Conventional PSA (probabilistic safety analysis) is performed in the framework of event tree analysis and fault tree analysis. In conventional PSA, I&C systems and human operators are assumed to be independent for simplicity. But, the dependency of human operators on I&C systems and the dependency of I&C systems on human operators are gradually recognized to be significant. I believe that it is time to consider the interdependency between I&C systems and human operators in the framework of PSA. But, unfortunately it seems that we do not have appropriate methods for incorporating the interdependency between I&C systems and human operators in the framework of PSA. Conventional human reliability analysis (HRA) methods are not developed to consider the interdependecy, and the modeling of the interdependency using conventional event tree analysis and fault tree analysis seem to be, event though is does not seem to be impossible, quite complex. To incorporate the interdependency between I&C systems and human operators, we need a new method for HRA and a new method for modeling the I&C systems, man-machine interface (MMI), and human operators for quantitative safety assessment. As a new method for modeling the I&C systems, MMI and human operators, I develop a new system reliability analysis method, reliability graph with general gates (RGGG), which can substitute conventional fault tree analysis. RGGG is an intuitive and easy-to-use method for system reliability analysis, while as powerful as conventional fault tree analysis. To demonstrate the usefulness of the RGGG method, it is applied to the reliability analysis of Digital Plant Protection System (DPPS), which is the actual plant protection system of Ulchin 5&6 nuclear power plants located in Republic of Korea. The latest version of the fault tree for DPPS, which is developed by the Integrated Safety Assessment team in Korea Atomic Energy Research Institute (KAERI), consists of 64 pages of fault trees which should be redrawn from the logical relation between the components in the DPPS. On the other hand, the RGGG model for DPPS can be drawn in only I page, and the structure of the model is almost similar to the actual structure of DPPS. In addition, the RGGG model visually shows the state of information processed by each component. In this sense, I believe that the RGGG method is more intuitive and easy to use. Quantitative analysis of the fault tree model and the RGGG model shows that the two models produce equivalent results. Currently, an identified disadvantage is the calculation time, since a lot of approximation algorithms are already developed for the fault tree analysis, but not for the RGGG method. As a new method for HRA, I develop a quantitative situation assessment model for human operators, since human performance is mainly affected by the situation assessment. In contrast to the conventional HRA methods which are mostly developed by expert opinions, the proposed situation assessment model for human operators is developed on the basis of mathematical theories, Bayesian inference and the information theory, with the following two assumptions. 1. Human operators can do Bayesian inference, even though the results cannot be as accurate as mathematical calculations. 2. In knowledge-driven monitoring, the probability that human operators select an indicator as the next indicator to monitor is proportional to the expected information from the indicator. (The expected information from each indicator can be calculated using the information theory.) With an experiment, it is shown that the two assumptions are reasonable. The proposed mathematical model for the situation assessment of human operators is expected to be used as the basis for the development of the quantitative model for the situation assessment of actual human operators. By combining the RGGG method and the mathematical model for the situation assessment of human operators, I propose a new method for the quantitative safety assessment of the integrated system which consists of I&C systems, MMI and human operators. The proposed method is developed in the framework of Bayesian networks, and describes the information flow from a nuclear power plant to I&C systems and human operators, and the flow of control signals back to the nuclear power plant. The proposed method is applied to an example situation, a loss of coolant accident (LOCA) with common cause failure (CCF) of pressurizer pressure sensors in a Westinghouse 900MWe 3-loop pressurized water reactor (PWR) type plant. Application of the proposed method to the example situation reveals that the quantitative analysis using the proposed method explains the qualitative description of a probable scenario well. It is also shown that the proposed method produces quantitative safety assessment results after examining all possible scenarios and their probabilities. It is also shown that the proposed method can be used to quantitatively evaluate the effects of various context factors and operator support systems on the safety of nuclear power plants, by making quantitative assumptions. As a result, it is expected that the proposed method can be used to improve the quality of probabilistic safety assessment (PSA), quantitative evaluate the effects of instrument faults on the situation assessment of human operators, identify the possibilities of unsafe actions (so-called errors-of-commission) in various situations, and quantitatively evaluate the contribution of various context factors and operator support systems to the increase in the safety of NPPs.

기존의 확률론적안전성평가(Probabilistic Safety Assessment, PSA)는 사건수목(event tree)와 고장수목(fault tree)를 기반으로, 계측제어계통과 운전원은 서로 독립적이라는 가정하에서 수행되고 있다. 하지만, 운전원의 계측제어계통에 대한 의존성(dependency)와 계측제어계통의 운전원에 대한 의존성은 점차 더 중요하게 인식되어지고 있다. 이에 따라, 저자는 확률론적안전성평가에서 지금까지 고려되고 있지 않던 계측제어계통과 운전원의 상호의존성(interdependency)를 고려해야 할 시기라고 판단한다. 하지만, 기존의 확률론적안전성평가를 통해 이러한 상호의존성을 표현할 수 있는 적절한 방법이 아직은 없는 것으로 보인다. 기존의 인간신뢰도분석(Human Reliability Analysis, HRA)은 이러한 상호의존성을 고려할 수 있도록 개발된 것이 아니며, 기존의 사건수목과 고장수목을 이용하여 상호의존성을 모형화(modeling)한다는 것도, 비록 불가능하지는 않다고 하더라도, 매우 복잡할 것으로 판단된다. 계측제어계통과 운전원 사이의 상호의존성을 고려하기 위하여, 우리는 새로운 인간신뢰도분석방법과 계측제어계통, 인간기계연계(man-machine interface, MMI), 그리고 운전원에 대한 정량적 안전성 평가를 위한 모형화를 할 수 있는 방법이 필요하다. 계측제어계통, 인간기계연계(man-machine interface, MMI), 그리고 운전원에 대한 정량적 안전성 평가를 위하여, 저자는 기존의 고장수목법을 대체할 수 있는 새로운 시스템신뢰도분석 방법인 Reliability Graph with General Gates (RGGG)방법을 제안하였다. RGGG 방법은 시스템신뢰도분석을 직관적이고 싶게 할 수 있도록 해 주는 반면에, 그 표현력은 고장수목법과 동등하며, 때로는 더 우월하다고도 할 수 있다. RGGG 방법의 유용성을 보이기 위하여, RGGG 방법을 한국표준형원전인 울진 5, 6호기의 발전소보호계통인 디지털발전소보호계통(Digital Plant Protection System, DPPS)에 적용하였다. 디지털발전소보호계통에 대한 가장 최근의 고장수목은 한국원자력연구소의 종합안전성평가부에 의해 만들어졌는데, 예를 들어 가압기 저압력에 의한 원자로정지(reactor trip)에 대한 분석을 위해서 64페이지의 고장수목을, 디지털발전소보호계통의 각각의 부품들 사이의 논리적 관계를 고려하여 그려졌다. 그에 반해, 디지털발전소보호계통에 대한 RGGG 모형은 단 1 페이지에 그려져있으며, RGGG 모형은 디지털발전소보호계통의 실제 구조와 거의 동일한 구조를 가지고 있다. 이에 더하여, RGGG 모형은 각각의 부품들에 의해 처리(processing)된 정보(information)의 상태를 시각적으로 표현해줄 수 있다. 이를 통하여, 저자는 RGGG 방법이 고장수목법에 비해 보다 직관적이고 사용하기 편리하다고 주장한다. 물론, RGGG 모형과 고장수목법 모형에 대한 정량적인 분석을 통해서 두 모형은 동일한 결과를 낸다는 것을 보일 수 있었다. 현재로써 RGGG 방법에서 발견된 문제점은 계산시간인데, 이는 고장수목법의 경우 여러 가지 근사알고리즘(approximation algorithm)이 개발되어 있는데 반해, RGGG 방법의 경우는 아직은 근사알고리즘이 없기 때문이다. 인간신뢰도분석을 위한 새로운 방법으로써, 저자는 운전원의 상황판단(situation assessment)에 대한 정량적인 모형을 개발하였는데, 이는 사고상황에서 운전원의 수행도(performance)가 상황판단에 주로 영향을 받기 때문이다. 기존의 인간신뢰도분석방법이 주로 전문가들의 의견을 통해 개발된 반면, 제안되는 정량적 상황판단모형은 베이시안 유추(Bayesian inference)와 정보이론(information theory)의 두 수학적 이론에 기반하여 개발되어 수학적 완결성을 갖추고 있다. 제안된 정량적 상황판단모형은 다음의 두 가정하에 개발되었다. 1. 운전원은 비록 수학적계산만큼 정확하지는 않다고 할 지라도, 베이시안 유추를 할 수 있다. 2. 지식기반의 관측(Knowledge-driven montioring)의 과정에서, 운전원이 특정한 지시계를 다음에 관측(montioring)할 지시계로 선택할 확률은 그 지시계를 통해 얻을수 있는 정보의 기댓값에 비례한다.(정보의 기댓값은 정보이론을 통하여 계산할 수 있다) 실험을 통하여. 위의 두 가정은 적절할 것으로 밝혀졌다, 제안된 운전원의 상황판단에 대한 수학적 모형은, 실제 운전원들에 대한 실험을 통한 수정 과정 등을 거져, 실제 운전원의 상황판단에 대한 정량적 모형을 개발하는데 있어서 기반이 될 수 있을 것으로 판단된다. RGGG 방법과 운전원의 상황판단에 대한 수학적 모형을 통하여, 저자는 계측제어계통, 인간기계연계, 그리고 운전원으로 구성된 통합시스템에 대한 정량적 안전성 평가 방법을 제안한다. 제안된 방법은 베이시안네트워크(Bayesian network)의 틀(framework)에서 개발되었으며, 원자력발전소에서 계측제어계통과 운전원으로의 정보의 흐름과 이들에서 다시 원자력발전소로 돌아가는 제어신호의 흐름을 정량적으로 표현하고 있다. 제안된 방법의 유용성을 보이기 위하여, 제안된 방법을 웨스팅하우스 900 MWe형의 가압경수로 발전소에서 냉각수상실사고(Loss of coolant accident, LOCA)와 함께 가압기 압력 계측기의 공통원인고장(common cause failure, CCF)이 발생한 상황에 대하여 시험적으로 적용하였다. 제안된 방법의 적용을 통해서, 제안된 방법에 대하여 시험적으로 적용하였다. 또한, 제안된 방법은 이러한 상황에서 일어날 수 있는 모든 시나리오들과 그들의 확률을 함께 고려하여 안전성에 대한 기대값을 계산할 수 있음을 보였으며, 각종 환경인자(context factor)들이나 운전지원시스템(operator support system)들이 안전성에 미치는 영향에 대한 정량적인 평가를, 정량적인 가정을 통해서 수행할 수 있음을 보였다. 결론적으로, 제안되는 방법은 기존의 확률론적안전성평가의 정확성을 높일 수 있으며, 제안되는 방법을 통해 계측기 고장이 운전원의 상황판단에 미치는 영향에 대한 정량적인 평가와 각종 환경인자 및 운전지원시스템들이 안전성에 미치는 영향에 대한 정량적인 평가를 수행할 수 있을 것으로 판단된다.