刘朋波,郑明光,2
(1上海核工程研究设计院,上海 200233; 2上海交通大学,上海 200240)
核电厂人因失误分析与人因失误动态作用模型
刘朋波1,郑明光1,2
(1上海核工程研究设计院,上海 200233;2上海交通大学,上海 200240)
分析了核电厂人因失误动态影响因素和人因失误特性,并结合人的生理、心理因素分析了核电厂人因失误的分布规律。最后以现在运行的核电厂为依据,提出了核电厂人因失误动态作用模型。该模型可以更好地总结人因失误经验,使得人因研究成果在核电厂得到更直接的应用,更有效地减少人因失误。
核电厂;人因失误特性;人因失误规律;动态作用模型
随着现代核电技术的发展,核电厂已经发展成为大规模复杂的社会技术系统,系统中自动化程度、软硬件的可靠程度越来越高[1]。但是根据现有核电厂的运行经验来看,20%~90%的系统失效与人因有关,其中直接或间接触发事件甚至引发事故的比率为70%~90%。即使是新一代非能动核电厂AP1000,尽管它的设计吸收了12000堆·年的运行经验,安全可靠度的各个指标都比现有核电厂高两个量级以上 (例如AP1000的堆芯熔化频率小于1× 10-6堆·年),人因失误对于AP1000的安全运行仍具有威胁 (人因失误占堆芯熔化频率的份额达到7.74%[2]),所以AP1000的非能动设计使得在核电厂发生事故时,操作人员可在72h内不干预事故过程。
因此,对于现有核电厂和新一代的AP1000来说,研究核电厂人因失误的特性是很有必要的。根据国内外核电厂的运行经验,找出人因失误的一些规律和根本原因,可以制定一些预防缓解措施,增强电厂系统的可靠性。
从国内外人因方面的研究成果来看,前人对于人因失误的研究集中于概念的人 (而不是具体的人),研究的都是人因失误的共性,而对于核电厂这样一个特殊系统中的具体的人群研究比较少,而且不全面。另外,核电厂的人因失误是在人与电厂系统的动态作用过程中发生的,而不是一个静止的状态。以往的研究大多集中于研究某一个误动作导致了一个不好的结果,即静态的原因和结果,对人因的作用过程不太关注。本文结合近几年人因方面的研究成果,对人因与电厂动态的作用机理进行了初步分析,并给出了人因失误对于电厂固有安全性、组织管理、规范和人机接口的动态改进模型,以便在核电厂形成一个人因失误的良性循环,使得核电厂的组织管理更合理,人机接口更友好,电厂的运行更加可靠。
人因失误是指人未能精确地、恰当地、充分地、可接受地完成所规定的绩效标准范围内的任务,它包括个体的、班组的和组织的失误[3]。人的每个行为的产生都经过S-O-R (刺激-机体-反应),即外界环境对人脑产生刺激,人脑通过感觉器官获取外界环境的信息 (感知),然后根据所获取的信息做出相应的判断 (决策),最后做出反应 (行为)。从这个过程来看,人的失误可分为三种:感知失误、决策失误、行为输出失误。感知是由行为人自身感觉器官 (神经系统)对于外界信息的搜集、获取。感知失误包括获取的外界信息错误和获取信息不全面,例如色盲或者色弱对于报警灯颜色的获取。决策则由人的知识范围、思维方法、经验、思维习惯决定,并受周围环境、个人精神状态影响。行为失误有行为疏忽和行为偏离。从认知角度来看,人因失误又可以分为有意识的和无意识的。有意识的失误是由于感知错误或者决策错误,做出错误的反应。无意识的失误则是由于疏忽或者人本身能力所限 (如操作熟练程度)导致的失误。由于人与系统的复杂性和人与系统作用的可变性 (动态性),人因失误不可能消除,只能想办法减少。
核电厂工作人员作为一个特殊的群体,他们的工作环境和工作性质独特,工作压力大。影响核电厂工作人员的因素很多,而且这些因素都是不断变化的。
(1)技术因素
技术因素直接反应在核电厂系统设计上。核电厂的自动化程度越高,需要的人员操作越少;人机接口设计越友好,操作规程越合理;所使用的仪表、设备可靠度、精确度越高,发生人因失误的概率越小。在AP1000核电厂中,发生事故后,电厂的保护系统会自动投入运行,操作员可在72h内不用干预,同时也给操作员足够的响应时间;数字化的信息显示(主控室使用大屏幕)主次分明,更加清楚,全面;人机接口更加符合人机工效学原则。这些都大大降低了人因失误的发生。
(2)环境因素
核电厂环境因素包括自然环境因素和人文环境因素。自然环境因素有温度、湿度、灯光(光线)、通风、噪音、厂房结构、设备布置、天气 (暴雨,寒冷,季节变化)、自然灾害(地震,飓风,海啸)等。例如,一个长期生活在北方的人来到东南沿海核电厂,会因空气湿度大感到很不适应。人文环境因素包括地方风俗、生活习惯、核电企业、班组文化、管理规章、人际关系等。
(3)生理因素
一个人只有在良好的生理状况下才能在工作中发挥正常的水平。但是在核电厂,一些工作环境恶劣,工作压力大,工作人员很难时刻保持良好的状态。工作时间长了会产生疲劳、头晕、失眠、精神恍惚等。恶性疾病很容易击溃一个人,但是对于核电厂安全威胁较大的是一些慢性或者较轻的疾病 (如感冒)。因为这些病症难以察觉或者工作人员认为影响不大而坚持上班,但是这样的疾病很容易影响到操作员的认知、判断,从而造成失误。另外,核电厂的操作员要按照一定的周期进行倒班,这样操作员长期形成的作息规律就会被破坏。操作员的生理会因这种规律的打破发生许多复杂的变化,于是操作员受其影响的失误也很难预知。
(4)心理因素
现代社会工作和生活压力巨大,心理健康已经影响到各个领域。对于核电这样一个安全极为重要行业来说,尤其要注意电厂工作人员的心理变化。切尔诺贝利事故是个惨痛的历史教训,根据后来的事故分析,事故的发生与当时实验的负责人心理不健康有一定的关系。从认知的角度来看,紧张、厌倦、自负、求快、恐惧和不良情绪 (发怒、悲伤、惆怅、高兴而忘乎所以等)会严重影响人的感知和判断。其中不良情绪最为严重和普遍[4]。
(5)知识因素
知识范围的宽度和深度直接影响着人的认知行为。知识越全面,知识层面越深,在同样的条件下就能越多地获取有用信息,对现象或者问题的认识就会更深入,做出的判断就会更正确。作为核电厂的工作人员,应该对于核电有关知识 (包括堆芯的、设备的、系统的和仪表控制的)进行全面学习,深刻领会,熟悉电厂运行的每个环节,同时也应该掌握电厂管理制度和操作规程。
(6)技能因素
这一点对于现场的工作人员尤其重要。电厂调试、运行、维修人员,如果业务技能不熟练,在核电厂这样大规模复杂系统中工作失误的几率就很大。所以核电厂工作人员都要经过长期的培训,持证上岗。
(7)经验因素
出于安全的考虑,核电厂每个运行人员都要经过5年左右的培训和实习,拥有丰富的操作运行经验后才能上岗。因为经验丰富的工作人员对于电厂特殊设备、系统的性能和运行状态非常了解,一旦这些设备或者系统出现异常,经验丰富的工作人员就很清楚地知道下一步该进行哪些动作。这充分说明工作经验对于核电厂运行人员的重要性。
(8)通讯因素
通讯包括电厂工作人员之间、个人与班组信息交流,工作人员与设备、系统间的信息交流。完善的沟通和反馈体系,是实现对人因失误及隐患控制的关键环节。沟通充分,才能保证工作人员时刻了解设备、系统运行情况,及时上报运行信息,接收上级指示,促进人机配合和各部门的协调、配合,实现工作的正常交接;信息掌握全面,才能对与安全相关的经验和教训进行很好地分析和总结,发现不利于安全的隐患,在出现严重情况之前采取必要的纠正措施,避免相同或相似事件的重复发生。
(9)个人情操修养因素
在核电厂工作的人员一定要有良好的个人修养和情操。个人情操修养包含良好的个人习惯 (生活习惯、思维习惯、行为习惯),负责认真的态度,对于紧急情况的应对能力,忍耐外界恶劣环境、抵制外界影响 (噪音、光线等)的能力,掌控不良情绪的能力,语言沟通能力和勇于承担责任 (即不隐瞒事实真相,这一点对于核电厂安全尤其重要)等。
以上因素影响核电厂工作人员的动态过程是十分复杂而不可预测的,但是通过对以前电厂人因事件或者事故的分析与总结,还是可以找到一些核电厂人因失误的特性。
(1)客观性
由于核电厂系统的复杂性,核电厂系统设计不可能完美;影响人的环境、生理、心理、知识、技能等因素的复杂性和变化性;人自身固有的弱点;人与电厂系统作用过程的复杂性和动态性;以及目前人类的认识水平有限,核电厂工作人员长期工作中产生失误是在所难免的,即人的失误具有客观性,并且在人与电厂系统作用的过程中一直存在。所以,不能妄图消除核电厂人因失误,也没有一种方法能够永远消除核电厂人因失误。我们只能通过经验积累,改进电厂系统、人机接口、规程,通过人员再培训来尽量减少人因失误。
(2)不可预测性
由人和核电厂系统所构成的“人机系统”是十分复杂的,人的行为是可变的,人与电厂系统动态作用的过程中充满了不可预测的因素。由人类认识水平的限制,我们不知道在这个动态过程中什么将导致失误发生,也不知道下一时刻会发生什么样的失误。正是由于这样核电厂人因失误比例一直很高。
(3)重复性
人的失误常常会在不同甚至相同的条件下重复出现。这是由电厂系统和人的固有弱点决定的。核电厂系统设计好之后,其薄弱环节(如作业环境复杂,仪表、电缆、管道多且集中分辨困难,对“虚假水位”的判定,停堆换料时燃料元件装载错位等)在电厂寿期内始终是薄弱环节。薄弱环节的故障或者事故在核电厂运行过程中会重复出现。另外,人的习惯性行为所导致的失误,在以后的工作中还可能重复出现,可谓“秉性难移”。例如,对于一些重要仪表或者设备忘放警示牌,换料时有异物掉进堆水池、燃料水池或者压力容器内[5]。习惯性动作所导致的失误当时很难发现,但其后果严重。
(4)动态性
事物都是发展变化的。在人与核电厂系统的动态作用过程中,人的行为如果不符合核电厂的发展,就会形成失误。人的失误是在变化的技术因素、环境因素、生理因素、心理因素、知识因素、技能因素、经验因素、通讯因素和个人情操修养因素的共同作用下产生的,每种因素作用的时间、强度有所不同。人因失误不是在某一个时间点就完成酝酿并发生的,而是量变积累直到发生质变的过程。失误的动态性还表现在失误的发展。相同的失误会因我们采取的措施不同引发不同的结果。如果措施得当,当前失误就会被消除或者失误影响得到缓解;如果措施不得当,失误就会引发更为严重的后果。
(5)人因失误可以减少
核电经过多年的发展,已经积累了丰富的设计、施工和运行经验。通过改进电厂设计,提高核电厂的固有安全性,减少操作员在应急情况下的干预和判断,设置更为符合人机工效学的界面,改进、完善电厂规章制度和操作规范,加强人员培训和再培训等措施促使人的行为与核电厂运行保持一致,减少人因失误。这个已经被核电厂的实际运行所证明[6]。
通过对核电厂事件和事故的统计和分析,也可以找出一些人因失误的规律。
(1)人因失误的时间分布规律
a.从核电厂整个寿期来看,人因失误多发生于寿期初、换料大修期和倒班工作交接期。
寿期初,电厂各个系统及其仪表、设备要进行全面调试。另外,这个阶段核电厂还要进行反应堆临界调试。临界前需要进行基本系统试验、冷态功能试验、热态功能试验、安全壳性能试验、燃料装载、临界前试验、初次临界试验、低功率物理试验和功率试验。反应堆临界需要电厂各个系统、设备之间相互配合。各个系统及其仪表、设备运行参数 (温度、压力)都是首次到达临界,在临界状况下各系统及其仪表、设备运行是否良好需要随时记录汇报,电厂各部门之间需要紧密配合。由于核电厂系统复杂,仪表、设备众多,这个阶段调试人员的工作任务繁重,工作压力大,时间也比较紧迫,出现失误几率就很大。
换料大修的主要任务是更换反应堆内的燃料组件,同时对核电厂核岛、常规岛、压力容器进行在役检查,并对核电厂一些重要设备进行预防性维修、定期试验和改正性维修,在时间和条件许可的情况下对部分设备进行改造。在换料大修期间现场的工作人员 (包括核电厂人员和换料、大修工程各自承包人员)多而且复杂,加上核电厂系统、设备复杂,运行操作及维修、实验工作量庞大,维修质量要求高,时间紧迫。因此,在大修过程中人为失误率很高[7]。据大亚湾核电厂统计大修过程中人为失误率占全部事件的75%。
核电厂一个工作日(24h)分早(8∶00~16∶00)、中 (16∶00~24∶00)、夜 (0∶00~8∶00)3个班次,每天要进行交接工作3次。工作交接时,由于上一班的工作人员经过长时间的工作疲劳、头晕或者急于离开未能将自己的工作情况、仪表及设备的运行状况和应该注意的问题向下一班的工作人员描述清楚,导致下一班工作人员在不知情的情况下误操作。上一班人员的描述和下一班人员的理解之间存在误差,也会导致误操作。
b.从生物规律来看,人因失误也有一定的规律可循。
夜班人因失误率高。人作为特殊的动物,几十年的生活习惯使得我们的生物规律固定下来,难以改变。一天之中,凌晨3时至5时是人的生理、心理最脆弱,工作状态最差的时候。因此这个时间段的失误率最高。夜班人因失误占47%,凌晨3时至5时人因失误占39%。
工作周期初和周期末失误率高。核电厂工作人员分两类,一类是要进行倒班的运行人员,另一类是作息制度正常的工作人员。现在国内核电厂倒班大多是6班3倒,42天 (包括正常倒班时间和小长假时间)为一个大循环。后一类非倒班人员则以一周7天为周期。作息周期初失误率高有两个原因:其一,经过较长时间的休息,还没进入良好的工作状态,即角色转换不及时;其二,周末或者小长假中外出游玩或者参加活动导致身心疲累,没有充沛的精力工作。周期末人因失误率高也有两个原因:其一,经过长时间 (一个周期)的工作,精力、体力下降,疲惫;其二,因计划周期末活动注意力不集中或者习惯性思想放松。
季节变化也会造成人因失误率升高,集中于春夏、秋冬之交。这主要是因为季节变化导致人的生理、心理发生 (如感冒、情绪不好等)转变,从而影响工作状态。切尔诺贝利事故(1986年4月2日)和三哩岛事故(1979年3月28日)就发生于春夏之交。
(2)人因失误地点分布规律
人因失误主要集中于核电厂薄弱环节所在的设备或者厂房。核电厂的薄弱环节由电厂设计决定。设计定型的核电厂由于系统运行工况、设备性能、厂房布局和仪表、管道、电缆、设备分布等原因决定了特定的几个仪表、设备或者厂房在核电厂运行过程中人因失误的高发性。这对于已经建成的核电厂是比较难以克服的。例如,复杂的堆芯设计以及换料工艺使得换料时人因失误在堆芯和RX厂房常常发生;一些运行环境恶劣,需要定期进行检测、维修的仪表和设备发生人因失误的概率也很高。
(3)人因失误的人群分布规律
通过对人因事件或者事故的统计和分析发现:核电厂运行和维修人员的失误率比其他工作人员失误率要高,这是由工作性质决定的。工作中粗心大意、责任心不强、业务技能不熟练、知识不齐备、工作中缺乏交流的人员发生失误的概率高;工作中态度端正、认真负责、业务能力强、善于交流和沟通的人员发生失误的概率很小。
通过对人与核电厂管理规程、人机接口之间的动态作用过程,以及人因失误所造成的运行事件或事故的分析,建立了改进核电厂固有安全性、人机接口性能、操作人员能力和管理规程的动态模型 (如图1),以便最新人因研究成果和其他技术成果及时应用于核电厂,使得这些成果在电厂中发挥最大的作用,减少核电厂运行事件、事故和人因失误。
从启堆开始,核电厂工作人员、管理规范、人机接口 (包含人机接口所在地的环境)三者之间就开始相互作用,并处于动态平衡状态。核电厂工作人员在管理规程的约束下通过人机接口控制核电厂运行,同时工作人员的效能受到管理规程和人机接口设置好坏的影响;管理规程约束和规范电厂工作人员行为,促使电厂稳定运行,但是其作用的发挥受到人和人机接口的限制;人机接口是人与电厂系统、管理规程与电厂系统的中间环节,人机接口故障或者失效都会导致人和管理规程发挥不了作用。
人、管理规范和人机接口三者之间保持动态平衡才能保证核电厂正常运行。核电厂正常运行过程中工作人员会进行再培训,管理规程和人机接口也会根据运行经验进行优化,从而使得电厂运行更为安全可靠。
一旦人有失误发生,三者之间的平衡就会被打破,就直接或者间接引起故障或者事故。只有对事故的过程进行分析,找出事件或事故发生的根本原因和直接原因才能制定相应的改进措施。
图1 核电厂人因失误动态模型
要弄清楚事故发生的过程,就要根据当前事故“追根溯源”,直到找到事故起点 (初始状态)。然后再根据事故发展过程分析其发生的根本原因和直接原因。分析时要对根本原因进行以下4判定:
·核电厂的固有安全性是否足够?
·人机接口是否符合人机工效学原理,或者控制室功能分配是否合理?
·人操作错误或者偏离?
·核电厂管理规程不合理?
根据判定的结果 (根本原因和直接原因)和当前电厂的运行经验,制定相应的预防或者改进措施:
(1)增加核电厂的固有安全性。尽量提高电厂各个系统的自动化程度,能不让人来操作的,尽量让系统自身去实现,减少操作员干预;改造电厂的薄弱环节,如更换掉容易失效或者出现故障的设备,使用精确度更高的仪表;简化系统设计等。
(2)提高人机接口的性能。在核电厂运行过程中,不能把现有的人机接口看作最合理的,应不断对人机接口进行改进或者优化,使得人机界面的交互能力更强,信息显示更加清楚、主次更合理,便于更为准确地理解。
(3)提高操作员的能力,重点是实践能力和事件、事故应对能力。根据当前电厂运行经验,适当修改培训大纲,并制定相应的再培训大纲。因为电厂与管理规范、人的作用过程是动态的,不能把电厂的运行看成静止的。
(4)核电厂应该注重个人情操修养,个人修养应该作为操作员的一项选拔标准,并在培训当中加入相应的培训条目,使核电厂易失误人群减少到最少。对于电厂安全来说,个人情操修养潜在威胁大,如果一个人的情操修养不过关,他的知识、技能就得不到很好的应用,而且容易引发失误。
(5)加强监管力度。完善的安全管理措施和监察制度可以有效减少人因失误。健全的作业规程、审批程序和合理的作业安排可保证关键操作尽可能正确;监察是把静态的监管制度付诸实施,可以及时发现违规违章操作和隐患,及时改正或者实施补救措施。
(6)根据人因失误发生的规律,在失误高发时段加大监管力度,必要时一个监督人员对应一个作业人员。
(7)在核电厂运行过程中,对过去适合而现在不适合的管理规范进行改进和完善。如对于改造过或者延寿的电厂的管理规程就要做响应的修改。
(8)做好核电厂人因失误数据收集工作,为预防人因失误做好数据积累工作,便于进一步做人因失误分析和设计改进。
(9)积极发展良好的企业文化,让安全文化深入人心,培养工作人员的安全忧患意识,随时应对失误的发生。
表1 WANO运行事件分布
对于已建成或者运行中的核电厂,本模型可以有效减少其运行事件数和人因失误。因为各国已建成或者运行中的核电厂都不断在进行人员再培训,管理规程和人机接口改进,或者电厂改造,都在有意识或者无意识地遵循这一模式进行,只是没有一个明确统一的规程。表1是世界核电厂营运者联合会 (WANO)1993~2002年间的统计结果,从表中的数据可以看出核电厂在不断“自我完善”过程中,运行事件数和人因失误率不断下降 (虽然1993~2002年间核电机组在不断增加),且下降幅度比较大。2008年5月31日秦山三期203大修以后运行事件和人因失误明显减少,这是对本模型的又一个印证。
核电厂人因失误有其特殊的性质和规律,认识这些性质和规律对于我们改进核电厂管理规程、人机接口和加强人员培训有着重要的指导意义。人在管理规程的约束下,通过人机接口与电厂系统发生作用,人因失误是在该动态过程中累积产生的。影响人因失误的因素是不断变化的,人因失误的产生和发展过程都是动态的,应该做好随时应对失误的准备。人因失误动态作用模型的提出,有利于人因失误经验总结以及人因研究成果的直接应用,有效减少人因失误。
[1]黄曙东,戴立操,张力.核电厂人因事故预防的定量化决策.中国安全科学学报,2006,16(6):46~49
[2]林诚格,郁祖盛,欧阳予.非能动安全先进核电厂AP1000.原子能出版社,2008
[3]刘绘珍,张力,王以群.人因失误原因因素控制模型及屏障分析.工业工程,2007,10(6):13~17
[4] Takano K,Reason J.Psychological Biases Affecting Human Cognitive Performance in Dynamic Operational Environments.Journal of Nuclear Science and Technology,1999,36(11):1041~1051
[5]卢长申,黄卫刚.大亚湾核电站换料大修过程中人因失误及经验反馈 .中南工学院学报,1999,13(2):26~32
[6]张力,赵明.WANO人因事件统计及分析.核动力工程,2005,26(3):291~295
Analysis of Hum an Error and Dynam ic Progressing Model of Hum an Error in NPP
LIU Pengbo1,ZHENG M ingguang1,2
(1ShanghaiNuclear Engineering Research and Design Institute,Shanghai200223,China;2Shanghai Jiaotong University,Shanghai200240,China)
This paper analyzed the dynamic effect factors and characteristics of human error in nuclear power plant.Combined with human physical and psychological factors the regularities of distribution of human error are discussed.A dynamic progressingmodel of human error is given based on the experience of nuclear power plant in service.W ith thismodelwe can sum up the experience of human error in nuclear power plant better,more directly use the achievement of human factors in nuclear power plant and reduce human errormore efficiently.
nuclear power plant;characteristics of human error;regularities of distribution of human error; dynamic progressingmodel