AP1000核电厂人员可靠性分析研究

何建东，仇永萍，卓钰铖，胡军涛

(上海核工程研究设计院有限公司，上海200233)

人员可靠性分析(HRA)是核电厂概率安全评价(PSA，亦称PRA)中极其重要的一项工作，亦是PSA中的一个难点问题。

AP1000核电厂采用了数字化主控室设计，数字化的特征使得系统中的人机接口、系统中人的作业模式和行为、甚至系统的组织结构和运行机制都发生了巨大的变化，因此对PSA中的HRA造成显著影响。本文简要阐述了结合AP1000核电厂设计特点开展HRA的研究过程和结果。

1 内部事件人员可靠性分析

AP1000核电厂中对电厂中的A、B、C类人员行为进行了详细分析。对于A类人员行为，采用基于人员失误率预测技术(THERP)[1]的事故前HRA方法进行分析；对于B类和C类人员行为，采用人员认知可靠性/操纵员可靠性实验(HCR/ORE)方法和基于原因的决策树模型方法(CBDTM) 以及THERP方法进行分析。在核电厂概率安全评价(PSA)中，通常将人员行为分为以下三类：

A类：始发事件前的人员行为(也称事故前的人员行为)，其失误可能引起一个部件或系统在需求时不可用或失效。这些人员失误可能发生在对相关的仪器、设备进行维修、试验或标定等工作过程中；

B类：引发始发事件的人员行为，一般这类失误在分析始发事件发生频率时考虑其对始发事件频率的贡献;

C类：始发事件后、在响应始发事件过程中进行的人员行为(也称事故后的人员行为)，操纵员按照规程和培训内容进行操作，以便将电厂带入安全状态。这类人员行为通常是PSA分析中考虑的最重要的人员行为。

1.1 A类人员行为可靠性分析

1.1.1 A类人员行为可靠性分析中的假设和筛选准则

A类人员行为主要是指事故发生前、电厂正常运行时，对相关的仪器、设备进行维护、试验、标定等工作时的人员行为，其失误会导致设备或系统处于潜在失效状态。通常，这些人员失误只影响阀门，但是也要考虑其他部件(比如开关)的潜在失效。

事故前阀门错位的原因可能是：

维修时动作过的阀门没有恢复到正常位置的遗漏失误；

监督试验时动作过的阀门没有恢复到正常位置的遗漏失误；

无意中导致的错位。

对于不同类型的阀门可能有不同的考虑。错位会影响三类阀门：

锁开或者锁关的手动阀；

没有锁定的手动阀；

操作阀(电动/气动/电磁)。

在进行事故前人员失误事件分析时，作如下假设：

相同系统不同冗余列定期试验交错进行，这是保证系统可靠性的重要措施。

对事故前人员失误，以下情况可忽略其影响：

(1)故障树中仅考虑会使系统严重降级或使系统失效的阀门错位。特别是，如果分支管道直径小于主体管道直径的1/3(面积小于10%)，则支管可以忽略；

(2)只有维修后不可能进行监督流量试验或隔离阀试验的阀门，才考虑维修后阀门的错位。通常，对于备用系统，会在监督试验期间发现其失效；

(3)控制室报警能探测到的阀门错位可不考虑，因为随后的纠正行为使该不可用度可以忽略。只有在其他不可用度数值小的情况下，才考虑这种阀门错位；

(4)试验之初启动并在确认系统可运行性前必须恢复到正确位置的阀门的错位可不考虑。实际上，试验识别了错误的状态。假如监督试验不能确认错误的状态，那么仍需考虑阀门的错位；

(5)假如在事故工况下部件在可接受的时间限定内(满足可接受准则)收到一个自动信号从而恢复到它的可运行状态，那么可不考虑事故前错位；

(6)控制室中有阀位指示、每24 h或操纵员每次换班时确认其指示、并且可以在控制室中恢复其状态的阀门的错位可不考虑。因为相对于其他随机失效概率而言，它们的不可用度可以忽略。假如阀门的错位会影响其他系统的可用度，那么仍需考虑；

(7)若相同系统中的冗余列采用交错试验，其事故前人员失误的共因失误可不考虑。根据本节的假设，本次事故前人员失误事件分析中假设相同系统不同冗余列的定期试验是交错进行的，故事故前人员失误的共因失误可不考虑。

对于筛选后需考虑的事故前人员失误事件开展详细分析。

1.1.2 A类人员行为可靠性分析示例

对三代非能动核电厂PSA中所考虑的系统进行了全面筛选，得到认为可能需要考虑的部件清单。

以“设备冷却水系统中的手动阀V105在试验维修后由于人员失误而未恢复状态”(CCNXV105HE)为例。

根据设备冷却水系统的试验维修规程，对规程长短、阀门标记、检查者校核等做了考虑用于CCNXV105HE的定量化输入：

CCNXV105HE的定量化如下：

(1)遗漏此操作的概率：3.75×10-3。

(2)选错就地操作阀的失误概率：1.25×10-3。

(3)检查者未查出其他人操作错误的概率：1.61×10-1。

P=(第1项+第2项)×第3项=8.05×10-4。

1.2 B、C类人员行为可靠性分析的总体考虑

三代非能动核电厂PSA中考虑的人员操作事件包含功率运行、低功率和停堆PSA模型中的相关人员失误事件。

结合已有的一些信息和现有电厂的运行经验，进行了一些必要的假设。B、C类人员行为可靠性分析采用HCR/ORE和CBDTM方法与THERP相结合的方法，总体考虑如下：

(1)诊断模型采用HCR/ORE和CBDTM，取二者计算结果之和；执行模型采用THERP方法进行模化。

(2)人员操作事件的时间窗口的选取基于成功准则分析。结合规程，根据操纵员访谈、参考的模拟机试验信息以及与设计人员沟通交流来估计实际的操作时间，认为诊断部分的认知响应中值时间已经反映了操纵员经验水平、事故情景的压力水平和人机接口的设计情况。

(3)假设操纵员为执行必要的任务已经历过充分的培训。在事件开始阶段，假设低的心理压力等级(特别是操纵员响应一个报警的时候)。在大多数情况下，因为事件的特性以及在执行程序型任务时不会有过度挑战，假设操纵员承受中等心理压力等级。在伴随有S信号的事件中，认为操纵员在操作中将承受高的心理压力。在定量化执行失误时，对于各个节点，用这三个不同的心理压力等级作为绩效形成因子乘以子任务的名义人员失误概率。

(4)时间裕量定义为“时间窗口(Tsw)”减去“估计的实际时间(Ta)”。“时间窗口”的定义与成功准则中定义的一样，是系统失效前，执行要求的任务的可用时间。除非另有说明，时间窗口均表示从给出特定指示到假如不采取措施则发生预期的系统失效的时间。

(5)控制室的人员配置为：1个当班技术顾问(STA)、1个值长(SRO)、一个副值长(SRO)、1个核岛操纵员(RO)、1个常规岛操纵员(RO)、一个备用操纵员(RO)，认为在执行规程中没有先后顺序的步骤时，核岛和常规岛操纵员会根据规程同时开展相关操作。对于校核人员对执行人员操作错误的恢复，诊断部分已经在采用HCR/ORE和CBDTM分析中综合考虑，执行部分的恢复采用相关性来考虑。认为SRO与RO之间存在中等相关性，在执行操作时STA与RO之间认为存在高相关性。对于正常运行期间的操作，只考虑SRO的恢复。

(6)对于就地动作，事故情况下保守地不考虑恢复因子。

(7)分析中对于一个给定的事故序列中不同操纵员动作之间的相关性等级采用决策树方法进行确定。

(8)如果计算得到一个人员操作事件的人员失误概率(HEP)小于1.00×10-5，则保守地取1.00×10-5。

1.3 C类人员操作事件定量化示例

下面给出模化C类人员操作事件的定量化过程示例。

PRN-MAN02用于评估LOCA或LOSP期间丧失主给水的情况下，操纵员未能投入非能动余热排出系统的概率。

对规程的长短、时间窗口、实际时间、信号、压力等级、恢复等进行了假设，用于PRN-MAN02的定量化输入。

PRN-MAN02执行过程的THERP模型定量化如下：

(1)遗漏投入PRHR的步骤HEP：1.25×10-3，压力等级：5，恢复因子：7.50×10-2，修正的HEP：4.69×10-4。

(2)投入PRHR系统时选错控制器HEP：1.33×10-3，压力等级：5，恢复因子：7.50×10-2，修正的HEP：4.99×10-4。

PE=第1项+第2项=9.68×10-4。

由于PRN-MAN02不含有人员动作的诊断过程，因此无需用HCR/ORE和CBDTM方法模化人员动作的诊断失误。PRN-MAN02的HEP最终结果为9.68×10-4。

2 火灾情景下人员可靠性分析

在国外相关技术资料调研的基础上，形成了完整的火灾情景下的HRA方法，包括完整的筛选分析和详细定量化分析方法体系。对于详细定量化分析，与内部事件HRA相同，采用HCR/ORE、CBDTM和THERP相结合的方法，但火灾情景下和内部事件情景下的HRA有所不同，还考虑了火灾对以下因素的影响：信号与指示、时间参数、规程和培训、复杂度、工作负荷和压力、人机接口、环境、特殊的设备、特殊的适应性要求、班组交流、人员动作的恢复等，对相关绩效形成因子进行了修正。最后，在工程上开展了应用。

下面以火灾情景下未能诊断出需要并未能启动非能动安全壳冷却系统气动阀(PCN-MAN01-FIRE)为例。

对情景、时间窗口、信号、压力等级、恢复等进行了假设和确定，用于PCN-MAN01-FIRE的定量化输入。

(1)用HCR/ORE方法计算PCN-MAN01-FIRE的HEP如下：

时间窗口2 h包含了诊断和执行两部分，在计算本事件的诊断失误概率时，需除去执行操作，并考虑火灾情景下的延迟时间。根据规程，操纵员的响应时间取T1/2为10 min。又由于操纵员在信号之后必须立即做出响应，所以此人员操作事件归为CP1，σ取0.57。得到PC1为6.80×10-5。

(2)用CBDTM方法计算PCN-MAN01-FIRE的HEP如下：

PC2=(2.0×10-3)×0.5=1.00×10-3

(3)采用THERP方法计算PCN-MAN01-FIRE的执行HEP=遗漏开启PCS阀门的步骤HEP+开启PCS阀门时选错控制器HEP=4.88×10-4+4.88×10-4=9.76×10-4。

最后将三部分的结果相加，得到2.04×10-3即为PCN-MAN01-FIRE失误概率的最终结果。

3 相关性分析

当一个事件的一个给定事故序列中包含多个操纵员动作时，应该考虑每个操纵员动作与先前操纵员动作之间的相关性。

由于同一班组的操纵员很可能响应一个序列中发生的所有事件，所以将整个班组人员作为共因失效的一个可能来源是合理的。在先前的操纵员动作失误的情况下，可能需要确定那些有较大可能引起操纵员动作失误的耦合机制。可以用来考虑耦合或分离操纵员动作的一些因素包括：(1)适用于操纵员动作的心理压力等级；(2)操纵员动作的计时机制；(3)操纵员动作的复杂度；(4)操纵员可用的规程型导则的质量。

采用图1给出的决策树(以第一个任务为低压力等级为例)为给定的操纵员动作确定合适的相关性等级，决策树中根据时间窗口、时间裕量、复杂度、规程导则类型来确定操纵员动作之间的相关性等级。

3.1 用于确定相关性的过程

审查PSA报告中的每棵事件树，确定操纵员动作之间可能的相关性。只要给出一个操纵员动作，该序列中之前的所有节点都要审查。如果序列中先前任何的操纵员动作失效，则要把随后的操纵员动作作为相关性分析需考虑的对象。

图1中的完整决策树根据不同的心理压力等级分为三张图。HRA人员在系统分析人员和事件树分析人员的协助下一起确定这张表中问题的答案。

图1的起始点确定了第一项(或先前)任务的心理压力等级。实际分析过程中根据第一项任务的心理压力等级，选取合适的决策树图。

确定第二项任务的特定因子如时间窗口、时间裕量、任务的复杂度和规程型导则的类型等之后，继续进行分析。最终结果是判断出第二项任务的相关性等级。

3.2 有相关性的人员失误概率的计算

一旦确定了每种情况的相关性等级，就要考虑对无相关性的基本人员失误概率进行相关性修正。采用5个相关性等级：完全相关、高相关、中等相关、低相关和零相关。存在零相关的地方，使用人员失误绝对概率。对于完全相关的事件，合并这些事件并将其作为一个事件处理。因此相关性分析集中在三个等级上：高相关、中等相关和低相关。

假如事件的人员失误绝对概率小于等于1.0×10-2，则使用以下人员失误条件概率：

低相关性用0.05；

中等相关性用0.15；

高相关性用0.5。

假如事件的人员失误绝对概率大于1.0×10-2，则使用以下公式计算人员失误条件概率：

低相关性用(1+19N)/20；

中等相关性用(1+6N)/7；

高相关性用(1+N)/2。

其中N是操纵员动作的人员失误绝对概率。

假如操纵员动作是个条件事件，则在PSA最终定量化时使用这些人员失误条件概率。

图1 相关性等级决策树(示例)Fig.1 Dependencydecision tree(for example)

4 不确定性分析

分析得到的所有人员操作事件的HEP值的误差因子(EF)考虑原则为：HEP值小于1×10-3，EF取10；HEP值大于1×10-3，EF取5。所有HEP值均遵循对数正态分布。

5 结论

基于对国际上HRA方法和AP1000核电厂设计的深入研究，完成了内部事件HRA和火灾情景下的HRA，较好支撑了AP1000核电厂工程设计，并使得HRA要素顺利通过安全审评。通过上述工作，形成了较为全面的HRA体系，为后续开展类似核电厂的HRA奠定基础。