三里岛——操纵员的自述

事故背后的组织因素
处臵事故的方法： 事故规程的编写是以事件导向为基础的。 如果操纵员能够正确地识别故障，规程就 会提供正确地处臵方法。 所有的事故培训都要求操纵员能正确的识 别故障，然后正确地执行相关事故规程。 但是我们错误地识别了故障，采取了错误 的行动。
事故背后的组织因素
自动化的讽刺：
事故后的进步
设计改进： 改进主控报警系统；
改进主控室显示仪表的界面，以及采用数字 化仪表；
改进各系统控制盘台上的流程模拟图，阀门 和泵用不同的符号表示； 数据计算机更换为三台带多个终端的新型计 算机； 在主控室增加了一套工业电视系统，用于监 视重要安全设备的现场状况。
事故后的进步
事故背后的组织因素
规程针对大问题： 我们预期的大问题是大LOCA事故。事故进 程非常短，只有几分钟时间。 对每一个预期的事故，我们都有详细的处臵 规程。 针对大LOCA事故，有几种独立的注水系统 用于补偿冷却剂泄漏。 （续下页）
事故背后的组织因素
规程针对大问题： 电站设计者相信，只要这些系统按照设计 要求发挥作用，反应堆就不会毁坏。 但是他们错了，因为三哩岛事故出现的是 “小问题”——泄漏非常小。事故处理持 续了数天。
事故背后的组织因素
例外运行——思维模式
操纵员的心理（思维）模式拘泥于例外运行
例外运行的心理（思维）模式假定：系统设 备处于正常运行、正常发挥功能的状态，除 非仪表显示、报警、交接班信息提供了例外 信息——异常状况。
在这种思维模式下，交接班时重要信息（辅 助给水电动隔离阀关闭）的遗失导致了严重 后果。 注：安全文化倡导的“质疑的态度”可以避 免陷入这种思维模式。
建立电站状态报告系统。
INPO（核动力运行研究所）成立，促进业 界信息、经验交流。
事故后的进步
安全文化： 是核卓越的一个重要元素，但安全文化的建立 需要漫长的时间。我们为此奋斗了25年。 我们：
鼓励员工报告任何对电厂不利的问题或缺陷；
投入足够的人力和物力解决报告的问题或 缺 陷。——在事故发生之前花钱，而不是在
我们训练操纵员遵守书写的指令 、规程，然而操纵员面对的多数情况 却需要基于知识的判断和临机处臵的 能力。
——吉姆•里森《新技术和人因错误》
事故背后的组织因素
一个老问题：
为什么不用自动控制替代
操纵员的操作呢？
设计上的自满
它不会发生……
设计上的自满
没有提供观察堆芯基本参数的仪表 反应堆基本的安全原则是保持堆芯冷却。 但是设计没有提供监视堆芯温度的仪表。 堆芯温度是通过压力容器出口的冷却剂温 度推断得出。但这是以有冷却剂通过堆芯 为前提的。如果断流，将无法知道堆芯实 际的温度。
事故后果
应急响应 03月30日，宾夕法尼亚州州长发布 撤离劝告，劝告离电站5英里范围内的 孕妇和学龄前儿童撤离，约4200人。 实际上，由于担心放射性危害，在离电 站15英里的范围内，有39％的公众撤 离，约14万4千人。
事 故 原 因
事故背后的组织因素
设计上的自满
设计上的缺陷
事故背后的组织因素
操纵员培训： 我们知道非预期的事情会发生，但我们指 望操纵员能够临机处臵。 因此操纵员培训非常着重于系统理论、系 统设计、系统安装以及系统相互作用方面 的知识和细节。旨在以此丰富操纵员的知 识和经验，使其在遇到非预期瞬态时能够 正确地临机处臵。
因此没有将“紧急情况下操纵员要做什么 ”做为培训重点。
正在运行的新反应堆遇到了麻烦，冷却剂 开始泄漏。几天后，人们告诉我：堆芯已经熔 毁了。我说：不，不可能！
早在三哩岛事故前的18个月，即1977年9 月24日，与三哩岛电站同类型的戴维斯贝斯电 站发生过类似的事件。 当时，一个虚假的信号导致了主给水隔 离。辅助给水启动，主蒸汽隔离阀关闭。主系 统压力上升，卸压阀开启。主系统温度上升， 稳压器水位上升。手动停堆后主系统压力迅速 下降，但卸压阀没有关闭。高压安注启动。操 纵员停止了安注。幸运的是，20分钟后操纵员 识别出故障，关闭了卸压阀前的电动隔离阀， 恢复了安注。
事故背后的组织因素
政策和认识是贡献因子……
事故背后的组织因素
我的观点…… 下面我将列举我在主控遇到的，以及整 个电厂所面临的问题。 操纵员和值长是最有可能发现这些问题 并将这些问题带给电站设计者和管理层 的人。但是，我们没能在事故前发现这 些问题。
事故背后的组织因素
因
为……
事故背后的组织因素
设计上的缺陷
设计上的缺陷
专设安全系统： 允许人为闭锁安注信号。 安注信号不自动触发安全壳隔离，导致 放射性扩散至辅助厂房和大气环境。
设计上的缺陷
报警：
主控盘台上方的报警指示超过1300个。
这些报警无优先级规定，颜色编码无逻 辑性。பைடு நூலகம்
每一个报警都通过一个刺耳的高音喇叭 发出声音。新报警一出现，喇叭就发出 一次高音。 事故开始的前14分钟，有超过800个报警 出现。
我是谁？
爱德华•弗雷德里克；
曾在美国战略导弹核潜艇上复役；
三哩岛电站主控室持照操纵员；
高级操纵员培训教官；
事故发生时的当值操纵员，并在事故中犯 了关键性错误； 事故后开发了基于安全文化的事件报告系 统，并在其它电厂推广。
事故改变了一切……
一天，我照常去上班，然而事故发生了 。从这一天开始，所有的一切都改变了。
没有感到有什么不同；
我是一名接受过高级培训，具备优秀技能 的技术人员； 我以前也经历过反应堆瞬态和紧急事件。
为什么要告诉你我的故事？因为：
核电站是高技术产业；
核电站具有较高的风险；
核电站服务于大众，关系到公众安全，如 同其它公共事业：石油，电力，自来水， 交通，食品……；
你们可以从故事中学到教训，可以将这些 教训应用到你们的工作中。
设计上的缺陷
“计算机”： 当报警出现后，计算机对报警进行排序。
计算机终端是一台孔式打印机，经常卡纸。
打印机每分钟打印不超过6行文字。而事故开 始后的一分钟就有超过100行的报警信息。 你是否也被低劣的设备所纠缠并为此付出代 价呢？
设计上的缺陷
朦胧的感觉——不知道重要设备的现场 状况
看不到现场设备
听不到现场设备 对现场设备没有真实感觉 注：一套辅助监视系统如CCTV系统可 以帮助操纵员看到听到重要设备的现场 状况。
事故后的进步
事故后的进步
设计改进： 增加了宽量程的堆芯温度监测仪表；
增加了堆芯过冷度实时监测仪表，并确 定了过冷度的最低限值；
增加了稳压器卸压阀开度指示仪表； 增加了压力容器水位指示系统PVLIS； 增加了关键安全参数显示系统SPDS 确定了报警信号优先级别。
事故要点
事故要点
蒸汽发生器给水系统出现故障
反应堆主系统高压，卸压阀开启，反应堆停堆 。卸压阀开启后未能关闭，主系统泄漏。
将卸压阀“（要求）开”指示灯熄灭误理解为 卸压阀已关闭。 对卸压阀卡开造成的稳压器水位上升现象，我 做了错误判断：以为主系统已满水，但实际上 主系统的1/2容积是空的。 （续下页）
我们的认识：
事故处臵针对的是大问题。“既然大问题能应 对，小问题也就能应对。” 我们认为：如果非预期的事情发生了，操纵员 凭借自己的知识和经验是能够临机处臵的。
程序无法含盖每一种可能的事件组合，因此我 们寄希望于操纵员的临机处臵。
所以操纵员很多情况下需要做出基于知识的判 断。然而现在的人员绩效理论指出：基于知识 做出的临机判断至少有90％是完全错误的。
我经历的三哩岛事故
——三哩岛事故操纵员自述（2003年）
很久以前的一个午夜，一艘邮轮航行在冰 海上。两名船员在控制室操纵着邮轮，一名大 副在值班。一切都很顺利，每一名船员都在做 着自己的日常工作。他们都很放松，没有任何 警惕。因为没有迹象显示会有事情发生，没有 理由怀疑会有差错出现。但是，一个报警出现 了：邮轮前方出现一座巨大的冰山！
设计上的自满
没有提供可以发现堆芯异常的手段 如果堆芯温度超过堆芯压力对应的饱和 温度，表明堆芯出现过热损坏。 但设计没有提供可以显示堆芯出现沸腾 工况的仪表，如堆芯过冷度仪表。
设计上的自满
没有提供重要参数的直接显示 主控盘台无辅助给水流量显示仪表。操纵 员通过泵的运行和阀门的开启推断辅助给 水进入蒸汽发生器。 事故期间，因电动隔离阀在关闭状态，辅 助给水流量没有建立达8分钟。……电动 隔离阀的状态信息在交接班时丢失了。 你的电站是否也有类似要通过推断才能得 到的重要参数呢？
这次事故是——“美国历史上最严重的 商用反应堆事故”
堆芯燃料熔毁； 反应堆压力容器损坏； 大量受到污染的水泄漏到厂房地面； 公众受到严重惊吓； 县、州、联邦各级政府毫无应急响应准备； 感谢老天，没有人受伤。
事故来临了，我却没有感觉，因为：
这一天只是很平常的一天；
我按照惯常的方式做事；
冰川在泰坦尼克身上划出了一条很长很深 的裂口，海水进入了邮轮，邮轮开始沉没。船 长得到了报告，他说：不，不可能，泰坦尼克 不可能沉没！
不久前，同样是在一个午夜，一座反应堆 正在运行。两名操纵员在控制室操纵着反应堆 ，一名值长在值班。一切都很顺利，每一名操 纵员都在做着自己的日常工作。他们都很放松 ，没有任何警惕。因为没有迹象显示会有事情 发生，没有理由怀疑会有差错出现。但是，一 个报警出现了，接着另一个报警出现了，接着 很多的报警出现了。
规程改进：
引入了征兆导向的应急运行规程。我们 不再需要识别事故，只需要根据征兆处 臵来避免出现严重后果。
事故后的进步
管理改进： 增加主控操纵员人数； 改进电站标牌； 成立培训中心，将使用全尺寸仿真模拟机 进行培训做为强制性要求。 建立核电站事故应急响应体系。
事故后的进步
新思维： 引入人因工程原理，改善人－机接口，人 －规程接口。 征兆导向的原则引入EOP规程。在该原则 下，操纵员仅需检查关键安全参数，通过 规程引导，将关键安全参数维持和恢复到 限值内，确保反应堆安全。操纵员无需先 做事故诊断。
设计上的自满
没有提供重要设备的实际状态显示 稳压器卸压阀用于释放反应堆主系统出 现的压力瞬态，因此卸压阀开启时间被 认为是很短暂的。 但在已经知道卸压阀常出现内漏缺陷的 情况下，也没有提供卸压阀状态的直接 指示，卸压阀状态要通过“要求”信号 推断得出。 你的电站是否也有要通过推断才能得出 设备状态的情况呢？
事故要点
因担心主系统水实体运行，我停运了高压安 注系统。反应堆得不到冷却，堆芯过热。 当我们意识到主系统发生了泄漏，立刻恢复 了高压安注系统和主泵的运行。 260℃的水涌入2760 ℃的堆芯，使堆芯燃料 像玻璃一样破裂，堆芯坍塌。
事故后果
事故后果
堆芯熔毁：
堆芯47%的燃料熔毁，约20吨二氧化铀 堆积在压力容器底部。
事故后。
将电站变成一个学习性组织。
25年后我们的成就……
成就
在过去13年内四次获得“全世界最优秀的核 电站”荣誉；
2003年创造了压水堆电站安全并网运行680天 记录。（1998年我们的记录是668天）
630万个工时内无造成发电损失的事件发生。 每千瓦的发电成本在过去4年内在所属电网各 电站中达到了最低。
（续下页）
事件后，戴维斯贝斯电站的反应堆供应 商B&W公司的一名高级工程师在一份备忘录 中措词强烈地指出：事件中操纵员错误地停 止了应急堆芯冷却系统。这种错误如果再次 发生，将会导致非常严重的后果。因此必须 尽快向操纵员发出清晰明确的（避免错误停 止应急堆芯冷却系统）指令。 但遗憾的是，没有任何一个指令发出， 13个月后，三哩岛事故发生了。……
事故后果
放射性释放 约2*106居里的惰性气体（氙-133）释放到 环境，占堆芯总量的2％；仅15居里的碘131释放到环境，剩余6.7 *107居里的碘-131 阻留在堆芯，安全壳和辅助厂房。
由于安全壳的屏蔽作用，大部分放射性物质 没有泄漏出去 。
在80公里范围内二百多万居民实际接受的辐 射剂量平均每人约为1.5 *10－2msv ，为居民 允许照射剂量的百分之一。