Godkännande av OKG Aktiebolags redovisning avseende driftklarhet, verifiering och validering av Oskarshamn 1:s reaktorskyddssystem



Relevanta dokument
Föreläggande om redovisning av OKG:s förbättringsarbete

Beslut om ytterligare redovisning efter branden på Ringhals 2

Dispens med anledning av nya och ändrade föreskrifter för Oskarshamn 2

Beslut om ändrat datum för inlämnande av kompletteringar enligt tidigare SSM-beslut 2008/981

Föreläggande om att vidta åtgärder rörande kvalitetsrevisionsverksamheten,

Dispens för svetsade komponenter och reservdelar i förråd vid Oskarshamns kärnkraftverk

Föreläggande om att prova och utvärdera provstavar

Tillstånd för hantering av radioaktiva ämnen vid avvecklingen av isotopcentralen i Studsvik

Beslut om att förelägga OKG Aktiebolag att genomföra utredningar och analyser samt att komplettera säkerhetsredovisningen för reaktorn Oskarshamn 3

Föreläggande om åtgärder avseende anläggningsändring DUKA-SILO - SFR

Beslut om godkännande av förnyad säkerhetsredovisning, start laddning och att påbörja provdrift efter modernisering av Ringhals 2

Föreläggande om uppdatering av säkerhetsredovisningen för Clab

Föreläggande efter inspektion

Föreläggande gällande helhetsbedömning av AB Svafos anläggningar och verksamhet i Studsvik

Beslut om återstart av Ringhals 2 efter brand i inneslutningen

Beslut om åldershanteringsprogram som ytterligare villkor för tillstånd att driva Oskarshamn 3

Föreläggande gällande helhetsbedömning av Cyclife Sweden AB:s anläggningar och verksamhet i Studsvik

Föreläggande efter inspektion

Dispens med anledning av nya och ändrade föreskrifter

FÖRVALTNINGSRÄTTENS AVGÖRANDE. Förvaltningsrätten bifaller Strålsäkerhetsmyndighetens ansökan och

Beslut om dispens från kravet på återkommande kontroll av vissa komponenter för Oskarshamn 1

Föreläggande om redovisning

Beslut om senareläggning av åtgärder i Ringhals 2 4

Dispens med tillhörande villkor

Dispens från krav på övervakning av ackrediterat organ vid kvalificering av vissa komponenter

Föreläggande om program för hantering av åldersrelaterade försämringar och skador vid Clab

Föreläggande om ny helhetsbedömning av Oskarshamn 1

Stöd till Miljöorganisationernas kärnavfallsgranskning för arbete med använt kärnbränsle och annat radioaktivt avfall under 2018

Fördelning mellan Studsvik Nuclear AB och Cyclife Sweden AB av tidigare beslutad kärnavfallsavgift för 2016 samt finansieringsbelopp

Organisationsnummer:

Dispens för provning av baffelskruvar på Ringhals AB

Beslut om åtgärd med klämförband i lockkylkrets

Inspektionsrapport Operativa styrande dokument

Beslut om utökad provning av reaktortryckkärl

Anläggningsändringar på Studsvik Nuclear AB - anpassning till personalens förmåga

Föreläggande om åtgärder för Landstinget

Granskning av SKB:s redovisning av åtgärdsprogram del 2 (orsaksanalys och ytterligare åtgärder) enligt föreläggande SSM

KVALITETS- OCH KONTROLLBESTÄMMELSER FÖR ELEKTRISK UTRUSTNING

Delredovisning av uppdrag

Beslut om tillståndsvillkor för avveckling av Oskarshamn 2

Stöd till MKG för arbete med använt kärnbränsle och annat radioaktivt avfall under 2019

Föreläggande om åtgärder

Granskningsrapport - Ringhals 4 - Anmälan av ändringar till följd av utbyte av backventiler i säkerhetsinsprutningsledningarna

Föreläggande avseende utbildning av nyanställda läkare och sjukhusfysiker

Föreläggande om åtgärder

Remiss: Strålsäkerhetsmyndighetens granskning av SKB:s slutförvarsansökan

Granskning av anmälan - Forsmark 1/2-Höjning av konstruktionstrycket i system 323

Beslut om förlängd giltighetstid för dispens avseende deponering av avfall från Westinghouse

Inspektion av internrevisionsverksamheten på Svensk Kärnbränslehantering AB

Dispenser för Oskarshamn 1

Inspektion avseende aktuellt ledningssystem i enlighet med föreläggande

Svenska Kraftnät TR rev A Tekniska riktlinjer

Inspektion av rutinen för driftklarhetsverifiering på Ringhals 2 och 3

Granska. Inledning. Syfte. Granskningsprocessen

Inspektionsrapport - Inspektion av Forsmarks utrymmen (Housekeeping)

Yttrande till Mark- och miljödomstolen vid Nacka tingsrätt angående kompletteringar av ansökan enligt miljöbalken om utökad verksamhet vid SFR

RASK - Ringhals 1 ej driftklar I- isoleringskedja, 516

Beslut om friklassning av avfall för deponering vid

Björn Brickstad, Bo Liwång, Lovisa Wallin

KVALITETS- OCH KONTROLLBESTÄMMELSER FÖR ELEKTRISK UTRUSTNING

Granskningsrapport Datum: Vår referens: SSM 2011/1821 Tillståndshavare: Ringhals AB Objekt: Ringhals 2

SAKEN Utlämnande av allmänna handlingar KAMMARRÄTTENS AVGÖRANDE. Kammarrätten avslår överklagandet.

Föreläggande om åtgärder för Danderyds sjukhus AB

Föreläggande om genomförande av åtgärder avseende driften av SKB:s kärntekniska anläggningar Clab och SFR

Föreläggande om åtgärder

Avbrott i bredbandstelefonitjänst

Granskning av analyser, utredningar och åtgärdsplaner avseende obehörigt intrång

Beslut om förlängd giltighetstid för dispens avseende deponering av avfall från Westinghouse

Bilaga A Checklista vid leverantörsbedömning SIDA 1AV 11

Inspektionsrapport Monitering av luftutsläpp via andra vägar än huvudskorstenarna

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION REALISERA (ISD-R) Inklusive 3 bilagor

Fud-utredning. Innehållsförteckning. Promemoria. Ansvarig handläggare: Carl-Henrik Pettersson Fastställd: Ansi Gerhardsson

Regeringen, Miljö- och energidepartementet Stockholm

Revisionsrapport. Genomförande av Kvalitetsmätning. Inledning Tullverket Box Stockholm.

Beslut om tillståndsvillkor för avveckling av Ågesta

Granskning av GE-14 för Oskarshamn 1

Produktstöd - Vägledning till dokumentationskraven i SS-EN ISO 9001:2000

Medborgarförslag om införande av trådbunden internet- och telefonuppkoppling

SSM:s tillsyn av SVAFO år Lokala säkerhetsnämnden den 11. december 2015

Tillsynsbeslut Ordinarie tillsyn 2014 Arkens förskola

Projekteringsprocessen

Delyttrande över underlaget i ansökan om slutförvaring av använt kärnbränsle och kärnavfall

Inspektionsrapport avvikelsehantering Ringhals 1-4

LEVERANTÖRSBEDÖMNING Frågeformulär för egenbedömning

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Strålsäkerhetsmyndighetens författningssamling

PRD Konsult har sitt huvudkontor i Oskarshamn med lokalkontor belägna i Östhammar och Varberg. Huvudkontor: Lokalkontor: Lokalkontor:

Ärendet Västra Götalandsregionens läns landsting har ansökt om förnyat tillstånd att bedriva medicinsk röntgenverksamhet.

1 Kravnivåindelning 2 2 Kvalitetssäkringssystem Kvalitetssäkringskrav på Tillverkare/ Leverantör Krav på leverantörsbedömning 2

Uppföljning av Uppsala universitets hantering av en anmälan om oredlighet i forskning

SKB:s övergripande tidsplan Kärnbränsleprogrammet. Lomaprogrammet Kärnbränsleförvaret

Granskning av effekthöjningsärenden

Granskning av OKG uppfyllande av 20 SSMFS 2008:17 - RÖP

Inspektion av bemanning av nyckelfunktioner på. Studsvik Nuclear AB. Tillsynsrapport

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Granskning av O3 CSR inför säsongen samt OKG:s hantering av torrkokningsanalyser i härdändringsprocessen 2010

Strålsäkerhetsmyndighetens kravbild gällande organisation och slutförvar

Inspektera LEDNINGSSYSTEM. Sida: 1/8. Datum: Dokumenttyp: Rutin Process: Utöva tillsyn Dokumentnummer: 106 Version: v1

Föreläggande om åtgärder

Förslag till nya avgiftsnivåer i förordningen (2008:463) om vissa avgifter till

Transkript:

OKG Aktiebolag 572 83 Oskarshamn Beslut Vårt datum: 2014-01-03 Er referens: 2013-08295 Diarienr: SSM2013-2363 Handläggare: Björn Gustafsson Telefon: +46 8 799 4026 Godkännande av OKG Aktiebolags redovisning avseende driftklarhet, verifiering och validering av Oskarshamn 1:s reaktorskyddssystem Strålsäkerhetsmyndighetens beslut Strålsäkerhetsmyndigheten (SSM) godkänner den redovisning som lämnats av OKG Aktiebolag (OKG) avseende Oskarshamn 1 (O1) och som styrker att reaktorskyddssystemet (system 516) är driftklart enligt O1:s säkerhetstekniska driftförutsättningar (STF) och att systemets funktioner är verifierade och validerade. SSM förelägger också OKG att senast den 31 mars 2014 komma in med en reviderad redovisning avseende reaktorskyddssystemets driftklarhet som beaktar SSM:s synpunkter och frågeställningar som framkommit under granskningen i ärende SSM2013-2363 samt inarbetar de kompletteringar som OKG därefter redovisat. Ärendet I samband med SSM:s granskning i ärende SSM2013-2363, Oskarshamn 1 Anmälan om teknisk ändring SSMFS 2008:1 4 kap. 5 ärende 124451 uppdagades att det av underlaget i anmälan inte framgick hur kvalitetssäkrings-, verifierings- och valideringsaktiviteter avseende funktion hos påverkade funktionsprocessorer i system 516 är genomförda. I samband med detta ställdes ett antal frågor till OKG [1] som besvarades i [2]. OKG:s svar var inte tillfredställande och det fanns information som gav SSM anledning att ifrågasätta verifierings och valideringsarbetet (V&V) avseende system 516 i anläggningsändringsprojektet. SSM kallade till ett möte den 4 december 2013 [3] i syfte att klargöra hur OKG:s V&V var genomförd. Efter mötet konstaterade SSM att det fanns brister i V&V av system 516 avseende antingen genomförande eller dokumentation. Det fanns därmed anledning att ifrågasätta driftklarheten i system 516. Mot bakgrund av att OKG inte på ett övertygande sätt kunnat påvisa reaktorskyddssystemets driftklarhet och därmed inte heller systemets krediterade funktion i säkerhetsanalyserna förelade SSM OKG att komma in med en redovisning som styrker att reaktorskyddssystemet är driftklart enligt O1:s STF och att systemets funktioner är verifierade och validerade [4]. Enligt föreläggandet ska redovisningen vara granskad och godkänd av SSM innan O1 får återta driftlägen med reaktortryck > 1 bar enligt kap. 1.2 i O1:s STF. Den 27:e december inkom OKG med begärd redovisning till SSM [5]. Strålsäkerhetsmyndigheten Swedish Radiation Safety Authority SE-171 16 Stockholm Tel:+46 8 799 40 00 E-post: registrator@ssm.se Solna strandväg 96 Fax:+46 8 799 40 10 Webb: stralsakerhetsmyndigheten.se

Sida 2 (12) Granskning av OKG:s redovisning OKG:s redovisning/ssm:s observation OKG för i redovisningen [5] ett resonemang där de anser att de visat att system 516 på Oskarhamn 1 är driftklart, genomförda ändringar är korrekta och att de säkerhetsfunktioner som inte varit föremål för ändringen inte heller har blivit påverkade av ändringen för Autobor och SS120. Redovisningen har delats upp i antal områden där resonemanget kring genomförda åtgärder och värderingar för respektive område redovisats. Syftet för varje del är att visa att genomförda aktiviteter är tillräckligt omfattande för att visa att systemet är funktionellt och tillförlitlighetsmässigt acceptabelt. De områden som framförallt beaktats i SSM:s granskning är: Basprogramvara Konstruktionsprocesser Nya/ändrade funktioner Övriga säkerhetsfunktioner Slutlig driftklarhetsverifiering Montagekontroll av programmerbar utrustning Montagekontroll av elektrisk utrustning I samband med SSM:s granskning har en del kompletteringar begärts in från OKG som här behandlas separat. Basprogramvara Ingen förändring har skett i basprogramvaran sedan den ursprungliga kvalificeringen i projekt MOD och därmed anser OKG att ingen förnyad verifiering av denna behövs. OKG:s bedömning är att detta inte medför någon förändring eller påverkan på övriga icke ändrade säkerhetsfunktioner Konstruktionsprocesser OKG:s konstruktionsstyrmodell baseras på V-modellen och det är ett krav att leverantörer till OKG har en etablerad konstruktionsmodell som också bygger på V-modellen. Styrmodellen innefattar huvudaktiviteterna Konstruktion, Montage, Montagekontroll, Provning och Driftsättning. Modellen innefattar också verifierande kontroller mellan huvudaktiviteterna Montagekontroll och Montage samt mellan Provning/Driftsättning och Konstruktion. Konstruktionsarbetet i reaktorskyddssystemet har genomförts av Westinghouse enligt en kvalitetssäkrad konstruktionsmodell som OKG har auditerat och godkänt. Konstruktionsmodellen beaktar krav som t.ex. V-modellen och funktionsklassning enligt IEC 61226. I projekt SS120 har konstruktion i system 531 (system för neutronflödesmätning) utförts av Areva NP enligt en av OKG auditerad och godkänd konstruktionsprocess. Dessa leverantörer har även installerat och provat ändringarna i anläggningen. Sakgranskning och kvalitetsgranskning av konstruktionen för projekten Autobor och SS120 har genomförts enligt Westinghouse och OKG:s rutiner.

Sida 3 (12) De resulterade ändringarna från projekten har haft en liten påverkan på hårdvaran i system 516, och mjukvaruändringarna i samma system har följt befintlig struktur med byggelement som inte skiljer sig från den förutvarande logiken. Kvalificeringen av system 516 har analyserats med anledning av de ändringar som projekt Autobor och SS120 infört [6]. Dessutom har en genomgång gjorts för att verifiera att kvalificeringen fortfarande är tillämplig med avseende på regelverket som den bygger på [7]. Slutsatsen är att projektens ändringar inte medför någon påverkan på gällande kvalificering eller att regelverket har förändrats så att gällande kvalificering skulle vara påverkad. Westinghouse projektmodell med faserna; Principkonstruktion och planering, Kravframtagning, Analys, Systemkonstruktion, Detaljkonstruktion, Simulatorkonstruktion, Test, Leverans samt Driftsättning, har delvis anpassad för projekt Autobor. Faserna Principkonstruktion och planering och Kravframtagning har sammanslagits. Likaså har faserna Detaljkonstruktion och Simulatorkonstruktion sammanslagits. OKG redovisar vidare att projektet Autobor ursprungligen avvek såväl från V&V- planen som Westinghouse konstruktionsmodell. Granskning av vissa dokument hade inte gjorts enligt modellen samt projektets faser hade inte avslutats på korrekt sätt. Projektet parkerades därefter i fasen detaljkonstruktion. Följt av antal lärdomar från en humanperformance-utredning, genomförd av Westinghouse, samt implementering av ett antal åtgärder återstartade projektet. OKG konstaterar att Westinghouse hade avvikelser i sitt genomförande, men att tydliga åtgärder vidtogs och erfarenheter för framtiden togs omhand. I redovisningen listar OKG alla de noder i system 506 (processorer med anslutande moduler) i elektrisk funktionsklass A som påverkats av anläggningsändringarna Autobor och SS120 och även vilka säkerhetsfunktioner som därmed påverkats i respektive nod. Det konstateras vidare att samtliga säkerhetsfunktioner är berörda. OKG tar också upp risken för påverkan på närliggande funktioner som skulle kunna påverkas av ändringar. OKG delar upp resonemanget i två delar; Del a) handlar om risken att oönskade ändringar införs i närliggande funktioner, d.v.s. ändringar som inte var specificerade införs i koden. Del b) handlar om att de specificerade ändringarna kan få en oönskad effekt på andra närliggande funktioner. I dessa fall har alltså rätt logik införts i koden men funktionen blev ändå inte exakt så som man hade tänkt. OKG redovisar att denna risk beaktats och motverkats för de två områdena; Del a) huvudsakligen genom att koden verifieras via kodjämförelse med hjälp av ett verktyg benämnt Araxis, och med tillhörande kontroll av identifierade skillnader mellan de olika kodversionerna. Araxis-jämförelsen görs mellan ursprunglig kod (den kod som ändringen baserades på) och ändrad kod. Del b) huvudsakligen genom att den viktiga granskningen av systemlösningen genomförs först genomgår en ordinarie granskning av konstruktionsunderlaget

Sida 4 (12) (DKU-granskning), därefter en oberoende granskning och slutligen en Design review som innefattar flera olika discipliner inklusive kundens representanter. OKG anger vidare att oavsett om fel har introducerats enligt punkt a) eller b) ovan och inte upptäckts vid den primära kontrollen så finns det stor chans att det upptäcks vid provning. De prover som har störst potential att hitta ett oönskat beteende är dels den Factory Acceptance Test (FAT) som genomfördes i KSU-simulatorn samt ett s.k. System Verification Test 2 som genomfördes i målsystemet i Oskarshamn. I KSU-simulatorn genomfördes prover med konverterad kod i en annan hårdvaruplattform och syftet med provet var inte att verifiera koden utan snarare att lösning ger önskvärd funktionalitet (punkt b ovan). System Verification Test 2 är ett omfattande prov som genomfördes på site i slutet av införandet och är det primära teststeget som verifierar logiken. I detta läge fanns tillgång till hela RPS-logiken. Nya/ändrade funktioner OKG:s syftet med denna del av redovisningen är att påvisa att de genomförda ändringarna i projekt Autobor och SS120 är implementerade, verifierade och validerade. Systemverifieringar före införande i anläggningen skedde vid FAT i simulatorn hos KSU. Syftet med provningen i simulatorn är att genomföra en så komplett provning av totalfunktionen som möjligt, med alla fyra divisioner och all kommunikation tillgänglig. FAT utfördes med hela koden avsedd för Oskarshamn 1 och all funktionalitet som bedömdes påverkad av ändringen provades. Under FAT verifierades även de av projektet uppdaterade driftinstruktionerna. Visuell kontroll av applikationskoden utfördes i två steg. Först genom kontroll av implementerad kod mot detaljkonstruktionen för att verifiera att alla ändringar införts korrekt. Därefter gjordes en kodjämförelse mot koden som den var innan ändringen för att säkerställa att endast avsedda ändringar har blivit införda. Den omflyttning av kod som gjorts i samband med ändringen har verifierats i sin helhet. Att rätt omfattning av koden har blivit flyttad, kontrolleras genom en jämförelse av att aktuellt program blivit överfört i sin helhet och att inga andra ändringar har omedvetet blivit införda. Vid systemfunktionskontrollerna har alla påverkade in- och utsignaler samt alla ändrade eller nya funktioner kontrollerats. För att verifiera logiken i styrsystemet finns en funktion i system 516 som heter Forced Outage Mode. Med denna funktion kan samtliga utsignaler till objekt blockeras och samtliga insignaler simuleras från bildskärm. De påverkade funktionerna i system 516 har provats av på anläggningsnivå för att säkerställa funktionen i hela kedjan. Även system 531 har provats på anläggningsnivå. I bägge fallen har det inte förekommit några avvikelser. OKG anser att den totala omfattningen på verifiering och validering som gjorts enligt framtagen V&V-plan samt Provnings- och driftsättningsprogram således är tillräcklig. Övriga säkerhetsfunktioner Syftet med denna del av redovisningen är att visa att övriga säkerhetsfunktioner inte ändrats eller påverkats genom införandet av ändringarna från projekt Autobor och SS120. När det gäller funktionskontroll av övriga säkerhetsfunktioner, vilka inte berörts av ändringarna, är OKG:s bedömning att en förnyad fullständig kontroll inte är rimlig eller ger ett mervärde i förhållande till den omfattning som en fullständig omprovning av all logik skulle medföra. OKG anser att detta är helt i linje med de möjliga sätt som finns beskrivna i Strålsäkerhetsmyndighetens föreskrifter och allmänna råd om säkerhet i

Sida 5 (12) kärntekniska anläggningar (SSMFS 2008:1), 5 kap. 3b och i standard IEC 60880, som refereras till via OKG:s tekniska bestämmelser för elektrisk utrustning (TBE). Det vill säga att om en fullständig funktionskontroll ej är rimlig, så kan en analys som stödjer att utförd V&V är tillräcklig användas. För att visa detta har kontroller och aktiviteter enligt nedanstående genomförts och värderats. Ursprunglig kvalificering Med anledning av de ändringar som projekt Autobor och SS120 har medfört, har en eventuell påverkan på den tidigare kvalificeringen värderats. Slutsatsen är att projektens ändringar inte medför någon påverkan på gällande kvalificering eller att regelverket har förändrats så att gällande kvalificering skulle vara påverkad. Viss dokumentation har uppdaterats och kompletterats med uppgifter om projekt Autobor och SS120. Systemets/utrustningens generella funktionalitet Systemets/utrustningens funktion har i grunden inte förändrat sina egenskaper sedan kvalificeringen gjordes. Det har inte gjorts några ändringar i t.ex. programmens cykeltider, systemets cykliska beteende eller andra grundläggande systemfunktioners egenskaper. Detsamma gäller systemets egenövervakning som inte heller den har förändrats och därmed har motsvarande täckningsgrad avseende feldetektering som före införandet av ändringen. Genom att följa de ursprungliga konstruktionsförutsättningarna som gällde i samband med den ursprungliga kvalificeringen kan det vid värderingen användas de ursprungliga analyserna och prestandaproverna som gjordes för att påvisa systemets beteende. OKG:s slutsats är att någon påverkan i detta avseende inte förekommer på säkerhetsfunktionerna. Ingenjörsmässig bedömning Ingenjörsmässiga bedömningar har bidragit till V&V-arbetet. Under konstruktionsfasen har det gjorts ingenjörsmässiga bedömningar av hur ändringen påverkar övriga icke ändrade säkerhetsfunktioner. Dessa bedömningar har gjorts i samband med granskningar av dokument hos Westinghouse och OKG samt vid genomförda Design Reviews. I samband med förstudien av projekt Autobor gjordes även tidiga bedömningar av påverkan på hårdvaran som t.ex. behov av minnesutbyggnad och testfunktioner i programvaran. OKG anser att resultatet är att kommentarerna blev omhändertagna i konstruktionsprocessen. Granskningar Sak- och kvalitetsgranskning för de beskrivande dokumenten i projekt Autobor och SS120 har skett enligt OKG:s rutiner. Berörd anläggningsdokumentation har sakgranskats i enlighet med gällande granskningsplaner. Verksamhetshandboken har i sina instruktioner krav på omfattning av V&V-aktiviteter med hänvisning till bl.a. TBE och IEC-standarder. Enligt Westinghouse kvalitetssystem avslutas varje projektfas med en genomgång av att alla arbetsmoment i fasen utförts (readiness review). Konstruktionen i projekt Autobor såväl som SS120 har även genomgått säkerhetsgranskning, s.k. Design Review, enligt Westinghouse konstruktionsmodell vilken är uppbyggd enligt intentionerna i IEC 60880. OKG anser att kommentarerna från granskningen är omhändertagna i konstruktionsprocessen och att granskningarna har utförts enligt gällande rutiner.

Sida 6 (12) Kodjämförelse Vid jämförelse av kod används programmet Araxis Merge. Programmet jämför textfiler med varandra vilket medför att föregående (gammal) och ny källkod jämförs. I den genomförda kodjämförelsen anser OKG att det har det säkerställts att ingen kod för de övriga säkerhetsfunktionerna har ändrats. OKG:s slutsatsen är att den ursprungliga logiken inte har förändrats. Funktionskontroll Den kontroll av processorlast som gjorts är ytterligare en del som använts för att påvisa att funktionalitet utanför ändringen inte har påverkats. De opåverkade funktionerna finns i program som exekveras av funktionsprocessorerna och därigenom bidrar till systemets last. Efter avslutade kontroller visade det sig att larm för hög processorlast erhölls i två noder. Processorlasten ligger strax över larmnivån och genomförda mätningar tillsammans med utförda värderingar ger att detta inte påverkar nodernas funktioner negativt och därmed är acceptabelt. Fel med gemensam orsak, CCF (Common Cause Failure) Programvaran kan efter kvalificering samt en fullständig verifiering och validering betraktas som funktionellt och tillförlitlighetsmässigt acceptabel. Hypotetiskt kan det trots detta finnas vissa inbyggda icke detekterade fel. Dessa får då betraktas som CCF och för detta finns för Oskarshamn 1 ett icke programmerbart system, DPS (Diverse Protection System), som tar hand om CCF i programvaran i RPS. Slutlig driftklarhetsverifiering Slutlig driftklarhetsverifiering av hela system 516 har utförts i enlighet med befintliga instruktioner. De berörda delproven är: T0 Prov av sensorer & gränsvärde T1 Signaldistribution inom nivå 1 T2 Signaldistribution mellan nivå 1 och nivå 2 T3 Utfunktion T4 Hårdvirat signalutbyte inom nivå 2 Dessa utgör enligt OKG tillsammans en verifiering av att den elektriska utrustningen i system 516 RPS är driftklar. Tillsammans med verifieringen i projekt Autobor och SS120 av de mjukvarubaserade delarna av säkerhetsfunktionerna, utgör detta den slutgiltiga driftklarhetsverifieringen av system 516. Den ändring som gjorts i samband med projekten Autobor och SS120 har inte påverkat de krav från SSMFS 2008:1, säkerhetsredovisningen (SAR) eller några andra förutsättningar för driftklarhetsverifieringen. Argumenten för detta är att ändringen inte har påverkat övriga säkerhetsfunktioner på ett sådant sätt att den tidigare verifieringen och kvalificeringen av dessa funktioner har påverkats. De principer för driftklarhetsverifiering (periodiska prov) som tillämpats tidigare kan även tillämpas efter ändringens införande. I samband med genomgång av redovisningen till denna rapport visade det sig att periodiskt prov av två signaler som skulle ingått i driftklarhetsverifieringen (DKV) inte fanns medtagna i aktuella instruktioner. Det gäller följande prov:

Sida 7 (12) 1-D2.5.516.TC4.1 O1 Prov av kabelparter för sub C 1-D2.5.516.TD4.1 O1 Prov av kabelparter för sub D Prov av de två tillkommande signalerna är inte utförda som DKV men funktionen har provats av i samband med funktionskontroller för projekt Autobor. Att den uppdaterade instruktionen för provet inte fanns med i DKV är en brist i hanteringen som OKG kommer att utreda. Montagekontroll av programmerbar utrustning Proceduren för att införa ändringar görs enligt checklista. En checklista tas fram för varje nod som innehåller ändringar, där varje moment i listan ska bockas av. En lastmätning görs alltid för varje CPU, lasten läses av före och efter ändringen och ska alltid skrivas ned i checklistan. Vid laddning av kod i controllrarna är det alltid två personer som hjälps åt. En matar in kod medan den andra läser instruktioner, dokumenterar och kontrollerar. Detta för att minimera risken för fel vid införandet. Vid jämförelse av kod används programmet Araxis Merge. Programmet jämför textfiler med varandra vilket medför att föregående och ny källkod alltid jämförs. Montagekontroll av elektrisk utrustning Enligt Provnings- och driftsättningsprogrammet, under Förutsättningar för slutprov, beskrivs i listform vilka punkter som ska ha gåtts igenom innan slutprov genomförs. Montagepärmen ska vara signerad t.o.m. punkten montagebesiktning samt att kretskontroll ska vara utförd mot kretsschema. Detta redovisas på ett försättsblad som finns i respektive pärm med montageunderlag. För projekten Autobor och SS120 har montagekontroll och kretskontroll utförts. Montagepärmen har signerats i de för ändamålet avsedda platserna. Kompletteringar Under SSM:s granskning av OKG:s redovisning [5] har SSM begärt i kompletterande redovisning [8-10]. I [8] redovisar OKG att fasen Analys huvudsakligen har genomfört och redovisats i två NOG-rapporter avseende dels Anläggningsändringar (rapport SEP11-046) och dels Funktionsanalys (rapport SEP 11-047). Dessa rapporter har också refererats i den projektrapport 2011-10351 som ingår i OKG:s anmälan [11] av anläggningsändring Autobor. OKG anger också att kravmatrisen för spårbarhet i dokumentet Requirement Tracability Matrix (RTM) P11-502 innehållit kravbilden och varit utgångspunkten för framtagning av verifierande instruktioner. OKG pekar också på ytterligare analyser som gjorts (SEI 08-212 - Förslag till ändringar för införande av automatisk borinpumpning, SET 10-391 - Utredning om behov av villkorsförändringar vid situationer med CCF i reaktivitetskontroll med stöd av BISONanalys av ATWS-sekvenser samt SET 13-160 - Komplex sekvens med CCF i säkerhetsfunktionen reaktivitetskontroll, erforderlig bormängd i system 351 för att säkerhetsställa avställd reaktor utan krav på stängning ). OKG anger vidare i [8] att Westinghouse, förutom PSA, utför alla analyser kopplade till anläggningsändringen med utgångspunkt i NOG-arbete. I [8] redovisar OKG också att ett annat projekt som införts parallellt, projekt Diesellogik, endast infört s.k. parameterändringar, enligt dokumenterad bedömning i V&V planen för projekt Diesellogik, dokument P12-561. OKG anger vidare att projekt Diesellogik endast

Sida 8 (12) påverkat noderna PMA14 och PMB14, vilka varken projekten Autobor eller SS120 berört. Detta utgör OKG:s argumentation för att projekt Diesellogik inte påverkat ändringarna i projekten Autobor och SS120. I [9] klargör OKG frågeställningar från SSM kring bl.a. programvara och hårdvara generellt samt att det är bara applikationsprogramvaran i noderna som ändrats och att ingen hårdvara ändrats. Vidare klargörs att det är applikationsprogramvaran i noderna som verifieras med Araxis-körningar och att färdig maskinkod verifieras i programmeringsverktyget för applikationsprogramvaran. I [10] klargör OKG att de noder som ändrats för att realisera manuell återställning och som inte återfunnits i redovisningen [5] inte tillhör elektrisk funktionsklass A och därför inte införts i listan av ändrade noder som berör säkerhetsfunktioner. SSM:s bedömning Mot bakgrund av OKG:s redovisning bedömer SSM att OKG och leverantören Westinghouse genomfört, dokumenterat och kvalitetssäkrat konstruktionen, montagekontrollen och funktionskontrollen, inklusive DKV, på ett tillfredställande sätt. SSM bedömer att de avvikelser i bl.a. V&V-planen, belastning av noder och prov av kabelparter som identifierats under projektets gång också åtgärdades och noterats för fortsatt hantering på ett tillfredställande sätt. SSM har dessutom begärt ett antal kompletteringar och förtydliganden [8-9] som tillfredställande besvarats av OKG [8-9]. Sammantaget bedömer SSM därmed att redovisningen som lämnats av OKG är tillräckligt övertygande avseende reaktorskyddssystemets driftklarhet och att ingen oavsiktlig påverkan skett. Dock har SSM funnit och i [10] under punkterna 2, 3, 4 och 5 sammanfattat ett antal brister i redovisningen. Dessutom har SSM begärt och fått klarställande i ett antal frågor enligt kommunikation [8-9] och som också delvis berör frågeställningarna ovan. SSM har dessutom funnit ett antal otydligheter: Enligt O1 SAR är system 516 uppdelat i två delar; Programerbart reaktorskyddssystem 516-RPS och Diversifierat Reaktorskyddssystem 516- DPS. I den redovisning som OKG lämnat [5] behandlas huvudsakligen system 516 RPS. Hänsyftning på system 516 RPS benämns endast som system 516. En nomenklatur som överensstämmer med O1 SAR bör eftersträvas. Det är SSM:s förståelse att OKG valt att betrakta system 516 RPS enbart som en funktionalitet inbakad i system 506 snarare än ett eget fysiskt system bestående av fysiska komponenter. All hårdvara (processormoduler, I/O moduler kommunikationsmoduler etc.) och basprogramvara som funktionaliteten i system 516 RPS är beroende av, tillhör system 506. Den kompilerade applikationsprogramvaran för system 516 RPS som genererats i det fristående konstruktionsverktyget och som styr funktionaliteten i system 516 RPS utgör med

Sida 9 (12) detta betraktelsesätt ett element av kod som har lästs in i system 506 och där länkas ihop med basprogramvaran i system 506, till en för processorerna i system 506 exekverbar kod. Av detta skulle följa att en verifiering av system 516 RPS bör omfatta verifiering av funktionaliteten i system 506 för att dess funktionalitet ska kunna krediteras för start av säkerhetsfunktioner. Mot bakgrund av ovanstående resonemang skulle driftklarhet av system 516 RPS även kunna behöva omfatta driftklarhet av valda delar av system 506 samt [5] och SAR förtydligas. SSM:s samlade bedömning SSM bedömer att det resonemang som OKG för är tillfredställande, avseende att system 516 på Oskarhamn 1 är driftklart, verifierat och validerat, att genomförda ändringar är korrekta, samt att de säkerhetsfunktioner som inte är föremål för ändringen är opåverkade av ändringen i projekt Autobor och SS120. SSM bedömer sammantaget att redovisningen som lämnats av OKG, tillsammans med den kompletterande information som lämnats på SSM:s begäran, är tillräcklig för att uppfylla föreläggandets krav. SSM finner det dock angeläget att OKG:s redovisning omarbetas så att SSM:s frågeställningar och den kompletterande information som redovisats av OKG [12-14] inkluderas för att bibehålla spårbarheten. Övrigt Följande ska noteras: Mot bakgrund av föreliggande beslut får OKG, i enlighet med SSM:s tidigare föreläggande [4], återta O1 i driftlägen med reaktortryck > 1 bar enligt kap. 1.2 i O1:s STF förutsatt att SSM:s föreläggande om genomförande av åtgärder samt särskilda villkor för drift avseende Oskarshamn 1-3 [15] beaktats. SSM avslutar inte ärende SSM2013-2363 i samband med att föreliggande beslut fattas. Granskningen i ärendet beräknas vara färdig 28 februari 2014. Föreliggande beslut berör inte SSM:s föreläggande om att OKG senast den 31 mars 2014 ska utreda, klarlägga och till SSM redovisa orsakerna till att OKG:s anläggningsändringsprojekt inklusive säkerhetsgranskning inte uppdagat bristerna avseende verifiering och validering av system 516 i OKG:s anmälda ärende SSM2013-2363 (OKG:s ärendenummer 124451) [4].

Sida 10 (12) Skälen för beslutet SSM har granskat den redovisning som OKG inkommit till SSM med och som styrker att reaktorskyddssystemet (system 516) är driftklart enligt O1:s STF och att systemets funktioner är verifierade och validerade [5]. Enligt SSM:s samlade bedömning har OKG i deras redovisning kunnat påvisa reaktorskyddssystemets driftklarhet mot bakgrund av kraven i 4 kap. 5 i SSMFS 2008:1 och därmed systemets krediterade funktion i säkerhetsanalyserna i enlighet med 4 kap. 1 SSMFS 2008:1. Driftklarheten har således styrkts i enlighet med 5 kap. 3b SSMFS 2008:1 och OKG:s redovisning ska betraktas som godkänd av SSM. O1 får således återta driftlägen med reaktortryck > 1 bar enligt kap. 1.2 i O1:s STF med avseende på driftklarhet, verifiering och validering av funktionerna i system 516, i enlighet med SSM:s tidigare föreläggande [4]. SSM finner, utifrån det som framkommit i granskningen, att det är angeläget att OKG:s redovisning omarbetas så att SSM:s frågeställningar och den kompletterande information som redovisats av OKG inkluderas för att bibehålla spårbarheten. OKG bör därför föreläggas att komplettera den inskickade redovisningen med den information som tillhandhållits SSM som svar på de frågor som uppstått vid SSM:s granskning [12-14]. Hur ett beslut överklagas Se bilaga 1. Detta beslut har fattats av enhetschefen Jan Hanberg. Björn Gustafsson har varit föredragande. I den slutliga handläggningen har också inspektör Per-Olof Hägg, verksjuristen Martin Henrysson, samt utredarna Bo Liwång och Tage Eriksson deltagit. STRÅLSÄKERHETSMYNDIGHETEN Jan Hanberg Björn Gustafsson Referenser 1. SSM Skrivelse, Frågor till OKG ang. införande av autobor, SSM2013-2363-9 2. OKG Skrivelse, Svar på frågor till OKG ang. införande av autobor, SSM2013-2363-10, inkl. översändelse av dokument SSM2013-2363-11 3. SSM Protokoll, Mötesanteckningar från möte med OKG Aktiebolag ang. verifiering och validering av funktionsprocessorer i reaktorskyddssystemet, SSM2013-2363-15

Sida 11 (12) 4. SSM Föreläggande, Föreläggande om att komma in med redovisningar avseende ingrepp i reaktorskyddssystemet, SSM2013-2363-17 5. OKG Rapport, Oskarshamn 1 Redovisning av V&V-aktiviteter för projekten Autobor och SS120, SSM2013-2363-22 (OKG dokumentnummer 2013-30302, utgåva 4) 6. OKG Rapport, O1 Autobor & SS120 Additions and changes in system 516 Effects on the current qualification of the Cat A system, Bilaga SSM2013-2363-22 (OKG dokumentnummer P12-003 rev 1) 7. OKG Rapport, O1 Autobor & SS120, codes and standards, Bilaga SSM2013-2363-22 (OKG dokumentnummer SEI12-016 rev 0) 8. SSM Skrivelse, SSM2013-2363 O1 Autobor Frågor mot OKG redovisning Hantering av Analys och Helhetsverifiering, SSM2013-2363-23 9. SSM Skrivelse, SM2013-2363 O1 Autobor Frågor mot OKG redovisning Kodhantering och verifiering samt hårdvara, SSM2013-2363-28 10. SSM Skrivelse, SSM2013-2363 O1 Autobor Hittils observerade brister i OKG:s redovisning samt observerad risk, SSM2013-2363-25 11. OKG Anmälan, Oskarshamn 1 - Anmälan om teknisk ändring, ärende 124451, enligt SSMFS 2008:1, 4 kap. 5, SSM2013-2363-1 12. OKG Skrivelse, Svar på SSM2013-2363 O1 Autobor Frågor mot OKG redovisning Hantering av Analys och Helhetsverifiering, SSM2013-2363-24 13. OKG Skrivelse, Svar på SSM2013-2363 O1 Autobor Hittils observerade brister i OKG:s redovisning samt observerad risk, SSM2013-2363-26 14. OKG Skrivelse, Svar på SM2013-2363 O1 Autobor Frågor mot OKG redovisning Kodhantering och verifiering samt hårdvara, SSM2013-2363-29 15. SSM Föreläggande, Föreläggande om genomförande av åtgärder samt särskilda villkor för drift avseende Oskarshamn 1-3, SSM2013-5780-1 Bilagor 1. Hur ett beslut överklagas

Bilaga 1 Hur ett beslut överklagas Strålsäkerhetsmyndighetens beslut kan överklagas till regeringen. Överklagandet ska vara skriftligt och ska skickas eller lämnas in till Strålsäkerhetsmyndigheten. Postadress: Strålsäkerhetsmyndigheten, 171 16 Stockholm. Besöksadress: Solna strandväg 96, Solna. I överklagandet ska anges beslutets diarienummer, hur beslutet ska ändras och varför. Överklagandet ska ha kommit in till Strålsäkerhetsmyndigheten inom tre veckor från det att ni får del av beslutet, annars kan överklagandet inte prövas. Strålsäkerhetsmyndigheten överlämnar överklagandet till regeringen för prövning om inte Strålsäkerhetsmyndigheten ändrar beslutet på det sätt som har begärts. Strålsäkerhetsmyndigheten Swedish Radiation Safety Authority SE-171 16 Stockholm Tel:+46 8 799 40 00 E-post: registrator@ssm.se Solna strandväg 96 Fax:+46 8 799 40 10 Webb: stralsakerhetsmyndigheten.se

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss