NB-T20648-2023核电厂系统失效模式、影响及危害性分析指南.docx

《NB-T20648-2023核电厂系统失效模式、影响及危害性分析指南.docx》由会员分享，可在线阅读，更多相关《NB-T20648-2023核电厂系统失效模式、影响及危害性分析指南.docx（49页珍藏版）》请在课桌文档上搜索。

1、ICS27.120.20F65NB中华人民共和能源行业标准NBZT206482023代,NBT200962012核电厂系统失效模式、影响及危害性分析指南Guidetofai1.urenodes.effectsandcritica1.ityana1.ysistorsystemofnuc1.earpowerp1.ants(IEC6081.2:2018.NEQ)AfA2023-05-26布国家能源局发布前言I1.I范围I2规范性引用文件I3术语和定义及缩略语13.1 术语和定义I3.2 缩略语24综述24.1 基本原理24.2 目的和目标34.3 )f,付1111111154.4 人员配置54.5

2、FMEA的更新55失tttttttta551PIO55.2 分析流程65.3 琏本任务66失效模式、影响及危古性分析146分析目的145.4 FMECA与MJ分析的将1463危击献阵祛145.5 危古性绘图法175.6 风降优先数（RPN）法175.7 备选风险优先数（ARPN）法197其它考虑因笳197.1 共因失效197.2 人员因素207.3 软件缺陷207.4 FMEA和FMECA涉及的系统失效后果228文档的编制22&I妁3）三翻I内容228.2 文档的格式22附录A（资料性）FMEATMEcA步骤及工作表24附录B（资料性）分析示例27附录C（资料性）物项失效影响的分类示例42附录

3、D（资料恂FMEA和FMEeA应用44参考文献46本文件按照GBjT1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草.本文件代誉NB,，T20096-2012核电厂系统故障模式与影响分析.并符文件名称修改为核电厂系统失效模式、影响及危害性分析指南3.与NB/T200962012相比主要技术变化有：一修改了术语“失效”、,故障”、失效影响”、“失效危害性”的定义：增加了术语“系统”及其定义：-完善仆MEAFMECAi旅程图： 增加了失效模式判据的要求： 完善了第一种呼酷度划分的定义和描述： 增加r危杏性绘图法和备选风险优先效法的说明和要求： 增加了典型的软件失效原因和

4、失效模式： 修改了附录B分析示例：一完善了冏录C物项失效影响的分类。本文件使用虫新起草法参考IEC60812:2018.Fai1.uremodesandCffeCtSana1.ysis(FMEAandFMECA烯洌，与IEC60812:2018的致性程度为非等效。本文件由能源行业核电标准化技术委员会提出。本文件由中国核电发展中心归口。本文件起草:单位：中广核工程有限公司、中国核电工程有限公司、上海核工程研究设计院有限公司、苏州热工研究院为一限公司.本文件主要起以人：段枫、徐志新、王金凯、杨健、卓住斌、王李娟.核电厂系统失效模式、影响及危害性分析指南1范BI本文件规定了核电厂系统失效模式与影响分

5、析（FMEA）和失效模式、影响及危杏性分析（FMECA）的方法、一般原则和实施步骤，本文件适用于核电厂设计、建造、运行、退役等各阶段中的系统FMEA和FMECA.核电厂设备FMEA和FMECA可参照本文件执行.2提范性引用文件卜列文件对于本文件的应用是必不Ur少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注口期的引用文件，其坦新版本（包括所有的修改单）适用于本文件。GJB/Z1391故障模式、影响及危杏性分析指南3柿和定义及语a下列术语和定义适用于本文件.3.1.1失效fai1.ure物项执行规定功能能力的终1匕3.1.2fau1.t物项不能执行某项规定功能的状态.因预防性维修

6、或其它计划性活动,或由于缺乏外部资源造成不能执行规定功能的情况除外。注1：故Wfi常是物W1.身失及后的1胜,但也可能在失效前就存在.注2：本文件中术语“失效”与“故阳”可昔换例乩3.1.3划模fai1.urenode失效的表现形式，如何门拒开、拒关等。3.1.4失效影响fei1.ureeffect失效模式对物项的运行、功能或状态所造成的后果.3.1.5失效危害性fai1.urecritica1.ity失效严酷度（31.6）与其发生概率或其它属性的综合,作为处埋和缓解失效影响的必要性尺度.3.1.6SfeMRMtfai1.ureseverity失效模式所产生后果的产i程度.3.1.7内定次In

7、denture1.eve1.根据系统FMEA和1.:MEeA的需鬟,按照系统功能关系成组成特点进行FMEA和IiMECA的功能层次或结构从次的划分,一般是从红杂到的单依次划分。3.1.8初始的定层次initia1.indenture1.eve1.系统FMEA和FMECA沟定层次中最高的层.是FMEA和FMECA最终影响的对软.3.1.9mit-一个吞限定性的术语，用来泛指元器件、零部件、料件、设招、分系统或系统.可以指硬件、软件或两者的结合，特殊怡况b也包括人在内.3.1.10量低的定层次IoWeStindenture1.eve1.约定层次中段底层的物项所在的层次,决定了MEA和EMECA工作

8、深入、细致的程度.3.1.11其它的定层次Otherindenture1.eve1.s相继的妁定层次（第二、三、四等）,这些层次表明了直至较简单的组成部分的仃顺序的排列-3.1.12系歧systa相关或相互影响要素的集合。3.1.13单元unit一个等限定性的术语，用来泛指系统的各出成部分.3.2缩略语ARPN:各选风片优先数FMEA:失效模式，；影响分析FMECA:失效桢大、影响及危害性分析RCM:以可雏性为中心的堆修RPN:风险优先数4瀛述4.1 基本原理核电厂系统FMEA比一个标准化的分析流程.用以在核电厂各阶段识别系统潜在的失效模大、失效原因及其对系统性能（直接对应的单元及整个系统或工

9、艺流程的性能）乃至核电厂安全和经济的影响.此处的系统是指核电厂正常运行、成功预防和援解力故所需的各类系统，系统也成包括硬件和软件FMEA先将系统逐层分解为基本单元，即将所分析的系统按初始约定层次、其它约定层次以及G低妁定层次迸行划分，再采用自下而上的方式，从公低约定层次的单元开始分析，逐层分析直至识别出所有朝元对系统的始终影响为止.较低约定层次单元的失效模式的影响可能成为紫邻的较高约定层次单元的失效模式,又是紧利的更高层次单元的.以低内定层次决定了系统EMEAr作的详细程慢.可以根据不同的分析目的来确定最低约定层次（从系统功能框图的呆顶层直至各部件的功能或软件命令行）。图1闱明了这种关系.FM

10、EA-股处理各单个失效模式及其对系统的影响,每个失效模式都视为是独立的.因此不适用于处理相关性失效或由于一系列事件所导致的失效.要处理这些情况,宜采用其它方法或技术.如马尔可夫过程或故障树方法.在确定失效影响时，必要时应考虑可能引发的更四层次及同一层次的失效，在仅通过FMEA难以识别作为更高层次影响的原因的失效模式组合或序列的情况下,可能要采用其它的方法,如故障树方法建立额外的模型来评估导致这种影响的失效模式殂合，并估计其发生概率伯或其量级。HVIEA可用来识别系统潜在失效模式的严酷度，并指出可能降低风舲的慑豺措施，在有些闽月中,FMEA也包括了列出失效模式发生概率的估计值,提供失效模式的可能

11、性的僮1格使分析更为深入.FiEA是一个灵活的工具，可进行适当调整以满足特定需求.对某叫应用，FMEA工作表的形式应做相应谓整.对不同系统或系统的不同层次，严酷度等欲的定义可能守所差别.F期EcA作为川EA的扩展,对失效模式严酷度的划分排序,可用于确定防御措施的优先级.这可通过危胃性这一所依标准来实现，危杏性综合考虑了严酷度和发生概率或其它属性。对FMEA所做的-微定性考虑均UJ应用于FMECA,4.2 目的和目行实施FMEA或FMECA是为了识别对系统运行有不利影响（加阻碍运行或使运行明显感化，或影响人员安全）的失效，以达到以下目的：a）尽早介入设计,以有效的控制设计和改进的成本：b）识别风

12、险，为风险管理提供支持；O为其它可靠性分析提供基础,例如支持系统可靠性或安全性的改进：d）开发和支持可靠性测试程序：e）为雄蟋和支持程序提供基础，例如以可毒性为中心的维修（RCM）;f）作为资产管理体系中的一个关键过程：g）湎足其它需求。基于以上目的，开展系统FMEA或FMECA的目标包括：a）在系统各功能级别上，全面识别及评估由任何添因引起的所分析的系统边界内的不利影响,以及每个已确定的物项失效模式所引起的失效序列：b）对影响系统实现其功能、性能的每个失效模式，确定其危害性或处理和缓解措施的优先级：C）对识别出的失效模式按照其特性进行分类，包括探测性、诊断性、试验性、补偿及运行措施（修理、维

13、护、后勤保障等）;d）识别臻统功能失效，并估计其严酷度及失效率：e）制定降低失效模式影响的设计改进计划；n支持制定有效的维修计划以线解失效影响或减少失效的可能性.NBZr20fr4H-2O2j干系统2子系统1子系统4千廉统5干系统3系统失效能B1.后统失效模式影响：子系统4失效模块I模块2广系统1影响：模块3失效模块3极块1r系统，1失效便因央点就部件3部件I就02,部件5模块3失效也区邮件模块3,失效模式影响：部件2失效影晌：产生失效模式3说因】原因2M3K件2失效模式3的失效原因1系修次中央败或强央次件的关K注I模块是折子系统中功能不元,子系统内任模块失效将导致该干泵统失效.4.3 开时机

14、开展FMEAH1.FMECA的时机北常关键.在核电厂设计的W期.如初步设计阶段就开始实施FMEA或FMECA.那么由FMEA或FMECA所识别出来的系统跳陷就可能通过修改设计以较低成本来有效施补恺.冈比，FMEA和FMECA任务应行作核电厂设计过程的部分.FMEA和FMECA与核电厂设计是同步反复迭代的过程.在核电厂设计阶段，一旦能终根据己有设计信息绘制出系统的功位框图，并能够清苑定义框图中各单元的性能，就具备了开展系统FMEA和FMECA工作的条件.在核电J,运行阶段，可在设计阶段FMEA或FWECA工作的基础上，根据特定目的，进一步开展BfEA或KffiCAI作.4.4 人员配置完整的PM

15、EA或FMECA是团队工作的成果，对可能片侦系统部件失效的各种潜在缺陷的概率及其后果的认识和评价应各类专业人员参与划常情况下，系统PMEAI：作可由系统行要设计人员在可SK性专业人员的指导或支持下实施,必要时还应征询其它专家的遨见.这些专家可包括机械工程师、电气工程加，系统工程加、软件工程师、维修工程师、人因工程加和安全工程师等。FMEA或FMECA要求团队或成员对下列事项负责：一管理执行FMEA或FMECA的过程：-决定FMEA或FMECA的形式，使其适合应用环境：一一识别和分析系统或部件失效模式和彬响：一一确定甯要采用的措施：箱FMEA或FMECA形成报告.包括处理方法和建议.4.5 FM

16、EA的更新在核电厂整个寿期内，FMEA或FMECA可以在核电厂的多个领域发挥作用（卷见印录D）,因此应将FMEA或FMECA的更新作为项IK要工作,以制的FMEA或HMECA可能并不要求对系统忏透彻的理料,但碰落设计的深入，应开飕更详细的分析.在核电厂设计阶段,如系统设计有变更,应审杳与之相关的FMEA或FMECA部分并视情况及时更新.在核电厂运行阶段,应根据运行经脸反馈或实际情况的变化（如实施工程改造后,及时审&与之相关的FMEA或FMECA部分井视情况进行更新.5失效模式与整分析5.1 -tt*M什对不同的目的,I:国的具体实施方式通常有较大差异,但分析时都要识别失效模式、失效原因、局部影

17、响及最终影响.分析制果可以用FMEA文档的形式给出，其核心内容包括整个系统的挺本信息、实施细节、FMEA工作衣等.FMEA工作衣中蛤出系统潜在的失效路径、作为系统失效原因的部件失效模式、以及婚个失笠模式的晚因等信息。如果系统中的部分设计是时以往设计的重复或改进，则FMEA的工作量可有所减少,因此，薪开展的4EA宜G大程度地利用已有的分析成果，对新的特性和物项，FMEA可能需亶试及或分析的支持，当使用参考电厂或参考技术方案已有的系统设计的FMEA成果时.陶确定目（W的设计是否和已有的设计一致.如果使用方式、环境及运行条件不同.瞩基于原有设计的FMEA成果可能不适用,应做修正或里新实（4FMEA.

18、FMEA程序主要包括以下4个步技：a）确立基本原则、工作计划和进度安排：b）选用合适的I：作表实施FMEA:c）编制文档：d更新FME*.更详细的实施步骤及FMEAI：作我的格大参见明录A.FMEA位例参见附录B.1.5.2 分析SUi图2给出的分析流程图,说明了以系统部件为最低约定层次如何开展分析，其它约定层次的分析可以参照执行。5.3 苔本任务5.3.1 9述开展FMEA和PMECA分析前应编定包括分析活动、流程及其与其它可琼性活动的关系、刿正行动的管理和关闭程序以及相应的工作计划等.在实施中，应包含以卜基本任务：明确系统结构、确定分析物项功能的失效利据，见别失效模式*识别失效原因、价定失

19、效影响,稳定失效探测方法、确定失效补f费措施以及确定失效模式严酷度。5.3.2 明系维Ia构5.3.2.1 收编票罐信总系统信息应包括以下内容：a）系统在整个核电厂中的功能和作用：b）系统的输入及输出：O不同系统单元的特点、性能、作用和功能Id）各现元之间的逻斛关东：e）冗余程度及性质：0不I司运行模式下系统忍置的变化.5.3.22定义系统边界系统与我所处环境（包括与所分析的系统有接I的其它系统）之间的物理及功能接口构成系统边界.分析时所定义的系统边界的反唳设计和维修已定义的边界.在边界之外的系统和（或部件,分析时不于考虑，系统边界可按硬件或软件定义,也可按功能定义.在系统功能复杂、边界内的系

20、统单元有多点相互联系、并旦边界上有多种俄H1.的情况下，按功能定义边界比按硬件和软件定义边界能更有效地限制与其它系统之间的输入输出数量,这可简化分析工作.工作完成（如果合适,确定下一次的版本修订时间）BQ2分析流程1.3.2.3 分析次应确定系统FM1.A的约定层次.如系统可被分解为子系统、模块、单个部件（见图D等层次.根据分析目的和可用信息，确定分析层次可采用以F几条原则:a）从设计概念及规定的输出要求来选样系统的初始约定层次：b）坡低内定层次应保证分析的有效性.即该层次的信息足以建立功能的定义和描述.对基于成熟设计的系统，有较而的可林性、雄怪性及安全记录，分析可略为简单一些“反之，对新的设

21、计或系统可热性记录僦乏的情况,就应进行更为详细的分析,并有相应更低的栗统层次：C）在确定较低的系统层次时.可参照规定的或预期的维修层次.FMEA中失效模式.失效影响、失效原因的定义取决于分析的层次和系统的失效判据.地疔分析的深入.低层次的失效影响可能成为高层次的失效模式,而低层次的失效模式则可能成为高层次的失效原因.相关逻轿参见图1.1.3.2.4 立构EB应采用图形的方式来表示系统结构,加系统流程图、系统功能框图和可旅性框图.系统结构图应收示出单元之间串联或冗余的关系，对具有多种运行模式的系统，有可能要劝解个运行模式绘制示意图，系统劫使框图是进行FMEA的制础，是表示系统及系统各功能单兀的相

22、互关系，以及系统和侍个约定层次的功能设辑联序的一种功能模型,通过绘制系统功能板图,不仅使系统各姐成部分所承担的任务功能一目J然，而且能清晰地表示功能级间的关系，系统功能框图的绘制应作为PMEA工作的一部分,并在FMEA文档中给出.系统可能性框图指用方框衣示的谷祖成佛分的失效或它们的殂令如何导致系统失效的逻辑图.它是分析每个失效模式所能造成影响的选弱依据。系统IiJ一运行阶段或两一运行模式都可能对应一个独立的可靠性机图,这是因为物项的用途及危害性可能Wi看运行阶段或运行根式的不同而有所变化，系统功能根图和可靠性根图的示例参见附录B.5 .3.2.5明赭ft运行应明确说明系统在核电厂不同运行模式下

23、的状态以及不同的运行阶段中系统及其部件的位置或配置发牛的变化，应定义系统呆低的性能饕求,从而清凭地定义成功和（或）失效网据.应根据可达到的规定的以低性能水平和可接受的被火损伤或伤害程度,考虑可用性和安全性的具体要求.为此,应对以F内容有准确的了解:a）系统可能执行的每一项功能的挣续时间Ib）试验周期及熄程IC）在系统发生产重后果之前采取纠正措施的允许时间：d）整个装置、环境和（或）人员，包括与运行人员的接口界面及相互影响：c）系统启动、停运及其它运行瞬态的W作规程：f）各个运行方式的控制；g）预防性和（或纠正性推怪.6 .3.2.6明系修环境应明隔说明系统的环境条件,包括周围环境以及由于附近有

24、其它系统存在而带来的环境影响.系统的说明中应包括与辅助或犬它系统的关系.相关性和接口,以及，人员的接口.核电厂初步设计阶段上述信息通常并不完整，因此要来用一些假设.随着设计的进展，应对原有假设进行评估,并根据新的信息或新的假设来修改AtA.实MinfEA木身也行助于确定系统所制的环境条件.5.3.3 定分析9i功修的失效在开展系统HMEA之前,福明确说明埒个分析物项的所行功能：应定义埒个已见别功能的失效刊据.以便能够决定什么构成失效.从而识别失效模大.每个分析物项的功能都可以从系统设计手册或於他可用的来源获知.失效判据根据已识别功能的性能标准确定，所选择的性能标准应该代表在系统的使用环境中实现

25、物项功能所必需的性健水平，而不是物项的废力，例如对干主给水系统的满负荷隔尚伸，快速关闭时间要求小于5秒，如果发现其关闭时间大于5秒，则认为其隔诲功能失效.快速关闭时间要求小于5秒是其性能标准.而实际能在4杪内关闭足其具品的能力.5.3.4 识别失效大识别失效模式的方法的、a）依据设计目标和详细的功能分析：b）参考同类系统的信息（如臼IEA成果、试脸结果、运行经验、失效记录等）；c）由系统运行的典型功能拿数和物理参数求推演：d）参考供应商提供的潜在失效模式消电：e）冬考通用或典型的失效模式清单.注；通用失效模式可轸考国家核安全局发布的W中国核电厂设在可他性数抠报告；典里的失笠模式可忿考表1和表2

26、,表1适合于设计初期的失效模式分析：表2适合F详细设计的失效模式分析。由供应商提供的设普信息可作为分析工作的基础.对于新的设计，应采用第a）或第c种方法，并使用第S种方法进行补充.在采用第b）f方法时应考虑到陶力及运行环境本身可能有很大差别：对于成熟设计，在确定使用方式环境及运行应力基本不变的IW提下,可采用第S种方法.如果依用方式.环境或运行应力发生变化,应采用第c种方法进行补充.应分析系统边界内与分析目标相当的最低层次的所有用件或零件，以识别出所有失效模式，然后确定可能的失效Ki因以及对子系和系统功能的影响.识别失效模式时应考虑以下因素：a）系统所执行的功能：b）系统所涉及的具体部件：O系

27、统运行模式；d）相关运行双格书；e）时间限制；D环境条件：g）人员操作紧张度.分析时应注意：a1复杂系统可能具有多种功能,应找出捋个功能的全部可能的失效模式,应对坂个功能在各阶段可能的失效模式进行分析：b）应区分功健失效和潜在失效.功能失效是指物项或物项的部分不能完成预定功能的事件或状态,潜在失效是指物项或物项的一部分将不能完成Hi定功能的事件或状态.它是指功能失效将要发生的一种可提别的失效（人工观察或仪器探测）的状态,例如管道裳蚁发展到一定程度（达到可发现的状态时即剧于潜在失效），将发生府道断裂（功能失效）.图3给出某系统管道的功能失效和潜在失效的示例，赛1典St的失效式（餐略的）序号失效模

28、式12在规定的工作时间内不工作3在规定的理工作时间内工作A同取1：作或工作不校定5工作中输出消失或故（如性能下祥等）表2兵就的失效模式（详切的）序号失效模式序号失效模式I结构失效（破摘）23淘后运行2弼结或卡死24物人过大3（机械的）共聚25牧人过小-1不能保抖正常位盥26输出过大5（处于关闭状态的设备）拒开27验出过小6（处广打开状志的设备）拒关28烧入7（处于关闭状态的改符）误开29无输出8（处于打开状态的诊备误关30（电的）坦路9内需31（电的）断路IO外调篁（电的）参数澹修11超出允若（上限）33（机械的）裂线12超出允差（下限）S4（机减的）折断或厮裂13误启动35动作不刎位14间中

29、性工作36动作过位15源移性工作37不以配16僚误指示38（机械的）黑动17流动不畅或堵塞:妁（机械的）松动18任设动作40（机械的）脱落19不便卷动41（机椎的）弯曲变形20不能停运42（机用的）扭转变形21不能切换43（机械的）拉伸变形22提前运行44（机械的）压端变形用3功偿失效与雷在失依的美JK5.3.5 VuN失蚊因对分析过程中所识别出来的失效模式，并非每个都有必要去识别Ju泉因，应根据失效影q;J及其严酷憧来进行失效吼因的识别和描述，并提出爱睇建议,失效模式的影响抬严重，其原因的识别和描述盛该居准确和洋细,那些对于系统功能没彳影响或影响轻微的失效，不必进行洋利的分析.同一个失效模式

30、可罐有多个失效炭因.对保困下去的每个失效模式，应识别和描述最有可能的独立的失效K1.因.失效原因可通过对现场失效成试收件失效的分析来礴定.对于全新的设计且汉皆可以借监的短验时.失效的原因可通过专事判断确定.识别IHft1.个失效模式的原因后,应刘了其发生概率和影响的产腑度米评估铤议采取的行动.分析时应注怠Ia)正碉区分失效模式与失效原因,失效模式一般是可观察到的失效表现形式，而失效模式的ft接Mw或间接原因是设计缺高、制造缺陷或外部因素；b应考虑相相约定层次之间的关系低层次的失效模式往往是高,层次失效模式的原因：O当某个失效模式存在两个以上失效原因时，在FMEA工作表失效磔因”栏中均应逐一注明

31、.5.3.6 龙夹蚊影，5.3.6.1 定义失依密一失效影响是指失效模式对系统的运行、动悭或状态所造成的影响.一种失效影响可能是由一个物项或多个物项的种或多种失效模式引起.应识别、评估和记录埒个失效模式对系统单元的运行、功能和状态所造成的影响,相关的维修活动和系统目标也应考虑,失效影响可能对高一层次产生影响,甚至延伸到分析的最高层次.因此应在每一层次上评估失效对高层次的影响。识别物项失效的影响饕考虑安全性、经济性及维修性等因素，附录C给出了核电厂物项的失效影响的划分的一种示例,可供参考.5.3.6.2 定失效对本居次的M失效时本层次的影响又称“局部影响”，指的是失效模式对所考虑的系统单元本身及

32、其所在约定层次的物项的影响.应描述每个可能的失效模式对系统电元输出造成的后果.识别局部影响的目的是对现tr的可选措施说拟采取的纠正活动提供评判依掘,通常情况下，不大可能存在超出失效模式自身的MJ部影响.5.3.6.3 -Jt失效时上一JI次的IM1.物项失效的上一层次影响指的是物政失效模式对该物项紧余的上一层次物项的运行、功能或状态的影响.5.3.6.4 定失效对初始依闿！次的影响“最终影响”指的是失效模式对初始约定层次的影响.识别最终影响时，应通过对所有中间层的分析，来确定和评估失效对初始约定层次可能的影响，皎终影响可能是由多面失效带来的。在核电厂系统设计中，广泛采用冗余设计、备用工作方式设

33、计等，在确定最终影响时应考虑这些因素。5.3.7 M失效探斓方法对失效或即将发生的失效的早期探测可以允许操作人员、雉修人员和其它人员进行干预，并降低不利影响的可能性或其后果.应确定每个失效模式的探测方式.这些方式包括在设计上提供失效自动探测F段，或在系统运行前制定特定的拘克程序，或通过维脩活动期间的检簧,探测可在系统启动时进行，也UJ在系统运行过程中连续进行或者在规定的阶段进行.无论是哪种情况，失效探测及指示应用于防止出现危!险的运行状况.府分析并列出与所考虑的失效模式行相同症状的其它失效模式.应考虑在运行期间对冗余单元失效的单独探测，时于FMEA.探测要考虑有多大可能、在何时及何地被识别出来

34、（如通过申杳、分析、模拟、试脸等）例如：定期试脸UJ以及时发现招用设备的失效：巡检也Ur以发现设的的失效,但对失效表象不明他或者没有规程要求的.不应考虑其作HI.5.3.8 M失效扑售FMEA及巾要的任务是识别可用来防止或减少失效模式影响的方法，包括在某一给定系统层面的i殳计特征或其它措施，因此FMEA应清斑地描述这些特征在出现该失效模式时的真实响应。FMEA文档中应记录的其它失效应对措施如下：a）一个或多个单元失效时，可保证系统继续正常运行的冗余部件：b）系统故障运行方式：C）监测或报势装置：d）其它任何可用于有效运行或限制损坏的手段，如果难以确定各项补偿措施的优先次序，则应进行危害性分析-

35、5.3.9 定失蚊式产度严酷度用来评估失效模式对初始约定层次的影响程度.严品位的分级取决于FMEA的目的和以卜.些因素，3）监甘当局和工业界的要求：b）系统的功健特性；C）Ih失效引起的与系统特性有关的对用户及环境的可能影响：d）合同中约定的特殊要求.划分严酷度的目的是为安排软进措施提供依据，如有其它方式（例如系统故陵树分析）米提供相应的依据，WJFMEA工作表中也可以不包括严酷度这一栏，本文件给出两种产品度的等彼及定义（4个等汲和10个等级，分别见表3和发力.在FMEA以及采用危宙性矩阵法（见6.3节）进行危舍性分析时，可采用表3所给出的产Itt度等级及定义.在FxEA以及采用网险优先数（r

36、iskprioritynumber.RPN）法（见6.5节）进行危吉性分析时,可采用我4所给出的严酷度等级及定义。表3中何个等缎的严酷度描述，均考虑了以下方面：安全、环境、人员（包括工作人员及厂外人员）和电厂正常运行.3失蚊模式产度一第力分方式等艰严配度刘据1轻金可能潜在堆使系统功倭析有降极.但不会对核电厂和（或）环境母成报t,不构成人身城胁或加害,不会导致核电厂停运.I1.1.中等可健潜在地使察统的性能,功能降级,但对核电厂和（或）环境没有期处的损伤，对人没有明总的峻特，或若致使核电厂短期椁运，III严IR可傥潜在地导致系统延本功能丧失.致tt核电厂和（或）环境行相当大的损环.W（Pk）人员

37、受到明显伤咨.和（或）校电厂长期停运.IV灾难可健潜在地导软系统*本功能丧失,依使核电厂和（或）环境严如吸坏，和（或）人处受到产里伤容和（或）核电厂长加停运或永久停运.建4夹藏横式的产度一第2狎划分方式等恐严传度判一1无无可见影响.2极轻微不彰响东统实现我所有功能,不太可能被识剂.3轻做不影响系统实现我所有功能.行可徒被识1.4较低展统变现部分功能的性能卜降，但仍可接受。5tt东族实现主要功能的性能卜降，但仍可接受。6中等系统丧失主要功傥0!不影丽核电厂安仝或正常运行7Hh乐统丧失主要功能，可能也响核电厂安全或正常必行，8非常高系统丧失主要功能，且影驹到核电厂安全或正常运行.9灾雄性但有警告泰

38、族丧失主要功能，H导致人员受到有明显能第效应的解明,或不满足其它核安全要求，但有相桢信号或指示,仍右可短解的拾施.IO灾雄性H无警告系统丧失主要功能，n疗致人员受到有明显健康效血的黑射，或不法足其它核安全要求，乩没有相应怡号或指示，无谖娣指随或e斛括施失效的可能性较大.5.3.10 走失蚊或发生摄率或可传性确定失效模式发生概率或可能性是1；MEcA的基本任务,但在基于某些捋定目的实施FMEA时,也衢耍评他失效模式的浮船度及其发生慨率或可能性，因此在此进行说明.确定发生M率或可能性时.除了已有的失效率信息外.非常童要的是考虑运行条件（环境陶力、机械应力和（或）电气应力），某些情况下.部件的失效率

39、随险力的增加成正比或指数埴大.失效率可通过以下方式估计：a）从设备或部件可宗性试收得到的数据：b）通用数擀库：C）现场失效数据：d）类似设分或怖件的失效数据.当估计发生.概率或可能性时.应考虑分析的时间阶段,通常是物项的质Ift保证期或僮定的寿期。6失效模式、整1及危性分析6.1 分析目的在完成FMEA工作的基础E,可进一步翊过危害性分析来给出对失效模式影响程度的一种度量,危害性有多种定义和度51.绝大多数的含义是类似的：需要处理或缓解的失效模式的影响或里要程度.危害性分析的目的是定域评价每个失效模式的影响程度以支持决策.通过危害性和产品度,可确定缓解或减轻失效影响的行动的优先权.危春性分析的

40、实施具体步骤参见附录A,危沓性分析苞例金见附录B.2.6.2 FMEeA与风分析的关系产酷度与危害性相结合是一种风险的度量方法,与通常风险度量方法的差别在于没有那么严格.W比评估相对简单，成本较低，差别不仅体现在失效响的严酷疫的预测方式上，也体现在大大荷化了失效因我之间及杂的相互作用，从而可以在FMECA所执行的典型的自下而上的流程中加以模化FMECA般可针时总风险的贡献因素给出排序.对低风降和低复杂度的系统，FMECA可能是种较为恰当的方法.但是,在FMECA过程，3加发现存在高风险影响的可能性.建议采用概率安全评价方法代卜RkIECA.因此，即使FMECA中对于发生可能性及产苗度的估计是翦

41、于可信数据,也不应作为唯一方法求刘斯高风险或高发杂度系统的某个特定失效影响带流的风险是否是可接受的-事实上,这是他率安全评价的任务.概率安全评价可考虑更多重要的因素及共相关性.应通过实施FMECA,给每个识别出来的失效影响分配适当的严酷度等汲,失效率通过对相应部件的失效数据或估计值来计算.每个失效出病的严明度等级和危害性（或发生可能性）等级共同决定这种影响的大小.本饕的危害性评价方法必危害性矩眸法，危害性绘图法，RPN法及倍迭风陂优先数法（a1.ternativeriskprioritynumber,ARPN）6.3危性矩阵法6.3.1 危度的计算在危吉性分析定址化时,可使用失效模式的危杏度C

42、危杏度与条件失效率及运行时间有关，它可对物项在预定使用期中某种失效模式的风险作出更现实的评价.他小度的计见公式如下：Cj=jt;（1）式中：q.一部件j的失效模式i的危害度：I:部件的失效模式的失效率：a；失效模式和部伟失效率中所占的比例解为失效模式频数比）；,韶牛的线腹i姓情况下出珊戚的失糠响的条件概率（称为第嫄响概率）；1一部件j在FMECA预定的整个时间段内的运行时间。有mt失效模式的部件j的危害度（。）则为：ixax4xC-P;（部件j在t,时间内失效模式i的发生概率或可能性）的计算公式为：Pf=J-e.（3）当失效模式的发生概率及所解出的危古吱，交小（发生概率小于0.2,相应的危古度

43、小于0.223）时，可粗略地认为危古度的值与发生概率很接近.危害度是对失效模式后果发生概率或可能性的一种相对度fit因此是风险的度量,而非发生概率的度量.些尚兄下可以获得的是部怖J失效率而非失效筋也帙效率，因此腑件失娣X,而不n哪部件的失效模式的失效率人,。可通过使用修正因子的方法来考虑环境、载荷及绸篆条件的差异。如何选择适当的修正值可参考可靠性数据相关文献。应特胜意的是要保证所选择的修正系数对特定的系统及运行条件是合理且可用的3该方法的主要缺陷是假设失效率为恒定值并且很多因子采用的只是预计值或最佳估计值。当系统部件没有相应的失效率，只有相应于某个特定的应用（它的持续时间和相应的应力）所计算的

44、失效发生慨率时，情况尤其如此。失效率是一个变量的情况I.应计兑失效发生概率而不是计算基干恒定失效率假设的危害度.6.3.2危害性矩阵危害性可使用危害性矩阵表征，危害性矩阵的示例见图4.应该注意的足，危害性并没有统一的定义，但是，分析人员需对其定义，并得到项目或管理者的认可。等2(D)级I(E)5A)O1U三IV产度危害性矩阵常用的分级如下：a）危舍度等破为1或E,几乎不可能.发生概率：OWPiVO.0001;b）危害度等级为2或D.不大可能.发生概率：0.0001PjiVO.001;O危害度等缎为3或C,偶然，发生岐,率：0.0O1.WPi0.01.;（I）危吉度等汲为1或B,很有可能.发生概

45、率：0.01WPK0.I：e）危害度等汲为5或A.经常，发生概率：i0.1.,图1中失效模式1的可能性高于失效模式2,但后者的严酷度比前者高。要决定哪个失效模式的处理有更高的优先权,取决于严能度、可能性等级的划分及排序.期果是统性的分汲方式（对地阵通常的建议），则失效模式I行更高的危害性,但在忏些应用中可使以产稀度为柞序的第一原则,则失效模式2是更危冷的失效模式.应注意，只有同一个系统层次的失效模式才可通过危杏性矩阵进行有意义的比较，因为对于低如杂度的系统,较低层次的失效模式通常发生可能性也较低。6.3.3风*可按受度评估当要求的鼓终分析结果是一个危害性矩阵时,这一矩阵可用由严酌度和失效影响的发生可能性构成的衣格来衣示.风险可接受度可定性定义，并受专