GB T 9225-1999 核电厂安全系统可靠性分析一般原则.pdf

《GB T 9225-1999 核电厂安全系统可靠性分析一般原则.pdf》由会员分享，可在线阅读，更多相关《GB T 9225-1999 核电厂安全系统可靠性分析一般原则.pdf（87页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 27.120.20 F 83 共GB/T 9225 1999 系在章中贝lGeneral principles of reliability analysis for nuclear power plant safety systems 1999- 04-26发布1999 -12 -01实国家质技术监督局发布L GB/T 9225-1999 目次前言. . . . 00. . . . . . E t IEEE前言. . . . . . . . . . .0. . . . . . . . . . . N l 范围. . . .0. . . . . . 0. . . . . . . . .

2、 . . . . . . . . . 1 2 引用标准. . . . .0. . . . . . . . . . . . . 0. . . . . . . . . . . . . . 1 3 定义. . . . . . . . . . . . . . . . . . . . . . l 4 概述. . . . . . . . . . 3 5 定性分析原则. 6 6 定量分析原则. 13 7 数据获取和应用31 8 可靠性方法的应用40 附录A(提示的附录)说明性的例子. 49 附录B(提示的附录)数据程序. . . . . . .,. . . . . . . 73 附录C(提示的附录)参考文献

3、. . . . . . . . . 74 I 1 叫一GB/T 9225-1999 占一同本标准是根据美国国家标准化委员会(ANSI)和美国电子和电气工程师协会(1987年版.1994年重新确认对GB/T9225一1988进行修订的。GB/T9225-1988是参照采用ANSI/IEEEStd 352-1975制订的.本标准在技术内容上等效采用ANSI/IEEEStd 352-1987.但在编写格式上按GB/T1. 1-1993 作了修改。在编排上将等效标准正文中列出的参考文献及已建立的数据程序作为附录内容给出。在文字上进行了删减，归并一些重复叙述的内容。依据国外先进标准对GB/T9225-1

4、988进行修订时，基本保留了原标准的技术内容，但在5.2. 1 故障树常用的符号及术语中增加了条件事件、异或门和禁门的定义，在第6章定量分析原则中增加了马尔可夫模型、蒙特卡罗方法及GO法，增加了6.2.2.4例子，介绍了富塞尔算法g另外还增加了第8章可靠性方法的应用，对可靠性分析目标，各种可靠性分析方法的适用性以及试验计划的制定进行了讨论。本标准从实施之日起，同时代替GB/T9225-1988. 本标准的附录A、附录B、附录C都是提示的附录。本标准由全国核仪器仪表标准化技术委员会提出并归口。本标准起草单位s核工业第二研究设计院。本标准主要起草人g华爱震、英绍黄。前E GB/T 9225-199

5、9 IEEE前言(本前言不是ANSI/IEEEStd 352-1987. IEEE导则核电站安全系统可靠性分析一般原则的一部分。本标准基本上是指导性的，向使用者提供进行安全系统可靠性分析所需的基本原则。本标准并不认为任何个人或机构会需要本标准所述的所有原则。例如，某一机构可能关心第5章所讨论的定量分析和数学模型，而第6章中讨论的非常重要的故障数据问题，有关概率分布评估的及置信区间等资料则可能由那些关心故障率与修复率数据的分析与评价的人们所采用。故障率与修复率数据将随着核电站运行经验而积累。所建立的数据程序的资料则可直接由那些对现行安全系统设计进行可靠性和可用性预测的人们所用。本文件最初是为IE

6、EEStd 279-1971 0 可导出下面两个微分方程sdPo(t) 一斗二!_=-.Po(t)+P1(t) dP，(t、寸7=-pPI(t)+Po的其中P.(t)与P，(t)为时间t时系统分别处于能工作或不能工作状态的期望无条件概率.如果我们指定初始条件为系统在t=O时处于能工作状态，即Po(O)=l，并利用关系式Po(t)+P1(t)=1.则可求得上述微分方程的解为2t 0 ., ( 36 ) . ( 37 ) + 咔严咔一午iA一十+-一严一一十A-十ATA -= PP 由此可得到其稳态解为2 o ( 38 ) Po = limPo(t) =一丘-=一MTTF034。十MTTF十MTT

7、RMTTF P1 = limPl (t) = ，一一-=一-一-一-一-1-A十MTTF+MTTR Po(t)是系统在t时的可用率.Po则是系统的稳态可用率。Po(t)的表达式即所说的系统暂态可用率。有关用马尔可夫模型求解可靠性问题的补充说明可参阅附录C的C3706.2.2.2 蒙特卡罗方法蒙特卡罗方法的名称是由于采用了随机决策发生器(如旋转轮来确定部件的状态，实际上采用的是-种数学随机数发生器，一个系统的蒙特卡罗模型可以取故障树的形式，也可以取其他的形式，只要能将该系统的成功或故障与其部件的成功或故障关连起来.一个最简单的例子就是一个复杂系统的平均故障前时间(MTTF)可从其部件的己知可靠性

8、通过反复运作的方法来确定.每次运作中系统的成功或故障则是通过对每个部件转动旋转轮直至部件的故障导致系统故障的方法来确定的。如果运作的次数足够多，对于各运作中故障前时间的平均值应覆盖平均故障前时间MTTFo这种方法的主要缺点是进行大量的运作会是昂贵而费时的，虽然当前的计算机对此有所改善。附录C中包括了许多能提高效率的方法并介绍了具体的可适用于各种不同概率分布的方法.( 39 ) 25 L GB/T 9225-1999 蒙特卡罗法的主要优点是对复杂的系统建模容易而且一些时间约束(如每天或每周输出要求的变化)和维修时间均可以包括在内。对考虑各种参数分布来说也是相对容易的，如对数分布的维修时间等.因此

9、蒙特卡罗法可适用于那些用其他方法元法建筷的系统，它也常和故障树方法结合使用。蒙特卡罗法应用的例子可参阅附录C的C22，6.2.2.3 GO法GO法(参阅附录C的C18和C19)与故障树分析法不同，它是一种面向成功的系统分析法.它采用一种诱导逻辑来对系统的性能建摸，UGO法确定系统的响应方式(成功或失效)并能够处理人-机的交互作用。UGO法的优点是通常可以用一个或几个GO法符号来取代一些元件如阀门、开关等)从工程设计图纸进行建模，这些GO符号结合在一起可以表示系统的功能和逻辑。GO计算机程序利用GO模型来评价系统的可靠性和可用性、判定故障序列以及列出各组成元件的相对重要性。GO符号是一些算子，它

10、描述具体设备的运行、相互作用以及相互间的组合。组合这些算子的逻辑作为一组算法包含在GO计算机程序中。GO法易于模块化，通过计算机程序将一些小的系统模块组合成大的系统模块。GO法的优点是它易于作为一个连续的工具通过分析来评价对系统提出的修改是否有效，它可以象在工程设计原理图上一样易于在模块中表现出来。其缺点是模块的结构不要求对故悍的可能性和故障模式进行不利搜索，这样就容易忽略-些细微的故障可能性。所以GO法在分析系统的可用性时，如果一些细微的相互依赖性和不太可能的故障相对于风险分析来说不太重要时它将是最适宜的。它在处理很大的系统时其优点更为突出，比故障树方法更为有效.6.2.2.4 例子为了对求

11、故障树最小割集的程序算法有所了解，举例简略介绍用于最早的MOCUS程序的富塞尔(Fussel)算法。程序要求故障树中的逻辑门是与门或或门的形式，如果有其他逻辑门，则应预先表示成与门或或勺1的形式。程序中寻找最小割集的方法是从顶事件开始往下分解直到底事件，即下行法。宫塞尔算法的要点是2与门仅增加害l集的长度(割集容量)，.或门增加割集的数目。6.2.2.4.1 例中引用的符号如下:BICS-一从顶事件开始往下分解时产生的布尔指示割集。在分解到基本事件后，如果树不包含重复事件，如aBICS正好是最小割集;一故障树中的逻辑门名，c-故障树中的基本事件名;P町门的第2个输人$.-一-门的输入数量;j

12、x一第X个BICS，I Y一-在BICS中的第Y项;l Axy-代表在第X个BICS中第Y项的数量gI Xmn一-迄今所用的X最大值;I 1飞一-在第X个BICS中迄今所用的Y最大值e! 62242 输人应包括故障树的全部信息川、，. P w, i以及门的形式oI 6.2.2.4.3 建立一个数组来分解放障树目的是消去所有的逻辑门。从顶事件开始往下分解，顺次把上i 一级事件置换为下-级事件。在遇到与叮1时，将门的输人横向列出，遇到或门时，将门的输入竖向逐| 行列出。以此类推，直到全部门被置换为基本事件，由此得到系统的全部割集。分解规律可由下述数学l l 表达式表述lI I 26 GB/T 92

13、25-1999 . ( 40 ) 4盯=pJX,YmU:+l = p,1t2A 一个完整通道的故障率。T 试验间隔时间。* 一个特殊的四通道逻辑，满足布尔成功表达式S(A十C)(B十D) 由表可知，对绝大多数通用逻辑结构，完全交错试验优于同时试验。完全交错试验的系统不可用性低于同时试验的系统不可用性。6.4 试算-旦确定了使命，建立了数学模型和输入表就可以进行试算来检查计算程序。应注意下述事项以减少出错。6.4.1 手算如果假定).t =F(x.) .运X. ( 53 ) 通常分布函数、密度函数均包括一个或儿个常数，这些常数称为参数。例如，x为某个具有恒定故障率的物项的寿期，那么z就是指数分布

14、的.即F(x)是由单个参数A确定的指数分布。在大多数情况下一种分布的参数是未知的，应进行估计。本章所要讨论的问题就是在已知数据下(假设是一个已知函数分布中的随机取样对参数的估计。本条讨论-般估计原则并说明概率分布。假定。是关心的一个参数，该参数由n次观测x白.xn组成，由这些数据通过一定的统计方法就能够计算对8的点估计或者区间估计。点估计是单一的数值，常选择用于满足某种判据(如无偏性)。当0估计的期望值等于0时，该估计就是无偏的。如果能够重复得到大小为n的样本并对每个样本计算。的估计值，那么这一估值在一个无限大样本上的平均值就等于8.对估值的另一个判据是它具有最小方差，即样本与样本之间的差异小

15、于任何其他的估计。还有一个准测常用于获取点估计，它就是最大似然性，最大似然估计就是能使观测数据的概率(称为似然函数)成为最大的那个值。点估计是由数据按某些准则导出的最佳建议的单个0值。例如，将一个硬币抛掷100次产生52次头象，按照多数准则，头象概率的点估计值是O.52，但是这并不能否定下述可能性，即z若硬币和抛掷方法是公平的话，头象的真正概率。为O.50。一般情况下，对一组已知数据会有一个数值范围能符合该组数据，并且可以置信。在此范围内.置信区间的统计概念提供了计算这些区间的方法以及定量估计与某个区间相关的置信度，取L和U为观测数据的特殊函数，反复取样和计算L和U，选择在95%的时间里区间L

16、ilJU将包含有3。对于一组特定的观测数据和得到的特定值L和U，不能断定被观测的区间是否是在95%之内。这种不确定性可以这样来说明沃L，U)是对0的95%的置信区间，也就是说，如果反复地进行就可以在95%的时间里捕捉到8.虽然上述讨论是按95%置信度进行的，但置信度可以是任意的或有几个置信度。对置信度的常用表示方法是100(l-a)%，常用的置信度为50%、90%、95%和99%(=0.5、0.1、0.05和0.01)。区间的二个端点L和U分别被称为对0的下置信限和上置信限。为了方便通常选择相等的尾区，如L为对。的95%下置信限、U为95%上置信限，L和U之间的问隔即为对0的90%置信区间。在

17、处理故障率或故障概率时通常感兴趣的是这些参数的值，此时就会用到(O，U)的单边置信间隔。U被称为对8的100(1一)%的上置信限，区间(O，U)则称为对0的单边10Q(1-)%置信区间。随着样本数的增加，置信区间将会变得越来越窄，这反映了为估计。所用数据的数量，这一特点可能是影响选择试验方案的一个因素，同样，在进行敏感性分析时(见6.5.幻，置信区间对在什么参数值范围内进行探索提供指导。7.2. 1 指数分布如果假设-个不可维修物项的寿期受恒定故障率限制，那么随机变量寿期或故障前时间就具有指数分布。同样，对-个可维修物项假设有恒定的故障率并且假设在维修后仍具有与修复前同样的故障率，那么随机变量

18、故障问隔时间(即元故障工作时间)也具有指数分布(见7.4.2)。指数的概率密度函数为zI(t) = exp - kJ . . . . . . ( 54 ) 它仅适用于注。和t二剖，其中为恒定故障率，t为时间。故障前时间飞或无故障工作时间)的累积分布为g33 厂GB/T 9225-1999 F(t) = 1 - exp - At . ( 55 ) F(t)的一个分量称为可靠性函数，因为它给出了在区间(O，t)内无故障的概率，即R(t) = exp - AtJ 所以具有指数分布寿期的物项的可靠性完全由参数确定.对指数分布物项的期望寿期为&=1/)它通常称为MTTF，即平均故障前时间或者对可维修物项

19、称作MTBF即平均无故障工作时间，有时候指数密度函数写作z/(t) = C1/I)exp - t/lJ 假设可得到的数据为n次寿期观测值t1，tzt施，那么的最大似然估计值为2= n/T . ., .( 56 ) 其中2TZEZJ该式适用于多种情况，例如有n个物项，取t，表示物项i故障前时间或运行时间，那么观察到的总运行时间为zT= 2: t, 如果在物项取样中有r个发生故障，贝tl = r/T 对可维修物项情况，白，t2.t表示观察到的故障问时间(即无故障工作时间)，其最大似然估值为2 = n/T (T = 2:，; 另一种情况是在获取数据时，可能得不到单个故障时间，仅有该物项累积运行时间(

20、如r个时间单位)，在此期间发生了n次故障，则.l. = n/T . ( 57 ) 通常，.1的最大似然估计为=故障数/总运行时间对A的置信限值取决于随机变量是总运行时间还是故障数。在固定数目，而寿期或故障间隔时间(平均无故障工作时间)T为随机变量时，对的100(1一)%的置信区间为g坠旦旦旦A生旦旦2T、2T.( 58 ) 其中X;/2，2现为具有2n自由度的X方分布的/2百分值.如果总运行时间T是固定的，把故障数n看作随机变量，那么对于的100(1-a)%置信区间为s登出在旦出2T飞飞2T同样，对单侧估算，的100(1-)%上置信限值为25.0的情况，可采用下列近似2p一Z(l/Z(一乡)亏

21、1O，tU.(65)若1.以t)将随着t的增加而增加，若卢0的马尔可夫过程的定义是z对任一组时间点(在过程标志集中的白，t2.，tn)，对任何实数均满足下列等式zPrX(t,) IX(t1) = x1, X (t,) =岛，X(t，-I)=几-IJ= PrX(t,) x , IX(t,-I) = X-IJ 此方程读作z在t=t时为町，t=t2时为Xz，t=t_1时为X，-l的条件下，随机变量X小于或等于时刻t，时的X，值的概率与X(其条件仅为t=t_1时为1)小于或等于的概率相同。马尔可夫概念对设备可靠性和可维修性的应用与经典可靠性理论-样要考虑故障以及维修或更换过程。如果假设为恒定故障率和恒

22、定维修率卢，那么在时间间隔(t.t+dt)内的故障概率和维修概率分别为J.dt和严巾，只要在时间间隔。十dt)内发生一次以上的维修或故障的概率很小。一个部件的故障和维修概率即为该设备的两个状态(状态1为非故障状态，状态2为故障状态)之间的转移概率。这一过程的转移概率可用一种或两种形式表示z转移概率(转移率)矩阵或转移概率(转移率)图。作为一个简单的例子，考虑一个可处于三种不同状态的系统(如一个具有两个同样的独立冗余部件所构成的系统).这两个部件的任何一个都可以在故障时维修而不干扰另-个正常部件的运行。该系统的状态可定义如下z状态。一一两个部件都在工作，状态1-一-两个部件中的一个故障(故障率为

23、)并进行维修(维修率为，状态2-一两个部件都发生故障并处于维修。在状态2两个部件可同时处于维修(称作元限制维修)或每次只有一个处于维修(称为有限制维修。通常感兴趣的是该系统在故障和维修过程中是怎样改变它的状态，以及假定在时刻t=O时系统从状态。即两个部件均在运行的状态开始(也可指定其他的初始状态)怎样确定该系统在时间也之后处于状态。、1或2的概率。当两个部件在运行时(状态。).对状态1的转移率为2).;系统可以按修复率从状态I返回为状态。，或者可按故障率A转移到状态2，假设该系统可以按修复率的从状态2返回到j状态l(对有限制维修阳=阳，对元限制维修卢，=2川。下面的讨论假定是对有限制维修进行，

24、这样在一个短时间间隔dt内的转移概率如下2a)从状态。至状态1,P =2J.dt b)从状态、1至状态o,P,=pdt d从状态1至状态2，PI2=J.dtd)从状态2至状态1，P，=pdt假设在短时间间隔dt内双重转移不可能，从而Po:和P为零。补概率为无转移概率。如果系统处于状态口，那么在dt时间间隔内仍能维持在该状态的概率P，=1-2J.巾，它是转移概率FOl= 2J.dt的补。其他无转移概率为Pll=l-(+川巾，其中(J.十为系统从状态1$IJ状态2或返回到j状态。的转移率，而P口=1严巾。这形成转移率图(图16)中的三个自环路，转移率矩阵则示于图17中。l-Z; 1一+川l-p2

25、图16转移率图43 GB/T 9225一1999在t+At时的军统状态2 1 。2 1-2, 。=A 1-(H 1 在t时的军统状态1- 。2 llli-lil-lil-Illi-Il-J 图17转移率矩阵另一种表示法可用以建立系统特性的概率方程。首先写出系统t十dt时的状态概率和系统在z时的状态概率关系的差分方程zP，(t十dt)=P，(t)1-2dt+P，(t)dt P , (t十dt)=P，(t)Udt十P，(t)1一(+严)dt十P，(t) dtJ P，(t十dt)=P，dt+P，(t)l卢dt然后将该方程组右边乘式打开并重新整理为概率P，(t)、P，(t)和P，(t)的导数形式(即系

26、统在指定的t=O时初始条件P，(O)=j情况下，在时刻t处于状态。、1或2的概率): P ,(t+dt)-P,(t) =-P，(t)2月十P，(t) P，(t+dt)-P，(t、一一一.一., =P，(t)2-P , (t)十十几(t) P，(t十dt)-P，(。一丁?一一一=P，(t)-P，(t)改为矩阵形式，上述方程组可写为e P= B P(t) 其中矩阵B为2。 。现在已有多种计算机程序解这类微分方程。8. 5. 1 恒定故障率和修复率的部件对于可按恒定故障率和修复率部件建模的那些部件需求解的方程组即上述形式，这是马尔可夫过程用于可靠性计算取样应用的结果。冗余的同种部件可以明确指定，也可

27、以对每个冗余的部件采用同样的可靠性数据。8.5.2 恒定修复时间或恒定切换时间的部件在某些情况下，考虑恒定时间比恒定故障率或恒定修复率更为精确。例如，备用设备在正常运行部件故障情况下按要求恒定时间切换，这可以精确地建摸，因为修复可以通过简单地更换故障部件实施。同佯，对于备用泵切换后通过阀门接入流通路径所需的时间(因阀门要求一定的时间才能打开)可以近似地以行程与打开速率的比来表示。这类部件尚不能用上述的方程组来处理。引人开关时间就引入了一个延迟项h它在这段时间间隔内妨碍了从暂时故障状态转移到其他状态。在时间间隔r的末端，部件或者被修复或者被切换，现在该状态是空白的，除非在时间间隔(t，t十r)内

28、发生其他状态转移至该状态。描述一个具有恒定修复时间的部件可靠性R的方程为(t)= -R(t)十R(t-r)。这点在直觉上是正确的，因为在。-r)时故障的部件必定在t时被修复(多半是更换)或者在故障之后时实现切换，从而在t时的修复率与在。一r)时的故障E乎是相同的(在切换的情况下可能不是返回到原状态，这点在下面一节中解释)。44 一严严一(十) -2 2 GB/T 9225一1999一如果要考虑具有恒定修复时间或切换时间的部件，那么就应修改待解的方程组，因为含。一纱的项以前没有出现过。模拟单部件恒定修复方程的-般形式为2p=4E(2)十主EO-r)其中乏主类似于A.Jlpo时使P(A)(, 47

29、 Illi-llil;liill-j GB/T 9225-1999 表9(完逻辑结构试验间隔。同时试验完全交错试验3/3 丁1.2 1 2 -.一 3 1/4 +(5(;)11 上(7 ;而广251 2/4 士(G)/士(于)1/3 3/4 士(号)2上(笠)1/2 11 0/2) X 2 士(于)2丁t(IG) i 气-一-一-一-_._-_.根据计算结果.确定一个实用的试验间隔以保证有一定的可靠性裕度。8.6.3 试验间隔的在役调整由于数据的不确定性和偏安全的保守考虑，所以常常采用较高的故障率，因而导致保守的起始试验间隔，但是，实际上并不希望过于频繁的试验，因为gd过于频繁的试验在经济上是

30、个负担，对试验时退出工作的系统来说，可能增加不必要的停止工作时间，b)过于频繁的试验易于磨损元件，可能缩短元部件的寿命;c)过于频繁的试验也可能使试验后的不正确恢复可能性增加，所以，如果证实实际故障率比假定值要低很多的话，则可以适当延长试验间隔。如果故障率明显大于估计值，则应缩短试验问隔(或用其他方法提高可靠性).若-个特定部件的故障率显著增加，则应进行研究，找出是否存在使用或环挠问题，这些问题可能使部件的特性不同于得出原始故障数据的部件特性，作为确定试验间隔的可靠性分析包的一部分，分析者应提供一套用来证明改变试验问隔是正确的导则.还应该提供用来解释试验结果和编制试验结果文件的细则，以保证得到

31、了最好的数据能用于将来确定故障率。48 GB/T 9225-1999 附豪A(提示的附录)说明性的例子本附录将帮助那些不熟悉可靠性分析的人们了解系统可靠性评价中所应用的概念和方法.本附录通过例子说明可靠性定性分析和定量分析的方法和原则.由于某些方法是等效的，步骤的选择取决于研究的目的和分析者的选择，因此没有必要执行这里所述的每一步。同样，所举例子不是包罗万象的，用其他方法也可能很好地完成同样目的，这里只是要说明已成功应用了的方法，这些方法能确保所预测的可靠性和可用性与系统的功能目标相一致。系统的确定A1 图Al规定了要进行可靠性分析的典型的反应堆事故停堆功能。图中用虚线画出了要进行分析的系统的

32、边界，在虚线内的全部部件均在分析范围内，虚线外的则不包括。那些虚线外的设备。如电动机发电机组、棒控电源和交流母线，属于外部接口设备而不是系统本身的部件。把它们画出来是为了说明反应堆中各部件之间或系统之间的相互关系。分析的深度是到系统中可更换部件这一级，这些部件中有些可用元件来表示，有些则用功能黑盒来代表，例如压力变送器，直流电源等，它们的故障率列在表Al中.除非想要详细估算不同故障模式的相对概率，估计在特定事件组合下部件的易损性，或者因考虑某个部件内部组成的变化要修正预估的可靠性，一般不需要对它们的故障模式作进一步的确寇。表Al一般的元件故障率和故障模式分类故障率II故障模式部件名称开路短路高

33、低断开接通故障/10h 其他(百分数)(百分数)百分数)百分数(百分数(百分数90 10 交流或直流继电器5.0 (不脱扣)脱扣)报警单元5. 3 83 17 (双稳脱扣单元直流电源21.0 20 20 60 压力变送器0.02 35 65 断路器23% 1. 8 42 35 不能复位试验点电阻1. 0 90 10 开关DPDTO. 1 67 33 1)只用于所举例子的估计故障率.49 -jLir-+ji-ill-liti-FFJrJjHIll-iltJL飞liti-1lil-lJIl-47 GB/T 9225-1999 故障模式及其后果分析(FMEA)A2 飞A2.1 用于FMEA的系统说明

34、这里要分析的是典型的反应堆事故停堆功能，它是一个监测压力PM的系统，当压力超过整定值PS时(PMPs)，启动保护动作(事故停堆)，系统如图Al所示.为了符合单一故障准则，在系统设计中考虑了冗余措施，其特点是g有三个测量压力的通道和两个事故停堆通路，它们构成适当的符合逻辑(2/3)去触发事故停堆.三个通道是冗余的、相同的和独立的，它们连续测量压力，当PMPs时自动触发通道脱扣。两个事故停堆通路也是冗余的、相同的和独立的.当出现通道脱扣的2/3符合逻辑时，它们自动地打开断路器(事故停堆。该系统可利用相应的内设试验接口，在设计的通道级、事故停堆通路级以及事故停堆断路器级进行试验.在图中表示了这些试验

35、电路s通过在测量回路中引人试验信号逐个地试验通道:用一个试验信号动作事故停堆断路器来试验断路器。在试验期间，被试的事故停堆断路器(如52RTA)被旁路断路器(52BYA)旁路，另一个事故停堆断路器(52RTB)保持安全功能。A2.2 用于FMEA的功能方块图及FMEA分析深度功能方块图作为一个起点，对进行故障模式及其后果的分析是有用的.它表示了为使安全系统按要求工作，在设计中各部件的逻辑配置。表A2列出了主要部件及其基本功能。在进行分析的过程中，分析者要确定故障对设计中各级部件(即元部件g压力传感器，子系统g通道，系统z安全系统)的功能的影响，这样分析者就能把这些信息按比例考虑进系统模型中，适

36、当地予以处理。分析的详细深度是分析到系统中可更换部件这一级，这些部件中有些可用元件来表示，如压力传感器(PT-l)，继电器(XIA)，有些则用功能黑盒代表，如电源(DC-l)和报警装置(PC-l)。为估算系统的性能，不必要将可更换部件的故障模式再细分到更低一级的零部件。A2.3 FMEA工作表FMEA分析被记录在工作表上(表A3)oFMEA工作表为信息列表提供了一个系统的格式，它保存了分析的印迹，并把分析结果制成文件.表A3的格式是为上述目的特地设计的。分析按如下方式进行z标明子系统中的各部件，列出它们的故障模式，研究其对系统性能的影响.分析中所选的每个部件都在表Al中标明并在图Al中示出.对

37、工作表的每一项进行以下说明:a)图=指出表示所研究的各物项之间功能关系的系统功能图的图号sb)名称3指出所分析的每个物项的名称sc)故障模式z估计该物项所有重要的故障模式，包括随机故障和性能降级故障，d)原因:Jtl出与每种故障模式有关的最可能的原因。这些原因通常与下-个较低级的设备损坏和线路及主要环境参数源有关，e)征兆和局部影响(包括从属故障):要确定每一个故障模式的直接后果以及由可能原因引起的从属故障的影响或二次效应.通常要检查这些征状到比己失效的设备高一级的设备gf)探测方法2这一项列出了探测或指示在系统中存在故障的方法。故障后果可能显示也可能不显示给操纵员，如果不显示的话，则要列出操

38、纵员用以探测故障的方法，例如使用外部试验设备，定期性能检查等;g)固有的补偿措施这一项中列出了在方块图中已有的电路，它将在所分析的这一级上对故障模式进行补偿。除非明确说明，否则它不包括系统其他部分中的冗余电路$h)对安全系统的影响:这一项列出故障模式对更高级设备损坏的最终影响，该级比在征状和局部影响这一项列出的级要高，i)备注及其他后果z这项列出了特殊的故障模式对整个系统性能的影响。列出了那些不能局部地辨认出但能在某个系统级(包括接口系统观察到的影响.在进行这项工作时，要分析设计满足准则的程度。这类问答练习的例子可在工作表的第一行中找到，并可按如下方式进行250 GB/T 9225-19 一压

39、力变送器+ 试验撞口PT-l 试捡插口报警试验灯问试验院初开关辅助维电器了.-直流电橡A J 压力变送舞L_一一-+ 报警战略哥幻H试验脱扣开关试验播口PT-2 辅助维电器交流母线2试验开关PQ-2试验院如开关报警试验灯Ld交流母线2压力交送器斌验揭口警元吐血惯单R交流母绩1交流每线1试验循口警一兀斗也很尊H试验开关PQ-l通道1警元亿报单眈直流电疆军试验插口PT-3 试验开关PQ-3迢迢3辅助维也糖直流电源逻篝维也挺(LR交流号线3一注l 接人BYA和BYB旁路断路器只是为了试验.2 图上试验开关接在工作位置。3 RT，:、RT，B等是反应堆事故停堆辅助继电器。52/RTA和52/RTB为反

40、应堆停堆断路棒。边道2镇拟迢迢(ACJ主流母线3L 一个典型的事故停堆图Al225一1999丁蓄电池f牵线1T R I X, z x ! + 2A lA A A A 主流电源梅躯动电劫机发电机组52 BYA _J X, X, A 广-一-一-一-一-一-A J L_ -一丁L 蓄电池母钱21 T R I X, x, + zB lB B B B 52 BYB 52 RTB X, X, -一一-_j穰控电源L 停雄断路密警(TB)和劳路断路德(BY)B -L|一-E可EiB 停难雄电摞【TR)w 号事故停堆功能的功能图口、fbp如，FSIllr飞，wlip-7llF 、GB/T 9225-1999

41、 压力传感器是怎样故障了?故障时信号低。故障的原因是什么?腐蚀、机械损坏.故降的后果是什么?导致低输出信号去报警单元，通道的交流继电器将保持吸合.如果出现故障，能指示出来呢?不能。如果故障不能被指示出来，它能被探测到吗?能。如何探测?定期试验。系统能对单故障进行补偿吗?能，由冗余通道2、3补偿。该单故障会使系统失效吗?不会.那么这个故障会怎样削弱系统的性能?使两个事故停堆通路均变为2/2逻辑。A2.4 FMEA的结果分析的结果被用来评价系统符合准则的程度。按工作表，利用各种故障模式的资料可以列出表中各个项目。在发生某种单一故障的情况下，这些故障模式会对运行系统的某些部件或某些部分产生各种系统性

42、的影响.它们也会对探测或指示这些故障的方法产生影响.表A2设计的基本部件及其主要功能元件号名称功能通道1压力变送器PT1将压力转换成模拟电流1 2 直流电源PQ-1供电给模拟电流回路3 报警单元PC-1PMPS时，撤走继电器的交流电llil(4 交流控制继电器X，A在通道1脱扣时，开断事故停堆通路A中的直流继电器5 交流控制继电器X，B在逼迫1脱扣时，开断事故停堆通路B中的直流继电器6 报警试验灯L，指示通道脱扣7 试验插口/试验开关在测量回路引人试验信号B 试验插口的信号缓冲器将模拟电流转换成试验电Bs9 试验脱扣开关旁通通道以便进行试验通道2同通道1同通道1通道3同通道1同通道1事故停堆通

43、路A直流控制继电器RT1A切断电路断路器52!RTA、52!BYB的一半通路28 29 直流控制继电器RT2A切断电路断路器52!RTA、52!BYB的另一半通路30 断路器52!RTA切断从电动机一发电机组到悻控电源的电源通路31 旁路断路器52!BYB当试验52!RTB时，旁路断路器52!RTB事故停堆通路B同事故停堆通路A同事故停堆通路A51 。因4UMM由|苍白白4飞-_._y，.-._一-_-. - _,. /、_，_-oPs时系统中仍在工作的部件数。A2. 4. 3 故障的可探测性在FMEA中的信息将向设计者指出必须用试验或显示的方法探测部件的故障模式。这个信息在确定是否符合适用的

44、准则方面是有用的.表A6列出了那些不能显示，只能用试验探测的故障模式。根据这个信息，设计者就能制定探测故障部件和检验运行性能的试验计划。63 G/T 9225-1999 表A6不显示的但可由试验探测的故障名称故障模式通道1压力变送器PT-l故障商直流电源故障高报警单元PC-l故障告上交流控制继电器XIA故障闭合交流控制继电器XlB故障闭告通道2、3同通道1同通道1事故停堆通路A直流控制继电器RTJA故障闭合直流控制继电辑TR2A故障闭告电路断路器52RTA故障闭合电路断跻拇52BYB故障闭告故障停堆通路B同事故停通路A同事故停堆通路AA3 共因故障分析共因故障分析是一种属于用故障树技术或FME

45、A技术的定性分析方法。这些技术对确定某些部件故障的集合或确定导致系统故障的条件是有用的。然后还需根据每种集合并考虑起作用的原因及所采取的预防措施来估计系统对故障的灵敏度。A3.1 故障集合E如其他系统故障一样，只有在某些有关功能未被执行时，才会发现共因故障。对于本例，如果假定在图Al中所示的典型事故停堆功能是系统功能，则可以作出一个表来概括这一情况(表A7).A3.2 原因要素分析的第二步是确定要考虑的重要原因要素。与共因故障有关的原因有五大类ga)外部的工作环绕;b)设计缺陷，c)运行和维修错误$d)外部灾害;e)功能缺陷。A3.3 预防措施防备随机故障的一个主要保证是冗余技术，由于随机故障引起几个冗余部件一起失效的概率可以是很小的。但是，仅仅采用冗余技术不能解决共因故障问题。在处理这类故障时，利用多种措施的结合是有用的。功能多样性、实体隔离、监督、试验、故障安全模