戴立操，高 山，劉 永

（南華大學(xué)人因研究所，衡陽 421001）

核電廠是技術(shù)和資金密集，能量積蓄巨大的復(fù)雜工業(yè)系統(tǒng)。復(fù)雜工業(yè)系統(tǒng)的英文complex 來自于com，意指共同的，plex，意指交織在一起。類似核電廠的復(fù)雜工業(yè)系統(tǒng)最重要的特點是系統(tǒng)的復(fù)雜性［1,2］，具有系統(tǒng)與環(huán)境、系統(tǒng)與人以及系統(tǒng)、子系統(tǒng)之間復(fù)雜的交互作用。首先，復(fù)雜性來源于核電廠系統(tǒng)以及子系統(tǒng)功能的多目標(biāo)特征，即系統(tǒng)在設(shè)計和運行時需同時考慮系統(tǒng)的效率、安全性和運行人員的福祉。其次，復(fù)雜性來源于結(jié)合精密的系統(tǒng)部件、復(fù)雜的技術(shù)和外部運行環(huán)境以及人員與系統(tǒng)之間的復(fù)雜交互。再次，復(fù)雜工業(yè)系統(tǒng)日常運行存在大量的動態(tài)變化，其層級特征在組織與運行設(shè)備之間的扁平化趨勢中不斷遭到削弱和侵蝕，人以及由人構(gòu)成的組織對系統(tǒng)的運行和控制變得更加困難。

核電廠系統(tǒng)交互過程中大規(guī)模能量流動和轉(zhuǎn)換對人員和環(huán)境具有潛在的風(fēng)險。技術(shù)進(jìn)步使得系統(tǒng)越來越復(fù)雜，潛在風(fēng)險越來越高。如何提高核電廠類似的復(fù)雜工業(yè)系統(tǒng)運行安全性已經(jīng)成為安全科學(xué)研究領(lǐng)域重要的課題之一。

1 核電廠系統(tǒng)安全研究的發(fā)展

核電廠安全研究開始于設(shè)備系統(tǒng)的可靠性研究。20世紀(jì)50年代，故障模式（FM）、影響及危害性分析方法（FMECA）廣泛用于核電廠控制系統(tǒng)可靠性研究。隨著核電廠建造的越來越多，1974年美國能源局研究發(fā)布了核電廠“WASH1400 報告”［3］，該報告采用概率安全評價方法（Probabilis?tic Safety Assessment,PSA）評價系統(tǒng)整體安全狀況。

研究人員發(fā)現(xiàn)核電廠事故是由設(shè)計和運行管理中一系列失誤疊加導(dǎo)致的。INSAG報告［4］表明：安全文化缺失是切爾諾貝利事故發(fā)生的根本原因。安全文化是指存在于核電廠組織中單位和個人素質(zhì)、態(tài)度的總和。隨后的研究報告［5］提出“組織需對安全做出持續(xù)改進(jìn)”。Davis Besse核電廠壓力容器嚴(yán)重降級、切爾諾貝利等一系列核事故讓人們開始意識到個體的人因失誤及失誤的預(yù)防對策均是在組織的綜合管理下實現(xiàn)的。由人和人之間的協(xié)作關(guān)系形成的組織及其組織文化、組織結(jié)構(gòu)和組織行為過程在復(fù)雜工業(yè)系統(tǒng)的設(shè)計、運行、維護(hù)和退役過程中起著至關(guān)重要的作用，人因失誤研究開始從個體發(fā)展到組織。

隨后，研究者對組織因素如何影響核安全做了一系列的研究。1990年，Reason提出瑞士奶酪模型［6］。Reason 認(rèn)為，人因失誤的產(chǎn)生是由其上游的因素——工作環(huán)境和組織因素引起的，系統(tǒng)缺陷穿過組織屏障引起事故。Reason［7］在其組織事故模型中提出三種基本元素、組織過程、任務(wù)和環(huán)境條件以及可能的不安全行為。Woods［8］發(fā)展了Reason 的理論，認(rèn)為核運行組織風(fēng)險中組織尖端（組織與系統(tǒng)的人機接口）起著非常重要的作用，組織風(fēng)險通過組織尖端傳遞給系統(tǒng)。Coo?per等［9］研究了復(fù)雜系統(tǒng)人機接口的人員行為，將組織管理因素作為“迫使失誤情景因子”。Holl?nagel［10］采用四種組織因素（混亂的、機會的、戰(zhàn)術(shù)的和戰(zhàn)略的）的控制模式來描述人員在復(fù)雜工業(yè)系統(tǒng)中的行為。Oien［11］建立了組織風(fēng)險形成因素的概念框架。上述研究中，無論是迫使失誤情景因子、組織控制模式，還是組織風(fēng)險的形成因子，都集中于核運行組織各因素對組織尖端中個體和班組人員行為的影響。組織因素決定了核運行組織尖端人機接口中的人員行為，從而決定了核電廠系統(tǒng)的安全性。組織失效會導(dǎo)致人員行為失效從而給系統(tǒng)帶來風(fēng)險。安全分析的目標(biāo)是辨識組織失效，預(yù)防事故的發(fā)生。

2011 年，福島核事故發(fā)生，地震和海嘯導(dǎo)致全廠失電，堆芯損傷，放射性物質(zhì)嚴(yán)重外泄。福島事故由于外部事件疊加應(yīng)急缺陷導(dǎo)致嚴(yán)重后果。事故證明，系統(tǒng)風(fēng)險不僅可能來自系統(tǒng)內(nèi)部運行不確定性，也可能來自系統(tǒng)外部環(huán)境。組織不僅需要采用控制-適應(yīng)策略管理系統(tǒng)內(nèi)部的動態(tài)變化，而且需要管理系統(tǒng)外部環(huán)境沖擊。工業(yè)組織安全理論研究自20世紀(jì)50年代以來不斷發(fā)展，研究對象從系統(tǒng)部件到人，再到運行組織。研究方法從系統(tǒng)部件可靠性方法發(fā)展到綜合考慮人-機-環(huán)的PSA 方法。但無論是單個部件的“失效模式”分析，還是PSA 的“假想系統(tǒng)事故發(fā)生的可能性”，安全研究始終處于一種“事后”的角度，即預(yù)先演繹系統(tǒng)失效模式，分析和研究這些失效模式的根本原因。核電廠系統(tǒng)事故是由于多種因素的共同（同時）作用發(fā)生的，是未知風(fēng)險，是已知風(fēng)險的未知組合。系統(tǒng)層次的復(fù)雜性、系統(tǒng)元素間復(fù)雜的作用方式等使得風(fēng)險的產(chǎn)生過程與Reason 的線性分析模型并不一致。組織定向的原因分析法越來越無法滿足安全研究發(fā)展的需要。安全研究需定位于無論系統(tǒng)如何失效，核電廠運行組織都需維持系統(tǒng)的安全裕度。安全研究需要從“事前”“主動”的角度，研究組織的本質(zhì)能力，即組織彈性［12-15］。

2 組織彈性研究系統(tǒng)的控制問題

傳統(tǒng)的安全分析方法采用事后因果關(guān)系分析觀點，即分析事故發(fā)生的原因。這些原因有可能是人因，有可能是系統(tǒng)設(shè)備失效，有可能是人機交互失效。傳統(tǒng)的安全分析方法試圖消除失效的原因從而改善系統(tǒng)安全。事后分析方法的最大困難是無法掌握系統(tǒng)與人、環(huán)境以及子系統(tǒng)之間的運行動態(tài)變化關(guān)系，定義完整的系統(tǒng)失效模式。為解決這個問題，必須從事前主動的角度來進(jìn)行安全分析。其分析方式從失效模式分析轉(zhuǎn)換為成功模式分析，也就是研究運行系統(tǒng)的組織彈性。其基本假設(shè)是，如果運行組織能夠適應(yīng)系統(tǒng)的動態(tài)變化，在核電廠系統(tǒng)運行過程中即使發(fā)生了人因失效，系統(tǒng)失效和人-系統(tǒng)交互失效，組織具備緩沖、吸收和恢復(fù)的能力，事故不會發(fā)生。系統(tǒng)的成功準(zhǔn)則是組織能夠有效地監(jiān)視系統(tǒng)的動態(tài)變化，適時采取有效措施防止失效的發(fā)生。系統(tǒng)失效因此被定義為組織彈性能力的缺失。

2.1 組織彈性缺失的原因

組織彈性能力的缺失來自于組織運行系統(tǒng)時的外部擾動和內(nèi)部擾動。擾動是指干擾和中斷正常運行的狀態(tài)或者事件。擾動事件有多種形式。主要擾動事件包括運行失調(diào)［16］、自然災(zāi)害［17］、政治動蕩［18］和財務(wù)壓力［19］。下面從系統(tǒng)內(nèi)部和外部兩個角度討論擾動的來源。

2.1.1 系統(tǒng)內(nèi)部擾動

任何復(fù)雜工業(yè)系統(tǒng)內(nèi)部擾動的主要原因是組織目標(biāo)（生產(chǎn)目標(biāo)和安全目標(biāo)）沖突［20,21］。系統(tǒng)復(fù)雜性使得各部分之間的交互方式更加復(fù)雜，在日常運行過程中自動產(chǎn)生新的系統(tǒng)關(guān)聯(lián)狀態(tài)［22］，從而導(dǎo)致系統(tǒng)在運行過程中可能處于未能預(yù)知的運行狀態(tài)［23］，主要情形是非預(yù)期子系統(tǒng)耦合狀態(tài)下功能目標(biāo)沖突［24］。內(nèi)部擾動因素主要包括日常運行維修、維護(hù)、標(biāo)定等活動。組織目標(biāo)沖突會降低組織各層級之間人員日常工作的合作水平和安全責(zé)任意識［25］，阻礙組織各層級之間的交流和信息傳遞［26］，同時使得組織尖端人員的決策偏向于生產(chǎn)目標(biāo)［27］。由于組織目標(biāo)沖突，系統(tǒng)對于風(fēng)險的緩沖能力不斷下降，系統(tǒng)安全邊界不斷被壓縮和侵蝕［28-30］。與此同時，系統(tǒng)復(fù)雜性導(dǎo)致的未知運行狀態(tài)使組織不能利用資源和控制手段建立安全屏障來抵御這種壓縮和侵蝕［31］。事故分析表明，系統(tǒng)正常運行時所發(fā)生的內(nèi)部擾動是復(fù)雜工業(yè)系統(tǒng)組織彈性缺失的主要來源，而內(nèi)部擾動主要產(chǎn)生于復(fù)雜工業(yè)系統(tǒng)的組織目標(biāo)沖突。

2.1.2 系統(tǒng)外部擾動

系統(tǒng)外部擾動主要來自于自然災(zāi)害，比如臺風(fēng)、地震、洪水等。復(fù)雜工業(yè)系統(tǒng)在設(shè)計時需要考慮應(yīng)對系統(tǒng)外部擾動的措施。如果系統(tǒng)未能預(yù)期可能發(fā)生的外部擾動，那么外部擾動一旦發(fā)生，風(fēng)險產(chǎn)生的可能性會變得很大。與此同時，從組織角度而言，組織應(yīng)該設(shè)計對應(yīng)的法律、法規(guī)和技術(shù)文件，一旦外部擾動發(fā)生，應(yīng)設(shè)法減輕風(fēng)險可能造成的后果。

2.2 核安全是一個系統(tǒng)控制問題

具體生產(chǎn)活動中，組織中人員績效應(yīng)該不斷保持對內(nèi)部擾動和外部擾動應(yīng)對的能力。失效是指組織失去應(yīng)對擾動的能力。很明顯，由于經(jīng)濟(jì)資源的稀缺性，競爭壓力一直存在，組織目標(biāo)沖突會一直存在。生產(chǎn)目標(biāo)是系統(tǒng)存在的基礎(chǔ)，生產(chǎn)目標(biāo)往往會對安全目標(biāo)形成壓力。由于生產(chǎn)目標(biāo)壓力的存在，組織行為會發(fā)生漂移，侵蝕核電廠系統(tǒng)的安全邊界。核電廠運行組織需持續(xù)對技術(shù)、人員和組織風(fēng)險各因素進(jìn)行監(jiān)視和干預(yù)，以維持生產(chǎn)效率目標(biāo)和安全目標(biāo)之間的平衡［31］。

跟傳統(tǒng)的失效理論不同，從復(fù)雜性角度而言，安全是系統(tǒng)的一種“自發(fā)性特征”（emergent property）。這種屬性是子系統(tǒng)、軟件、組織和人員之間交互行為的自然結(jié)果。傳統(tǒng)的安全分析方法，比如概率安全評價（probabilistic safety assess?ment,PSA）方法，采用的是因果關(guān)系鏈方法，從核電廠系統(tǒng)的各個構(gòu)成部分出發(fā)，分析其失效模式，進(jìn)而預(yù)測風(fēng)險。然而，事實上這種方法未能有效預(yù)測到復(fù)雜核電廠系統(tǒng)中所有可能發(fā)生的失效模式。福島核電廠PSA 模型中沒有考慮極端外部事件導(dǎo)致的共因失效。安全是系統(tǒng)行為的動態(tài)變化過程，而不是系統(tǒng)的一種靜止?fàn)顟B(tài)屬性。安全更多的是一個控制問題，而不完全是一個系統(tǒng)可靠性問題。系統(tǒng)設(shè)計和運行時不應(yīng)只是提高其部件的可靠性，還要保持運行組織維持這種動態(tài)變化的能力，這種能力是組織控制內(nèi)部和外部擾動的能力。

3 組織彈性研究的方法和概念模型

3.1 組織彈性研究的方法

組織彈性是從核電廠復(fù)雜性角度研究核安全。研究系統(tǒng)復(fù)雜性的傳統(tǒng)理論途徑有兩條：解析還原理論和系統(tǒng)理論。

解析還原理論可以采用以下幾種方法來設(shè)計和分析復(fù)雜系統(tǒng)：（1）把系統(tǒng)分解成子系統(tǒng)來進(jìn)行分析；（2）對子系統(tǒng)進(jìn)行分析，然后把子系統(tǒng)的分析結(jié)果合并構(gòu)成系統(tǒng)整體。在時間軸上，系統(tǒng)的物理部件、功能部件和系統(tǒng)行為被解析為獨立的系統(tǒng)事件。

傳統(tǒng)的安全工程觀點就是在上述基礎(chǔ)上發(fā)展演繹的。事故的發(fā)生是由于子系統(tǒng)或者系統(tǒng)部件的失效導(dǎo)致的。失效事件隨機發(fā)生，失效概率呈指數(shù)分布，風(fēng)險發(fā)生的概率可以通過計算得出。在辨識子系統(tǒng)或者系統(tǒng)部件的失效場景的基礎(chǔ)上，設(shè)計者或者工程師采用容錯設(shè)計的方法來防止事故場景中的子系統(tǒng)或者系統(tǒng)部件的失效事件的發(fā)生。

隨著系統(tǒng)愈來愈復(fù)雜，情況發(fā)生了變化。在現(xiàn)代復(fù)雜工業(yè)系統(tǒng)中，設(shè)計者并不能夠充分辨識所有的子系統(tǒng)或者系統(tǒng)部件之間的潛在交互行為。因此，設(shè)計者無法預(yù)測和防范這些潛在的交互行為所帶來的風(fēng)險。部件交互事故的發(fā)生是由于系統(tǒng)設(shè)計時未能考慮子系統(tǒng)或者系統(tǒng)部件之間的不安全交互行為，子系統(tǒng)或者系統(tǒng)部件的功能目標(biāo)發(fā)生沖突。發(fā)生的原因是由于模式混淆或者功能目標(biāo)完整性缺陷。若子系統(tǒng)或者系統(tǒng)部件沒有發(fā)生失效，則問題產(chǎn)生于沒有失效的子系統(tǒng)或者系統(tǒng)部件之間的功能沖突，比如SGTR 事故后主泵的停運問題，停運有可能減少一回路的熱量，但是同時減少一回路的散熱能力；不停運有可能導(dǎo)致對SG的U型管產(chǎn)生沖擊。

系統(tǒng)理論是作為解析還原理論的替代方法出現(xiàn)的。該理論把系統(tǒng)作為一個整體來看待，而不是單獨分析子系統(tǒng)或者系統(tǒng)部件。系統(tǒng)理論假設(shè)系統(tǒng)的某些特征只能整體分析，分析系統(tǒng)的方方面面，并把社會因素與技術(shù)因素相關(guān)聯(lián)。這些系統(tǒng)特征產(chǎn)生于子系統(tǒng)或者系統(tǒng)部件之間的交互作用。系統(tǒng)論觀點強調(diào)系統(tǒng)的整體性，而不是系統(tǒng)的部分或者部件。簡單地防止部件失效并不能消滅事故。組織在運行系統(tǒng)的過程中，系統(tǒng)本身的單個子系統(tǒng)是正常的，事故的發(fā)生可能是由于子系統(tǒng)交互作用時功能沖突而發(fā)生的，是組織運行系統(tǒng)過程中自發(fā)產(chǎn)生的一種偏離系統(tǒng)功能目標(biāo)的狀態(tài)。

為使得系統(tǒng)安全，我們對部件的交互作用必須進(jìn)行限制。系統(tǒng)必須具備某種“控制器”來限制和處理單個的系統(tǒng)部件行為（包括失效）以及部件之間的交互。安全的限制性狀態(tài)和系統(tǒng)危害與系統(tǒng)風(fēng)險不一樣。限制性狀態(tài)是指那些系統(tǒng)層級的行為或者狀態(tài)是不可接受的。

對系統(tǒng)某些行為進(jìn)行限制性控制并不意味著一定會有人或者自動控制部件來實施這些限制性行為，這種控制是廣義的。比如可以通過設(shè)計（冗余、閉鎖和失效-安全設(shè)計）或者過程控制（生產(chǎn)或者維護(hù)過程和行動）或者通過法律、法規(guī)、保險以及其他社會控制方法來控制部件失效以及不安全的交互。這種控制也受到社會和組織文化因素的影響。社會和組織情景包括政策、程序、共同的價值觀（文化）、激勵結(jié)構(gòu)和個體興趣等影響和“控制”這些行為。對這些情景進(jìn)行分析、設(shè)定可以創(chuàng)造和改變組織中的人員行為，從而提高系統(tǒng)安全性。

3.2 組織彈性的概念模型

基于核電廠系統(tǒng)復(fù)雜性的核安全理論認(rèn)為安全是系統(tǒng)行為的動態(tài)變化過程，而不是系統(tǒng)的一種靜止?fàn)顟B(tài)屬性。組織目標(biāo)是維持系統(tǒng)適應(yīng)這種動態(tài)變化的能力，即運行組織控制內(nèi)部和外部擾動的能力。面對越來越復(fù)雜的系統(tǒng)，安全研究需要從過去著眼于“采用提高系統(tǒng)或子系統(tǒng)可靠性的方法”轉(zhuǎn)變?yōu)椤跋到y(tǒng)應(yīng)在擾動發(fā)生時，維持和恢復(fù)系統(tǒng)功能”。Hollnagel等［32］認(rèn)為,組織應(yīng)對內(nèi)部和外部擾動的能力包括：組織對外部組織的吸收能力或者緩沖能力，指組織能夠應(yīng)對擾動的數(shù)量和種類；恢復(fù)能力，指組織在面對內(nèi)部和外部擾動時自我恢復(fù)和重構(gòu)的能力；適應(yīng)能力，指系統(tǒng)恢復(fù)后，往往是在受到內(nèi)部和外部干擾以后，重新建構(gòu)正常系統(tǒng)安全邊界的能力。

安全科學(xué)的最終目標(biāo)要求建立合適的模型對核電廠運行組織進(jìn)行定量化分析，從而評價系統(tǒng)的安全狀態(tài)并做出改進(jìn)。為此，在上述三種基本能力的基礎(chǔ)上，建立考慮上述三種能力的概念模型。概念模型包括四個部分：緩沖能力模型、恢復(fù)能力模型、適應(yīng)能力模型和組織彈性計算。

3.2.1 緩沖能力模型

組織緩沖能力定義為組織在內(nèi)部和外部擾動條件下滿足系統(tǒng)正常功能目標(biāo)的能力。因此，這個模型由兩個部分組成：系統(tǒng)功能狀態(tài)子模型、內(nèi)部和外部擾動事件分析。組織緩沖模型對于核電廠而言，組織鈍端更多的作用是建立電廠行政緩沖屏障，而組織尖端主要作用是形成操縱員對于事故的緩解能力。

系統(tǒng)功能狀態(tài)子模型是一個以時間為變量的系統(tǒng)績效測量模型，測量在t 時刻系統(tǒng)的功能目標(biāo)滿足程度。由于組織緩解能力模型是測量系統(tǒng)在應(yīng)對內(nèi)部和外部事件擾動時的績效，所以該模型必須對內(nèi)部和外部擾動事件進(jìn)行分析。與傳統(tǒng)的確定論和概率論安全分析模型不一樣，該模型的數(shù)據(jù)對象并不是“可信”或者“不可信”的事故，而是人與系統(tǒng)、系統(tǒng)中子系統(tǒng)、系統(tǒng)與環(huán)境可能的交互過程和交互過程中自發(fā)形成的新的功能狀態(tài)。

3.2.2 恢復(fù)能力模型

恢復(fù)能力模型建立在緩沖能力模型的基礎(chǔ)上，其主要目標(biāo)是辨識組織在應(yīng)對內(nèi)部和外部擾動事件時潛在的恢復(fù)行為。組織在應(yīng)對內(nèi)部和外部擾動事件過程中會消耗工業(yè)系統(tǒng)中的可利用資源，從而降低t+1 時刻組織應(yīng)對擾動事件的緩沖能力。這些潛在的恢復(fù)行為包括：修復(fù)核電廠受損的設(shè)備、加強核電廠經(jīng)驗反饋、加強培訓(xùn)、從已發(fā)生事件中學(xué)習(xí)等。

3.2.3 適應(yīng)能力模型

適應(yīng)能力模型的目標(biāo)是分析研究組織在運行系統(tǒng)應(yīng)對擾動事件后的適應(yīng)能力，通過計算組織應(yīng)對擾動事件后的組織績效來測量。組織調(diào)動資源對核電廠系統(tǒng)進(jìn)行恢復(fù)后，采用等距離時間分布對系統(tǒng)績效進(jìn)行測量。

假定系統(tǒng)原來的組織彈性處于一定的狀態(tài)，適應(yīng)能力模型是通過測量系統(tǒng)彈性的變化來監(jiān)測組織遭遇破壞性事件后的適應(yīng)能力，表達(dá)式為式（1）。

式中：T——系統(tǒng)恢復(fù)到正常狀態(tài)的時間，s；

T*——系統(tǒng)恢復(fù)到原始狀態(tài)的時間，s；

X——比率，R（X，T）是破壞性事件起始到系統(tǒng)恢復(fù)并保持穩(wěn)定狀態(tài)的時間段內(nèi)，系統(tǒng)實際的彈性與無破壞性事件發(fā)生時系統(tǒng)的彈性的比率。R（X，T）越大，表明系統(tǒng)的適應(yīng)能力就越大。

3.2.4 組織彈性計算模型

定義某一特定的復(fù)雜工業(yè)組織的彈性為Res.，

式中，δ——組織緩沖能力；

ρ——組織適應(yīng)能力；

?——組織恢復(fù)能力；

τ——等距時間因子，當(dāng)所能恢復(fù)的組織績效能力降低（組織適應(yīng)能力與組織緩沖能力之差），τ的影響能力隨之降低。組織如果能夠快速恢復(fù)系統(tǒng)穩(wěn)定狀態(tài)，也就是τ較小，核電廠組織的整體能力會變得更強。

4 結(jié)束語

隨著一系列核電廠系統(tǒng)事故的發(fā)生，核安全已經(jīng)成為安全研究的一個重要課題。本文對于核安全研究做了文獻(xiàn)回顧，在此基礎(chǔ)上，根據(jù)系統(tǒng)論的安全研究方法，提出組織彈性的基本研究思路和概念模型。