本文選自國家級期刊《農(nóng)電管理》，　期刊簡介：國內(nèi)刊號：CN：11-3778/D，國際刊號：ISSN：1672-2450。由中國科學技術(shù)學會主管，中國電機工程學會主辦.讀者對象為供電企業(yè)的管理人員，包括：企業(yè)管理、人力資源、電力行業(yè)政策研究、會議報道、營銷與服務(wù)、人物、消息等。

　　摘要：核電廠保護系統(tǒng)的可靠性直接影響核電廠的安全運行，如何保證保護系統(tǒng)的可靠性是系統(tǒng)設(shè)計必須解決的問題。FMEA是在產(chǎn)品設(shè)計開發(fā)過程中定位潛在故障的分析方法，在保護系統(tǒng)的設(shè)計開發(fā)過程中采用FMEA可以有效地消除或避免故障起因，預先確定或檢測故障，減小故障的影響，從而提高核電廠保護系統(tǒng)的可靠性，保證核電廠安全。

　　關(guān)鍵詞：反應(yīng)堆保護系統(tǒng),FMEA,風險評估

　　1、引言

　　核電廠保護系統(tǒng)探測電廠異常工況，并驅(qū)動適當?shù)陌踩�功能以實現(xiàn)并維持電廠的安全停堆工況，保證核電廠三大屏障的完整性。由于核電廠保護系統(tǒng)直接關(guān)系著核電廠的安全，必須嚴格執(zhí)行“預防措施”，工程設(shè)計中最有效的、最全面的方式就是采用故障模式和影響分析(FMEA)進行可靠性分析。FMEA對各種可能的風險進行評價、分析，并對各種故障進行嚴重程度分級，確定薄弱環(huán)節(jié)，以便在現(xiàn)有的技術(shù)和基礎(chǔ)上預防或減輕這些風險。

　　反應(yīng)堆保護系統(tǒng)是核電廠重要的1E級安全儀控系統(tǒng)，產(chǎn)生觸發(fā)安全驅(qū)動器和安全系統(tǒng)支持（輔助）設(shè)施動作所需驅(qū)動信號，防止反應(yīng)堆狀態(tài)超過規(guī)定的安全限值、或減輕超過安全限值后果的系統(tǒng)。它包括從過程變量的測量，到產(chǎn)生保護動作信號的所有有關(guān)的電氣和機械裝置和線路[1]。

　　3、故障模式和影響分析概述

　　在產(chǎn)品設(shè)計和制造時，通常有三道控制缺陷的步驟：避免或消除故障起因、預先確定或檢測故障、減少故障的影響和后果。FMEA是幫助我們從第一道防線就將缺陷消滅在搖籃之中的有效工具。

　　FMEA是一種定性可靠性分析方法，也是FMA（故障模式分析）和FEA（故障影響分析）的組合。它對各種可能的風險進行評價、分析，以便在現(xiàn)有技術(shù)的基礎(chǔ)上消除這些風險或?qū)⑦@些風險減小到可接受的水平。及時性是成功實施FMEA的最重要因素之一，它是一個“事前的行為”，而不是“事后的行為”。為達到最佳效益，F(xiàn)MEA必須在故障模式被引入產(chǎn)品之前進行。

　　3.1、FMEA的目的

　　ANSI/IEEE352-1987確定的FMEA目的[2]如下：

　　a.在設(shè)計的早期階段，有助于選擇高可靠性和高安全性的設(shè)計方案

　　b.確保考慮到所有可以想到的故障模式和它們對系統(tǒng)正常運行的影響

　　c.列舉潛在故障和確定它們的影響程度

　　d.為試驗計劃、設(shè)計試驗和校檢系統(tǒng)建立早期的準則

　　e.為定量可靠性和可用性分析提供依據(jù)

　　f.提供歷史文檔用于后續(xù)參考，幫助分析現(xiàn)場故障和考慮設(shè)計變更

　　g.為比較研究提供輸入數(shù)據(jù)

　　h.為建立校正措施的優(yōu)先權(quán)提供依據(jù)

　　i.有助于客觀地評價涉及到多重性、故障探測系統(tǒng)、故障安全特性和自動和手動操作超越的設(shè)計要求。

　　3.2、FMEA的組成

　　FMEA實際是一組系列化的活動，其過程包括：找出產(chǎn)品/過程中潛在的故障模式；根據(jù)相應(yīng)的評價體系對找出的潛在故障模式進行風險量化評估；列出故障起因/機理，尋找預防或改進措施。

　　由于產(chǎn)品故障可能與設(shè)計、制造過程、使用、供貨商以及服務(wù)有關(guān)，因此FMEA又分為：

　　lDFMEA：設(shè)計FMEA

　　lPFMEA：過程FMEA

　　由于過程FMEA需要考慮從單個零件到整個系統(tǒng)的所有制造過程，其評價與分析的對象是所有新的部件/過程、更改過的部件/過程及應(yīng)用或環(huán)境有變化的原有部件/過程，所以對于體系結(jié)構(gòu)龐大、組件眾多的核電廠保護系統(tǒng)全部進行PFMEA是不切實際的，因此，核電廠的反應(yīng)堆保護系統(tǒng)一般采用DFMEA。

　　DFMEA應(yīng)在一個設(shè)計概念形成之時或之前開始，在產(chǎn)品開發(fā)各階段中，當設(shè)計有變化時及時修改，并在圖樣加工完成之前結(jié)束。其評價與分析的對象是最終的產(chǎn)品以及每個與之相關(guān)的系統(tǒng)、子系統(tǒng)和零部件。需要注意的是，DFMEA在體現(xiàn)設(shè)計意圖的同時還應(yīng)保證制造或裝配能夠?qū)崿F(xiàn)設(shè)計意圖。因此，雖然DFMEA不是靠過程控制來克服設(shè)計中的缺陷，但其可以考慮制造/裝配過程中技術(shù)的/客觀的限制，從而為過程控制提供了良好的基礎(chǔ)。進行DFMEA有助于：

　　l設(shè)計要求與設(shè)計方案的相互權(quán)衡；

　　l提高在設(shè)計開發(fā)過程中考慮潛在故障模式及其對系統(tǒng)和產(chǎn)品影響的可能性；

　　l為制定全面、有效的設(shè)計試驗計劃和開發(fā)項目提供更多的信息；

　　l建立一套改進設(shè)計和開發(fā)試驗的優(yōu)先控制系統(tǒng)；

　　l為將來分析研究現(xiàn)場情況、評價設(shè)計的更改以及開發(fā)更先進的設(shè)計提供參考。

　　4、FMEA方法

　　4.1、FMEA分析形式

　　FMEA是一種分析的技術(shù)，通常在一張表單上進行分析并加以控制和應(yīng)用，該表單的一般形式由美國三大汽車廠商（戴姆勒－克萊斯勒、福特、通用）在《故障模式和影響分析》一書中確定。

　　核電廠保護系統(tǒng)的FMEA主要包括以下內(nèi)容：

　　1)設(shè)備：分析的對象；

　　2)故障模式：不執(zhí)行特定功能的設(shè)備故障的定義，在適當?shù)牡胤叫枰�辨別可能的差別（比如：故障高或者故障低）；

　　3)故障起因或機理：引起故障的原因或機理；

　　4)故障現(xiàn)象和局部效應(yīng)包括伴生故障：故障對設(shè)備或者其它的附屬設(shè)備的影響；

　　5)對保護功能的影響：故障對于完成保護功能的能力的影響，包括性能的退化或者多重度的降低；

　　6)探測方法：引起電廠運行維護人員注意的故障探測方法；

　　7)故障分級：區(qū)分故障的危險程度和可探測能力。

　　4.2、反應(yīng)堆保護系統(tǒng)的FMEA深度

　　對組件或裝置的故障模式的分析深度一般包括該設(shè)備對功能的影響。所以，對于數(shù)字化I&C系統(tǒng)和模擬I&C系統(tǒng)的分析深度應(yīng)有所區(qū)別。

　　對于數(shù)字化I&C技術(shù)，F(xiàn)MEA確定到單個設(shè)備和它們特定的故障模式（短路、開路，數(shù)值變化等）是不切實際的。所以，采用更為可行的分析方法是更抽象的程度。例如，對于一個包括處理器、I/O的組件，故障分析更應(yīng)是：不能夠執(zhí)行存儲的程序，數(shù)據(jù)訪問出錯等，而不是元器件的開路或短路。

　　而對于模擬的I&C技術(shù)，由于元器件的短路、開路和數(shù)值變化會直接影響保護系統(tǒng)執(zhí)行其功能的能力，所以模擬I&C系統(tǒng)的故障模式主要是元器件故障。

　　4.2、反應(yīng)堆保護系統(tǒng)的FMEA流程

　　1)確定FMEA團隊

　　若問題無法獨立解決時，通知有關(guān)的人員組成FMEA團隊，要求團隊的成員必需有執(zhí)行能力，例如：了解保護系統(tǒng)結(jié)構(gòu)或者熟悉保護系統(tǒng)硬件設(shè)計等。

　　2)定義FMEA范圍

　　在正式開始FMEA前，必須確定FMEA的范圍，理解評估對象。一般來說，作為最終安全分析報告支持性材料的FMEA的范圍是整個保護系統(tǒng)，包括其中的所有子系統(tǒng)和設(shè)備。在進行系統(tǒng)級的FMEA時，必須考慮一些子系統(tǒng)或者部件故障導致的系統(tǒng)故障模式，如圖4-1所示。

　　3)確定用戶

　　在FMEA過程中需要考慮四個主要用戶：最終用戶、OEM組裝和制造中心、供貨商和審查人員。

　　4)確定功能、要求和規(guī)范

　　該活動的目的是闡明系統(tǒng)設(shè)計的目的，幫助確定系統(tǒng)功能的潛在故障模式。

　　5)確定潛在的故障模式

　　故障模式應(yīng)以一種技術(shù)的角度描述。確定故障模式?jīng)]有特定的方法，通常是由具有經(jīng)驗的設(shè)計人員提出。也可通過供應(yīng)商的洞察力確定保護系統(tǒng)中不同組件對異常信號的響應(yīng)，以及確定通過何種方法可以探測到缺陷。

　　在某些情況下，可以將組件分成幾個子組件對組件的故障模式做出更深層次的說明。例如：將CPU組件分為功能處理器部分和通信處理器部分。

　　圖4-1與上級系統(tǒng)相關(guān)的故障機制

　　6)確定潛在的影響

　　故障的潛在影響是以用戶關(guān)注或體驗到的結(jié)果來描述的，確定潛在的影響包括對影響的嚴重程度進行分析。

　　7)確定誘因

　　確定故障最根本的原因可以幫助擬定合適的對策，對于由多個誘因引起的故障模式，應(yīng)對每個誘因進行分析。

　　8)確定控制方法

　　控制方法指的是預防和探測故障的方法，包括定期監(jiān)督試驗、故障報警等方法。

　　9)確定和評估風險

　　FMEA表格中應(yīng)對每一種故障進行分級，通過關(guān)注故障對系統(tǒng)完成它所需的安全功能的危險程度、故障診斷的效果以及暴露故障的監(jiān)督試驗，確定重大故障。風險評估通常使用三種方法：嚴重程度（S）、發(fā)生頻率（O）和探測能力（D）。

　　在風險評估之前，需要把嚴重程度、探測能力和發(fā)生頻率進行分級評分，嚴重程度越高，發(fā)生頻率越高或者越不容易探測則對應(yīng)更高的數(shù)值。下表給出了故障的嚴重程度、可探測性和發(fā)生頻率的一種分級方法，各項對應(yīng)的最高分數(shù)是10分，最低分數(shù)為1分。

　　表4-1故障嚴重程度分級

　　分級含義

　　10該故障的后果直接導致人員死亡

　　9放射性或者其它危險物質(zhì)大量釋放，造成人員損傷

　　8電廠安全功能全部喪失或者設(shè)備的損傷需要高額修復費用

　　7驅(qū)動反應(yīng)堆停堆、汽輪機停機或者ESF功能

　　6產(chǎn)生電廠瞬態(tài)，導致安全系統(tǒng)動作

　　5導致技術(shù)規(guī)格書中的限制工況，需馬上動作（<1小時）改變電廠模式

　　4直接引起或需要操縱員干預，功率下降大于5%

　　3喪失非關(guān)鍵的I&C功能，其它故障續(xù)操縱員短期干預；允許發(fā)生有足夠恢復時間的限制工況；喪失一個序列的電廠安全功能

　　2不直接喪失功能，當發(fā)生額外故障時多重性降低

　　1不喪失I&C功能

　　表4-2故障探測能力分級

　　分級含義

　　10只有拆卸組件后才能發(fā)現(xiàn)故障

　　9通過電廠計劃的監(jiān)督試驗程序之外的現(xiàn)場試驗發(fā)現(xiàn)

　　8通過電廠計劃的試驗程序揭示，但不是通過診斷揭示的

　　7不會喪失功能，在發(fā)生額外的故障時揭示

　　6通過操縱員的觀察，但不是通過故障指示顯示

　　5故障通過電廠設(shè)備隨后的動作（閥門動作，斷路器觸發(fā)等）自我探測

　　4通過診斷顯示，控制模式性能退化

　　3通過診斷顯示，需要起動系統(tǒng)的默認動作

　　2通過診斷顯示，在規(guī)定的試驗周期內(nèi)執(zhí)行的有計劃的監(jiān)督實驗定位故障

　　1通過診斷顯示，狀態(tài)指示可定位故障

　　表4-3故障發(fā)生頻率分級

　　分級發(fā)生頻率典型的故障模式

　　10~1/d人因過失

　　9~1/m消耗型設(shè)備(如：電池)

　　8~1/y頻繁動作的部件(如：磁盤驅(qū)動器)

　　710-4~10-5/h復雜的電子器件(如：處理器)

　　610-5~10-6/h一般的電子組件(I/O組件)

　　510-6~10-7/h由被動的電子器件組成的簡單組件(終端單元)或多通道I/O組件中的一個通道故障

　　410-7~10-8/h低使用率的單個電子組件

　　310-8~10-9/h沒有經(jīng)過老化處理的被動設(shè)備(如：電纜)

　　210-9~10-10/h單個設(shè)備不可信的故障模式

　　1<10-10/h不可信故障

　　風險評估一般通過計算風險優(yōu)先數(shù)（RPN）進行，RPN是事件的嚴重程度、發(fā)生頻率和探測能力三者的乘積：

　　RPN=S×O×D（1）

　　RPN的分值越高，該故障的風險等級就越高，在FMEA時需要特別加以關(guān)注。雖然上表給出了典型故障模式的發(fā)生概率，但對復雜程度很高的保護系統(tǒng)組件計算其故障概率是十分費時費力的，所以在核電廠保護系統(tǒng)的FMEA中一般只使用嚴重程度和可探測性這兩個風險指標，并使用RPN的另外一種計算方法：

　　RPN=S×10+D（2）

　　該方法是在發(fā)生概率難以計算的情況下的一種折中的方法，也可以反應(yīng)故障的風險等級。但該計算方法中嚴重程度的權(quán)重較高，不利于風險評估。

　　10)建議的動作和結(jié)果

　　建議的動作和結(jié)果用于減少風險和減少風險的可能性。可用下列方法檢查建議的動作是否已實施：

　　l確保滿足設(shè)計要求

　　l審查工程圖紙和規(guī)范

　　l審查相關(guān)的FMEA、控制計劃和運行說明等

　　4.3、反應(yīng)堆保護系統(tǒng)的FMEA實例

　　下面分別給出模擬保護系統(tǒng)和數(shù)字化保護系統(tǒng)FMEA表格中的一部分：

　　表4-3模擬保護系統(tǒng)FMEA表格

　　名稱故障模式原因故障現(xiàn)象和局部效應(yīng)

　　包括伴生故障探測方法內(nèi)部補償措施對保護系統(tǒng)的影響

　　高整定值定值器整定電壓故障開路（高電平）元器件故障，整定調(diào)節(jié)低電平端開路定值器的整定值恒定在高電平，即使監(jiān)測變量真實值增高越限，定值器也不改變邏輯狀態(tài)和不觸發(fā)通道動作定期試驗3個通道多重相應(yīng)的2/4局部符合邏輯轉(zhuǎn)換成2/3

　　通過這個表格可以看出，模擬保護系統(tǒng)FMEA主要分析的是元器件故障，故障的影響一般可由多重序列阻止，即使在某個序列喪失功能后，依然可以完成保護功能。

　　表4-4數(shù)字化保護系統(tǒng)FMEA表格

　　設(shè)備故障模式故障現(xiàn)象和局部效應(yīng)包括伴生故障對保護功能的

　　影響探測方法

　　定值邏輯處理器組件功能處理器故障未能執(zhí)行程序指令處理器停止（執(zhí)行指令），送至試驗處理器的實時狀態(tài)信號停止局部符合邏輯使用受影響序列中其它定值邏輯處理器中的數(shù)據(jù)；不會喪失功能由試驗處理器通過系統(tǒng)總線探測處理器功能喪失；發(fā)出故障報

　　以上兩張表格分別截取自國內(nèi)某兩個核電廠的保護系統(tǒng)的FMEA報告，從上述表格中可以看出，數(shù)字化保護保護系統(tǒng)和模擬保護系統(tǒng)一樣，都是通過多重序列阻止多數(shù)故障所造成的影響。不過，由于采用了數(shù)字化技術(shù)，數(shù)字化保護系統(tǒng)的故障探測能力，可操作維修能力比起模擬系統(tǒng)都有了很大的提高。

　　5、結(jié)論與展望

　　從保護系統(tǒng)的FMEA表格中可以看出，在保護系統(tǒng)的設(shè)計和開發(fā)過程中執(zhí)行FMEA，可以有效的消除或避免故障原因，預先確定或檢測故障，減小故障的影響。通過貫徹故障安全等準則，即使發(fā)生了嚴重程度最高的故障，也可以保證核電廠的安全。通過對不同的故障模式進行分級，可以快速、方便的確定高風險故障，不過在沒有給出故障概率的情況下，風險等級的主要依賴于故障的嚴重程度，這樣不利于區(qū)分同一嚴重程度的故障，可以考慮在FMEA表格中加入失效概率這一因子，根據(jù)SOD算式計算出更加完整的風險等級。

　　參考文件：

　　[1].HAD102核安全導則匯編

　　[2].ANSI/IEEE352-1987

　　[3].PotentialFailureModeandEffectsAnalysisReferenceManualFourthEdition