本文選自國家級期刊《農電管理》，　期刊簡介：國內刊號：CN：11-3778/D，國際刊號：ISSN：1672-2450。由中國科學技術學會主管，中國電機工程學會主辦.讀者對象為供電企業的管理人員，包括：企業管理、人力資源、電力行業政策研究、會議報道、營銷與服務、人物、消息等。

　　摘要：核電廠保護系統的可靠性直接影響核電廠的安全運行，如何保證保護系統的可靠性是系統設計必須解決的問題。FMEA是在產品設計開發過程中定位潛在故障的分析方法，在保護系統的設計開發過程中采用FMEA可以有效地消除或避免故障起因，預先確定或檢測故障，減小故障的影響，從而提高核電廠保護系統的可靠性，保證核電廠安全。

　　關鍵詞：反應堆保護系統,FMEA,風險評估

　　1、引言

　　核電廠保護系統探測電廠異常工況，并驅動適當的安全功能以實現并維持電廠的安全停堆工況，保證核電廠三大屏障的完整性。由于核電廠保護系統直接關系著核電廠的安全，必須嚴格執行“預防措施”，工程設計中最有效的、最全面的方式就是采用故障模式和影響分析(FMEA)進行可靠性分析。FMEA對各種可能的風險進行評價、分析，并對各種故障進行嚴重程度分級，確定薄弱環節，以便在現有的技術和基礎上預防或減輕這些風險。

　　反應堆保護系統是核電廠重要的1E級安全儀控系統，產生觸發安全驅動器和安全系統支持（輔助）設施動作所需驅動信號，防止反應堆狀態超過規定的安全限值、或減輕超過安全限值后果的系統。它包括從過程變量的測量，到產生保護動作信號的所有有關的電氣和機械裝置和線路[1]。

　　3、故障模式和影響分析概述

　　在產品設計和制造時，通常有三道控制缺陷的步驟：避免或消除故障起因、預先確定或檢測故障、減少故障的影響和后果。FMEA是幫助我們從第一道防線就將缺陷消滅在搖籃之中的有效工具。

　　FMEA是一種定性可靠性分析方法，也是FMA（故障模式分析）和FEA（故障影響分析）的組合。它對各種可能的風險進行評價、分析，以便在現有技術的基礎上消除這些風險或將這些風險減小到可接受的水平。及時性是成功實施FMEA的最重要因素之一，它是一個“事前的行為”，而不是“事后的行為”。為達到最佳效益，FMEA必須在故障模式被引入產品之前進行。

　　3.1、FMEA的目的

　　ANSI/IEEE352-1987確定的FMEA目的[2]如下：

　　a.在設計的早期階段，有助于選擇高可靠性和高安全性的設計方案

　　b.確保考慮到所有可以想到的故障模式和它們對系統正常運行的影響

　　c.列舉潛在故障和確定它們的影響程度

　　d.為試驗計劃、設計試驗和校檢系統建立早期的準則

　　e.為定量可靠性和可用性分析提供依據

　　f.提供歷史文檔用于后續參考，幫助分析現場故障和考慮設計變更

　　g.為比較研究提供輸入數據

　　h.為建立校正措施的優先權提供依據

　　i.有助于客觀地評價涉及到多重性、故障探測系統、故障安全特性和自動和手動操作超越的設計要求。

　　3.2、FMEA的組成

　　FMEA實際是一組系列化的活動，其過程包括：找出產品/過程中潛在的故障模式；根據相應的評價體系對找出的潛在故障模式進行風險量化評估；列出故障起因/機理，尋找預防或改進措施。

　　由于產品故障可能與設計、制造過程、使用、供貨商以及服務有關，因此FMEA又分為：

　　lDFMEA：設計FMEA

　　lPFMEA：過程FMEA

　　由于過程FMEA需要考慮從單個零件到整個系統的所有制造過程，其評價與分析的對象是所有新的部件/過程、更改過的部件/過程及應用或環境有變化的原有部件/過程，所以對于體系結構龐大、組件眾多的核電廠保護系統全部進行PFMEA是不切實際的，因此，核電廠的反應堆保護系統一般采用DFMEA。

　　DFMEA應在一個設計概念形成之時或之前開始，在產品開發各階段中，當設計有變化時及時修改，并在圖樣加工完成之前結束。其評價與分析的對象是最終的產品以及每個與之相關的系統、子系統和零部件。需要注意的是，DFMEA在體現設計意圖的同時還應保證制造或裝配能夠實現設計意圖。因此，雖然DFMEA不是靠過程控制來克服設計中的缺陷，但其可以考慮制造/裝配過程中技術的/客觀的限制，從而為過程控制提供了良好的基礎。進行DFMEA有助于：

　　l設計要求與設計方案的相互權衡；

　　l提高在設計開發過程中考慮潛在故障模式及其對系統和產品影響的可能性；

　　l為制定全面、有效的設計試驗計劃和開發項目提供更多的信息；

　　l建立一套改進設計和開發試驗的優先控制系統；

　　l為將來分析研究現場情況、評價設計的更改以及開發更先進的設計提供參考。

　　4、FMEA方法

　　4.1、FMEA分析形式

　　FMEA是一種分析的技術，通常在一張表單上進行分析并加以控制和應用，該表單的一般形式由美國三大汽車廠商（戴姆勒－克萊斯勒、福特、通用）在《故障模式和影響分析》一書中確定。

　　核電廠保護系統的FMEA主要包括以下內容：

　　1)設備：分析的對象；

　　2)故障模式：不執行特定功能的設備故障的定義，在適當的地方需要辨別可能的差別（比如：故障高或者故障低）；

　　3)故障起因或機理：引起故障的原因或機理；

　　4)故障現象和局部效應包括伴生故障：故障對設備或者其它的附屬設備的影響；

　　5)對保護功能的影響：故障對于完成保護功能的能力的影響，包括性能的退化或者多重度的降低；

　　6)探測方法：引起電廠運行維護人員注意的故障探測方法；

　　7)故障分級：區分故障的危險程度和可探測能力。

　　4.2、反應堆保護系統的FMEA深度

　　對組件或裝置的故障模式的分析深度一般包括該設備對功能的影響。所以，對于數字化I&C系統和模擬I&C系統的分析深度應有所區別。

　　對于數字化I&C技術，FMEA確定到單個設備和它們特定的故障模式（短路、開路，數值變化等）是不切實際的。所以，采用更為可行的分析方法是更抽象的程度。例如，對于一個包括處理器、I/O的組件，故障分析更應是：不能夠執行存儲的程序，數據訪問出錯等，而不是元器件的開路或短路。

　　而對于模擬的I&C技術，由于元器件的短路、開路和數值變化會直接影響保護系統執行其功能的能力，所以模擬I&C系統的故障模式主要是元器件故障。

　　4.2、反應堆保護系統的FMEA流程

　　1)確定FMEA團隊

　　若問題無法獨立解決時，通知有關的人員組成FMEA團隊，要求團隊的成員必需有執行能力，例如：了解保護系統結構或者熟悉保護系統硬件設計等。

　　2)定義FMEA范圍

　　在正式開始FMEA前，必須確定FMEA的范圍，理解評估對象。一般來說，作為最終安全分析報告支持性材料的FMEA的范圍是整個保護系統，包括其中的所有子系統和設備。在進行系統級的FMEA時，必須考慮一些子系統或者部件故障導致的系統故障模式，如圖4-1所示。

　　3)確定用戶

　　在FMEA過程中需要考慮四個主要用戶：最終用戶、OEM組裝和制造中心、供貨商和審查人員。

　　4)確定功能、要求和規范

　　該活動的目的是闡明系統設計的目的，幫助確定系統功能的潛在故障模式。

　　5)確定潛在的故障模式

　　故障模式應以一種技術的角度描述。確定故障模式沒有特定的方法，通常是由具有經驗的設計人員提出。也可通過供應商的洞察力確定保護系統中不同組件對異常信號的響應，以及確定通過何種方法可以探測到缺陷。

　　在某些情況下，可以將組件分成幾個子組件對組件的故障模式做出更深層次的說明。例如：將CPU組件分為功能處理器部分和通信處理器部分。

　　圖4-1與上級系統相關的故障機制

　　6)確定潛在的影響

　　故障的潛在影響是以用戶關注或體驗到的結果來描述的，確定潛在的影響包括對影響的嚴重程度進行分析。

　　7)確定誘因

　　確定故障最根本的原因可以幫助擬定合適的對策，對于由多個誘因引起的故障模式，應對每個誘因進行分析。

　　8)確定控制方法

　　控制方法指的是預防和探測故障的方法，包括定期監督試驗、故障報警等方法。

　　9)確定和評估風險

　　FMEA表格中應對每一種故障進行分級，通過關注故障對系統完成它所需的安全功能的危險程度、故障診斷的效果以及暴露故障的監督試驗，確定重大故障。風險評估通常使用三種方法：嚴重程度（S）、發生頻率（O）和探測能力（D）。

　　在風險評估之前，需要把嚴重程度、探測能力和發生頻率進行分級評分，嚴重程度越高，發生頻率越高或者越不容易探測則對應更高的數值。下表給出了故障的嚴重程度、可探測性和發生頻率的一種分級方法，各項對應的最高分數是10分，最低分數為1分。

　　表4-1故障嚴重程度分級

　　分級含義

　　10該故障的后果直接導致人員死亡

　　9放射性或者其它危險物質大量釋放，造成人員損傷

　　8電廠安全功能全部喪失或者設備的損傷需要高額修復費用

　　7驅動反應堆停堆、汽輪機停機或者ESF功能

　　6產生電廠瞬態，導致安全系統動作

　　5導致技術規格書中的限制工況，需馬上動作（<1小時）改變電廠模式

　　4直接引起或需要操縱員干預，功率下降大于5%

　　3喪失非關鍵的I&C功能，其它故障續操縱員短期干預；允許發生有足夠恢復時間的限制工況；喪失一個序列的電廠安全功能

　　2不直接喪失功能，當發生額外故障時多重性降低

　　1不喪失I&C功能

　　表4-2故障探測能力分級

　　分級含義

　　10只有拆卸組件后才能發現故障

　　9通過電廠計劃的監督試驗程序之外的現場試驗發現

　　8通過電廠計劃的試驗程序揭示，但不是通過診斷揭示的

　　7不會喪失功能，在發生額外的故障時揭示

　　6通過操縱員的觀察，但不是通過故障指示顯示

　　5故障通過電廠設備隨后的動作（閥門動作，斷路器觸發等）自我探測

　　4通過診斷顯示，控制模式性能退化

　　3通過診斷顯示，需要起動系統的默認動作

　　2通過診斷顯示，在規定的試驗周期內執行的有計劃的監督實驗定位故障

　　1通過診斷顯示，狀態指示可定位故障

　　表4-3故障發生頻率分級

　　分級發生頻率典型的故障模式

　　10~1/d人因過失

　　9~1/m消耗型設備(如：電池)

　　8~1/y頻繁動作的部件(如：磁盤驅動器)

　　710-4~10-5/h復雜的電子器件(如：處理器)

　　610-5~10-6/h一般的電子組件(I/O組件)

　　510-6~10-7/h由被動的電子器件組成的簡單組件(終端單元)或多通道I/O組件中的一個通道故障

　　410-7~10-8/h低使用率的單個電子組件

　　310-8~10-9/h沒有經過老化處理的被動設備(如：電纜)

　　210-9~10-10/h單個設備不可信的故障模式

　　1<10-10/h不可信故障

　　風險評估一般通過計算風險優先數（RPN）進行，RPN是事件的嚴重程度、發生頻率和探測能力三者的乘積：

　　RPN=S×O×D（1）

　　RPN的分值越高，該故障的風險等級就越高，在FMEA時需要特別加以關注。雖然上表給出了典型故障模式的發生概率，但對復雜程度很高的保護系統組件計算其故障概率是十分費時費力的，所以在核電廠保護系統的FMEA中一般只使用嚴重程度和可探測性這兩個風險指標，并使用RPN的另外一種計算方法：

　　RPN=S×10+D（2）

　　該方法是在發生概率難以計算的情況下的一種折中的方法，也可以反應故障的風險等級。但該計算方法中嚴重程度的權重較高，不利于風險評估。

　　10)建議的動作和結果

　　建議的動作和結果用于減少風險和減少風險的可能性。可用下列方法檢查建議的動作是否已實施：

　　l確保滿足設計要求

　　l審查工程圖紙和規范

　　l審查相關的FMEA、控制計劃和運行說明等

　　4.3、反應堆保護系統的FMEA實例

　　下面分別給出模擬保護系統和數字化保護系統FMEA表格中的一部分：

　　表4-3模擬保護系統FMEA表格

　　名稱故障模式原因故障現象和局部效應

　　包括伴生故障探測方法內部補償措施對保護系統的影響

　　高整定值定值器整定電壓故障開路（高電平）元器件故障，整定調節低電平端開路定值器的整定值恒定在高電平，即使監測變量真實值增高越限，定值器也不改變邏輯狀態和不觸發通道動作定期試驗3個通道多重相應的2/4局部符合邏輯轉換成2/3

　　通過這個表格可以看出，模擬保護系統FMEA主要分析的是元器件故障，故障的影響一般可由多重序列阻止，即使在某個序列喪失功能后，依然可以完成保護功能。

　　表4-4數字化保護系統FMEA表格

　　設備故障模式故障現象和局部效應包括伴生故障對保護功能的

　　影響探測方法

　　定值邏輯處理器組件功能處理器故障未能執行程序指令處理器停止（執行指令），送至試驗處理器的實時狀態信號停止局部符合邏輯使用受影響序列中其它定值邏輯處理器中的數據；不會喪失功能由試驗處理器通過系統總線探測處理器功能喪失；發出故障報

　　以上兩張表格分別截取自國內某兩個核電廠的保護系統的FMEA報告，從上述表格中可以看出，數字化保護保護系統和模擬保護系統一樣，都是通過多重序列阻止多數故障所造成的影響。不過，由于采用了數字化技術，數字化保護系統的故障探測能力，可操作維修能力比起模擬系統都有了很大的提高。

　　5、結論與展望

　　從保護系統的FMEA表格中可以看出，在保護系統的設計和開發過程中執行FMEA，可以有效的消除或避免故障原因，預先確定或檢測故障，減小故障的影響。通過貫徹故障安全等準則，即使發生了嚴重程度最高的故障，也可以保證核電廠的安全。通過對不同的故障模式進行分級，可以快速、方便的確定高風險故障，不過在沒有給出故障概率的情況下，風險等級的主要依賴于故障的嚴重程度，這樣不利于區分同一嚴重程度的故障，可以考慮在FMEA表格中加入失效概率這一因子，根據SOD算式計算出更加完整的風險等級。

　　參考文件：

　　[1].HAD102核安全導則匯編

　　[2].ANSI/IEEE352-1987

　　[3].PotentialFailureModeandEffectsAnalysisReferenceManualFourthEdition