“福岛”启示：人是核电的“有机”构成

福岛核事故发生三年多了，世界、特别是中国的舆论还没有平息，还在谈论经验教训。不同的人有不同的理解，得出不同的结论，这再正常不过了。虽然"现代核电"还不尽人意，但把世界能源"唯一添加"的这个"人类智慧创造的伟大奇迹"说成"魔鬼"[A]，有点"数典忘宗"。福岛事故、包括之前的所有重大核事故对人类的"启示"究竟是什么，好像一时还没有"一致"的结论，但也不必感到"震惊"。

不过，最近情况有变化。尽管还没看到全文，但美国国会委托、核管会(NRC)资助美国科学院的报告有些新意："某些与核电厂管理、设计和运行的因素妨害电厂人员取得更大的成功，并使整个事故的更加严重"[B]，"NRC和美国核工业必须监视并维护强大的安全文化，并应寻求各种机会提高评估与改善核安全努力的透明度，加强沟通"[C]。

更使人"为之一震"的是世界核运营者协会(WANO)伦敦中心总经理、执行理事肯恩 埃利斯(Ken Ellis)最近在NEI上连续发表的两篇文章[1,2]。他用福岛后不久意大利"协和号"海难说明，"可以做到安全"不等于"已经做到安全"的事"俯仰皆是"，并非核能所"特有";"人为差错"是现代工业活动事故的普遍性成因。"理解高度可靠性行业如民航、宇航、制药，以及核电业的人如何"做事"极其重要，特别是在他们不遵守规则时…"人和设施构成复合系统差不多就是个有机过程，经受的许多影响、人际互动和人际关系，远远超出工程技术规范和可靠性预测。"自满是一帆风顺电厂的大问题";组织机构的风险偏好表现在管理者和主管们的决策中;个别管理人员对风险的容忍和合理化以及他们的技术深度(或缺乏深度)也可能促进不安全的工作实践。行动比言语更有说服力，领导的行动给公司员工定了"调子"。的确，许多人不习惯按"规则"办事，更热衷揣测领导的"意图"。所以核工业的领导要"谨言慎行"，以免铸成大错，遗憾终生。

我是个"退休的核工程师"，我想说：我国核能发展有"很大"进步，但不能估价过高;有完整的核工业体系，有"后发优势"，但技术基础还相当薄弱;之前和今后几乎在每个环节上还要与"外方"合作或"引进技术"，才能前进一步。我们还有严峻的学习任务。如果自以为"了不起"，能"傲视群雄"了，就可能成为"孤家寡人"。要警惕：我们很可能犯与原苏联类似的错误，因为我们几十年走过的道路和指导思想有很大的相同之处。

核电是"舶来品"，要学习，就要遵守、使用"共同语言"，不过份"自信"。科学的东西不能"中学为体西学为用"，什么都要中国"特色"。允许不同意见公开讨论，是制度性的进步，有利于科学知识的普及，提高国人的"辨识"能力。科学机构和国家机关不能消极对待和不作为，最起码不能容忍"虚诳"盛行。

如果大胆预言世界还有下一次"严重事故"的话，可以断言，即使是"外因"，也不是福岛事故的"重复"。在这点上，美国科学院的报告有可取之处：核电厂业主和监管部门"必须积极找出潜在影响核电厂安全的新信息并做出响应"。

事故调查经常归结为"人为差错"。但这种调查结果实际上只是理解运行复杂系统如核电厂的人如何"做事"的"冰山一角"。真正降低风险，需要弄清人员绩效问题的真相。

(一)

意大利"协和"号(Costa Concordia)是有卫星和雷达导航系统的超现代化游轮。2012年，按照预定航线航行时，还有满配合格人员的船桥，但在游轮离港前已停止活动。有两套3航海图，1：100000和1：20000的地图特别适用于浅海。还有成套的操作规程，在某些浅海区限制船速。既然有这些层次的"纵深防御"，这样的船会搁浅是"不可思议"的。但她真的搁浅了，就在2012年1月13日。[D]

搁浅地远远偏离班轮预定航线，游轮曾在浅海区以三倍最大速度航行，撞在岛礁上。

附图1. 2012-01-13,协和号游轮在地中海、意大利的吉廖岛附近触礁。船上4200人中，11人死亡，24人失踪。

问题不在于船。与复杂系统的基本原理不同，人不遵守物理或热力学定律，他们可能发生意外。原来在岛屿附近浅水区，危险的嗡嗡声很平常，人称"吉廖岛欢迎您"。旅客爱听，岛民爱听。几个月前，吉廖市长曾感谢协和号游轮的另一个船长，因为"无与伦比的景象变成了不可或缺的传统"。

"理解高度可靠性行业如民航、宇航、制药，以及核电业的人如何"做事"极其重要，特别是在他们不遵守规则时…"

在传统上，我们把"纵深防御"看作一系列屏障、安全系统和过程，那是相互分层、严格控制、精心设计的构造。

在核电厂，第一层是一系列防止放射性物质意外释放的实体屏障。这意味着铀芯块密封在燃料细棒内，后者又密封在反应堆压力容器内，而压力容器则密封在安全壳厂房内。

另外，有多重性和多样性的安全系统，确保核燃料保持充分受控和冷却。这些系统设计和建造达到了"最高标准"，定期试验、维护，并由外部专家如WANO同行评估队进行评估。

除此以外，还有强健的"应急响应计划"，也定期排演、改进。

所有这些加在一起，我们就有了一个传统的"纵深防御"观念。实际上它是与设备、过程和人员密切结合在一起的。

作为工程师和核专业人员，我们常常从这个"方程"的最初两个因素获取"慰籍"。我们理解设计或运行设备的强健性。我们知道封闭在反应堆内设备的材料性能和设备制造需要的工艺技术。

同样地，我们领悟让这些机械运转的细节和可靠的过程逻辑。我们理解编入每个规程的安全措施，旨在指导我们一步接一步地、从头到尾安全发电。

复杂系统

这些是可预测、可重复的系统。供给一套定义的限值，它们就给出一套定义和有限的输出。所谓'复杂系统'经常是个工程奇迹;例如航空器。飞机是个复杂的、相互关联但又由单个部件构成的集合体。这个系统如果其部件同时正确地运作，作为一个整体，就会行驶唯一的功能。这个机器可以解体，而后复原，仍能正常运作。

在这类系统中，使用"度量"标准如故障前平均时间(MTBF)、有限模式和效应分析(FMEA)和单点易损性(SPV)，风险能够量化为部件可靠性总和。有量化的风险，就能决定这个水平的风险是否可接受。

复杂系统发生事件，事故调查员将使用牛顿因果关系分析，找出哪里出了问题。他们相信，能从结果开始并及时沿着因果链追踪，重建整个事件，因为没有初始原因或供给系统的输入，就没有"效应"。

事件或事故后，我们的自然反应是根据事件的线性链，建造更多"纵深防御"实体屏障。追查事件到一个根本原因是事故分析的目标;根本原因使设备故障或动作，它往往是"人为差错"。

别误解我的意思。这种方法过去完全适用于我们行业，现今适用，将来仍然是强有力的工具。但它没有讲述整个故事，通常没有充分考虑人的因素。据我的经验，人是这个组合的最重要的组成部分，也可能最具挑战性。

复合系统

作为人类，我们可以有意或无意地绕过设备和过程。设备按照物理规律、热力学定律以及材料的性能运转，但人处在综合设施和千变万化的工作场所，对某种现象，不同的人有不同的理解和认识。我们基于个人的经验、感受的压力，并对自己发现所处的状态做出反应。

人是另一类系统的重要组成部分，有人称之为复合系统。他们经受到许多影响、人际互动和人际关系，远远超出工程技术规范和可靠性预测。

考虑飞机的例子：飞机本身是个复杂的部件构成的系统。让它实际上飞行是个复合系统，涉及飞行员和机组人员。这些人技术高超而且经验丰富。他们也受疲劳、日程安排的压力、职业生涯的压力、培训的质量、全体人员的动态乃至气候等一切事务的影响。

考虑人为因素，复合系统差不多就是个有机过程。和输出取决于输出、而且与输入成正比的机器不同，人可以承认、忽略、怀疑或误解供给系统的这种输入;输入和输出是相互依赖的，但它们确切的关系并不清晰。

作为人类，他们回顾事件时，对发生了什么、他们处在事件之中对正发生什么，以及未来如果面对事故演变将会发生什么，也可能有非常不同的观念和看法。实际上经常很难确定这些中哪个最接近真实。

在复合系统中，部件响应局限于它们接受什么样的信息以及它们在手段和时机方面采取行动的自由度。人在系统组合中，不仅仅有硬接线的机器，输入和输出不能总被重建。这也意味着起始条件中极小量的变化可能导致后来显著的差异，实际上它们之间已没有任何比例关系。

著名的英国化学家特里沃克莱茨(Trevor Kletz)说过，"说事故起因于人为过失，就像说坠落是因为地心引力。这是事实，但无助于事故预防"。[E]

事故调查者和事故报告的读者需要承认，绝对重建有涉案人员非线性反应的事件或许"令人为难"，要设法规避。以下的演进尝试代表复合系统的行为，从而不那么多地集中于人因失误和违规，但集中于真实动态工作环境中产生它们行为的机制。

(二)

一般说来，运营核电厂是、或者应当是风险预知决策(risk- informed decision making)的锻炼。风险是个别输入的总和，或许是配置不当或者整合不良活动的产物。有良好风险意识的管理者可以看出"先兆"丛生，而且随时会停止运行。(只是看到了，他们必须考虑有足够的时间进入现场并执行标准，而不是沉迷于处理行政问题的会议)。

某些事故先兆包括：

" 领导班子，或者领导能力不足

" 夜间操作：我们不适合夜间操作

" 时间压力(实际的或感知的)

" 来自主管或公司办公室的非正式消息

" 接受的各种异常

" "无懈可击"的感觉

" 没有正确识别风险(概率乘后果)

" 标准在暗暗降格

自满是一帆风顺电厂的大问题。良好的绩效和记录致使"自信"不会发生错误，有一种"无懈可击"的感觉，导致标准下滑。有人说"我们有那么多安全系统保护反应堆，不会发生故障"时，要承认标准在下滑，因为不应依赖这些系统。

反应式决策是个冒险的"交易";一旦遭遇，只知什么是个可接受的风险(见附图2)。但当面对异常环境和是否继续进行存在不确定性时，必须有人做出决定。在核工业内，这种状况经常涉及不常见试验或绩效演变(ITPE)程序和文件(如INPO SOER 91-01)。这种程序需要跨职能的团队开会讨论风险和后果，如需要则编写程序，而且应当开发缓解对策应对出错的某些环节。

附图2：运行极端条件间反应式退役路径示意图(适用于金融投资)

在复合系统内，可能因多种常见的人类行为危及安全裕度。违犯运行规程可能变为常态;可能是容忍的某种慢慢降低标准在"暗中为害"。组织机构的风险偏好表现在管理者和主管们的决策中;企业意识到工作规划的安全影响了吗?个别管理人员对风险的容忍和合理化以及他们的技术深度(或缺乏深度)也可能促进不安全的工作实践。

领导的行动给公司员工定了"调子"，行动比言语更有说服力。正如WANO'人员绩效卓越原理'所说，"很容易通过简单地观察领导者的行动， 跟据 专注、判断或控制什么以及对事件或危机的反应，认识他或她的价值观和信念…"[WANO-GL 2002-02]。

我们的目标是缩小构成可接受风险因素族群。人类演员能驾驭自如的工作空间受行政法规、功能和安全相关制约条件的约束。与其努力控制行为，防止偏离特定的、预先计划的道路，不如把焦点放在运行状况控制上，使边界明晰可知，并给工作人员训练应对边界状态处理技能的机会。

核工业的标准导则如受欢迎的加拿大'事件树工具'列出了常规工作的良好实践，能帮助改善安全：

" 班前简要布置工作

" 自检

" 利用和坚守运行规程：什么是工作人员应有的态度?运行规程仅仅"只供参考"还是应当定期提到?执行规程期间，要逐字逐句地遵守规程并妥善保存吗?

" 三次沟通：在每个阶段"逐条"确认指令，以降低"误解"的风险。接到特定指令(一);工作人员"复令"，重申他或她理解这个命令(二);然后确认那种理解(三)

" 保守决策：采取任何行动，特别是在情况不明时，"渐进"更安全

" 质疑的态度：面对不确定性，决不继续进行。进行咨询并求得澄清

我对人们学习和成长的能力有极强的信心。我相信人，我们有能力评估并适应变化的环境，帮助复合系统保持安全。我们是唯一能通过真实运行条件下存在的压力迷宫，找到前进方向的人，不"活"在蓝图和计算机模型的理论世界里。

30多年来我个人"工具箱"里的问题，全都像头上的安全帽或手中的运行规程一样宝贵，如"可能出现的最坏情况是什么?"这是个从不会完全得到解答的问题，对我们的想象力没有限制。但如果人们继续努力的步骤是关键的话，能得到理解。通过提问什么可能出错，利用我们所有的运行经验、运行规程细节和全体员工的经验，我们尝试"组合"一个可能的事故。有这些知识，我们能够起草一个"缓解战略"。这个过程有点像没有"图画"但装配一个"七巧板";部件是过程的构成部分或系统的组成部分，图画是事故，而目标是防止给定的部件构成事故。事故后的调查工作"方向"相反：分解这个大图画是怎样由过程或系统细节组合成的。悲哀的事实在于，事故调查经常断言，事故正静静躺在有缺陷的组织程序内，等待出现的机会。

管理"人员绩效"风险的建议如下：

1. 经常谈论风险、复杂性，以及它们的关系

2. 进行职场行为预期和观察间的差距分析。正如"所得非所欲"强调的，期望和现实之间往往有差异

3. 主动征求不同意见，防止有意的"盲区"

4. 辩论什么才是可接受的"边界"

5. 讨论人们行为的前因，包括公司非正式信息

6. 决不允许怀疑、挑战"不确定性"

7. 需要证明系统运行足够安全;不够安全则停机

8. 要求运行决策(ODM)论坛讨论面对异常运行挑战方面的问题

9. 要当心，是否根本原因调查的结论是个粗心大意的调查结果，揭示的只是部分情况?

10. 扩大纵深防御战略的范围，包括复合系统及其内在的"非线性"概念

11. 创设核安全文化监督专家组，每季度召开会议。

应当讨论上面列出的问题，考虑多少行动或系统可作为"先兆"，积极尝试阻止事故发生。

原标题：“福岛”启示：人是核电的“有机”构成