黄素文，徐思敏，陈日罡

(中国核电工程有限公司，北京 100840)

0 引言

可靠性是评价核电厂安全性的重要指标。核电领域可靠性分析标准是在核电发展历程中对可靠性分析技术和经验的总结，是核电标准体系的重要组成部分。可靠性分析的发展离不开标准的支撑。核电设计和运行人员以及有关管理人员只有通过统一的可靠性分析标准才能进行准确的分析和决策。另外，对于相同的数据，如果选择的可靠性分析方法不同，那么所得到的结果也会有很大的差别。这种差别可能是数量级的[1]。因此，需要应用指南类标准对各可靠性分析方法的应用、使用范围、优点和局限等内容给出指导。我国可靠性分析应用指南标准GB/T 9225—1999[2]《核电厂安全系统可靠性分析一般原则》已超过20年，如今该版本已不能满足日益发展的技术水平需求和可靠性分析方法的进步。

1 国内外核电领域可靠性分析标准

目前，国内核电系统和设备可靠性分析的工作和相关标准的制修订主要参考国际电工委员会(International Electrotechnical Commission,IEC)以及美国电气和电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)制订的标准。本文重点调研和分析了IEC和IEEE可靠性分析标准体系。

1.1 IEC的可靠性分析标准

IEC制订的可靠性分析标准体系，从可信性管理系统标准IEC 60300-1出发，包括可信性相关的纲领性文件、应用指南和工具标准。IEC可信性标准体系结构如图1所示。IEC标准体系中，可靠性分析方法相关的标准为IEC 60300-3-1[3]《应用指南：可信性分析技术方法指南》及其工具标准IEC 60812[4]《故障模式及其影响分析方法(FMEA)》、IEC 61025[5]《故障树分析(FTA)》、IEC 61078[6]《可靠性方框图方法》、IEC 61165[7]《马尔可夫技术应用》、IEC 62502[8]《事件树分析(EAT)》、IEC 61882[9]《危险与可操作性分析(HAZOP)应用指南》等。

图1 IEC可信性标准体系结构示意图

1.2 IEEE的可靠性分析标准

IEEE制订的标准体系，从核电厂安全系统设计准则标准IEEE 603出发，也包括相关的纲领性文件、应用指南和工具标准。

与可靠性相关的标准包括IEEE 577[10]《核电厂安全系统设计和运行的可靠性分析要求》、IEEE 352[11]《核电厂安全系统可靠性分析一般原则》和IEEE 7-4.3.2[12]《核电厂安全系统中数字计算机的适用准则》。IEEE 577是核电厂安全系统可靠性分析工作的总体要求，规定的是相关工作可接受的最低限度要求。IEEE 7-4.3.2规定了计算机用作核电厂安全系统设备时的一般原则。IEEE 352在核电厂安全系统及其他核设施的可靠性分析领域作为基础指导文件，提供安全系统可靠性分析的基本原则和方法。该标准详细说明了可靠性分析的基本原则和方法，从定性分析、定量分析、数据采集、可靠性方法的应用等多方面提出了指导方法和原则，对可靠性分析的开展和实施有重要的指导意义。

IEEE标准体系结构如图2所示。

图2 IEEE标准体系结构示意图

1.3 IEC与IEEE可靠性分析应用指南的对比分析

作为可靠性分析方法的应用指南，IEC 60300-3-1和IEEE 352相比，给出了在可靠性分析方法的使用和选择方面描述更简洁且更普适的原则，具体步骤需参考相应的工具标准。IEC 60300-3-1包含了IEEE 352没有提到的方法，比如Petri网格法、危害和可操作性(hazard and operability,HAZOP)研究法等。各方法所举的例子没有明显的行业倾向，例如附录A故障树法中的扩音器例子、事件树法中的车轮胎故障例子等。

IEEE 352针对核电领域普遍应用的可靠性分析方法给出了指导，对核电领域可靠性分析需要考虑的特定因素进行了详细的解释，比如定性分析和定量分析中对共因故障的考虑、核电厂安全系统可靠性数值指标的确定等。各方法所举的例子是针对核电系统或设备的，例如附录中应用各种可靠性分析方法对核电站事故停堆功能失效案例进行了分析。

总之，IEEE 352在应用领域、分析方法范围、案例等方面更具有核电行业针对性。

1.4 我国可靠性分析标准情况

国内核电领域使用的可靠性分析标准如表1所示。GB/T 9225—1999等效采用IEEE 352-1987，由全国核仪器仪表标准化技术委员会归口，是我国核电领域仪控电安全系统的基础性标准之一。该标准从上层系统级的可靠性分析到下层设备级的可靠性分析，都参考了GB/T 9225—1999中的定性和定量分析方法。国内核电领域专用的可靠性分析工具标准仅NB/T 20096—2012[13]《核电厂系统故障模式与影响分析》和NB/T 20558—2019[14]《核电厂故障树分析导则》，由核工业标准化研究所归口；NB/T 20096—2012非等效采用IEC 60812：2006，结合核电领域特点规定了核电厂系统FMEA和FMECA的一般方法、一般原则和实施步骤；NB/T 20558—2019主要参考GB 7829-87、GJB/Z 768A和NUREG-0492，规定了核电厂故障树分析的一般程序和方法。另外，GB/T 37981—2019[15]《可信性分析技术可靠性框图法和布尔代数法》等同采用IEC 61078：2006，GB/T 7826—2012[16]《系统可靠性分析技术失效模式和影响分析(FMEA)程序》等同采用IEC 60812：2006，GB/T 37080—2018[17]《可信性分析技术事件树分析(ETA)》等同采用IEC 20502：2010，都由全国电工电子产品可靠性与维修性标准化技术委员会归口，它们都不是针对核电领域的。

表1 国内核电领域使用的可靠性分析标准

由此可见，我国可靠性分析标准在制修订过程中主要参照国际国外先进标准的成熟经验；已建立核电领域可靠性分析的上层应用指南，但标龄很长；针对核电领域的可靠性分析工具标准并不完整。

2 IEEE 352标准分析

经上述分析可知，GB/T 9225—1999亟需修订，且更合适参照IEEE 352-2016进行修订。为了支撑GB/T 9225—1999的修订，需对IEEE 352的发展历程、升版内容等进行分析研究。

2.1 IEEE 352的发展历程

1975年，IEEE 352首次发布。在这一时期，可靠性分析领域处于发展阶段，刚刚形成流派，以北美和欧洲学者为代表。可靠性分析领域的研究主要处于理论研究阶段，实用的机会并不多。所以在1975版中，很多术语、方法的描述和给出的建议包含了探讨的成分和非经实践检验的成分。

从20世纪90年代开始，可靠性评估从理论研究转向实用。IEEE 352-1987版较1975版增加了马尔可夫模型、蒙特卡罗方法及GO法。这些方法都是后来被广泛应用在可靠性分析工作中的实用方法。此版本中还增加了一些方法的算法和可靠性分析方法的应用，对可靠性分析工作有重要的指导意义。

经过30年的发展，2016年IEEE 352进行了版本升级。此版本修订了理论研究阶段的成果，对可靠性分析方法中的术语、方法描述、理论依据和应用建议都给出了更为精确的描述，优化了定性可靠性分析方法的步骤，在定量可靠性分析的步骤中增加了结论性的评判。在2016版中，还融合了其他标准中的成功案例和方法，并给出了出处和理论依据。IEEE 352-2016现已生效，成为国际上该领域的先进标准。

2.2 IEEE 352-2016修订内容

IEEE 352-2016的修订内容主要包括以下几个方面。

2.2.1 适用范围及概念

IEEE 352-2016通过修改标准名称和范围，更加明确了该标准中的可靠性和可用性分析方法可应用于核电站和其他核设施的构筑物、系统和设备，而不是仅适用于安全系统。

修改共因故障的定义，并增加共模故障的定义，将共因故障与共模故障明确区分开。

1987版可靠性分析中的人因还是较新概念。2016版修改了这部分内容，并补充了在可靠性分析中考虑人因时要参考的标准，如IEEE Std 1082TM、NUREGCR-3010等。

2.2.2 定性分析相关内容

IEEE 352-2016在定性分析步骤增加了“提出识别出的潜在问题的改进”，并提出需要确定改进的优先顺序。

另外，FMEA增加了故障模式的等级划分工作，包括严酷度等级S、发生度等级O、可探测度等级D。S代表故障模式后果的严重程度，O代表故障模式的发生概率大小，D代表故障模式可探测的程度。给S、O、D分别设置评分制度，然后将每个故障模式对应不同的分值。通过对S、O、D等级的使用，有助于分析者确定优先处理哪些故障模式。在附录B“说明性的例子”中，应用了S、O、D等级，首先给出了S、O、D等级量表，然后根据等级量表确定例子中各模式的S、O、D等级，并给出了严酷度等级S与发生度等级O的乘积在故障模式处理优先级中的应用。

2.2.3 定量分析相关内容

IEEE 352-2016删除了定量分析中的GO法。

另外，在可靠性方法的应用章节和附录B中，补充了蒙特卡罗方法，给出了它的特点、用途及使用示例。蒙特卡罗法能用在对系统运行较重要的系统维修分析上，或者是使用非恒定故障率分布确定早期失效或部件磨损对系统运行的影响。在附录B中，对具体实例应用了蒙特卡罗法。假设故障时间为指数分布，分别使用了2种维修策略。先是采用部件故障后在周期结束前不维修的策略，计算得到的系统可靠性不满足指标要求。然后更换维修策略，在部件故障时马上维修，并假设修复时间是布尔分布。改变维修策略后的系统可靠性满足了指标要求。

2.2.4 补充MTTR的确定方法

IEEE 352-2016增加了附录C“平均修复时间的确定”，给出了一种确定部件平均修复时间(mean time to repair,MTTR)的方法。首先介绍了维修过程的一般步骤，共12步，分别是召集、情况通报、访问控制、查实前提条件、故障排查、备件获取、预配置、拆卸、重新组装、检查、后期配置、测试。然后给出这12个步骤的持续时间分级表，将各部分的持续时间相加，得到部件的MTTR。最后使用该方法估算控制系统中一类柜装模件的MTTR。

2.3 修订内容适用性分析

要确定GB/T 9225—1999中需要修订的内容，还要结合国内核电领域可靠性分析工作的实际需求和技术发展，对IEEE 352-2016修订内容进行适用性分析。以下以IEEE 352-2016中删除GO法这个条款修订为例，进行适用性分析。

GO法是以成功为导向的系统可靠性分析方法，适用于有多状态和有时序的复杂系统的可靠性分析。姜千等描述了GO法在核电厂高压注水系统及备用发电系统可靠性分析中的应用，并重点阐述了核电厂仪控板件可靠性预计中GO法的应用和方法[18]。他提出GO法因其自身的特点而适合应用于核工业系统的可靠性分析，采用GO法进行系统的可靠性预计是实际可行且有效的方法。在电子设备可靠性预计中，发展GO法应用有着重要的意义。运用GO法，分别对主给水泵组系统、电气主接线系统、丧失厂外电事件和全厂断电事件、实验快堆的核级循环冷却水系统、反应堆安全注射系统、大亚湾核电站外电源系统、反应堆冗余泵组系统进行可靠性分析[19-26]。李哲等将GO法和马尔可夫方法相结合，对PSA中厂外电源丧失后柴油发电机应急响应系统在24 h内缓解全场断电事件中的动态过程进行了分析，解决了存在维修相关问题时的可修系统可靠性精确计算问题[26]。樊冬明等提出动态贝叶斯网络的可修GO法模型算法。该算法无需考虑共有信号问题，且计算简便、易于理解，便于在工程中推广应用[27]。沈祖培、任鑫等利用GO法对核电站中可修系统的共因失效进行了分析[28-29]。

相较于其他方法，GO法在可靠性分析中能解决特定的问题，在国内核电领域可靠性分析中有一定的应用前景。对此，建议在修订GB/T 9225—1999时保留对定量分析GO法的描述。

3 结论

完善的核电领域可靠性分析标准体系对于评价核电厂的安全性至关重要。基于上述对国内外可靠性分析标准体系以及我国可靠性分析标准的研究可以确定：我国核电可靠性分析应用指南GB/T 9225—1999因使用时间长而亟需修订；IEEE 352比IEC 60300-3-1在应用领域、分析方法范围、案例等方面更有核电行业针对性；GB/T 9225—1999的修订可参照IEEE 352-2016。在此基础上，通过对IEEE 352的发展历程、修订情况及适用性分析，为我国核电可靠性分析标准的制修订和标准化工作提供了借鉴和参考。另外，我国核电领域的可靠性分析工具标准还不完整，仍需进一步的研究。