淺析人因錯誤發生概率對反應堆保護系統可靠性的影響

北京廣利核系統工程有限公司 蔡旭，白瑋，姚芝強，李麗娟

我國煤炭、水力資源分布區域和工業發展、人口集中地區的相對不均衡，使得能源短缺成為制約該地區和我國經濟發展的巨大障礙，所以我們迫切需要一種新能源—核能。

我國發展核工業已有30余年的歷史，從1984年中國建造第一座核電站開始，到目前為止，我國已有秦山核電站，廣東大亞灣核電站，廣東嶺澳核電站，田灣核電站，11臺機組正在進行商運，另外，在建的機組也有很多。

但是，由于核能源的特殊性，要求我們在大力發展核能源的同時，必須清醒地認識到核能源存在的安全風險，時刻把安全保護放在第一位，當作重中之重來對待。所以對于核電廠DCS儀控系統的可靠性分析[2]就變得十分重要。

近幾年，進行反應堆保護系統（RPS）可靠性分析的同時，人因錯誤對保護系統可靠性的影響越發受到人們的重視，主要可分為事故前人因錯誤和事故后人因錯誤。正確分析人因錯誤發生的概率對反應堆保護系統可靠性的影響，可確保機組的安全、穩定、高效運行。

1 反應堆保護系統

反應堆保護系統（RPS）圖1所示，是俠義上反應堆保護系統的簡稱，而由過程儀表系統（SIP）和核儀表系統（RPN）以及所有安全專設系統（如RIS、EAS、ETY等）一起，構成廣義的反應堆保護系統。其中過程儀表系統（SIP）將傳感器測量得到的過程變量（壓力、溫度、水位、流量、轉速等）信號進行閥值比較，形成邏輯保護信號，送至RPS進行邏輯運算（4取2）形成保護指令。

圖1 反應堆保護系統構成

反應堆保護系統（RPS）中發往停堆斷路器的指令是通過反應堆保護機柜（RPC）4取2表決邏輯系統產生的，如圖2中所示。

圖2 RPC整體架構圖

RPC由4個保護通道（I～IVP）組成，每個通道分2個子系統（Gr1，Gr2），兩個子系統之間相互獨立。CPU采用主備冗余，可進行無擾切換。RPC各保護通道分別控制一組停堆斷路器，兩個子系統之間的控制輸出為“或”邏輯。

2 模型分析

通過圖1，圖2中所示，反應堆保護系統（RPS）可靠性分析的對象范圍是指從傳感器到停堆斷路器之間的各相關環節。

2.1 保護系統模型

根據圖1中所示的結構可以看出，反應堆保護系統（RPS）主要由以下部分組成:

傳感器單元；

信號處理，分配，傳送單元；

停堆表決邏輯單元；

反應堆停堆單元。

傳感器單元主要負責對現場實際工況值的采集。采集后的數值被送到保護測量系統中，進行處理，并判斷是否超越停堆限值，若超越限值便產生緊急停堆信號，但是此信號稱為“局部停堆”信號，并且各保護通道相同的子系統之間進行“局部停堆”信號的傳遞，并在各保護通道中進行“4取2”（或3取2，由實際的傳感器數量決定）邏輯表決，根據表決結果判斷本通道是否輸出緊急停堆信號。當4個保護通道中有2個（含）以上的通道輸出緊急停堆信號時，停堆斷路器斷開，燃料棒依靠自身重力作用掉入堆芯，完成停堆功能。

2.2 模型可靠性分析

反應堆保護系統（RPS）可靠性分析的對象范圍是指從傳感器到停堆斷路器之間的各相關環節（通常我們把傳感器單元和保護測量系統看作一個環節），以下就在該范圍內，對各相關設備的可靠性進行分析。

表1 2002年日本國內PWR堆型對應設備故障率

通過表1中的數據可以看出，對于保護系統而言，每個相關設備的可靠性都對保護系統的可靠性有著直接的影響。但是我們知道，對于保護系統中相關設備的限值設定，校正及設備狀態的檢查等工作都需要人的參與進來，所以人為的操作失誤[3]也必須是需要考慮的內容。

2.3 保護系統模型可靠性

表2 日本國內PWR堆型保護系統對應設備不可靠性

通過表2中所示，保護系統單元的相關參數根據公式：

U: 不可靠性；

P: 自診斷率；

T1: 試驗間隔（hr）；

T2: 修理時間（hr）；

MTBF: 平均故障時間（hr）。

分別計算出各單元的不可靠性，然后疊加求和。

3 人因錯誤

核能歷史上發生過兩次嚴重的事故，前蘇聯切爾諾貝利和美國三哩島。這兩次事故的主要原因是由于人的失誤和違章操作引起的。核能界針對這兩次事故進行了總結，人的失誤和人的違章統稱為“人因錯誤”。實踐統計表明，設備故障固然是引發核電嚴重事故的原因，但在技術可靠性已得到顯著提高的情況下，引發核電嚴重事故的主要原因是人因錯誤[4]。

3.1 人因錯誤分類

事故前錯誤[5]；

事故后錯誤[6]。

3.1.1 事故前的人因錯誤

事故前的人因錯誤是指由于人為失誤，造成對各種傳感器設定值的修正，超量程報警值設定，及發現問題后是否及時、正確解決等一系列的行為。作為誤校正評估主要對象有以下幾類：

傳感器的誤校正；

傳輸介質的誤校正；

邏輯報警值的誤校正；

發現問題后未能及時修復。通過對以上誤校正的定量化的分析和討論，基本上可以涵蓋常見的人因造成的誤校正的現象。

3.1.1.1 誤校正的概率

表3 2002年日本國內誤校正的基本類型概率

12 最初的確認工作失敗后，第二次確認時仍然未修復，假定在這兩次檢測工作中間有較高的依存性 1.9E-01 13 最初的確認工作失敗后，第二次確認時仍然未修復，假定在這兩次檢測工作中間有較低的依存性 5.0E-02 14 最初的確認工作失敗后，第二次確認時仍然未修復 1.9E-01

誤校正的各類型的概率值[7]參考表3。表3中的每種類型的概率值是從NUREG/CR-4639(Data Manual、Part2: Human Error Probability Data)中摘選出的。表4中記載是對于校正操作時，誤操作類型的概率值。

表4 2002年日本國內誤校正的相關的概率值

3.1.1.2 誤校正的定量化分析

在機組正常運行狀態下，針對各事件起因的時鐘控制設備動作失敗的原因，在表5中進行了總結歸納。表5中的定量化分析結果引用了表3中的數值。通過表5中定量化分析結果，可以知道事故前錯誤的概率值為6.8×10-5（表5中各概率值相加）。

表5 2002年日本國內誤校正特定情況的概率值

3.1.2 事故后的人因錯誤

事故后的人因錯誤，主要是考慮操作人員對于系統發出的信息反饋的不及時、不正確。這種的人因錯誤概率值為3.0×10-3（NUREG/CR-1278[8]的表20.20所示的人的錯誤概率上下限值1.0×10-3～1.0×10-2的幾何平均值）。

3.2 人因錯誤的可靠性

3.3 人因錯誤影響分析

根據公式（1）可得知反對應保護系統模型的不可靠性為1.1×10-2。

根據公式（2）可得知人因錯誤的不可靠性為3.07×10-3。

圖3 人因錯誤不可靠性影響

4 結語

通過以上分析可以看出，對于反應堆保護系統的可靠性而言，確保每個組成環節的可靠性，或者說確保每個設備的高可靠性是十分必然的，這就需要我們在進行DCS設備選型時要做到選擇高質量、高可靠性的設備。

在確保硬件設備高可靠性的同時，由于人為因素造成的對保護系統可靠性影響也是不可忽視的。這就要求我們對核安全管理進一步重視并要形成新的安全管理理念，把核安全文化作為一項基本原則加以推廣和實施，用于防止和減少人為錯誤。

[1] 黃衛剛,張力. 大亞灣核電站人因事件分析與預防對策[J], 核動力工程,1998,19(1):64-68.

[2] 朱明飄,席亞賓. DCS系統常見故障分析及處理措施探討[J]. 自動化與儀器儀表,2008,5:65-68.

[3] 張力, 王以群,鄧志良. 復雜人-機系統中的人因失誤[J],中國安全科學學報,1996,6(6):35-39.

[4] Cacciabue P C. A methodology of human factors analysis for system engineering theory and applicable [J]. IEEE Transactions System, Man and Cybernetics Part A: System and Human. 1997, 27(3):325-339.

[5] Safety Series No. 50-P-10. Human Reliability Analysis in Probability Safety Assessment for Nuclear Power Station. International Atomic Energy Agency.Vienna, 1995.

[6] Zhang Li and Huang Shudong. China Nuclear Science and Technology Report: Human Reliability Analysis of LingAo Nuclear Power Station[R].Beijing: China Nuclear Information Centre, 2001.

[7] NUREG/CR-4639, Nuclear Computerized Library for Assessing Reactor Reliability (NUCLARR) Data Manual, Part 2: Human Error Probability (HEP)Data, Volume 5, Revision 4, September 1994.

[8] NUREG/CR-1278, Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications, Final Report, August 2001.