所有人都是核安全的“有机”构成

编译：杜铭海

2014-12-05

《国际核工程》杂志7月18、21日在网上发表了世界核运营者协会（WANO）伦敦中心总经理、执行理事肯恩埃利斯（Ken Ellis）的文章：‘人是核电的“有机”构成’。最近，又发表了加拿大核安全专家、《反应堆事故》一书作者大卫莫西（David Mosey）的文章：‘察看运行人员之外’[1]。后者更强调核电运行这个复杂系统的“外部”影响，认为“人因失误”的终极“边界”限于安全专业人员，技术界仍然持怀疑的态度。实际上，应承担责任的不只是这些“一线”人员。两篇文章都强调“人”的作用，但侧重点不同，相互补充，有说服力。

传统的可靠性文章认定事故的三组起因是机械故障、操纵人员失误和自然灾害。但过去的50年日益明显的是，在绝大多数情况下，机械故障（设备故障）本身是人因失误如设计失察、维修不当、安装不当等的结果。

肯恩埃利斯在6月出版的《国际核工程》上发表了一篇优雅的文章[2]，认为把“人看作核电的“有机”构成”，对正确了解人为差错的性质至关重要，而人为失误施加了怎样的风险是可以管理的。我们需要理解，他所强调的是在复杂系统如核电厂运行人员为何只能那么做并断言，“真正降低风险需要弄清人为表现问题的真相”。这是绝对无可争议的。然而可以说，我们对人为表现性质和意义的调查不应限于那些“复杂系统内的操作”，因为这种系统自身运行在人类构成的环境中，人们的决策会有明显的影响。

协和号的借鉴意义

埃利斯引用的例证是2012年协和号游轮海上事故，导致32人死亡。“协和”号是个装备齐全的现代化（2004年下水）船舶，配备了各种最新的航运现代化生活设设施并携带全套最新的图表。在风平浪静的条件下，这样的船舶怎么会与绘制的暗礁碰撞，速度足以在水线下26英尺处撕裂160英尺长的裂缝？“怎么会”原来非常简单：大约20：10，船长使航船脱离设计的航线，实施“越过”古廖岛航线。天黑后，他靠视力导航，而且断开了船上计算机导航系统的报警器。35分钟后船舶已距海岸不到半英里。想必很有经验和合格的船长为何把他的船置于这种境地？船桥上其他官员为何允许发生这种事？任何人都需要看看船这个“复杂系统”的外部，并检查更广泛的“外部”环境。

首先值得注意的是，任何船长，无论负责12吨的游艇还是11.4万吨的游轮，都应知道近海航行“天然”危险。特别是大型船舶尤其如此。因为在浅水区，“机动性”受到严重削弱。“协和”号船长的行动显得很费解。无论如何，船显然偏离了航道，而靠近海岸不是个独特事件。该公司没有早采取行动终结这种危险的做法，暗示他们既没有察觉这很危险，也忽略了这种危害。无论哪种情况，协和号这个“复杂系统”之外的管理部门有重要影响。这绝没有贬低一艘游轮船长的终极权力和应承担的责任。但船长只对船主负责，而如果船主知道这些海上操作的危险又没有采取行动加以终止，那么这种操作就为他们所默许。“复杂系统”内的某种决策和行动是受系统之外某种决策和行动“制约”的。

核复杂系统之外

为了进行讨论，或许我们应当认为，肯恩埃利斯视为与核电厂操作有关的“复杂系统”，包括支持日常运营需要的所有技术服务。外部系统就是业主-经营者的管理机构，以及支持许多核设施的设计、安全分析和其他服务。

核领域有许多例子，外部失误或疏漏是促成事故和事件的重大因素。1957年温茨凯尔（Windscale）火灾是最早的实例。事故的初始事件是反应堆物理学家决定再次核加热，以触发石墨慢化剂内积累的“维格纳能量”释放。乍一看，可以视为误读堆内仪表读数加重了操纵员失误的清晰实例。但是事故报告明确指出，运行人员的“失误”可归诸几乎完全没有操作文件，以及其他的“缺陷和组织不足”。在一个微妙的反应堆操控中，仅有的、指导堆物理学家的操作文件是一页不到100个字的“备忘录”。在这种情况下，温茨凯尔1＃堆这个复杂系统的内部，实质上已被系统之外的那些疏漏置于“死地”了。

在三里岛事故情形下有目共睹的是，事故证实美国核工业的运行安全管理，包括监管领域存在重大盲点，最臭名昭著的是对戴维斯贝斯（Davis Besse）核电厂前兆事件[3]的响应。实际上，戴维斯贝斯事件之后，B&W（巴布科克与威尔考克斯）公司的两个技术人员已确认了稳压器水位指示的严重误导性质。1978年2月，在他们给B&W公司技术管理部门的清晰的备忘录中记载了他们的担忧，但答复行动迟缓而且不痛不痒；这种真实的担忧实际上没有通过组织机构加以沟通。这些在三里岛2号机组特定“复杂系统”之外的系统，再一次为1979年事故创造了条件。

切尔诺贝利功率瞬态是更明显、外部作用怎样可能为灾难铺平道路的例证。对事故的立即响应则干脆把原因归咎于操纵员。最终真相大白，但离真相仍然很远。1991年国家工业与核电安全监督委员会释放的根本原因报告揭示，虽然操纵员的确真把反应堆置于危险的不稳定状态（实际处于几乎保证会发生事故的状态），但说他们这么做违犯了许多至关重要的运行政策和原则是不真实的：并没有这样的、明确表述的政策和原则。此外，运营组织机构没有意识到保持最小运行反应性裕度（ORM）有极重要的安全意义，也不知RBMK（石墨水冷压力管式反应堆）的总反应性特性致使低功率运行极其危险。

很显然，并非所有的安全挑战来自“复杂系统”内部，许多最严重的安全挑战是外部管理机构启始、“后天”发育成的，最终支配着复杂系统的运作。

汲取事故的经验教训

特雷弗克洛茨（Trevor Kletz）在其所著《从工业事故汲取经验教训》一书中，把“管理者无知”确定为事故中的复发性元素，指出“未能从以往…汲取经验教训的组织没有记忆。唯一有记忆的人已离开”[4]。不能汲取经验教训（或未能正确地记录这些经验教训，确保它们是集体意识被保留下来）是重大因素。

但确实有例外，肯恩埃利斯确定了某些重要的例外，包括来自管理部门的“非官方”消息和容忍异常情况（或“暗中容忍标准缓慢下降”）。一个重要的问题是，这种问题怎么可能走到“复杂系统”本身的正规化机构之外。这儿所讨论的是时间、地点和公司层面上远离人机界面管理链条的人因失效，而且正是那些从更广阔的安全文化概念中辨别出来人因失效。坚强、健全的安全文化将提供一种环境，能使这种失效的概率显著减小。但因任何组织的文化对高级管理人员的影响固有的敏感性，失效的概率并不能完全清除。以下的建议能帮助降低管理链条人因失效的概率和敏感性。

决议“记录”

就像在控制室内一样，管理链条出现错误，必须知道谁做了什么、何时做的，以及为什么这么做。管理部门必须正确地“成文”这些决策，包括这种决策论据的概要。此时目标并非拿做出“不适当”决策的某个人“示众”，而是看看怎样才能改进决策，减少不良决策的可能性。

信息流的完整性

核工业和任何工程或以技术为基础的企业一样，各种决策必须基于健全的技术信息。这种来自技术专家的信息流管理链条、以及它的意图和重要性，或许通过选择性引用或疏漏，特定的技术资格遭受扭曲。这可借助政策部分地防范——需要用技术文件或其概要记录所做、由谁做的技术或编辑上的“修改”。这有助于确保结论和建议没有断章取义。当然，不可能保证不会传递扭曲的信息，但要有可能追溯发现扭曲的“途径”。

辨别实际问题和纠正行动

常见的管理失效是“问题蒸发综合征”。提出问题，于是通过组织系统分流，直到某些隐喻性的支持完结，未解决的绝大部分被遗忘。出现任何安全问题都要正确跟踪，通过组织系统处理的每个阶段，均应有涉及的人员何时、为何提供书面的证明。这种信息应当反馈给发件人，以便确认情形没有被误解。

多重性、分隔和多样性的沟通

安全问题“没有处理”，有各种理由。也许把问题看得微不足道，因为超出了组织机构的“理念体系”；因为提出问题的人缺乏信誉；因为管理部门的恐吓阻碍提出问题，或者只是因为其他工作忙昏了头，忘记了这件事。无论什么理由，一个组织必须保证有个“后备”途径，可用来处理电厂人员提出的安全问题。即使不满现状的人和有怪癖的人，有时也可能是正确的，要有时间和资源鼓励自由的安全讨论，不能说成“浪费”。安全会议，如果严谨、正规地进行并经全面和广泛散发的备忘录加以报道，也可能有些作用。但是，“多样性”和“隔离”原则提示，还需要有“监察官”的职能。多样性和多重性的安全系统规定是核安全基本原则，对核安全管理部门施加类似的哲学当然是合理的。

管理者的压力

任何管理者为什么可能做出不适当的决策，有各种各样的原因。各种形式的压力以及病患（包括酒精或药物滥用）无疑是重要的贡献因素。显然不能消除工作环境的压力，但一个组织可以确保正确监测雇员的健康。工作环境应当使人无论什么原因感到不适，都自由地“自主”报告，不惧怕惩罚性反响。此外，高层管理人员（董事会和首席执行官）的外部压力可能是另一重要因素。这些高管人员是组织机构和提出的要求会挑战安全性能的人（例如政客或投资者）之间的首要的屏障。

监管部门的作用

监管当局必须准备好而且实力雄厚，以便迅速调查任何组织机构的战略或结构改变的影响，或许影响到核电厂的管理。监管部门的监督还应包括监视纠正行动规划的作用，替代性沟通渠道规定的范围以及这些渠道的功能。监管部门调查业主事件，需要保持主动和“闯入者”的角色。不只是核电厂自身的事件，也包括电厂边界之外安全管理过程中的失误。现场调查队应设施精良，以便在很短时间内解剖这种事件并决定体制内的根本原因。

结论

三里岛事故以来，全世界核工业在改善“复杂系统”内核设施上的人为表现方面有长足进步。确实，今天几乎世界各地任何核电厂的参观者都不能不被那里所有工作人员的奉献和职业精神所感动。

有世界核运营者协会（WANO）这种组织的援助和鼓励，在确立、监控和保持极高运行能力标准方面开发了许多一流的方法，以确保汲取的经验教训得到广泛的传播。正如肯恩埃利斯所说，人是核电的“有机”构成。我们应当确保，所有的人都是核安全的“有机”构成。

依据资料与注释：

1. David Mosey，Looking beyond the operator，NEI，26 November 2014

2. 详见 Ken Ellis, Putting people in the mix: part I, NEI, 18 July 2014；part 2, NEI, 21 July 2014

3. 详见Rod Adams，Correcting History Can Be an Uphill Battle，ANS Nuclear Café，August 5, 2014

4. Trevor Kletz, 化学家, 英国拉夫堡大学教授, 皇家工程院院士，著作颇丰。引文见所著《Learning from Accidents in Industry》Butterworth-Heinemann Ltd (March 1988