FMEA在核電廠保護(hù)系統(tǒng)有效地消除或避免故障起因

　　關(guān)鍵詞：反應(yīng)堆保護(hù)系統(tǒng),FMEA,風(fēng)險(xiǎn)評(píng)估

　　1、引言

　　核電廠保護(hù)系統(tǒng)探測(cè)電廠異常工況，并驅(qū)動(dòng)適當(dāng)?shù)陌踩�功能以�?shí)現(xiàn)并維持電廠的安全停堆工況，保證核電廠三大屏障的完整性。由于核電廠保護(hù)系統(tǒng)直接關(guān)系著核電廠的安全，必須嚴(yán)格執(zhí)行“預(yù)防措施”，工程設(shè)計(jì)中最有效的、最全面的方式就是采用故障模式和影響分析(FMEA)進(jìn)行可靠性分析。FMEA對(duì)各種可能的風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)、分析，并對(duì)各種故障進(jìn)行嚴(yán)重程度分級(jí)，確定薄弱環(huán)節(jié)，以便在現(xiàn)有的技術(shù)和基礎(chǔ)上預(yù)防或減輕這些風(fēng)險(xiǎn)。

　　反應(yīng)堆保護(hù)系統(tǒng)是核電廠重要的1E級(jí)安全儀控系統(tǒng)，產(chǎn)生觸發(fā)安全驅(qū)動(dòng)器和安全系統(tǒng)支持（輔助）設(shè)施動(dòng)作所需驅(qū)動(dòng)信號(hào)，防止反應(yīng)堆狀態(tài)超過(guò)規(guī)定的安全限值、或減輕超過(guò)安全限值后果的系統(tǒng)。它包括從過(guò)程變量的測(cè)量，到產(chǎn)生保護(hù)動(dòng)作信號(hào)的所有有關(guān)的電氣和機(jī)械裝置和線路[1]。

　　3、故障模式和影響分析概述

　　在產(chǎn)品設(shè)計(jì)和制造時(shí)，通常有三道控制缺陷的步驟：避免或消除故障起因、預(yù)先確定或檢測(cè)故障、減少故障的影響和后果。FMEA是幫助我們從第一道防線就將缺陷消滅在搖籃之中的有效工具。

　　FMEA是一種定性可靠性分析方法，也是FMA（故障模式分析）和FEA（故障影響分析）的組合。它對(duì)各種可能的風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)、分析，以便在現(xiàn)有技術(shù)的基礎(chǔ)上消除這些風(fēng)險(xiǎn)或?qū)⑦@些風(fēng)險(xiǎn)減小到可接受的水平。及時(shí)性是成功實(shí)施FMEA的最重要因素之一，它是一個(gè)“事前的行為”，而不是“事后的行為”。為達(dá)到最佳效益，F(xiàn)MEA必須在故障模式被引入產(chǎn)品之前進(jìn)行。

　　3.1、FMEA的目的

　　ANSI/IEEE352-1987確定的FMEA目的[2]如下：

　　a.在設(shè)計(jì)的早期階段，有助于選擇高可靠性和高安全性的設(shè)計(jì)方案

　　b.確�？紤]到所有可以想到的故障模式和它們對(duì)系統(tǒng)正常運(yùn)行的影響

　　c.列舉潛在故障和確定它們的影響程度

　　d.為試驗(yàn)計(jì)劃、設(shè)計(jì)試驗(yàn)和校檢系統(tǒng)建立早期的準(zhǔn)則

　　e.為定量可靠性和可用性分析提供依據(jù)

　　f.提供歷史文檔用于后續(xù)參考，幫助分析現(xiàn)場(chǎng)故障和考慮設(shè)計(jì)變更

　　g.為比較研究提供輸入數(shù)據(jù)

　　h.為建立校正措施的優(yōu)先權(quán)提供依據(jù)

　　i.有助于客觀地評(píng)價(jià)涉及到多重性、故障探測(cè)系統(tǒng)、故障安全特性和自動(dòng)和手動(dòng)操作超越的設(shè)計(jì)要求。

　　3.2、FMEA的組成

　　FMEA實(shí)際是一組系列化的活動(dòng)，其過(guò)程包括：找出產(chǎn)品/過(guò)程中潛在的故障模式；根據(jù)相應(yīng)的評(píng)價(jià)體系對(duì)找出的潛在故障模式進(jìn)行風(fēng)險(xiǎn)量化評(píng)估；列出故障起因/機(jī)理，尋找預(yù)防或改進(jìn)措施。

　　由于產(chǎn)品故障可能與設(shè)計(jì)、制造過(guò)程、使用、供貨商以及服務(wù)有關(guān)，因此FMEA又分為：

　　lDFMEA：設(shè)計(jì)FMEA

　　lPFMEA：過(guò)程FMEA

　　由于過(guò)程FMEA需要考慮從單個(gè)零件到整個(gè)系統(tǒng)的所有制造過(guò)程，其評(píng)價(jià)與分析的對(duì)象是所有新的部件/過(guò)程、更改過(guò)的部件/過(guò)程及應(yīng)用或環(huán)境有變化的原有部件/過(guò)程，所以對(duì)于體系結(jié)構(gòu)龐大、組件眾多的核電廠保護(hù)系統(tǒng)全部進(jìn)行PFMEA是不切實(shí)際的，因此，核電廠的反應(yīng)堆保護(hù)系統(tǒng)一般采用DFMEA。

　　DFMEA應(yīng)在一個(gè)設(shè)計(jì)概念形成之時(shí)或之前開(kāi)始，在產(chǎn)品開(kāi)發(fā)各階段中，當(dāng)設(shè)計(jì)有變化時(shí)及時(shí)修改，并在圖樣加工完成之前結(jié)束。其評(píng)價(jià)與分析的對(duì)象是最終的產(chǎn)品以及每個(gè)與之相關(guān)的系統(tǒng)、子系統(tǒng)和零部件。需要注意的是，DFMEA在體現(xiàn)設(shè)計(jì)意圖的同時(shí)還應(yīng)保證制造或裝配能夠?qū)崿F(xiàn)設(shè)計(jì)意圖。因此，雖然DFMEA不是靠過(guò)程控制來(lái)克服設(shè)計(jì)中的缺陷，但其可以考慮制造/裝配過(guò)程中技術(shù)的/客觀的限制，從而為過(guò)程控制提供了良好的基礎(chǔ)。進(jìn)行DFMEA有助于：

　　l設(shè)計(jì)要求與設(shè)計(jì)方案的相互權(quán)衡；

　　l提高在設(shè)計(jì)開(kāi)發(fā)過(guò)程中考慮潛在故障模式及其對(duì)系統(tǒng)和產(chǎn)品影響的可能性；

　　l為制定全面、有效的設(shè)計(jì)試驗(yàn)計(jì)劃和開(kāi)發(fā)項(xiàng)目提供更多的信息；

　　l建立一套改進(jìn)設(shè)計(jì)和開(kāi)發(fā)試驗(yàn)的優(yōu)先控制系統(tǒng)；

　　l為將來(lái)分析研究現(xiàn)場(chǎng)情況、評(píng)價(jià)設(shè)計(jì)的更改以及開(kāi)發(fā)更先進(jìn)的設(shè)計(jì)提供參考。

　　4、FMEA方法

　　4.1、FMEA分析形式

　　FMEA是一種分析的技術(shù)，通常在一張表單上進(jìn)行分析并加以控制和應(yīng)用，該表單的一般形式由美國(guó)三大汽車廠商（戴姆勒－克萊斯勒、福特、通用）在《故障模式和影響分析》一書中確定。

　　核電廠保護(hù)系統(tǒng)的FMEA主要包括以下內(nèi)容：

　　1)設(shè)備：分析的對(duì)象；

　　2)故障模式：不執(zhí)行特定功能的設(shè)備故障的定義，在適當(dāng)?shù)牡胤叫枰�辨別可能的差別（比如：故障高或者故障低）；

　　3)故障起因或機(jī)理：引起故障的原因或機(jī)理；

　　4)故障現(xiàn)象和局部效應(yīng)包括伴生故障：故障對(duì)設(shè)備或者其它的附屬設(shè)備的影響；

　　5)對(duì)保護(hù)功能的影響：故障對(duì)于完成保護(hù)功能的能力的影響，包括性能的退化或者多重度的降低；

　　6)探測(cè)方法：引起電廠運(yùn)行維護(hù)人員注意的故障探測(cè)方法；

　　7)故障分級(jí)：區(qū)分故障的危險(xiǎn)程度和可探測(cè)能力。

　　4.2、反應(yīng)堆保護(hù)系統(tǒng)的FMEA深度

　　對(duì)組件或裝置的故障模式的分析深度一般包括該設(shè)備對(duì)功能的影響。所以，對(duì)于數(shù)字化I&C系統(tǒng)和模擬I&C系統(tǒng)的分析深度應(yīng)有所區(qū)別。

　　對(duì)于數(shù)字化I&C技術(shù)，F(xiàn)MEA確定到單個(gè)設(shè)備和它們特定的故障模式（短路、開(kāi)路，數(shù)值變化等）是不切實(shí)際的。所以，采用更為可行的分析方法是更抽象的程度。例如，對(duì)于一個(gè)包括處理器、I/O的組件，故障分析更應(yīng)是：不能夠執(zhí)行存儲(chǔ)的程序，數(shù)據(jù)訪問(wèn)出錯(cuò)等，而不是元器件的開(kāi)路或短路。

　　而對(duì)于模擬的I&C技術(shù)，由于元器件的短路、開(kāi)路和數(shù)值變化會(huì)直接影響保護(hù)系統(tǒng)執(zhí)行其功能的能力，所以模擬I&C系統(tǒng)的故障模式主要是元器件故障。

　　4.2、反應(yīng)堆保護(hù)系統(tǒng)的FMEA流程

　　1)確定FMEA團(tuán)隊(duì)

　　若問(wèn)題無(wú)法獨(dú)立解決時(shí)，通知有關(guān)的人員組成FMEA團(tuán)隊(duì)，要求團(tuán)隊(duì)的成員必需有執(zhí)行能力，例如：了解保護(hù)系統(tǒng)結(jié)構(gòu)或者熟悉保護(hù)系統(tǒng)硬件設(shè)計(jì)等。

　　2)定義FMEA范圍

　　在正式開(kāi)始FMEA前，必須確定FMEA的范圍，理解評(píng)估對(duì)象。一般來(lái)說(shuō)，作為最終安全分析報(bào)告支持性材料的FMEA的范圍是整個(gè)保護(hù)系統(tǒng)，包括其中的所有子系統(tǒng)和設(shè)備。在進(jìn)行系統(tǒng)級(jí)的FMEA時(shí)，必須考慮一些子系統(tǒng)或者部件故障導(dǎo)致的系統(tǒng)故障模式，如圖4-1所示。

　　3)確定用戶

　　在FMEA過(guò)程中需要考慮四個(gè)主要用戶：最終用戶、OEM組裝和制造中心、供貨商和審查人員。

　　4)確定功能、要求和規(guī)范

　　該活動(dòng)的目的是闡明系統(tǒng)設(shè)計(jì)的目的，幫助確定系統(tǒng)功能的潛在故障模式。

　　5)確定潛在的故障模式

　　故障模式應(yīng)以一種技術(shù)的角度描述。確定故障模式?jīng)]有特定的方法，通常是由具有經(jīng)驗(yàn)的設(shè)計(jì)人員提出。也可通過(guò)供應(yīng)商的洞察力確定保護(hù)系統(tǒng)中不同組件對(duì)異常信號(hào)的響應(yīng)，以及確定通過(guò)何種方法可以探測(cè)到缺陷。

　　在某些情況下，可以將組件分成幾個(gè)子組件對(duì)組件的故障模式做出更深層次的說(shuō)明。例如：將CPU組件分為功能處理器部分和通信處理器部分。

　　圖4-1與上級(jí)系統(tǒng)相關(guān)的故障機(jī)制

　　6)確定潛在的影響

　　故障的潛在影響是以用戶關(guān)注或體驗(yàn)到的結(jié)果來(lái)描述的，確定潛在的影響包括對(duì)影響的嚴(yán)重程度進(jìn)行分析。

　　7)確定誘因

　　確定故障最根本的原因可以幫助擬定合適的對(duì)策，對(duì)于由多個(gè)誘因引起的故障模式，應(yīng)對(duì)每個(gè)誘因進(jìn)行分析。

　　8)確定控制方法

　　控制方法指的是預(yù)防和探測(cè)故障的方法，包括定期監(jiān)督試驗(yàn)、故障報(bào)警等方法。

　　9)確定和評(píng)估風(fēng)險(xiǎn)

　　FMEA表格中應(yīng)對(duì)每一種故障進(jìn)行分級(jí)，通過(guò)關(guān)注故障對(duì)系統(tǒng)完成它所需的安全功能的危險(xiǎn)程度、故障診斷的效果以及暴露故障的監(jiān)督試驗(yàn)，確定重大故障。風(fēng)險(xiǎn)評(píng)估通常使用三種方法：嚴(yán)重程度（S）、發(fā)生頻率（O）和探測(cè)能力（D）。

　　在風(fēng)險(xiǎn)評(píng)估之前，需要把嚴(yán)重程度、探測(cè)能力和發(fā)生頻率進(jìn)行分級(jí)評(píng)分，嚴(yán)重程度越高，發(fā)生頻率越高或者越不容易探測(cè)則對(duì)應(yīng)更高的數(shù)值。下表給出了故障的嚴(yán)重程度、可探測(cè)性和發(fā)生頻率的一種分級(jí)方法，各項(xiàng)對(duì)應(yīng)的最高分?jǐn)?shù)是10分，最低分?jǐn)?shù)為1分。

　　表4-1故障嚴(yán)重程度分級(jí)

　　分級(jí)含義

　　10該故障的后果直接導(dǎo)致人員死亡

　　9放射性或者其它危險(xiǎn)物質(zhì)大量釋放，造成人員損傷

　　8電廠安全功能全部喪失或者設(shè)備的損傷需要高額修復(fù)費(fèi)用

　　7驅(qū)動(dòng)反應(yīng)堆停堆、汽輪機(jī)停機(jī)或者ESF功能

　　6產(chǎn)生電廠瞬態(tài)，導(dǎo)致安全系統(tǒng)動(dòng)作

　　5導(dǎo)致技術(shù)規(guī)格書中的限制工況，需馬上動(dòng)作（<1小時(shí)）改變電廠模式

　　4直接引起或需要操縱員干預(yù)，功率下降大于5%

　　3喪失非關(guān)鍵的I&C功能，其它故障續(xù)操縱員短期干預(yù)；允許發(fā)生有足夠恢復(fù)時(shí)間的限制工況；喪失一個(gè)序列的電廠安全功能

　　2不直接喪失功能，當(dāng)發(fā)生額外故障時(shí)多重性降低

　　1不喪失I&C功能

　　表4-2故障探測(cè)能力分級(jí)

　　分級(jí)含義

　　10只有拆卸組件后才能發(fā)現(xiàn)故障

　　9通過(guò)電廠計(jì)劃的監(jiān)督試驗(yàn)程序之外的現(xiàn)場(chǎng)試驗(yàn)發(fā)現(xiàn)

　　8通過(guò)電廠計(jì)劃的試驗(yàn)程序揭示，但不是通過(guò)診斷揭示的

　　7不會(huì)喪失功能，在發(fā)生額外的故障時(shí)揭示

　　6通過(guò)操縱員的觀察，但不是通過(guò)故障指示顯示

　　5故障通過(guò)電廠設(shè)備隨后的動(dòng)作（閥門動(dòng)作，斷路器觸發(fā)等）自我探測(cè)

　　4通過(guò)診斷顯示，控制模式性能退化

　　3通過(guò)診斷顯示，需要起動(dòng)系統(tǒng)的默認(rèn)動(dòng)作

　　2通過(guò)診斷顯示，在規(guī)定的試驗(yàn)周期內(nèi)執(zhí)行的有計(jì)劃的監(jiān)督實(shí)驗(yàn)定位故障

　　1通過(guò)診斷顯示，狀態(tài)指示可定位故障

　　表4-3故障發(fā)生頻率分級(jí)

　　分級(jí)發(fā)生頻率典型的故障模式

　　10~1/d人因過(guò)失

　　9~1/m消耗型設(shè)備(如：電池)

　　8~1/y頻繁動(dòng)作的部件(如：磁盤驅(qū)動(dòng)器)

　　710-4~10-5/h復(fù)雜的電子器件(如：處理器)

　　610-5~10-6/h一般的電子組件(I/O組件)

　　510-6~10-7/h由被動(dòng)的電子器件組成的簡(jiǎn)單組件(終端單元)或多通道I/O組件中的一個(gè)通道故障

　　410-7~10-8/h低使用率的單個(gè)電子組件

　　310-8~10-9/h沒(méi)有經(jīng)過(guò)老化處理的被動(dòng)設(shè)備(如：電纜)

　　210-9~10-10/h單個(gè)設(shè)備不可信的故障模式

　　1<10-10/h不可信故障

　　風(fēng)險(xiǎn)評(píng)估一般通過(guò)計(jì)算風(fēng)險(xiǎn)優(yōu)先數(shù)（RPN）進(jìn)行，RPN是事件的嚴(yán)重程度、發(fā)生頻率和探測(cè)能力三者的乘積：

　　RPN=S×O×D（1）

　　RPN的分值越高，該故障的風(fēng)險(xiǎn)等級(jí)就越高，在FMEA時(shí)需要特別加以關(guān)注。雖然上表給出了典型故障模式的發(fā)生概率，但對(duì)復(fù)雜程度很高的保護(hù)系統(tǒng)組件計(jì)算其故障概率是十分費(fèi)時(shí)費(fèi)力的，所以在核電廠保護(hù)系統(tǒng)的FMEA中一般只使用嚴(yán)重程度和可探測(cè)性這兩個(gè)風(fēng)險(xiǎn)指標(biāo)，并使用RPN的另外一種計(jì)算方法：

　　RPN=S×10+D（2）

　　該方法是在發(fā)生概率難以計(jì)算的情況下的一種折中的方法，也可以反應(yīng)故障的風(fēng)險(xiǎn)等級(jí)。但該計(jì)算方法中嚴(yán)重程度的權(quán)重較高，不利于風(fēng)險(xiǎn)評(píng)估。

　　10)建議的動(dòng)作和結(jié)果

　　建議的動(dòng)作和結(jié)果用于減少風(fēng)險(xiǎn)和減少風(fēng)險(xiǎn)的可能性。可用下列方法檢查建議的動(dòng)作是否已實(shí)施：

　　l確保滿足設(shè)計(jì)要求

　　l審查工程圖紙和規(guī)范

　　l審查相關(guān)的FMEA、控制計(jì)劃和運(yùn)行說(shuō)明等

　　4.3、反應(yīng)堆保護(hù)系統(tǒng)的FMEA實(shí)例

　　下面分別給出模擬保護(hù)系統(tǒng)和數(shù)字化保護(hù)系統(tǒng)FMEA表格中的一部分：

　　表4-3模擬保護(hù)系統(tǒng)FMEA表格

　　名稱故障模式原因故障現(xiàn)象和局部效應(yīng)

　　包括伴生故障探測(cè)方法內(nèi)部補(bǔ)償措施對(duì)保護(hù)系統(tǒng)的影響

　　高整定值定值器整定電壓故障開(kāi)路（高電平）元器件故障，整定調(diào)節(jié)低電平端開(kāi)路定值器的整定值恒定在高電平，即使監(jiān)測(cè)變量真實(shí)值增高越限，定值器也不改變邏輯狀態(tài)和不觸發(fā)通道動(dòng)作定期試驗(yàn)3個(gè)通道多重相應(yīng)的2/4局部符合邏輯轉(zhuǎn)換成2/3

　　通過(guò)這個(gè)表格可以看出，模擬保護(hù)系統(tǒng)FMEA主要分析的是元器件故障，故障的影響一般可由多重序列阻止，即使在某個(gè)序列喪失功能后，依然可以完成保護(hù)功能。

　　表4-4數(shù)字化保護(hù)系統(tǒng)FMEA表格

　　設(shè)備故障模式故障現(xiàn)象和局部效應(yīng)包括伴生故障對(duì)保護(hù)功能的

　　影響探測(cè)方法

　　定值邏輯處理器組件功能處理器故障未能執(zhí)行程序指令處理器停止（執(zhí)行指令），送至試驗(yàn)處理器的實(shí)時(shí)狀態(tài)信號(hào)停止局部符合邏輯使用受影響序列中其它定值邏輯處理器中的數(shù)據(jù)；不會(huì)喪失功能由試驗(yàn)處理器通過(guò)系統(tǒng)總線探測(cè)處理器功能喪失；發(fā)出故障報(bào)

　　以上兩張表格分別截取自國(guó)內(nèi)某兩個(gè)核電廠的保護(hù)系統(tǒng)的FMEA報(bào)告，從上述表格中可以看出，數(shù)字化保護(hù)保護(hù)系統(tǒng)和模擬保護(hù)系統(tǒng)一樣，都是通過(guò)多重序列阻止多數(shù)故障所造成的影響。不過(guò)，由于采用了數(shù)字化技術(shù)，數(shù)字化保護(hù)系統(tǒng)的故障探測(cè)能力，可操作維修能力比起模擬系統(tǒng)都有了很大的提高。

　　5、結(jié)論與展望

　　從保護(hù)系統(tǒng)的FMEA表格中可以看出，在保護(hù)系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)過(guò)程中執(zhí)行FMEA，可以有效的消除或避免故障原因，預(yù)先確定或檢測(cè)故障，減小故障的影響。通過(guò)貫徹故障安全等準(zhǔn)則，即使發(fā)生了嚴(yán)重程度最高的故障，也可以保證核電廠的安全。通過(guò)對(duì)不同的故障模式進(jìn)行分級(jí)，可以快速、方便的確定高風(fēng)險(xiǎn)故障，不過(guò)在沒(méi)有給出故障概率的情況下，風(fēng)險(xiǎn)等級(jí)的主要依賴于故障的嚴(yán)重程度，這樣不利于區(qū)分同一嚴(yán)重程度的故障，可以考慮在FMEA表格中加入失效概率這一因子，根據(jù)SOD算式計(jì)算出更加完整的風(fēng)險(xiǎn)等級(jí)。

　　參考文件：

　　[1].HAD102核安全導(dǎo)則匯編

　　[2].ANSI/IEEE352-1987

　　[3].PotentialFailureModeandEffectsAnalysisReferenceManualFourthEdition