TERCER EJERCICIO

GRUPO A - SEGURIDAD NUCLEAR

Tema SN-29. La tarea de análisis de fiabilidad humana en un análisis probabilís-

tico de seguridad. Metodologías y su utilización.

Resumen

Una de las tareas asociadas a los Análisis Probabilistas de Seguridad consiste

en el estudio de la influencia de fallos en las actuaciones de los operadores en
la mitigación de los accidentes, y la cuantificación de la probabilidad de que esos
fallos ocurran.
Las acciones que realizan los operadores se dividen en cinco tipos:
Tipo 1 las que se producen con anterioridad a un suceso iniciador, que dejan
indisponibles o perjudican la actuación de sistemas de mitigación;
Tipo 2 las que conducen por sí solas o en combinación con otras circunstancias
a la ocurrencia de un suceso iniciador
Tipo 3 Las acciones que realizan los operadores en el seguimiento de procedi-
mientos basados en síntomas
Tipo 4 Las que realizan los operadores siguiendo otros procedimientos en los que
es necesario el diagnostico de la situación
Tipo 5 Las acciones de recuperación no procedimentadas.
En la cuantificación de la probabilidad de fallo de los distintos tipos de acciones
humanas en los APS españoles se ha seguido la técnica dada por EPRI en el Pro-
cedimiento sistemático de fiabilidad de las acciones humanas (Systematic Human
Action Reliability Procedure, SHARP), y se ha usado la técnica para la predicción
de la tasa de error humano, Technique for Human Error Rate Prediction elaborada
por los laboratorios nacionales Sandia bajo los auspicios de la US NRC.
Los modelos de cuantificación se basan en las correlaciones Time Reliability
Correlation (TRC) y Human Cognitive Reliability Model (HCR).
Tema SN-29: La tarea de fiabilidad humana

Índice
1. Introducción 1
1.1. Definición y objetivos del análisis de fiabilidad humana . . . . . . . . . . 1
1.2. El error humano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2. Procedimiento sistemático de fiabilidad de las acciones humanas 2

2.1. Paso 1: Definición e Identificación . . . . . . . . . . . . . . . . . . . . . 3
2.1.1. Errores humano de tipo 1 . . . . . . . . . . . . . . . . . . . . . . 5
2.1.2. Errores humanos de tipo 2 . . . . . . . . . . . . . . . . . . . . . 6
2.1.3. Errores humanos de tipo 3 . . . . . . . . . . . . . . . . . . . . . 7
2.1.4. Errores humanos de tipo 4 . . . . . . . . . . . . . . . . . . . . . 9
2.1.5. Errores humanos de tipo 5 . . . . . . . . . . . . . . . . . . . . . 10
2.2. Paso 2: Cribado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3. Paso 3: Descomposición . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.4. Paso 4: Representación . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.5. Paso 5: Evaluación del impacto . . . . . . . . . . . . . . . . . . . . . . . 14
2.6. Paso 6: Cuantificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

3. Ejemplo 16
3.1. Definición de la acción . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.2. Análisis cuantitativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.3. Criterio de éxito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.4. Factores de forma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.5. Cribado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.6. Representación y cuantificación . . . . . . . . . . . . . . . . . . . . . . 18
3.7. Documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4. Análisis de dependencias 20

5. Consideraciones adicionales sobre los análisis de fiabilidad humana en

los APS 20
5.1. Esfuerzo necesario para la realización de un análisis de fiabilidad humana 20
5.2. Beneficios derivados de los análisis de fiabilidad humana . . . . . . . . 20
5.3. Medidas correctoras para reducir el impacto de los errores humanos . . 21

6. Relación con otros temas 22

Tema SN-29: La tarea de fiabilidad humana 1

1. Introducción

1.1. Definición y objetivos del análisis de fiabilidad humana

El análisis de fiabilidad humana (FH) es un método por el cual se realiza un análisis

sistemático de las acciones que el personal de la planta lleva a cabo o puede tener
que llevar a cabo para controlar los accidentes. Este tipo de análisis permite la identi-
ficación, descripción modelación y cuantificación de los errores humanos creíbles que
son significativos para el riesgo de la instalación.
En el contexto de un Análisis Probabilista de seguridad (APS), el objetivo de la tarea
de Fiabilidad Humana es analizar la influencia del ser humano en el riesgo asociado
con la operación de las centrales nucleares.
La realización de los APS conlleva un estudio detallado de los sistemas que intervie-
nen en la ocurrencia y mitigación de accidentes. Partiendo de la extensa familiarización
con la planta, se llevan a cabo las tareas de selección de los sucesos iniciadores que
deben considerarse, la evolución de los mismos (delineación de secuencias) y la de-
terminación de los equipos y acciones de los operadores necesarios para su gestión,
dando lugar al análisis de sistemas y al análisis de fiabilidad humana, respectivamente.
Los APS cuantifican el riesgo de la instalación en cuanto a la frecuencia anual de fu-
sión del núcleo (nivel 1) y la frecuencia de excedencia de cada categoría de liberación
(nivel 2). Sin embargo, el resultado del APS no es sólo la frecuencia de daño al núcleo
global o por secuencias, sino una lista detallada de combinaciones de fallos de equi-
pos (en demanda o en operación), indisponibilidades por pruebas o mantenimiento y
errores humanos que provocan el daño al núcleo. A cada una de estas combinaciones
se denomina conjunto mínimo de fallos (minimal cut set, MCS).
En el caso de un APS de nivel 1, se examina la evolución posible de escenarios me-
diante árboles de sucesos, en los que se postula el funcionamiento o no de cada
función de seguridad que pueda intervenir en la mitigación de esos escenarios. Para
ello es necesario calcular la probabilidad de cada una de esas funciones de seguridad,
que se recogen en los cabeceros del árbol de sucesos. Es decir, debe calcularse la
probabilidad de fallo de los sistemas requeridos para desarrollar la función de seguri-
dad que mitiga cada accidente. Dentro de estas funciones de seguridad interviene el
personal de operación de la planta de varias maneras, cuya descripción abordaremos
en este tema.
En los APS los análisis de fiabilidad humana se realizan para los distintos modos
de operación (a potencia y en parada), para sucesos iniciadores internos y externos
(incendios, inundaciones. El peso de los análisis de fiabilidad humana en la interfase
y en los niveles 2 es mucho menor que en el nivel 1.
Tema SN-29: La tarea de fiabilidad humana 2

1.2. El error humano

En los APS, se considera un Error Humano una acción humana realizada fuera de los
márgenes de tolerancia dados por los criterios de éxito de los sistemas de la planta.
Los errores humanos modelados en un APS incluyen errores que reducen la disponi-
bilidad de sistemas, que tienen como resultado un suceso iniciador, que no impiden la
progresión de un accidente o que empeoran la progresión de un accidente.
Se supone que los errores humanos pueden ocurrir antes de un suceso iniciador (pre-
iniciadores), pueden causar el suceso iniciador (iniciadores) o pueden ocurrir después
del suceso iniciador (post-iniciadores), mientras el personal de la planta está tratando
de mitigar las consecuencias de un accidente.

2. Procedimiento sistemático de fiabilidad de las ac-

ciones humanas (Systematic Human Action Reliabi-
lity Procedure, SHARP)
Como resultado del esfuerzo de investigación para incorporar las interacciones huma-
nas en el APS, el EPRI, Electric Power Research Institute (California) ha desarrollado
el procedimiento sistemático de fiabilidad de las acciones humanas (Systematic Hu-
man Action Reliability Procedure), conocido por sus siglas en inglés, SHARP [1].
SHARP pretende ser un marco para la incorporación de las interacciones humanas
en el APS con un enfoque sistemático que considera un conjunto de pasos (ver más
abajo). SHARP no proporciona de forma explícita los métodos de cuantificación, sino
que hace referencia a otros documentos disponibles.
La metodología SHARP ha sido usada en todos los APS realizados por las CC NN
españolas; una visión esquemática puede verse en la figura 1.

NO

Paso 1 Paso 2 Necesario YES Paso 3

Analisis
Definición Cribado Detallado? Descomposición

YES

Paso 7 Paso 6 Necesaria Paso 5: Evaluar Paso 4

Evaluación
Documentación cuantificación NO Adicional? el impacto Representación

Figura 1: Esquema de los pasos para la realización de un análisis de fiabilidad humana

siguiendo SHARP.
Tema SN-29: La tarea de fiabilidad humana 3

2.1. Paso 1: Definición e Identificación

Durante la operación normal de una central nuclear tienen lugar varias intervenciones
humanas. El examen de las acciones que pueden causar o agravar incidentes propor-
ciona la siguiente clasificación útil para los APS, que es la que se encuentra en [1]. La
figura 2 muestra la relación entres las acciones y de éstas con el suceso iniciador.

Suceso iniciador

Recarga N+1
Recarga N

Tipos 1 y 2 Tipos
3, 4 y 5

Figura 2: Clasificación de las acciones en su relación con el suceso iniciador.

Tipo 1 Antes de que tenga lugar el suceso iniciador

Tipo 2 Acciones que inducen el suceso iniciador

Tipo 3 Después del suceso iniciador, mientras se siguen Procedimientos de Opera-

ción en Emergencia (POE)

Tipo 4 Acciones que se realizan después del suceso iniciador, en las que se siguen
procedimientos que no están basados en síntomas

Tipo 5 Acciones de recuperación que se hacen después del suceso iniciador y no

están procedimentadas.

El Organismo internacional de la Energía Atómica, OIEA, da una clasificación ligera-

mente distinta [2], estableciendo tres categorías como sigue

Categoría A — Pre-iniciadores Son acciones asociadas con el mantenimiento y las

pruebas que degradan la disponibilidad de los sistemas. Se corresponden con
las acciones de Tipo 1 de más arriba.

Categoría B — Iniciadores Acciones que contribuyen a dar lugar a sucesos iniciado-

res o transitorios de la planta. Se corresponden con las de Tipo 2 de más arriba.

Categoría C — Post-iniciadoras Éstas se separan en tres tipos distintos de accio-

nes, a saber,

1. Acciones que implican el éxito o fallo en el seguimiento de procedimientos

o instrucciones en respuesta a una secuencia accidental.
2. Acciones o errores que agravan el accidente, son errores de comisión que
ocurren después del fallo, y
Tema SN-29: La tarea de fiabilidad humana 4

3. Acciones improvisadas de recuperación o reparación, que incluyen la recu-

peración de equipos previamente indisponibles o el uso de procedimientos
no estándar. Estas acciones sólo se incluyen en secuencias dominantes
para el riesgo de la planta.

Se corresponden con los Tipos 3, 4 y 5 de la clasificación de EPRI.

Para ilustrar las fases de las acciones humanas después de un suceso iniciador, con-
sideremos la figura 3. En ella, el estímulo inicial y la detección y la ejecución final en
el tiempo disponible y las tareas manuales son características de las acciones de tipo
3, mientras que el diagnóstico y la selección de estrategia lo son de las de tipo 4.

Diagnós−Selección Ejecución Ejecución

Estímulo Detección tico
Estrategia a tiempo Manual

EXITO

FALLO

FALLO

FALLO

FALLO

FALLO

TIPO 3 TIPO 4 TIPO 3

Figura 3: Fases de una acción humana, tras un suceso iniciador

Puede verse por tanto que los errores de las acciones de tipo 1 reducen la disponibi-
lidad de los sistemas importantes para la seguridad. Las acciones humanas de tipo 2
provocan un suceso iniciador o incrementan su frecuencia de ocurrencia. Un error del
operador durante la progresión de un accidente (tipos 3 a 5) implica que el operador
no impide la progresión del accidente o contribuye a que se agraven las condiciones
del mismo.
En lo que sigue se mirará más en detalle cada uno de los tipos de error.
Tema SN-29: La tarea de fiabilidad humana 5

2.1.1. Errores humano de tipo 1

Se definen los errores humanos de tipo 1 como aquellos que tienen lugar antes de la
ocurrencia de un suceso iniciador y que pueden reducir la disponibilidad de sistemas
por causa de un mal alineamiento tras un mantenimiento o una prueba, de una inco-
rrecta calibración de un canal de instrumentación, etc. Las acciones que se investigan
son aquellas que implican un cambio de estado, tales como

1. Pruebas periódicas realizadas sobre equipos de seguridad

2. Procesos de calibración de instrumentación relacionada con equipos de seguri-

dad

3. Acciones de mantenimiento correctivo y preventivo periódico.

Durante la realización de un APS, el equipo de analistas de fiabilidad humana debe

revisar las actividades de los distintos grupos que realizan las taras en la central,
incluyendo los turnos de operación y los grupos de mantenimiento e instrumentación.
La identificación de las acciones de tipo 1 se realiza revisando todas las acciones
humanas descritas más arriba, y todos los procedimientos y prácticas operativas de la
instalación referidas a las pruebas, mantenimiento, calibraciones y realineamiento de
sistemas para la operación.
Ejemplos de errores de tipo 1 son,

Posición incorrecta de una válvula del sistema de Agua de Alimentación Auxiliar

después de realizar un mantenimiento

Posición incorrecta de las válvulas manuales de suministro de nitrógeno a las

válvulas de alivio de los generadores de vapor después de un mantenimiento
preventivo, en modo común porque el trabajo fue realizado por un único equipo
de instrumentistas

Calibración incorrecta de un canal de presión en la contención que proporciona

la señal automática para el arranque de la ducha de la contención (equipo de
calibración).

Dentro de los errores de tipo 1 debe incluirse también el incorrecto alineamiento de

aquellos componentes que no son directamente el objeto de una prueba, pero cuyo
realineamiento es necesario para la realización de la misma y existe posibilidad de
que queden mal alineados.
Dentro de las tareas de un APS, siguiendo el procedimiento general de realización del
análisis, el analista de fiabilidad humana define y proporciona al analista de sistemas
los criterios para la identificación de los errores de tipo 1. El analista de sistemas
identifica y selecciona los errores de tipo 1 de acuerdo a estos criterios, y la lista
Tema SN-29: La tarea de fiabilidad humana 6

resultante se evalúa en la tarea de fiabilidad humana comprobando la consistencia con

los criterios dados. En este proceso de revisión, el analista de fiabilidad humana hace
uso de las matrices de pruebas y mantenimiento. Finalmente, el analista de sistemas
integra los errores de tipo 1 seleccionados en los árboles de fallos de los sistemas.

2.1.2. Errores humanos de tipo 2

Se definen los errores de tipo 2 como aquellos que inducen la ocurrencia de un suceso
iniciador, o incrementan la frecuencia de ocurrencia de un suceso iniciador. Su deter-
minación está íntimamente relacionada con las tareas de identificación de sucesos
iniciadores y de cálculo de su frecuencia.
Los métodos principales para la identificación de las acciones de tipo 2 son

Análisis de la experiencia operativa Se revisan los registros históricos de experien-

cia operativa de la planta y de otras plantas buscando acciones de los operadores
que hayan dado lugar a un transitorio.

Análisis sistemático Una fuente importante de información para identificar acciones

de tipo 2 es la estructura jerárquica de causas de disparo. El análisis de modos
de fallo y sus efectos (FMEA, Failure Mode and Effects Analysis) es otra posible
fuente. Adicionalmente, se debe revisar las tareas de seguimiento de carga, de
operación y pruebas relacionadas con el arranque y parada de la planta y con el
mantenimiento y pruebas que necesitan realineamientos durante la operación.

Los errores de tipo 2 también pueden dividirse en tres categorías según den lugar
directamente a un suceso iniciador (tipo 2 puro) o deban combinarse con otros fallos
humanos o de componentes para dar lugar al iniciador (tipo 2 compuesto).

Tipo 2A son fallos latentes producidos en la ejecución de tareas que inducen una
anomalía en el funcionamiento de la planta que permanece indetectada durante
algún tiempo. Estos son similares a los errores de tipo 1 en cuanto a la fuente
del error se refiere (una mala operación en una tarea habitual), pero contribuyen
también a la frecuencia del iniciador.

Tipo 2B son iniciadores puros, es decir, provocan directamente el transitorio.

Tipo 2C también son sucesos compuestos en los que la planta no responde adecua-
damente a la anomalía, es decir, en una situación en la que la planta está en una
situación anormal; por esta razón se clasifican cono de tipo 2 y no como de tipo
3, 4 ó 5.

Para dejar clara esta clasificación, piénsese en los siguientes ejemplos:

Tema SN-29: La tarea de fiabilidad humana 7

Apertura de una válvula del presionador en el transcurso de una reconexión eléc-

trica (tipo 2A).

Desbloqueo temprano de un permisivo P-11 (tipo 2B).

Error al cerrar una válvula del presionador abierta inadvertidamente (tipo 2C).

Error al reconectar un cargador de emergencia antes de la pérdida de una barra

de corriente continua.

Disparo de turbina involuntario (tipo 2B).

El proceso de la incorporación de los errores de tipo 2 en el estudio de APS comienza

en la tarea de identificación de sucesos iniciadores y cálculo de la frecuencia. Es el
analista de esta tarea el que identifica los errores de tipo 2 en la estructura jerárquica
de causas de disparo, mientras que por medio de FMEA se identifican los sistemas
soportes que provocan un suceso iniciador en caso de fallo. El examen de la experien-
cia operativa y la literatura disponible puede ayudar a los analistas en la identificación
de las acciones humanas que pueden dar lugar a un iniciador.
Por tanto, la información sobre el suceso iniciador es crítica en el seguimiento del
análisis subsiguiente. Si hay suficiente información disponible, el analista de fiabilidad
humana puede cuantificar el error humano para la estimación de la frecuencia del
iniciador. En otros casos, puede ser necesaria la búsqueda de datos genéricos o la
realización de un modelo para la cuantificación del error humano.
La metodología para la cuantificación de los errores humanos es similar a la de los
errores de tipo 1 en el caso de los sub-tipos 2A y 2B, mientras que es similar a la
metodología de cálculo de la probabilidad de fallo para incidentes post-iniciador en el
caso del sub tipo 2C. El resultado de la cuantificación se utiliza en la cuantificación de
las frecuencias de los sucesos iniciadores.

2.1.3. Errores humanos de tipo 3

Los errores llamados de tipo 3 son aquellos que puede cometer el turno de operación
mientras se realizan las acciones contenidas en los Procedimientos de Operación en
Emergencia basados en síntomas durante la mitigación de un suceso iniciador. Inclu-
yen errores en los que el operador se salta una acción procedimentada, no la realiza
a tiempo o lo hace incorrectamente.
Son los miembros del turno de operación quienes básicamente pueden cometer este
tipo de errores. Una clasificación amplia de las actividades que pueden llevar a este
tipo de error es,

Fallo en el apoyo a un automatismo

Fallo en la operación manual de un equipo

Tema SN-29: La tarea de fiabilidad humana 8

Fallo en el control de procesos.

Para la identificación de las acciones de tipo 3, deben analizarse todas las actuaciones
de los operadores en respuesta a un iniciador. Por tanto deben analizarse los procedi-
mientos existentes en la planta para la mitigación de accidentes. Estas incluyen,

Procedimientos de Operación en Emergencia

Procedimientos de Fallo

Procedimientos de Operación Especiales

Procedimientos de Operación Generales

En el análisis de las acciones de tipo 3 se realiza una evaluación detallada de las

tareas a realizar, lo que incluye

Identificación de las tareas críticas o tareas necesarias para que la acción tenga
éxito.

Práctica operativa (procedimientos de estructuración del turno de operación, ins-

trumentación, factores ambientales, interfaces)

Otras acciones relacionadas con la tareas.

Son ejemplos de estas acciones,

Fallo del operador en las acciones de apoyo al arranque automático del sistema
de agua de alimentación auxiliar.

Error humano en el realineamiento a recirculación con el sistema de inyección

de alta presión después de un LOCA pequeño.

Error humano en la maniobra de Purga y Aporte (Feed & Bleed) tras un disparo
con pérdida del sumidero de calor.

Error humano en el control del sistema de agua de alimentación auxiliar después

de un disparo del reactor

Error humano en la desconexión de cargas tras un SBO.

El esquema para la identificación y cuantificación de los errores de tipo 3 comienza en

la tarea de fiabilidad humana con la definición de los criterios para la identificación de
estas acciones, que se trasladan al analista de secuencias. Éste identifica los errores
de tipo 3 que pueden asociarse con cada sistema.
Se necesita una estrecha colaboración entre los analistas de fiabilidad humana y de
secuencias para evaluar los errores de tipo 3 asociados con cada secuencia de los
Tema SN-29: La tarea de fiabilidad humana 9

Árboles de Sucesos. Estos errores se refieren a acciones que alteran una función de
seguridad o varios sistemas simultáneamente.
Una vez se han identificado todos los errores de tipo 3, el analista de fiabilidad humana
los revisa y los incluye en los modelos. Los errores humanos de tipo 3 relacionados con
los sistemas se incluyen generalmente en sus árboles de fallos asociados, mientras
que los relacionados con secuencias o con más de un sistema se incluyen en los
Árboles Funcionales como cabeceros.

2.1.4. Errores humanos de tipo 4

Este tipo de errores surge cuando el turno de operación trata de mitigar un suceso
iniciador, e incluyen

Diagnóstico incorrecto que normalmente se asocia a errores en la identificación

del iniciador o del estado de la planta

Selección de la estrategia incorrecta, ligado a errores del turno de operación

en la decisión de las funciones de seguridad a proteger y de los sistemas para
hacerlo después de la identificación correcta del suceso iniciador.

La identificación del diagnóstico erróneo requiere la evaluación, para cada suceso

iniciador o estado de la planta, de qué otros iniciadores o estados pueden producir
síntomas similares. Para los errores de selección de estrategia deben evaluarse las
estrategias posibles que puede adoptar el turno de operación en cada iniciador identi-
ficado o en cada estado de la planta.
Ejemplos de errores de tipo 4 de mal diagnóstico son

Los ocurridos en el accidente de TMI

Los identificados en la Matriz de confusión (Oconee NPP):

• Rotura de línea de vapor dentro de la contención y pequeño LOCA

• Alto caudal de agua de alimentación auxiliar y rotura de la línea de vapor
fuera de la contención.

Una selección errónea de la estrategia ocurre, por ejemplo, en

el realineamiento de la inyección de alta presión al modo recirculación demasiado

pronto

confusión en la planificación para el alineamiento de las válvulas para establecer

la recirculación.
Tema SN-29: La tarea de fiabilidad humana 10

Este tipo de error humano se ha analizado en muy pocos APS, y es considerado poco
significativo desde que las centrales nucleares adoptaron procedimientos de operación
basados en síntomas, puesto que no hay necesidad de diagnosticar el iniciador y
los POE conducen al turno de operación a la estrategia correcta en cada caso. Un
diagnóstico erróneo es posible en plantas que no disponen de procedimientos basados
en síntomas.

2.1.5. Errores humanos de tipo 5

Estos hacen referencia a errores del turno de operación en la realización de activida-

des encaminadas a la mitigación de un iniciador, pero que no están previstas en los
POE.
Estas acciones de recuperación fallidas aparecen, por ejemplo, en

un fallo en la detección de una anomalía

diagnóstico incorrecto

selección de la estrategia inadecuada

restricciones de tiempo

fallos en la ejecución de acciones.

La identificación de la recuperación de acciones tiene lugar después de la cuantifica-

ción preliminar de las secuencias, y se centra en los conjuntos mínimos de fallo (MCS)
significativos para el daño al núcleo. Estas acciones se insertan directamente en los
MCS y no en los Árboles de Sucesos o de Fallos.

2.2. Paso 2: Cribado

El objetivo del cribado es seleccionar las acciones humanas más importantes relacio-
nadas con el riesgo de la planta con el objetivo de hacer un análisis detallado.
El cribado consiste en tres etapas:

Asignación de probabilidades conservadoras de error humano (valores de criba-

do) a las acciones identificadas en el Paso 1.

Cuantificación preliminar de las secuencias accidentales usando esas probabili-

dades de cribado.

Selección de errores para el análisis detallado aplicando criterios cualitativos y

cuantitativos.
Tema SN-29: La tarea de fiabilidad humana 11

Asignación de valores de cribado Se dan valores conservadores de probabilidad

de error a las acciones identificadas en el paso anterior. Son datos tomados de la
literatura basados en las características de la acción, tipo de comportamiento asociado
con la realización de la tarea o tiempo disponible para evitar un cambio significativo en
el estado de la planta.
La probabilidades de error para las acciones de tipo 1 se estiman generalmente en
función de las características de la acción, es decir, en función de si se trata de una
prueba, un mantenimiento, una calibración o un realineamiento operacional, y del tipo
de comportamiento (basado en destreza, en reglas o en conocimiento, de acuerdo a
Rasmussen [3]).
El análisis de tipo 3 generalmente implica la separación de la acción en sus partes
manual y cognitiva. La parte cognitiva está asociada a la probabilidad de no respuesta
(el operador omite la tarea o no la realiza en el tiempo disponible) y la parte manual
está relacionada con el fallo a realizar las tareas que físicamente componen la acción.
La probabilidad de la parte cognitiva asignada en el cribado se basa normalmente
en el tiempo disponible para la acción (muy corto, corto o largo) y el tipo de proceso
cognitivo (destreza, reglas o conocimiento), mientras que la probabilidad para la parte
manual se basa en el tipo de comportamiento (destreza, reglas o conocimiento).

Cuantificación preliminar Tras la asignación de probabilidades conservadoras, se

realiza una cuantificación preliminar para descubrir los errores humanos que son más
significativos para el riesgo de la planta.

Criterios cuantitativos y cualitativos Deben establecerse los criterios para la se-

lección de acciones para el análisis detallado. Se usan normalmente criterios cualita-
tivos y cuantitativos.
Por ejemplo, el analista selecciona las acciones humanas potencialmente capaces de
provocar el fallo de componentes redundantes de un sistema o de distintos sistemas
(criterio cualitativo).
Se seleccionan las acciones humanas que aparecen en conjuntos mínimos de fallos
que contribuyen en más de un 1 % a la frecuencia de daño al núcleo.

2.3. Paso 3: Descomposición

En este paso se descomponen las acciones humanas en tareas y subtareas. Este

proceso se desarrolla para acciones seleccionadas para el análisis detallado.
Debe analizarse cada acción para identificar qué tarea puede llevar al fallo (tareas crí-
ticas). De esta manera se reduce la complejidad de paso de cuantificación, mejorando
también la estimación de los valores de la probabilidad de fallo, al pasar de una acción
compleja a un conjunto de tareas simples.
Tema SN-29: La tarea de fiabilidad humana 12

Destreza Reglas Conocimiento

Calibración 3.E-3 3.E-2
Pruebas 2.E-3 2.E-2
Mantenimiento 1.E-3 3.E-2 5.E-2
Realineamiento operacional 3.E-3 3.E-2 1.E-1

Tabla 1: Valores de cribado para las acciones de tipo 1. Basadas en el NUREG/CR-

1278 y en el NUREG/CR-4772.

Destreza Reglas Conocimiento

Parte Cognitiva
tiempo muy corto (t < 5 min.) 1.E-1 5.E-1 1
tiempo corto (5 ≤ t ≤ 60 min.) 1.E-3 3.E-2 3.E-1
tiempo largo (t > 60 min.) 3.E-4 3.E-3 1.E-2
Parte Manual 3.E-3 3.E-2 3.E-1

Tabla 2: Valores de cribado para acciones de tipo 3. Basado en NSAC/60, Appendix A

de EPRI NP-3583 (SHARP) y NUREG/CR-4772.

En el caso de acciones procedimentadas la identificación de tareas y subtareas se

hace de acuerdo a los pasos y sub-pasos de los procedimientos de la planta.
En este paso también se identifican los factores de forma (Performance Shaping Fac-
tors, PSF) más importantes que pueden influir en la acción bajo estudio y en otras
acciones relacionadas. Ejemplos de PSF y acciones relacionadas consideradas en
los análisis de acciones humanas de tipos 1 y 3 son,

Errores humanos de tipo 1

PSF:

• Calidad de los procedimientos aplicables, si existen.

• Número de componentes y funciones de cada uno en el equipo de trabajo.
• Entrenamiento del personal.
• Características de las herramientas y del equipo a usar.
• Nivel de estrés asociado con la actuación.
Tema SN-29: La tarea de fiabilidad humana 13

• Frecuencia de manipulación (pruebas, mantenimiento, etc.).

Acciones relacionadas: Verificaciones (comprobaciones visuales) y pruebas fun-

cionales, y sus frecuencias.

Errores humanos de tipo 3

PSF:

• Estructura del turno de operación.

• Distribución de tareas entre el personal de la sala de control.
• Entrenamiento y experiencia.
• Carga de trabajo y nivel de estrés.
• Calidad de la interfase hombre-máquina.
• Calidad de los procedimientos aplicables.
• Ergonomía de las herramientas de ayuda a la operación (alarmas, sistemas
de presentación de parámetros, sistemas de comunicaciones, etc.).
• Escenario (nivel de emergencia.
• Tiempo disponible (intervalo en el cual la acción debe hacerse correctamen-
te).
• Tiempo que se tarda en realizar la acción correctamente.

Acciones relacionadas: acciones previas, simultáneas o posteriores que pueden

tener influencia.

2.4. Paso 4: Representación

El analista de fiabilidad humana intenta clarificar las relaciones entre las tareas que
componen una determinada acción por medio de una representación gráfica. Con este
paso se trata de reflejar posibles caminos de fallo como ayuda en la evaluación del
impacto y para facilitar el proceso de cuantificación.
En el análisis de fiabilidad humana de los APS se contemplan dos formas de repre-
sentación:

El Árbol de acciones del operador (Operator Action Tree, OAT) para distinguir la
parte cognitiva de la parte manual de la acción (ver la figura 4).
Tema SN-29: La tarea de fiabilidad humana 14

La técnica para la predicción de la tasa de error humano (Technique for Human

Error Rate Prediction, THERP) [4] proporciona el árbol de fallos de fiabilidad hu-
mana (HRA event tree),1 que es una forma de árbol de fallos en el que cada rama
representa un proceso de decisión binario (por ejemplo, comportamiento correc-
to o incorrecto). Este árbol de fallos de fiabilidad humana se aplica al análisis de
la parte manual de las acciones (ver figura 5).

2.5. Paso 5: Evaluación del impacto

Una vez obtenida la información detallada de cada acción significativa, ésta se revisa
para determinar si es necesario hacer cambios en los modelos probabilistas desarro-
llados (iniciadores, árboles de fallos y se sucesos, secuencias, dependencias, etc.)
antes de la cuantificación final.
Por ejemplo, puede ser necesario reestructurar las estructuras lógicas del APS por las
siguientes causas:

Identificación de errores de causa común por un patrón mal calibrado usado en

la calibración de varios canales de instrumentación.
Acciones que requieren la misma instrumentación.
Inhibición de la actuación automática de un sistema.

2.6. Paso 6: Cuantificación

El objetivo del paso 6 de SHARP es el cálculo final de la probabilidad de error de las
acciones humanas importantes.
En los APS españoles se han usado las tres técnicas siguientes de cuantificación:

Cuantificación de la parte cognitiva:

• Human Cognitive Reliability Model, HCR [5]
• Time Reliability Correlation, TRC [6]
Cuantificación de la parte manual:
• Technique for Human Error Rate Prediction, THERP.

Las técnicas anteriores se combinan para estimar la probabilidad de error humano.

HCR y TRC proporcionan correlaciones dependientes del tiempo para calcular la pro-
babilidad de fallo asociada al proceso cognitivo, y THERP proporciona los datos del
comportamiento humano que pueden usarse para estimar la probabilidad de error de
tareas típicas (parte manual).
1
Ver el paso 6 de la sección 2.6 para una definición detallada
Tema SN-29: La tarea de fiabilidad humana 15

El modelo HCR

incluye un tratamiento de los procesos cognitivos humanos que contri-

buyen a que las acciones del equipo de operación no tengan éxito en
situaciones accidentales. Puede ocurrir el fallo de acciones humanas
por tres causas. En primer lugar, puede ocurrir que el equipo de opera-
ción de la planta no sea lo suficientemente rápido en la respuesta. Esto
tiene un tratamiento explícito en el modelo HCR como probabilidad de
no respuesta. En segundo lugar, puede ocurrir que el equipo de opera-
ción seleccione una estrategia inviable. En tercer lugar, es posible que
el equipo de operación tome acciones basadas en una mala compren-
sión de la situación accidental. El modelo HCR incorpora la idea de que
los factores que contribuyen a la cuantificación de la probabilidad de no
respuesta son separables. El modelo HCR proporciona la falta de res-
puesta en el tiempo en términos de parámetros clave ingenieriles y de
operación. Estos incluyen tres tipos de comportamiento cognitivo (des-
treza, reglas y conocimiento), el tiempo medio de respuesta y factores
de forma tales como estrés, experiencia y calidad de la información
obtenida a través de las interfaces hombre-máquina [5].

En TCR

los errores se modelan por medio de una familia de correlaciones de-

pendientes del tiempo distribuidas por una función lognormal, deriva-
das del trabajo mencionado previamente. Hay dos pares de curvas en
la familia. Uno de los pares se aplica a los errores en acciones basadas
en reglas, es decir, mal diagnóstico, planificación inadecuada o fallo en
la decisión. Una curva de este par se usa cuando la duda no es un
factor importante; la otra curva se usa cuando la duda es dominante.
El segundo par de curvas se aplica cuando debe usarse un diagnós-
tico general para tomar una decisión sobre el curso de una acción en
ausencia de reglas. Este será el caso muy frecuentemente en en caso
de acciones de recuperación. de nuevo se usan las dos curvas para
reconocer la duda o su importancia.
El sistema de cuantificación usado hasta ahora depende de tres fac-
tores: tiempo disponible, posibilidad de duda y tipo de error. Hay otros
factores, como la adecuación de la instrumentación de la sala de con-
trol, la aplicabilidad de los procedimientos, la comunicación entre el
personal, que pueden influir en la estimación de la probabilidad de
un error humano. Una forma de factorizar estas influencias es usar la
metodología del índice de probabilidad de éxito Success Likelihood In-
dex Methodology como un sistema de interpolación. Cada curva puede
ajustarse mediante índices de probabilidad de éxito o puede obtenerse
una estimación usando un índice de ese tipo para interpolar entre dos
curvas de la familia [6])
Tema SN-29: La tarea de fiabilidad humana 16

Además, en el caso de las acciones de tipo 1 en los APS de CC NN españolas se ha

aplicado el método descrito en [7] para tener en cuenta las frecuencias relativas de las
manipulaciones un comprobaciones en errores humanos latentes.

3. Ejemplo
Como ilustración de la metodología, se analizará una acción de tipo 3.

3.1. Definición de la acción

La acción tiene el identificador 1F0FDYBLH y corresponde al error humano a iniciar

la acción de Feed and Bleed tras la pérdida del sumidero de calor. Esta acción es un
cabecero del árbol de sucesos T2, Disparo de reactor y turbina.

3.2. Análisis cuantitativo

En el caso de pérdida de la capacidad de extracción de calor del RCS por el secundario

del generador de vapor, el equipo de operación debe arrancar el sistema de inyección
de seguridad y abrir dos válvulas del presionador para reducir la presión y evacuar el
calor del RCS a la contención a través del presionador.
La acción es de tipo 3, siguiendo el POE FR-H-1 (pasos 8 a 13). Las acciones críticas
que se requieren son,

Paso 9 Criterio para la pérdida del sumidero principal de calor

Paso 10 Actuación de la inyección de seguridad
Paso 11 Verificación del camino de aporte al RCS
Paso 12 Apertura de dos PORV
Paso 13 Verificación de la apertura de las PORV

3.3. Criterio de éxito

Los síntomas que llevan a la realización de la acción pueden ser detectados por el
turno de operación 5 minutos después de la ocurrencia del suceso iniciador. Los ope-
radores deben completar la acción antes de lo 36 minutos desde la ocurrencia del
iniciador (los tiempos se han determinado a partir de cálculos termohidráulicos). Dado
que el tiempo que se necesita para realizar la acción es de tres minutos, el tiempo
disponible es de 28 minutos.
Tema SN-29: La tarea de fiabilidad humana 17

3.4. Factores de forma

Los factores que influyen en el comportamiento humano que se han considerado en

este APS, y se tienen en cuenta para la cuantificación de la parte cognitiva de esta
acción, son,

Procedimientos

Entrenamiento/Experiencia

Interfase hombre-máquina

Interrelación y tamaño del turno de operación

Comunicaciones

Carga de trabajo

Estrés

3.5. Cribado

El proceso de cribado calcula la probabilidad de error humano (HEP) a partir de los

valores dados en la tabla 2, teniendo en cuenta las condiciones de la acción, en par-
ticular,

Ventana temporal Corta (< 1 h)

Tipo de comportamiento cognitivo Reglas

Tipo de comportamiento manual Destreza

de donde

Probabilidad de error humano cognitivo (fallo en la detección y en el diagnóstico):

3 · 10−2

PEH manual (fallo en la realización de la actuación manual): 3 · 10−3

P(1F0FDYBLH) = 3,3 · 10−2

La acción se selecciona para análisis detallado.

Tema SN-29: La tarea de fiabilidad humana 18

3.6. Representación y cuantificación

Las acciones humanas de tipo 3 se separa en parte cognitiva y manual. La parte

cognitiva proporciona la probabilidad de error humano de no hacer la acción o no
hacerla en el tiempo disponible. La parte manual representa la probabilidad de error
humano en la manipulación.
La probabilidad total de error humano está representada en el árbol de la figura 4, de
manera que la probabilidad total de error está dada por P = Pc + (1 − Pc )Pm .

1−Pm
Exito
1−Pc
Pm Fallo
Manual

Pc Fallo
Cognitivo
Figura 4: Descomposición de la acción humana en parte cognitiva y parte manual

La probabilidad de error para la parte cognitiva está basada en SAIC-TRC [6], donde
se ha considerado duda, ya que la acción está condicionada a la efectividad de las
acciones de recuperación del sumidero de calor del secundario.
Para la parte manual, las manipulaciones están representadas por el árbol de la figura
5, donde el camino de la izquierda (verde) es el camino de éxito y el de la derecha
(rojo) es el de fallo.
La parte manual de esta acción se descompone en las siguientes sub-tareas:

A/ Error de comisión en la lectura del registrador de nivel (6E-3)

B/ Error de comisión en la localización de los botones pulsadores (1E-3)

C/ Error de comisión en la localización del indicador de caudal (1E-3)

D/ Error de comisión en la lectura del indicador (2E-3)

E/ Error de comisión en la selección de los controles de la válvula(1E-3)

F/ Error de comisión en la verificación de las luces de indicación de la apertura de las

válvulas (1E-3).
Tema SN-29: La tarea de fiabilidad humana 19

REPRESENTACION
A
6E−3

F1
B

1E−3

C
1E−3

F2
D

E 2E−3
1E−3
F3
F
1E−3

EXITO
F4
Figura 5: Representación de la manual parte de la acción 1F0FDYBLH

Se considera la recuperación de la acción por el jefe de turno con unos niveles de

dependencia de 0,05 y 0,15. Se considera un nivel de estrés de 2. El factor de error en
la distribución lognormal es 10. Estos valores se han obtenido de [4].
La cuantificación final se calcula del árbol como sigue.

F1 = 6E-3×0.05×2
F2 = 1E-3×1E-3×0.15×2
F3 = 1E-3×2E-3×0.15×2
F4 = 1E-3×1E-3×0.15×2
Pm = F1 + F2 + F3 + F4 = 6,02 · 10−4

El valor final dado por PEH(1F0FDYBLH) = Pc + (1 − Pc )Pm = 8,05 · 10−3 , EF = 10

Tema SN-29: La tarea de fiabilidad humana 20

3.7. Documentación

Toda la información necesaria para que el análisis se pueda seguir debe incluirse en
el informe final, conteniendo los métodos y resultados y con la descripción clara de las
hipótesis del análisis.

4. Análisis de dependencias
El objetivo del análisis de dependencias es la identificación de las dependencias entre
las acciones humanas. Estas dependencias pueden ser debidas a distintos mecanis-
mos (personal, procedimientos, herramientas o equipo usado, instrumentación, tiempo
compartido, etc.). La identificación de dependencias puede hacerse a priori, antes de
la cuantificación o a posteriori, después, analizando los conjuntos mínimos de fallo de
las secuencias. La cuantificación de las dependencias puede ser específica, si hay
suficiente información, o directamente por medio de las tablas de THERP. A menudo
se usa una combinación de ambos métodos.

5. Consideraciones adicionales sobre los análisis de

fiabilidad humana en los APS

5.1. Esfuerzo necesario para la realización de un análisis de fiabi-

lidad humana

El análisis de fiabilidad humana es una tarea compleja con muchas interacciones en

un APS. El esfuerzo total en la identificación y cuantificación del error humano puede
estimarse en unas 5000 horas-hombre, mientras que la evaluación y revisión del aná-
lisis por el organismo regulador puede estimarse entre un 20 % y un 25 % del esfuerzo
de análisis, es decir unas 1200 horas-hombre.

5.2. Beneficios derivados de los análisis de fiabilidad humana

En la realización de los análisis de fiabilidad humana se hace una búsqueda siste-

mática de las posibles acciones del personal de la planta que tienen impacto en la
seguridad. Las acciones humanas anormales y los errores de los operadores se cla-
sifican y definen con precisión. De este modo pueden investigarse en profundidad las
interdependencias de las acciones humanas entre sí y con los sistemas de la planta.,
proporcionándose una evaluación sistemática de las actividades humanas importan-
tes para la operación y la seguridad de la planta. En la sección 2.1 se presentan las
posibles fuentes de error humano.
Tema SN-29: La tarea de fiabilidad humana 21

Existen factores que afectan de forma significativa al comportamiento humano y que

deben ser considerados desde la dirección de la planta. Deben considerase desde
la estructura y distribución de los turnos de operación y el reparto de tareas dentro
de ellos hasta la ergonomía del lugar de trabajo. La mejora de la operación puede
conseguirse mediante medidas dirigidas, por ejemplo, a proporcionar el entrenamien-
to y la experiencia adecuados para controlar el nivel de estrés o a mejorar el diseño
para facilitar la operación en condiciones accidentales. La calidad de las interfases
hombre-máquina y de los procedimientos tienen también un impacto significativo en el
comportamiento humano, lo que incluye asimismo la buena ergonomía de las herra-
mientas de ayuda a la operación (alarmas, sistemas de presentación de parámetros
de seguridad. sistemas de comunicaciones, etc.).

5.3. Medidas correctoras para reducir el impacto de los errores

humanos

En función de qué tipos de error humano resulten significativos en la cuantificación

final del APS, pueden tomarse distintas acciones correctivas para reducir su impacto
y mejorar la operación segura de la planta.
En el caso de errores que ocurren antes del accidente o que inducen el suceso ini-
ciador (tipos 1 y 2), su impacto puede reducirse mejorando el control administrativo
sobre la operación de la planta, y proporcionando o mejorando los procedimientos de
las actividades de mantenimiento y calibración. La evaluación del tamaño y estruc-
tura del equipo de mantenimiento permite eliminar posibles errores en modo común
si el mismo equipo realiza actividades en sistemas redundantes. Un equipo de man-
tenimiento con el tamaño adecuado permite reducir la carga de trabajo y mejora las
oportunidades de que se detecten y corrijan los errores. La garantía de calidad en
la realización de las tareas se asegura con un adecuado entrenamiento y con el uso
de herramientas adecuadas. Finalmente, la frecuencia de las verificaciones y de las
pruebas funcionales debe mantenerse en rangos adecuados.
Puede reducirse el impacto de los errores post-iniciador mejorando los procedimien-
tos de operación en emergencia, a través del proceso de validación y verificación,
y también analizando la estructura del turno de operación buscando reducir las de-
pendencias entre las tareas que debe hacer el operador o entre las tareas de varios
operadores. Igual que en el caso anterior, la mejora del entrenamiento puede reducir
el tiempo necesario para la realización de acciones procedimentadas; si se estima que
el tiempo disponible para una acción o grupo de acciones es demasiado corto, pue-
den hacerse modificaciones de diseño en los equipos (mejorando el automatismo de
la planta o mejoras en las interfases.
Para conseguir un beneficio neto en la seguridad de la planta, es necesario que el aná-
lisis de fiabilidad humana refleje el estado real de la planta y se base en la participación
activa del personal (incluyendo el turno de operación y el personal de mantenimiento
y auxiliar) en la respuesta a los cuestionarios y proporcionen la información necesaria
Tema SN-29: La tarea de fiabilidad humana 22

para el análisis, lo que incluye generalmente el trabajo conjunto con los analistas de
fiabilidad humana. En la medida de lo posible, el análisis debe hacerse sobre datos
específicos de planta en cuanto al diseño y a los registros de experiencia operativa.
La generación de una documentación clara y detallada ayuda al proceso de garantía
de calidad del análisis.
Sin embargo, también hay factores que limitan la profundidad del análisis de fiabilidad
humana en el APS. Si bien es cierto que el uso de procedimientos para la gran mayoría
de las actividades de una central nuclear permite definir el análisis, no puede eliminar-
se la posibilidad de que aparezcan errores cometidos fuera de esos procedimientos.
Estos errores, llamados errores de comisión son difíciles de prever y de cuantificar. En
la actualidad no se cuantifica el efecto de las acciones de los niveles de gestión y de
la organización en la seguridad de la planta.
En muchos casos no pueden encontrarse datos específicos para el cálculo de las pro-
babilidades de error humano, debiendo recurrirse a datos genéricos, lo cual, aunque
admitido, puede introducir incertidumbres adicionales en las conclusiones. Es también
importante el papel de la simulación detallada de secuencias accidentales, dado que
la probabilidad de error depende del tiempo disponible calculado para cada acción.

6. Relación con otros temas

Este tema guarda relación con los temas del primer ejercicio:

C-2. Riesgo nuclear. Métodos de evaluación y análisis. Seguridad intrínseca y segu-

ridad mediante sistemas en instalaciones nucleares y radiactivas. Redundancia.
Diversidad. Separación.

C-14. Evaluación probabilística de riesgos. Criterios básicos. Aplicación a las centra-

les nucleares.

Del tercer ejercicio:

1. La Seguridad Nuclear. Fundamentos. Métodos de análisis. Aplicación a centrales

nucleares e instalaciones del ciclo de combustible.

26. Conceptos de fiabilidad y disponibilidad. Función de tasa de fallos. Fallos en espe-

ra y en demanda. Distribuciones típicas de la función de densidad de probabilidad
de fallos.

27. Delineación de secuencias en un Análisis Probabilista de Seguridad: árboles de

sucesos y árboles fenomenológicos. Criterios de éxito y estados de daño: árboles
de fallos
Tema SN-29: La tarea de fiabilidad humana 23

28. La tarea de análisis de datos en un análisis probabilista de seguridad. Fallos in-

dependientes y por causa común. Datos relativos a equipos y a comportamiento
humano.

30. Frecuencia de daño al núcleo y de modos de fallo de la contención. Frecuencia de

excedencia del daño radiológico.

31. Aplicaciones de los análisis probabilísticos de seguridad. Especificaciones Técni-

cas de Funcionamiento. Regulación informada por el riesgo.

32. Factores humanos y organizativos. Su influencia en la seguridad. Metodologías

de análisis preventivo y reactivo. Gestión de la seguridad.

Referencias

[1] G.W. Hannaman, A.J. Spurgin, et al., Systematic Human Action Reliability Proce-
dure (SHARP). EPRI NP-3583, 1984.

[2] Human Reliability Analysis in Probabilistic Safety Analysis. Assessment for Nu-
clear Power Plants. IAEA Safety Series, No. 50-P-10.

[3] J. Rasmussen, Skills, Rules and Knowledge; Signals, Signs and Symbols, and
Other Distinctions in Human Performance Models, IEEE Transactions on Systems,
Man, and Cybernetics, Vol. SMC-13, No. 3, 1983, pp.257–266.

[4] A.D. Swain and H. E. Guttmann, Handbook of Human Reliability Analysis with
Emphasis on Nuclear Power Applications, NUREG/CR-1278, Sandia National La-
boratories, 1983 (THERP).

[5] G.W. Hannaman, A.J. Spurgin, et al. Human Cognitive Reliability Model for PRA
Analysis, NUS-4531, EPRI, 1984.

[6] E. M. Dougherty, Jr, Human Reliability Analysis, SAIC/NY-86-1-OR, 1986.

[7] J. Muñoz and M.G.K. Evans, Evaluation of the contribution of unrevealed human
errors to core damage following a transient.