上海交通大学
硕士学位论文
一种简化的事故后人因可靠性分析方法在秦山核电厂概率安全
评价中的应用
姓名:章逸民
申请学位级别:硕士
专业:核能与核技术工程
指导教师:杨燕华;严锦泉
20071101
一种简化的事故后人因可靠性分析方法
在秦山核电厂概率安全评价中的应用
摘要
本文首先对几种当前在国内外比较流行的人因可靠性分析(HRA)方法进行了比较,阐述了在秦山核电厂概率安全评价(PSA)项目中选择ASEP HRA方法的理由。
ASEP HRA方法包含在出版物NUREG/CR-4772(事故序列评价计划:人因可靠性分析方法)中。该方法是基于NUREG/CR-1278(核电厂人因可靠性分析实用手册)中的THERP方法(人的失误率预测技术),作了适当的简化处理后,发展出来的。该方法已应用在美国四个核电厂的概率安全评价(PSA)研究中。ASEP HRA方法由两大部分组成,即事故前任务的ASEP HRA方法和事故后任务的ASEP HRA方法。本文接下来对后者进行了详细地描述。
本文然后给出了事故后任务的ASEP HRA方法在秦山核电厂PSA项目中的应用概况,对计算结果进行了一定的评价,还以大破口失水事故中的“操纵员切换安注再循环开关”事故后任务为例详细地描述了分析过程。
最后,根据应用情况,本文对事故后任务的ASEP HRA方法做出一定的评价。认为该方法是可用的。相比THERP方法,它要求较少的人力和时间。它还填补了NUREG/CR-1278中的若干空白。它相对于THERP方法更加保守。它的结果的准确度能够满足绝大多数PSA的需求。但是,该
方法在人因相关性分析上还存在一定的不足,在实际应用中,作者加进了“事故序列中两个相邻事故后任务的相关性分析方法”和“最小割集中事故后任务的相关性分析方法”,从而使得该方法得到了进一步的补充完善。通过应用,发现了一些电厂在管理方面可以进一步完善的地方。如果加以管理改进,电厂将从中获得可观的安全收益。
关键词:核电厂,概率安全评价(PSA),人因可靠性分析(HRA),事故后任务,方法,应用
THE APPLICATION OF A SIMPLIFIED HUMAN RELIABILITY ANALYSIS PROCEDURE FOR POST-ACCIDENT TASKS IN THE PROBABILISTIC SAFETY ASSESSMENT OF QINSHAN NUCLEAR
POWER PLANT
ABSTRACT
This paper, first, introduces several Human Reliability Analysis (HRA) procedures which are often used currently, and the reasons why ASEP HRA procedure were chosen in the Project of level one Probabilistic Safety Assessment of Qinshan Nuclear Power Plant.
ASEP HRA procedure is presented in the publication of NUREG/CR-4772, that is Accident Sequence Evaluation Program: Human Reliability Analysis Procedure. It was developed based on Technique for Human Error Rate Prediction (THERP) which is presented in the publication of NUREG/CR-1278, that is Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Application. It is relatively simplified compared to the THERP. It had been employed in the studies of probabilistic safety analysis of four nuclear power plants in USA. ASEP HRA procedure is composed of two parts, one is the human reliability analysis procedure for pre-accident tasks, another is the human reliability analysis procedure for post-accident tasks. The latter is introduced in detail in this paper.
This paper then presents the general application of ASEP HRA procedure for post-accident tasks in the Project of level one probabilistic safety analysis of Qinshan Nuclear Power Plant, and the analysis of the task of “operator’s switch setting to the position of safety injection recirculation” in the large loss of coolant accident for example.
Finally, this paper, based on the application, concludes that ASEP HRA procedure is workable. This procedure requires less manpower and time than
THERP. It fills in some gaps in NUREG/CR-1278 and is some-what more conservative than THERP. It meets a need for an abbreviated HRA procedure that is sufficiently accurate for most purposes of PSA. But this procedure is relatively inadequate in the area of human dependence analysis. In the practice, “human dependence analysis procedure for two post-accident tasks in an accident sequence” and “human dependence analysis procedure for more than two post-accident tasks in a minimal cut set” are added into ASEP HRA procedure by the author so as to perfect the ASEP HRA procedure. After the application, some areas for improvement in the management of the plant were pointed out. If done, much of benefit in the operational safety of the plant could be gained.
Keywords: nuclear power plant, probabilistic safety assessment (PSA), human reliability analysis (HRA), post-accident tasks, procedure, application
上海交通大学
学位论文原创性声明
本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。
学位论文作者签名:
日期:年月日
上海交通大学
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
保密□,在年解密后适用本授权书。
本学位论文属于
不保密□。√
(请在以上方框内打“√”)
学位论文作者签名:指导教师签名:
日期:年月日日期:年月日
第一章绪论
1.1 秦山核电厂PSA项目及HRA子项目概况
1998年8月秦山核电厂发生了下部堆内构件损伤事件(内部简称T6事件)。在长达十四个月的下部堆内构件检查和修复过程中,国家核安全局对其进行了专项审评,其在审评意见中提出秦山核电厂开展十年定期安全评审(PSR)和概率安全评价(PSA)的要求。
经过一段时间的调研和准备,秦山核电厂于2002年成立PSA项目组正式开始PSA项目的自主开发。第一阶段的PSA项目开发的任务是在三年时间内建立始发事件为内部事件、运行工况为满功率的一级PSA模型,并向国家核安全局提交PSA报告接受其审评。本文作者担任秦山核电厂PSA项目经理一职。
其中的人因可靠性分析(HRA)子项目,按照其原开发计划,是委托国内有资质的人因研究机构来承担。随着PSA项目开发的推进,PSA项目组对HRA子项目有了更加深入的了解,从而决定采用ASEP HRA方法自主完成HRA工作任务。由于PSA项目组没有配置专门的人因可靠性分析人员,本文作者承担了全部的HRA工作任务。在两位导师和其他外部HRA专家的指导下,在PSA项目组其他组员的支持、配合下,本文作者及时地完成了HRA工作任务。期间,还进行了一次厂内技术审查,一次国内同行评审,和一次国际同行评审,以确保HRA的工作质量。
1.2 本文的研究内容和本研究的意义
本文的主要研究内容如下:
(1)HRA方法的比选:HRA方法众多,各有所长,需要通过比较从中挑选一种最符合秦山核电厂PSA项目开发的目标和实际情况的方法。将秦山核电厂PSA项目开发的目标和实际情况转化成对该方法的要求就是,所投入的时间和人力相对采用其它的方法可以少一些,系统分析人员就能够从事该项工作,可以不需要专业分析人员来承担,专业分析人员可以起指导作用,所获得的结果的精确度能够满足今后PSA
应用的需要,数据不能有过分的保守性,等等。本文的第一章第3节和第四章第1节涉及到这方面的内容。
(2)对所选HRA方法的认识理解和补充完善:一旦选定HRA方法后,接下来需要吃透掌握该方法,在此基础上对该方法进行一定的分析评价,从而在方法应用时能够更好地做到扬长避短、机动灵活;另外,HRA本身是PSA的一个有机组成部分,HRA的输入和输出都来自PSA,HRA必须很好地为PSA服务,满足PSA的需求,以往的HRA方法在涉及HRA与PSA的结合(Integration)上面都阐述得不够清楚,因此,在秦山核电厂PSA项目开发中,必须足够地重视和解决好这个问题。本文的第二章和第四章第2节涉及到这方面的内容。
(3)所选HRA方法的应用:首先对事故后操纵员的关键任务进行一一识别,然后采用所选定的方法对人误概率进行估算,做好相应的记录,对数据结果进行解释说明和分析评价,接着对人因相关性进行分析处理,最后将人误事件及其数据结合到PSA的事件树或故障树中去。本文的第三章涉及到这方面的内容。
(4)发现、总结、报告电厂管理上值得改进的地方:虽然应用ASEP HRA方法估算操纵员在始发事件发生后,在各种不同的事故情形中,执行某个任务的失败概率是主要目的,与此同时,我们能够发现电厂在运行规程、运行人员培训大纲中存在的不足,以及主控室或就地人机接口上值得完善的地方。如果及时地总结、报告,意见被电厂采纳,问题得到解决或改进的话,则能够大大提高电厂抵御事故风险的能力,从而提高或维持电厂的安全水平。本文的第四章第3节涉及到这方面的内容。
本研究的意义在于通过对HRA方法的比选,对ASEP HRA方法的详细介绍(包括对该方法的补充完善),对ASEP HRA方法的应用(包括对数据结果的分析评价),以及对在应用过程中所发现的电厂管理上的问题的总结,从而:
(1)证明了ASEP HRA方法可用于运行核电厂的PSA;
(2)表明了所得到的数据结果是在可信范围之内;
(3)及时完成了HRA工作任务,推进了秦山核电厂PSA项目开发;
(4)为国内其它核电厂开展HRA工作提供了参考经验;
(5)也为国内专业机构开展HRA理论研究提供了参考信息。
1.3 HRA方法的比较与选择
人因可靠性分析(HRA)是核电厂概率安全评价(PSA)的一个重要组成部分。HRA的基本目的是定量化评价人的错误行为对核电厂风险的贡献。
从20世纪60年代开始研究HRA的数据、方法至今,有众多的研究机构、专家提出了自己的HRA方法,数量近20种。由于定量化人的行为,不论从理论上还是在实践中都存在着较大的困难,从总体上看,HRA领域发展还不理想。每一种HRA 方法都存在着一定的不足。
由于HRA方法众多,本节选择其中7种常用的方法进行介绍和比较。ASEP HRA 将在第二章详细介绍,为了便于比较,也在本节给出其概要。其中THERP、ASEP HRA、HCR、HEART、SLIM属于第一代HRA方法。CREAM、ATHEANA属于第二代HRA 方法。第一代HRA方法开发较早,在核电厂中应用较多,但在考虑认知失误、情景影响等方面存在不足。第二代HRA方法的开发开始于20世纪90年代,普遍考虑情景对人行为的影响,弥补了第一代HRA方法在事故情况下人误概率定量化上的不足。到目前为止,第二代HRA方法发展还不够成熟,尤其在定量化方法上缺乏足够的数据支持,在实际应用上也缺乏足够的实践检验。
THERP方法是核电厂PSA中应用最多的人因可靠性分析方法,并且在其它领域,如航空、化工等,也有应用。THERP是建立在任务分析基础上的一种较完善的人因可靠性分析模型,不仅提供了分析人误的机制,还提供了定量化的数值和方法。THERP主要用于估计人员(在一定的时间内、在某种条件下)不能正确执行所需要完成的任务的概率。它以任务为中心,通过图形化表示需要执行的任务流程,这样就将人的操作行为分解为一系列的基本动作,通过对这些基本动作赋予可参照的基本失误概率,继而使用PSF进行修正,并且考虑相关性和恢复因子的影响,最终得到复杂操作任务的人误概率。THERP提供的HRA事件树分析方法构成其主要特点。
ASEP HRA方法是为了支持美国核管会NRC进行ASEP项目而开发的HRA方法。ASEP HRA是THERP方法的简化版。目的是使得核电厂系统分析中人误事件发生概率能够在缺乏HRA专家参与情况下,工程人员也可以完成。同时,ASEP试图改进原THERP方法中对人在异常工况或事故情景下的认知行为缺乏恰当表述的缺陷。该方法的定量化结果有两种类型:筛选值定量化和精确值定量化。该方法提供了事故前和事故后两种人误定量化实施程序。其定量化所用的人误概率、所考虑的PSF、相关性、恢复因子的影响都较为粗略和保守。ASEP HRA方法在美国核电厂的PSA 中也有不少应用。
HCR方法是由EPRI资助并取得的基础性研究成果,是建立在模拟机数据收集研究,以及Rasmussen认知过程SRK分类的基础之上。HCR模型提供了一种用模拟机实验数据进行人—机交互作用过程中人的可靠性分析的有力工具,在认知过程的定量化中考虑了时间相关性的影响。HCR使用了模拟机实验中得到的数据,这对于理解
操纵员班组的行为是有效的。HCR在定量化中考虑了压力、人员经验和人机界面三类PSF的影响。HCR方法需要利用模拟机试验的结果,资源需求较高。EPRI曾经资助一个项目来验证HCR模型,但项目的结果没有能够验证HCR模型的基本假设。人的决策过程往往是综合利用各种能力的过程,很多情况下难以将其明确地划分为技能型、规则型或知识型,而且这种划分理论上依据也不足。模拟机试验表明,情景对人的绩效影响很大,HCR模型仅仅考虑时间因素的影响是不够的。
HEART 方法通过基本的人误概率值和失误产生条件(EPC,Error-producing conditions)相乘积的方法得到定量化数值。HEART提供了9种通用任务的基本人误概率值和38种EPC的影响因子。分析人员进行定量化时,首先从9种通用任务中选择一种类似的通用任务,取其值为基本的概率值。然后判断该任务受到哪些EPC影响,得到其影响因子。将基本概率值和影响因子相乘即得到最终的人误概率。HEART 方法使用简单、快速,还提供了一些有针对性的补救措施。可以在设计阶段确定所设计系统的不足,提出改进措施。该方法提供了详细EPC的影响描述,和其它类似的修正方法相比容易操作。它的主要不足是需要依赖较多的专家判断,并且该方法的数据来自人机工程领域的研究结果,还需要对这些数据及其来源进行验证。
SLIM方法是一种基于专家判断的人误定量化方法。它的基本假设是人误概率决定于行为形成因子(PSF)的综合影响,如时间、规程、培训等。它通过专家,使用系统化的方法确定一系列任务的PSF,评价这些任务在PSF上的得分,并且给出PSF 的相对重要性。根据这些评价的结果,可以为每一个任务得到其对应的成功似然指数(SLI),并将SLI转化为对应的任务失效概率。SLIM方法不需要将任务分解得很细(如THERP方法),而是依据一个高层次、相对整体的任务描述。它的主要不足是PSF的取值和权重由专家给出,具有一定的不确定性。而且需要有一个专家组(如4个人)来完成定量化任务。
CREAM是基于情景控制模型发展起来的一种第二代人的可靠性分析(HRA)方法。CREAM方法的基本原则是它的双向性原则——追溯和预测(即:既可以对已发事故的原因进行追溯式分析,也可以对人的失误概率进行定性和定量的预测)。CREAM的定量预测方法有两种:基本法和扩展法。基本法得到的是一般失效概率(概率区间),用于筛选分析;而扩展法得到的是失效概率的具体值。CEEAM法强调人在生产活动中的绩效输出不是孤立的随机性行为,而是依赖于人完成任务时所处于的情景环境或工作条件(共同绩效条件,CPCs),它们通过影响人的认知控制模式和其在不同认知活动中的效应,最终决定人的响应行为。
ATHEANA方法是由NRC开发的,最早的版本发表于1998年5月。其目的是“开
发一个HRA定量化过程和PRA模型的接口,从而可以分析真实核电厂事件中发现的
人误”。该方法特别强调其在处理EOC方面的能力以及失误迫使情景的因素。ATHEANA认为操作人员会处于一种易发生错误的情景下。认为人误在“非正常”核
电厂条件下发生的可能性比正常条件下发生随机人误的可能性大。它强调了情景的重
要性。ATHEANA方法由两部分组成:追溯式分析,分析事故为什么发生,并分析可
以采取那些措施来防止类似事件的发生;定量化分析,确定人误事件发生的概率。该
方法本身没有提供定量化所需的数据,主要依赖于专家判断和HEART方法中的数据
进行定量化。
清华大学核研院何旭洪博士对上述7种HRA方法进行了分析、比较。他从12
个方面对每一个方法进行打分。分数分成1~5级,1表示该方法在该方面上得分最
低,5表示该方法在该方面上得分最高。打分的结果如表1-1所示。
表1-1 HRA方法打分结果
HCR HEART SLIM CREAM
HRA
ATHEANA
ASEP
方面 THERP
方法的可用性 5 5 4 4 4 4 3
方法的复杂程度 4 3 3 2 2 4 5
方法的资源需求 4 3 5 2 4 4 5
方法的成熟度 5 5 5 4 4 3 3
方法的可接受性 5 4 3 3 4 2 2
方法定性有用性 4 4 3 5 3 5 5
方法的可追溯性 4 4 2 3 3 4 4
方法的正确性 4 3 3 4 4 4 4 数据的可用性 4 4 3 4 / 5 / 数据的正确性 4 3 3 3 / 3 / 结果的准确性 4 3 3 3 3 4 3 结果的一致性 3 4 3 4 4 3 3
39
37
45
35
40
总分 50
45
注:
-方法的可用性:方法是否提供了足够的资料、文献,该方法是否提供了详细的
操作步骤。
-方法的复杂程度:方法本身的复杂程度、操作的难易程度、对实施人员的能力
要求。
-方法的资源需求:电站的投入、所需要参与的人员多少等。
-方法的成熟度:方法自身是否完善、是否还需要有较大的改进。
-方法的可接受性:方法在PSA中的应用情况。
-方法的定性有用性:是否能够发现安全问题、管理问题、是否能够对人误预防
有作用(由于HRA方法在定量分析结果上的不确定性,因此定性分析结果的有用性是一个非常重要的标准,可用于提高电站的安全水平)。
-方法的可追溯性:多数PSA完成后需要经过安全当局的审核、同行评审,而且还需要根据电站情况的更改,进行不断的修正。如果某种方法对其假设处理、模型应用、方法处理都有明确的文档要求,并且所提供的文档结构清晰,那么该方法就具有较好的追溯性。
-方法的正确性:包括模型合理性、完备性,是否全面、合理地考虑了绩效响应因子(PSF)的影响,是否合理考虑了恢复因子的作用。
-数据的可用性:方法是否提供人误定量化的数据。
-数据的正确性:方法引用(或提供)数据来源的正确性,所引用(或提供)数据是否合适。
-结果的准确性:定量化结果是否正确、是否得到实际数据的验证。
-结果的一致性:不同的人员得到的结果是否会有较大的差异,相同人员在不同时间进行分析得到结果是否会有较大差异,定量化过程中是否过多地依赖专家的判断。
综上所述,在秦山核电厂PSA中采用ASEP HRA方法开展HRA工作是比较适宜的。
第二章一种简化的事故后人因可靠性分析方法介绍
2.1 引言
本章介绍的人因可靠性分析(HRA)方法,即ASEP HRA方法,是专门为美国核管会(NRC)的事故序列评价计划(ASEP)开发的。ASEP试图只对重要的因素和事件建模,因此,其概率安全评价(PSA)模型有别于其它的PSA 模型。在ASEP PSA中,容许作一些简化处理,但力求避免成为一个只有局部范围的PSA。由于按照《PSA方法指南》(NUREG/CR-2300)开发出的所谓传统PSA非常昂贵,专门为ASEP开发的PSA方法将具有很高的使用经济性,而ASEP PSA将同样揭示核电厂对公众的主要风险是什么、在哪里。用于ASEP中的PSA 方法是在不断的实践中完善的。被ASEP选中作为研究对象的四个核电厂是:Surry的1号机组(PWR),Peach Bottom的2号机组(BWR),Sequoyah的1号机组(PWR),Grand Gulf的1号机组(BWR)。NUREG/CR-4550全卷收录了这四个核电厂的PSA研究报告,PSA方法学,和一个摘要报告。
HRA方法,作为PSA方法的组成部分,也是专门为ASEP开发的。ASEP HRA 方法几易其稿,最终成为现在的样子。与NUREG/CR-1278(核电厂人因可靠性分析实用手册)相比,ASEP HRA方法确实作了一些简化。NUREG/CR-1278中介绍的方法谓之“人的失误率预测技术”,简称THERP。THERP是于1961年在Sandia国家实验室开始研发的,并通过在许多复杂的人机系统上的应用而得到了不断的完善。在第一个核电厂的PSA研究(WASH-1400)中也得到了应用。1983年完成的NUREG/CR-1278是该HRA方法的最完整的表述。在THERP的基础上,对其中的一些模型作了简化,如相关性模型,还作了一些其它的简化,其目的就是为了减少工作强度,形成了ASEP HRA方法。使用该方法能够减轻一定程度的工作强度,作为代价,在评估人误的影响性时增加了一定程度的保守性。值得指出的是,没有接受过人因技术培训并缺少相关经验的系统分析员,也能够使用ASEP HRA方法。
在开发ASEP HRA方法之前,为美国NRC的风险方法集成和评估计划(RMIEP)开发了一个筛选HRA方法。由于在NUREG/CR-1278中,无事故前任务的筛选HRA方法,事故后任务的筛选HRA方法也不完整,因此,有必要专门为ASEP开发一个筛选HRA方法。RMIEP筛选HRA方法以及
NUREG/CR-1278,成为开发ASEP HRA方法(包括事故前任务和事故后任务的筛选HRA和名义HRA)的基础。
2.2 基本概念,假设,局限性
本节给出与ASEP HRA方法有关的基本概念,假设,局限性。这些基本概念,假设,局限性,绝大部分都可以在NUREG/CR-1278中找到。
2.2.1 HRA的有效性
第一个假设是,可以对人因性能作出足够准确的定量化的估算,以满足概率安全评价(PSA)的需求。HRA正是基于这个假设。但必须指出,这种估算通常伴随着较大的不确定性。有人还会说,不确定性的程度往往也是不知道的。因此,在估算人误概率(HEP)时要偏向于保守,即宁大勿小。
通常情况下,较为粗糙的估算对大多数PSA都是可以接受的。HEP估算值乘以或除以10倍因子基本都在可以接受的范围内。
2.2.2 人误概率(HEP)和不确定性边界(UCB)
在本方法中,每个HEP估算值都假定代表的是HEP对数正态分布的中值。
在本方法中,HEP的上下边界反映的是HEP估算的不确定性。不确定性边界(UCB)包含了人员和条件的变化,以及分析误差。取自NUREG/CR-1278的不确定性边界是偏保守的,HEP真值有至少90%可能性落在该边界范围内。在本方法中,有时在HEP估算表中用误差因子(EF)代替UCB。EF是上下边界比值的平方根,其约束条件是上边界必须小于 1.0,以及对于对数正态分布EF 以HEP中值为对称(除非该分布被1.0的上边界所截断)。总的失败概率F T的EF,可根据HEP的EF在HRA事件树中的传递,通过计算获得(进一步可参见NUREG/CR-1278的附件A)。
在HEP估算表中有一些两位数的数值,这并不表示这些数值有多么的精确,只是方便追溯而已。这些数值在应用的时候要取整。通过HRA事件树估算的总的失败概率F T在带入到事件树或故障树中去的时候也要取整,以避免人们对该数值精确性的误解。
2.2.3 ASEP HRA方法的起始点
本方法假定与人机接口相关的关键行动已经识别出来。该识别工作是由系统
分析员、人因可靠性分析员、相应的电厂人员(如持证的操纵员和模拟机教员)等共同所组成的一个小组来完成的。该识别工作不是一个一次性的任务,必须连续评价和再评价,尤其要确保人误导致的潜在共因失效都被一一识别出来。ASEP HRA方法不包括识别关键的人机接口这部分,这基本上是系统分析员的责任。
2.2.4 筛选HRA和名义HRA
ASEP HRA方法由两部分组成:筛选HRA和名义HRA。在筛选HRA中,凡是在PSA中需要考虑的每个人因任务,均保守地估算人因行为(如,HEP要比实际取得大,响应时间要比实际取得长)。在名义HRA中,分析员则要对HEP 和响应时间作出最佳估算。
在筛选HRA中,给每个人因任务赋予筛选概率和响应时间,如果筛选值在系统分析中不起实质性的作用,则不再做进一步分析,即不放到随后的名义HRA 中去。这实际上是一种初步的敏感性分析。通过筛选可以减少需要在名义HRA 中做进一步分析的工作量。有必要在筛选过多或过少之间找到一个令人满意的平衡点。然而,筛选HRA方法在四个核电厂的ASEP PSA中都没有使用,直接使用了名义HRA方法,这是由于时间和经费所限所致。
正如上一节所述,RMIEP筛选HRA方法是开发ASEP HRA方法的基础。相比之下,ASEP 筛选HRA方法更加保守,但这两种方法都属于“精细筛选”范畴而非“粗糙筛选”。采用“精细筛选”而非“粗糙筛选”是基于以下两点的考虑:(1)只要再稍加一些人因可靠性分析,就能避免过度保守地估算HEP;(2)通过“精细筛选”,为下一步名义HRA奠定了一个可靠的基础,“精细筛选”比“粗糙筛选”更加明确在哪些地方需要进一步分析。
2.2.5 敏感性分析
正如上一节所述,ASEP筛选HRA方法和ASEP名义HRA方法都属于一步接一步的方法。该方法实质上遵循一定的逻辑顺序。虽然该方法不及NUREG/CR-1278精细,但凡是使系统安全严重劣化的人误和相关性效应都会得到应有的重视。与NUREG/CR-1278相比,该方法存在一些简化,但这些简化都是偏向保守这一边的。由于ASEP名义HRA方法也引进了一些保守,故可将ASEP 名义HRA方法看作又一次筛选。通过敏感性分析就能知道HEP要低到多少时,该人误对系统分析结果就没有实质性的影响。如果降低因子在5倍左右,则值得做一个深入的HRA。如果降低因子在10倍左右,也值得做一个深入的HRA,这是因为ASEP名义HRA方法不总是考虑了所有的恢复因子(RF)。
2.2.6 恢复因子(RF)
有必要在此强调某些系统分析员所用的名词“恢复”和人因可靠性分析员所用的名词“恢复因子”(RF)的差别。系统分析员所认为的“恢复”是指系统(包括操纵员)的功能从某个异常事件中得到了恢复。他们通过“恢复分析”定量地给出系统从某个异常事件中所恢复的程度。在HRA领域,名词“恢复因子”则有不同的含义。它的定义是防止或限制人误所造成的不利后果的因子。在HRA 中需要考虑的最常见的RF之一是人员冗余性,即当一个人在操作时安排另一个人在旁边监护。其它需要考虑的RF包括设备状态在主控室里显示的作用,维修后试验或标定后试验的作用,日常检查或巡视的作用,并且在执行这些活动时必须使用书面的检查表。在事故后任务的ASEP HRA方法中,对使用书面的检查表不给RF信用,除非是使用书面的检查表作专门的检查。
2.2.7 技能型,规则型,知识型行为
Rasmussen等人在上个世纪七十年代末将人在执行任务过程中人的行为划分为技能型,规则型,知识型行为(详见表2-1)。在事故前HRA中考虑的人的行为大多数属于技能型和规则型行为,在事故后HRA中考虑的人的行为这三类行为都有。
最近几年,对知识型行为(特别是对诊断错误)的研究有了加强。Rasmussen 所建立的术语出现在最近的几个PSA报告中,也被包括在本ASEP HRA方法中。虽然这三类行为的界限不是十分地清晰,但是这种分类仍然是有用的。
2.2.8 诊断
本ASEP HRA方法不能给出不同的诊断模式所对应的概率,只考虑一种诊断模式,即对一个异常事件的正确诊断的失败,并假定在容许时间内对一个异常事件的正确诊断的失败将导致堆芯损伤。对许多PSA研究来说,这样的处理已经足够了。如果这样的简化不可接受,则诊断这部分可分开处理,使用NUREG/CR-1278中的方法。
表2-1 技能型,规则型,知识型行为的定义
技能型行为:
Rasmussen说过,技能型行为是一种在头脑中已经形成模式的行为,如,手动提插控制棒。技能型行为的主要特征是不需要对情形作进一步的解读,所显示的情形对下一步所要采取的行动也是明确无误的。
Goodstein说过,技能型行为是面对经常遇到的任务经过高度训练后所自动采取的行为。在这个时候,外部信息起着信号的作用,表明控制目标与实际状态在时空上的关系,偏差,变化,裕度。
Hannaman和Spurgin说过,在技能型行为中,感官输入和响应行动之间是紧密耦合的;技能型行为不是直接取决于任务的复杂性,而是更取决于为了执行这个任务所受到的培训水平和练习程度;虽然不同的因素都可能影响一个人的行为,但是一组受到严格训练的操纵员在执行技能型行为时则可以将错误减至最低;对于规则型和知识型行为,感官输入和响应行动之间的关联则没有那么直接。Rasmussen还说过,技能型和规则型行为的界限有时是模糊的;对一个人是规则型行为,对另一个人可能是技能型行为,只要后者处在高度练习的状态,即一旦报警发生就能够执行一系列行动,如,当核电厂发生停堆的时候操纵员立即采取的应急行动就属于技能型行为,操纵员不仅熟记这些应急行动而且频繁地操练。按照Layman的说法,技能型行为的执行几乎不需要思考。Rasmussen和Lind也说过,技能型行为的执行也不需要集中注意力,并且很难用文字描述清楚。
规则型行为:
Rasmussen用“规则型行为”这个名词表示在遵循书面规程中需要更多认知的行为,如,标定仪表。
Goodstein说过,规则型行为适用于熟悉的但时间较长、内容较复杂的工作情况,这时,需要更多的认知。虽然在过程中可能引入技能型行为,但是规则起支配性作用,必需严格遵循,以达到预期的目的。规则就是一系列“状态-行动-检查”的任务。成功或失败由最终的系统状态所决定。本来,进展情况是通过直接感知物体的实际状态来确定的。然而,在主控室里,操纵员必须依靠显示的信息(起着表征过程状态的作用)确定当前的状况,并且与相应的规则联系起来,以及检查规则执行的进展情况。如果所显示的信息不那么全面完整,则操纵员有可能被误导。
Hannaman和Spurgin说过,规则型行为被一组规则所支配,这组规则人人皆知和遵循。规则型行为与技能型行为的主要区别在于练习程度。如果规则没有得到很好的练习,人在遵循这些规则时就不得不有意地回忆或检查每个规则。在这种状况下,由于增添了额外的认知过程,故人的响应就可能不及时、犯错误。导致错误发生的原因可能是记忆问题,可能是缺乏检查规程中每个步骤的意愿,也可能是没有按照正确的顺序执行每个步骤。因此,人们把上述的这种行为归类为规则型行为。
试验规程和标定规程的执行是一个典型的规则型行为。技术人员遵循书面的规程。然而,有时候,由于频繁地重复书面上的步骤,则他就有可能依赖记忆。这个时候,疏忽大意的可能性就大大增加了。应急运行规程(EOP)的使用是另一个典型的规则型行为。要求一个操纵员大声地念出EOP,其他操纵员负责按部就班地执行。念EOP的操纵员还负责检查其他操纵员的执行情况。
知识型行为:
Rasmussen用“知识型行为”这个名词表示某种情形,而人对该情形是不熟悉的。因此,人在作出如何应对的决定的时候,需要更多地认知该情形。身处一个不熟悉的情形之中的一个人对信息的利用,完全取决于个人的知识、喜好,以及外部环境所提供的信息的质量的优劣。
Goodstein说过,在遇到不熟悉情形的时候,有必要引进知识型行为的概念,以解决认知问题。这个时候,技能或规则要么得不到要么不充分。在这种情形里,
信息被当作记号使用。恰当的记号可以减小对智力的要求。找出合适的过程记号则是一个更加复杂的问题,因为需要给出在不同水平上的物理变量的数值及其相互关系。
Hannaman和Spurgin说过,如果核电厂发生多重故障或者罕见事件,则电厂处在一个复杂的状态,或者,仪表的读数并不直接给出电厂的状态,则操纵员不得不依靠他的知识,他的行为则由一个更加复杂的认知过程所决定。Rasmussen把这种情形称之为知识型行为。在这种类型的行为中,人的表现取决于他所掌握的电厂知识和他运用知识的能力。这种类型的行为更加容易犯错或误诊,需要更多采取行动时间。
在本方法中,知识型行为表示的是某种情形,身处其中的人不得不解释,诊断,甚至决策(其定义见表2-2)。技能型,规则型,知识型行为的定义还隐含着这样一个思想,即如果将对工作情形的要求从知识型行为修改到规则型行为,则可以大大降低犯错的频率。开发症兆定向的EOP规程正是基于这一原理。
2.3 事故后任务的HRA方法的一般信息
本节是关于事故后任务的筛选HRA和名义HRA的一般信息。
2.3.1事故后任务
事故后任务可由两个部分组成:诊断任务和诊断后任务。一旦某个异常事件发生,这两部分的目标都是维持或使得反应堆处于安全状态。
诊断被定义为确定造成一个异常事件的最有可能的原因,其深度要达到通过改变哪些系统或设备的状态就可以减轻或消除该问题。一般,容许花在诊断上面的时间是有限制的,即要求给予诊断后所采取的行动留出足够的时间。如果执行的是症兆定向的EOP规程,并不要求在诊断中得出异常事件的名称,例如,小LOCA。简而言之,诊断主要解决当一个异常事件发生后需要做什么的问题。诊断属于知识型的行为。
诊断后行动是指在对异常事件作出正确的诊断后所采取的行动。诊断后行动属于规则型或技能型的行为。
在ASEP HRA中使用的与认知相关的词汇及其用途列于表2-2中。人的活动并不总是严格遵循表中第一列的顺序。实际上,在对一个异常事件的响应过程中,有许多可能的相互作用和短路,详见图2-1。
需要在ASEP HRA中分析的特定异常事件,是由系统分析员确定的。它们包括全厂断电(SBO),预期瞬态(ATWS),失水事故(LOCA),丧失交流或直流母线电源,丧失设冷水。
识别出每个异常事件中相关的人员行为和潜在错误,是由系统分析员、人因可靠性分析员、相应的电厂人员(如持证的操纵员和模拟机教员)等共同所组成
的一个小组来完成的。该小组使用典型的任务分析方法(包含访谈,观察,模拟机推演,等等)。正如在图2-2中所显示的那样,对事故后任务的人因可靠性分析典型地是从一个异常事件的报警(或其它强迫性信号)开始的。从PRA的角度看,仅有两条成功途径。其中一条成功途径(图2-2中的最上面一条)是在有限制的时间内作出一个正确的诊断,和在有限制的时间内正确地执行相应的诊断后行动。另一条成功途径(一般在PRA中几乎不考虑)是起先诊断错误,但能够及时从诊断错误中成功地改正过来,紧接着在有限制的时间内正确地执行相应的诊断后行动。
在图2-2中总共有11个失败途径,其中5条在左下边,6条在右上边(因为在此事件树中有两条不同的途径到达同一个终点)。在这些失败途径中,诊断、恢复行动、诊断后行动这三者任一出现了失败,它们要么没有在限制时间内做好,要么做得不够正确,要么压根儿就没有做。
表2-2 与认知相关的词汇和在ASEP HRA中的用途
词汇用途
认知(Cognition)指在诊断异常事件过程中的那些行为
判断(Judgment)本模型不用它,因为太不准确;仅在专家估算的篇章
中使用
感知(Perceive)等同于狭义的“察觉”(Awareness),不含任何“理解”
(Understanding)的成分,例如,“远处的一些光字牌
在闪烁”
区别(Discriminate)将一个信号(或一组信号)与其它信号区分开来,例
如,“水箱A的冷却剂液位是37英尺”,或者,“冷却
剂液位处在限制范围以外”(在后一个例子中,操纵员
实际上还做了一些解释工作)
解释(Interpret)对不同的信号组合形态赋予不同的含义,例如,“水箱
A的冷却剂液位低,要么补给泵不在运行,要么有地
方泄漏,要么指示不准”;如果对观察到的信号只有一
种可能的原因,则解释就相当于诊断
诊断(Diagnosis)确定造成一个异常事件的最有可能的原因,其深度要
达到通过改变哪些系统或设备的状态就可以减轻或消
除该问题;诊断包括解释和(必要时)决策
决定(Decide)同“决策”
决策(Decision-making)(1)决策,作为诊断的一部分,即从两个诊断结果中
选择其一的过程,例如,决定该信号组合形态下的最
有可能的原因
(2)诊断后决策,即在诊断完成之后的行动选择过程;
在大多数情况下,这些行动在运行规程中都有描述,
此时,诊断后决策是不需要的
行动(Action)由诊断或运行规程表明的,一个或多个活动(例如,
步骤或任务)的执行