【文档说明】核电站人因可靠性分析模型=安全人机工程学=湖南.pptx，共(59)页，462.374 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-291705.html

以下为本文档部分文字说明：

核电站人因可靠性分析模型张力教授国家自然科学基金资助项目（79870004，70271016）国防军工技术基础计划项目（Z012002A001，Z012005A001)湖南工学院安全工程与管理研究所人因可靠性专题讲座之五1HRA的作用2HRA需求分析3

核电站人因可靠性分析模型4应用实例5讨论本文论述了核电站人因可靠性分析的目的和需求；通过THERP、HCR模型特性的分析和研究，建立了结构化的THERP＋HCR模型及相应的人因事件分析模式和技术，并给出了一个应用实例。最后，对该模型尚需改进之处进行了讨论。1HR

A的作用•辨识与评价人因失误•支持PSA2核电站HRA需求分析HRA的三个基本目标：•辨识什么失误可能发生•这些失误发生的概率•如何减少失误和/或减轻其影响完整的HRA过程（1）任务分析：描述运行人员在事故过程中应当做什么；（2）失误分析：确定什么可能会出错；（3）表现形式：以一个逻辑的和量

化的结构，确定人与其它硬件、软件和环境事件共同卷入的事件的后果影响；（4）量化：采用适当的模型推算失误的可能性；（5）失误减少：减少人误对风险的影响；（6）质量保证和资料编制：确保该评价是有效的，且能够作为将来设计/运行的一个信息资源。3核电站人因可靠性分析模型人因失误率预测法（THE

RP）图1简单的HRA事件树ab/aSFFFB/ab/AAB/A人员作业成功概率:Pr(S)=a(b/a)失败概率:Pr(F)=a(B/a)+A(b/A)+A(B/A)行为形成因子（PSF）修正HEP=BHEP•(PSF)1(PSF)2…相关性修正)()|(,.520)(191)

|(,.47)(61)|(,.32)(1)|(,.21)/(,.1BPABPZDBPABPLDBPABPMDBPABPHDABPCD=+=+=+==人的认知可靠性预测法（HCR）HCR方法的两个假定1所有人员行为类型可分为三类：技能型

、规则型、知识型；常规操作操作员清楚地理解过渡工况或操作内容不需要规程规程覆盖了情景操作员理解规程操作员对规程使用熟悉人的行为类型技能型规则型知识型技能型技能型规则型规则型知识型知识型图2HCR行为类型辨识树2每一行为类型的失误概率仅与允许时间t和执行时间T1/2的比值

有关，且遵从三参数的威布尔分布：T1/2=T1/2，n（1+K1）（1+K2）（1+K3）t：允许操纵员进行响应的时间T1/2：操纵员执行时间T1/2，n：一般状况的执行时间K1：操作经验；K2：心理压力；K3：人机界面；、、：操作人员行为类型参数−−=2/1/Tt

ep表1参数、、选取表行为类型熟练（SKILL）规则（RULE）知识（KNOWLEDGE）0.4070.6010.7911.20.90.80.70.60.5表2HCR模型的行为形成因子及其取值操作员经验(K

1)1.专家，受过很好训练-0.222.平均训练水平0.003.新手，最小训练水平0.44心理压力(K2)1.严重应激情景0.442.潜在应激情景/高工作负荷0.283.最佳应激情况/正常0.004.低

度应激/放松情况0.28人机界面（K3）1.优秀-0.222.良好0.003.中等（一般）0.444.较差0.785.极差0.92THERP+HCR模式THERP、HCR各自解决问题的侧重点THERP:与时间无关的序列动作HCR:与时间密切相关的认知行为核电站人员的实

际行为：认知判断+操作理想模式：THERP+HCRTHERP＋HCR建模规则（1）HRA事件树建模规则A对于实现同一功能且在同一功能分区的同类型操作行为，视为完全相关的操作。B不考虑操作者对自身行为的恢复。C考虑其他对操作者

操作行为有监督作用的人员的恢复。D根据操作界面的状况，考虑操作中有选错与做错两种可能。E对于执行一系列多种类型的操作行为，根据电站条件假设取值。F对于规程中描述执行A操作，A失效，执行B，B失效，执行C的动作序列，仅考虑A操作的失误，不考

虑继续执行B、C操作的恢复。G一般状况下，不考虑操作人员忽略规程中某一项操作的概率。H操作失误概率数据主要来源于UREG/CR-1278表20—12（主控室内操作失误）和表20—13（现场操作失误）。（2）相关性原则一回路操纵员与二回路操纵员之间不考虑对对方操作或指令的监督作用，

只考虑值长对两名操纵员操作的监督作用。且操纵员与值长之间的相关度为低。在副值长进行操作时，操纵员与副值长之间的相关度为高。事故后现场技术员也将按操纵员的指令参与有关操作，操纵员与现场技术员之间的相关度为中等。安全工程师在使用SPI规程期间不对主控室各人员的具体

的操作行为有监督作用，而只是按规程对安全参数进行监测。但在RRA连接状态下或无相应规程使用的情况下，则认为安全工程师对主控室内重要的操作有监督作用，且相关度为高。（3）名义HEP修正原则A在全厂断电、ATWT和执行U规程后所进行的操作失误概率，取其名义值的5倍

。B其它事故状况下取名义值的2倍。C通过模拟盘的信号灯、降温速率、阀门开度指示装置、流量显示等多种途径，监督人员可对操作人员的行为进行有效监督，并据此发现操作人员的失误。由于获取该信息的途径较多，因此，监督人员未发现操作人员的操作失误的概率可依据NUREG

/CR-1278取定为310-3。（4）人员行为类型判断规则一般情况依据图2判断，但进入了事故规程或报警后的诊断行为，从保守角度考虑均视为规则型行为。ATWT等情况下无相应规程可用，需要根据个人的经验、知识进行诊断，视

为知识型行为。（5）事件处理中时间划分规则事件处理中允许操纵员响应的时间分为：A事件发生到引发可引导操纵员进入该事件处理规程（DEC、A0）或报警卡的报警信号的时间。B操纵员利用事故规程进行一系列的诊断，直至作出具体操作行为的诊断时间。C有关人员（操纵员、

副值长或现场技术员）完成事件成功准则所要求的操作的执行时间。（6）对模型中有关修正因子的确定安全工程师的诊断行为：K1=0（平均培训水平）K2=0.44（需进入SPU/U规程，有极高的心理压力）或K2＝0.28（执行SPI规程，但不需进入SPU/U规程，有较高的心理

压力）K3=0（人机界面良好）其他人员：操作经验：平均培训水平，K1=0心理应激水平：A工况、全厂断电、ATWT事件状况下，K2=0.44；其它事故状况，K2=0.28人机界面：良好，K3=0人因事件分析模式和技术工程应用的需求：•可操作性•资料

完备性•可追溯性（1）事件背景刻划事件发生前后系统的状态和为保证系统功能而要求操纵员执行的相应动作以及事件后果。（2）事件描述当值人员根据规程对与事故相关的关键系统或设备的状态进行判断以及进行的相应的操作行为和事故演进及处

理过程。（3）事件成功准则为确保事件成功所进行的关键性操作。（4）提问清单及调查与访谈记录表根据对事故进程的理解，列出需要了解或确认的问题，主要包括操纵员、安全工程师对事件进程的理解，运行人员所用规程及规程的易用性，事

件进程中所需的操作步骤、条件及关系，操作现场的人-机-环境系统状况，人员间相关性及操作步骤间的相关性，事故可能造成的后果及运行人员对其严重程度的理解（心理压力），允许时间、实际诊断时间、操作时间、一般执行时间等。（5）调查、访谈结论事件的进程、任务分析、人员每一动作的意义、动作

目的、成功准则、系统人-机接口的状况、系统状态、运行人员的心理状况以及THERP和HCR模式所需的各类信息和数据（6）事件分析事件过程分析：根据事件进程将事件划分为几个阶段；建模分析：对每一阶段的人员行为进行初步分

析，决定采用何种模式计算其失误概率。（7）建模与计算建模分析定量分析模型数学计算系统情况及有关假设对电站人员配备情况、人员之间的工作关系和紧张情况、规程使用情况等作出统一约定和假设。另外，基于热工水力计算，需给出各事件的有关时间参数。HRA实例1:SGTR（蒸

汽发生器传热管破裂）核电厂一回路和二回路系统示意图反应堆安全壳厂房蒸汽发生器卸压阀安全壳喷淋装置至安全壳喷淋泵释放阀至汽轮机卸压器稳压器压力壳安全壳地坑N2安注泵至上充泵至容积控制箱主冷却剂泵冷段热段给水泵辅助给水泵一回路系统二回路系统安注箱事故序列建模：事件树建模故障树建模SGTR

功能事件树蒸汽发生器传热管破裂反应性控制排出堆芯衰变热和储存热保持反应堆冷却剂装量SGTRRCRCDHMRCI1234okcdcdcdMRCIRCDIRC事件树分析•电厂响应分析•操纵员响应分析•事件树题头•事件树的展开•事件序列：11个SGTR

事故序列事件树SGTRRTAFWSGTR/ISDTPEDTPECAHPIRHR1234567891011OKOKCDCDCDOKCDCDCDCDCDDTPEDTPEDTPE-RHRDTPE-HPIDTPE-DTPECASGTR/ISSGTR/IS-RHRSGTR/IS-HPIS

GTR/IS-DTPECAAFWRTNo.Conseq.Code蒸汽发生器传热管断裂反应堆保护系统辅助给水系统SG隔离E－3RCS降温降压ECA-3RCS降温降压ECA-3高压安注系统停冷系统A系统故障树分析SGTR人因事件在PSA模型中基本位置至图6.3事件树A点SGTR/ISSGTR时蒸汽发生

器的隔离失效BZZQ-0001CC9FOEUPS1BZZQ-0001VTAFC1#主蒸汽隔离阀的支持系统失效SGIS-1E-3---SG/IS-HE1＃主蒸汽隔离阀本体不能关SGTR时蒸汽发生器的隔离人因失误1＃主蒸汽隔离阀控制回路失效重要仪表电源段失电SGTR人因事件分析•SGTR人因事件：

蒸汽发生器传热管破裂（SGTR）后，操纵员未能在20分钟内隔离破管蒸汽发生器•事件背景•事件描述：蒸汽发生器传热管破裂→进入E-0规程执行至23步，蒸汽发生器抽气器排汽放射性N-16高报或蒸汽发生器排污水放射性高报→执行E-3规程至第3步识别破管的蒸汽发生器→关闭破管蒸汽发生器主蒸汽隔离阀隔离破管

蒸汽发生器•事件成功准则：在20分钟内，操纵员调整蒸汽发生器的大气释放阀开启定值至7.0Mpa,关闭破管蒸汽发生器主蒸汽隔离阀和主给水阀调查与访谈结论•根据热工水力学计算，蒸汽发生器传热管断裂，操纵员在分钟内隔离破管蒸汽发生器•根据系统假设，SGTR引发报警信号的时间T0为0分钟

•根据访谈，完成从进入E0规程至执行到E-3规程隔离破管蒸汽发生器一般执行时间为4分钟•隔离破管蒸汽发生器的操作包括：①调整破管蒸汽发生器的大气释放阀开启设定值至7.0Mpa；②关闭破管蒸汽发生器的主蒸汽隔离阀及其旁路阀；③关闭破管蒸汽发生器的主给

水阀（隔离破管蒸汽发生器的给水）•隔离破管蒸汽发生器的一般操作时间Ta为2分钟•根据系统边界条件和假设，操纵员在此事故处理过程总的人员行为为规则型行为•根据系统假设，操纵员均经过一般水平的培训•根据调查访谈，在此事故状况下，操纵员的心理压力较高•根据系统假

设，系统人－机界面状况为一般。•反应堆操作员负责隔离破管蒸汽发生器的操作行为，值长对其操作行为的正确性负监督职责，其相关度为中事件分析事件分为三个主要阶段•操纵员发现N-16报警信号进入E-0规程（觉察阶段）•操纵员由E0规程进入执行至E-3规

程作出需隔离破管SG的诊断（诊断阶段）•操纵员按规程指引，隔离破管SG（操作阶段）建模分析SGTR人因事件属于C类人误行为。响应行动序列失误概率•根据操纵员培训及事故所触发的报警信号的重要性、明显性，p1可认为非

常小。•操纵员进入E0规程后，操纵员依次按E0规程至E-3规程进行操作。根据调查访谈结论，人的行为类别为规则型，其失误概率p2可用HCR模型计算。•操纵员隔离破管SG，p3根据HRA人因事件树进行计算321211321)

1)(1()1(ppppppPPPP−−+−+=++=建模与计算•察觉失误概率•诊断失误概率T1/2，n=4s，Ta=2s，K1=0，K2=0.28，K3=0.44η=0.601,β=0.9,γ=0.6(调查访谈结论6)p2=7.140×10-241101−=p

−−=21/Td2Tep()44.1728.1202028.010=−−=+−−=acdTTTT()()()37.7312111,2/12/1=+++=KKKTTn操作失误概率操纵员隔离破管S

G，需要完成三个重要的序列动作：a.调整大气释放阀至定值7.0Mpab.关闭破管SG主蒸汽隔离阀c.关闭破管SG主给水阀操纵员隔离破管蒸汽发生器HRA事件树a1b1c1a2b2c2A1A2F1B1B2C1C2SF2F3•SGTR整体人因事件失误

率为443310268.410270.410166.1321−−−++=++=FFFp321211321)1)(1()1(ppppppPPPP−−+−+=++=32424410020.2)10140.71)(1011

(10140.7)1011(101−−−−−−−−+−+=310020.2−=210347.7−=HRA实例2事件名称RRA中破口，操纵员未及时投入低压安注且打开GCTa阀。事件背景C

工况下，RRA系统出现中破口，引起一回路压力下降，安全壳压力因破口漏流而上升，稳压器低水位LOW3或安全壳高压HI-2报警引导操纵员进入A10规程。在A10规程里，要求操纵员在19分钟内完成启动安注以恢复一回路水量，并打开所有可用蒸汽发生器的GCTatm阀。若操作员未成功完成该任务

，且值长及STA又未及时纠正，则将导致堆熔。事件描述C工况，RRA系统中破口放射性活度高报警引导操纵员进入DEC规程安全壳高压HI-2信号报警或稳压器低水位LOW3报警操纵员进入A10规程一回路操纵员手动启

动RPA058TO、RPB058TO两列低压安注并通知二回路操纵员开启GCT131、132、133VV阀。事件成功准则在事故发生19分钟内成功启动RPA058TO、RPB058TO两列安注并将蒸汽发生器通

大气阀GCT131、132、133VV开至全开。调查与访谈结论1．根据热工水力学计算，操纵员需在T1=19分钟内完成手动启动两列安注并开启三个GCT阀。2．根据电站基本情况及假设，操纵员经过平均水平训练（有执照且有6个月操作经验）。3

．根据电站基本情况及假设，操纵员在C工况下有一定的心理压力，其修正因子取0.28。4．根据热工水力学计算，由事故发生到引发放射性活度高HI-2级报警的时间T2为1分钟。5．根据电站基本情况及假设，操纵员执行DEC规程的时间T3为4分钟。6．由于操纵员进

入A10规程后所采取的第一个行为就是根据安全壳压力高信号作出投入安注并开启GCTatm阀的诊断，操纵员在A10规程中的执行时间很短，可忽略。7．一回路操纵员完成手动启动两列安注动作的操作时间为T4为1分钟，二回路操纵员完成GCTatm阀门的开启时间T5为1分钟。8．

一回路操纵员与二回路操纵员同时进行各自的操作行为，故事故处理中总操作时间以1分钟计算。事件分析（1）该事件可分为三个阶段：1）操纵员由放射性活度高HI-2级报警进入DEC规程诊断。2）操纵员由DEC规程引导进入A10规程，并作出手动启动两列安注与开启所有GCT阀的判断。3

）操纵员手动启动两列安注并将GCT阀开至全开。（2）建模分析：1）根据报警信号特征及操纵员均经过良好的培训，在此认为操纵员未发现DEC报警并进入DEC规程的概率P1非常小;2）操纵员在执行DEC、A10规程的判断与操作均为基于操作规程的行为，可以用HCR模式计算其失误

概率P2;3）一回路操纵员按操作规程开启手动安注按钮的同时，二回路操纵员开启三个GCT阀，其操作行为属于典型的序列操作,其操作失败概率P3可用THERP方法求出。建模与计算事件失误率P=P1+P2+P31．根据事件

分析中2.1），根据电站基本情况及假定得P1=1.0010-42.式中,允许操作员进行诊断的时间t=T1-T2-T5（1+0.28）=19-1-11.28=16.72min平均诊断时间T1/2，

n=T3=4minK1=0（平均训练水平）K2=0.28（调查访谈结论3）K3=0（人机界面良好）T1/2=T1/2，n(1+K1)(1+K2)(1+K3)=5.12minα=0.601,β=0.9,γ=0.6(规则型)代入(1

)式,得P2=2.1910-2−−=2/1/Ttep3．操纵员启动低压安注和开启GCTatm，其HRA事件树如下图:A1a2b2a1b1B1B2A2F2SA3a3b3B3F1其中：a1—操纵员成功完成安注A1—操纵员未成功完成安注b1—操纵员成

功完成GCTa打开B1—操纵员未成功完成GCTa打开a2—值长成功纠正操纵员的错误完成安注A2—值长未成功纠正操纵员的错误并完成安注b2—值长成功纠正操纵员的错误并完成GCTa打开B2—值长未成功纠正操纵员的错误完成GCTa打开a3—安全工程师成功纠正值长失误完成安注A3—

安全工程师未成功纠正值长失误完成安注b3—安全工程师成功纠正值长失误完成GCTa打开B3—安全工程师未成功纠正值长失误完成GCTa打开依据THERP计算公式和基本数据、修正因子及相关性分析等，计算得到：A1=1.2×10－

3,A2=5.57×10－2,A3=5.03×10－1B1=6.0×10－3,B2=5.57×10－2,B3=5.03×10－1该事件树的主要失败路径有两条F1、F2，它们的失效概率分别为：PF1=PA1×PA2×

PA3=1.2×10－3×5.57×10－2×5.03×10－1≈3.37×10－5PF2=Pa1×PB1×PB2×PB3=(1-PA1)×PB1×PB2×PB3=9.998×10－1×5.57×10－2×5

.03×10－1≈1.69×10－4总的操作失误率P3=PF1+PF2=3.37×10－5+1.69×10－4=2.02×10－4事件总的失误率P=P1+P2+P3=110-4+2.1910-2+2.02×10－4=2.2210-25讨

论•模型间的接口问题•紧张因子（心理压力因子）选择问题•人因分析资料的可用性问题•参考文献1、张力，黄曙东，黄祥瑞.基于THERP+HCR的人因事件分析模式及应用.核动力工程，2003，24（3）：272-2762、张力，黄曙东，杨洪.岭澳核电站人因可靠性分析.北京：中国核工业音像出版社，2

0013、张力，黄祥瑞，赵炳全，王遥.秦山核电厂操纵员可靠性模拟机实验研究，中国工程科学，2005,7（2）：41－46