北京广利核系统工程有限公司 蔡旭，白玮，姚芝强，李丽娟

我国煤炭、水力资源分布区域和工业发展、人口集中地区的相对不均衡，使得能源短缺成为制约该地区和我国经济发展的巨大障碍，所以我们迫切需要一种新能源—核能。

我国发展核工业已有30余年的历史，从1984年中国建造第一座核电站开始，到目前为止，我国已有秦山核电站，广东大亚湾核电站，广东岭澳核电站，田湾核电站，11台机组正在进行商运，另外，在建的机组也有很多。

但是，由于核能源的特殊性，要求我们在大力发展核能源的同时，必须清醒地认识到核能源存在的安全风险，时刻把安全保护放在第一位，当作重中之重来对待。所以对于核电厂DCS仪控系统的可靠性分析[2]就变得十分重要。

近几年，进行反应堆保护系统（RPS）可靠性分析的同时，人因错误对保护系统可靠性的影响越发受到人们的重视，主要可分为事故前人因错误和事故后人因错误。正确分析人因错误发生的概率对反应堆保护系统可靠性的影响，可确保机组的安全、稳定、高效运行。

1 反应堆保护系统

反应堆保护系统（RPS）图1所示，是侠义上反应堆保护系统的简称，而由过程仪表系统（SIP）和核仪表系统（RPN）以及所有安全专设系统（如RIS、EAS、ETY等）一起，构成广义的反应堆保护系统。其中过程仪表系统（SIP）将传感器测量得到的过程变量（压力、温度、水位、流量、转速等）信号进行阀值比较，形成逻辑保护信号，送至RPS进行逻辑运算（4取2）形成保护指令。

图1 反应堆保护系统构成

反应堆保护系统（RPS）中发往停堆断路器的指令是通过反应堆保护机柜（RPC）4取2表决逻辑系统产生的，如图2中所示。

图2 RPC整体架构图

RPC由4个保护通道（I～IVP）组成，每个通道分2个子系统（Gr1，Gr2），两个子系统之间相互独立。CPU采用主备冗余，可进行无扰切换。RPC各保护通道分别控制一组停堆断路器，两个子系统之间的控制输出为“或”逻辑。

2 模型分析

通过图1，图2中所示，反应堆保护系统（RPS）可靠性分析的对象范围是指从传感器到停堆断路器之间的各相关环节。

2.1 保护系统模型

根据图1中所示的结构可以看出，反应堆保护系统（RPS）主要由以下部分组成:

传感器单元；

信号处理，分配，传送单元；

停堆表决逻辑单元；

反应堆停堆单元。

传感器单元主要负责对现场实际工况值的采集。采集后的数值被送到保护测量系统中，进行处理，并判断是否超越停堆限值，若超越限值便产生紧急停堆信号，但是此信号称为“局部停堆”信号，并且各保护通道相同的子系统之间进行“局部停堆”信号的传递，并在各保护通道中进行“4取2”（或3取2，由实际的传感器数量决定）逻辑表决，根据表决结果判断本通道是否输出紧急停堆信号。当4个保护通道中有2个（含）以上的通道输出紧急停堆信号时，停堆断路器断开，燃料棒依靠自身重力作用掉入堆芯，完成停堆功能。

2.2 模型可靠性分析

反应堆保护系统（RPS）可靠性分析的对象范围是指从传感器到停堆断路器之间的各相关环节（通常我们把传感器单元和保护测量系统看作一个环节），以下就在该范围内，对各相关设备的可靠性进行分析。

表1 2002年日本国内PWR堆型对应设备故障率

通过表1中的数据可以看出，对于保护系统而言，每个相关设备的可靠性都对保护系统的可靠性有着直接的影响。但是我们知道，对于保护系统中相关设备的限值设定，校正及设备状态的检查等工作都需要人的参与进来，所以人为的操作失误[3]也必须是需要考虑的内容。

2.3 保护系统模型可靠性

表2 日本国内PWR堆型保护系统对应设备不可靠性

通过表2中所示，保护系统单元的相关参数根据公式：

U: 不可靠性；

P: 自诊断率；

T1: 试验间隔（hr）；

T2: 修理时间（hr）；

MTBF: 平均故障时间（hr）。

分别计算出各单元的不可靠性，然后叠加求和。

3 人因错误

核能历史上发生过两次严重的事故，前苏联切尔诺贝利和美国三哩岛。这两次事故的主要原因是由于人的失误和违章操作引起的。核能界针对这两次事故进行了总结，人的失误和人的违章统称为“人因错误”。实践统计表明，设备故障固然是引发核电严重事故的原因，但在技术可靠性已得到显著提高的情况下，引发核电严重事故的主要原因是人因错误[4]。

3.1 人因错误分类

事故前错误[5]；

事故后错误[6]。

3.1.1 事故前的人因错误

事故前的人因错误是指由于人为失误，造成对各种传感器设定值的修正，超量程报警值设定，及发现问题后是否及时、正确解决等一系列的行为。作为误校正评估主要对象有以下几类：

传感器的误校正；

传输介质的误校正；

逻辑报警值的误校正；

发现问题后未能及时修复。通过对以上误校正的定量化的分析和讨论，基本上可以涵盖常见的人因造成的误校正的现象。

3.1.1.1 误校正的概率

表3 2002年日本国内误校正的基本类型概率

12 最初的确认工作失败后，第二次确认时仍然未修复，假定在这两次检测工作中间有较高的依存性 1.9E-01 13 最初的确认工作失败后，第二次确认时仍然未修复，假定在这两次检测工作中间有较低的依存性 5.0E-02 14 最初的确认工作失败后，第二次确认时仍然未修复 1.9E-01

误校正的各类型的概率值[7]参考表3。表3中的每种类型的概率值是从NUREG/CR-4639(Data Manual、Part2: Human Error Probability Data)中摘选出的。表4中记载是对于校正操作时，误操作类型的概率值。

表4 2002年日本国内误校正的相关的概率值

3.1.1.2 误校正的定量化分析

在机组正常运行状态下，针对各事件起因的时钟控制设备动作失败的原因，在表5中进行了总结归纳。表5中的定量化分析结果引用了表3中的数值。通过表5中定量化分析结果，可以知道事故前错误的概率值为6.8×10-5（表5中各概率值相加）。

表5 2002年日本国内误校正特定情况的概率值

3.1.2 事故后的人因错误

事故后的人因错误，主要是考虑操作人员对于系统发出的信息反馈的不及时、不正确。这种的人因错误概率值为3.0×10-3（NUREG/CR-1278[8]的表20.20所示的人的错误概率上下限值1.0×10-3～1.0×10-2的几何平均值）。

3.2 人因错误的可靠性

3.3 人因错误影响分析

根据公式（1）可得知反对应保护系统模型的不可靠性为1.1×10-2。

根据公式（2）可得知人因错误的不可靠性为3.07×10-3。

图3 人因错误不可靠性影响

4 结语

通过以上分析可以看出，对于反应堆保护系统的可靠性而言，确保每个组成环节的可靠性，或者说确保每个设备的高可靠性是十分必然的，这就需要我们在进行DCS设备选型时要做到选择高质量、高可靠性的设备。

在确保硬件设备高可靠性的同时，由于人为因素造成的对保护系统可靠性影响也是不可忽视的。这就要求我们对核安全管理进一步重视并要形成新的安全管理理念，把核安全文化作为一项基本原则加以推广和实施，用于防止和减少人为错误。

[1] 黄卫刚,张力. 大亚湾核电站人因事件分析与预防对策[J], 核动力工程,1998,19(1):64-68.

[2] 朱明飘,席亚宾. DCS系统常见故障分析及处理措施探讨[J]. 自动化与仪器仪表,2008,5:65-68.

[3] 张力, 王以群,邓志良. 复杂人-机系统中的人因失误[J],中国安全科学学报,1996,6(6):35-39.

[4] Cacciabue P C. A methodology of human factors analysis for system engineering theory and applicable [J]. IEEE Transactions System, Man and Cybernetics Part A: System and Human. 1997, 27(3):325-339.

[5] Safety Series No. 50-P-10. Human Reliability Analysis in Probability Safety Assessment for Nuclear Power Station. International Atomic Energy Agency.Vienna, 1995.

[6] Zhang Li and Huang Shudong. China Nuclear Science and Technology Report: Human Reliability Analysis of LingAo Nuclear Power Station[R].Beijing: China Nuclear Information Centre, 2001.

[7] NUREG/CR-4639, Nuclear Computerized Library for Assessing Reactor Reliability (NUCLARR) Data Manual, Part 2: Human Error Probability (HEP)Data, Volume 5, Revision 4, September 1994.

[8] NUREG/CR-1278, Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications, Final Report, August 2001.