华龙一号首堆非安全级 DCS系统 I/O信号分配不合理根本原因分析及探讨

1李京帅 2艾九斤 3杨占杰

1中国核电工程有限公司 北京 100840 2中国核电工程有限公司 北京 100840

3中核第四研究设计工程有限公司 石家庄 050000

【摘要】本文针对华龙一号首堆非安全级DCS系统I/O信号分配不合理事件，应用根本原因分析（RCA）技术,构建了基于原因型鱼骨图的非安全级DCS系统I/O信号分配不合理模型。通过绘制鱼刺图的方法，从人员、时间、技术、管理和内外部因素等方面展开分析和剖析，探明导致非安全级DCS系统I/O信号分配不合理的主要原因、次要原因以及促成因素，并针对这些原因逐一制定应对方案和后续预防措施，以达到在后续核电项目中避免同类或者类似问题发生，减少不必要的经济损失的目的。

【关键词】非安全级DCS系统；根本原因分析；I/O信号；鱼刺图

1. 引 言

作为核电厂的大脑和神经中枢，核电数字化仪控系统（DCS）对核电厂的安全保护和可靠运行具有非常重要的作用，是整个核电厂最为关键的设备之一，其质量的好坏对核电厂的安全运行至关重要。核电DCS系统从结构上可以划分为四层从上而下依次是，第3层全场信息管理层，第2层操作信息管理层，第1层自动保护控制层，0层工艺系统接口层。其中0层工艺系统接口层是通过I/O处理卡件来实现对核电厂生产设备的信号采集及动作控制，可以被看做是整个DCS系统的神经触手，I/O处理卡件质量的好坏以及I/O信号分配是否合理直接关系到核电DCS系统作用的发挥，关乎核电厂的安全运行。本文针对华龙一号首堆非安全级DCS系统供应商对I/O信号分配不合理事件采用根本原因分析技术进行层层原因剖析并制定应对方案和改进措施，以达到在后续核电项目中避免同类或者类似问题发生，从而消除核电DCS系统在I/O信号分配设计过程中的质量缺陷和隐患，有利于提高核电DCS系统产品质量。

2. RCA的分析过程

设备根本原因分析(Root Cause Analysis，简称RCA)技术和方法最早是在美国航天航空业应用并取得了良好的效果。RCA分析技术的特点是充分利用实际客观证据、通过系统化、逻辑化、规范化的分析方法、对事件进行全面充分的分析，确保分析结果的唯一性，准确查找出事件的根本原因并制定合理的纠正措施，防止同样或类似的事件重复发生。此外，从长期来看，确定事件的根本原因有助于体系的改善，减少运营、维护的费用，从而降低生产成本。

1. 1. 总则的确定

(1)根本原因分析的目标是寻找技术和买卖双方管理层面的原因，而不是任何人为的失误( Human Error) 。因此，在对非安全级DCS系统I/O信号分配不合理事件进行根本原因分析过程中，不应对任何人员进行追责。

(2)根本原因分析不应只关注该事件产生的表面现象，而需要消除、改正根本原因，并确定应对方案和预防措施。

(3)对于同一事件，可能存在多个主要原因、次要原因以及促成因素。

(4)为保证根本原因分析有效地被执行及避免后续类似事件发生，作为买方有责任系统、定量地以文件的形式确定并管理其过程。

1. 2. 事件根本原因分析基本流程

根据华龙一号首堆非安全级DCS系统I/O信号分配不合理事件产生的前因后果及影响范围，对该事件执行有效的根本原因分析可以概括为5个基本步骤(见图1)。

图1事件根本原因分析基本流程

1. 3. 根本原因分析工具的应用

几种常用的根本原因分析工具和方法有：五问法（工具）、鱼刺图（工具）、变更分析法（方法）、故障树分析法（方法）、事件和因果链（方法）、逻辑树分析法（方法）。

本文采用鱼刺图工具对非安全级DCS系统I/O信号分配不合理事件进行根本原因分析，所采用主要步骤为：（1）清晰地对事件进行描述及评估其影响范围；（2）确认两到六个主要的原因类别；（3）运用头脑风暴法在每个类别旁填写原因，并将每个原因联系到主要类别上去；（4）针对每个原因思考可能对其起作用的因素, 把这些因素放在从原因出发的一条线上；（5）讨论每个因素和它如何对某个原因起作用，将该信息列在原因旁；（6）对最可能的原因达成一致, 将它们圈出来，寻找那些重复出现的原因；（7）将采取的步骤，以收集数据确认原因或通过采取纠正措施消除原因。

3. I/O信号分配不合理事件分析

   1. 事件描述及影响范围确定

华龙一号首堆非安全级DCS系统在设备出厂验收阶段，买方验收团组发现非安全级DCS机柜硬件设计中，常规岛系统冗余设备的I/O信号未分配到不同的处理器机柜、不同的I/O处理卡件中或者不同的机架侧，存在同一卡件、机架或者处理器故障造成冗余的设备同时失效的风险，这违反了核电安全设计准则即单一故障准则的要求，而单一故障准则要求是某一随机事件（故障）的出现不会引起其他的继发的故障或者错误，且不会导致某一部件不能执行其预定的安全功能。对于分配不合理的冗余设备I/O信号，买方设计院/华东院及业主要求供应商进行重新设计分配。

对不合理的冗余设备I/O信号进行重新分配设计，从工程实施角度来看需要修改卡件配置、升版机柜相关图纸、 线缆清单、端接表、I/O分配清单、增加卡件以及修改机柜内部接线等工作，修改范围广、工作量比较大，所涉及到的修改费用会超过百万人民币。

1. 2. 收集数据和信息

通过业主、供应商及买方设计院三方共同对现有设计图进行排查，发现共有500多项冗余设备I/O信号存在设计分配不合理现象，需要重新进行设计分配，主要可以分为如下五类：（1）该I/O信号需要重新分配到不同处理器机柜。

（2）该I/O信号需要重新分配到不同处理器机柜的不同机架侧。

（3）该I/O信号需要重新分配到不同处理器机柜的不同卡件。

（4）该I/O信号需要重新分配到同一机柜不同卡件。

（5）该I/O信号需要重新分配到同一处理器机柜不同机架侧。

1. 3. 重构事件

任何事件的发生都不是偶然产生，必然有多重因素导致。在设计提资阶段，买方设计院/华东院的提资文件中并未对冗余设备I/O信号分配提出明确需求和说明，收到设计院的提资文件后供应商进行初步的设计，在这期间，买方对供应商提交的信号分配总体原则未提出审查意见。供应商完成硬件设计后，根据其在提资阶段提出信号总体分配原则设计出I/O信号分配清单提交给买方设计院/华东院审查，并进行了多次开会澄清，设计院/华东院并也未对其所提出的I/O信号分配清单提出意见。

1. 4. 确定原因

通过对以上重构事件进行深层次的分析和剖析，探明导致非安全级DCS系统I/O信号分配不合理的主要原因和次要原因，将需要调查的事件放在鱼刺图的末端，主要原因画在鱼刺图的主干上，次要原因画在鱼刺图的枝干上(见图2)。

图2 非安全级DCS系统I/O信号分配不合理原因分析鱼刺图

通过对以上鱼刺图进行层层分析，根据项目实际执行情况弱化次要因素后可知买方设计人员失误和管理不到位是导致买方上游设计需求未明确的主要因素；供应商设计人员经验欠缺和失误及管理不到位是导致供应商设计存在疏漏的主要因素。买方上游设计需求未明确和供应商设计存在疏漏是导致非安全级DCS系统I/O信号分配不合理的根本原因。

1. 5. 制定应对方案/预防措施

基于以上原因分析，为保证核电项目工程质量以及尽快满足主控室可用里程碑的进度，制定如下应对方案：

（1）经与设计院和业主开会讨论，该事件属于设计变更范围而且是必要的设计变更，必须予以实施。
（2）由于该事件影响核电现场电缆敷设工作，因此该变更需在修改内容和范围确定后尽快完成实施。
（3）综上，建议让供应商采取工程先行，期间同步开展商务谈判，本着尽量降低变更费用的原则，进行合同变更。

为避免同类或者类似的事件在后续核电项目上发生，产生不必要的经济损失和耽误工程进展，针对已识别的主要原因和次要原因制定如下后续预防措施：

（1）针对1.1买方上游设计需求不明确的预防措施：

• 预防措施1.11：将各类信号的分配原则作为设计需求要在提资文件中体现，加强重视供应商的澄清和需求。

• 预防措施1.12：组织相关设计人员对合同中买方提资文件进行有效的梳理，制定合理的提资计划。

• 预防措施1.13：要求设计院将此事件作为经验反馈添加到设计人员设计指导手册文件中；将此事件作为风险事件添加到采购的经验管理库中，要求全体采购人员进行学习。

• 预防措施1.14：加强采购管理的过程控制，重视风险有效识别。

（2）针对1.2供应商设计存在疏漏的预防措施：

• 预防措施1.21：要求供应商加强对设计人员进行上游工艺系统和设计原则的培训，进行详细设计之前定期与买方设计人员交流沟通，准确理解买方设计需求。

• 预防措施1.22：要求供应商形成经验反馈机制，全体设计人员学习此事。

• 预防措施1.23：要求供应商安排专人进行设计澄清审查。

4. 总 结

本文对非安全级DCS系统I/O信号分配不合理事件采用鱼刺图工具进行根本原因分析，找到了产生该事件的主要原因和次要原因，采取切实有效的应对方案和纠正预防措施，有助于防止同类或者类似事件的再次发生，对提升核电DCS产品质量有着直接作用。

参考文献

1. 1. 高立群，吕群贤，应用设备故障根本原因分析方法改进核电站重要设备安全性能，核动力工程，2005（12）.

2. 陈洪丽，浅谈质量管理中问题发生的根本原因分析和纠正措施，科学创新导报，2011，No.07.

Analysis and Discussion on the Root Cause of Unreasonable Signal Distribution in the non-safe DCS system of Hua-long First Reactor

LI Jing-shuai

Abstract: This paper aiming at unreasonable I/O signal distribution of the first reactor of Hua-long non-safety DCS system, based on cause-type fishbone diagram, the unreasonable I/O signal distribution model of non-safety DCS was constructed by applying the root cause analysis (RCA) technology. By mapping the fishbone, from the staff, time, technology, management and external factors, find out the main reasons, secondary reasons and contributing factors that cause unreasonable I/O signal distribution of non-safety of DCS system, and then make series of plans and preventions in order to avoid similar events occurred and unnecessary economic loss.

Key words: non-safety DCS system；Root cause analysis；I/O signal; Fishbone diagram