三里岛——操纵员的自述

我经历的三哩岛事故——三哩岛事故操纵员自述（2003年）很久以前的一个午夜，一艘邮轮航行在冰海上。两名船员在控制室操纵着邮轮，一名大副在值班。一切都很顺利，每一名船员都在做着自己的日常工作。他们都很放松，没有任何警惕。因为没有迹象显示会有事情发生，没有理由怀疑会有差错出现。但是，一个报警出现了：邮轮前方出现一座巨大的冰山！冰川在泰坦尼克身上划出了一条很长很深的裂口，海水进入了邮轮，邮轮开始沉没。船长得到了报告，他说：不，不可能，泰坦尼克不可能沉没！不久前，同样是在一个午夜，一座反应堆正在运行。两名操纵员在控制室操纵着反应堆，一名值长在值班。一切都很顺利，每一名操纵员都在做着自己的日常工作。他们都很放松，没有任何警惕。因为没有迹象显示会有事情发生，没有理由怀疑会有差错出现。但是，一个报警出现了，接着另一个报警出现了，接着很多的报警出现了。正在运行的新反应堆遇到了麻烦，冷却剂开始泄漏。几天后，人们告诉我：堆芯已经熔毁了。我说：不，不可能！早在三哩岛事故前的18个月，即1977年9月24日，与三哩岛电站同类型的戴维斯贝斯电站发生过类似的事件。当时，一个虚假的信号导致了主给水隔离。辅助给水启动，主蒸汽隔离阀关闭。主系统压力上升，卸压阀开启。主系统温度上升，稳压器水位上升。手动停堆后主系统压力迅速下降，但卸压阀没有关闭。高压安注启动。操纵员停止了安注。幸运的是，20分钟后操纵员识别出故障，关闭了卸压阀前的电动隔离阀，恢复了安注。（续下页）事件后，戴维斯贝斯电站的反应堆供应商B&W公司的一名高级工程师在一份备忘录中措词强烈地指出：事件中操纵员错误地停止了应急堆芯冷却系统。这种错误如果再次发生，将会导致非常严重的后果。因此必须尽快向操纵员发出清晰明确的（避免错误停止应急堆芯冷却系统）指令。但遗憾的是，没有任何一个指令发出，13个月后，三哩岛事故发生了。……我是谁？爱德华•弗雷德里克；曾在美国战略导弹核潜艇上复役；三哩岛电站主控室持照操纵员；高级操纵员培训教官；事故发生时的当值操纵员，并在事故中犯了关键性错误；事故后开发了基于安全文化的事件报告系统，并在其它电厂推广。事故改变了一切……一天，我照常去上班，然而事故发生了。从这一天开始，所有的一切都改变了。这次事故是——“美国历史上最严重的商用反应堆事故”堆芯燃料熔毁；反应堆压力容器损坏；大量受到污染的水泄漏到厂房地面；公众受到严重惊吓；县、州、联邦各级政府毫无应急响应准备；感谢老天，没有人受伤。事故来临了，我却没有感觉，因为：这一天只是很平常的一天；我按照惯常的方式做事；没有感到有什么不同；我是一名接受过高级培训，具备优秀技能的技术人员；我以前也经历过反应堆瞬态和紧急事件。为什么要告诉你我的故事？因为：核电站是高技术产业；核电站具有较高的风险；核电站服务于大众，关系到公众安全，如同其它公共事业：石油，电力，自来水，交通，食品……；你们可以从故事中学到教训，可以将这些教训应用到你们的工作中。事故要点蒸汽发生器给水系统出现故障反应堆主系统高压，卸压阀开启，反应堆停堆。卸压阀开启后未能关闭，主系统泄漏。将卸压阀“（要求）开”指示灯熄灭误理解为卸压阀已关闭。对卸压阀卡开造成的稳压器水位上升现象，我做了错误判断：以为主系统已满水，但实际上主系统的1/2容积是空的。（续下页）事故要点因担心主系统水实体运行，我停运了高压安注系统。反应堆得不到冷却，堆芯过热。当我们意识到主系统发生了泄漏，立刻恢复了高压安注系统和主泵的运行。260℃的水涌入2760℃的堆芯，使堆芯燃料像玻璃一样破裂，堆芯坍塌。事故要点事故后果堆芯熔毁：堆芯47%的燃料熔毁，约20吨二氧化铀堆积在压力容器底部。事故后果放射性释放约2*106居里的惰性气体（氙-133）释放到环境，占堆芯总量的2％；仅15居里的碘-131释放到环境，剩余6.7*107居里的碘-131阻留在堆芯，安全壳和辅助厂房。由于安全壳的屏蔽作用，大部分放射性物质没有泄漏出去。在80公里范围内二百多万居民实际接受的辐射剂量平均每人约为1.5*10－2msv，为居民允许照射剂量的百分之一。事故后果应急响应03月30日，宾夕法尼亚州州长发布撤离劝告，劝告离电站5英里范围内的孕妇和学龄前儿童撤离，约4200人。实际上，由于担心放射性危害，在离电站15英里的范围内，有39％的公众撤离，约14万4千人。事故后果事故原因事故背后的组织因素设计上的自满设计上的缺陷事故背后的组织因素政策和认识是贡献因子……我的观点……下面我将列举我在主控遇到的，以及整个电厂所面临的问题。操纵员和值长是最有可能发现这些问题并将这些问题带给电站设计者和管理层的人。但是，我们没能在事故前发现这些问题。事故背后的组织因素因为……事故背后的组织因素我们的认识：事故处臵针对的是大问题。“既然大问题能应对，小问题也就能应对。”我们认为：如果非预期的事情发生了，操纵员凭借自己的知识和经验是能够临机处臵的。程序无法含盖每一种可能的事件组合，因此我们寄希望于操纵员的临机处臵。所以操纵员很多情况下需要做出基于知识的判断。然而现在的人员绩效理论指出：基于知识做出的临机判断至少有90％是完全错误的。事故背后的组织因素例外运行——思维模式操纵员的心理（思维）模式拘泥于例外运行例外运行的心理（思维）模式假定：系统设备处于正常运行、正常发挥功能的状态，除非仪表显示、报警、交接班信息提供了例外信息——异常状况。在这种思维模式下，交接班时重要信息（辅助给水电动隔离阀关闭）的遗失导致了严重后果。注：安全文化倡导的“质疑的态度”可以避免陷入这种思维模式。事故背后的组织因素操纵员培训：我们知道非预期的事情会发生，但我们指望操纵员能够临机处臵。因此操纵员培训非常着重于系统理论、系统设计、系统安装以及系统相互作用方面的知识和细节。旨在以此丰富操纵员的知识和经验，使其在遇到非预期瞬态时能够正确地临机处臵。因此没有将“紧急情况下操纵员要做什么”做为培训重点。事故背后的组织因素规程针对大问题：我们预期的大问题是大LOCA事故。事故进程非常短，只有几分钟时间。对每一个预期的事故，我们都有详细的处臵规程。针对大LOCA事故，有几种独立的注水系统用于补偿冷却剂泄漏。（续下页）事故背后的组织因素规程针对大问题：电站设计者相信，只要这些系统按照设计要求发挥作用，反应堆就不会毁坏。但是他们错了，因为三哩岛事故出现的是“小问题”——泄漏非常小。事故处理持续了数天。事故背后的组织因素处臵事故的方法：事故规程的编写是以事件导向为基础的。如果操纵员能够正确地识别故障，规程就会提供正确地处臵方法。所有的事故培训都要求操纵员能正确的识别故障，然后正确地执行相关事故规程。但是我们错误地识别了故障，采取了错误的行动。事故背后的组织因素自动化的讽刺：我们训练操纵员遵守书写的指令、规程，然而操纵员面对的多数情况却需要基于知识的判断和临机处臵的能力。——吉姆•里森《新技术和人因错误》事故背后的组织因素一个老问题：为什么不用自动控制替代操纵员的操作呢？事故背后的组织因素设计上的自满它不会发生……没有提供观察堆芯基本参数的仪表反应堆基本的安全原则是保持堆芯冷却。但是设计没有提供监视堆芯温度的仪表。堆芯温度是通过压力容器出口的冷却剂温度推断得出。但这是以有冷却剂通过堆芯为前提的。如果断流，将无法知道堆芯实际的温度。设计上的自满没有提供可以发现堆芯异常的手段如果堆芯温度超过堆芯压力对应的饱和温度，表明堆芯出现过热损坏。但设计没有提供可以显示堆芯出现沸腾工况的仪表，如堆芯过冷度仪表。设计上的自满没有提供重要参数的直接显示主控盘台无辅助给水流量显示仪表。操纵员通过泵的运行和阀门的开启推断辅助给水进入蒸汽发生器。事故期间，因电动隔离阀在关闭状态，辅助给水流量没有建立达8分钟。……电动隔离阀的状态信息在交接班时丢失了。你的电站是否也有类似要通过推断才能得到的重要参数呢？设计上的自满没有提供重要设备的实际状态显示稳压器卸压阀用于释放反应堆主系统出现的压力瞬态，因此卸压阀开启时间被认为是很短暂的。但在已经知道卸压阀常出现内漏缺陷的情况下，也没有提供卸压阀状态的直接指示，卸压阀状态要通过“要求”信号推断得出。你的电站是否也有要通过推断才能得出设备状态的情况呢？设计上的自满设计上的缺陷专设安全系统：允许人为闭锁安注信号。安注信号不自动触发安全壳隔离，导致放射性扩散至辅助厂房和大气环境。设计上的缺陷报警：主控盘台上方的报警指示超过1300个。这些报警无优先级规定，颜色编码无逻辑性。每一个报警都通过一个刺耳的高音喇叭发出声音。新报警一出现，喇叭就发出一次高音。事故开始的前14分钟，有超过800个报警出现。设计上的缺陷“计算机”：当报警出现后，计算机对报警进行排序。计算机终端是一台孔式打印机，经常卡纸。打印机每分钟打印不超过6行文字。而事故开始后的一分钟就有超过100行的报警信息。你是否也被低劣的设备所纠缠并为此付出代价呢？设计上的缺陷朦胧的感觉——不知道重要设备的现场状况看不到现场设备听不到现场设备对现场设备没有真实感觉注：一套辅助监视系统如CCTV系统可以帮助操纵员看到听到重要设备的现场状况。设计上的缺陷事故后的进步设计改进：增加了宽量程的堆芯温度监测仪表；增加了堆芯过冷度实时监测仪表，并确定了过冷度的最低限值；增加了稳压器卸压阀开度指示仪表；增加了压力容器水位指示系统PVLIS；增加了关键安全参数显示系统SPDS确定了报警信号优先级别。事故后的进步事故后的进步设计改进：改进主控报警系统；改进主控室显示仪表的界面，以及采用数字化仪表；改进各系统控制盘台上的流程模拟图，阀门和泵用不同的符号表示；数据计算机更换为三台带多个终端的新型计算机；在主控室增加了一套工业电视系统，用于监视重要安全设备的现场状况。事故后的进步规程改进：引入了征兆导向的应急运行规程。我们不再需要识别事故，只需要根据征兆处臵来避免出现严重后果。事故后的进步管理改进：增加主控操纵员人数；改进电站标牌；成立培训中心，将使用全尺寸仿真模拟机进行培训做为强制性要求。建立核电站事故应急响应体系。事故后的进步新思维：引入人因工程原理，改善人－机接口，人－规程接口。征兆导向的原则引入EOP规程。在该原则下，操纵员仅需检查关键安全参数，通过规程引导，将关键安全参数维持和恢复到限值内，确保反应堆安全。操纵员无需先做事故诊断。建立电站状态报告系统。INPO（核动力运行研究所）成立，促进业界信息、经验交流。事故后的进步安全文化：是核卓越的一个重要元素，但安全文化的建立需要漫长的时间。我们为此奋斗了25年。我们：鼓励员工报告任何对电厂不利的问题或缺陷；投入足够的人力和物力解决报告的问题或缺陷。——在事故发生之前花钱，而不是在事故后。将电站变成一个学习性组织。25年后我们的成就……成就在过去13年内四次获得“全世界最优秀的核电站”荣誉；2003年创造了压水堆电站安全并网运行680天记录。（1998年我们的记录是668天）630万个工时内无造成发电损失的事件发生。每千瓦的发电成本在过去4年内在所属电网各电站中达到了最低。结束语：忘记过去意味着错误将再次发生！