核电厂人因失误的纵深防御

沈 阳（核动力运行研究所，湖北 武汉 430223）



核电厂人因失误的纵深防御

沈 阳
（核动力运行研究所，湖北 武汉 430223）

摘要：通过研究人因失误与人因事件关系，以及人因失误产生相关因素之间的关系。结合核电厂人员类型，针对不同的人员类型，采取相应的预防人因失误的策略，从而保证核电厂人因失误的纵深防御，提高核电厂安全水平。

关键词：人因失误；人因事件；人员绩效工具；防人因失误

CLC number： TM623 Article character： A Article ID： 1674-1617（2016）01-0076-07

对于核电来说，“安全是核电发展的生命线”。核电技术、设计和设备可靠性是核安全的重中之重。然而，随着核电技术不断完善和优化，以及工业水平的提高，核电系统和设备从设计到运行都已能满足核安全要求。而对于核电厂系统中重要的组成部分“人”来说，核电的管理和运行操作都是由人来完成的，其与生俱来的不确定性和内在的弱点将直接影响到整个系统的稳定性和安全性，因此，“人”已成为核电不容忽视的重要因素［1］。核电历史上发生的重大人因事故（1979年美国三哩岛核电站事故、1986年苏联切尔诺贝利事故和2011年日本福岛核事故）告诫人们核安全的重要性和人因管理的必要性。

在一项对世界核营运者联合会（WANO）1993—2002年940份运行事件分析报告（EAR）进行分析时发现，有551件与人因相关，为事件总数的58.6%［2］。国内一些核电厂的统计也显示人因在运行中占有很大的比重（运行事件（LOE）中73%）。在对2003—2010年国内运行核电厂的运行事件和内部事件按事件属性（人因、机械、电气、仪控和其他）统计时发现，人因事件比例始终高于其他四类因素的事件比例。因此，预防人因失误和减少人因事件已是确保核电厂安全运行亟须解决的重要问题。

1 人因失误与人因事件

在核电厂生产活动中，人因失误可能发生在计划制订、工程设计、制造加工、设备安装、设备使用、设备维修以及管理工作等各种工作过程之中。

然而，人的某些本性是与生俱来的，这种特性或倾向是在成长、发展、变化过程中所固有的一种内在自然属性。一方面，人作为一种现实的机体，不可能完美无缺，它有着机体的生理极限，例如：体力极限、反应速度极限、精度极限、生物节律极限和对外部环境变化的容许极限等。另一方面，人作为一种会对现实存在做出反应的意识体，它对事物的认知不但受到机体的生理极限的影响，同时认知和客观事物的真实性之间有着镶嵌性和背离性。因此，人因失误不是孤立的，而是受制于人的生理、心理因素的影响和环境条件等各种因素，这决定了人与机器存在不同，具有其独特性［3］。

1.1 按照人因失误结果分类

Reason和Maddox根据失误结果的可观察性将失误分为即时型失误（Active Error）和滞后型失误（Latent Error）两种类型［4］，两种失误类型具体如下：

（1）即时型失误

即时型失误是指：在改变系统、设备或部件、电厂状态时，行动实施之后不良后果随即显现出来。这类失误最明显的判断依据是：不良后果是由所实施的行动直接引起，失误是立即的、非故意的行为。

（2）滞后型失误

滞后型失误是指：所犯的失误是没有立即产生结果，一直潜藏着直到当一定的环境因素和条件存在时，通过一定的行为活动，将不良后果显现出来。这样的失误，后果不是立即看到的；同时后果和潜藏的失误行为的关系并不直接可见，需要通过分析探知。

美国核管会（NRC）于2002年对其国内37起运行事件进行分类统计，共识别出270种原因因子，其中属于滞后型失误的原因因子为220个，占81.5%，而属于即时型失误的原因因子为50个，仅占18.5%，滞后型失误几乎是即时型失误的4倍［5］。

1.2 按照认知水平分类

Rasmussen按照SRK三级行为模型［6］，按照人的认知水平将人因失误的类型对应地分为以下三种类型：

（1）技能型失误

指在进行一些经常的、简单的、熟练的操作过程中所犯的错误。技能型失误基本是由人的多变或者对于工作要求、系统响应、电厂工况的改变没有留心而引起的。因此，导致这类失误的原因通常是注意力不集中，或注意力仅集中于某一点而忽视其他方面，就是通常所说的“一时疏忽”。在理想情况下，这种错误的概率低于0.1%。

（2）规则型失误

指按规则进行操作时所犯的失误。通常，基于规则的行为建立在对已有规则的选择上，这些规则来源于对工作情形的认知，遵循“如果（现象X），那么（情形Y）”的逻辑关系。因为基于规则的行为需要理解，所以相应的错误模式就是误解。人们可能不能完全理解或者察觉需要某种特定应对措施的情形或工况，错误就可能发生。这些错误包括，偏离已被验证的规程，对某一工作状态执行错误的应对措施，或者将正确的规程应用在不适当的情形下。

（3）知识型失误

指人们通过分析、判断来解决问题过程中所出现的失误。基于知识的行为是对一个完全陌生的情形进行响应，执行者必须依靠其对于整个系统和工作过程的理解和自身所具备的知识。因此，这类失误通常是由于工作人员的知识欠缺、经验不足、成见或偏见等因素所致。

通过大量事件的分类统计分析得知，这三种类型的任务与工作人员对任务的熟悉程度、注意力集中程度存在一定关系，其中从事知识型任务时发生概率最大（约1/2），从事技能型任务时发生失误的概率最小（约为1/10 000）。

在核电厂中，多数任务属于规则型任务，需要凭借员工熟练的技能来完成的技能型任务和凭知识摸索判断来完成的知识型任务，数量都是相对较少的。当然这还取决于核电厂的设备状况、运行队伍的素质水平和人员与机组的磨合程度。此外，这三种任务类型是可以发生转化的，这主要与工作人员对任务的熟悉、熟练程度有关。当知识型任务被成功执行并获得相应的解决经验时，将解决方法和经验写成规则型的文件，知识型任务就转化成为规则型任务；当规则型任务被执行的次数增加后，可能就不再需要依赖规则的提示来逐步完成工作，这时规则型任务就转化成为技能型任务；当技能型任务长期不执行，就可能转化成为规则型任务或知识型任务。

1.3 人的行为形成因子

核电厂系统中，人员行为包括维修、标定、试验、正常运行电厂和处理处于危险的事件和事故。Swain将任何影响人的行为的因素称为行为形成因子［7］（Performance Shaping Factors，PSFs）。他将PSFs分为三大类：外部PSFs（个人因素之外）；内部PSFs（人员自身）；应激PSFs。具体如下：

（1）外部PSFs

外部PSFs包括两个部分：情景特征和任务及设备特征。

1）情景特征。包括：建筑物特点；环境质量：温度、湿度、空气质量、放射性、噪声和振动；休息时间；轮值间隔；规程；交流；警告警示；电厂政策等。

2）任务和设备特征。包括：报警可察觉度；设备操控要求（速度、力量和精度）；控制—显示关系；理解能力要求；判断与决策；信息负荷；频率和重复度；任务紧张度；长-短期记忆；计算要求；反馈；动态行动；班组结构与通讯；人—机界面质量等。

（2）内部PSFs

主要包括：培训；经验；熟练程度；动机和态度；情绪状态；心理压力；知识水平；性别差异；身体状态；外部影响（来自家庭和其他外部人员）；团队认同感；组织因素等。

（3）应激PSFs

主要包括：任务的突然性；压力阈值；任务速度；任务负荷；任务危险程度；任务时间压力；工作单调性；警觉丧失；动机；注意力集中度；疲劳；辐射；振动；活动受限；生理周期等。

通常情况下，外部PSFs、应激PSFs和内部PSFs会同时存在，在一定情景下，这些PSFs会相互组合、相互影响，如果它们的组合和影响结果是呈正面的，则会大大提高人的可靠性，减少人因失误的产生；反之则会破坏和降低人的可靠性，加大人因失误的概率。

1.4 人因失误与人因事件关系模型建立

综上所述，结合核电厂人因失误模式，我们可以建立人因失误与人因事件关系模型如图1所示。

通过图1我们不难发现，核电厂生产活动都是由组织来进行统一协调管理，所以对于人的个体来说，由于组织的存在，人所有生产活动都会受制于组织所形成的外部PSFs和内部PSFs，以及个体应激PSFs，这些因素的存在及其相互组合、相互影响就会有可能导致人因失误的产生，即：规则型失误、技能型失误和知识型失误。

但是，人因失误的产生可能不会直接导致人因事件的发生，因为人的自我修复能力，在行为偏离预期前可能会及时发现并修复已出现的人因失误，从而避免人因事件的发生；相反，如果在行为偏离预期前没有意识到自身的失误，则会最终造成行为偏离预期目标，从而导致人因事件的发生。人因事件发生后，主要有两个方面的结果：一方面是电厂功能、系统和设备失效；另一方面是人身受到伤害。当两者有其一产生，则可定义为人因事件。

此外，由于滞后型失误的存在，即使是正常的操作也有可能造成人因事件的发生。滞后型失误主要有三种类型：滞后型失误类型1，主要由于组织潜在的缺陷造成的，比如规程不完善、屏障缺失等；滞后型失误类型2，主要由于电厂控制范围外的设计单位和设备供货商所产生的滞后型失误，比如：控制逻辑错误，设备安装问题等；滞后型失误3，主要由电厂人员在工作活动中的行为没有立即产生人因失误，比如：阀门没按要求关闭；标牌安装错误等。因此，在预防工作中人因失误产生的同时，我们应提高工作中的风险和人因失误陷阱的识别能力。

图1 核电厂人因失误与人因事件关系模型图Fig.1 The model of relationship between human error and human event

2 核电厂人因失误的纵深防御

通过图1模型我们可以发现，如果要实现核电厂人因失误的纵深防御我们必须从人因失误产生的根源——“人”入手，对于不同类型的人采取相应的防人因失误策略，而不能只关注人因事件的触发者——一线员工，这样才可真正避免人因事件的发生。

通常，在核电厂管理范畴之内主要涉及四个层面人员，一线员工（直接接触设备并可能改变设备状态的人员，主要容易产生即时型失误）、知识工作者（具有丰富经验或专业知识背景，主要从事计划、设计、开发等知识型工作的人员，主要容易产生滞后型失误）、主管人员和经理层。因此，我们可以从这四个层面人员的防人因失误入手，纵深防御，这样才能大大减少核电厂人因事件的发生，提高核电厂安全水平。

2.1 一线员工防人因失误

一线员工是产生触发事件行为的主体，其产生的失误大多会产生立即后果，所以其失误大多是即时型失误。但是，由于滞后性失误的存在，一线员工触发事件的行为可能是一个规范的、正确的行为，也可能是一个有错误的、偏离预期的失误行为。因此，当一线员工在执行某项具体任务时，在规范个人行为不偏离预期的基础上，还需要对那些对任务的成功完成存在不利影响或容易诱发人因失误的环境和条件因素进行关注，通常我们称之为“失误先兆”。失误先兆是因为任务而存在，同时也是针对每一次任务而会有所不同。

结合一线员工工作性质，我们把一线员工人员绩效工具分为两大类型［8］：

一类是基础工具，这类工具是帮助一线员工实现卓越人员绩效的基础，要求一线员工在执行任何工作活动中都要习惯性使用，无论任务的复杂与否。

其中，任务预览和工作现场检查能够帮助一线员工对任务要求和现场设备环境形成一个准确的理解；当有质疑和不确定时暂停能够帮助一线员工及时发现工作任务或现场环境中存在的风险和可能的失误后果，从而及时采取预防或纠正措施；自我检查能够帮助一线员工提高注意力，明确何时、何地、采取何种预期操作及其预期目标；使用/遵守规程能够帮助一线员工严格遵守程序完成相应任务操作而不偏离预期；三向交流和字母表能够帮助一线员工在操作前/后实现有效的口头沟通交流，保证信息清晰、准确和有效。

另一类是条件工具，这类工具需要一线员工考虑任务的风险高低、复杂程度、执行频度、任务要求等因素，从而选取相应合适的人员绩效工具。

其中，如果一项工作任务会影响到电厂和人员安全和可靠性时，根据任务风险高低及执行频度召开合适的工前会能够帮助一线员工及时发现工作中的风险，从而保证工作任务顺利完成；如果操作会引发电厂/人身严重后果时，可以选取并行验证、独立验证或监护人员绩效工具；如果工作执行中选取的规程是连续使用的类型，则一线员工可使用进度跟踪的人员绩效工具保证规程执行有效性；如果现场工作存在交叉作业或工作现场设备较为相近时，则一线员工可使用标记的人员绩效工具来避免误操作；如果工作任务需要在个人/工作小组/部门/专业之间进行移交时，则一线员工可使用工作交接的人员绩效工具来确保信息精确地传递，使工作能够良好地延续；如果工作完成后，根据工作完成情况，可使用工后会人员绩效工具来及时总结工作执行过程中的良好实践、经验教训及有待改进的方面。

2.2 知识工作者防人因失误

对于知识工作者，与一线员工不同，其大部分工作主要在办公室完成，工作任务性质主要是规则型任务和知识型任务，容易产生滞后型失误。而一线员工的人员绩效工具主要是针对现场直接接触并可能改变设备状态的操作，预防即时型失误，因此不适用于知识工作者。

结合知识工作者工作性质，我们把知识工作者人员绩效工具分为两大类型［9］：

一类是基础人员绩效工具，这些工具不会写到具体规程里，但要求知识工作者能够在任何需要的时候都能主动使用，帮助其避免或及时识别发现滞后型失误。

其中，技术任务工前会能够帮助知识工作者正确、全面地理解项目及其关键节点，保证项目的有效实施；自我检查、质疑的态度、证实假设和签字主要帮助知识工作者识别出工作中存在的不确定性、假设情况、风险因素、决策或操作的意义，从而确定所作的计划、判断和决策是否合适。

另一类是条件人员绩效工具，要求知识工作者根据工程项目需求，结合任务的复杂性、风险高低、执行的频率以及持续的时间等选择性使用，一般这类工具会在部分管理程序中有所体现。

其中，工程项目管理能够帮助知识工作者对工程项目的启动、计划、控制和关闭等各阶段进行资源（时间、资金、空间、人员等）最优化，从而成功实现一系列任务和目标；承包商监督能够帮助知识工作者对承包商及外来人员的资格资质、操作行为以及质量控制等进行监督，从而减少承包商人员人因失误；勿扰标识能够帮助知识工作者在执行重大风险或关键安全任务时，将注意力集中到手头工作上；同事审核作为一道屏障，能够帮助知识工作者在文件完成之前，通过全新的视角来审阅和质量检查以发现错误和缺陷；解决问题能够为知识工作者提供一套系统结构，通过对问题进行系统分析，找出问题可能的原因，从而防止问题再次发生；决策能够帮助知识工作者在已知的约束条件下，做出最佳选择；产品评审会能够帮助知识工作者利用各相关参与方或业主的集体知识、技能和经验来提高解决问题的能力和质量；技术任务工后会帮助知识工作者在工程任务完成后进行的例行自我评估活动，及时发现组织缺陷并予以改进；工程产品审查能够帮助知识工作者定期对产品重要属性进行审查，评估产品质量，从而发现不足，提高产品质量。

对于知识工作者，结合以上人员绩效工具，我们可以从工程项目的启动、计划、控制和关闭等四个阶段入手，在每个阶段使用相应的知识工作者人员绩效工具，从而可避免滞后型人因失误的产生。知识工作者人员绩效工具在工程项目四个阶段使用时机图如图2所示。

2.3 主管和经理防人因失误

主管和经理属于电厂管理层，虽然他们的行为不会直接产生后果，但会间接影响到一线员工和知识工作者行为，在人因失误的纵深防御中扮演着重要角色。

根据核电厂组织管理流程，我们将其划分为4个阶段，分别为：方向和期望阶段、计划和实施阶段、监督和评价阶段、强化和反馈阶段［10］。在每个阶段相应地提供了一组人员绩效工具，管理者通过使用这些工具，能够帮助一线员工和知识工作者减少人因失误的频度和严重程度，同时，也能够结合工具识别组织中存在的缺陷，不断优化组织流程，避免缺陷累积效应的产生，实现人员绩效水平的螺旋式上升。

主管和经理在选择工具时应结合自身工作职责，例如，主管可选取应用型的工具，如：任务分配、风险评估、工前会和工后会等，这些工具有助于提高其工作质量；经理们可选取组织管理型工具，如：组建人员绩效监督委员会、开发人员绩效战略、建立行为期望等，这些工具有助于提高核电厂人因管理水平。而有些工具则适用于所有管理人员，如：领导力、沟通策略、变更管理、保守决策、观察指导、焦点领域识别、人员绩效事件时钟、动态学习活动、正面强化、缺陷绩效分析、过失评价工具、指导和纠正、人误原因分析等。主管和经理人员绩效工具使用时机图如图3所示。

图2 知识工作者人员绩效工具使用时机图Fig.2 An in-process perspective on tool applicability for knowledge workers

图3 主管和经理人员绩效工具使用时机图Fig3 An in-process perspective on tool applicability for managers and supervisors

3 结束语

随着中国核电项目的重启，在建核电厂数量随之也将增多，如何保证核安全，只能从“人”的环节入手，通过不断推动各层次人员绩效工具的使用，不断强化人员行为的规范性以及人因失误的纵深防御能力，这样才能应对核电厂复杂多变的人因失误陷阱，减少人因失误的概率，保障核电又好又快又安全地发展。

参考文献：

［1］ 沈阳.系统化建设核电厂人因实验室［J］. 中国核电，2015，8（3）：261-265.（Shen Yang. Systematic Construction of Human Factor Laboratory in Nuclear Power Plant［J］. China Nuclear Power，2015， 8（3）：261-265.）

［2］ 张力.WANO人因事件统计及分析［J］.核动力工程，2005，26（3）：291-295.（ZHANG Li. Statistics and Analysis of WANO Human Factor Events［J］. Nuclear Power Engineering， 2005， 26（3）：293-295.）

［3］ 刘志勇. 核电厂人因管理基础［M］. 北京：原子能出版社，2011.（LIU Zhi-yong. Human Factor Management in Nuclear Power Plant［M］. Beijing：China Atomic Energy Press，2011.）

［4］ Reason J， Maddox M.E. Human error. In：Human Factors Guide for Aviation Maintenance ［M］.W a s h i n g t o n D C：D e p a r t m e n t o f Transportation， 1995.

［5］ D.I. Gertman， B.P. Halbert， M.W. Parrish. Review of Findings for Human Performance Contribution to Risk in Operating Events ［R］. NUREG/CR-6753， 2002.

［6］ Rasmussen J， Pedersen O M， Carnino A. Classification system for reporting events i n v o l v i n g h u m a n m a l f u n c t i o n s［R］. R I S O-M-2240， D K-4000， R i s o N a t i o n a l Laboratories， Roskilde， Demark， 1981.

［7］ Swain A D， Guttmann H E. Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Application. NUREG/CR-1278， 1983.

［8］ WANO. Human Performance Tools for Workers ［M］. WANO GP ALT-08-002.2009.

［9］ INPO. Human Performance Tools for Engineers and Other Knowledge Workers ［M］. INPO 05-002.2007.

［10］ WANO. Human Performance Tools for Managers and Supervisors ［M］. WANO GP ALT-08-003.2009.

Defense-in-depth of Human Errors in Nuclear Power Plant

SHEN Yang
（Research Institute of Nuclear Power Operation， Wuhan of Hubei Prov. 430223，China）

Abstract：Through study on the relationship between human error and human event， and analysis of the relationship of human error factors， appropriate human error prevention strategies are adopted for different types of nuclear power plant personnel， so that the nuclear power plant defense-in-depth for human errors is ensured and the safety level of nuclear power plant is improved.

Key words：human error； human error event； personnel performance tools； prevention of human error

中图分类号：TM623

文献标志码：A

文章编号：1674-1617（2016）01-0076-07

收稿日期：2015-11-20

作者简介：沈 阳（1982—），男，湖北人，工程师，硕士，从事核电厂人因管理和经验反馈方面工作。