核電廠重要人員動作分析與人因工程相結合研究

雷文靜，何建東，胡軍濤，卓鈺鋮

(上海申核能源工程技術有限公司，上海 200233)

0 引言

在核電廠中，重要人員動作分析和人因工程管理之間具有緊密聯系。重要人員動作分析除了需要對電廠安全會造成影響的人的失誤的可能性和機理進行評價，還要結合確定論和概率安全評價(probabilistic safety analysis,PSA)模型進行分析。將得到對電廠安全性與可靠性有重要影響的電廠情景、人員操作和人機接口(human system interface,HSI)部件以及相應的人員操作條件作為人因工程(human factors engineering,HFE)中的任務分析、規程制定和人機接口設計等的設計輸入，并對人因工程的相關設計作出評價。

國內對重要人員動作分析與人因工程相結合的研究鮮有報道。本文在國外方法調研的基礎上[1-2]，結合工程實際[3-10]，對如何開展核電廠HFE中的重要人員動作分析作了初步探討。

1 人因工程中重要人員動作分析

1.1 目標及內容

進行HFE的重要人員動作分析的目標如下。

①重要人員動作分析結合人因工程設計的結果。

②人因工程設計能分析重要人員動作和人員失誤機理，以最大限度地減小人員失誤的可能，并為探測失誤和進行恢復提供支持。

重要人員動作分析能為人機接口設計提供有價值的發現，因此HFE設計應該特別關注那些重要人員動作分析確定的、對電廠安全性和可靠性有重要影響的電廠情景、人員操作和人機接口。

重要人員動作分析與HFE的結合流程如圖1所示。

圖1 重要人員動作分析與HFE的結合流程圖

重要人員動作分析與HFE結合的主要內容體現在以下幾個方面。

①重要人員動作分析。采用概率論分析和確定論分析相結合的方式確定重要人員動作，供HFE在后續執行過程中對其進行重點考慮。

②與運行經驗評審的結合。運行經驗評審(operating experience review,OER)可識別出先前電廠或系統中被識別出的需要關注的操作/任務以及其他重要人員動作，為設計電廠的重要人員動作分析提供一定的參考和輸入；另一方面，通過對設計電廠開展重要人員動作分析，能夠判斷OER識別出的這些操作在本設計電廠中是否依然重要，并對人因工程設計的其他要素提供參考。

③與功能要求分析和功能分配的結合。功能要求分析和功能分配將對賦予人和系統的功能進行分配，避免人和系統的局限性。一方面，功能要求分析和功能分配結果能夠為重要人員動作分析提供輸入；另一方面，重要人員動作分析的結果也可用于支持功能要求分析和分配的最終確定過程。

④與任務分析的結合。將識別出的重要人員動作分析結果作為HFE任務分析的輸入；通過任務分析，為人機接口設計決定提供依據，確保人員效能要求與人的能力相符，并為人員配備、規程和培訓開發提供輸入。

⑤與人員配備和資質、HSI設計、規程開發、培訓開發的結合。用這些HFE要素的結果來確認和改進PSA/人員可靠性分析(human reliability analysis,HRA)假設。

⑥與HFE驗證和確認(verification and validation,V&V)的結合。重要人員動作中的行為假設(如執行的動作/操作、動作完成的時間)的確認是HFE集成系統確認的一部分。

⑦與設計實現的結合。對于新設計電廠，設計實現可與人因工程V&V結合，視為V&V的補充和延續。重要人員動作的分析結果可用于防止某些特定的臨時性配置。

⑧與人員效能監測的結合。人員效能監測在電廠投入運行以后實施，重要人員動作分析結果可用于區分糾正動作的優先次序。

1.2 確定重要人員動作

根據重要人員動作分析的結果，確定關鍵的人員操作和風險重要人員動作。所確定的人員操作和動作用作任務分析和其他相關設計活動的輸入。

1.2.1 關鍵的人員操作

定義關鍵人員操作有確定論和概率論兩種準則。

①確定論準則：在設計基準事故中，為防止堆芯損傷所要求的人員操作。

②概率論準則：任何失誤會導致總的堆芯損傷頻率(core damage frequency,CDF)≥1E-04/堆年，或者大量放射性釋放頻率(large release frequency,LRF)≥1E-05/堆年的人員動作。

該評價基于基準PSA的定量分析結果。基準PSA研究范圍包括功率運行工況內部事件，停堆工況內部事件，以及火災、水淹和地震事件。

1.2.2 風險重要人員動作

風險重要人員動作包括用于事故緩解的風險重要的人員動作和支持維修、試驗、檢查和監督(maintenance test inspection and supervision,MTIS)活動的風險重要人員動作。采用PSA中經常使用的兩種風險重要度方法來識別包含人員動作的風險重要任務。

(1)風險增加法。此方法研究將一個人員動作的失誤概率設為1.0的情況下，可能導致的風險增加量。這種方法的目標是識別那些不能執行將導致風險顯著增加的人員動作。這些任務包含在任務分析和集成的V&V中，以確保得到HSI系統的充分支持，從而最大限度地減小失誤的可能。

(2)風險降低法。此方法研究將一個人員動作的失誤概率設為0的情況下，可能導致的風險降低量。這種方法的目標是識別那些正確執行將導致風險顯著降低的人員動作。這些任務包含在任務分析和集成的V&V中，以確保得到HSI系統的充分支持，從而最大限度地增加正確執行的可能。

PSA研究包括以下幾方面：①功率運行工況下內部事件；②停堆工況下內部事件；③火災、水淹事件；④地震事件。

另外，進行專用PSA模型的敏感性分析，為非安全系統的管理處理提供輸入。在此研究中，在計算堆芯損傷頻率時不考慮非安全相關系統的作用，只考慮安全相關系統。對以下方面進行專用PSA的敏感性研究：①功率運行內部事件；②停堆工況內部事件；③火災和水淹事件。

這些PSA研究的結果用來確定風險重要人員動作。

(1)風險重要人員動作的定量化準則。

若由以下兩種方法中的一種計算出一項任務的重要度大于相關的風險閾值，則將該任務定義為風險重要。這兩種方法通常定量如下。

①風險增加法。此方法給出了關于保持現有風險水平的堆芯損傷頻率的人員操作的重要性。針對此目的，把每項人員操作的失誤概率設為1.0后，對堆芯損傷頻率進行重新計算。人員操作的風險重要度定義為堆芯損傷頻率的增加百分比。例如，風險重要度為100%是指任務的失效概率設為1.0之后堆芯損傷頻率增加1倍，這相當于風險增加價值(risk achievement worth,RAW)為2.0。百分比越大，人員操作對維持現有的風險水平越重要。

功率運行內部事件、停堆工況內部事件的風險增加重要度閾值為200%(針對堆芯損傷和嚴重放射性釋放)。這相當于風險增加值為3.0。低于此值的不需要進一步研究。

專用PSA敏感性研究中，風險增加重要度閾值為100%。

②風險降低法。此方法給出了人員動作在降低現有堆芯損傷和嚴重放射性釋放風險水平方面的重要性。針對此目的，把每個人員動作的失誤概率設為0之后，對堆芯損傷和嚴重放射性釋放進行重新計算。人員動作的重要度定義為堆芯損傷頻率和嚴重放射性釋放頻率的降低百分比。例如：風險降低值10%是指減小任務失效概率可以獲得的最大收益為10%。降低百分比越大，該人員動作對降低現有風險水平越重要。

功率運行內部事件、停堆工況內部事件的風險降低重要度閾值為10%(針對堆芯損傷和嚴重放射性釋放)。這相當于風險降低值(risk reduction worth,RRW)約為1.1。低于此值的不需要進一步研究。

專用PSA敏感性研究中，風險降低重要度閾值為5%。

(2)風險重要人員動作的定性準則。

除了定量方法，識別風險重要任務的定性準則也應用于PSA研究。一個由HRA/PSA、系統工程設計、HSI設計和HFE代表組成的專家組應用這些準則并識別相關的風險重要任務。專家組在作決定時，需考慮以下因素。

①如果RAW/RRW小于但接近準則，且：估計的操縱員實際完成時間接近于可用時間窗口；操縱員動作或對操縱員的要求是復雜的、獨特的或具有潛在挑戰性的；操縱員動作是防止某情景(可能會導致與安全目標相沖突)出現所必須的。

②專家組根據經驗判斷認為是風險重要的動作。

(3)風險重要的維修、試驗、檢查和監督任務的定性準則。

識別風險重要MTIS任務采用定性準則。通過檢查“風險重要的”系統、構筑物和部件(system structure and component,SSC)識別風險重要的MTIS任務。SSC的準則在電廠設計可靠性保證大綱中給出。其中，部分“風險重要的”SSC以及部分有代表性的相關MTIS由專家組挑選出。該小組由來自設計過程中相關領域(如：系統工程、可靠性工程、PSA、HFE和HSI設計)的專家代表所組成。將由專家組識別的MTIS任務定義為風險重要并在任務分析、HSI設計和V&V中進行檢查。

2 人因工程與重要人員動作分析結合過程

2.1 與運行經驗評審的結合

OER將識別出先前電廠或系統中被識別出的有問題的操作/任務以及其他重要人員動作，為本電廠的重要人員動作分析提供一定的參考和輸入；另一方面，通過對設計電廠開展重要人員動作分析，能夠判斷OER識別出的這些操作在本電廠中是否依然重要，并為人因工程設計的其他要素提供參考。

2.2 與功能要求分析和功能分配的結合

功能要求分析和功能分配將對賦予人和系統的功能進行分配，避免人和系統的局限性。一方面，功能要求分析和功能分配結果能夠為重要人員動作分析提供輸入；另一方面，重要人員動作分析的結果也可用于支持功能要求分析和分配的最終確定過程。

2.3 重要人員動作的識別

采用上文介紹的準則，結合概率論分析和確定論分析識別重要人動作和任務。將識別的重要人員動作和任務作為任務分析和HFE設計的輸入。

2.4 重要人員動作的任務分析

重要人員動作分析確定用于任務分析輸入的人員動作和任務序列(作為HFE項目的一部分)。這包括所有的概率論和確定論分析識別出的重要人員動作。

2.4.1 操作序列分析的輸入

重要人員工作分析識別的人員動作和任務包含在操作序列分析檢查的任務中。任務分析的輸入包括執行的任務序列和行為要求的詳細說明。這些輸入用于指導HSI設計和規程開發。

HSI和規程專業將其分析結果(如：基于功能的任務分析、操作序列分析)和設計結果(應急操作規程、設計導則和顯示畫面描述)提交給重要人員動作分析人員審查和評議。

2.4.2 確認/改進重要人員動作假設

由于重要人員動作分析在設計過程的早期就開始進行，必然會對功能分配、執行的人員動作、HSI設計、規程的質量和相關的行為形成因子作出一些假設。隨著設計工作的推進，需要對這些假設進行確認和改進。

一旦人機功能分配、初步的HSI設計和規程完成后，就可以進行更加詳細的序列任務分析，以更準確地反映詳細設計。此時就可以開始研究先進的數字化技術、詳細的HSI設計和規程對操縱員執行的動作、操縱員的要求以及完成這些動作所估算的持續時間的影響。

當初步的HSI設計和規程完成后，就可以進行更加詳細的操作序列分析和工作負荷分析，以更準確地估算完成識別的這些任務所需要的工作負荷和時間(詳細的操作序列分析稱作OSA-2)。結果記錄在一份報告中并提供給重要人員動作分析人員。

隨后，重要人員動作分析人員審查HFE設計和分析文件對重要人員動作假設的潛在影響。

2.5 重要人員動作任務的重新檢查

假如確定某個重要人員動作任務可能對電廠安全有重大貢獻，則通過任務分析、HSI設計和規程開發進行重新檢查。這是為了識別操縱員任務或控制和顯示環境的變化，以減小操縱員失誤的可能，并為失誤探測和恢復功能提供支持。

2.6 重要人員動作行為假設的確認

重要人員動作中，操縱員行為假設的確認是HFE集成系統確認的一部分。

將通過概率論分析和確定論分析識別的包含重要人員動作的情景作為HFE集成系統情景確認的組成部分。

將識別的需要確認的特定行為假設作為確認工作的組成部分。這些假設的例子有：操縱員能夠在確定的時間窗口內完成某些動作。

將重要人員動作分析確定的情景作為HFE集成系統確認的組成部分，并搜集執行方法以支持對重要人員動作行為假設的確認。分析結果提供給重要人員動作分析人員。

利用HFE集成系統，對重要人員動作中操縱員行為假設的確認過程，不需要確認HRA的定量結果(概率)。

審查了HFE集成系統確認的結果后，重要人員動作分析人員決定是否需要對HRA建模假設和HRA定量化作出修改。假如需要，則修正HRA并評價對PSA結果的影響。

作為決定是否需要對HRA進行重新定量化的過程的一部分，HRA/PSA評價當前用于得到估算的失誤概率的數據庫是否仍是HRA定量化的最合適的數據源，或者已經有更加適合建模假設的且已被廣泛認可的、新的失誤定量化數據庫可用。

將確認重要人員動作行為假設的過程編制成報告，并評價其對HRA/PSA定量化的影響(若有)。

3 核電廠重要人員動作分析與人因工程結合實例

本文以某核電廠為例，對核電廠重要人員動作分析與人因工程結合開展研究。其中，概率論準則僅以堆芯損壞頻率(core damage frequency,CDF)開展分析，LRF與之類似。

3.1 重要人員動作分析總體假設

在通過概率論方式識別重要人員動作時，包含人員可靠性分析過程。示例電廠中，事故后人員失誤事件分析的總體假設中與人因工程設計相關的包括：對于控制室的人員的工作職責、分工，本分析考慮每個動作有一位相關的操縱員和一位確認其操作的校核人員。在分析中，以示例電廠的應急操作規程作為參考。

目前的人員失誤事件取值，是在以上假設基礎上得到的。如果有些假設在設計中不能滿足，則要對相關的人員失誤事件取值作向上調整，CDF也會隨之增大。

3.2 分析準則及實例

根據前面的定性、定量準則，以及示例核電廠現有的PSA模型和CDF結果，暫將CDF值為1E-4/堆年作為進行關鍵的人員操作分析時的閾值，將RAW值為2和RRW值為1.01分別作為風險增加法和風險減少法確定風險重要任務時的閾值。

基于以上討論，對示例核電廠PSA模型中的人員操作任務進行了分析。下面給出對事故后人員操作的風險重要任務進行分析的例子。對關鍵的人員操作的分析與對事故后人員操作的風險重要任務的分析相類似。

以操縱員未能通過多樣化驅動系統信號認識到堆芯冷卻劑系統(reactor coolant system,RCS)需要降壓并停運反應堆冷卻劑泵的人員失誤事件為例，進行分析。這個操作的RRW值為1.21。人員失誤事件分析過程如表1所示。事件編碼為REC-MANDAS，事件描述為LOCA或瞬態事故期間，操縱員未能通過多樣化驅動系統信號認識到RCS需要降壓并停運RCS泵。

表1 人員失誤事件分析過程

根據表1計算分析過程，將診斷失誤、遺漏失誤和選擇失誤概率相加得到該人員失誤事件的HEP值為8.62E-02，此時CDF值為1.83E-07/堆年。HEP值在設計上要達到的要求如下。

①留給操縱員走規程診斷和操作的時間至少30 min。

②相關規程中要有手動停運RCS泵的描述。

③執行操作時有清晰的模擬線路的盤臺。

④要有校核人員用書面校核列表對其進行狀態校核。

下面針對幾種不同的條件，對此人員事件進行敏感性分析。RCS泵不同的人因工程設計的敏感性分析結果如表2所示。

表2 RCS泵不同的人因工程設計的敏感性分析

以上結果表明，在不同設計條件下，人員失誤事件有不同取值，對電廠安全水平(CDF值)影響程度不同。實際工程應用中，人因工程設計能夠直接影響人員動作的可靠性，借助PSA模型進行重要人員動作分析，能夠對人因工程設計的變化進行量化分析，從而為人因工程設計提供指導。

4 結論

在電廠設計過程中，將重要人員動作分析與人因工程/人機接口設計相結合，能夠在電廠設計一定情況下篩選出對電廠安全有重要影響的人員動作，也能夠通過對人員動作進行定量分析、敏感性分析等為電廠人因工程設計提供反饋和參考，對確保和提高電廠的安全性和可靠性具有重要意義。