基于国际项目实践的核电站人因安全分析方法研究

徐志辉，刘 鹏，贾 明，张宇欣，刘朝鹏，杨 明

基于国际项目实践的核电站人因安全分析方法研究

徐志辉1,2，刘 鹏2，贾 明2，张宇欣1，刘朝鹏2，杨 明1,*

（1. 哈尔滨工程大学 核科学与技术学院，黑龙江 哈尔滨 150001；2. 核电安全监控技术与装备国家重点实验室 中广核工程有限公司，广东 深圳 518172）

受人因工程应用基础理论、基础数据缺乏以及方法论工程应用能力不足等因素的制约，目前核电站人因设计与分析均围绕各人因要素相对独立地开展工作，集成性不足且具有明显的应用局限性。本文基于国际标准要求，提出了一种人因要素集成化、系统化实施新技术，并在“华龙一号”英国通用设计审查实践中开展了工程应用。实践表明，该系统化的人因安全集成分析新方法能有效融合人因工程多种要素并与核电站设计充分结合，从而更为全面和综合地评估核电站设计阶段的人因安全风险状况，并通过将风险信息在各设计环节之间进行传递和迭代，促进人因工程原则的深入应用，为核电站人因安全水平提升提供了新的技术保障途径。

核电站；人因安全；人因工程；迭代分析

人因失误是核电厂事故发生和发展的重要因素已得到国际公认，核电等高安全性要求行业对于提升人因风险管理水平的需求日渐迫切。但是在相关事故的分析报告或者安全研讨中，技术失效的分析仍然占主导地位，这种明显偏差产生原因之一是人因工程化分析技术仍不成熟，无法对复杂工业系统中的安全关键人员任务进行综合分析和风险评估。

人因工程（HFE）泛指运用跨学科理论和方法，研究人、工业系统及工作环境之间的相互关系，使系统设计满足人的生理、心理特性并实现人机安全、高效和协同运行。在核电站，人因工程关注应用人的能力和局限性的知识进行电厂、系统和设备设计，提供合理保证，使电厂、系统、设备、人员任务和工作环境符合人员的感觉、知觉、认知以及身体素质的特性[1]。

我国在IEC和IEEE标准的基础上结合国内实践经验发布了系列核电人因工程标准，其中简要提到了人因分析的相关要求，但缺少具体的安全审评和设计实施指导细则。近年来，国内监管方和设计方在实践中主要参考美国核管会（NRC）发布的《人因工程项目审评模型》（NUREG-0711）[2]、《人—系统界面设计审评指南》（NUREG-0700）[3]等导则。NUREG-0711系统介绍了核电人因设计及评估的基本步骤和监管期望。但NUREG-0711发布于2012年，无法精准指导数字化核电厂的人因分析，同样缺少人因分析实施的具体方法或技术路径。核电站设计者及人因工程师如何在复杂人机系统设计中集成化、系统化实施人因分析工作仍是亟待解决的问题。

针对上述问题，本文结合“华龙一号”英国通用设计审查的最新工程实践和国际标准要求，提出一种多人因要素集成的人因分析工程化应用新方法。

1　人因分析工程化应用的难点讨论

NUREG-0711描述了核电站人因设计与分析审查流程，该流程以电厂设计为总输入，涵盖了人因工程大纲、经验反馈、功能分析与分配、任务分析、重要人员动作、人员配置与资质、人机接口、规程开发、培训开发、人因验证与确认、设计实现和人员效能监测等12项人因要素。

根据NRC的审评经验，NUREG-0711在“重要人员动作处理”章节给出了一张重要人员动作（Important Human Action）在人因工程中角色的示意图，如图1所示。图中通过带箭头的连接线描述了各要素之间的相关性，旨在阐述重要人员动作与人因工程其他要素的关联与支撑关系，鼓励人因工程师综合考虑不同人因要素分析结果的关联和支撑关系。

该图具有重要的指导意义，但由于NUREG-0711是审评模型，侧重概念引导，对该实施流程并无过多的解释，也没有提供实施的方法指引，尤其是重要人员动作分析的完整来源、与任务分析之间的关系、与其他各要素之间的具体关联方式等。另外，该图是从重要人员动作输入输出关系的视角来组织人因工程各相关要素之间的关系，实践中仍需要进一步从人因安全系统性分析论证的视角来细化重要人员动作在人因工程中的角色。

图1　重要人员动作在人因工程中的角色

因此，基于构建集成化、系统化的人因安全分析技术视角来说，该图仍存在以下需要完善的环节：

（1）未说明关联关系的建立途径，需要结合工程实践和技术手段对关联关系进行调整；

（2）基于电站成熟设计作为输入，不能在设计前期介入，无法有效消除设计全生命周期中的人因风险；

（3）未给出电站多专业集成与迭代设计特性的实施技术路径指引；

（4）在任务分析环节之外开展重要人员动作分析，导致概念混淆与工作重叠；

（5）未以风险控制为导向，缺乏任务风险分级的概念；

（6）缺少人员可靠性分析（Human reliability analysis）与量化环节。

2　集成化人因分析模型的提出

核电站受控发电（可用性）和保障电厂安全（安全性）的总体目标，分别由特定组合的高层级功能定义和承接。高层级功能如反应性控制等进一步层次化分解为注水系统或阀门等系统或设备层级的功能，由自动化系统或人员最终承接。而由人员承接的功能需要一组相互支撑的动作序列实现预定的任务目标。

重要人员动作是指由人员承接的、对电站安全性和可用性功能具有关键影响的动作，也被描述为高风险人员动作，控制了重要人员动作就可以有效降低人因风险，通常通过经验反馈、概率论、确定论等领域的工作定性或定量地识别重要人员动作。重要人员动作不是孤立存在的，与其他支持性动作一起构成完整的人员任务序列。因此，重要人员动作的分析仍属于任务分析的范畴，是任务分析的关键工作，更加强调了对于人因风险贡献度较高的关键性动作的关注。

本文结合工程实践，在NUREG-0711提供的图1中人因要素关联关系的思路启发基础上，提出了一种风险指引的集成化人因分析模型，如图2所示。该模型以人因风险控制为牵引，以人因符合性提升为目标，在设计前期即开展集成性的人因分析和系统性论证工作，旨在系统性化消除人因风险，为人因安全提升提供有价值的洞察力。该模型的特点如下：

（1）全生命周期介入

图1以电站已完成的设计作为唯一的输入，对设计成品开展人因工程分析与评估。图2可以在不同的设计阶段提供不同详细程度的人因输入。在设计早期，以电站总体性设计和参考电站经验反馈为输入，使得人因分析在设计初期就可以介入；在设计的中间阶段以电站详细设计作为输入，并随着设计的深入迭代更新人因分析工作，直至设计成品完成最终的分析输出，实现人因工程对设计的全生命周期滚动支撑。

（2）多人因要素有机集成

受人因应用基础理论、基础数据缺乏以及工程应用能力不足等因素的制约，工程实践中人因各要素通常以相对独立的方式开展设计和分析工作，各要素之间关联和支撑关系较弱，集成性明显不足。图2在图1的基础上，继承并依据工程经验进一步优化十二要素的输入输出关系，建立了完整的人因分析论证模型，可以较好实现人因多要素的集成使用，使人因分析具备对电站设计的支撑能力。

（3）系统性分析与论证

图1依据NRC经验给出了人因工程十二要素之间可能存在的关联关系，图2在图1的基础上，进一步从系统性的角度，细化了从经验反馈到人员效能监测之间的输入输出及迭代关系，并重点扩展了论证的核心部分—任务分析和可靠性评估技术的实施路径，如将任务分析细化为基于功能的任务分析、基于序列的任务分析，并在引入风险等级的概念后进一步对重要人员动作开展人因可靠性评估，明确了人因分析的具体实施技术和分析流程。

（4）风险指引的任务分析

现有自动化水平下，核电站仍然需要大量人员活动的介入和支持，任务分析的对象繁多且工作量庞大，但是不同的人员动作对于安全的重要性及其人因失误发生的可能性并不完全相同，通过引入风险分级的概念，继承概率论、确定论、纵深防御等多领域的分析成果，建立风险分级标准并对涉及的人员动作进行重要度分级，重点识别和论证对人因失误贡献度高的关键性人员动作。

（5）增加人因可靠性分析要素

仅依靠传统的任务分析方法并不能给出量化的人因分析结果[4-7]，因此图2在图1的基础上，增加人因可靠性分析要素，结合成熟的人因可靠性技术[8,9]，从相对完整的人因绩效影响维度，开展定性与定量分析，定量的结果可以返回概率安全模型迭代，更为精准反映人因设计改进对电厂总体风险的优化情况，提高电厂整体设计的人因符合性。

（6）多设计专业领域集成

通过建立人因分析和电站详细设计在设计各阶段的输入输出和迭代论证关系，扩充人因分析涉及的领域及其背后的设计专业，尤其是在电厂详细设计阶段的应用，将人因分析的范围从传统的人机界面、规程、培训大纲和人员组织，全面拓展到了仪控设计、电气设计、系统设计、设备设计、布置设计、结构设计等电站全部人机接口相关领域，直接建立了人因分析对电站设计的支撑关系，实现人因与设计的集成，如图3所示。

（7）风险传递与迭代分析

建立定性和定量分析中发现的人因不符合项清单，并建立向责任专业的风险传递反馈机制，建立设计—分析—改进—分析的循环迭代过程，降低人误风险，提升人因符合性和可靠性。

图2　多要素集成人因分析模型

图3　多专业领域的人因集成

3　人因分析流程与应用关键技术建立

3.1　人因分析流程

在使用图2开展人因分析时的步骤和流程如下：

（1）识别需要执行的功能

以新电厂的总体设计和经验反馈作为输入；从电厂设计顶层的功能分析与分配出发，筛选出手动功能清单。

（2）识别功能的任务需求

依据概率论和确定论模型选取上述手动功能对应的事故序列和场景，建立基于功能的任务分析清单；将该基于功能的任务分析清单与运行策略/参考规程相匹配，选取合适的响应策略并确定具体的操作序列，建立基于操作序列的任务分析清单。

（3）开展详细的定性任务分析

通过概率论模型中的重要度排序，对任务进行风险等级划分，其中低风险的进行简化分析，高风险（重要人员动作）地进行详细分析；详细任务分析采用电站多专业的具体设计为输入开展，定性部分可采用多种任务分析技术开展。

（4）开展定量的可靠性分析

定量部分可以通过引入人员可靠性分析方法，开展失误模式、容错、恢复因子、绩效影响因子（PSF）、相关性和不确定性分析，分析时间敏感性，确定人因失误概率值。

（5）建立人因不符合项及任务分析清单

将定性和定量分析过程中发现的人因不符合项建立详细的清单，给出人因优化建议；同时将任务分析所得到的详细信息建立清单，可用于人因验证与确认、设计实现检查和人员效能监测等。

（6）通过迭代分析验证和确认改进效果

将人因不符合项及优化建议反馈相关的设计专业开展迭代设计并制定优化方案，基于优化后的方案开展人因迭代分析，并再次返回电站相关设计专业，直至最终结果满足人因定性和定量评估准则要求，实现人因与设计专业的全生命周期的集成。

3.2　人因分析应用关键技术

本文选取功能分配中确定的超设计基准事故操纵员手动启动紧急给水系统（OP_L2_FW）给出应用关键技术的简略论证示例[8-10]。

（1）基于功能的任务选取

通过PSA模型检查，OP_L2_FW风险较高且适用于如下两种始发事件引起的超设计基准事故序列：

1）未能紧急停堆的预期瞬态（Anticipated Transient Without Trip，ATWT）

2）全厂断电（Station black-out，SBO）

（2）序列和场景选取

对于SBO事件，只在SBO电源可以恢复向应急给水系统（ASG）供电的情况下才可以手动启动ASG，可用时间较长。对于ATWT导致手动启动ASG，时间窗口较短。因此，可以选定对人的可靠性要求更为严苛的ATWT序列为包络分析场景。

（3）基于操作序列的任务分析

针对OP_L2_FW，基于超设计基准事故导则提供的场景、操作序列以及人员组织运作情况，推演人员交互过程，提取完成特定功能的一组操作序列，建立事故处理策略层次分析图，如图4所示。

在层次任务分析的基础上开展表格任务分析和时间线任务分析，提取重要参数和设备、关键状态指示和操作，样表和样图分别如表1、图5所示。

表1　表格分析样例

（4）人因可靠性分析

在完成任务分析后，对每个关键子任务进行潜在失效模式分析，如误操作、操作遗漏、故意违规等；基于现实分析每种失效模式可能的恢复手段；对于没有恢复机会的潜在失效，则定义为改进项，需要在量化评估中体现（见表2）。

（5）人因不符合项和迭代设计

在完成可靠性分析后，汇集定性和定量问题为人因不符合项清单，提出相关的改进建议，反馈相关设计方，开展迭代设计和分析（见表3）。

图4　层次任务分析结果

图5　时间线分析样例

表2　建立PSF水平选取表

续表

表3　人因不符合项

4　人因分析技术的适用场景分析

人因分析在核电工程设计中的适用场景包括但不限于：

（1）通过多维度的任务可行性分析，定性与定量的判定任务的可执行性，检查手自动功能分配的合理性；对于存在手动后备的自动功能建模，检查PSA建模的保守性，自动动作是否有隐含的人员动作等；

（2）通过详细任务分析检查规程设计缺陷、路径冗长、场景覆盖不足、场景适用性差、导向友好性和支持任务不合理等问题；

（3）通过详细任务分析检查人机接口中报警、信息显示、画面、导航、操控等的完整性、一致性和符合性；

（4）通过就地任务分析，检查系统与设备设计、布置、照明、消防等设计的合理性，以及操作空间的可视、可达和可操作性；

（5）分析经验反馈落实情况，对已发现的会导致人员或系统失效的潜在因素，分析当前设计改进合理性和适用性；

（6）通过可用时间及其陡变效应的检查，分析确定论场景中热工建模所假设的人因适用性、包络性和代表性；

（7）通过定量人因失误概率的迭代及定性分析中与系统、设备设计的匹配性检查，分析概率论中事件树、故障树及最小割集建模的一致性、合理性、保守性；

（8）通过潜在失效模式和恢复措施分析，发现当前设计的可能偏差，基于人因视角提供改进建议；

（9）通过认知负荷、情境意识、态势感知和团队协作能力的评估，优化人员、组织及任务的配置。

5　结论

本文提出了一种核电站设计领域适用、多要素集成的人因系统化分析模型，通过该模型，设计人员能够综合地开展人因安全分析和问题识别，有效解决核电等大型工业系统专业接口复杂、分析要素众多所导致人因工程割裂开展的弊端，在确保人因工程独立性和系统性同时，论证过程充分体现人因指导设计的要求。基于该模型从正向设计初始阶段就可以深度参与各设计环节，并引导多专业领域的交叉验证，多方位发掘潜在的人机失配项和人因失误风险，提出人因不符合项，用以改进设计和降低人因失误风险从而优化人机系统整体绩效。

［1］ IAEA.The role of automation and humans in nuclear power plants［R］. IAEA-TECDOC-668，1992.

［2］ U.S Nuclear Regulatory Commission.Human Factors Engineering Program Review Model［S］. NUREG-0711，Rev 3，Washington，DC：U.S.NRC，2012.

［3］ US Nuclear Regulatory Commission.Human-system interface design review guidelines［S］. NUREG-0700，Rev 3，Washington，DC：U.S.NRC，2020.

［4］ Leiden，K.，Laughery，K.R.，Keller，J.，et al. A review of human performance models for the prediction of human error［J］. Ann Arbor，2001，1001：48105.

［5］ Mosleh，A.，Chang，Y. Model-based human reliability analysis：prospects and requirements［J］Reliability. Engineering & System Safety，2004，83（2）：241-253.

［6］ Reason，J. Human error［J］. West J Med，1990，12（6）：393-396.

［7］ Spurgin，A.J. Human reliability assessment theory and practice［M］. CRC press，2009.

［8］ Gertman D.，Blackman H.，Marble J.，Byers and Smith C.The SPAR-H Human Reliability Analysis Method，NUREG/CR-6883［R］. Idaho National Laboratory，Washington D.C.：U.S.NRC，2004.

［9］ Swain A.D.Accident Sequence Evaluation Program Human （Reliability Analysis Procedure，NUREG/CR-4772）［R］. Washington D.C.：USNRC，1987.

［10］ Zhihui Xu，Jiemei Zhang，Xuegang Zhang.Study for Reliability Analysis of Operator Response Process under IBLOCA Accident in Nuclear Power Plant［C］. International Symposium on Software Reliability，Industrial Safety，Cyber Security and Physical Protection for Nuclear Power Plant.Springer，Singapore，2020：599-609.

Study on Human Factor Safety Analysis Method of Nuclear Power Plant Based on International Project Practice

XU Zhihui1,2，LIU Peng2，JIA Ming2，ZHANG Yuxin1，LIU Zhaopeng2，YANG Ming1,*

（1. Fundamental Science on Nuclear Safety and Simulation Technology Laboratory， Harbin Engineering University，Harbin of Heilongjiang Prov. 150001，China 2. State Key Laboratory of Nuclear Power Safety Monitoring Technology and Equipment， China Nuclear Power Engineering Co.，Ltd.，Shenzhen of Guangdong Prov. 518172，China）

Restricted by the lack of basic theory and data of human factor engineering application, and the lack of engineering application ability of methodology, the current human factor design and analysis methods of nuclear power plants work relatively independently around each human factors, with insufficient integration and obvious application limitations. Based on the latest engineering experience and international standard requirements of HPR1000 in UK, this paper proposes a new technology for the systematic implementation of human factor analysis with integrated human factor, and successfully carries out the corresponding engineering application. The practice shows that the new method of systematic human factors and engineering integration analysis can fully integrate with the design of nuclear power plant, effectively integrate multiple elements of human factor engineering, so as to more comprehensively assess the influence of human factor safety risk status in the design of nuclear power plant, and realizes more effective engineering application of human factor methodology by transferring and iterating risk guidance information among various elements. It provides a new technical guarantee way for the improvement of human factor safety level in nuclear power plants.

Nuclear power plant; Human safety; Human factor engineering; Iterative analysis

TP391.9

A

0258-0918（2023）05-0996-08

2022-09-21

徐志辉（1987—），男，河南杞县人，研究员级高级工程师，现主要从事核电站运行与控制相关研究