核电站人因可靠性分析模型.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,核电站人因可靠性分析模型,张 力 教授,国家自然科学基金资助项目,（,79870004,，,70271016,）,国防军工技术基础计划项目,（,Z012002A001,，,Z012005A001),湖南工学院安全工程与管理研究所,人因可靠性专题讲座之六,1 HRA,的作用,2 HRA,需求分析,3,核电站人因可靠性分析模型,4,应用实例,5,讨论,本文论述了核电站人因可靠性分析的目的和需求；通过,THERP,、,HCR,模型特性的分析和研究，建立了结构化的,THERP,HCR,模型及相应的人因事件分析模式和技术，并给出了一个应用实例。最后，对该模型尚需改进之处进行了讨论。,1 HRA,的作用,辨识与评价人因失误,支持,PSA,2,核电站,HRA,需求分析,HRA,的,三个基本目标：,辨识什么失误可能发生,这些失误发生的概率,如何减少失误和,/,或减轻其影响,完整的,HRA,过程,（,1,）任务分析：描述运行人员在事故过程,中应当做什么；,（,2,）失误分析：确定什么可能会出错；,（,3,）表现形式：以一个逻辑的和量化的结,构，确定人与其它硬件、软件和环境,事件共同卷入的事件的后果影响；,（,4,）量化：采用适当的模型推算失误的,可能性；,（,5,）失误减少：减少人误对风险的影响；,（,6,）质量保证和资料编制：确保该评价是,有效的，且能够作为将来设计,/,运,行的一个信息资源。,3,核电站人因可靠性分析模型,人因失误率预测法（,THERP,）,图,1,简单的,HRA,事件树,a,b/a,S,F,F,F,B/a,b/A,A,B/A,人员作业成功概率,:,Pr(S)=a,(b/a),失败概率,:,Pr(F)=a,(B/a)+A,(b/A)+A,(B/A),行为形成因子（,PSF,）,修正,HEP=BHEP,(PSF),1,(PSF),2 ,相关性修正,人的认知可靠性预测法（,HCR,）,HCR,方法的两个假定,1,所有人员行为类型可分为三类：,技能型、规则型、知识型；,图,2 HCR,行为类型辨识树,2,每一行为类型的失误概率仅与允许时间,t,和执行时间,T,1/2,的比值有关，且遵从三参 数的威布尔分布：,T,1/2,=T,1/2,，,n,（,1+K1,）,（,1+K2,）,（,1+K3,）,t,：,允许操纵员进行响应的时间,T,1/2,：,操纵员执行时间,T,1/2,，,n,：,一般状况的执行时间,K1,：,操作经验；,K2,：,心理压力；,K3,：,人机界面；,、,、,：操作人员行为类型参数,表,1,参数,、,、,选取表,行为类型,熟练（,SKILL,）,规则（,RULE,）,知识（,KNOWLEDGE,）,0.407,0.601,0.791,1.2,0.9,0.8,0.7,0.6,0.5,表,2 HCR,模型的行为形成因子及其取值,操作员经验,(K,1,),1.,专家，受过很好训练,-0.22,2.,平均训练水平,0.00,3.,新手，最小训练水平,0.44,心理压力,(K,2,),1.,严重应激情景,0.44,2.,潜在应激情景,/,高工作负荷,0.28,3.,最佳应激情况,/,正常,0.00,4.,低度应激,/,放松情况,0.28,人机界面（,K,3,）,1.,优秀,-0.22,2.,良好,0.00,3.,中等（一般）,0.44,4.,较差,0.78,5.,极差,0.92,THERP+HCR,模式,THERP,、,HCR,各自解决问题的侧重点,THERP:,与时间无关的序列动作,HCR:,与时间密切相关的认知行为,核电站人员的实际行为：认知判断,+,操作,理想模式：,THERP+HCR,THERP,HCR,建模规则,（,1,）,HRA,事件树建模规则,A,对于实现同一功能且在同一功能分区的,同类型操作行为，视为完全相关的操作。,B,不考虑操作者对自身行为的恢复。,C,考虑其他对操作者操作行为有监督作用,的人员的恢复。,D,根据操作界面的状况，考虑操作中有选,错与做错两种可能,。,E,对于执行一系列多种类型的操作行为，根,据电站条件假设取值。,F,对于规程中描述执行,A,操作，,A,失效，执,行,B,，,B,失效，执行,C,的动作序列，仅考,虑,A,操作的失误，不考虑继续执行,B,、,C,操,作的恢复。,G,一般状况下，不考虑操作人员忽略规程中,某一项操作的概率。,H,操作失误概率数据主要来源于,UREG/CR-,1278,表,2012,（主控室内操作失误）和表,2013,（现场操作失误）。,（,2,）相关性原则,一回路操纵员与二回路操纵员之间不考虑对对方操作或指令的监督作用，只考虑值长对两名操纵员操作的监督作用。且操纵员与值长之间的相关度为低。在副值长进行操作时，操纵员与副值长之间的相关度为高。事故后现场技术员也将按操纵员的指令参与有关操作，操纵员与现场技术员之间的相关度为中等。安全工程师在使用,SPI,规程期间不对主控室各人员的具体的操作行为有监督作用，而只是按规程对安全参数进行监测。但在,RRA,连接状态下或无相应规程使用的情况下，则认为安全工程师对主控室内重要的操作有监督作用，且相关度为高。,（,3,）名义,HEP,修正原则,A,在全厂断电、,ATWT,和执行,U,规程后所进,行的操作失误概率，取其名义值的,5,倍。,B,其它事故状况下取名义值的,2,倍。,C,通过模拟盘的信号灯、降温速率、阀门,开度指示装置、流量显示等多种途径，,监督人员可对操作人员的行为进行有效监,督，并据此发现操作人员的失误。由于获,取该信息的途径较多，因此，监督人员未,发现操作人员的操作失误的概率可依据,NUREG/CR-1278,取定为,3,10,-3,。,（,4,）人员行为类型判断规则,一般情况依据图,2,判断，但进入了事故规程或报警后的诊断行为，从保守角度考虑均视为规则型行为。,ATWT,等情况下无相应规程可用，需要根据个人的经验、知识进行诊断，视为知识型行为。,（,5,）事件处理中时间划分规则,事件处理中允许操纵员响应的时间分为：,A,事件发生到引发可引导操纵员进入该事件处,理规程（,DEC,、,A0,）,或报警卡的报警信号的,时间。,B,操纵员利用事故规程进行一系列的诊断，直,至作出具体操作行为的诊断时间。,C,有关人员（操纵员、副值长或现场技术员）,完成事件成功准则所要求的操作的执行时间。,（,6,）对模型中有关修正因子的确定,安全工程师的诊断行为：,K1=0,（,平均培训水平）,K2=0.44,（,需进入,SPU/U,规程，有,极高的心理压力）,或,K2,0.28,（,执行,SPI,规程，但不需,进入,SPU/U,规程，有较,高的心理压力）,K3=0,（,人机界面良好）,其他人员：,操作经验：平均培训水平，,K1=0,心理应激水平：,A,工况、全厂断电、,ATWT,事件状况下，,K2=0.44,；,其它事故状况，,K2=0.28,人机界面：良好，,K3=0,人因事件分析模式和技术,工程应用的需求：,可操作性,资料完备性,可追溯性,（,1,）,事件背景,刻划事件发生前后系统的状态和为保证系统功能而要求操纵员执行的相应动作以及事件后果。,（,2,）,事件描述,当值人员根据规程对与事故相关的关键系统或设备的状态进行判断以及进行的相应的操作行为和事故演进及处理过程。,（,3,）,事件成功准则,为确保事件成功所进行的关键性操作。,（,4,）提问清单及调查与访谈记录表,根据对事故进程的理解，列出需要了解或确认的问题，主要包括操纵员、安全工程师对事件进程的理解，运行人员所用规程及规程的易用性，事件进程中所需的操作步骤、条件及关系，操作现场的人,-,机,-,环境系统状况，人员间相关性及操作步骤间的相关性，事故可能造成的后果及运行人员对其严重程度的理解（心理压力），允许时间、实际诊断时间、操作时间、一般执行时间等。,（,5,）调查、访谈结论,事件的进程、任务分析、人员每一动作的意义、动作目的、成功准则、系统人,-,机接口的状况、系统状态、运行人员的心理状况以及,THERP,和,HCR,模式所需的各类信息和数据,（,6,）,事件分析,事件过程分析：根据事件进程将事件划分,为几个阶段；,建模分析：对每一阶段的人员行为进行初步分,析，决定采用何种模式计算其失误,概率。,（,7,）,建模与计算,建模分析 定量分析模型,数学计算,系统情况及有关假设,对电站人员配备情况、人员之间的工作关系和紧张情况、规程使用情况等作出统一约定和假设。另外，基于热工水力计算，需给出各事件的有关时间参数。,HRA,实例,1:SGTR,（,蒸汽发生器传热管破裂）,核电厂一回路和二回路系统示意图,事故序列建模,：事件树建模 故障树建模,SGTR,功能事件树,事件树分析,电厂响应分析,操纵员响应分析,事件树题头,事件树的展开,事件序列：,11,个,SGTR,事故序列事件树,系统故障树分析,SGTR,人因事件在,PSA,模型中基本位置,SGTR,人因事件分析,SGTR,人因事件：蒸汽发生器传热管破裂（,SGTR,）,后，操纵员未能在,20,分钟内隔离破管蒸汽发生器,事件背景,事件描述：蒸汽发生器传热管破裂,进入,E-0,规程执行至,23,步，蒸汽发生器抽气器排汽放射性,N-16,高报或蒸汽发生器排污水放射性高报,执行,E-3,规程至第,3,步识别破管的蒸汽发生器,关闭破管蒸汽发生器主蒸汽隔离阀隔离破管蒸汽发生器,事件成功准则：在,20,分钟内，操纵员调整蒸汽发生器的大气释放阀开启定值至,7.0Mpa,关闭破管蒸汽发生器主蒸汽隔离阀和主给水阀,调查与访谈结论,根据热工水力学计算，蒸汽发生器传热管断裂，操纵员在分钟内隔离破管蒸汽发生器,根据系统假设，,SGTR,引发报警信号的时间,T0,为,0,分钟,根据访谈，完成从进入,E0,规程至执行到,E-3,规程隔离破管蒸汽发生器一般执行时间为,4,分钟,隔离破管蒸汽发生器的操作包括：,调整破管蒸汽发生器的大气释放阀开启设定值至,7.0Mpa,；,关闭破管蒸汽发生器的主蒸汽隔离阀及其旁路阀；,关闭破管蒸汽发生器的主给水阀（隔离破管蒸汽发生器的给水）,隔离破管蒸汽发生器的一般操作时间,Ta,为,2,分钟,根据系统边界条件和假设，操纵员在此事故处理过程总的人员行为为规则型行为,根据系统假设，操纵员均经过一般水平的培训,根据调查访谈，在此事故状况下，操纵员的心理压力较高,根据系统假设，系统人机界面状况为一般。,反应堆操作员负责隔离破管蒸汽发生器的操作行为，值长对其操作行为的正确性负监督职责，其相关度为中,事件分析,事件分为三个主要阶段,操纵员发现,N-16,报警信号进入,E-0,规程（觉察阶段）,操纵员由,E0,规程进入执行至,E-3,规程作出需隔离破管,SG,的诊断（诊断阶段）,操纵员按规程指引，隔离破管,SG,（,操作阶段）,建模分析,SGTR,人因事件属于,C,类人误行为。响应行动序列失误概率,根据操纵员培训及事故所触发的报警信号的重要性、明显性，,p1,可认为非常小。,操纵员进入,E0,规程后，操纵员依次按,E0,规程至,E-3,规程进行操作。根据调查访谈结论，人的行为类别为规则型，其失误概率,p2,可用,HCR,模型计算。,操纵员隔离破管,SG,，,p3,根据,HRA,人因事件树进行计算,建模与计算,察觉失误概率,诊断失误概率,T1/2,，,n=4s,，,Ta=2s,，,K1=0,，,K2=0.28,，,K3=0.44,=0.601,=0.9,=0.6 (,调查访谈结论,6),p,2,=7.14010,-2,操作失误概率,操纵员隔离破管,SG,，,需要完成三个重要的序列动作：,a.,调整大气释放阀至定值,7.0Mpa,b.,关闭破管,SG,主蒸汽隔离阀,c.,关闭破管,SG,主给水阀,操纵员隔离破管蒸汽发生器,HRA,事件树,SGTR,整体人因事件失误率为,HRA,实例,2,事件名称,RRA,中破口，操纵员未及时投入低压安注且打开,GCTa,阀。,事件背景,C,工况下，,RRA,系统出现中破口，引起一回路压力下降，安全壳压力因破口漏流而上升，稳压器低水位,LOW3,或安全壳高压,HI-2,报警引导操纵员进入,A10,规程。在,A10,规程里，要求操纵员在,19,分钟内完成启动安注以恢复一回路水量，并打开所有可用蒸汽发生器的,GCTatm,阀。若操作员未成功完成该任务，且值长及,STA,又未及时纠正，则将导致堆熔。,事件描述,C,工况，,RRA,系统中破口 放射性活度高报警 引导操纵员进入,DEC,规程 安全壳高压,HI-2,信号报警或稳压器低水位,LOW3,报警 操纵员进入,A10,规程 一回路操纵员手动启动,RPA058TO,、,RPB058TO,两列低压安注并通知二回路操纵员开启,GCT131,、,132,、,133VV,阀。,事件成功准则,在事故发生,19,分钟内成功启动,RPA058TO,、,RPB058TO,两列安注并将蒸汽发生器通大气阀,GCT131,、,132,、,133VV,开至全开。,调查与访谈结论,1,根据热工水力学计算，操纵员需在,T1=19,分钟内完成手动启动两列安注并开启三个,GCT,阀。,2,根据电站基本情况及假设，操纵员经过平均水平训练（有执照且有,6,个月操作经验）。,3,根据电站基本情况及假设，操纵员在,C,工况下有一定的心理压力，其修正因子取,0.28,。,4,根据热工水力学计算，由事故发生到引发放射性活度高,HI-2,级报警的时间,T2,为,1,分钟。,5,根据电站基本情况及假设，操纵员执行,DEC,规程的时间,T3,为,4,分钟。,6,由于操纵员进入,A10,规程后所采取的第一个行为就是根据安全壳压力高信号作出投入安注并开启,GCTatm,阀的诊断，操纵员在,A10,规程中的执行时间很短，可忽略。,7,一回路操纵员完成手动启动两列安注动作的操作时间为,T4,为,1,分钟，二回路操纵员完成,GCTatm,阀门的开启时间,T5,为,1,分钟。,8,一回路操纵员与二回路操纵员同时进行各自的操作行为，故事故处理中总操作时间以,1,分钟计算。,事件分析,（,1,）该事件可分为三个阶段：,1,）操纵员由放射性活度高,HI-2,级报警进入,DEC,规程诊断。,2,）操纵员由,DEC,规程引导进入,A10,规程，并作出手动启动两列安注与开启所有,GCT,阀的判断。,3,）操纵员手动启动两列安注并将,GCT,阀开至全开。,（,2,）建模分析：,1,）根据报警信号特征及操纵员均经过良好的培训，在此认为操纵员未发现,DEC,报警并进入,DEC,规程的概率,P1,非常小,;,2,）操纵员在执行,DEC,、,A10,规程的判断与操作均为基于操作规程的行为，可以用,HCR,模式计算其失误概率,P2;,3,）,一回路操纵员按操作规程开启手动安注按钮的同时，二回路操纵员开启三个,GCT,阀，其操作行为属于典型的序列操作,其操作失败概率,P3,可用,THERP,方法求出。,建模与计算,事件失误率,P=P1+P2+P3,1,根据事件分析中,2.1,），根据电站基本情况及假定得,P1=1.00,10,-4,2.,式中,允许操作员进行诊断的时间,t=T1-T2-T5,（,1+0.28,）,=19-1-1,1.28=16.72min,平均诊断时间,T,1/2,，,n,=T3=4min,K1=0,（,平均训练水平）,K2=0.28,（,调查访谈结论,3,）,K3=0,（,人机界面良好）,T,1/2,=T,1/2,，,n,(1+K1),(1+K2),(1+K3)=5.12min,=0.601,=0.9,=0.6 (,规则型,),代入,(1),式,得,P2=2.19,10,-2,3,操纵员启动低压安注和开启,GCTatm,，其,HRA,事件树如下图,:,其中：,a1,操纵员成功完成安注,A1,操纵员未成功完成安注,b1,操纵员成功完成,GCTa,打开,B1,操纵员未成功完成,GCTa,打开,a2,值长成功纠正操纵员的错误完成安注,A2,值长未成功纠正操纵员的错误并完成安注,b2,值长成功纠正操纵员的错误并完成,GCTa,打开,B2,值长未成功纠正操纵员的错误完成,GCTa,打开,a3,安全工程师成功纠正值长失误完成安注,A3,安全工程师未成功纠正值长失误完成安注,b3,安全工程师成功纠正值长失误完成,GCTa,打开,B3,安全工程师未成功纠正值长失误完成,GCTa,打开,依据,THERP,计算公式和基本数据、修正因子及相关性分析等，计算得到：,A1=1.210,3,A2=5.5710,2,A3=5.0310,1,B1=6.010,3,B2=5.5710,2,B3=5.0310,1,该事件树的主要失败路径有两条,F1,、,F2,，,它们的失效概率分别为：,P,F1,=P,A1,P,A2,P,A3,=1.210,3,5.5710,2,5.0310,1,3.3710,5,P,F2,=P,a1,P,B1,P,B2,P,B3,=(1-P,A1,)P,B1,P,B2,P,B3,=9.99810,1,5.5710,2,5.0310,1,1.6910,4,总的操作失误率,P3=P,F1,+P,F2,=3.3710,5,+1.6910,4,=2.0210,4,事件总的失误率,P=P1+P2+P3,=1,10,-4,+2.19,10,-2,+2.0210,4,=2.22,10,-2,5,讨论,模型间的接口问题,紧张因子（心理压力因子）选择问题,人因分析资料的可用性问题,参考文献,1,、张力，黄曙东，黄祥瑞,.,基于,THERP+HCR,的人因事件分析模式及应用,.,核动力工程，,2003,，,24,（,3,）：,272-276,2,、张力，黄曙东，杨洪,.,岭澳核电站人因可靠性分析,.,北京：中国核工业音像出版社，,2001,3,、张力，黄祥瑞，赵炳全，王遥,.,秦山核电厂操纵员可靠性模拟机实验研究，中国工程科学，,2005,7,（,2,）：,41,46,