福島核事故發(fā)生三年多了，世界、特別是中國的輿論還沒有平息，還在談論經驗教訓。不同的人有不同的理解，得出不同的結論，這再正常不過了。雖然"現(xiàn)代核電"還不盡人意，但把世界能源"唯一添加"的這個"人類智慧創(chuàng)造的偉大奇跡"說成"魔鬼"[A]，有點"數(shù)典忘宗"。福島事故、包括之前的所有重大核事故對人類的"啟示"究竟是什么，好像一時還沒有"一致"的結論，但也不必感到"震驚"。

不過，最近情況有變化。盡管還沒看到全文，但美國國會委托、核管會(NRC)資助美國科學院的報告有些新意："某些與核電廠管理、設計和運行的因素妨害電廠人員取得更大的成功，并使整個事故的更加嚴重"[B]，"NRC和美國核工業(yè)必須監(jiān)視并維護強大的安全文化，并應尋求各種機會提高評估與改善核安全努力的透明度，加強溝通"[C]。

更使人"為之一震"的是世界核運營者協(xié)會（WANO）倫敦中心總經理、執(zhí)行理事肯恩 埃利斯（Ken Ellis）最近在NEI上連續(xù)發(fā)表的兩篇文章[1,2]。他用福島后不久意大利"協(xié)和號"海難說明，"可以做到安全"不等于"已經做到安全"的事"俯仰皆是"，并非核能所"特有"；"人為差錯"是現(xiàn)代工業(yè)活動事故的普遍性成因。"理解高度可靠性行業(yè)如民航、宇航、制藥，以及核電業(yè)的人如何"做事"極其重要，特別是在他們不遵守規(guī)則時…"人和設施構成復合系統(tǒng)差不多就是個有機過程，經受的許多影響、人際互動和人際關系，遠遠超出工程技術規(guī)范和可靠性預測。"自滿是一帆風順電廠的大問題"；組織機構的風險偏好表現(xiàn)在管理者和主管們的決策中；個別管理人員對風險的容忍和合理化以及他們的技術深度（或缺乏深度）也可能促進不安全的工作實踐。行動比言語更有說服力，領導的行動給公司員工定了"調子"。的確，許多人不習慣按"規(guī)則"辦事，更熱衷揣測領導的"意圖"。所以核工業(yè)的領導要"謹言慎行"，以免鑄成大錯，遺憾終生。

我是個"退休的核工程師"，我想說：我國核能發(fā)展有"很大"進步，但不能估價過高；有完整的核工業(yè)體系，有"后發(fā)優(yōu)勢"，但技術基礎還相當薄弱；之前和今后幾乎在每個環(huán)節(jié)上還要與"外方"合作或"引進技術"，才能前進一步。我們還有嚴峻的學習任務。如果自以為"了不起"，能"傲視群雄"了，就可能成為"孤家寡人"。要警惕：我們很可能犯與原蘇聯(lián)類似的錯誤，因為我們幾十年走過的道路和指導思想有很大的相同之處。

核電是"舶來品"，要學習，就要遵守、使用"共同語言"，不過份"自信"?？茖W的東西不能"中學為體西學為用"，什么都要中國"特色"。允許不同意見公開討論，是制度性的進步，有利于科學知識的普及，提高國人的"辨識"能力?？茖W機構和國家機關不能消極對待和不作為，最起碼不能容忍"虛誑"盛行。

如果大膽預言世界還有下一次"嚴重事故"的話，可以斷言，即使是"外因"，也不是福島事故的"重復"。在這點上，美國科學院的報告有可取之處：核電廠業(yè)主和監(jiān)管部門"必須積極找出潛在影響核電廠安全的新信息并做出響應"。

肯恩 埃利斯先生文章，有些段落和語句很費解，有疑慮處最好是核對原文，也歡迎指出謬誤，以防誤導。凡有指正和不同意見，編譯者一定設法作答（dumhai@126.com）。

事故調查經常歸結為"人為差錯"。但這種調查結果實際上只是理解運行復雜系統(tǒng)如核電廠的人如何"做事"的"冰山一角"。真正降低風險，需要弄清人員績效問題的真相。

（一）

意大利"協(xié)和"號（Costa Concordia）是有衛(wèi)星和雷達導航系統(tǒng)的超現(xiàn)代化游輪。2012年，按照預定航線航行時，還有滿配合格人員的船橋，但在游輪離港前已停止活動。有兩套3航海圖，1：100000和1：20000的地圖特別適用于淺海。還有成套的操作規(guī)程，在某些淺海區(qū)限制船速。既然有這些層次的"縱深防御"，這樣的船會擱淺是"不可思議"的。但她真的擱淺了，就在2012年1月13日。[D]

擱淺地遠遠偏離班輪預定航線，游輪曾在淺海區(qū)以三倍最大速度航行，撞在島礁上。

 
附圖1. 2012-01-13,協(xié)和號游輪在地中海、意大利的吉廖島附近觸礁。船上4200人中，11人死亡，24人失蹤。

問題不在于船。與復雜系統(tǒng)的基本原理不同，人不遵守物理或熱力學定律，他們可能發(fā)生意外。原來在島嶼附近淺水區(qū)，危險的嗡嗡聲很平常，人稱"吉廖島歡迎您"。旅客愛聽，島民愛聽。幾個月前，吉廖市長曾感謝協(xié)和號游輪的另一個船長，因為"無與倫比的景象變成了不可或缺的傳統(tǒng)"。

"理解高度可靠性行業(yè)如民航、宇航、制藥，以及核電業(yè)的人如何"做事"極其重要，特別是在他們不遵守規(guī)則時…"

在傳統(tǒng)上，我們把"縱深防御"看作一系列屏障、安全系統(tǒng)和過程，那是相互分層、嚴格控制、精心設計的構造。

在核電廠，第一層是一系列防止放射性物質意外釋放的實體屏障。這意味著鈾芯塊密封在燃料細棒內，后者又密封在反應堆壓力容器內，而壓力容器則密封在安全殼廠房內。

另外，有多重性和多樣性的安全系統(tǒng)，確保核燃料保持充分受控和冷卻。這些系統(tǒng)設計和建造達到了"最高標準"，定期試驗、維護，并由外部專家如WANO同行評估隊進行評估。

除此以外，還有強健的"應急響應計劃"，也定期排演、改進。

所有這些加在一起，我們就有了一個傳統(tǒng)的"縱深防御"觀念。實際上它是與設備、過程和人員密切結合在一起的。

作為工程師和核專業(yè)人員，我們常常從這個"方程"的最初兩個因素獲取"慰籍"。我們理解設計或運行設備的強健性。我們知道封閉在反應堆內設備的材料性能和設備制造需要的工藝技術。

同樣地，我們領悟讓這些機械運轉的細節(jié)和可靠的過程邏輯。我們理解編入每個規(guī)程的安全措施，旨在指導我們一步接一步地、從頭到尾安全發(fā)電。

復雜系統(tǒng)

這些是可預測、可重復的系統(tǒng)。供給一套定義的限值，它們就給出一套定義和有限的輸出。所謂'復雜系統(tǒng)'經常是個工程奇跡；例如航空器。飛機是個復雜的、相互關聯(lián)但又由單個部件構成的集合體。這個系統(tǒng)如果其部件同時正確地運作，作為一個整體，就會行駛唯一的功能。這個機器可以解體，而后復原，仍能正常運作。

在這類系統(tǒng)中，使用"度量"標準如故障前平均時間（MTBF）、有限模式和效應分析（FMEA）和單點易損性（SPV），風險能夠量化為部件可靠性總和。有量化的風險，就能決定這個水平的風險是否可接受。

復雜系統(tǒng)發(fā)生事件，事故調查員將使用牛頓因果關系分析，找出哪里出了問題。他們相信，能從結果開始并及時沿著因果鏈追蹤，重建整個事件，因為沒有初始原因或供給系統(tǒng)的輸入，就沒有"效應"。

事件或事故后，我們的自然反應是根據(jù)事件的線性鏈，建造更多"縱深防御"實體屏障。追查事件到一個根本原因是事故分析的目標；根本原因使設備故障或動作，它往往是"人為差錯"。

別誤解我的意思。這種方法過去完全適用于我們行業(yè)，現(xiàn)今適用，將來仍然是強有力的工具。但它沒有講述整個故事，通常沒有充分考慮人的因素。據(jù)我的經驗，人是這個組合的最重要的組成部分，也可能最具挑戰(zhàn)性。

復合系統(tǒng)

作為人類，我們可以有意或無意地繞過設備和過程。設備按照物理規(guī)律、熱力學定律以及材料的性能運轉，但人處在綜合設施和千變萬化的工作場所，對某種現(xiàn)象，不同的人有不同的理解和認識。我們基于個人的經驗、感受的壓力，并對自己發(fā)現(xiàn)所處的狀態(tài)做出反應。

人是另一類系統(tǒng)的重要組成部分，有人稱之為復合系統(tǒng)。他們經受到許多影響、人際互動和人際關系，遠遠超出工程技術規(guī)范和可靠性預測。

考慮飛機的例子：飛機本身是個復雜的部件構成的系統(tǒng)。讓它實際上飛行是個復合系統(tǒng)，涉及飛行員和機組人員。這些人技術高超而且經驗豐富。他們也受疲勞、日程安排的壓力、職業(yè)生涯的壓力、培訓的質量、全體人員的動態(tài)乃至氣候等一切事務的影響。

考慮人為因素，復合系統(tǒng)差不多就是個有機過程。和輸出取決于輸出、而且與輸入成正比的機器不同，人可以承認、忽略、懷疑或誤解供給系統(tǒng)的這種輸入；輸入和輸出是相互依賴的，但它們確切的關系并不清晰。

作為人類，他們回顧事件時，對發(fā)生了什么、他們處在事件之中對正發(fā)生什么，以及未來如果面對事故演變將會發(fā)生什么，也可能有非常不同的觀念和看法。實際上經常很難確定這些中哪個最接近真實。

在復合系統(tǒng)中，部件響應局限于它們接受什么樣的信息以及它們在手段和時機方面采取行動的自由度。人在系統(tǒng)組合中，不僅僅有硬接線的機器，輸入和輸出不能總被重建。這也意味著起始條件中極小量的變化可能導致后來顯著的差異，實際上它們之間已沒有任何比例關系。

著名的英國化學家特里沃克萊茨（Trevor Kletz）說過，"說事故起因于人為過失，就像說墜落是因為地心引力。這是事實，但無助于事故預防"。[E]

事故調查者和事故報告的讀者需要承認，絕對重建有涉案人員非線性反應的事件或許"令人為難"，要設法規(guī)避。以下的演進嘗試代表復合系統(tǒng)的行為，從而不那么多地集中于人因失誤和違規(guī)，但集中于真實動態(tài)工作環(huán)境中產生它們行為的機制。

（二）

一般說來，運營核電廠是、或者應當是風險預知決策（risk- informed decision making）的鍛煉。風險是個別輸入的總和，或許是配置不當或者整合不良活動的產物。有良好風險意識的管理者可以看出"先兆"叢生，而且隨時會停止運行。（只是看到了，他們必須考慮有足夠的時間進入現(xiàn)場并執(zhí)行標準，而不是沉迷于處理行政問題的會議）。

某些事故先兆包括：

" 領導班子，或者領導能力不足

" 夜間操作：我們不適合夜間操作

" 時間壓力（實際的或感知的）

" 來自主管或公司辦公室的非正式消息

" 接受的各種異常

" "無懈可擊"的感覺

" 沒有正確識別風險（概率乘后果）

" 標準在暗暗降格

自滿是一帆風順電廠的大問題。良好的績效和記錄致使"自信"不會發(fā)生錯誤，有一種"無懈可擊"的感覺，導致標準下滑。有人說"我們有那么多安全系統(tǒng)保護反應堆，不會發(fā)生故障"時，要承認標準在下滑，因為不應依賴這些系統(tǒng)。

反應式決策是個冒險的"交易"；一旦遭遇，只知什么是個可接受的風險（見附圖2）。但當面對異常環(huán)境和是否繼續(xù)進行存在不確定性時，必須有人做出決定。在核工業(yè)內，這種狀況經常涉及不常見試驗或績效演變（ITPE）程序和文件（如INPO SOER 91-01）。這種程序需要跨職能的團隊開會討論風險和后果，如需要則編寫程序，而且應當開發(fā)緩解對策應對出錯的某些環(huán)節(jié)。
 

附圖2：運行極端條件間反應式退役路徑示意圖（適用于金融投資）

在復合系統(tǒng)內，可能因多種常見的人類行為危及安全裕度。違犯運行規(guī)程可能變?yōu)槌B(tài)；可能是容忍的某種慢慢降低標準在"暗中為害"。組織機構的風險偏好表現(xiàn)在管理者和主管們的決策中；企業(yè)意識到工作規(guī)劃的安全影響了嗎？個別管理人員對風險的容忍和合理化以及他們的技術深度（或缺乏深度）也可能促進不安全的工作實踐。

領導的行動給公司員工定了"調子"，行動比言語更有說服力。正如WANO'人員績效卓越原理'所說，"很容易通過簡單地觀察領導者的行動， 跟據(jù) 專注、判斷或控制什么以及對事件或危機的反應，認識他或她的價值觀和信念…"[WANO-GL 2002-02]。

我們的目標是縮小構成可接受風險因素族群。人類演員能駕馭自如的工作空間受行政法規(guī)、功能和安全相關制約條件的約束。與其努力控制行為，防止偏離特定的、預先計劃的道路，不如把焦點放在運行狀況控制上，使邊界明晰可知，并給工作人員訓練應對邊界狀態(tài)處理技能的機會。

核工業(yè)的標準導則如受歡迎的加拿大'事件樹工具'列出了常規(guī)工作的良好實踐，能幫助改善安全：

" 班前簡要布置工作

" 自檢

" 利用和堅守運行規(guī)程：什么是工作人員應有的態(tài)度？運行規(guī)程僅僅"只供參考"還是應當定期提到？執(zhí)行規(guī)程期間，要逐字逐句地遵守規(guī)程并妥善保存嗎？

" 三次溝通：在每個階段"逐條"確認指令，以降低"誤解"的風險。接到特定指令（一）；工作人員"復令"，重申他或她理解這個命令（二）；然后確認那種理解（三）

" 保守決策：采取任何行動，特別是在情況不明時，"漸進"更安全

" 質疑的態(tài)度：面對不確定性，決不繼續(xù)進行。進行咨詢并求得澄清

我對人們學習和成長的能力有極強的信心。我相信人，我們有能力評估并適應變化的環(huán)境，幫助復合系統(tǒng)保持安全。我們是唯一能通過真實運行條件下存在的壓力迷宮，找到前進方向的人，不"活"在藍圖和計算機模型的理論世界里。

30多年來我個人"工具箱"里的問題，全都像頭上的安全帽或手中的運行規(guī)程一樣寶貴，如"可能出現(xiàn)的最壞情況是什么？"這是個從不會完全得到解答的問題，對我們的想象力沒有限制。但如果人們繼續(xù)努力的步驟是關鍵的話，能得到理解。通過提問什么可能出錯，利用我們所有的運行經驗、運行規(guī)程細節(jié)和全體員工的經驗，我們嘗試"組合"一個可能的事故。有這些知識，我們能夠起草一個"緩解戰(zhàn)略"。這個過程有點像沒有"圖畫"但裝配一個"七巧板"；部件是過程的構成部分或系統(tǒng)的組成部分，圖畫是事故，而目標是防止給定的部件構成事故。事故后的調查工作"方向"相反：分解這個大圖畫是怎樣由過程或系統(tǒng)細節(jié)組合成的。悲哀的事實在于，事故調查經常斷言，事故正靜靜躺在有缺陷的組織程序內，等待出現(xiàn)的機會。

管理"人員績效"風險的建議如下：

1. 經常談論風險、復雜性，以及它們的關系

2. 進行職場行為預期和觀察間的差距分析。正如"所得非所欲"強調的，期望和現(xiàn)實之間往往有差異

3. 主動征求不同意見，防止有意的"盲區(qū)"

4. 辯論什么才是可接受的"邊界"

5. 討論人們行為的前因，包括公司非正式信息

6. 決不允許懷疑、挑戰(zhàn)"不確定性"

7. 需要證明系統(tǒng)運行足夠安全；不夠安全則停機

8. 要求運行決策（ODM）論壇討論面對異常運行挑戰(zhàn)方面的問題

9. 要當心，是否根本原因調查的結論是個粗心大意的調查結果，揭示的只是部分情況？

10. 擴大縱深防御戰(zhàn)略的范圍，包括復合系統(tǒng)及其內在的"非線性"概念

11. 創(chuàng)設核安全文化監(jiān)督專家組，每季度召開會議。

應當討論上面列出的問題，考慮多少行動或系統(tǒng)可作為"先兆"，積極嘗試阻止事故發(fā)生。

依據(jù)資料：

1. Ken Ellis, Putting people in the mix: part I, NEI, 18 July 2014

2. Ken Ellis, Putting people in the mix: part 2, NEI, 21 July 2014

參考資料與注釋：

A. 江曉原，核電就是魔鬼，也只能和它同行嗎？，洪橋.社會與美學筆記，2012-04-08

B. NEWS from The National Academies, FOR IMMEDIATE RELEASE, Date: July 24, 2014

C. WNN，US report urges focus on 'extreme' events，25 July 2014

D. Lloyd Young, Costa Concordia cruise ship runs aground off coast of Italy, The Boston Globe Gallery, January 18, 2012

E. Trevor Kletz (1922-31 October 2013)，was a prolific British author on the topic of chemical engineering safety. He is credited with introducing the concept of inherent safety, and was a major promoter of Hazop。When he retired in 1982 he had established a safety culture within the company based on communication, and had begun a second career and an international reputation as an author and speaker. Most of his books are concerned with case studies from industry and the human and technical causes. Shortly after his retirement he expanded a paper entitled "What you don't have, can't leak" into the book which began the concept of inherent safety.