北京广利核系统工程有限公司 李静霞

北京航空航天大学 于劲松

核电站安全级DCS缺陷危害性分级的研究与应用

北京广利核系统工程有限公司 李静霞

北京航空航天大学 于劲松

针对目前核电站安全级DCS缺陷危害性分级方法缺失的现状，利用FMEA技术对核电站安全级DCS进行分析，从功能可靠性的角度识别出所有可能的失效模式，确定引发失效的故障原因及影响程度等信息。在传统FMEA分析的基础上加入危害性分析，提出一种基于系统最终用户需求定量确定核电站安全级DCS缺陷等级的方法；结合人工智能技术，开发了缺陷分级软件。实例应用表明此法分级准确，效果良好。

FMEA；危害性等级；人工智能

福岛核事故引发的严重后果在全球引起了剧烈的震动，对于核电安全的关注达到了一个新的高度。反应堆保护系统是探测核电站偏离可接受状态并发出指令维持核电站安全的重要系统，当控制系统不能维持电站变量在容许值以内时，用来维持核电站的安全。安全级数字化仪控系统（DCS, Digital Control System）是反应堆保护系统的控制系统，它对核电站反应堆的安全状况进行监控，对维持核电站安全状态极为重要。因此，安全级DCS的可靠性成为核电站安全功能正确执行的重要环节。

缺陷在软件开发过程中难以避免，基于计算机的安全级DCS大部分功能由软件实现。核电站安全级DCS执行功能特殊，其缺陷引发的失效可能导致核泄漏等危及公众生命安全的严重事故。为保证核电站安全级DCS的可靠性，必须对缺陷进行有效管理。危害性（Criticality）是对缺陷发生概率及其引发的后果等影响系统可靠性的因素[1]的综合度量，是核电站安全级DCS缺陷极为重要的属性。目前，行业中尚无对核电站安全级DCS缺陷危害性分级方法的指导。本文利用FMEA技术对安全级DCS进行分析，在FMEA基础上引入危害性分析，提出一种基于最终用户需求确定缺陷危害性等级的方法；结合人工智能技术，开发了安全级DCS缺陷分级的专家系统。并以某百万千瓦压水堆（CPR1000型）核电站安全级DCS缺陷分级过程为例，说明本分级方法和过程，证明其实用性。

1 FMEA技术

失效模式及影响分析（Failure Modes and Effect Analysis, FMEA），是一种前瞻性的可靠性分析和安全性评估方法，通过分析系统中每一个潜在的失效模式，确定其对系统所产生的影响，评估其风险，从而预先采取措施，将风险消除或减小到可接受的水平。FMEA技术始于上世纪中期，目前已广泛应用于航空航天、核工业、汽车、医疗等行业，充分显示了其在安全可靠性评估方面的价值。

FMEA分为部件法和功能法两种，核电站用户的关注点在于保护功能的正确实现。因此，本文的FMEA采用功能法来实施，主要包含以下步骤[2]，如图1所示。

图1 FMEA主要步骤

2 基于FMEA的核电站安全级DCS缺陷分级

2.1系统定义

系统定义的首要任务是分析了解目标系统。核电站通常在既有的成熟安全级数字化仪控平台上搭建满足单一故障准则、独立性、故障安全[4]等设计准则的反应堆数字化控制保护系统，利用平台自带的模块库，对现场传感器采集的过程信号进行相应处理和符合逻辑判断，实现对跳堆（Reactor Trip，RT）功能和专设安全设施驱动（Engineered Safeguard Feature，ESF）功能的逻辑控制。

2.2确定分析的约定层次

根据安全级DCS的功能需求，可以将安全级DCS功能划分为图2所示的四个约定层次，其中，初始约定层次即安全级DCS自身，第二个约定层次为系统所要完成的安全动作，第三个约定层次触发安全动作的“局部脱扣”条件，最低约定层次是构成每个“局部脱扣”条件的系统模块。将分析的约定层次确定为第三个层次，即分析对象是所有触发安全动作的“局部脱扣”条件。

图2 安全级DCS功能层次图

2.3确定失效模式及其原因

分析失效模式及其原因是FMEA关键的一步。对核电站安全级DCS而言，根据其功能需求对可能的失效的发生方式进行归类，得到相应的失效模式[3]。数字化仪控系统的失效多是设计缺陷造成的，与其功能和使用方式有关，故失效模式较为复杂。因此需要分析者在汲取多方面经验的基础上，针对具体的应用进行分析。为了防止单凭人员经验分析而造成的人为遗漏影响失效模式的全面性和准确性，在确定失效模式时，将由以下途径获取的数据作为重要参考。

（1）国内外标准及其他行业失效数据库。尽管基于计算机的大型系统呈现出功能错综复杂、失效模式繁多等特点，国内外的相关标准还是对其通用失效模式进行了描述，其分类方法可以指导核电站安全级DCS失效模式的分析。不同行业在使用FMEA方法进行分析时也形成了适于本行业的相关标准、总结性文件甚至失效数据库，其中的失效模式也可以参考[5～8]。如IEEE1044是国际上具有较高公信度的软件异常分类方法，可作为失效模式的参考；GJB/Z1391-2006中给出了嵌入式系统FMEA的分析方法，其失效模式可根据核电站安全级DCS的特点进行选取；SAE和MIL系列汽车与军事等行业标准和手册中基于计算机的自动化系统功能失效模式的定义方法以及相关的失效模式可以适当借鉴。

（2）以往项目的失效数据。在工程实践中，工程人员将以往核电站安全级DCS的分析经验和积累的失效案例加以总结，归纳出失效模式，形成了基础失效数据库。失效数据的收集贯穿从最初的产品需求、产品设计等阶段直至现场调试过程及运行阶段。

（3）专家经验。组织包括系统、设计、工艺、质量、V&V、现场服务等不同岗位经验丰富的工程师参与自由讨论，从不同的视角对核电站安全级DCS的失效模式进行补充。

通过分析每个“局部脱扣”信号的产生过程所涉及的各个逻辑处理单元，结合上述途径获取的数据，对核电站安全级DCS的失效模式和原因（缺陷）进行分类，形成具有相对功能集中的失效模式集合，见表1。随着后续项目的推进和失效分析的进一步研究，新的失效模式通过固定渠道实现有效的反馈，表中数据会在工程实践中不断更新、完善。

表1 核电站安全级DCS失效模式及原因

2.4分析失效模式影响及缺陷危害性等级

分析失效模式影响，核电站安全级DCS失效影响分为局部影响、扩展影响和最终影响（严酷程度）。其中，局部影响为失效模式对本模块所在功能的影响，扩展影响为对其它调用此模块的功能的影响，最终影响为对整个系统功能的综合影响。局部影响和最终影响分为致命、严重、一般、轻微影响，扩展影响只需填写无影响、影响1E功能、影响NC功能三种，最终影响在综合考虑局部影响和扩展影响的基础上得到。

在FMEA的基础上，根据缺陷的严酷程度、在功能执行过程中发生的可能性和在产品开发过程中的发现难度，计算风险优先数（RPN)，根据RPN的大小对缺陷危害性进行分级。RPN由失效模式的严酷度等级（S）、失效模式的发生概率等级（O）和失效模式的被检测难度等级（D）的乘积计算得出，即： RPN=S×O×D。

根据缺陷分级的基本原理，总结出利用FMEA实现缺陷分级的基本流程，如图3所示。

图3 缺陷危害性分级流程

结合核电站安全级DCS特点，对此公式加以修正使用：

S0、O、D的取值区间均为[0，10]；m取值为1或1.2，扩展影响为1E功能时m值取1.2，其余情况取1；不同的缺陷和失效影响对应的S0、O、D、m分值由安全级DCS相关领域专家评估得到，形成失效数据评分表。

a、b、c为各个因素的占比因子，取值范围为[0，1]，用以调整每个因素在计算RPN时的度量程度，由核电站安全级DCS相关管理人员确定。

由RPN数值的大小，确定各个缺陷的危害性等级。根据以往工程实践，将危害度划分为4个等级：Ⅰ、Ⅱ、Ⅲ、Ⅳ，Ⅰ级危害性最大，Ⅳ级危害性最小。每个危害性等级有其独立的RPN取值区间，区间划分由RPN分值排队决定，满足无缝隙、无覆盖原则。当占比因子的取值变化时，相应的危害性等级RPN取值区间也会相应改变。

2.5缺陷分级专家系统设计

为了更好更有效地应用FMEA的成果，本文提出一种方法，将知识库和人工智能理论运用到利用FMEA进行缺陷分级的方法中，借助专家系统确定缺陷的风险优先数，进而确定缺陷的危害性等级，专家系统的结构设计图如图4所示。

图4 专家系统框架图

系统采用基于B/S的三层架构，包括接口层、应用层和数据层。

接口层将广为应用的WEB浏览器作为媒介，提供用户与专家系统的交互界面。支持异地操作，方便普通用户随时随地登陆系统，通过输入、选择必要的缺陷输入信息，得到系统输出的缺陷危害性等级；维护人员可通过此接口完成缺陷等级查询、新失效模式相关信息的录入和权限管理操作。

应用层是系统的“大脑”，主要实现权限管理、FMEA数据管理、缺陷分级推理三块功能。权限管理为不同用户配置其应有的操作权限，以确保知识库和专家系统的安全性及数据的正确性；FMEA数据管理帮助维护人员实现对专家知识库中的数据进行录入更新等维护工作；缺陷分级推理完成（如图3所示）由用户输入失效模式、缺陷等信息推理计算出缺陷相应的缺陷危害性等级的功能。

数据层是系统的存储区，分为权限库和专家知识库两部分。权限库用于存储用户及其权限信息；专家知识库存储FMEA数据、专家评分以及RPN缺陷等级区间等信息。

3 应用过程

选取某百万千瓦压水堆（CPR1000型）核电站 “跳堆”功能的源量程中子通量高跳堆“局部脱扣”逻辑（如图5所示）为例，说明安全级DCS缺陷分级过程。

图5源量程中子通量高跳堆“局部脱扣”条件

根据前文所述的安全级DCS失效模式及原因等，分析本逻辑中可能存在的缺陷及失效模式等信息，填入表2源量程中子通量高FMEA表中。

根据传感器特性，源量程中子通量信号输入进来需要经过取对数处理，若此逻辑在开发过程中被发现存在缺陷，这个缺陷属于模块类型错误，失效模式为逻辑错误，局部影响为致命，无扩展影响。通过查找失效数据评分表中的对应专家评分，可知S=10，O=10，D=4，顾及安全级DCS对可靠性的要求以及在开发期间对缺陷严重程度应给予更多关注，RPN计算公式中取a=1，b=c=0.5，则此缺陷的RPN评分为63，处在危害性等级Ⅱ的值域区间。

若此逻辑存在两种方法实现同一功能的缺陷，属于逻辑冗余，缺陷模式为不必要的功能，严重程度一般，扩展影响无，查表得到对应的S=4，0=10，D=6,计算得到RPN=31，处在危害性等级Ⅲ的值域区间。

使用缺陷分级专家系统对缺陷进行分级，只需工作人员输入“目标动作”、“功能描述”、“失效模式”、“缺陷”、“局部影响”、“扩展影响”等信息，系统即可自动完成分析过程，输出缺陷的危害性等级。

利用基于FMEA的危害性分级专家系统对某核电站安全级DCS软件需求阶段的缺陷进行危害性分级，得到缺陷数据分级结果如图6所示。经人工验证，缺陷分级结果与人工执行的分级结果一致，分级准确，效率更高。

图6 某项目软件需求阶段缺陷分布图

表2 源量程中子通量高FMEA表

4 结语

通过对核电站安全级DCS缺陷危害性分级方法的研究，更全面深刻地认识了缺陷，形成了安全级DCS缺陷专家知识库和统一、明确的缺陷危害性分级标准；设计了基于上述分析成果的缺陷分级专家系统。弥补了国内核电站安全级DCS缺陷危害性分级方法的缺失，专家系统的使用有助于基于FMEA的危害性分级方法更为方便、广泛地应用，为管理人员、设计人员锁定重要缺陷提供了依据，有效提高了缺陷管理效率，间接促进了核电站安全级DCS可靠性的不断提升。

[1] 陆民燕. 软件可靠性工程[M]. 国防工业出版社, 2011:141.

[2] GJB/Z 1391-2006故障模式、影响及危害性分析指南[S].

[3] Pentti H, Atte H. Failure mode and effects analysis of software-based automation systems[R].Laippatie4, 00880 Helsinki: STUK, 2002.

[4] GB 13284-1998, 核电厂安全系统准则[S].

[5] IEEE Std 1044-1993, Standard to Classification for Software Anomalies[S]. IEEE Standards Board, 1993.

[6] Reifer J. Software Failure Mode And Effects Analysis[C], IEEE Transactions on reliability, vol. R-28, No.3, AUG 1979: 247 - 249.

[7] Antonio César Ferreira Guimarães. Fuzzy FMEA applied to PWR chemical and volume control system[J], Progress in Nuclear Energy, 2004: (Volume 44, Issue 3):191 - 213.

[8] 何鑫, 刘畅, 郑军. 软件安全性与可靠性分析技术研究[J]. 计算机测量与控制, 2012, 20(11):3017 -3020.

A Study on NPP Safety DCS Defect Criticality Classif i cation

In view of the current situation that deficiency in defect criticality classification to the safety-level DCS of the Nuclear Power Plant, the safetylevel DCS of the Nuclear Power Plant is analyzed by using the FMEA technology. All possible failure modes are identified in terms of functional reliability. The failure reason and influence degree is determined. The criticality analyses are added based on the traditional FMEA. A classification method from end user is proposed in the paper. Based on the artificial intelligence technology (AIT) an expert system for defect classification is developed. The application shows that technology and the system runs stably and accurately.

FMEA; Criticality classification; AIT

李静霞（1986-），女，北京人，现就职于北京广利核系统工程有限公司，主要从事核电厂安全级DCS验证与确认方向的研究。

于劲松（1968-），男，副教授，现就职于北京航空航天大学，主要从事自动化技术、航空航天科学与工程、计算机软件及计算机应用研究。