La mayoría de los diseños de los sistemas de Instrumentación y Control (I&C) en las centrales nucleares en operación se basan en tecnología analógica y han demostrado un adecuado comportamiento en la realización de las funciones previstas dentro del sistema al que supervisan o controlan. Con el paso del tiempo, los equipos analógicos utilizados en la industria en general han ido envejeciendo y presentando averías, a veces de compleja reparación puesto que resulta difícil disponer de repuestos. Paralelamente, la tecnología digital ha ido alcanzado un alto nivel de desarrollo y, actualmente, el uso de los equipos digitales está ampliamente extendido en todo tipo de industrias, demostrando que se trata de productos ya maduros y que, por lo general, presentan una alta fiabilidad.

Texto Francisco Gallardo Jefe de proyecto de la central nuclear de Cofrentes

La transición de los sistemas de I&C de tecnología analógica a la digital es un proceso natural. Los equipos digitales son igual o incluso más fiables que los analógicos, su desarrollo más económico, su implantación suele ser mássencilla y, dado que en los mercados es omnipresente, resulta mucho más fácil encontrar un equipo digital para la realización de una determinada función que uno analógico. Adicionalmente, las prestaciones funcionales que presentan los equipos digitales suelen ser mayores, incluyen mejores características en cuanto al procesamiento y almacenamiento de información, así como capacidades de comunicación, lo cual permite mejorar el mantenimiento y operación de los sistemas en los que están implantados.

Como es obvio, la industria nuclear no se encuentra al margen de esta evolución tecnológica, y si bien la experiencia operativa de las centrales nucleares ha mostrado un funcionamiento satisfactorio de los sistemas analógicos, en los últimos tiempos se han puesto de manifiesto las dificultades asociadas al mantenimiento de esta tecnología analógica. No obstante, también se ha constatado la dificultad que presenta llevar a cabo el licenciamiento de la tecnología digital para funciones de seguridad de instalaciones nucleares, motivo por el cual el uso de la misma en las centrales nucleares se viene realizando a un ritmo más lento en comparación con otrasindustrias.

La implantación de tecnología digital en las centrales nucleares procede, fundamentalmente, de dossituaciones:

• Actuaciones voluntarias de los titulares orientadas a la actualización tecnológica de la instalación, al objeto de sacar provecho de los beneficios aportados por las mejores prestaciones funcionales que ofrecen los componentes digitales frente a sus equivalentes analógicos y a un desarrollo del producto más económico.
• Actuaciones de sustitución de componentes al objeto de hacerfrente y resolver una necesidad operativa presente en la instalación. Esta necesidad de sustitución de componentes, consecuencia de la presencia de averías o envejecimiento de los mismos, usualmente pone de manifiesto las dificultades existentes cuando se trata de componentes relacionados con la seguridad en centrales nucleares, dificultades derivadas de circunstancias tales como: falta o reducción de existencias para ese componente, inexistencia de repuestos analógicos equivalentes en el mercado, pérdida del soporte técnico del fabricante del equipo original, desaparición de suministradores de equipos analógicos, y otras. Ante estas circunstancias, lo que se pone de manifiesto esla ausencia de alternativas claras de sustitución del componente, fundamentalmente consecuencia en muchos casos de la no existencia en el mercado actual de opciones alternativas que hayan sido desarrollados aplicando los criterios requeridos a componentes asociados a funciones de seguridad para aplicaciones en centrales nucleares.

En el caso de las centrales nucleares españolas, lo que se aprecia es que las actuaciones orientadas a una actualización voluntaria de la instalación con tecnología digitalse centran en la parte convencional de la instalación. En cambio, la implantación de esta tecnología para su utilización en sistemas de seguridad suele estar, en la mayoría de los casos, más asociada a cubrir la necesidad antes mencionada de sustitución de componentes obsoletos para los cuales ya no existen adecuados repuestos analógicos en el mercado. Las limitaciones a una implementación más extensa de instrumentación digital en sistemas de seguridad es consecuencia, en gran medida, de la complejidad asociada al licenciamiento de tales componentes.

Dificultades en el licenciamiento

La dificultad del licenciamiento de equipos digitales para su uso en funciones de Licenciamiento de sistemas digitales en centrales nucleares 54 aLFa 41 seguridad en las centrales nucleares no deriva, inicialmente, de que no se pueda considerar que tales equipos son de una calidad adecuada; su uso extendido y el comportamiento en diferentes industrias ha puesto de manifiesto que se trata de productos maduros y fiables. La dificultad del licenciamiento deriva en la necesidad reguladora de ser capaces de llevar a cabo la adecuada demostración de esa fiabilidad, tal y como se requiere para cualquier componente relacionado con la seguridad en este tipo de instalaciones.

El comportamiento de un sistema analógico puede preverse, típicamente, mediante el uso de modelos ingenieriles. Éstos pueden predecir las regiones dentro de las cuales el sistema analógico muestra un comportamiento continuo.

La capacidad de analizar un diseño utilizando modelos basados en principios físicos, y el uso de estos modelos ingenieriles para establecer una expectativa del comportamiento continuo del sistema sobre amplios rangos de condiciones de entrada, son factores clave en la calificación del diseño de lossistemas analógicos. Tales aspectosfacultan el uso extenso de pruebas tipo, pruebas de aceptación y de la inspección del producto final de cara a obtenerla calificación de componentes y sistemas analógicos.

Los sistemas digitales difieren de los analógicos en cuanto a que, en lugar de presentar un comportamiento continuo, su comportamiento es discreto, y errores en su diseño o en su implementación pueden llevar a estos equipos a mostrar comportamientos que no pueden ser previstos con antelación.

Consecuentemente, el comportamiento de un sistema digitalsobre todo el rango de condiciones de entrada no puede ser inferido a partir de la prueba de una muestra de las condiciones de entrada. Las inspecciones, pruebas tipo y pruebas de aceptación por sí mismas no logran un nivel idóneo de confianza de la calificación del diseño en el caso de sistemas digitales, por lo que no son suficientes para llevar a cabo su licenciamiento.

Es por ello que la revisión de la calificación del diseño en sistemas digitales se basa, por un lado, en la confirmación de que se ha aplicado un proceso de desarrollo del producto de alta calidad, que incorpore una especificación de requisitos de diseño altamente disciplinada y, por otro, en un proceso riguroso de implementación de éstos. La inspección y las pruebas se utilizan para verificar la correcta implantación de los requisitos de diseño y para validar la funcionalidad deseada del producto final.

Desde principios de los años 90 ya se disponía de cierta regulación relativa al proceso de licenciamiento de sistemas digitales. En 1997, el Standard Review Plan de la United States Nuclear Regulatory Commission (USNRC, por sus siglas en inglés) incluía un apéndice dedicado exclusivamente al licenciamiento de sistemas digitales. A lo largo de los años ha sido numerosa la literatura y regulación emitida para el uso de estos sistemas en aplicaciones de seguridad de centrales nucleares, pero aún hoy algunos de los aspectostodavía no han alcanzado un nivel de concreción suficiente en cuanto a la postura reguladora que permita el establecimiento de unos criterios de aceptación específicos y definitivos que puedan ser fácilmente evaluables. Aspectos tales como: nivelrequerido de diversidad y defensa en profundidad, niveles de independencia, requisitos sobre comunicaciones entre sistemas, requisitos aplicables a software preexistente, definición de complejidad de un equipo digital, aplicabilidad de certificaciones por terceras partes, etc.

Por este motivo, el licenciamiento de un sistema digital requiere todas las actuaciones que sean necesarias para poder disponer de la información y demostración suficiente de la calidad del producto que permita generar un nivel aceptable de confianza sobre la capacidad del mismo para cumplirsu función de seguridad, nivel de confianza que resultará de la aplicación de un juicio ingenieril en base a las evidencias existentes.

De cara a optimizar este proceso de generación de confianza en la calidad del sistema o componente digital que permita llevar a cabo un proceso de licenciamiento eficiente, es oportuno tener en consideración aquella normativa de referencia disponible, tanto a nivel nacional como mundial, sobre el licenciamiento de tecnología digital para centrales nucleares.

 tal efecto, los siguientes apartados del presente artículo se destinan a citar, y destacar, algunos aspectos sobre documentación de referencia relevante que debe sertenida en cuenta tanto porlostitulares en la elaboración de su propuesta para el licenciamiento de un sistema digital, como por elregulador a la hora de llevar a cabo la valoración de la misma.

Conviene indicar, no obstante, que la mención a las referencias posteriores no excluye otras valiosas referencias aplicables al licenciamiento de sistemas digitales, por ejemplo, la IEC60880 Nuclear power plants – Instrumentation and control systems important to safety – Soware aspects for computer-based systems performing category A functions, que aborda el tema con un alcance global.

Situación en España

El proceso de licenciamiento aplicable en nuestro país para la implantación de un sistema o equipo digital en una instalación nuclear es el mismo que se aplica a cualquier otra modificación de diseño. Está recogido en la Instrucción del Consejo IS-21, de 28 de enero de 2009, sobre Requisitos aplicables a las modificaciones en las centrales nucleares, y su desarrollo en la Guía de Seguridad GS-1.11, Modificaciones de diseño en centrales nucleares.

La citada normativa establece que cualquier modificación de diseño ha de ser sometida a un análisis previo para determinar si está relacionada con la seguridad, en cuyo caso habrá de procederse con una evaluación de seguridad.

El objeto de dicha evaluación es determinar si un cambio o modificación tiene más que un efecto mínimo en la probabilidad de fallo de un sistema o componente o en las consecuencias de un fallo asociado con el cambio. La conclusión alcanzada con esta evaluación determina cuando una modificación de diseño requiere autorización o no por parte delregulador, y en el caso de que sí la requiera implica la realización de un análisis de seguridad de la modificación.

La realización de la evaluación de 56 aLFa 41 Elanálisisdefallosdel sistemasebasaen unaevaluación dela fiabilidaddel sistema, normalmentecualitativa,basadaen lacalidaddediseñodel ‘software’yen las característicasdeldiseño final. ARTÍCULO 41 aLFa 57 seguridad de la modificación se concreta en dar respuesta a las ocho preguntas establecidas en la IS-21. Para el caso de modificaciones de diseño involucrando el uso de tecnología digital, la respuesta correcta a algunas de estas preguntas puede resultar difícil de justificar adecuadamente. La experiencia ha demostrado discrepancias en cuanto a la interpretación de las cuestiones de la evaluación por parte del titular y del CSN, así como en ocasiones falta de profundidad o inadecuado alcance en los análisis realizados por el titular en soporte de la respuesta dada a las cuestiones planteadas.

La evaluación de seguridad de una modificación de diseño que incorpore componentes digitales se basa en una evaluación ingenieril, que requiere una identificación precisa de losfallos potenciales del nuevo equipo, de la probabilidad de ocurrencia de los fallos, y de las consecuencias de tales fallos en la función de diseño. El análisis de fallos delsistema se basa en una evaluación de la fiabilidad del sistema, normalmente cualitativa, basada en la calidad de diseño del soware y en las características del diseño final (capacidad detección de fallos, redundancia, experiencia operativa, complejidad, etc.).

El documento del Nuclear Energy Institute NEI 01-01 “Guideline on Licensing Digital Upgrades: EPRI-102348 to Reflect Changes to the 10 CFR 50.59 rule”,respaldado por la USNRC, trata en profundidad el proceso americano de gestión de las modificaciones de diseño, equivalente alrecogido en la IS-21, para el caso de sistemas digitales, y en ese sentido resulta una herramienta clarificadora y de gran utilidad como referencia en la realización de la evaluación de seguridad de un sistema digital.

Los desacuerdos entre elregulador y el titular sobre el análisis realizado, son, en ocasiones, difíciles de solventar una vez que la modificación ha sido implementada. En este sentido, el documento UNESA CEN-6 recomienda una interacción temprana titular–regulador para clarificar el proceso de licenciamiento aplicable en la modificación de un sistema digital. El documento UNESA CEN-6 “Guía para la implantación de sistema digitales en centrales nucleares”, es el fruto del proyecto de instrumentación digital que se desarrolló en España entre 1999 y 2002, y que contó con la participación deUNESA, los titulares de centrales nucleares y el CSN.

Su objetivo era analizar y elaborar una guía bajo la perspectiva de proporcionar una visión global de los aspectos más relevantes que lleva asociado el proceso de implantación de un sistema digital en sistemas de seguridad de centrales nucleares.

En la guía se establece un proceso general de licenciamiento de un sistema digital, orientado a una modificación involucrando un proyecto para la implantación de un sistema de amplio alcance y contemplando todo el proceso de desarrollo de soware, que establece la participación por etapas del organismo regulador, al objeto de planificar en una etapa temprana el alcance y requisitos para el licenciamiento.Otro de los aspectos tratados en la guía es la evaluación técnica de la modificación. La implantación de equipos digitales para aplicaciones de seguridad requiere una adecuada evaluación técnica, cuyo objeto es determinar el efecto de la presencia del soware en la función de seguridad. Esta evaluación técnica comprende: el análisis de fallos del sistema digital, una evaluación de la fiabilidad y un análisis de defensa en profundidad y diversidad.

La guía indica que el análisis de fallos tiene por objeto la detección de posibles modos de funcionamiento no deseados y que el riesgo asociado a la implementación del equipo digital está determinado por la probabilidad del fallo y sus consecuencias.

El objetivo de la evaluación de la fiabilidad es la valoración cualitativa de la probabilidad de fallo, determinando así la calidad del sistema digital. No existe ningún estándar definitivo que evalúe, de forma cuantitativa, la complejidad ni la importancia para la seguridad asociada a componentessoware. La guía indica que en la evaluación de la fiabilidad habrán de tomarse en consideración factores diversos: el proceso de diseño, la tolerancia al fallo, la experiencia operativa, la complejidad de los equipos y la capacidad de ser probados, entre otros.

Marco regulador en Estados Unidos

El marco regulador en Estados Unidos en cuanto al licenciamiento de sistemas digitales para su utilización en centrales nucleares es muy extenso. Comprende una gran cantidad de normativa, estándares de la industria respaldados por la USNRC y numerosa documentación de Eldocumento UNESA CEN-6‘Guíaparalaimplantación desistema digitalesen centrales nucleares’,en laimagen superior. referencia que desarrolla diversos aspectossobre el tema.

El NUREG-0800 Standard Review Plan for the Review of Safety Analysis Reports for Nuclear Power Plants: LWR Edition contempla, dentro de su capítulo 7, un apéndice exclusivamente dedicado al proceso de revisión de la USNRC en procesos de licenciamiento de sistemas digitales. En él se identifica la normativa y guías reguladoras aplicables a los distintos a aspectos de revisión para sistemas digitales.

Cabe destacar que este marco regulador americano se ha mantenido en constante evolución para hacerfrente a aquellasincertidumbres reguladoras detectadas en diversos aspectos asociados al licenciamiento de sistemas digitales de I&C.Eneste sentido, entre otras actuaciones, la USNRCpuso en marcha en 2007 el Digital Instrumentation and Controls Steering Committee, con la finalidad de proporcionar una visión para la formulación de una estrategia de modernización de la infraestructura reguladora en instrumentación y control digital, y el desarrollo y ejecución de un Plan Integrado deAcción que facilitase su puesta en marcha.

Grupo de trabajo internacional

El Nuclear Regulators Working Group (NRWG, porsussiglas en inglés) on Safety Critical Soware se creó en 1994 con el objetivo de hacer frente a la necesidad de comparar los procesos de licenciamiento de países de la Unión Europea y alcanzar una armonización progresiva de losrequisitos de seguridad y criterios aplicables en el proceso de licenciamiento de sistemas y equipos utilizando soware. Este grupo se mantiene activo en la actualidad.

Si bien inicialmente los participantes eran organismosreguladores de la Unión Europea, con el paso del tiempo se han ido incorporando al grupo de trabajo otros países, de forma que actualmente el grupo cuenta con la presencia de Bélgica, Alemania, Reino Unido, Suecia, Finlandia, Estados Unidos, Canadá, Corea del Sur, China y España, que ha sido miembro del grupo desde sus orígenes.

El resultado de las actividades del NRWG sobre soware crítico para la seguridad se plasma en el documento Licensing of safety critical software. Common positions of international nuclear regulators and authorised technical support organizations. Las sucesivas versiones del documento se han ido emitiendo conforme se han ido ampliando los temas relativos al licenciamiento del software que han sido tratados por el grupo. La última revisión del documento corresponde a la versión de 2018.

Este documento no debe ser entendido como una norma sino como una guía de aspectos asociados al licenciamiento de sistemas digitales, sobre los cuales se ha analizado el consenso existente entre los organismos reguladores.

El documento consta de dos partes, una (Generic Licensing Issues) donde se han ido incorporando y tratado aquellos aspectos específicos relativos al licenciamiento del soware que se han considerado de especial interés, y otra (Life Cycle Phase Licensing Issues) en la que se tratan los aspectos asociados al proceso de desarrollo delsoware, esto es, cada una de las fasesidentificadas ampliamente en la literatura internacional que conforman el ciclo de vida de desarrollo de un sistema digital.

En cuanto a la primera parte, los capítulos sobre aspectos concretos que forman parte de la revisión 2018 del documento abarcan:

• Demostración de la seguridad.
• Requisitos graduados, categorías de las funciones y clases de sistemas.
• Documentos estándar de referencia.
• Software pre-existente.
• Herramientas.
• Requerimientos organizacionales.
• Plan y programa de garantía de calidad del software.
• Seguridad.
• Métodosformales.
• Evaluación independiente.
• Sistemas relacionados con la seguridad y requisitos graduados.
• Diversidad en el diseño delsoftware.
• Fiabilidad del software.
• Uso de la experiencia operativa.
• Sensores y actuadores inteligentes.
• Equiposlógicos programables.
• Certificación porterceras partes.

Cada uno de los capítulos del ddel documento se estructura en cuatro apartados: ‘Rationale’, ‘Issues involved’, ‘Common position’ y ‘Recommended practices'.

El apartado Rationale está dedicado a enfocar el tema que es objeto del capítulo que se está tratando.

El apartado Issues involved tiene por objeto identificar aquellos aspectos del tema bajo tratamiento sobre los cuales se requiere, por su relevancia, prestar especial atención.

El apartado Common position identifica las conclusiones sobre el tema objeto del capítulo que gozan de la unanimidad por parte de todos los organismos reguladores

El apartado Recommended practices identifica aquellas conclusiones sobre el tema que, si bien no han sido acordadas por unanimidad por todos los organismos reguladores, se considera oportuno identificar porsu relevancia.

Deben destacarse algunas de las ideas recogidas en el capítulo dedicado a la demostración de la seguridad, que exponen directrices metodológicas para mejorar la eficacia del proceso de licenciamiento.

En ese capítulo, Safety Demostration, se establece que se debe acordar un Safety Plan entre el titular y elregulador desde el inicio de un proyecto involucrando sistemas digitales. Este plan identificará la forma en que se alcanzará la Safety Demostration. Se identificarán, asimismo, el tipo de evidencias que serán consideradas, y el cómo y cuándo se producirán.

Se identifican tres tipos básicos de evidencias que se deben obtener:

• Calidad del proceso de desarrollo del software.
• Adecuación del producto a la función a realizar.
• Competencia y cualificación del personal involucrado en cada una de las fases del ciclo de vida del sistema.

El documento refleja que pueden existir diferentes enfoques entre un titular y el regulador para alcanzar la Safety Demostration: •

• Enfoque basado en la regulación.
• Enfoque basado en el método de lastres piernas; evidencias relativas a demostrar la calidad del diseño, la calidad en la evaluación, y la calidad en las pruebas.
• Enfoque probabilista.

Como consecuencia de la revisión y comparativa de los procesos de licenciamiento aplicados en diferentes países se ha observado que no existe un método sistemático único y definido para demostrar la seguridad de los sistemas basados en software.

Un enfoque bien planificado puede contribuir a mejorar la calidad de la Safety Demostration y reducir sus costes. Sus beneficios asociados son:

• Centrar la atención en las cuestiones específicas de seguridad de mayor relevancia y en los requisitos del sistema que deben ser cumplidos.
• Realizar una priorización de los requisitos del sistema, y con ello una asignación de losrecursos acorde a esta priorización.
• Organizar los requisitos del sistema para que los argumentos y evidencias sobre el mismo se ajusten a lo que se entiende estrictamente necesario por todas las partes involucradas.

Se define la Safety Demostration como el conjunto de argumentos y evidencias que soportan un conjunto de premisassobre la fiabilidad de la operación de un sistema importante para la seguridad en el entorno operativo de la central.

Las premisas (claims) identificarán las propiedades funcionales y/o no funcionales que debe satisfacer el sistema. Estas premisas se pueden descomponer en varias sub-premisas (sub-claims) más simples, que a su vez se pueden seguir descomponiéndose en más subpremisas.Las premisas habrán de estar soportadas por evidencias (evidence), esto es, datos o hechossobre los que existe un acuerdo de aceptabilidad por todas las partes involucradas,sin necesidad de mayor evaluación.

Conclusiones

El licenciamiento de tecnología digital para aplicacionesrelacionadas con la seguridad en centrales nucleares es, probablemente, uno de los mayores retos a afrontar hoy en día tanto por los titulares como por el organismo regulador.

En este artículo, por consiguiente, se pone de manifiesto que el licenciamiento de un sistema o componente digital para su utilización en funciones de seguridad requiere llevar a cabo un proceso riguroso, en ocasiones muy complejo, abarcando y soportando todoslos aspectosimplicados en la utilización de tecnología digital, de manera que se construya una adecuada demostración de seguridad del producto que permita concluir, con una razonable confianza, tanto para el titular como para el regulador, que se trata de un producto con la calidad adecuada para realizarsatisfactoriamente la funciónde seguridad asociada al mismo. La adecuada construcción de esta rigurosa demostración de seguridadeslo que, enúltimo término,permitirá incrementar la eficacia del proceso de licenciamiento, con el consecuente beneficio que ello implica tanto para lostitulares como para el organismo regulador.