализ отказов: обоснование верификации моделей и данных», определено, что используемые при анализе расчетные методы должны достоверно описывать происходящие физико-химические процессы.

При этом документ HSE [27] содержит требования об обязательном применении верифицированных расчетных методик и программных средств при обосновании действующих АЭС (Licence Condition 14), проектируемых АЭС (Licence Condition 19), а также при проведении экспериментов или при модернизации на АЭС (Licence Condition 22).

Рекомендации HSE по проведению верификации ПС, а также экспертизе ПС приведены в техническом руководстве [28]. В частности, этот документ содержит рекомендации по оценке результатов верификации нейтронно-физических и теплогидравлических расчетов, проводимых с использованием интегральных ПС при анализе проектных и запроектных аварий. Приложение 1 документа [28] полностью посвящено оценке верификации ПС класса CFD.

О практике оценки (экспертизы) и аттестации ПС в России

Требования о том, что ПС, применяемые при обосновании безопасности объектов использования атомной энергии, должны быть аттестованы, установлены в целом ряде федеральных норм и правил в области использования атомной энергии.

Процедура организации экспертизы ПС определена в руководящем документе Ростехнадзора – РД-03-33-2008 [29], согласно которому реализацию этой процедуры выполняет ФБУ «НТЦ ЯРБ». Указанным руководящим документом предусмотрено, что заявитель ПС должен разработать отчет о верификации (обосновании) программного средства. Требования к такому отчету установлены в руководящем документе Ростехнадзора РД-03-34-2000 [4]. Рекомендации по верификации ПС по направлению «нейтронно-физические расчеты» приведены в РБ-061-11 [30].

Экспертизу ПС проводят эксперты, входящие в действующий при Ростехнадзоре Экспертный совет по аттестации программных средств (далее – Совет), который имеет 7 тематических секций. В числе экспертов – высококвалифицированные специалисты из более чем 30 ведущих российских научно-технических организаций, что позволяет проводить компетентную оценку различных ПС.

В соответствии с п. 4 РД-03-33-2008 [29], под экспертизой ПС понимается регламентированная процедура признания возможности использования ПС в заявленной области для расчета параметров с определенной погрешностью. При положительных выводах экспертизы ПС на основе рекомендаций Совета ФБУ «НТЦ ЯРБ» оформляет аттестационный паспорт соответствующего программного средства, в приложении к которому указываются его назначение, область применения, краткое описание, сведения о погрешности расчета параметров при использовании данного ПС и др.

По состоянию на август 2013 г. аттестационные паспорта оформлены для 330 ПС, предназначенных для выполнения различных расчетов (нейтронно-физические, теплогидравлические, прочностные и др.).

Заключение

Регулирующие органы в странах с развитой ядерной энергетикой обязательно осуществляют экспертизу ПС, применяемых заявителями при обосновании безопасности ОИАЭ.

Принятые в этих странах подходы в отношении признания возможности использования того или иного ПС при обосновании безопасности близки между собой и предполагают, что разработчик программного средства разрабатывает отчет о верификации ПС, который является предметом экспертизы со стороны регулирующего органа.

В проведении экспертизы отчетов о верификации ПС непосредственное участие принимают эксперты регулирующего органа и организаций его научно-технической поддержки.

Литература

1. IAEA safety glossary. Terminology used in nuclear safety and radiation protection: 2007 edition. – Vienna: International Atomic Energy Agency, 2007.
2. IAEA SSG-2: Deterministic safety analysis for nuclear power plants: safety guide. – Vienna: International Atomic Energy Agency, 2009.
3. American National Standard ANSI/ANS-10.4-2008: Verification and Validation of Non-Safety-Related Scientific and Engineering Computer Programs for the Nuclear Industry Current Standard; Supersedes ANSI/ANS-10.4-1987; R1998; W2008. Illinois, 2008.
4. Требования к составу и содержанию отчета о верификации и обосновании ПС, применяемые при обосновании безопасности ОИАЭ. РД-03-34-2000.
5. IAEA SSR-2/1. Safety of nuclear power plants: design. Specific safety requirements. – Vienna: International Atomic Energy Agency, 2012.
6. Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition (NUREG-0800, Formerly issued as NUREG-75/087), NRC.
7. Transient and accident analysis methods. Regulatory guide 1.203, NRC (U.S. Nuclear Regulatory Commission), 2005.
8. Review of transient and accident analysis methods. NUREG-0800, chapter 15.0.2. NRC (U.S. Nuclear Regulatory Commission), 2007.
9. NUREG/IA-0224. International Agreement Report An Assessment of TRACE V5 RC1Code Separator Model with the Westinghouse Model Boiler 2 Experiments, Office of Nuclear Regulatory Research U.S. Nuclear Regulatory Commission Washington, 2010.
10. NUREG/IA-0241. International Agreement Report Assessment of the TRACE Code Using Transient Data from Maanshan PWR Nuclear Power Plant, Office of Nuclear Regulatory Research U.S. Nuclear Regulatory Commission Washington, 2010.
11. NUREG/IA-0167. International Agreement Report Assessment Study of RELAP5/MOD3.2 Based on the Kalinin NPP Unit-1 Stop of Feedwater Supply to the Steam Generator No. 4, Office of Nuclear Regulatory Research U.S. Nuclear Regulatory Commission Washington, 1999.
12. Computer programs and piping related to united states – advanced pressurized water reactor tier 2, section 3.9.1 and section 3.12 audit plan, NRC, 2011.
13. Standard for Verification and Validation in Computational Fluid Dynamics and Heat Transfer. ASME V&V 20-2009. New York, 2009.
14. ANP-10297NP. The ARCADIA® Reactor Analysis System for PWRs Methodology Description and Benchmarking Results Topical Report. AREVA NP Inc., 2010.
15. ANP-10311NP. COBRA-FLX: A Core Thermal-Hydraulic Analysis CodeTopical Report, AREVA NP Inc., 2010.
16. MONK 8A. Validation and verification. Eagle Rock Enrichment Facility. AREVA NP Inc., 2006
17. Final safety evaluation by the office of nuclear reactor regulation topical report ANP-10297P, revision 0 «Еhe Arcadia® reactor analysis system for PWRs methodology description and benchmarking results», NRC, 2013.
18. Final safety evaluation by the office of nuclear reactor regulation. Topical report “COBRA-FLX: A core thermal-hydraulic-analysis code topical report” ANP-10311p, revision 0, NRC, 2013.
19. Regulatory document RD-310: Safety Analysis for Nuclear Power Plants, Canadian Nuclear Safety Commission, Canada, 2008.
20. Guidance document GD-310: Guidance on Safety Analysis for Nuclear Power Plants, Canadian Nuclear Safety Commission, Canada, 2012.
21. N286.7-99 (R2012). Quality Assurance of Analytical, Scientific and Design Computer Programs for Nuclear Power Plants, Canadian Standards Association (CSA), 2012.
22. Regulatory document RD-327: Nuclear Criticality Safety, Canadian Nuclear Safety Commission, Canada, 2010.
23. CNSC staff integrated safety assessment of Canadian nuclear power plants for 2009, Canadian Nuclear Safety Commission (CNSC), 2010.
24. CNSC staff integrated safety assessment of Canadian nuclear power plants for 2010, Canadian Nuclear Safety Commission (CNSC), 2011.
25. Information notice N 11. Highlights of ASN’s inspection efforts at the Flamanville EPR construction site. ASN, Paris, September 12, 2011.
26. Safety Assessment Principle for Nuclear Facilities, Health and Safety Executive 2006 Edition, Revision 1.
27. An agency of HSE Office for Nuclear Regulation License condition handbook Issue Date: October 2011.
28. Nuclear Safety Technical Assessment Guide «Validation of Computer Codes and Calculation Methods» NS-TAST-GD-042 Revision 2, HSE Office for Nuclear Regulation, 2013.
29. Инструкция об организации проведения экспертизы программных средств, применяемых при обосновании и (или) обеспечении безопасности объектов использования атомной энергии. РД-03-33-2008.
30. Положение о проведении верификации и экспертизы программных средств по направлению «Нейтронно-физические расчеты. РБ-061-11.
31. Guide for Verification and Validation in Computational Solid Mechanics. ASME V&V 10-2006, New York, 2006.