AP1000核電廠人員可靠性分析研究

何建東，仇永萍，卓鈺鋮，胡軍濤

(上海核工程研究設(shè)計院有限公司，上海200233)

人員可靠性分析(HRA)是核電廠概率安全評價(PSA，亦稱PRA)中極其重要的一項工作，亦是PSA中的一個難點問題。

AP1000核電廠采用了數(shù)字化主控室設(shè)計，數(shù)字化的特征使得系統(tǒng)中的人機(jī)接口、系統(tǒng)中人的作業(yè)模式和行為、甚至系統(tǒng)的組織結(jié)構(gòu)和運(yùn)行機(jī)制都發(fā)生了巨大的變化，因此對PSA中的HRA造成顯著影響。本文簡要闡述了結(jié)合AP1000核電廠設(shè)計特點開展HRA的研究過程和結(jié)果。

1 內(nèi)部事件人員可靠性分析

AP1000核電廠中對電廠中的A、B、C類人員行為進(jìn)行了詳細(xì)分析。對于A類人員行為，采用基于人員失誤率預(yù)測技術(shù)(THERP)[1]的事故前HRA方法進(jìn)行分析；對于B類和C類人員行為，采用人員認(rèn)知可靠性/操縱員可靠性實驗(HCR/ORE)方法和基于原因的決策樹模型方法(CBDTM) 以及THERP方法進(jìn)行分析。在核電廠概率安全評價(PSA)中，通常將人員行為分為以下三類：

A類：始發(fā)事件前的人員行為(也稱事故前的人員行為)，其失誤可能引起一個部件或系統(tǒng)在需求時不可用或失效。這些人員失誤可能發(fā)生在對相關(guān)的儀器、設(shè)備進(jìn)行維修、試驗或標(biāo)定等工作過程中；

B類：引發(fā)始發(fā)事件的人員行為，一般這類失誤在分析始發(fā)事件發(fā)生頻率時考慮其對始發(fā)事件頻率的貢獻(xiàn);

C類：始發(fā)事件后、在響應(yīng)始發(fā)事件過程中進(jìn)行的人員行為(也稱事故后的人員行為)，操縱員按照規(guī)程和培訓(xùn)內(nèi)容進(jìn)行操作，以便將電廠帶入安全狀態(tài)。這類人員行為通常是PSA分析中考慮的最重要的人員行為。

1.1 A類人員行為可靠性分析

1.1.1 A類人員行為可靠性分析中的假設(shè)和篩選準(zhǔn)則

A類人員行為主要是指事故發(fā)生前、電廠正常運(yùn)行時，對相關(guān)的儀器、設(shè)備進(jìn)行維護(hù)、試驗、標(biāo)定等工作時的人員行為，其失誤會導(dǎo)致設(shè)備或系統(tǒng)處于潛在失效狀態(tài)。通常，這些人員失誤只影響閥門，但是也要考慮其他部件(比如開關(guān))的潛在失效。

事故前閥門錯位的原因可能是：

維修時動作過的閥門沒有恢復(fù)到正常位置的遺漏失誤；

監(jiān)督試驗時動作過的閥門沒有恢復(fù)到正常位置的遺漏失誤；

無意中導(dǎo)致的錯位。

對于不同類型的閥門可能有不同的考慮。錯位會影響三類閥門：

鎖開或者鎖關(guān)的手動閥；

沒有鎖定的手動閥；

操作閥(電動/氣動/電磁)。

在進(jìn)行事故前人員失誤事件分析時，作如下假設(shè)：

相同系統(tǒng)不同冗余列定期試驗交錯進(jìn)行，這是保證系統(tǒng)可靠性的重要措施。

對事故前人員失誤，以下情況可忽略其影響：

(1)故障樹中僅考慮會使系統(tǒng)嚴(yán)重降級或使系統(tǒng)失效的閥門錯位。特別是，如果分支管道直徑小于主體管道直徑的1/3(面積小于10%)，則支管可以忽略；

(2)只有維修后不可能進(jìn)行監(jiān)督流量試驗或隔離閥試驗的閥門，才考慮維修后閥門的錯位。通常，對于備用系統(tǒng)，會在監(jiān)督試驗期間發(fā)現(xiàn)其失效；

(3)控制室報警能探測到的閥門錯位可不考慮，因為隨后的糾正行為使該不可用度可以忽略。只有在其他不可用度數(shù)值小的情況下，才考慮這種閥門錯位；

(4)試驗之初啟動并在確認(rèn)系統(tǒng)可運(yùn)行性前必須恢復(fù)到正確位置的閥門的錯位可不考慮。實際上，試驗識別了錯誤的狀態(tài)。假如監(jiān)督試驗不能確認(rèn)錯誤的狀態(tài)，那么仍需考慮閥門的錯位；

(5)假如在事故工況下部件在可接受的時間限定內(nèi)(滿足可接受準(zhǔn)則)收到一個自動信號從而恢復(fù)到它的可運(yùn)行狀態(tài)，那么可不考慮事故前錯位；

(6)控制室中有閥位指示、每24 h或操縱員每次換班時確認(rèn)其指示、并且可以在控制室中恢復(fù)其狀態(tài)的閥門的錯位可不考慮。因為相對于其他隨機(jī)失效概率而言，它們的不可用度可以忽略。假如閥門的錯位會影響其他系統(tǒng)的可用度，那么仍需考慮；

(7)若相同系統(tǒng)中的冗余列采用交錯試驗，其事故前人員失誤的共因失誤可不考慮。根據(jù)本節(jié)的假設(shè)，本次事故前人員失誤事件分析中假設(shè)相同系統(tǒng)不同冗余列的定期試驗是交錯進(jìn)行的，故事故前人員失誤的共因失誤可不考慮。

對于篩選后需考慮的事故前人員失誤事件開展詳細(xì)分析。

1.1.2 A類人員行為可靠性分析示例

對三代非能動核電廠PSA中所考慮的系統(tǒng)進(jìn)行了全面篩選，得到認(rèn)為可能需要考慮的部件清單。

以“設(shè)備冷卻水系統(tǒng)中的手動閥V105在試驗維修后由于人員失誤而未恢復(fù)狀態(tài)”(CCNXV105HE)為例。

根據(jù)設(shè)備冷卻水系統(tǒng)的試驗維修規(guī)程，對規(guī)程長短、閥門標(biāo)記、檢查者校核等做了考慮用于CCNXV105HE的定量化輸入：

CCNXV105HE的定量化如下：

(1)遺漏此操作的概率：3.75×10-3。

(2)選錯就地操作閥的失誤概率：1.25×10-3。

(3)檢查者未查出其他人操作錯誤的概率：1.61×10-1。

P=(第1項+第2項)×第3項=8.05×10-4。

1.2 B、C類人員行為可靠性分析的總體考慮

三代非能動核電廠PSA中考慮的人員操作事件包含功率運(yùn)行、低功率和停堆PSA模型中的相關(guān)人員失誤事件。

結(jié)合已有的一些信息和現(xiàn)有電廠的運(yùn)行經(jīng)驗，進(jìn)行了一些必要的假設(shè)。B、C類人員行為可靠性分析采用HCR/ORE和CBDTM方法與THERP相結(jié)合的方法，總體考慮如下：

(1)診斷模型采用HCR/ORE和CBDTM，取二者計算結(jié)果之和；執(zhí)行模型采用THERP方法進(jìn)行?；?。

(2)人員操作事件的時間窗口的選取基于成功準(zhǔn)則分析。結(jié)合規(guī)程，根據(jù)操縱員訪談、參考的模擬機(jī)試驗信息以及與設(shè)計人員溝通交流來估計實際的操作時間，認(rèn)為診斷部分的認(rèn)知響應(yīng)中值時間已經(jīng)反映了操縱員經(jīng)驗水平、事故情景的壓力水平和人機(jī)接口的設(shè)計情況。

(3)假設(shè)操縱員為執(zhí)行必要的任務(wù)已經(jīng)歷過充分的培訓(xùn)。在事件開始階段，假設(shè)低的心理壓力等級(特別是操縱員響應(yīng)一個報警的時候)。在大多數(shù)情況下，因為事件的特性以及在執(zhí)行程序型任務(wù)時不會有過度挑戰(zhàn)，假設(shè)操縱員承受中等心理壓力等級。在伴隨有S信號的事件中，認(rèn)為操縱員在操作中將承受高的心理壓力。在定量化執(zhí)行失誤時，對于各個節(jié)點，用這三個不同的心理壓力等級作為績效形成因子乘以子任務(wù)的名義人員失誤概率。

(4)時間裕量定義為“時間窗口(Tsw)”減去“估計的實際時間(Ta)”?！皶r間窗口”的定義與成功準(zhǔn)則中定義的一樣，是系統(tǒng)失效前，執(zhí)行要求的任務(wù)的可用時間。除非另有說明，時間窗口均表示從給出特定指示到假如不采取措施則發(fā)生預(yù)期的系統(tǒng)失效的時間。

(5)控制室的人員配置為：1個當(dāng)班技術(shù)顧問(STA)、1個值長(SRO)、一個副值長(SRO)、1個核島操縱員(RO)、1個常規(guī)島操縱員(RO)、一個備用操縱員(RO)，認(rèn)為在執(zhí)行規(guī)程中沒有先后順序的步驟時，核島和常規(guī)島操縱員會根據(jù)規(guī)程同時開展相關(guān)操作。對于校核人員對執(zhí)行人員操作錯誤的恢復(fù)，診斷部分已經(jīng)在采用HCR/ORE和CBDTM分析中綜合考慮，執(zhí)行部分的恢復(fù)采用相關(guān)性來考慮。認(rèn)為SRO與RO之間存在中等相關(guān)性，在執(zhí)行操作時STA與RO之間認(rèn)為存在高相關(guān)性。對于正常運(yùn)行期間的操作，只考慮SRO的恢復(fù)。

(6)對于就地動作，事故情況下保守地不考慮恢復(fù)因子。

(7)分析中對于一個給定的事故序列中不同操縱員動作之間的相關(guān)性等級采用決策樹方法進(jìn)行確定。

(8)如果計算得到一個人員操作事件的人員失誤概率(HEP)小于1.00×10-5，則保守地取1.00×10-5。

1.3 C類人員操作事件定量化示例

下面給出?；疌類人員操作事件的定量化過程示例。

PRN-MAN02用于評估LOCA或LOSP期間喪失主給水的情況下，操縱員未能投入非能動余熱排出系統(tǒng)的概率。

對規(guī)程的長短、時間窗口、實際時間、信號、壓力等級、恢復(fù)等進(jìn)行了假設(shè)，用于PRN-MAN02的定量化輸入。

PRN-MAN02執(zhí)行過程的THERP模型定量化如下：

(1)遺漏投入PRHR的步驟HEP：1.25×10-3，壓力等級：5，恢復(fù)因子：7.50×10-2，修正的HEP：4.69×10-4。

(2)投入PRHR系統(tǒng)時選錯控制器HEP：1.33×10-3，壓力等級：5，恢復(fù)因子：7.50×10-2，修正的HEP：4.99×10-4。

PE=第1項+第2項=9.68×10-4。

由于PRN-MAN02不含有人員動作的診斷過程，因此無需用HCR/ORE和CBDTM方法模化人員動作的診斷失誤。PRN-MAN02的HEP最終結(jié)果為9.68×10-4。

2 火災(zāi)情景下人員可靠性分析

在國外相關(guān)技術(shù)資料調(diào)研的基礎(chǔ)上，形成了完整的火災(zāi)情景下的HRA方法，包括完整的篩選分析和詳細(xì)定量化分析方法體系。對于詳細(xì)定量化分析，與內(nèi)部事件HRA相同，采用HCR/ORE、CBDTM和THERP相結(jié)合的方法，但火災(zāi)情景下和內(nèi)部事件情景下的HRA有所不同，還考慮了火災(zāi)對以下因素的影響：信號與指示、時間參數(shù)、規(guī)程和培訓(xùn)、復(fù)雜度、工作負(fù)荷和壓力、人機(jī)接口、環(huán)境、特殊的設(shè)備、特殊的適應(yīng)性要求、班組交流、人員動作的恢復(fù)等，對相關(guān)績效形成因子進(jìn)行了修正。最后，在工程上開展了應(yīng)用。

下面以火災(zāi)情景下未能診斷出需要并未能啟動非能動安全殼冷卻系統(tǒng)氣動閥(PCN-MAN01-FIRE)為例。

對情景、時間窗口、信號、壓力等級、恢復(fù)等進(jìn)行了假設(shè)和確定，用于PCN-MAN01-FIRE的定量化輸入。

(1)用HCR/ORE方法計算PCN-MAN01-FIRE的HEP如下：

時間窗口2 h包含了診斷和執(zhí)行兩部分，在計算本事件的診斷失誤概率時，需除去執(zhí)行操作，并考慮火災(zāi)情景下的延遲時間。根據(jù)規(guī)程，操縱員的響應(yīng)時間取T1/2為10 min。又由于操縱員在信號之后必須立即做出響應(yīng)，所以此人員操作事件歸為CP1，σ取0.57。得到PC1為6.80×10-5。

(2)用CBDTM方法計算PCN-MAN01-FIRE的HEP如下：

PC2=(2.0×10-3)×0.5=1.00×10-3

(3)采用THERP方法計算PCN-MAN01-FIRE的執(zhí)行HEP=遺漏開啟PCS閥門的步驟HEP+開啟PCS閥門時選錯控制器HEP=4.88×10-4+4.88×10-4=9.76×10-4。

最后將三部分的結(jié)果相加，得到2.04×10-3即為PCN-MAN01-FIRE失誤概率的最終結(jié)果。

3 相關(guān)性分析

當(dāng)一個事件的一個給定事故序列中包含多個操縱員動作時，應(yīng)該考慮每個操縱員動作與先前操縱員動作之間的相關(guān)性。

由于同一班組的操縱員很可能響應(yīng)一個序列中發(fā)生的所有事件，所以將整個班組人員作為共因失效的一個可能來源是合理的。在先前的操縱員動作失誤的情況下，可能需要確定那些有較大可能引起操縱員動作失誤的耦合機(jī)制?？梢杂脕砜紤]耦合或分離操縱員動作的一些因素包括：(1)適用于操縱員動作的心理壓力等級；(2)操縱員動作的計時機(jī)制；(3)操縱員動作的復(fù)雜度；(4)操縱員可用的規(guī)程型導(dǎo)則的質(zhì)量。

采用圖1給出的決策樹(以第一個任務(wù)為低壓力等級為例)為給定的操縱員動作確定合適的相關(guān)性等級，決策樹中根據(jù)時間窗口、時間裕量、復(fù)雜度、規(guī)程導(dǎo)則類型來確定操縱員動作之間的相關(guān)性等級。

3.1 用于確定相關(guān)性的過程

審查PSA報告中的每棵事件樹，確定操縱員動作之間可能的相關(guān)性。只要給出一個操縱員動作，該序列中之前的所有節(jié)點都要審查。如果序列中先前任何的操縱員動作失效，則要把隨后的操縱員動作作為相關(guān)性分析需考慮的對象。

圖1中的完整決策樹根據(jù)不同的心理壓力等級分為三張圖。HRA人員在系統(tǒng)分析人員和事件樹分析人員的協(xié)助下一起確定這張表中問題的答案。

圖1的起始點確定了第一項(或先前)任務(wù)的心理壓力等級。實際分析過程中根據(jù)第一項任務(wù)的心理壓力等級，選取合適的決策樹圖。

確定第二項任務(wù)的特定因子如時間窗口、時間裕量、任務(wù)的復(fù)雜度和規(guī)程型導(dǎo)則的類型等之后，繼續(xù)進(jìn)行分析。最終結(jié)果是判斷出第二項任務(wù)的相關(guān)性等級。

3.2 有相關(guān)性的人員失誤概率的計算

一旦確定了每種情況的相關(guān)性等級，就要考慮對無相關(guān)性的基本人員失誤概率進(jìn)行相關(guān)性修正。采用5個相關(guān)性等級：完全相關(guān)、高相關(guān)、中等相關(guān)、低相關(guān)和零相關(guān)。存在零相關(guān)的地方，使用人員失誤絕對概率。對于完全相關(guān)的事件，合并這些事件并將其作為一個事件處理。因此相關(guān)性分析集中在三個等級上：高相關(guān)、中等相關(guān)和低相關(guān)。

假如事件的人員失誤絕對概率小于等于1.0×10-2，則使用以下人員失誤條件概率：

低相關(guān)性用0.05；

中等相關(guān)性用0.15；

高相關(guān)性用0.5。

假如事件的人員失誤絕對概率大于1.0×10-2，則使用以下公式計算人員失誤條件概率：

低相關(guān)性用(1+19N)/20；

中等相關(guān)性用(1+6N)/7；

高相關(guān)性用(1+N)/2。

其中N是操縱員動作的人員失誤絕對概率。

假如操縱員動作是個條件事件，則在PSA最終定量化時使用這些人員失誤條件概率。

圖1 相關(guān)性等級決策樹(示例)Fig.1 Dependencydecision tree(for example)

4 不確定性分析

分析得到的所有人員操作事件的HEP值的誤差因子(EF)考慮原則為：HEP值小于1×10-3，EF取10；HEP值大于1×10-3，EF取5。所有HEP值均遵循對數(shù)正態(tài)分布。

5 結(jié)論

基于對國際上HRA方法和AP1000核電廠設(shè)計的深入研究，完成了內(nèi)部事件HRA和火災(zāi)情景下的HRA，較好支撐了AP1000核電廠工程設(shè)計，并使得HRA要素順利通過安全審評。通過上述工作，形成了較為全面的HRA體系，為后續(xù)開展類似核電廠的HRA奠定基礎(chǔ)。