人因可靠性專題講座之六核電站人因可靠性模型分析

1、 核電站人因可靠性模型分析人因可靠性專題講座之六1 HRA的作用2 HRA需求分析3 核電站人因可靠性分析模型4 應(yīng)用實(shí)例5 討論 本文論述了核電站人因可靠性分析的目的和需求；通過(guò)THERP、HCR模型特性的分析和研究，建立了結(jié)構(gòu)化的THERPHCR模型及相應(yīng)的人因事件分析模式和技術(shù)，并給出了一個(gè)應(yīng)用實(shí)例。最后，對(duì)該模型尚需改進(jìn)之處進(jìn)行了討論。1 HRA的作用 辨識(shí)與評(píng)價(jià)人因失誤 支持PSA2 核電站HRA需求分析HRA的三個(gè)基本目標(biāo)： 辨識(shí)什么失誤可能發(fā)生 這些失誤發(fā)生的概率 如何減少失誤和/或減輕其影響 完整的HRA過(guò)程 （1）任務(wù)分析：描述運(yùn)行人員在事故過(guò)程 中應(yīng)當(dāng)做什么；（2）失誤分析

2、：確定什么可能會(huì)出錯(cuò)；（3）表現(xiàn)形式：以一個(gè)邏輯的和量化的結(jié) 構(gòu)，確定人與其它硬件、軟件和環(huán)境 事件共同卷入的事件的后果影響；（4）量化：采用適當(dāng)?shù)哪Ｐ屯扑闶д`的 可能性；（5）失誤減少：減少人誤對(duì)風(fēng)險(xiǎn)的影響；（6）質(zhì)量保證和資料編制：確保該評(píng)價(jià)是 有效的，且能夠作為將來(lái)設(shè)計(jì)/運(yùn) 行的一個(gè)信息資源。3 核電站人因可靠性分析模型人因失誤率預(yù)測(cè)法（THERP） 圖1 簡(jiǎn)單的HRA事件樹ab/aS F FFB/ab/A A B/A人員作業(yè)成功概率: Pr(S)=a (b/a)失敗概率: Pr(F)=a(B/a)+A(b/A)+A(B/A)行為形成因子（PSF）修正 HEP=BHEP(PSF)1(PS

3、F)2 相關(guān)性修正 人的認(rèn)知可靠性預(yù)測(cè)法（HCR）HCR方法的兩個(gè)假定 1 所有人員行為類型可分為三類： 技能型、規(guī)則型、知識(shí)型； 圖2 HCR行為類型辨識(shí)樹 2 每一行為類型的失誤概率僅與允許時(shí)間t 和執(zhí)行時(shí)間T1/2的比值有關(guān)，且遵從三參 數(shù)的威布爾分布 ：T1/2 =T1/2，n（1+K1）（1+K2）（1+K3） t：允許操縱員進(jìn)行響應(yīng)的時(shí)間 T1/2：操縱員執(zhí)行時(shí)間 T1/2，n：一般狀況的執(zhí)行時(shí)間 K1：操作經(jīng)驗(yàn)； K2：心理壓力；K3：人機(jī)界面； 、：操作人員行為類型參數(shù) 表1 參數(shù)、選取表 行為類型 熟練（SKILL）規(guī)則（RULE）知識(shí)（KNOWLEDGE） 0.407 0.

4、601 0.791 1.2 0.9 0.8 0.7 0.6 0.5表2 HCR模型的行為形成因子及其取值操作員經(jīng)驗(yàn)(K1) 1.專家，受過(guò)很好訓(xùn)練 -0.22 2.平均訓(xùn)練水平 0.00 3.新手，最小訓(xùn)練水平 0.44 心理壓力(K2) 1.嚴(yán)重應(yīng)激情景 0.44 2.潛在應(yīng)激情景/高工作負(fù)荷 0.28 3.最佳應(yīng)激情況/正常 0.00 4.低度應(yīng)激/放松情況 0.28 人機(jī)界面（K3） 1.優(yōu)秀 -0.22 2.良好 0.00 3.中等（一般） 0.44 4.較差 0.78 5.極差 0.92 THERP+HCR模式THERP、HCR各自解決問(wèn)題的側(cè)重點(diǎn) THERP: 與時(shí)間無(wú)關(guān)的序列動(dòng)作

5、 HCR: 與時(shí)間密切相關(guān)的認(rèn)知行為 核電站人員的實(shí)際行為：認(rèn)知判斷+操作 理想模式： THERP+HCR THERPHCR建模規(guī)則（1）HRA事件樹建模規(guī)則 A 對(duì)于實(shí)現(xiàn)同一功能且在同一功能分區(qū)的 同類型操作行為，視為完全相關(guān)的操作。 B 不考慮操作者對(duì)自身行為的恢復(fù)。 C 考慮其他對(duì)操作者操作行為有監(jiān)督作用 的人員的恢復(fù)。 D 根據(jù)操作界面的狀況，考慮操作中有選 錯(cuò)與做錯(cuò)兩種可能。 E 對(duì)于執(zhí)行一系列多種類型的操作行為，根 據(jù)電站條件假設(shè)取值。 F 對(duì)于規(guī)程中描述執(zhí)行A操作，A失效，執(zhí) 行 B，B失效，執(zhí)行C的動(dòng)作序列， 僅考 慮A 操作的失誤，不考慮繼續(xù)執(zhí)行B、C操 作的恢復(fù)。 G 一般

6、狀況下，不考慮操作人員忽略規(guī)程中 某一項(xiàng)操作的概率。 H 操作失誤概率數(shù)據(jù)主要來(lái)源于UREG/CR- 1278表2012（主控室內(nèi)操作失誤）和表 2013（現(xiàn)場(chǎng)操作失誤）。（2）相關(guān)性原則 一回路操縱員與二回路操縱員之間不考慮對(duì)對(duì)方操作或指令的監(jiān)督作用，只考慮值長(zhǎng)對(duì)兩名操縱員操作的監(jiān)督作用。且操縱員與值長(zhǎng)之間的相關(guān)度為低。在副值長(zhǎng)進(jìn)行操作時(shí)，操縱員與副值長(zhǎng)之間的相關(guān)度為高。事故后現(xiàn)場(chǎng)技術(shù)員也將按操縱員的指令參與有關(guān)操作，操縱員與現(xiàn)場(chǎng)技術(shù)員之間的相關(guān)度為中等。安全工程師在使用SPI規(guī)程期間不對(duì)主控室各人員的具體的操作行為有監(jiān)督作用，而只是按規(guī)程對(duì)安全參數(shù)進(jìn)行監(jiān)測(cè)。但在RRA連接狀態(tài)下或無(wú)相應(yīng)規(guī)程

7、使用的情況下，則認(rèn)為安全工程師對(duì)主控室內(nèi)重要的操作有監(jiān)督作用，且相關(guān)度為高。（3）名義HEP修正原則A 在全廠斷電、ATWT和執(zhí)行U規(guī)程后所進(jìn) 行的操作失誤概率，取其名義值的5倍。B 其它事故狀況下取名義值的2倍。C 通過(guò)模擬盤的信號(hào)燈、降溫速率、閥門 開度指示裝置、流量顯示等多種途徑， 監(jiān)督人員可對(duì)操作人員的行為進(jìn)行有效監(jiān) 督，并據(jù)此發(fā)現(xiàn)操作人員的失誤。由于獲 取該信息的途徑較多，因此，監(jiān)督人員未 發(fā)現(xiàn)操作人員的操作失誤的概率可依據(jù) NUREG/CR-1278 取定為310-3。（4）人員行為類型判斷規(guī)則 一般情況依據(jù)圖2判斷，但進(jìn)入了事故規(guī)程或報(bào)警后的診斷行為，從保守角度考慮均視為規(guī)則型行

8、為。ATWT等情況下無(wú)相應(yīng)規(guī)程可用，需要根據(jù)個(gè)人的經(jīng)驗(yàn)、知識(shí)進(jìn)行診斷，視為知識(shí)型行為。（5）事件處理中時(shí)間劃分規(guī)則 事件處理中允許操縱員響應(yīng)的時(shí)間分為：A 事件發(fā)生到引發(fā)可引導(dǎo)操縱員進(jìn)入該事件處 理規(guī)程（DEC、A0）或報(bào)警卡的報(bào)警信號(hào)的 時(shí)間。B 操縱員利用事故規(guī)程進(jìn)行一系列的診斷，直 至作出具體操作行為的診斷時(shí)間。C 有關(guān)人員（操縱員、副值長(zhǎng)或現(xiàn)場(chǎng)技術(shù)員） 完成事件成功準(zhǔn)則所要求的操作的執(zhí)行時(shí)間。（6）對(duì)模型中有關(guān)修正因子的確定安全工程師的診斷行為： K1=0（平均培訓(xùn)水平） （需進(jìn)入SPU/U規(guī)程，有 極高的心理壓力） 或K2（執(zhí)行SPI規(guī)程，但不需 進(jìn)入SPU/U規(guī)程，有較 高的心理壓

9、力） K3=0（人機(jī)界面良好）其他人員： 操作經(jīng)驗(yàn)：平均培訓(xùn)水平，K1=0 心理應(yīng)激水平：A工況、全廠斷電、 ATWT事件狀況下， K2=0.44 ； 其它事故狀況， 人機(jī)界面：良好，K3=0人因事件分析模式和技術(shù)工程應(yīng)用的需求： 可操作性 資料完備性 可追溯性 （1） 事件背景 刻劃事件發(fā)生前后系統(tǒng)的狀態(tài)和為保證系統(tǒng)功能而要求操縱員執(zhí)行的相應(yīng)動(dòng)作以及事件后果。（2）事件描述 當(dāng)值人員根據(jù)規(guī)程對(duì)與事故相關(guān)的關(guān)鍵系統(tǒng)或設(shè)備的狀態(tài)進(jìn)行判斷以及進(jìn)行的相應(yīng)的操作行為和事故演進(jìn)及處理過(guò)程。（3）事件成功準(zhǔn)則 為確保事件成功所進(jìn)行的關(guān)鍵性操作。（4）提問(wèn)清單及調(diào)查與訪談?dòng)涗洷?根據(jù)對(duì)事故進(jìn)程的理解，列出需

10、要了解或確認(rèn)的問(wèn)題，主要包括操縱員、安全工程師對(duì)事件進(jìn)程的理解，運(yùn)行人員所用規(guī)程及規(guī)程的易用性，事件進(jìn)程中所需的操作步驟、條件及關(guān)系，操作現(xiàn)場(chǎng)的人-機(jī)-環(huán)境系統(tǒng)狀況，人員間相關(guān)性及操作步驟間的相關(guān)性，事故可能造成的后果及運(yùn)行人員對(duì)其嚴(yán)重程度的理解（心理壓力），允許時(shí)間、實(shí)際診斷時(shí)間、操作時(shí)間、一般執(zhí)行時(shí)間等。（5）調(diào)查、訪談結(jié)論 事件的進(jìn)程、任務(wù)分析、人員每一動(dòng)作的意義、動(dòng)作目的、成功準(zhǔn)則、系統(tǒng)人-機(jī)接口的狀況、系統(tǒng)狀態(tài)、運(yùn)行人員的心理狀況以及THERP和HCR模式所需的各類信息和數(shù)據(jù)（6）事件分析 事件過(guò)程分析：根據(jù)事件進(jìn)程將事件劃分 為幾個(gè)階段； 建模分析：對(duì)每一階段的人員行為進(jìn)行初步分

11、析，決定采用何種模式計(jì)算其失誤 概率。（7）建模與計(jì)算 建模分析 定量分析模型 數(shù)學(xué)計(jì)算系統(tǒng)情況及有關(guān)假設(shè) 對(duì)電站人員配備情況、人員之間的工作關(guān)系和緊張情況、規(guī)程使用情況等作出統(tǒng)一約定和假設(shè)。另外，基于熱工水力計(jì)算，需給出各事件的有關(guān)時(shí)間參數(shù)。HRA實(shí)例1: SGTR（蒸汽發(fā)生器傳熱管破裂） 核電廠一回路和二回路系統(tǒng)示意圖 事故序列建模： 事件樹建模 故障樹建模 SGTR功能事件樹 事件樹分析 電廠響應(yīng)分析 操縱員響應(yīng)分析 事件樹題頭 事件樹的展開 事件序列： 11個(gè) SGTR事故序列事件樹 系統(tǒng)故障樹分析 SGTR 人因事件在PSA模型中基本位置 SGTR人因事件分析 SGTR人因事件：蒸汽

12、發(fā)生器傳熱管破裂（SGTR）后，操縱員未能在20分鐘內(nèi)隔離破管蒸汽發(fā)生器 事件背景 事件描述：蒸汽發(fā)生器傳熱管破裂進(jìn)入E-0規(guī)程執(zhí)行至23步，蒸汽發(fā)生器抽氣器排汽放射性N-16高報(bào)或蒸汽發(fā)生器排污水放射性高報(bào)執(zhí)行E-3規(guī)程至第3步識(shí)別破管的蒸汽發(fā)生器關(guān)閉破管蒸汽發(fā)生器主蒸汽隔離閥隔離破管蒸汽發(fā)生器事件成功準(zhǔn)則：在20分鐘內(nèi)，操縱員調(diào)整蒸汽發(fā)生器的大氣釋放閥開啟定值至7.0Mpa,關(guān)閉破管蒸汽發(fā)生器主蒸汽隔離閥和主給水閥 調(diào)查與訪談結(jié)論根據(jù)熱工水力學(xué)計(jì)算，蒸汽發(fā)生器傳熱管斷裂，操縱員在分鐘內(nèi)隔離破管蒸汽發(fā)生器根據(jù)系統(tǒng)假設(shè)，SGTR引發(fā)報(bào)警信號(hào)的時(shí)間T0為0分鐘根據(jù)訪談，完成從進(jìn)入E0規(guī)程至執(zhí)行到

13、E-3規(guī)程隔離破管蒸汽發(fā)生器一般執(zhí)行時(shí)間為4分鐘隔離破管蒸汽發(fā)生器的操作包括：調(diào)整破管蒸汽發(fā)生器的大氣釋放閥開啟設(shè)定值至；關(guān)閉破管蒸汽發(fā)生器的主蒸汽隔離閥及其旁路閥；關(guān)閉破管蒸汽發(fā)生器的主給水閥（隔離破管蒸汽發(fā)生器的給水）隔離破管蒸汽發(fā)生器的一般操作時(shí)間Ta為2分鐘根據(jù)系統(tǒng)邊界條件和假設(shè)，操縱員在此事故處理過(guò)程總的人員行為為規(guī)則型行為根據(jù)系統(tǒng)假設(shè)，操縱員均經(jīng)過(guò)一般水平的培訓(xùn)根據(jù)調(diào)查訪談，在此事故狀況下，操縱員的心理壓力較高根據(jù)系統(tǒng)假設(shè)，系統(tǒng)人機(jī)界面狀況為一般。反應(yīng)堆操作員負(fù)責(zé)隔離破管蒸汽發(fā)生器的操作行為，值長(zhǎng)對(duì)其操作行為的正確性負(fù)監(jiān)督職責(zé)，其相關(guān)度為中事件分析事件分為三個(gè)主要階段 操縱員發(fā)現(xiàn)N

14、-16報(bào)警信號(hào)進(jìn)入E-0規(guī)程（覺(jué)察階段）操縱員由E0規(guī)程進(jìn)入執(zhí)行至E-3規(guī)程作出需隔離破管SG的診斷（診斷階段）操縱員按規(guī)程指引，隔離破管SG（操作階段） 建模分析 SGTR人因事件屬于C類人誤行為。響應(yīng)行動(dòng)序列失誤概率根據(jù)操縱員培訓(xùn)及事故所觸發(fā)的報(bào)警信號(hào)的重要性、明顯性， p1可認(rèn)為非常小。操縱員進(jìn)入E0規(guī)程后，操縱員依次按E0規(guī)程至E-3規(guī)程進(jìn)行操作。根據(jù)調(diào)查訪談結(jié)論，人的行為類別為規(guī)則型，其失誤概率p2可用HCR模型計(jì)算。操縱員隔離破管SG，p3根據(jù)HRA人因事件樹進(jìn)行計(jì)算 建模與計(jì)算察覺(jué)失誤概率診斷失誤概率 T1/2，n = 4s，Ta = 2s， K1=0， ， =0.601,=0.

15、9,=0.6 (調(diào)查訪談結(jié)論6) p2 = 7.14010-2 操作失誤概率操縱員隔離破管SG，需要完成三個(gè)重要的序列動(dòng)作：a.調(diào)整大氣釋放閥至定值b.關(guān)閉破管SG主蒸汽隔離閥 c.關(guān)閉破管SG主給水閥 操縱員隔離破管蒸汽發(fā)生器HRA事件樹SGTR整體人因事件失誤率為 HRA 實(shí)例2 事件名稱 RRA中破口，操縱員未及時(shí)投入低壓安注且打開GCTa閥。事件背景 C工況下，RRA系統(tǒng)出現(xiàn)中破口，引起一回路壓力下降，安全殼壓力因破口漏流而上升，穩(wěn)壓器低水位LOW3或安全殼高壓HI-2報(bào)警引導(dǎo)操縱員進(jìn)入A10規(guī)程。在A10規(guī)程里，要求操縱員在19分鐘內(nèi)完成啟動(dòng)安注以恢復(fù)一回路水量，并打開所有可用蒸汽發(fā)

16、生器的GCTatm閥。若操作員未成功完成該任務(wù)，且值長(zhǎng)及STA又未及時(shí)糾正，則將導(dǎo)致堆熔。事件描述 C工況，RRA系統(tǒng)中破口 放射性活度高報(bào)警 引導(dǎo)操縱員進(jìn)入DEC規(guī)程 安全殼高壓HI-2信號(hào)報(bào)警或穩(wěn)壓器低水位LOW3報(bào)警 操縱員進(jìn)入A10規(guī)程 一回路操縱員手動(dòng)啟動(dòng)RPA058TO、RPB058TO兩列低壓安注并通知二回路操縱員開啟GCT131、132、133VV閥。事件成功準(zhǔn)則 在事故發(fā)生19分鐘內(nèi)成功啟動(dòng)RPA058TO、RPB058TO兩列安注并將蒸汽發(fā)生器通大氣閥GCT131、132、133VV開至全開。調(diào)查與訪談結(jié)論 1根據(jù)熱工水力學(xué)計(jì)算，操縱員需在T1=19分鐘內(nèi)完成手動(dòng)啟動(dòng)兩列安

17、注并開啟三個(gè)GCT閥。 2根據(jù)電站基本情況及假設(shè)，操縱員經(jīng)過(guò)平均水平訓(xùn)練（有執(zhí)照且有6個(gè)月操作經(jīng)驗(yàn)）。 3根據(jù)電站基本情況及假設(shè)，操縱員在C工況下有一定的心理壓力，其修正因子取。 4根據(jù)熱工水力學(xué)計(jì)算，由事故發(fā)生到引發(fā)放射性活度高HI-2級(jí)報(bào)警的時(shí)間T2為1分鐘。 5根據(jù)電站基本情況及假設(shè)，操縱員執(zhí)行DEC規(guī)程的時(shí)間T3為4分鐘。 6由于操縱員進(jìn)入A10規(guī)程后所采取的第一個(gè)行為就是根據(jù)安全殼壓力高信號(hào)作出投入安注并開啟GCTatm閥的診斷，操縱員在A10規(guī)程中的執(zhí)行時(shí)間很短，可忽略。 7一回路操縱員完成手動(dòng)啟動(dòng)兩列安注動(dòng)作的操作時(shí)間為T4為1分鐘，二回路操縱員完成GCTatm閥門的開啟時(shí)間T5

18、為1分鐘。 8一回路操縱員與二回路操縱員同時(shí)進(jìn)行各自的操作行為，故事故處理中總操作時(shí)間以1分鐘計(jì)算。事件分析（1） 該事件可分為三個(gè)階段： 1）操縱員由放射性活度高HI-2級(jí)報(bào)警進(jìn)入DEC規(guī)程診斷。 2） 操縱員由DEC規(guī)程引導(dǎo)進(jìn)入A10規(guī)程，并作出手動(dòng)啟動(dòng)兩列安注與開啟所有GCT閥的判斷。 3）操縱員手動(dòng)啟動(dòng)兩列安注并將GCT閥開至全開。（2）建模分析： 1）根據(jù)報(bào)警信號(hào)特征及操縱員均經(jīng)過(guò)良好的培訓(xùn)，在此認(rèn)為操縱員未發(fā)現(xiàn)DEC報(bào)警并進(jìn)入DEC規(guī)程的概率P1非常小; 2）操縱員在執(zhí)行DEC、A10規(guī)程的判斷與操作均為基于操作規(guī)程的行為，可以用HCR模式計(jì)算其失誤概率P2; 3）一回路操縱員按操

19、作規(guī)程開啟手動(dòng)安注按鈕的同時(shí)，二回路操縱員開啟三個(gè)GCT閥，其操作行為屬于典型的序列操作,其操作失敗概率P3可用THERP方法求出。 建模與計(jì)算 事件失誤率P=P1+P2+P3 1根據(jù)事件分析中），根據(jù)電站基本情況及假定得 10-42. 式中, 允許操作員進(jìn)行診斷的時(shí)間 t=T1-T2-T5（）=19-1-1 平均診斷時(shí)間T1/2，n =T3=4min K1=0 （平均訓(xùn)練水平） K2=0.28 （調(diào)查訪談結(jié)論3） K3=0 （人機(jī)界面良好） T1/2=T1/2，n (1+K1) (1+K2) =0.601,=0.9,=0.6 (規(guī)則型) 代入(1)式,得10-2 3操縱員啟動(dòng)低壓安注和開啟G