当前位置:首页 >> 农林牧渔 >>

核电站人因可靠性分析模型


人因可靠性专题讲座之六

核电站人因可靠性分析模型
张 力 教授
国家自然科学基金资助项目(79870004,70271016) 国防军工技术基础计划项目(Z012002A001,Z012005A001)

湖南工学院安全工程与管理研究所

1 HRA的作用

2 HRA需求分析


3 核电站人因可靠性分析模型

4 应用实例
5 讨论

本文论述了核电站人因可靠性 分析的目的和需求;通过THERP、 HCR模型特性的分析和研究,建立 了结构化的THERP+HCR模型及相 应的人因事件分析模式和技术,并 给出了一个应用实例。最后,对该 模型尚需改进之处进行了讨论。

1 HRA的作用
? 辨识与评价人因失误

? 支持PSA

2 核电站HRA需求分析
HRA的三个基本目标: ? 辨识什么失误可能发生

? 这些失误发生的概率
? 如何减少失误和/或减轻其影响

完整的HRA过程
(1)任务分析:描述运行人员在事故过程 中应当做什么; (2)失误分析:确定什么可能会出错; (3)表现形式:以一个逻辑的和量化的结 构,确定人与其它硬件、软件和环境 事件共同卷入的事件的后果影响;

(4)量化:采用适当的模型推算失误的 可能性; (5)失误减少:减少人误对风险的影响; (6)质量保证和资料编制:确保该评价是 有效的,且能够作为将来设计/运 行的一个信息资源。

3 核电站人因可靠性分析模型
人因失误率预测法(THERP)

a

A

b/a

B/a b/A B/A F

S

F

F

图1 简单的HRA事件树

人员作业成功概率: Pr(S)=a? (b/a) 失败概率: Pr(F)=a?(B/a)+A?(b/A)+A?(B/A)

行为形成因子(PSF)修正
HEP=BHEP?(PSF)1(PSF)2


相关性修正
1.CD, P( B / A) ? 1 1 ? P( B) 2.HD, P( B | A) ? 2 1 ? 6 P( B) 3.MD, P( B | A) ? 7 1 ? 19 P( B) 4.LD, P( B | A) ? 20 5.ZD, P( B | A) ? P( B)

人的认知可靠性预测法(HCR)
HCR方法的两个假定 1 所有人员行为类型可分为三类: 技能型、规则型、知识型;

常规 操作员清楚地理解 不需要 规程覆盖 操作员 操作 过渡工况或操作内容 规程 了情景 理解规程

操作员对规程 使用熟悉

人的行为 类型 技能型 技能型 规则型 规则型 技能型 规则型 知识型 知识型 知识型

图2 HCR行为类型辨识树

2 每一行为类型的失误概率仅与允许时间t

和执行时间T1/2的比值有关,且遵从三参 数的威布尔分布 :

p?e

? t /T1 / 2 ?? ?? ? ?

? ? ?

?

T1/2 =T1/2,n?(1+K1)?(1+K2)?(1+K3)
t:允许操纵员进行响应的时间 T1/2:操纵员执行时间 T1/2,n:一般状况的执行时间 K1:操作经验; K2:心理压力;K3:人机界面; ?、?、?:操作人员行为类型参数

表1 参数?、?、?选取表
行为类型 ? ? ?

熟练(SKILL) 规则(RULE) 知识(KNOWLEDGE)

0.407 0.601 0.791

1.2 0.9 0.8

0.7 0.6 0.5

表2 HCR模型的行为形成因子及其取值
操作员经验(K1) 1.专家,受过很好训练 2.平均训练水平 3.新手,最小训练水平 心理压力(K2) 1.严重应激情景 2.潜在应激情景/高工作负荷 3.最佳应激情况/正常 4.低度应激/放松情况 人机界面(K3) 1.优秀 2.良好 3.中等(一般) 4.较差 5.极差
-0.22 0.00 0.44 0.44 0.28 0.00 0.28 -0.22 0.00 0.44 0.78 0.92

THERP+HCR模式
THERP、HCR各自解决问题的侧重点 THERP: 与时间无关的序列动作 HCR: 与时间密切相关的认知行为
核电站人员的实际行为:认知判断+操作 理想模式: THERP+HCR

THERP+HCR建模规则
(1)HRA事件树建模规则

A 对于实现同一功能且在同一功能分区的 同类型操作行为,视为完全相关的操作。 B 不考虑操作者对自身行为的恢复。 C 考虑其他对操作者操作行为有监督作用 的人员的恢复。 D 根据操作界面的状况,考虑操作中有选 错与做错两种可能。

E 对于执行一系列多种类型的操作行为,根 据电站条件假设取值。 F 对于规程中描述执行A操作,A失效,执 行 B,B失效,执行C的动作序列, 仅考 虑A 操作的失误,不考虑继续执行B、C操 作的恢复。 G 一般状况下,不考虑操作人员忽略规程中 某一项操作的概率。 H 操作失误概率数据主要来源于UREG/CR1278表20—12(主控室内操作失误)和表 20—13(现场操作失误)。

(2)相关性原则 一回路操纵员与二回路操纵员之间不考虑对对 方操作或指令的监督作用,只考虑值长对两名操纵 员操作的监督作用。且操纵员与值长之间的相关度 为低。在副值长进行操作时,操纵员与副值长之间 的相关度为高。事故后现场技术员也将按操纵员的 指令参与有关操作,操纵员与现场技术员之间的相 关度为中等。安全工程师在使用SPI规程期间不对 主控室各人员的具体的操作行为有监督作用,而只 是按规程对安全参数进行监测。但在RRA连接状态 下或无相应规程使用的情况下,则认为安全工程师 对主控室内重要的操作有监督作用,且相关度为高。

(3)名义HEP修正原则 A 在全厂断电、ATWT和执行U规程后所进 行的操作失误概率,取其名义值的5倍。 B 其它事故状况下取名义值的2倍。 C 通过模拟盘的信号灯、降温速率、阀门 开度指示装置、流量显示等多种途径, 监督人员可对操作人员的行为进行有效监 督,并据此发现操作人员的失误。由于获 取该信息的途径较多,因此,监督人员未 发现操作人员的操作失误的概率可依据 NUREG/CR-1278 取定为3?10-3。

(4)人员行为类型判断规则

一般情况依据图2判断,但进入 了事故规程或报警后的诊断行为,从 保 守 角度 考 虑均 视 为规 则 型行为 。 ATWT等情况下无相应规程可用,需 要根据个人的经验、知识进行诊断, 视为知识型行为。

(5)事件处理中时间划分规则
事件处理中允许操纵员响应的时间分为: A 事件发生到引发可引导操纵员进入该事件处 理规程(DEC、A0)或报警卡的报警信号的 时间。 B 操纵员利用事故规程进行一系列的诊断,直 至作出具体操作行为的诊断时间。 C 有关人员(操纵员、副值长或现场技术员) 完成事件成功准则所要求的操作的执行时间。

(6)对模型中有关修正因子的确定 安全工程师的诊断行为: K1=0(平均培训水平) K2=0.44(需进入SPU/U规程,有 极高的心理压力) 或K2=0.28(执行SPI规程,但不需 进入SPU/U规程,有较 高的心理压力) K3=0(人机界面良好)

其他人员: 操作经验:平均培训水平,K1=0 心理应激水平:A工况、全厂断电、 ATWT事件状况下, K2=0.44 ; 其它事故状况, K2=0.28 人机界面:良好,K3=0

人因事件分析模式和技术
工程应用的需求: ? 可操作性 ? 资料完备性 ? 可追溯性

(1) 事件背景

刻划事件发生前后系统的状态和为保证系 统功能而要求操纵员执行的相应动作以及事件 后果。 (2) 事件描述 当值人员根据规程对与事故相关的关键系 统或设备的状态进行判断以及进行的相应的操 作行为和事故演进及处理过程。 (3) 事件成功准则 为确保事件成功所进行的关键性操作。

(4)提问清单及调查与访谈记录表 根据对事故进程的理解,列出需要了 解或确认的问题,主要包括操纵员、安全 工程师对事件进程的理解,运行人员所用 规程及规程的易用性,事件进程中所需的 操作步骤、条件及关系,操作现场的人-机环境系统状况,人员间相关性及操作步骤 间的相关性,事故可能造成的后果及运行 人员对其严重程度的理解(心理压力), 允许时间、实际诊断时间、操作时间、一 般执行时间等。

(5)调查、访谈结论 事件的进程、任务分析、人员每一动作的意义、 动作目的、成功准则、系统人-机接口的状况、系 统状态、运行人员的心理状况以及THERP和HCR 模式所需的各类信息和数据 (6) 事件分析 事件过程分析:根据事件进程将事件划分 为几个阶段; 建模分析:对每一阶段的人员行为进行初步分 析,决定采用何种模式计算其失误 概率。

(7) 建模与计算 建模分析 数学计算 定量分析模型

系统情况及有关假设
对电站人员配备情况、人员之间的工 作关系和紧张情况、规程使用情况等作出 统一约定和假设。另外,基于热工水力计 算,需给出各事件的有关时间参数。

HRA实例1: SGTR(蒸汽发生器传热管破裂)
反应堆安全壳厂房
安全壳喷淋装置 释放阀 卸压阀 卸压器 蒸汽发 生器 至安全壳 喷淋泵 稳压器 至汽轮机

至上充泵

热段

压力壳 至容积控制箱 冷段 给水泵 安注箱 辅助给水泵 N2 安注泵 主冷却剂泵

安全壳地坑

一回路系统 二回路系统

核电厂一回路和二回路系统示意图

事故序列建模: 事件树建模
故障树建模
蒸汽发生器 传热管破裂 SGTR 反应性控制 RC 排出堆芯衰变热和 储存热 RCDH 保持反应堆冷却剂 装量 MRCI 1 2 3 4 ok cd cd cd MRCI RCDI RC

SGTR功能事件树

事件树分析
? ? ? ? ? 电厂响应分析 操纵员响应分析 事件树题头 事件树的展开 事件序列: 11个

反应堆保 护系统
RT

辅助给水 系统

高压安注 系统

RCS降温降 压ECA-3

RCS降温降 压ECA-3

SG隔离E -3

蒸汽发生 器传热管 断裂
SGTR

停冷系统

Conseq.

AFW

SGTR/IS

DTPE

DTPECA

HPI

RHR

No.

Code

1 2 3 4 5 6 7

OK OK CD CD CD OK CD CD CD CD CD

DTPE DTPE DTPE-RHR DTPE-HPI DTPE-DTPECA SGTR/IS SGTR/IS-RHR SGTR/IS-HPI SGTR/ISDTPECA AFW RT

A

8 9
10 11

SGTR事故序列事件树

系统故障树分析
至图6.3事件树 A 点

SGTR时蒸汽发生器 的隔离失效
SGTR/IS

1#主蒸汽隔离阀本体不 能关
BZZQ-0001VTAFC

1#主蒸汽隔离阀的支持系 统失效
SGIS-1

SGTR时蒸汽发生器的隔 离人因失误
E-3---SG/IS-HE

1#主蒸汽隔离阀控制回 路失效
BZZQ-0001CC9FO

重要仪表电源段失电
EUPS1

SGTR 人因事件在PSA模型中基本位置

SGTR人因事件分析
? SGTR人因事件:蒸汽发生器传热管破裂(SGTR) 后,操纵员未能在20分钟内隔离破管蒸汽发生器 ? 事件背景 ? 事件描述:蒸汽发生器传热管破裂→进入E-0规程 执行至23步,蒸汽发生器抽气器排汽放射性N-16高 报或蒸汽发生器排污水放射性高报→执行E-3规程 至第3步识别破管的蒸汽发生器→关闭破管蒸汽发 生器主蒸汽隔离阀隔离破管蒸汽发生器 ? 事件成功准则:在20分钟内,操纵员调整蒸汽发生 器的大气释放阀开启定值至7.0Mpa,关闭破管蒸汽 发生器主蒸汽隔离阀和主给水阀

调查与访谈结论
? 根据热工水力学计算,蒸汽发生器传热管断裂, 操纵员在分钟内隔离破管蒸汽发生器 ? 根据系统假设,SGTR引发报警信号的时间T0 为0分钟

? 根据访谈,完成从进入E0规程至执行到E-3规 程隔离破管蒸汽发生器一般执行时间为4分钟
? 隔离破管蒸汽发生器的操作包括:①调整破管 蒸汽发生器的大气释放阀开启设定值至7.0Mpa; ②关闭破管蒸汽发生器的主蒸汽隔离阀及其旁 路阀;③关闭破管蒸汽发生器的主给水阀(隔 离破管蒸汽发生器的给水)

? 隔离破管蒸汽发生器的一般操作时间Ta为2 分钟 ? 根据系统边界条件和假设,操纵员在此事故 处理过程总的人员行为为规则型行为 ? 根据系统假设,操纵员均经过一般水平的培 训 ? 根据调查访谈,在此事故状况下,操纵员的 心理压力较高 ? 根据系统假设,系统人-机界面状况为一般。 ? 反应堆操作员负责隔离破管蒸汽发生器的操 作行为,值长对其操作行为的正确性负监督 职责,其相关度为中

事件分析
事件分为三个主要阶段 ? 操纵员发现N-16报警信号进入E-0规程 (觉察阶段) ? 操纵员由E0规程进入执行至E-3规程作出 需隔离破管SG的诊断(诊断阶段) ? 操纵员按规程指引,隔离破管SG(操作 阶段)

建模分析
SGTR人因事件属于C类人误行为。响应行动序 列失误概率

P ? P1 ? P2 ? P3 ? p1 ? (1 ? p1 ) p2 ? (1 ? p1 )(1 ? p2 ) p3
? 根据操纵员培训及事故所触发的报警信号的重 要性、明显性, p1可认为非常小。
? 操纵员进入E0规程后,操纵员依次按E0规程至 E-3规程进行操作。根据调查访谈结论,人的 行为类别为规则型,其失误概率p2可用HCR模 型计算。

? 操纵员隔离破管SG,p3根据HRA人因事件树 进行计算

建模与计算
? 察觉失误概率 ? 诊断失误概率

p1 ? 1 ? 10 ?4
p2 ? e
? Td / T1 2 ? ? ? ?? ? ? ? ? ? ? ? ?

?

T1/2,n = 4s,Ta = 2s,

Td ? Tc ? T0 ? Ta ? ?1 ? 0.28? ? 20 ? 0 ? 2 ? 1.28 ? 17.44
T1 / 2 ? T1 / 2, n ? ?1 ? K1? ? ?1 ? K 2 ? ? ?1 ? K 3? ? 7.37

K1=0, K2=0.28,K3=0.44
η=0.601,β=0.9,γ=0.6 (调查访谈结论6)

p2 = 7.140×10-2

操作失误概率
操纵员隔离破管SG,需要完成三个重要的 序列动作: a.调整大气释放阀至定值7.0Mpa b.关闭破管SG主蒸汽隔离阀 c.关闭破管SG主给水阀

操纵员隔离破管蒸汽发生器HRA事件树
a1 B1 b1 C1 c2 C2 F3 S b2 B2 F2 A1 a2 A2 F1

c1

p3 ? F1 ? F 2 ? F 3 ? 1.166 ? 10 ?3 ? 4.270 ? 10 ?4 ? 4.268 ? 10 ?4

? 2.020 ? 10

?3

? SGTR整体人因事件失误率为
P ? P1 ? P2 ? P3 ? p1 ? (1 ? p1 ) p2 ? (1 ? p1 )(1 ? p2 ) p3
? 1 ? 10 ?4 ? (1 ? 1 ? 10 ?4 ) ? 7.140 ? 10 ?2 ? (1 ? 1 ? 10 ?4 )(1 ? 7.140 ? 10 ?2 ) ? 2.020 ? 10 ?3

? 7.347 ? 10 ?2

HRA 实例2
事件名称 RRA中破口,操纵员未及时投入低压安注且打 开GCTa阀。 事件背景 C工况下,RRA系统出现中破口,引起一回路 压力下降,安全壳压力因破口漏流而上升,稳压 器低水位LOW3或安全壳高压HI-2报警引导操纵 员进入A10规程。在A10规程里,要求操纵员在19 分钟内完成启动安注以恢复一回路水量,并打开 所有可用蒸汽发生器的GCTatm阀。若操作员未成 功完成该任务,且值长及STA又未及时纠正,则 将导致堆熔。

事件描述 C工况,RRA系统中破口 放射性活 度高报警 引导操纵员进入DEC规程 安 全 壳 高 压 HI-2 信 号 报 警 或 稳 压 器 低 水 位 LOW3报警 操纵员进入A10规程 一回 路操纵员手动启动RPA058TO、RPB058TO 两列低压安注并通知二回路操纵员开启 GCT131、132、133VV阀。

事件成功准则

在事故发生19分钟内成功启动 RPA058TO、RPB058TO两列安注并 将蒸汽发生器通大气阀GCT131、 132、133VV开至全开。

调查与访谈结论
1.根据热工水力学计算,操纵员需在T1=19 分钟内完成手动启动两列安注并开启三个GCT 阀。 2.根据电站基本情况及假设,操纵员经过 平均水平训练(有执照且有6个月操作经验)。 3.根据电站基本情况及假设,操纵员在C工 况下有一定的心理压力,其修正因子取0.28。 4.根据热工水力学计算,由事故发生到引 发放射性活度高HI-2级报警的时间T2为1分钟。

5.根据电站基本情况及假设,操纵员执行 DEC规程的时间T3为4分钟。 6.由于操纵员进入A10规程后所采取的第一 个行为就是根据安全壳压力高信号作出投入安 注并开启GCTatm阀的诊断,操纵员在A10规程 中的执行时间很短,可忽略。 7.一回路操纵员完成手动启动两列安注动 作的操作时间为T4为1分钟,二回路操纵员完成 GCTatm阀门的开启时间T5为1分钟。 8.一回路操纵员与二回路操纵员同时进行 各自的操作行为,故事故处理中总操作时间以1 分钟计算。

事件分析 (1) 该事件可分为三个阶段: 1)操纵员由放射性活度高HI-2级报警进 入DEC规程诊断。 2) 操纵员由DEC规程引导进入A10规程, 并作出手动启动两列安注与开启所有GCT 阀的判断。 3)操纵员手动启动两列安注并将GCT阀 开至全开。

(2)建模分析: 1)根据报警信号特征及操纵员均经过 良好的培训,在此认为操纵员未发现DEC 报警并进入DEC规程的概率P1非常小; 2)操纵员在执行DEC、A10规程的判 断与操作均为基于操作规程的行为,可以 用HCR模式计算其失误概率P2; 3)一回路操纵员按操作规程开启手动 安注按钮的同时,二回路操纵员开启三个 GCT阀,其操作行为属于典型的序列操作, 其操作失败概率P3可用THERP方法求出。

建模与计算 事件失误率P=P1+P2+P3 1.根据事件分析中2.1),根据电站 基本情况及假定得 P1=1.00?10-4

2.

p?e

? ? t /T1 / 2 ?? ? ?? ? ? ? ?

式中, 允许操作员进行诊断的时间 t=T1-T2-T5?(1+0.28)=19-1-1?1.28=16.72min 平均诊断时间T1/2,n =T3=4min K1=0 (平均训练水平) K2=0.28 (调查访谈结论3) K3=0 (人机界面良好) T1/2=T1/2,n? (1+K1) ? (1+K2) ? (1+K3)=5.12min α=0.601,β=0.9,γ=0.6 (规则型) 代入(1)式,得P2=2.19?10-2

3.操纵员启动低压安注和开启GCTatm,其 HRA事件树如下图:
A1 a1 a2 a3 B1 b1 B2 b2 b3 S B3 F2 A2 A3 F1

其中: a1 —操纵员成功完成安注 A1—操纵员未成功完成安注 b1—操纵员成功完成GCTa打开 B1—操纵员未成功完成GCTa打开 a2—值长成功纠正操纵员的错误完成安注 A2—值长未成功纠正操纵员的错误并完成安注 b2—值长成功纠正操纵员的错误并完成GCTa打开 B2—值长未成功纠正操纵员的错误完成GCTa打开 a3—安全工程师成功纠正值长失误完成安注 A3—安全工程师未成功纠正值长失误完成安注 b3—安全工程师成功纠正值长失误完成GCTa打开 B3—安全工程师未成功纠正值长失误完成GCTa打开

依据THERP计算公式和基本数据、修正因子及相 关性分析等,计算得到: A1=1.2×10-3, A2=5.57×10-2, A3=5.03×10-1 B1=6.0×10-3, B2=5.57×10-2, B3=5.03×10-1 该事件树的主要失败路径有两条F1、F2,它们的 失效概率分别为: PF1=PA1×PA2×PA3 =1.2×10-3×5.57×10-2×5.03×10-1 ≈3.37×10-5 PF2=Pa1×PB1×PB2×PB3=(1-PA1 ) ×PB1×PB2×PB3 =9.998×10-1×5.57×10-2×5.03×10-1 ≈1.69×10-4

总的操作失误率 P3=PF1+PF2 =3.37×10-5 +1.69×10-4 =2.02×10-4 事件总的失误率 P=P1+P2+P3 =1?10-4+2.19?10-2+2.02×10-4 =2.22?10-2

5 讨论
? 模型间的接口问题 ? 紧张因子(心理压力因子)选择问题 ? 人因分析资料的可用性问题

?

参考文献

1、张力,黄曙东,黄祥瑞.基于THERP+HCR的人因事件 分析模式及应用.核动力工程,2003,24(3):272276 2、张力,黄曙东,杨洪. 岭澳核电站人因可靠性分析.北 京:中国核工业音像出版社,2001 3、张力,黄祥瑞,赵炳全,王遥. 秦山核电厂操纵员可 靠性模拟机实验研究,中国工程科学,2005,7(2):
41-46


相关文章:
第六章人因可靠性分析
第六章 人因可靠性分析 第一节 人因可靠性研究一、人因可靠性分析的研究背景...对理论模型的深入研究较为缺乏;在实际方面,所进行的研究还未能与我 国的核电厂...
结构可靠性分析试卷及答案
暂无评价|0人阅读|0次下载|举报文档结构可靠性分析试卷及答案_从业资格考试_资格...串并联模型 17.当结构体系为哪个模型时,结构中任一元件失效,则整个结构体系失效...
可靠性建模
可靠性建模_工学_高等教育_教育专区 暂无评价|0人...用于故障的分析(可靠性分析) ;在产品制造出来之后,...如果因特殊需要,非用简称不 可,则必须作必要的文字...
风险评估技术-人因可靠性分析(HRA)
风险评估技术-人因可靠性分析(HRA) 人因可靠性分析(HRA) 1 概述 人因可靠性分析(Human reliability analysis,简称 HRA)关注的是人因对 系统绩效的影响,可以用来...
结构可靠性考试试题及答案
暂无评价|0人阅读|0次下载|举报文档 结构可靠性考试...7.常用的结构体系可靠度分析模型有哪三类? 8....(4)因残余微观变形的积累超过一定限度,导致结构发生...
可靠性分析
暂无评价|0人阅读|0次下载|举报文档 可靠性分析_信息...对各自的测定结果进行相关性检验(分半信度考 ),...点击 Model 处的下拉菜 单,系统提供 5 种分析模型...
人因工程学课后习题及解答
夫妇开展了动作研究, 创立了通过动素分析改进操作...人因工程研究人为失误的特征和规律,人的可靠性和 ...(六)图示模型法 图示模型法是采用图形对系统进行...
核电站数字化仪控系统可靠性分析方法研究
暂无评价|0人阅读|0次下载|举报文档 核电站数字化仪控系统可靠性分析方法研究_...字化系统可靠性分析中的适用性,根据各个方法的特点,选取了合适的系统模型,分别...
可靠性读书报告
对中国核电厂中操纵员的可靠性开展研究,有关 HRA 的接受模型及方法研 究是...3. 人因可靠性分析方法评述 本章以方法复杂程度、 方法成熟度、 定性分析可用...
第4章典型系统的可靠性分析
4.2 不可修复系统的可靠性分析 4.2.1 串联系统(非储备系统)可靠性模型设由 n 个部件组成的系统,其中任何一个部件发生故障,系统即出现故障,或者 说只有全部部件...
更多相关标签:
可靠性数学模型分析 | 核电站模型 | 可靠性模型 | 可靠性模型与应用 | 软件可靠性模型 | 可靠性增长模型 | 软件可靠性增长模型 | 核电站3d模型 |