王佳 卢冲
【摘 要】针对核电厂软件完整性等级为3和4的安全级系统进行安全性分析。在安全性分析的过程中,主要对系统软件部分进行功能故障模式及影响分析,识别危险及发生的可能性,建立风险评估矩阵,确定风险等级,从而提出有效的风险控制措施,来消除或减少对系统乃至核电厂的安全影响。
【关键词】软件完整性等级;安全性分析;功能故障模式及影响分析;危险;风险评估矩阵
中图分类号: TM623 文献标识码: A 文章编号: 2095-2457(2018)05-0210-001
0 引言
核电系统作为自带固有危险的复杂系统,完全消除全部危险是不可能的。既然无法消除所有的危险,其安全的目标就是开发具有可接受事故风险的系统。根据MIL-STD-882D对系统安全的定义:贯穿系统寿命周期各阶段,在系统使用效能以及适应性、时间和费用约束下,应用工程和管理的原则、准则和技术,使系统达到可接受的事故风险。危险总是存在的,安全性分析的基本目标就是在尽可能大的范围内识别、消除或控制、评价、记录危险,生成风险评估矩阵,有意识地将危险发生的可能性降到可忽略的水平,从而达到挽救生命和财产损失的目的。
1 正文
本文针对核电厂的安全级仪控系统设计过程进行安全性分析。安全级仪控系统设计是制约和影响核电厂安全级仪控系统可靠性和安全性的基本要素之一,是进行核电厂安全级仪控系统自主化的重点和难点问题。因此,对核电安全级仪控系统进行安全性分析是十分必要的。在开始安全性分析前,先对安全级系统进行关键性分析,这里,根据项目需要,只对软件完整性等级(SIL)为3和4的系统进行安全性分析(具体软件完整性等级划分参见IEEE1012标准),验证分配的软件完整性等级是否正确。
安全性分析是基于系统的原理和方法,识别、分析系统功能中存在的危险因素,并对其定性描述的过程。通过这个过程,能够充分地了解、识别系统中存在的危险,预估事故发生的概率及可能产生的伤害及损失的严重程度,为确定哪种危险能够通过修改系统设计或更改系统运行方式提供依据。
首先,对安全级系统功能进行失效模式及影响分析(FMEA),识别出潜在的危险及其可能发生的频率,根据影响的功能类别,对功能故障可能带来的最坏的危险影响等级进行划分。核安全导则HAD102/14依据功能的安全重要性,将核电厂安全重要仪表和控制功能分成A类、B类、C类和D类四类危险,引起危险的严重程度也对应地分为灾难性的、严重性的、微小的、可忽略的,两者对应关系如表1所示:
根据每个危险出现的频率大小分成五个不同的等级,危险可能发生的频率如表2所示。
根据危险的严重度以及可能发生频率,建立风险评估矩阵,此风险评估矩阵是定性的,即是将每个故障模式发生的可能性分成离散的级别,比较每个功能故障模式的危害程度,结合严重度及发生频率,绘制风险评估矩阵,横坐标一般为危险的严重度,纵坐标为危险发生的频率。从而,确定风险的等级,如表3所示:
风险评估矩阵为系统确定改进措施的先后顺序提供了依据。通过确定的风险等级,审查需求、设计及实现是否满足安全性要求。若不满足,提出改进措施建议,消除危险。同时,持续跟踪系统中的危险和残余风险。
2 总结
危险存在于核电的整个生命周期,因此,安全性分析在核电系统设计的最初阶段介入,尽早开展基于事故的预防措施,并持續到系统使用寿命的终止。核电厂的安全级系统更是对安全性有着极高的要求,确保安全任务的完成,通过有意识地消除危险或降低危险,尽早采取防护措施以避免系统后期进行更改。提前发现危险并制定相应的控制措施阻止或降低其发生的可能性,从而提供整个核电厂的安全性及可靠性。
