劉時(shí)賢，侯秦脈，褚倩倩，車樹偉，焦 峰

（生態(tài)環(huán)境部核與輻射安全中心，北京 100082）

為了吸取執(zhí)照運(yùn)行事件的經(jīng)驗(yàn)教訓(xùn)，采取糾正措施防止類似事件重發(fā)，營運(yùn)單位和核安全監(jiān)管機(jī)構(gòu)普遍要求對核電廠執(zhí)照運(yùn)行事件進(jìn)行事件調(diào)查和根本原因分析。根本原因分析方法主要有故障樹分析法、屏障分析法、任務(wù)分析法、事件原因因素圖（ECF）分析法等。其中，故障樹分析法用樹狀圖來直觀地表示所有可能導(dǎo)致分析失效發(fā)生的原因，可以幫助確定事件可能的故障模式、故障的可能原因，并確定降低故障概率可以采取的措施［1］。

目前，故障樹分析法已在事件分析中得到廣泛應(yīng)用，如苑景凱等［2］結(jié)合REA系統(tǒng)設(shè)備運(yùn)行控制原理及電磁流量計(jì)的原理，確定了導(dǎo)致REA系統(tǒng)自動(dòng)補(bǔ)給因硼酸流量不一致跳閘的根本原因；王媛媛等［3］采用動(dòng)態(tài)故障樹建立了核電廠數(shù)字化化學(xué)與容積控制系統(tǒng)上充功能的可靠性模型，采用最小割集法和Markov模型進(jìn)行可靠性定量分析；盧少林等［4］對柴油機(jī)缸蓋損壞的嚴(yán)重事故的因素進(jìn)行排查，確定了事故的根本原因。已有故障樹分析法的應(yīng)用主要集中于系統(tǒng)或設(shè)備故障事件分析，在人因事件分析中的應(yīng)用較少。在人因事件的分析中，因果分析法和原因因素圖法應(yīng)用較多，如焦峰等［5］對控制棒驅(qū)動(dòng)機(jī)構(gòu)電源全部喪失導(dǎo)致反應(yīng)堆自動(dòng)停堆事件進(jìn)行了根本原因分析；馬國強(qiáng)等［6］對某核電廠主給水喪失手動(dòng)停堆后操縱員人因失誤進(jìn)行原因分析。上述工作［5，6］表明，目前對人因事件進(jìn)行分析較多使用原因因素圖法或因果分析法，較少采用故障樹分析法，本文將采用故障樹分析法對人因事件進(jìn)行根本原因分析。

2020年6月，國內(nèi)某核電廠操縱員錯(cuò)誤關(guān)閉1號(hào)機(jī)組設(shè)備冷卻水系統(tǒng)（1RRI）公用負(fù)荷隔離閥，導(dǎo)致乏燃料水池失去冷卻8.5 min，違反了運(yùn)行技術(shù)規(guī)范［7］。本文通過故障樹分析法對該事件進(jìn)行根本原因分析。

1 故障樹分析法簡介

故障樹分析法用樹狀圖來直觀地表示所有可能導(dǎo)致分析失效發(fā)生的原因［1］。通常最上層的棱形表示要調(diào)查的主要失效，即頂事件。故障樹中，橢圓形用來表示所有的失效或原因，下一層橢圓表示其上一層失效的原因，這些原因本身或它們的組合直接導(dǎo)致了上一層失效的發(fā)生；而對其下一層來說，它又表示要繼續(xù)調(diào)查的失效。導(dǎo)致每個(gè)第二層原因/失效的最直接原因列在第三層。重復(fù)這一過程，最后形成一個(gè)展開的有大量分枝的樹狀圖。位于故障樹最底層的橢圓，就是導(dǎo)致失效的深層次原因。

為了使故障樹圖有效并且容易理解，需要遵循以下兩條基本準(zhǔn)則：第一，下一層的橢圓與上一層的橢圓必須通過邏輯門連接起來，即每個(gè)失效必須與原因通過邏輯關(guān)系連接，如或門、與門、非門以及與非門等。第二，一個(gè)邏輯門不能直接連到另一個(gè)邏輯門上，邏輯門只能連接上一層的原因或失效和下一層的原因或失效。當(dāng)兩個(gè)或兩個(gè)以上的原因同時(shí)存在才可導(dǎo)致上一層失效時(shí)，用“與門”；在識(shí)別的原因里只要其中一個(gè)原因存在就能導(dǎo)致上一層失效時(shí)，用“或門”，故障樹流程如圖1所示。

圖1 故障樹流程Fig.1 Flowchart of fault tree

故障樹能夠清晰地表達(dá)原因和失效（上一層的原因）的邏輯關(guān)系。在故障樹的末端需要判斷消除哪些因素才能避免失效的出現(xiàn)，如果這一失效是事件發(fā)生的主要原因，那么這些末端的原因就是事件發(fā)生的根本原因。但建立正確的故障樹需要花費(fèi)大量的時(shí)間，而且比其他分析方法需要更多的專業(yè)知識(shí)。

經(jīng)過多年的人類行為學(xué)研究，人們對出現(xiàn)不當(dāng)行為的原因有了較深刻的認(rèn)識(shí)，從而對導(dǎo)致人的不當(dāng)動(dòng)作或狀態(tài)的原因進(jìn)行了歸納，這些歸納的成果為人因事件的故障樹分析提供了指引。通常采用“人員失誤分析五類因素引導(dǎo)模型”或“人員失誤或不當(dāng)動(dòng)作失效機(jī)理分析模型”進(jìn)行人員失誤分析［8］，本文采用第一種模型對人因失誤事件進(jìn)行故障樹分析。

2 主要事件序列

2020年6月20日，某核電廠處于換料停堆模式。當(dāng)天11:30 ，召開T1 EIE001工前會(huì)，約12:00 ，操縱員開始設(shè)置T1EIE001 狀態(tài)，在確認(rèn)1RRI公用熱交換器切換至B列供水后，執(zhí)行主控部分第3步：通知現(xiàn)場關(guān)閉1RRI A列的公用熱交換器的手動(dòng)隔離閥1RRI039/060VN，如圖2所示。

圖2 RRI系統(tǒng)圖Fig.2 Diagram of RRI system

14:59，操縱員執(zhí)行T1EIE001的A列安噴試驗(yàn)后的恢復(fù)操作，在執(zhí)行“恢復(fù)來自A列的公用熱交換器供水閥1RRI041/058VN”指令時(shí)，開啟1RRI041/058VN（根據(jù)試驗(yàn)程序的邏輯，應(yīng)該保持1RRI041/058VN關(guān)閉），操縱員看到程序備注信息“根據(jù)當(dāng)時(shí)1RRI運(yùn)行狀態(tài)設(shè)置，防止串水”及1RRI A/B列公用負(fù)荷電動(dòng)閥門均處于開啟狀態(tài)，誤認(rèn)為發(fā)生了串水，忘記之前在初態(tài)設(shè)置時(shí)已通知現(xiàn)場將1RRI A列至公用熱交換器的手動(dòng)隔離閥1RRI039/060VN關(guān)閉，在未通過1RRI頭箱液位趨勢確認(rèn)是否已發(fā)生串水的情況下，向機(jī)組長申請操作1RRI006KG將1RRI公用負(fù)荷切換至A列冷卻，機(jī)組長未核實(shí)程序指令，也未獨(dú)立核實(shí)1RRI頭箱液位，便同意操縱員執(zhí)行操作，關(guān)閉了1RRI B列的公用熱交換器電動(dòng)供水閥1RRI040/059VN。

15:08，操縱員執(zhí)行程序到要求現(xiàn)場“開啟A列的公用熱交換器供水閥1RRI039/060VN”指令時(shí)，意識(shí)到之前關(guān)閉1RRIB列的公用熱交換器電動(dòng)供水閥1RRI040/059VN是錯(cuò)誤的，重新開啟了1RRI040/059VN恢復(fù)公用熱交換器冷卻水，同時(shí)關(guān)閉1RRI A列的公用熱交換器電動(dòng)供水閥1RRI041/058VN。

15:14，操縱員告知機(jī)組長執(zhí)行錯(cuò)誤操作導(dǎo)致1RRI公用負(fù)荷流量短時(shí)失去。

16:35左右，機(jī)組長匯報(bào)值長，因程序理解偏差進(jìn)行操作導(dǎo)致1RRI公用負(fù)荷短時(shí)失去流量，值長考慮試驗(yàn)將要結(jié)束，且狀態(tài)已經(jīng)恢復(fù)，同意機(jī)組長和操縱員繼續(xù)執(zhí)行試驗(yàn)。

6月23日夜班后，值長進(jìn)行值班小結(jié)時(shí)，與機(jī)組長再次回顧執(zhí)行T1EIE001的過程，認(rèn)識(shí)到存在錯(cuò)誤操作閥門偏差，對反應(yīng)堆換料水池和乏燃料水池冷卻和處理系統(tǒng)（PTR）的可用性受到影響需進(jìn)行分析，填寫人因偏差單進(jìn)行報(bào)告。

事件導(dǎo)致乏燃料水池失去冷卻8.5 min，乏燃料水池溫度由30.85℃上升至30.95℃，違反運(yùn)行技術(shù)規(guī)范中“PTR系統(tǒng)兩列必須可用，其中至少一列運(yùn)行以保證乏燃料水池的冷卻”的規(guī)定。

3 事件原因分析

3.1 事件的故障樹分析

（1）確定事件的主要失效點(diǎn)作為頂事件

本事件的主要失效點(diǎn)是操縱員錯(cuò)誤關(guān)閉了1RRI B列至公用用戶電動(dòng)隔離閥1RRI040/059VN，導(dǎo)致乏燃料水池失去冷卻。將主要失效點(diǎn)“錯(cuò)誤關(guān)閉1RRI B列至公用用戶電動(dòng)隔離閥”放在棱形框內(nèi)，作為故障樹的頂事件，是本次集中分析的重點(diǎn)問題。

（2）確定頂事件的所有可能原因和邏輯關(guān)系

頂事件“錯(cuò)誤關(guān)閉1RRI B列至公用用戶電動(dòng)隔離閥”屬于人因失誤事件，其所有可能原因包括交流問題、人員表現(xiàn)問題、人機(jī)接口問題、工作控制問題、管理方法問題五個(gè)方面［8］，用或門作為邏輯門將頂事件與其所有可能的五個(gè)原因連接起來，如圖3所示。從主要事件序列可知，本事件只涉及人員表現(xiàn)問題和工作控制問題，不涉及交流問題、人機(jī)接口問題以及管理方法問題。因此人員表現(xiàn)問題和工作控制問題作為需要進(jìn)一步分析的第一層原因，必須深層次分析。

（3）確定頂事件的第二層原因

將所找出的與本事件相關(guān)聯(lián)的第一層原因“人員表現(xiàn)問題”“工作控制問題”作為失效，去調(diào)查這兩個(gè)失效的原因，即頂事件的第二層原因，并用邏輯關(guān)系將這些原因和失效連接起來，如圖4所示。

圖4 頂事件的第二層原因Fig.4 The second causes of the top event

首先，“人員表現(xiàn)問題”的原因包括外部原因和內(nèi)部原因。其中，外部原因是指程序指令不明確，要求操縱員判斷執(zhí)行：操縱員執(zhí)行T1EIE001程序指令“恢復(fù)來自A列的公用熱交換器供水閥1RRI041/058VN”時(shí)，指令未明確是“開啟”還是“關(guān)閉”閥門，容易導(dǎo)致操縱員理解錯(cuò)誤。內(nèi)部原因是指操縱員未正確理解程序的邏輯及指令的目的：程序指令要求“恢復(fù)來自A 列的公用熱交換器供水閥 1RRI041/058VN”，操縱員理解為試驗(yàn)準(zhǔn)備階段設(shè)置的初態(tài)（試驗(yàn)準(zhǔn)備階段，現(xiàn)場關(guān)閉 A 列公用負(fù)荷手動(dòng)隔離閥 1RRI039/60VN 后開啟相應(yīng)電動(dòng)隔離閥1RRI041/058VN ），錯(cuò) 誤 開 啟 1RRI041/058VN（根據(jù)試驗(yàn)程序的邏輯，應(yīng)該保持關(guān)閉），同時(shí)操縱員看到程序備注信息“根據(jù)當(dāng)時(shí)1RRI運(yùn)行狀態(tài)設(shè)置，防止串水”以及1RRI A/B列公用負(fù)荷電動(dòng)閥門均處于開啟狀態(tài)，誤認(rèn)為發(fā)生了串水，忘記之前在初態(tài)設(shè)置時(shí)已通知現(xiàn)場將1RRI A列至公用熱交換器的手動(dòng)隔離閥1RRI039/060VN關(guān)閉，在未通過1RRI頭箱液位趨勢確認(rèn)是否已發(fā)生串水的情況下，向機(jī)組長申請操作1RRI006KG將1RRI公用負(fù)荷切換至A列冷卻（關(guān)閉1RRI B列的公用熱交換器電動(dòng)供水閥1RRI040/059VN），實(shí)施了不當(dāng)操作。

其次，“工作控制問題”的原因包括工作組織、計(jì)劃存在問題，監(jiān)護(hù)、指導(dǎo)存在問題。其中，工作組織、計(jì)劃存在問題是指核電廠對重大高風(fēng)險(xiǎn)活動(dòng)準(zhǔn)備、管控不足：T1EIE001為大修期間高風(fēng)險(xiǎn)運(yùn)行活動(dòng)，根據(jù)管理程序《運(yùn)行一二部大修管理》要求，“大修中，對于篩選出的有重大風(fēng)險(xiǎn)以及理解和執(zhí)行上有困難的定期試驗(yàn)，其每一個(gè)試驗(yàn)都應(yīng)在試驗(yàn)前一周落實(shí)運(yùn)行值的專人進(jìn)行準(zhǔn)備并由其負(fù)責(zé)按計(jì)劃執(zhí)行。定期試驗(yàn)負(fù)責(zé)人應(yīng)與指定執(zhí)行人一起準(zhǔn)備，必要時(shí)尋求各專業(yè)的技術(shù)支持或成立專業(yè)小組。定期試驗(yàn)負(fù)責(zé)人對試驗(yàn)的全過程進(jìn)行跟蹤協(xié)調(diào)?！痹撛囼?yàn)T1EIE001屬于篩選出的有重大風(fēng)險(xiǎn)以及理解和執(zhí)行上有困難的定期試驗(yàn)［7］，核電廠只在執(zhí)行試驗(yàn)的前一天（6月19日）20:20召開預(yù)工前會(huì)，未提前交底，不符合管理程序《運(yùn)行一二部大修管理》要求。因此，電廠對重大高風(fēng)險(xiǎn)活動(dòng)準(zhǔn)備、管控不足，試驗(yàn)實(shí)施過程中未采取有效措施進(jìn)行風(fēng)險(xiǎn)管控。監(jiān)護(hù)、指導(dǎo)存在問題是指機(jī)組長屏障失效，未對操縱員提供有效的監(jiān)護(hù)和支持：執(zhí)行T1EIE001過程中，當(dāng)操縱員通知機(jī)組長需操作1RRI006KG將1RRI公用負(fù)荷切換至A列冷卻時(shí)，機(jī)組長僅檢查了1RRI A/B兩列為公用熱交換器供水的電動(dòng)閥門已開啟，既未核實(shí)程序指令，也未獨(dú)立核實(shí)1RRI頭箱液位，便同意操縱員執(zhí)行操作關(guān)閉了1RRI B列的公用熱交換器供水閥1RRI040/059VN。因此，機(jī)組長試驗(yàn)管控能力不足，未對操縱員提供有效的監(jiān)護(hù)和支持，機(jī)組長屏障失效。

（4）確定頂事件的第三層原因

將頂事件的第二層原因“內(nèi)部原因：操縱員未正確理解程序的邏輯及指令的目的”作為失效，去調(diào)查其失效的原因，即頂事件的第三層原因，并用邏輯關(guān)系將原因和失效連接起來，如圖5所示。

“內(nèi)部原因：操縱員未正確理解程序的邏輯及指令的目的”的深層次原因包括操縱員試驗(yàn)準(zhǔn)備、工作技能不足，以及操作過程中未采取自檢或其他防人因失誤方法。操縱員試驗(yàn)準(zhǔn)備不足體現(xiàn)在：操縱員首次執(zhí)行本次試驗(yàn)，缺乏試驗(yàn)經(jīng)驗(yàn)，且試驗(yàn)未提前交底；工作技能不足主要體現(xiàn)在：操縱員忘記之前在初態(tài)設(shè)置時(shí)已通知現(xiàn)場將1RRI A列至公用熱交換器的手動(dòng)隔離閥1RRI039/060VN關(guān)閉，也未檢查1RRI頭箱液位趨勢，錯(cuò)誤判斷RRI發(fā)生了串水后操作不當(dāng)；操作過程中未采取自檢或其他防人因失誤方法體現(xiàn)在：操縱員在試驗(yàn)過程中執(zhí)行T1EIE001程序指令“恢復(fù)來自A列的公用熱交換器供水閥1RRI041/058VN”時(shí)，在程序指令不明確的情況下，未采取“STOP（停）、THINK（思）、ACT（行）、REVIEW（審）”的自檢原則，也未采取質(zhì)疑的態(tài)度或者不確定時(shí)暫停等其他防人因失誤方法。

3.2 事件的根本原因分析

從圖5可知，操縱員錯(cuò)誤關(guān)閉1RRI公用負(fù)荷隔離閥導(dǎo)致乏燃料水池失去冷卻事件的根本原因是：1）操縱員試驗(yàn)準(zhǔn)備、工作技能不足，且操作過程中未采取自檢或其他防人因失誤方法；2）機(jī)組長屏障失效，未對操縱員提供有效的監(jiān)護(hù)和支持；3）核電廠對重大高風(fēng)險(xiǎn)活動(dòng)的準(zhǔn)備和管控不足。操縱員錯(cuò)誤關(guān)閉1RRI公用負(fù)荷隔離閥導(dǎo)致乏燃料水池失去冷卻事件的促成原因是：程序指令不明確，要求操縱員判斷執(zhí)行。

圖5 頂事件的第三層原因Fig.5 The third causes of the top event

4 結(jié)論

本文介紹了國內(nèi)某核電廠1號(hào)機(jī)組操縱員錯(cuò)誤關(guān)閉1RRI公用負(fù)荷隔離閥導(dǎo)致乏燃料水池失去冷卻事件，并應(yīng)用故障樹分析法查找其根本原因。通過梳理事件序列，確定事件的主要失效點(diǎn)為錯(cuò)誤關(guān)閉1RRI B列至公用用戶電動(dòng)隔離閥，作為故障樹的頂事件；從頂事件出發(fā)，不斷查找故障樹上一層失效的原因，找出導(dǎo)致主要失效點(diǎn)的深層次原因，從而確定事件發(fā)生的根本原因。

本事件的根本原因是：操縱員試驗(yàn)準(zhǔn)備、工作技能不足，操作過程中未采取自檢或其他防人因失誤方法；機(jī)組長屏障失效，未對操縱員提供有效的監(jiān)護(hù)和支持；核電廠對重大高風(fēng)險(xiǎn)活動(dòng)的準(zhǔn)備和管控不足。根據(jù)事件的根本原因，建議營運(yùn)單位從以下三個(gè)方面進(jìn)行改進(jìn)：

1）加強(qiáng)員工技能培訓(xùn)。本事件中出現(xiàn)了操縱員未正確理解程序的邏輯及指令的目的，以及未采取自檢或其他防人因失誤工具，建議營運(yùn)單位加強(qiáng)人員技能培訓(xùn)，保證相關(guān)工作人員熟悉并理解程序要求。同時(shí)建議營運(yùn)單位對重要工作強(qiáng)制使用“質(zhì)疑態(tài)度、明星自檢、監(jiān)護(hù)”等防人因失誤工具，保證人員行為可靠性。

2）完善高風(fēng)險(xiǎn)活動(dòng)的管控。本事件中的試驗(yàn)屬于重大風(fēng)險(xiǎn)以及理解和執(zhí)行上有困難的定期試驗(yàn)，核電廠未按照程序要求進(jìn)行提前交底。因此建議營運(yùn)單位完善大修運(yùn)行高風(fēng)險(xiǎn)活動(dòng)的組織流程和管控細(xì)則，明確大修工作人員在大修準(zhǔn)備、實(shí)施階段的規(guī)定動(dòng)作和職責(zé)。

3）強(qiáng)化機(jī)組長屏障。本事件中出現(xiàn)機(jī)組長未對操縱員提供有效的監(jiān)護(hù)和支持，建議營運(yùn)單位建立機(jī)組長能力模型并實(shí)施機(jī)組長能力提升的方案，強(qiáng)化機(jī)組長屏障。

本文采用“人員失誤分析五類因素引導(dǎo)模型”進(jìn)行人因事件分析，可為采用故障樹分析法對人因事件進(jìn)行根本原因分析提供參考。