刘时贤，侯秦脉，褚倩倩，车树伟，焦 峰

（生态环境部核与辐射安全中心，北京 100082）

为了吸取执照运行事件的经验教训，采取纠正措施防止类似事件重发，营运单位和核安全监管机构普遍要求对核电厂执照运行事件进行事件调查和根本原因分析。根本原因分析方法主要有故障树分析法、屏障分析法、任务分析法、事件原因因素图（ECF）分析法等。其中，故障树分析法用树状图来直观地表示所有可能导致分析失效发生的原因，可以帮助确定事件可能的故障模式、故障的可能原因，并确定降低故障概率可以采取的措施［1］。

目前，故障树分析法已在事件分析中得到广泛应用，如苑景凯等［2］结合REA系统设备运行控制原理及电磁流量计的原理，确定了导致REA系统自动补给因硼酸流量不一致跳闸的根本原因；王媛媛等［3］采用动态故障树建立了核电厂数字化化学与容积控制系统上充功能的可靠性模型，采用最小割集法和Markov模型进行可靠性定量分析；卢少林等［4］对柴油机缸盖损坏的严重事故的因素进行排查，确定了事故的根本原因。已有故障树分析法的应用主要集中于系统或设备故障事件分析，在人因事件分析中的应用较少。在人因事件的分析中，因果分析法和原因因素图法应用较多，如焦峰等［5］对控制棒驱动机构电源全部丧失导致反应堆自动停堆事件进行了根本原因分析；马国强等［6］对某核电厂主给水丧失手动停堆后操纵员人因失误进行原因分析。上述工作［5，6］表明，目前对人因事件进行分析较多使用原因因素图法或因果分析法，较少采用故障树分析法，本文将采用故障树分析法对人因事件进行根本原因分析。

2020年6月，国内某核电厂操纵员错误关闭1号机组设备冷却水系统（1RRI）公用负荷隔离阀，导致乏燃料水池失去冷却8.5 min，违反了运行技术规范［7］。本文通过故障树分析法对该事件进行根本原因分析。

1 故障树分析法简介

故障树分析法用树状图来直观地表示所有可能导致分析失效发生的原因［1］。通常最上层的棱形表示要调查的主要失效，即顶事件。故障树中，椭圆形用来表示所有的失效或原因，下一层椭圆表示其上一层失效的原因，这些原因本身或它们的组合直接导致了上一层失效的发生；而对其下一层来说，它又表示要继续调查的失效。导致每个第二层原因/失效的最直接原因列在第三层。重复这一过程，最后形成一个展开的有大量分枝的树状图。位于故障树最底层的椭圆，就是导致失效的深层次原因。

为了使故障树图有效并且容易理解，需要遵循以下两条基本准则：第一，下一层的椭圆与上一层的椭圆必须通过逻辑门连接起来，即每个失效必须与原因通过逻辑关系连接，如或门、与门、非门以及与非门等。第二，一个逻辑门不能直接连到另一个逻辑门上，逻辑门只能连接上一层的原因或失效和下一层的原因或失效。当两个或两个以上的原因同时存在才可导致上一层失效时，用“与门”；在识别的原因里只要其中一个原因存在就能导致上一层失效时，用“或门”，故障树流程如图1所示。

图1 故障树流程Fig.1 Flowchart of fault tree

故障树能够清晰地表达原因和失效（上一层的原因）的逻辑关系。在故障树的末端需要判断消除哪些因素才能避免失效的出现，如果这一失效是事件发生的主要原因，那么这些末端的原因就是事件发生的根本原因。但建立正确的故障树需要花费大量的时间，而且比其他分析方法需要更多的专业知识。

经过多年的人类行为学研究，人们对出现不当行为的原因有了较深刻的认识，从而对导致人的不当动作或状态的原因进行了归纳，这些归纳的成果为人因事件的故障树分析提供了指引。通常采用“人员失误分析五类因素引导模型”或“人员失误或不当动作失效机理分析模型”进行人员失误分析［8］，本文采用第一种模型对人因失误事件进行故障树分析。

2 主要事件序列

2020年6月20日，某核电厂处于换料停堆模式。当天11:30 ，召开T1 EIE001工前会，约12:00 ，操纵员开始设置T1EIE001 状态，在确认1RRI公用热交换器切换至B列供水后，执行主控部分第3步：通知现场关闭1RRI A列的公用热交换器的手动隔离阀1RRI039/060VN，如图2所示。

图2 RRI系统图Fig.2 Diagram of RRI system

14:59，操纵员执行T1EIE001的A列安喷试验后的恢复操作，在执行“恢复来自A列的公用热交换器供水阀1RRI041/058VN”指令时，开启1RRI041/058VN（根据试验程序的逻辑，应该保持1RRI041/058VN关闭），操纵员看到程序备注信息“根据当时1RRI运行状态设置，防止串水”及1RRI A/B列公用负荷电动阀门均处于开启状态，误认为发生了串水，忘记之前在初态设置时已通知现场将1RRI A列至公用热交换器的手动隔离阀1RRI039/060VN关闭，在未通过1RRI头箱液位趋势确认是否已发生串水的情况下，向机组长申请操作1RRI006KG将1RRI公用负荷切换至A列冷却，机组长未核实程序指令，也未独立核实1RRI头箱液位，便同意操纵员执行操作，关闭了1RRI B列的公用热交换器电动供水阀1RRI040/059VN。

15:08，操纵员执行程序到要求现场“开启A列的公用热交换器供水阀1RRI039/060VN”指令时，意识到之前关闭1RRIB列的公用热交换器电动供水阀1RRI040/059VN是错误的，重新开启了1RRI040/059VN恢复公用热交换器冷却水，同时关闭1RRI A列的公用热交换器电动供水阀1RRI041/058VN。

15:14，操纵员告知机组长执行错误操作导致1RRI公用负荷流量短时失去。

16:35左右，机组长汇报值长，因程序理解偏差进行操作导致1RRI公用负荷短时失去流量，值长考虑试验将要结束，且状态已经恢复，同意机组长和操纵员继续执行试验。

6月23日夜班后，值长进行值班小结时，与机组长再次回顾执行T1EIE001的过程，认识到存在错误操作阀门偏差，对反应堆换料水池和乏燃料水池冷却和处理系统（PTR）的可用性受到影响需进行分析，填写人因偏差单进行报告。

事件导致乏燃料水池失去冷却8.5 min，乏燃料水池温度由30.85℃上升至30.95℃，违反运行技术规范中“PTR系统两列必须可用，其中至少一列运行以保证乏燃料水池的冷却”的规定。

3 事件原因分析

3.1 事件的故障树分析

（1）确定事件的主要失效点作为顶事件

本事件的主要失效点是操纵员错误关闭了1RRI B列至公用用户电动隔离阀1RRI040/059VN，导致乏燃料水池失去冷却。将主要失效点“错误关闭1RRI B列至公用用户电动隔离阀”放在棱形框内，作为故障树的顶事件，是本次集中分析的重点问题。

（2）确定顶事件的所有可能原因和逻辑关系

顶事件“错误关闭1RRI B列至公用用户电动隔离阀”属于人因失误事件，其所有可能原因包括交流问题、人员表现问题、人机接口问题、工作控制问题、管理方法问题五个方面［8］，用或门作为逻辑门将顶事件与其所有可能的五个原因连接起来，如图3所示。从主要事件序列可知，本事件只涉及人员表现问题和工作控制问题，不涉及交流问题、人机接口问题以及管理方法问题。因此人员表现问题和工作控制问题作为需要进一步分析的第一层原因，必须深层次分析。

（3）确定顶事件的第二层原因

将所找出的与本事件相关联的第一层原因“人员表现问题”“工作控制问题”作为失效，去调查这两个失效的原因，即顶事件的第二层原因，并用逻辑关系将这些原因和失效连接起来，如图4所示。

图4 顶事件的第二层原因Fig.4 The second causes of the top event

首先，“人员表现问题”的原因包括外部原因和内部原因。其中，外部原因是指程序指令不明确，要求操纵员判断执行：操纵员执行T1EIE001程序指令“恢复来自A列的公用热交换器供水阀1RRI041/058VN”时，指令未明确是“开启”还是“关闭”阀门，容易导致操纵员理解错误。内部原因是指操纵员未正确理解程序的逻辑及指令的目的：程序指令要求“恢复来自A 列的公用热交换器供水阀 1RRI041/058VN”，操纵员理解为试验准备阶段设置的初态（试验准备阶段，现场关闭 A 列公用负荷手动隔离阀 1RRI039/60VN 后开启相应电动隔离阀1RRI041/058VN ），错 误 开 启 1RRI041/058VN（根据试验程序的逻辑，应该保持关闭），同时操纵员看到程序备注信息“根据当时1RRI运行状态设置，防止串水”以及1RRI A/B列公用负荷电动阀门均处于开启状态，误认为发生了串水，忘记之前在初态设置时已通知现场将1RRI A列至公用热交换器的手动隔离阀1RRI039/060VN关闭，在未通过1RRI头箱液位趋势确认是否已发生串水的情况下，向机组长申请操作1RRI006KG将1RRI公用负荷切换至A列冷却（关闭1RRI B列的公用热交换器电动供水阀1RRI040/059VN），实施了不当操作。

其次，“工作控制问题”的原因包括工作组织、计划存在问题，监护、指导存在问题。其中，工作组织、计划存在问题是指核电厂对重大高风险活动准备、管控不足：T1EIE001为大修期间高风险运行活动，根据管理程序《运行一二部大修管理》要求，“大修中，对于筛选出的有重大风险以及理解和执行上有困难的定期试验，其每一个试验都应在试验前一周落实运行值的专人进行准备并由其负责按计划执行。定期试验负责人应与指定执行人一起准备，必要时寻求各专业的技术支持或成立专业小组。定期试验负责人对试验的全过程进行跟踪协调。”该试验T1EIE001属于筛选出的有重大风险以及理解和执行上有困难的定期试验［7］，核电厂只在执行试验的前一天（6月19日）20:20召开预工前会，未提前交底，不符合管理程序《运行一二部大修管理》要求。因此，电厂对重大高风险活动准备、管控不足，试验实施过程中未采取有效措施进行风险管控。监护、指导存在问题是指机组长屏障失效，未对操纵员提供有效的监护和支持：执行T1EIE001过程中，当操纵员通知机组长需操作1RRI006KG将1RRI公用负荷切换至A列冷却时，机组长仅检查了1RRI A/B两列为公用热交换器供水的电动阀门已开启，既未核实程序指令，也未独立核实1RRI头箱液位，便同意操纵员执行操作关闭了1RRI B列的公用热交换器供水阀1RRI040/059VN。因此，机组长试验管控能力不足，未对操纵员提供有效的监护和支持，机组长屏障失效。

（4）确定顶事件的第三层原因

将顶事件的第二层原因“内部原因：操纵员未正确理解程序的逻辑及指令的目的”作为失效，去调查其失效的原因，即顶事件的第三层原因，并用逻辑关系将原因和失效连接起来，如图5所示。

“内部原因：操纵员未正确理解程序的逻辑及指令的目的”的深层次原因包括操纵员试验准备、工作技能不足，以及操作过程中未采取自检或其他防人因失误方法。操纵员试验准备不足体现在：操纵员首次执行本次试验，缺乏试验经验，且试验未提前交底；工作技能不足主要体现在：操纵员忘记之前在初态设置时已通知现场将1RRI A列至公用热交换器的手动隔离阀1RRI039/060VN关闭，也未检查1RRI头箱液位趋势，错误判断RRI发生了串水后操作不当；操作过程中未采取自检或其他防人因失误方法体现在：操纵员在试验过程中执行T1EIE001程序指令“恢复来自A列的公用热交换器供水阀1RRI041/058VN”时，在程序指令不明确的情况下，未采取“STOP（停）、THINK（思）、ACT（行）、REVIEW（审）”的自检原则，也未采取质疑的态度或者不确定时暂停等其他防人因失误方法。

3.2 事件的根本原因分析

从图5可知，操纵员错误关闭1RRI公用负荷隔离阀导致乏燃料水池失去冷却事件的根本原因是：1）操纵员试验准备、工作技能不足，且操作过程中未采取自检或其他防人因失误方法；2）机组长屏障失效，未对操纵员提供有效的监护和支持；3）核电厂对重大高风险活动的准备和管控不足。操纵员错误关闭1RRI公用负荷隔离阀导致乏燃料水池失去冷却事件的促成原因是：程序指令不明确，要求操纵员判断执行。

图5 顶事件的第三层原因Fig.5 The third causes of the top event

4 结论

本文介绍了国内某核电厂1号机组操纵员错误关闭1RRI公用负荷隔离阀导致乏燃料水池失去冷却事件，并应用故障树分析法查找其根本原因。通过梳理事件序列，确定事件的主要失效点为错误关闭1RRI B列至公用用户电动隔离阀，作为故障树的顶事件；从顶事件出发，不断查找故障树上一层失效的原因，找出导致主要失效点的深层次原因，从而确定事件发生的根本原因。

本事件的根本原因是：操纵员试验准备、工作技能不足，操作过程中未采取自检或其他防人因失误方法；机组长屏障失效，未对操纵员提供有效的监护和支持；核电厂对重大高风险活动的准备和管控不足。根据事件的根本原因，建议营运单位从以下三个方面进行改进：

1）加强员工技能培训。本事件中出现了操纵员未正确理解程序的逻辑及指令的目的，以及未采取自检或其他防人因失误工具，建议营运单位加强人员技能培训，保证相关工作人员熟悉并理解程序要求。同时建议营运单位对重要工作强制使用“质疑态度、明星自检、监护”等防人因失误工具，保证人员行为可靠性。

2）完善高风险活动的管控。本事件中的试验属于重大风险以及理解和执行上有困难的定期试验，核电厂未按照程序要求进行提前交底。因此建议营运单位完善大修运行高风险活动的组织流程和管控细则，明确大修工作人员在大修准备、实施阶段的规定动作和职责。

3）强化机组长屏障。本事件中出现机组长未对操纵员提供有效的监护和支持，建议营运单位建立机组长能力模型并实施机组长能力提升的方案，强化机组长屏障。

本文采用“人员失误分析五类因素引导模型”进行人因事件分析，可为采用故障树分析法对人因事件进行根本原因分析提供参考。