核电站人因可靠性分析模型
张 力 教授
国家自然科学基金资助项目 ( 79870004,70271016)
国防军工技术基础计划项目 ( Z012002A001,Z012005A001)
湖南工学院(筹)安全工程与管理研究所
人因可靠性专题讲座之六
1 HRA的作用
2 HRA需求分析
3 核电站人因可靠性分析模型
4 应用实例
5 讨论
本文论述了核电站人因可靠性
分析的目的和需求;通过 THERP、
HCR模型特性的分析和研究,建立
了结构化的 THERP+ HCR模型及相
应的人因事件分析模式和技术,并
给出了一个应用实例。最后,对该
模型尚需改进之处进行了讨论。
1 HRA的作用
?辨识与评价人因失误
?支持 PSA
2 核电站 HRA需求分析
HRA的 三个基本目标:
?辨识什么失误可能发生
?这些失误发生的概率
?如何减少失误和 /或减轻其影响
完整的 HRA过程
( 1)任务分析:描述运行人员在事故过程
中应当做什么;
( 2)失误分析:确定什么可能会出错;
( 3)表现形式:以一个逻辑的和量化的结
构,确定人与其它硬件、软件和环境
事件共同卷入的事件的后果影响;
( 4)量化:采用适当的模型推算失误的
可能性;
( 5)失误减少:减少人误对风险的影响;
( 6)质量保证和资料编制:确保该评价是
有效的,且能够作为将来设计 /运
行的一个信息资源。
3 核电站人因可靠性分析模型
人因失误率预测法 ( THERP)
图 1 简单的 HRA事件树
a
b/a
S F F F
B/a
b/A
A
B/A
人员作业成功概率,
Pr(S)=a? (b/a)
失败概率,
Pr(F)=a?(B/a)+A?(b/A)+A?(B/A)
行为形成因子( PSF)修正
HEP=BHEP?(PSF)1(PSF)2 …
相关性修正
)()|(,.5
20
)(191
)|(,.4
7
)(61
)|(,.3
2
)(1
)|(,.2
1)/(,.1
BPABPZD
BP
ABPLD
BP
ABPMD
BP
ABPHD
ABPCD
?
?
?
?
?
?
?
?
人的认知可靠性预测法( HCR)
HCR方法的两个假定
1 所有人员行为类型可分为三类:
技能型、规则型、知识型;
常规
操作
操作员清楚地理解
过渡工况或操作内容
不需要
规程
规程覆盖
了情景
操 作员
理解规程
操作员对规程
使用熟悉
人的行为
类型
技能型
规则型
知识型
技能型
技能型
规则型
规则型
知识型
知识型
图 2 HCR行为类型辨识树
2 每一行为类型的失误概率仅与允许时间 t
和执行时间 T1/2的比值有关,且遵从三参
数的威布尔分布,
T1/2 =T1/2,n?( 1+K1) ?( 1+K2) ?( 1+K3)
t:允许操纵员进行响应的时间
T1/2:操纵员执行时间 T1/2,n:一般状况的执行时间
K1:操作经验; K2:心理压力; K3:人机界面;
?,?,?:操作人员行为类型参数
?
?
?
?
?
?
?
?
??
?
?
2/1/ Tt
ep
表 1 参数 ?,?,?选取表
行为类型 ? ? ?
熟练 ( SKILL)
规则 ( RULE)
知识 ( KNOWLEDGE)
0.407
0.601
0.791
1.2
0.9
0.8
0.7
0.6
0.5
表 2 HCR模型的行为形成因子及其取值
操作员经验 (K1)
1.专家, 受过很好训练 -0.22
2.平均训练水平 0.00
3.新手,最小训练水平 0.44
心理压力 (K2)
1.严重应激情景 0.44
2.潜在应激情景 /高工作负荷 0.28
3.最佳应激情况 /正常 0.00
4.低度应激 /放松情况 0.28
人机界面 ( K3)
1.优秀 -0.22
2.良好 0.00
3.中等 ( 一般 ) 0.44
4.较差 0.78
5.极差 0.92
THERP+HCR模式
THERP,HCR各自解决问题的侧重点
THERP,与时间无关的序列动作
HCR,与时间密切相关的认知行为
核电站人员的实际行为:认知判断 +操作
理想模式,THERP+HCR
THERP+ HCR建模规则
( 1) HRA事件树建模规则
A 对于实现同一功能且在同一功能分区的
同类型操作行为, 视为完全相关的操作 。
B 不考虑操作者对自身行为的恢复 。
C 考虑其他对操作者操作行为有监督作用
的人员的恢复 。
D 根据操作界面的状况, 考虑操作中有选
错与做错两种可能 。
E 对于执行一系列多种类型的操作行为,根
据电站条件假设取值。
F 对于规程中描述执行 A操作,A失效,执
行 B,B失效,执行 C的动作序列,仅考
虑 A 操作的失误,不考虑继续执行 B,C操
作的恢复。
G 一般状况下,不考虑操作人员忽略规程中
某一项操作的概率。
H 操作失误概率数据主要来源于 UREG/CR-
1278表 20— 12(主控室内操作失误)和表
20— 13(现场操作失误)。
( 2)相关性原则
一回路操纵员与二回路操纵员之间不考虑对对
方操作或指令的监督作用, 只考虑值长对两名操纵
员操作的监督作用 。 且操纵员与值长之间的相关度
为低 。 在副值长进行操作时, 操纵员与副值长之间
的相关度为高 。 事故后现场技术员也将按操纵员的
指令参与有关操作, 操纵员与现场技术员之间的相
关度为中等 。 安全工程师在使用 SPI规程期间不对
主控室各人员的具体的操作行为有监督作用, 而只
是按规程对安全参数进行监测 。 但在 RRA连接状态
下或无相应规程使用的情况下, 则认为安全工程师
对主控室内重要的操作有监督作用, 且相关度为高 。
( 3)名义 HEP修正原则
A 在全厂断电, ATWT和执行 U规程后所进
行的操作失误概率, 取其名义值的 5倍 。
B 其它事故状况下取名义值的 2倍 。
C 通过模拟盘的信号灯, 降温速率, 阀门
开度指示装置, 流量显示等多种途径,
监督人员可对操作人员的行为进行有效监
督, 并据此发现操作人员的失误 。 由于获
取该信息的途径较多, 因此, 监督人员未
发现操作人员的操作失误的概率可依据
NUREG/CR-1278 取定为 3?10-3。
( 4)人员行为类型判断规则
一般情况依据图 2判断, 但进入
了事故规程或报警后的诊断行为, 从
保守角度考虑均视为规则型行为 。
ATWT等情况下无相应规程可用, 需
要根据个人的经验, 知识进行诊断,
视为知识型行为 。
( 5) 事件处理中时间划分规则
事件处理中允许操纵员响应的时间分为:
A 事件发生到引发可引导操纵员进入该事件处
理规程 ( DEC,A0) 或报警卡的报警信号的
时间 。
B 操纵员利用事故规程进行一系列的诊断, 直
至作出具体操作行为的诊断时间 。
C 有关人员 ( 操纵员, 副值长或现场技术员 )
完成事件成功准则所要求的操作的执行时间 。
( 6)对模型中有关修正因子的确定
安全工程师的诊断行为:
K1=0( 平均培训水平 )
K2=0.44( 需进入 SPU/U规程, 有
极高的心理压力 )
或 K2= 0.28( 执行 SPI规程, 但不需
进入 SPU/U规程, 有较
高的心理压力 )
K3=0( 人机界面良好 )
其他人员:
操作经验:平均培训水平, K1=0
心理应激水平,A工况, 全厂断电,
ATWT事件状况下,
K2=0.44 ;
其它事故状况,
K2=0.28
人机界面:良好, K3=0
人因事件分析模式和技术
工程应用的需求:
? 可操作性
? 资料完备性
? 可追溯性
( 1) 事件背景
刻划事件发生前后系统的状态和为保证系
统功能而要求操纵员执行的相应动作以及事件
后果 。
( 2) 事件描述
当值人员根据规程对与事故相关的关键系
统或设备的状态进行判断以及进行的相应的操
作行为和事故演进及处理过程 。
( 3) 事件成功准则
为确保事件成功所进行的关键性操作 。
( 4) 提问清单及调查与访谈记录表
根据对事故进程的理解, 列出需要了
解或确认的问题, 主要包括操纵员, 安全
工程师对事件进程的理解, 运行人员所用
规程及规程的易用性, 事件进程中所需的
操作步骤, 条件及关系, 操作现场的人 -机 -
环境系统状况, 人员间相关性及操作步骤
间的相关性, 事故可能造成的后果及运行
人员对其严重程度的理解 ( 心理压力 ),
允许时间, 实际诊断时间, 操作时间, 一
般执行时间等 。
( 5) 调查, 访谈结论
事件的进程, 任务分析, 人员每一动作的意义,
动作目的, 成功准则, 系统人 -机接口的状况, 系
统状态, 运行人员的心理状况以及 THERP和 HCR
模式所需的各类信息和数据
( 6) 事件分析
事件过程分析:根据事件进程将事件划分
为几个阶段;
建模分析:对每一阶段的人员行为进行初步分
析, 决定采用何种模式计算其失误
概率 。
( 7) 建模与计算
建模分析 定量分析模型
数学计算
系统情况及有关假设
对电站人员配备情况, 人员之间的工
作关系和紧张情况, 规程使用情况等作出
统一约定和假设 。 另外, 基于热工水力计
算, 需给出各事件的有关时间参数 。
HRA实例 1,SGTR(蒸汽发生器传热管破裂)
核电厂一回路和二回路系统示意图
反应堆安全壳厂房
蒸汽发
生器
卸压阀
安全壳喷淋装置
至安全壳
喷淋泵
释放阀
至汽轮机
卸压器
稳压器
压力壳
安全壳地坑
N2
安注泵
至上充泵
至容积控制箱
主冷却剂泵
冷段
热段
给水泵
辅助给水泵
一回路系统
二回路系统
安注箱
事故序列建模, 事件树建模
故障树建模
SGTR功能事件树
蒸汽发生器
传热管破裂
反应性控制
排出堆芯衰变热和
储存热
保持反应堆冷却剂
装量
SGTR RC RCDH MRCI
1
2
3
4
ok
cd
cd
cd
MRCI
RCDI
RC
事件树分析
? 电厂响应分析
? 操纵员响应分析
? 事件树题头
? 事件树的展开
? 事件序列,11个
SGTR事故序列事件树
SGTR RT AFW SGTR/IS DTPE DTPECA HPI RHR
1
2
3
4
5
6
7
8
9
10
11
OK
OK
CD
CD
CD
OK
CD
CD
CD
CD
CD
DTPE
DTPE
DTPE-RHR
DTPE-HPI
DTPE-DTPECA
SGTR/IS
SGTR/IS-RHR
SGTR/IS-HPI
SGTR/IS-
DTPECA
AFW
RT
No.
C
o
n
s
e
q
,Code
蒸
汽
发
生
器
传
热
管
断
裂
反
应
堆
保
护
系
统
辅
助
给
水
系
统
S
G
隔
离
E
-
3
R
C
S
降
温
降
压
E
C
A
-
3
R
C
S
降
温
降
压
E
C
A
-
3
高
压
安
注
系
统
停
冷
系
统
A
系统故障树分析
SGTR 人因事件在 PSA模型中基本位置
至图6, 3 事件树 A 点
SGT R / I S
S G T R 时蒸汽发生器
的隔离失效
BZ Z Q-00 01C C 9F O EU PS1
BZ Z Q-00 01VT AF C
1 # 主蒸汽隔离阀的支持系
统失效
SGI S-1 E-3--- SG/ I S-H E
1 #主蒸汽隔离阀本体不
能关
S G T R 时蒸汽发生器的隔
离人因失误
1 #主蒸汽隔离阀控制回
路失效
重要仪表电源段失电
SGTR人因事件分析
? SGTR人因事件:蒸汽发生器传热管破裂( SGTR)
后,操纵员未能在 20分钟内隔离破管蒸汽发生器
? 事件背景
? 事件描述:蒸汽发生器传热管破裂 → 进入 E-0规程
执行至 23步,蒸汽发生器抽气器排汽放射性 N-16高
报或蒸汽发生器排污水放射性高报 → 执行 E-3规程
至第 3步识别破管的蒸汽发生器 → 关闭破管蒸汽发
生器主蒸汽隔离阀隔离破管蒸汽发生器
? 事件成功准则:在 20分钟内,操纵员调整蒸汽发生
器的大气释放阀开启定值至 7.0Mpa,关闭破管蒸汽
发生器主蒸汽隔离阀和主给水阀
调查与访谈结论
? 根据热工水力学计算,蒸汽发生器传热管断裂,操纵员在分钟内隔离破管蒸汽发生器
? 根据系统假设,SGTR引发报警信号的时间 T0
为 0分钟
? 根据访谈,完成从进入 E0规程至执行到 E-3规
程隔离破管蒸汽发生器一般执行时间为 4分钟
? 隔离破管蒸汽发生器的操作包括:①调整破管
蒸汽发生器的大气释放阀开启设定值至 7.0Mpa;
②关闭破管蒸汽发生器的主蒸汽隔离阀及其旁
路阀;③关闭破管蒸汽发生器的主给水阀(隔
离破管蒸汽发生器的给水)
? 隔离破管蒸汽发生器的一般操作时间 Ta为 2
分钟
? 根据系统边界条件和假设,操纵员在此事故
处理过程总的人员行为为规则型行为
? 根据系统假设,操纵员均经过一般水平的培
训
? 根据调查访谈,在此事故状况下,操纵员的
心理压力较高
? 根据系统假设,系统人-机界面状况为一般。
? 反应堆操作员负责隔离破管蒸汽发生器的操
作行为,值长对其操作行为的正确性负监督
职责,其相关度为中
事件分析
事件分为三个主要阶段
? 操纵员发现 N-16报警信号进入 E-0规程
(觉察阶段)
? 操纵员由 E0规程进入执行至 E-3规程作出
需隔离破管 SG的诊断(诊断阶段)
? 操纵员按规程指引,隔离破管 SG(操作
阶段)
建模分析
SGTR人因事件属于 C类人误行为。响应行动序
列失误概率
? 根据操纵员培训及事故所触发的报警信号的重
要性、明显性,p1可认为非常小。
? 操纵员进入 E0规程后,操纵员依次按 E0规程至
E-3规程进行操作。根据调查访谈结论,人的
行为类别为规则型,其失误概率 p2可用 HCR模
型计算。
? 操纵员隔离破管 SG,p3根据 HRA人因事件树
进行计算
321211321 )1)(1()1( ppppppPPPP ?????????
建模与计算
? 察觉失误概率
? 诊断失误概率
T1/2,n = 4s,Ta = 2s,
K1=0,K2=0.28,K3=0.44
η=0.601,β=0.9,γ=0.6 (调查访谈结论 6)
p2 = 7.140× 10-2
41 101 ???p
?
?
?
??
???
??
?????
?
21/Td
2
T
ep
? ? 44.1728.1202028.010 ?????????? acd TTTT
? ? ? ? ? ? 37.7312111,2/12/1 ???????? KKKTT n
操作失误概率
操纵员隔离破管 SG,需要完成三个重要的
序列动作:
a.调整大气释放阀至定值 7.0Mpa
b.关闭破管 SG主蒸汽隔离阀
c.关闭破管 SG主给水阀
操纵员隔离破管蒸汽发生器 HRA事件树
a1
b1
c1
a2
b2
c2
A1
A2
F1
B1
B2
C1
C2
S
F2
F3
? SGTR整体人因事件失误率为
4433 10268.410270.410166.1321 ??? ????????? FFFp
321211321 )1)(1()1( ppppppPPPP ?????????
324244 10020.2)10140.71)(1011(10140.7)1011(101 ?????? ??????????????
310020.2 ???
210347.7 ???
HRA 实例 2
事件名称
RRA中破口, 操纵员未及时投入低压安注且打
开 GCTa阀 。
事件背景
C工况下, RRA系统出现中破口, 引起一回路
压力下降, 安全壳压力因破口漏流而上升, 稳压
器低水位 LOW3或安全壳高压 HI-2报警引导操纵
员进入 A10规程 。 在 A10规程里, 要求操纵员在 19
分钟内完成启动安注以恢复一回路水量, 并打开
所有可用蒸汽发生器的 GCTatm阀 。 若操作员未成
功完成该任务, 且值长及 STA又未及时纠正, 则
将导致堆熔 。
事件描述
C工况, RRA系统中破口 放射性活
度高报警 引导操纵员进入 DEC规程 安
全壳高压 HI-2信号报警或稳压器低水位
LOW3报警 操纵员进入 A10规程 一回
路操纵员手动启动 RPA058TO,RPB058TO
两列低压安注并通知二回路操纵员开启
GCT131,132,133VV阀 。
事件成功准则
在事故发生 19分钟内成功启动
RPA058TO,RPB058TO两列安注并
将蒸汽发生器通大气阀 GCT131、
132,133VV开至全开。
调查与访谈结论
1,根据热工水力学计算, 操纵员需在 T1=19
分钟内完成手动启动两列安注并开启三个 GCT
阀 。
2,根据电站基本情况及假设, 操纵员经过
平均水平训练 ( 有执照且有 6个月操作经验 ) 。
3,根据电站基本情况及假设, 操纵员在 C工
况下有一定的心理压力, 其修正因子取 0.28。
4,根据热工水力学计算, 由事故发生到引
发放射性活度高 HI-2级报警的时间 T2为 1分钟 。
5,根据电站基本情况及假设, 操纵员执行
DEC规程的时间 T3为 4分钟 。
6,由于操纵员进入 A10规程后所采取的第一
个行为就是根据安全壳压力高信号作出投入安
注并开启 GCTatm阀的诊断, 操纵员在 A10规程
中的执行时间很短, 可忽略 。
7,一回路操纵员完成手动启动两列安注动
作的操作时间为 T4为 1分钟, 二回路操纵员完成
GCTatm阀门的开启时间 T5为 1分钟 。
8,一回路操纵员与二回路操纵员同时进行
各自的操作行为, 故事故处理中总操作时间以 1
分钟计算 。
事件分析
( 1) 该事件可分为三个阶段:
1) 操纵员由放射性活度高 HI-2级报警进
入 DEC规程诊断 。
2) 操纵员由 DEC规程引导进入 A10规程,
并作出手动启动两列安注与开启所有 GCT
阀的判断 。
3) 操纵员手动启动两列安注并将 GCT阀
开至全开 。
( 2) 建模分析:
1) 根据报警信号特征及操纵员均经过
良好的培训, 在此认为操纵员未发现 DEC
报警并进入 DEC规程的概率 P1非常小 ;
2) 操纵员在执行 DEC,A10规程的判
断与操作均为基于操作规程的行为, 可以
用 HCR模式计算其失误概率 P2;
3) 一回路操纵员按操作规程开启手动
安注按钮的同时, 二回路操纵员开启三个
GCT阀, 其操作行为属于典型的序列操作,
其操作失败概率 P3可用 THERP方法求出 。
建模与计算
事件失误率 P=P1+P2+P3
1,根据事件分析中 2.1), 根据电站
基本情况及假定得
P1=1.00?10-4
2.
式中,
允许操作员进行诊断的时间
t=T1-T2-T5?( 1+0.28) =19-1-1?1.28=16.72min
平均诊断时间 T1/2,n =T3=4min
K1=0 ( 平均训练水平 )
K2=0.28 ( 调查访谈结论 3)
K3=0 ( 人机界面良好 )
T1/2=T1/2,n? (1+K1) ? (1+K2) ? (1+K3)=5.12min
α=0.601,β=0.9,γ=0.6 (规则型 )
代入 (1)式,得 P2=2.19?10-2
?
?
?
?
?
?
?
?
??
?
?
2/1/ Tt
ep
3,操纵员启动低压安注和开启 GCTatm,其
HRA事件树如下图,
A1
a2
b2
a1
b1
B1
B2
A2
F2
S
A3
a3
b3
B3
F1
其中:
a1 — 操纵员成功完成安注
A1— 操纵员未成功完成安注
b1— 操纵员成功完成 GCTa打开
B1— 操纵员未成功完成 GCTa打开
a2— 值长成功纠正操纵员的错误完成安注
A2— 值长未成功纠正操纵员的错误并完成安注
b2— 值长成功纠正操纵员的错误并完成 GCTa打开
B2— 值长未成功纠正操纵员的错误完成 GCTa打开
a3— 安全工程师成功纠正值长失误完成安注
A3— 安全工程师未成功纠正值长失误完成安注
b3— 安全工程师成功纠正值长失误完成 GCTa打开
B3— 安全工程师未成功纠正值长失误完成 GCTa打开
依据 THERP计算公式和基本数据, 修正因子及相
关性分析等, 计算得到:
A1=1.2× 10- 3,A2=5.57× 10- 2,A3=5.03× 10- 1
B1=6.0× 10- 3,B2=5.57× 10- 2,B3=5.03× 10- 1
该事件树的主要失败路径有两条 F1,F2,它们的
失效概率分别为:
PF1=PA1× PA2× PA3
=1.2× 10- 3× 5.57× 10- 2× 5.03× 10- 1
≈3.37× 10- 5
PF2=Pa1× PB1× PB2× PB3=(1-PA1 ) × PB1× PB2× PB3
=9.998× 10- 1× 5.57× 10- 2× 5.03× 10- 1
≈1.69× 10- 4
总的操作失误率
P3=PF1+PF2
=3.37× 10- 5+1.69× 10- 4
=2.02× 10- 4
事件总的失误率
P=P1+P2+P3
=1?10-4+2.19?10-2+2.02× 10- 4
=2.22?10-2
5 讨论
? 模型间的接口问题
? 紧张因子 ( 心理压力因子 ) 选择问题
? 人因分析资料的可用性问题
? 参考文献
1、张力,黄曙东,黄祥瑞,基于 THERP+HCR的人因事件
分析模式及应用,核动力工程,2003,24( 3),272-
276
2、张力,黄曙东,杨洪, 岭澳核电站人因可靠性分析,北
京:中国核工业音像出版社,2001
3、张力,黄祥瑞,赵炳全,王遥, 秦山核电厂操纵员可
靠性模拟机实验研究,中国工程科学,2005,7( 2):
41- 46
张 力 教授
国家自然科学基金资助项目 ( 79870004,70271016)
国防军工技术基础计划项目 ( Z012002A001,Z012005A001)
湖南工学院(筹)安全工程与管理研究所
人因可靠性专题讲座之六
1 HRA的作用
2 HRA需求分析
3 核电站人因可靠性分析模型
4 应用实例
5 讨论
本文论述了核电站人因可靠性
分析的目的和需求;通过 THERP、
HCR模型特性的分析和研究,建立
了结构化的 THERP+ HCR模型及相
应的人因事件分析模式和技术,并
给出了一个应用实例。最后,对该
模型尚需改进之处进行了讨论。
1 HRA的作用
?辨识与评价人因失误
?支持 PSA
2 核电站 HRA需求分析
HRA的 三个基本目标:
?辨识什么失误可能发生
?这些失误发生的概率
?如何减少失误和 /或减轻其影响
完整的 HRA过程
( 1)任务分析:描述运行人员在事故过程
中应当做什么;
( 2)失误分析:确定什么可能会出错;
( 3)表现形式:以一个逻辑的和量化的结
构,确定人与其它硬件、软件和环境
事件共同卷入的事件的后果影响;
( 4)量化:采用适当的模型推算失误的
可能性;
( 5)失误减少:减少人误对风险的影响;
( 6)质量保证和资料编制:确保该评价是
有效的,且能够作为将来设计 /运
行的一个信息资源。
3 核电站人因可靠性分析模型
人因失误率预测法 ( THERP)
图 1 简单的 HRA事件树
a
b/a
S F F F
B/a
b/A
A
B/A
人员作业成功概率,
Pr(S)=a? (b/a)
失败概率,
Pr(F)=a?(B/a)+A?(b/A)+A?(B/A)
行为形成因子( PSF)修正
HEP=BHEP?(PSF)1(PSF)2 …
相关性修正
)()|(,.5
20
)(191
)|(,.4
7
)(61
)|(,.3
2
)(1
)|(,.2
1)/(,.1
BPABPZD
BP
ABPLD
BP
ABPMD
BP
ABPHD
ABPCD
?
?
?
?
?
?
?
?
人的认知可靠性预测法( HCR)
HCR方法的两个假定
1 所有人员行为类型可分为三类:
技能型、规则型、知识型;
常规
操作
操作员清楚地理解
过渡工况或操作内容
不需要
规程
规程覆盖
了情景
操 作员
理解规程
操作员对规程
使用熟悉
人的行为
类型
技能型
规则型
知识型
技能型
技能型
规则型
规则型
知识型
知识型
图 2 HCR行为类型辨识树
2 每一行为类型的失误概率仅与允许时间 t
和执行时间 T1/2的比值有关,且遵从三参
数的威布尔分布,
T1/2 =T1/2,n?( 1+K1) ?( 1+K2) ?( 1+K3)
t:允许操纵员进行响应的时间
T1/2:操纵员执行时间 T1/2,n:一般状况的执行时间
K1:操作经验; K2:心理压力; K3:人机界面;
?,?,?:操作人员行为类型参数
?
?
?
?
?
?
?
?
??
?
?
2/1/ Tt
ep
表 1 参数 ?,?,?选取表
行为类型 ? ? ?
熟练 ( SKILL)
规则 ( RULE)
知识 ( KNOWLEDGE)
0.407
0.601
0.791
1.2
0.9
0.8
0.7
0.6
0.5
表 2 HCR模型的行为形成因子及其取值
操作员经验 (K1)
1.专家, 受过很好训练 -0.22
2.平均训练水平 0.00
3.新手,最小训练水平 0.44
心理压力 (K2)
1.严重应激情景 0.44
2.潜在应激情景 /高工作负荷 0.28
3.最佳应激情况 /正常 0.00
4.低度应激 /放松情况 0.28
人机界面 ( K3)
1.优秀 -0.22
2.良好 0.00
3.中等 ( 一般 ) 0.44
4.较差 0.78
5.极差 0.92
THERP+HCR模式
THERP,HCR各自解决问题的侧重点
THERP,与时间无关的序列动作
HCR,与时间密切相关的认知行为
核电站人员的实际行为:认知判断 +操作
理想模式,THERP+HCR
THERP+ HCR建模规则
( 1) HRA事件树建模规则
A 对于实现同一功能且在同一功能分区的
同类型操作行为, 视为完全相关的操作 。
B 不考虑操作者对自身行为的恢复 。
C 考虑其他对操作者操作行为有监督作用
的人员的恢复 。
D 根据操作界面的状况, 考虑操作中有选
错与做错两种可能 。
E 对于执行一系列多种类型的操作行为,根
据电站条件假设取值。
F 对于规程中描述执行 A操作,A失效,执
行 B,B失效,执行 C的动作序列,仅考
虑 A 操作的失误,不考虑继续执行 B,C操
作的恢复。
G 一般状况下,不考虑操作人员忽略规程中
某一项操作的概率。
H 操作失误概率数据主要来源于 UREG/CR-
1278表 20— 12(主控室内操作失误)和表
20— 13(现场操作失误)。
( 2)相关性原则
一回路操纵员与二回路操纵员之间不考虑对对
方操作或指令的监督作用, 只考虑值长对两名操纵
员操作的监督作用 。 且操纵员与值长之间的相关度
为低 。 在副值长进行操作时, 操纵员与副值长之间
的相关度为高 。 事故后现场技术员也将按操纵员的
指令参与有关操作, 操纵员与现场技术员之间的相
关度为中等 。 安全工程师在使用 SPI规程期间不对
主控室各人员的具体的操作行为有监督作用, 而只
是按规程对安全参数进行监测 。 但在 RRA连接状态
下或无相应规程使用的情况下, 则认为安全工程师
对主控室内重要的操作有监督作用, 且相关度为高 。
( 3)名义 HEP修正原则
A 在全厂断电, ATWT和执行 U规程后所进
行的操作失误概率, 取其名义值的 5倍 。
B 其它事故状况下取名义值的 2倍 。
C 通过模拟盘的信号灯, 降温速率, 阀门
开度指示装置, 流量显示等多种途径,
监督人员可对操作人员的行为进行有效监
督, 并据此发现操作人员的失误 。 由于获
取该信息的途径较多, 因此, 监督人员未
发现操作人员的操作失误的概率可依据
NUREG/CR-1278 取定为 3?10-3。
( 4)人员行为类型判断规则
一般情况依据图 2判断, 但进入
了事故规程或报警后的诊断行为, 从
保守角度考虑均视为规则型行为 。
ATWT等情况下无相应规程可用, 需
要根据个人的经验, 知识进行诊断,
视为知识型行为 。
( 5) 事件处理中时间划分规则
事件处理中允许操纵员响应的时间分为:
A 事件发生到引发可引导操纵员进入该事件处
理规程 ( DEC,A0) 或报警卡的报警信号的
时间 。
B 操纵员利用事故规程进行一系列的诊断, 直
至作出具体操作行为的诊断时间 。
C 有关人员 ( 操纵员, 副值长或现场技术员 )
完成事件成功准则所要求的操作的执行时间 。
( 6)对模型中有关修正因子的确定
安全工程师的诊断行为:
K1=0( 平均培训水平 )
K2=0.44( 需进入 SPU/U规程, 有
极高的心理压力 )
或 K2= 0.28( 执行 SPI规程, 但不需
进入 SPU/U规程, 有较
高的心理压力 )
K3=0( 人机界面良好 )
其他人员:
操作经验:平均培训水平, K1=0
心理应激水平,A工况, 全厂断电,
ATWT事件状况下,
K2=0.44 ;
其它事故状况,
K2=0.28
人机界面:良好, K3=0
人因事件分析模式和技术
工程应用的需求:
? 可操作性
? 资料完备性
? 可追溯性
( 1) 事件背景
刻划事件发生前后系统的状态和为保证系
统功能而要求操纵员执行的相应动作以及事件
后果 。
( 2) 事件描述
当值人员根据规程对与事故相关的关键系
统或设备的状态进行判断以及进行的相应的操
作行为和事故演进及处理过程 。
( 3) 事件成功准则
为确保事件成功所进行的关键性操作 。
( 4) 提问清单及调查与访谈记录表
根据对事故进程的理解, 列出需要了
解或确认的问题, 主要包括操纵员, 安全
工程师对事件进程的理解, 运行人员所用
规程及规程的易用性, 事件进程中所需的
操作步骤, 条件及关系, 操作现场的人 -机 -
环境系统状况, 人员间相关性及操作步骤
间的相关性, 事故可能造成的后果及运行
人员对其严重程度的理解 ( 心理压力 ),
允许时间, 实际诊断时间, 操作时间, 一
般执行时间等 。
( 5) 调查, 访谈结论
事件的进程, 任务分析, 人员每一动作的意义,
动作目的, 成功准则, 系统人 -机接口的状况, 系
统状态, 运行人员的心理状况以及 THERP和 HCR
模式所需的各类信息和数据
( 6) 事件分析
事件过程分析:根据事件进程将事件划分
为几个阶段;
建模分析:对每一阶段的人员行为进行初步分
析, 决定采用何种模式计算其失误
概率 。
( 7) 建模与计算
建模分析 定量分析模型
数学计算
系统情况及有关假设
对电站人员配备情况, 人员之间的工
作关系和紧张情况, 规程使用情况等作出
统一约定和假设 。 另外, 基于热工水力计
算, 需给出各事件的有关时间参数 。
HRA实例 1,SGTR(蒸汽发生器传热管破裂)
核电厂一回路和二回路系统示意图
反应堆安全壳厂房
蒸汽发
生器
卸压阀
安全壳喷淋装置
至安全壳
喷淋泵
释放阀
至汽轮机
卸压器
稳压器
压力壳
安全壳地坑
N2
安注泵
至上充泵
至容积控制箱
主冷却剂泵
冷段
热段
给水泵
辅助给水泵
一回路系统
二回路系统
安注箱
事故序列建模, 事件树建模
故障树建模
SGTR功能事件树
蒸汽发生器
传热管破裂
反应性控制
排出堆芯衰变热和
储存热
保持反应堆冷却剂
装量
SGTR RC RCDH MRCI
1
2
3
4
ok
cd
cd
cd
MRCI
RCDI
RC
事件树分析
? 电厂响应分析
? 操纵员响应分析
? 事件树题头
? 事件树的展开
? 事件序列,11个
SGTR事故序列事件树
SGTR RT AFW SGTR/IS DTPE DTPECA HPI RHR
1
2
3
4
5
6
7
8
9
10
11
OK
OK
CD
CD
CD
OK
CD
CD
CD
CD
CD
DTPE
DTPE
DTPE-RHR
DTPE-HPI
DTPE-DTPECA
SGTR/IS
SGTR/IS-RHR
SGTR/IS-HPI
SGTR/IS-
DTPECA
AFW
RT
No.
C
o
n
s
e
q
,Code
蒸
汽
发
生
器
传
热
管
断
裂
反
应
堆
保
护
系
统
辅
助
给
水
系
统
S
G
隔
离
E
-
3
R
C
S
降
温
降
压
E
C
A
-
3
R
C
S
降
温
降
压
E
C
A
-
3
高
压
安
注
系
统
停
冷
系
统
A
系统故障树分析
SGTR 人因事件在 PSA模型中基本位置
至图6, 3 事件树 A 点
SGT R / I S
S G T R 时蒸汽发生器
的隔离失效
BZ Z Q-00 01C C 9F O EU PS1
BZ Z Q-00 01VT AF C
1 # 主蒸汽隔离阀的支持系
统失效
SGI S-1 E-3--- SG/ I S-H E
1 #主蒸汽隔离阀本体不
能关
S G T R 时蒸汽发生器的隔
离人因失误
1 #主蒸汽隔离阀控制回
路失效
重要仪表电源段失电
SGTR人因事件分析
? SGTR人因事件:蒸汽发生器传热管破裂( SGTR)
后,操纵员未能在 20分钟内隔离破管蒸汽发生器
? 事件背景
? 事件描述:蒸汽发生器传热管破裂 → 进入 E-0规程
执行至 23步,蒸汽发生器抽气器排汽放射性 N-16高
报或蒸汽发生器排污水放射性高报 → 执行 E-3规程
至第 3步识别破管的蒸汽发生器 → 关闭破管蒸汽发
生器主蒸汽隔离阀隔离破管蒸汽发生器
? 事件成功准则:在 20分钟内,操纵员调整蒸汽发生
器的大气释放阀开启定值至 7.0Mpa,关闭破管蒸汽
发生器主蒸汽隔离阀和主给水阀
调查与访谈结论
? 根据热工水力学计算,蒸汽发生器传热管断裂,操纵员在分钟内隔离破管蒸汽发生器
? 根据系统假设,SGTR引发报警信号的时间 T0
为 0分钟
? 根据访谈,完成从进入 E0规程至执行到 E-3规
程隔离破管蒸汽发生器一般执行时间为 4分钟
? 隔离破管蒸汽发生器的操作包括:①调整破管
蒸汽发生器的大气释放阀开启设定值至 7.0Mpa;
②关闭破管蒸汽发生器的主蒸汽隔离阀及其旁
路阀;③关闭破管蒸汽发生器的主给水阀(隔
离破管蒸汽发生器的给水)
? 隔离破管蒸汽发生器的一般操作时间 Ta为 2
分钟
? 根据系统边界条件和假设,操纵员在此事故
处理过程总的人员行为为规则型行为
? 根据系统假设,操纵员均经过一般水平的培
训
? 根据调查访谈,在此事故状况下,操纵员的
心理压力较高
? 根据系统假设,系统人-机界面状况为一般。
? 反应堆操作员负责隔离破管蒸汽发生器的操
作行为,值长对其操作行为的正确性负监督
职责,其相关度为中
事件分析
事件分为三个主要阶段
? 操纵员发现 N-16报警信号进入 E-0规程
(觉察阶段)
? 操纵员由 E0规程进入执行至 E-3规程作出
需隔离破管 SG的诊断(诊断阶段)
? 操纵员按规程指引,隔离破管 SG(操作
阶段)
建模分析
SGTR人因事件属于 C类人误行为。响应行动序
列失误概率
? 根据操纵员培训及事故所触发的报警信号的重
要性、明显性,p1可认为非常小。
? 操纵员进入 E0规程后,操纵员依次按 E0规程至
E-3规程进行操作。根据调查访谈结论,人的
行为类别为规则型,其失误概率 p2可用 HCR模
型计算。
? 操纵员隔离破管 SG,p3根据 HRA人因事件树
进行计算
321211321 )1)(1()1( ppppppPPPP ?????????
建模与计算
? 察觉失误概率
? 诊断失误概率
T1/2,n = 4s,Ta = 2s,
K1=0,K2=0.28,K3=0.44
η=0.601,β=0.9,γ=0.6 (调查访谈结论 6)
p2 = 7.140× 10-2
41 101 ???p
?
?
?
??
???
??
?????
?
21/Td
2
T
ep
? ? 44.1728.1202028.010 ?????????? acd TTTT
? ? ? ? ? ? 37.7312111,2/12/1 ???????? KKKTT n
操作失误概率
操纵员隔离破管 SG,需要完成三个重要的
序列动作:
a.调整大气释放阀至定值 7.0Mpa
b.关闭破管 SG主蒸汽隔离阀
c.关闭破管 SG主给水阀
操纵员隔离破管蒸汽发生器 HRA事件树
a1
b1
c1
a2
b2
c2
A1
A2
F1
B1
B2
C1
C2
S
F2
F3
? SGTR整体人因事件失误率为
4433 10268.410270.410166.1321 ??? ????????? FFFp
321211321 )1)(1()1( ppppppPPPP ?????????
324244 10020.2)10140.71)(1011(10140.7)1011(101 ?????? ??????????????
310020.2 ???
210347.7 ???
HRA 实例 2
事件名称
RRA中破口, 操纵员未及时投入低压安注且打
开 GCTa阀 。
事件背景
C工况下, RRA系统出现中破口, 引起一回路
压力下降, 安全壳压力因破口漏流而上升, 稳压
器低水位 LOW3或安全壳高压 HI-2报警引导操纵
员进入 A10规程 。 在 A10规程里, 要求操纵员在 19
分钟内完成启动安注以恢复一回路水量, 并打开
所有可用蒸汽发生器的 GCTatm阀 。 若操作员未成
功完成该任务, 且值长及 STA又未及时纠正, 则
将导致堆熔 。
事件描述
C工况, RRA系统中破口 放射性活
度高报警 引导操纵员进入 DEC规程 安
全壳高压 HI-2信号报警或稳压器低水位
LOW3报警 操纵员进入 A10规程 一回
路操纵员手动启动 RPA058TO,RPB058TO
两列低压安注并通知二回路操纵员开启
GCT131,132,133VV阀 。
事件成功准则
在事故发生 19分钟内成功启动
RPA058TO,RPB058TO两列安注并
将蒸汽发生器通大气阀 GCT131、
132,133VV开至全开。
调查与访谈结论
1,根据热工水力学计算, 操纵员需在 T1=19
分钟内完成手动启动两列安注并开启三个 GCT
阀 。
2,根据电站基本情况及假设, 操纵员经过
平均水平训练 ( 有执照且有 6个月操作经验 ) 。
3,根据电站基本情况及假设, 操纵员在 C工
况下有一定的心理压力, 其修正因子取 0.28。
4,根据热工水力学计算, 由事故发生到引
发放射性活度高 HI-2级报警的时间 T2为 1分钟 。
5,根据电站基本情况及假设, 操纵员执行
DEC规程的时间 T3为 4分钟 。
6,由于操纵员进入 A10规程后所采取的第一
个行为就是根据安全壳压力高信号作出投入安
注并开启 GCTatm阀的诊断, 操纵员在 A10规程
中的执行时间很短, 可忽略 。
7,一回路操纵员完成手动启动两列安注动
作的操作时间为 T4为 1分钟, 二回路操纵员完成
GCTatm阀门的开启时间 T5为 1分钟 。
8,一回路操纵员与二回路操纵员同时进行
各自的操作行为, 故事故处理中总操作时间以 1
分钟计算 。
事件分析
( 1) 该事件可分为三个阶段:
1) 操纵员由放射性活度高 HI-2级报警进
入 DEC规程诊断 。
2) 操纵员由 DEC规程引导进入 A10规程,
并作出手动启动两列安注与开启所有 GCT
阀的判断 。
3) 操纵员手动启动两列安注并将 GCT阀
开至全开 。
( 2) 建模分析:
1) 根据报警信号特征及操纵员均经过
良好的培训, 在此认为操纵员未发现 DEC
报警并进入 DEC规程的概率 P1非常小 ;
2) 操纵员在执行 DEC,A10规程的判
断与操作均为基于操作规程的行为, 可以
用 HCR模式计算其失误概率 P2;
3) 一回路操纵员按操作规程开启手动
安注按钮的同时, 二回路操纵员开启三个
GCT阀, 其操作行为属于典型的序列操作,
其操作失败概率 P3可用 THERP方法求出 。
建模与计算
事件失误率 P=P1+P2+P3
1,根据事件分析中 2.1), 根据电站
基本情况及假定得
P1=1.00?10-4
2.
式中,
允许操作员进行诊断的时间
t=T1-T2-T5?( 1+0.28) =19-1-1?1.28=16.72min
平均诊断时间 T1/2,n =T3=4min
K1=0 ( 平均训练水平 )
K2=0.28 ( 调查访谈结论 3)
K3=0 ( 人机界面良好 )
T1/2=T1/2,n? (1+K1) ? (1+K2) ? (1+K3)=5.12min
α=0.601,β=0.9,γ=0.6 (规则型 )
代入 (1)式,得 P2=2.19?10-2
?
?
?
?
?
?
?
?
??
?
?
2/1/ Tt
ep
3,操纵员启动低压安注和开启 GCTatm,其
HRA事件树如下图,
A1
a2
b2
a1
b1
B1
B2
A2
F2
S
A3
a3
b3
B3
F1
其中:
a1 — 操纵员成功完成安注
A1— 操纵员未成功完成安注
b1— 操纵员成功完成 GCTa打开
B1— 操纵员未成功完成 GCTa打开
a2— 值长成功纠正操纵员的错误完成安注
A2— 值长未成功纠正操纵员的错误并完成安注
b2— 值长成功纠正操纵员的错误并完成 GCTa打开
B2— 值长未成功纠正操纵员的错误完成 GCTa打开
a3— 安全工程师成功纠正值长失误完成安注
A3— 安全工程师未成功纠正值长失误完成安注
b3— 安全工程师成功纠正值长失误完成 GCTa打开
B3— 安全工程师未成功纠正值长失误完成 GCTa打开
依据 THERP计算公式和基本数据, 修正因子及相
关性分析等, 计算得到:
A1=1.2× 10- 3,A2=5.57× 10- 2,A3=5.03× 10- 1
B1=6.0× 10- 3,B2=5.57× 10- 2,B3=5.03× 10- 1
该事件树的主要失败路径有两条 F1,F2,它们的
失效概率分别为:
PF1=PA1× PA2× PA3
=1.2× 10- 3× 5.57× 10- 2× 5.03× 10- 1
≈3.37× 10- 5
PF2=Pa1× PB1× PB2× PB3=(1-PA1 ) × PB1× PB2× PB3
=9.998× 10- 1× 5.57× 10- 2× 5.03× 10- 1
≈1.69× 10- 4
总的操作失误率
P3=PF1+PF2
=3.37× 10- 5+1.69× 10- 4
=2.02× 10- 4
事件总的失误率
P=P1+P2+P3
=1?10-4+2.19?10-2+2.02× 10- 4
=2.22?10-2
5 讨论
? 模型间的接口问题
? 紧张因子 ( 心理压力因子 ) 选择问题
? 人因分析资料的可用性问题
? 参考文献
1、张力,黄曙东,黄祥瑞,基于 THERP+HCR的人因事件
分析模式及应用,核动力工程,2003,24( 3),272-
276
2、张力,黄曙东,杨洪, 岭澳核电站人因可靠性分析,北
京:中国核工业音像出版社,2001
3、张力,黄祥瑞,赵炳全,王遥, 秦山核电厂操纵员可
靠性模拟机实验研究,中国工程科学,2005,7( 2):
41- 46
