核安全科學的未來發展方向
——組織彈性研究

戴立操，高 山，劉 永

（南華大學人因研究所，衡陽 421001）

核電廠是技術和資金密集，能量積蓄巨大的復雜工業系統。復雜工業系統的英文complex 來自于com，意指共同的，plex，意指交織在一起。類似核電廠的復雜工業系統最重要的特點是系統的復雜性［1,2］，具有系統與環境、系統與人以及系統、子系統之間復雜的交互作用。首先，復雜性來源于核電廠系統以及子系統功能的多目標特征，即系統在設計和運行時需同時考慮系統的效率、安全性和運行人員的福祉。其次，復雜性來源于結合精密的系統部件、復雜的技術和外部運行環境以及人員與系統之間的復雜交互。再次，復雜工業系統日常運行存在大量的動態變化，其層級特征在組織與運行設備之間的扁平化趨勢中不斷遭到削弱和侵蝕，人以及由人構成的組織對系統的運行和控制變得更加困難。

核電廠系統交互過程中大規模能量流動和轉換對人員和環境具有潛在的風險。技術進步使得系統越來越復雜，潛在風險越來越高。如何提高核電廠類似的復雜工業系統運行安全性已經成為安全科學研究領域重要的課題之一。

1 核電廠系統安全研究的發展

核電廠安全研究開始于設備系統的可靠性研究。20世紀50年代，故障模式（FM）、影響及危害性分析方法（FMECA）廣泛用于核電廠控制系統可靠性研究。隨著核電廠建造的越來越多，1974年美國能源局研究發布了核電廠“WASH1400 報告”［3］，該報告采用概率安全評價方法（Probabilis?tic Safety Assessment,PSA）評價系統整體安全狀況。

研究人員發現核電廠事故是由設計和運行管理中一系列失誤疊加導致的。INSAG報告［4］表明：安全文化缺失是切爾諾貝利事故發生的根本原因。安全文化是指存在于核電廠組織中單位和個人素質、態度的總和。隨后的研究報告［5］提出“組織需對安全做出持續改進”。Davis Besse核電廠壓力容器嚴重降級、切爾諾貝利等一系列核事故讓人們開始意識到個體的人因失誤及失誤的預防對策均是在組織的綜合管理下實現的。由人和人之間的協作關系形成的組織及其組織文化、組織結構和組織行為過程在復雜工業系統的設計、運行、維護和退役過程中起著至關重要的作用，人因失誤研究開始從個體發展到組織。

隨后，研究者對組織因素如何影響核安全做了一系列的研究。1990年，Reason提出瑞士奶酪模型［6］。Reason 認為，人因失誤的產生是由其上游的因素——工作環境和組織因素引起的，系統缺陷穿過組織屏障引起事故。Reason［7］在其組織事故模型中提出三種基本元素、組織過程、任務和環境條件以及可能的不安全行為。Woods［8］發展了Reason 的理論，認為核運行組織風險中組織尖端（組織與系統的人機接口）起著非常重要的作用，組織風險通過組織尖端傳遞給系統。Coo?per等［9］研究了復雜系統人機接口的人員行為，將組織管理因素作為“迫使失誤情景因子”。Holl?nagel［10］采用四種組織因素（混亂的、機會的、戰術的和戰略的）的控制模式來描述人員在復雜工業系統中的行為。Oien［11］建立了組織風險形成因素的概念框架。上述研究中，無論是迫使失誤情景因子、組織控制模式，還是組織風險的形成因子，都集中于核運行組織各因素對組織尖端中個體和班組人員行為的影響。組織因素決定了核運行組織尖端人機接口中的人員行為，從而決定了核電廠系統的安全性。組織失效會導致人員行為失效從而給系統帶來風險。安全分析的目標是辨識組織失效，預防事故的發生。

2011 年，福島核事故發生，地震和海嘯導致全廠失電，堆芯損傷，放射性物質嚴重外泄。福島事故由于外部事件疊加應急缺陷導致嚴重后果。事故證明，系統風險不僅可能來自系統內部運行不確定性，也可能來自系統外部環境。組織不僅需要采用控制-適應策略管理系統內部的動態變化，而且需要管理系統外部環境沖擊。工業組織安全理論研究自20世紀50年代以來不斷發展，研究對象從系統部件到人，再到運行組織。研究方法從系統部件可靠性方法發展到綜合考慮人-機-環的PSA 方法。但無論是單個部件的“失效模式”分析，還是PSA 的“假想系統事故發生的可能性”，安全研究始終處于一種“事后”的角度，即預先演繹系統失效模式，分析和研究這些失效模式的根本原因。核電廠系統事故是由于多種因素的共同（同時）作用發生的，是未知風險，是已知風險的未知組合。系統層次的復雜性、系統元素間復雜的作用方式等使得風險的產生過程與Reason 的線性分析模型并不一致。組織定向的原因分析法越來越無法滿足安全研究發展的需要。安全研究需定位于無論系統如何失效，核電廠運行組織都需維持系統的安全裕度。安全研究需要從“事前”“主動”的角度，研究組織的本質能力，即組織彈性［12-15］。

2 組織彈性研究系統的控制問題

傳統的安全分析方法采用事后因果關系分析觀點，即分析事故發生的原因。這些原因有可能是人因，有可能是系統設備失效，有可能是人機交互失效。傳統的安全分析方法試圖消除失效的原因從而改善系統安全。事后分析方法的最大困難是無法掌握系統與人、環境以及子系統之間的運行動態變化關系，定義完整的系統失效模式。為解決這個問題，必須從事前主動的角度來進行安全分析。其分析方式從失效模式分析轉換為成功模式分析，也就是研究運行系統的組織彈性。其基本假設是，如果運行組織能夠適應系統的動態變化，在核電廠系統運行過程中即使發生了人因失效，系統失效和人-系統交互失效，組織具備緩沖、吸收和恢復的能力，事故不會發生。系統的成功準則是組織能夠有效地監視系統的動態變化，適時采取有效措施防止失效的發生。系統失效因此被定義為組織彈性能力的缺失。

2.1 組織彈性缺失的原因

組織彈性能力的缺失來自于組織運行系統時的外部擾動和內部擾動。擾動是指干擾和中斷正常運行的狀態或者事件。擾動事件有多種形式。主要擾動事件包括運行失調［16］、自然災害［17］、政治動蕩［18］和財務壓力［19］。下面從系統內部和外部兩個角度討論擾動的來源。

2.1.1 系統內部擾動

任何復雜工業系統內部擾動的主要原因是組織目標（生產目標和安全目標）沖突［20,21］。系統復雜性使得各部分之間的交互方式更加復雜，在日常運行過程中自動產生新的系統關聯狀態［22］，從而導致系統在運行過程中可能處于未能預知的運行狀態［23］，主要情形是非預期子系統耦合狀態下功能目標沖突［24］。內部擾動因素主要包括日常運行維修、維護、標定等活動。組織目標沖突會降低組織各層級之間人員日常工作的合作水平和安全責任意識［25］，阻礙組織各層級之間的交流和信息傳遞［26］，同時使得組織尖端人員的決策偏向于生產目標［27］。由于組織目標沖突，系統對于風險的緩沖能力不斷下降，系統安全邊界不斷被壓縮和侵蝕［28-30］。與此同時，系統復雜性導致的未知運行狀態使組織不能利用資源和控制手段建立安全屏障來抵御這種壓縮和侵蝕［31］。事故分析表明，系統正常運行時所發生的內部擾動是復雜工業系統組織彈性缺失的主要來源，而內部擾動主要產生于復雜工業系統的組織目標沖突。

2.1.2 系統外部擾動

系統外部擾動主要來自于自然災害，比如臺風、地震、洪水等。復雜工業系統在設計時需要考慮應對系統外部擾動的措施。如果系統未能預期可能發生的外部擾動，那么外部擾動一旦發生，風險產生的可能性會變得很大。與此同時，從組織角度而言，組織應該設計對應的法律、法規和技術文件，一旦外部擾動發生，應設法減輕風險可能造成的后果。

2.2 核安全是一個系統控制問題

具體生產活動中，組織中人員績效應該不斷保持對內部擾動和外部擾動應對的能力。失效是指組織失去應對擾動的能力。很明顯，由于經濟資源的稀缺性，競爭壓力一直存在，組織目標沖突會一直存在。生產目標是系統存在的基礎，生產目標往往會對安全目標形成壓力。由于生產目標壓力的存在，組織行為會發生漂移，侵蝕核電廠系統的安全邊界。核電廠運行組織需持續對技術、人員和組織風險各因素進行監視和干預，以維持生產效率目標和安全目標之間的平衡［31］。

跟傳統的失效理論不同，從復雜性角度而言，安全是系統的一種“自發性特征”（emergent property）。這種屬性是子系統、軟件、組織和人員之間交互行為的自然結果。傳統的安全分析方法，比如概率安全評價（probabilistic safety assess?ment,PSA）方法，采用的是因果關系鏈方法，從核電廠系統的各個構成部分出發，分析其失效模式，進而預測風險。然而，事實上這種方法未能有效預測到復雜核電廠系統中所有可能發生的失效模式。福島核電廠PSA 模型中沒有考慮極端外部事件導致的共因失效。安全是系統行為的動態變化過程，而不是系統的一種靜止狀態屬性。安全更多的是一個控制問題，而不完全是一個系統可靠性問題。系統設計和運行時不應只是提高其部件的可靠性，還要保持運行組織維持這種動態變化的能力，這種能力是組織控制內部和外部擾動的能力。

3 組織彈性研究的方法和概念模型

3.1 組織彈性研究的方法

組織彈性是從核電廠復雜性角度研究核安全。研究系統復雜性的傳統理論途徑有兩條：解析還原理論和系統理論。

解析還原理論可以采用以下幾種方法來設計和分析復雜系統：（1）把系統分解成子系統來進行分析；（2）對子系統進行分析，然后把子系統的分析結果合并構成系統整體。在時間軸上，系統的物理部件、功能部件和系統行為被解析為獨立的系統事件。

傳統的安全工程觀點就是在上述基礎上發展演繹的。事故的發生是由于子系統或者系統部件的失效導致的。失效事件隨機發生，失效概率呈指數分布，風險發生的概率可以通過計算得出。在辨識子系統或者系統部件的失效場景的基礎上，設計者或者工程師采用容錯設計的方法來防止事故場景中的子系統或者系統部件的失效事件的發生。

隨著系統愈來愈復雜，情況發生了變化。在現代復雜工業系統中，設計者并不能夠充分辨識所有的子系統或者系統部件之間的潛在交互行為。因此，設計者無法預測和防范這些潛在的交互行為所帶來的風險。部件交互事故的發生是由于系統設計時未能考慮子系統或者系統部件之間的不安全交互行為，子系統或者系統部件的功能目標發生沖突。發生的原因是由于模式混淆或者功能目標完整性缺陷。若子系統或者系統部件沒有發生失效，則問題產生于沒有失效的子系統或者系統部件之間的功能沖突，比如SGTR 事故后主泵的停運問題，停運有可能減少一回路的熱量，但是同時減少一回路的散熱能力；不停運有可能導致對SG的U型管產生沖擊。

系統理論是作為解析還原理論的替代方法出現的。該理論把系統作為一個整體來看待，而不是單獨分析子系統或者系統部件。系統理論假設系統的某些特征只能整體分析，分析系統的方方面面，并把社會因素與技術因素相關聯。這些系統特征產生于子系統或者系統部件之間的交互作用。系統論觀點強調系統的整體性，而不是系統的部分或者部件。簡單地防止部件失效并不能消滅事故。組織在運行系統的過程中，系統本身的單個子系統是正常的，事故的發生可能是由于子系統交互作用時功能沖突而發生的，是組織運行系統過程中自發產生的一種偏離系統功能目標的狀態。

為使得系統安全，我們對部件的交互作用必須進行限制。系統必須具備某種“控制器”來限制和處理單個的系統部件行為（包括失效）以及部件之間的交互。安全的限制性狀態和系統危害與系統風險不一樣。限制性狀態是指那些系統層級的行為或者狀態是不可接受的。

對系統某些行為進行限制性控制并不意味著一定會有人或者自動控制部件來實施這些限制性行為，這種控制是廣義的。比如可以通過設計（冗余、閉鎖和失效-安全設計）或者過程控制（生產或者維護過程和行動）或者通過法律、法規、保險以及其他社會控制方法來控制部件失效以及不安全的交互。這種控制也受到社會和組織文化因素的影響。社會和組織情景包括政策、程序、共同的價值觀（文化）、激勵結構和個體興趣等影響和“控制”這些行為。對這些情景進行分析、設定可以創造和改變組織中的人員行為，從而提高系統安全性。

3.2 組織彈性的概念模型

基于核電廠系統復雜性的核安全理論認為安全是系統行為的動態變化過程，而不是系統的一種靜止狀態屬性。組織目標是維持系統適應這種動態變化的能力，即運行組織控制內部和外部擾動的能力。面對越來越復雜的系統，安全研究需要從過去著眼于“采用提高系統或子系統可靠性的方法”轉變為“系統應在擾動發生時，維持和恢復系統功能”。Hollnagel等［32］認為,組織應對內部和外部擾動的能力包括：組織對外部組織的吸收能力或者緩沖能力，指組織能夠應對擾動的數量和種類；恢復能力，指組織在面對內部和外部擾動時自我恢復和重構的能力；適應能力，指系統恢復后，往往是在受到內部和外部干擾以后，重新建構正常系統安全邊界的能力。

安全科學的最終目標要求建立合適的模型對核電廠運行組織進行定量化分析，從而評價系統的安全狀態并做出改進。為此，在上述三種基本能力的基礎上，建立考慮上述三種能力的概念模型。概念模型包括四個部分：緩沖能力模型、恢復能力模型、適應能力模型和組織彈性計算。

3.2.1 緩沖能力模型

組織緩沖能力定義為組織在內部和外部擾動條件下滿足系統正常功能目標的能力。因此，這個模型由兩個部分組成：系統功能狀態子模型、內部和外部擾動事件分析。組織緩沖模型對于核電廠而言，組織鈍端更多的作用是建立電廠行政緩沖屏障，而組織尖端主要作用是形成操縱員對于事故的緩解能力。

系統功能狀態子模型是一個以時間為變量的系統績效測量模型，測量在t 時刻系統的功能目標滿足程度。由于組織緩解能力模型是測量系統在應對內部和外部事件擾動時的績效，所以該模型必須對內部和外部擾動事件進行分析。與傳統的確定論和概率論安全分析模型不一樣，該模型的數據對象并不是“可信”或者“不可信”的事故，而是人與系統、系統中子系統、系統與環境可能的交互過程和交互過程中自發形成的新的功能狀態。

3.2.2 恢復能力模型

恢復能力模型建立在緩沖能力模型的基礎上，其主要目標是辨識組織在應對內部和外部擾動事件時潛在的恢復行為。組織在應對內部和外部擾動事件過程中會消耗工業系統中的可利用資源，從而降低t+1 時刻組織應對擾動事件的緩沖能力。這些潛在的恢復行為包括：修復核電廠受損的設備、加強核電廠經驗反饋、加強培訓、從已發生事件中學習等。

3.2.3 適應能力模型

適應能力模型的目標是分析研究組織在運行系統應對擾動事件后的適應能力，通過計算組織應對擾動事件后的組織績效來測量。組織調動資源對核電廠系統進行恢復后，采用等距離時間分布對系統績效進行測量。

假定系統原來的組織彈性處于一定的狀態，適應能力模型是通過測量系統彈性的變化來監測組織遭遇破壞性事件后的適應能力，表達式為式（1）。

式中：T——系統恢復到正常狀態的時間，s；

T*——系統恢復到原始狀態的時間，s；

X——比率，R（X，T）是破壞性事件起始到系統恢復并保持穩定狀態的時間段內，系統實際的彈性與無破壞性事件發生時系統的彈性的比率。R（X，T）越大，表明系統的適應能力就越大。

3.2.4 組織彈性計算模型

定義某一特定的復雜工業組織的彈性為Res.，

式中，δ——組織緩沖能力；

ρ——組織適應能力；

?——組織恢復能力；

τ——等距時間因子，當所能恢復的組織績效能力降低（組織適應能力與組織緩沖能力之差），τ的影響能力隨之降低。組織如果能夠快速恢復系統穩定狀態，也就是τ較小，核電廠組織的整體能力會變得更強。

4 結束語

隨著一系列核電廠系統事故的發生，核安全已經成為安全研究的一個重要課題。本文對于核安全研究做了文獻回顧，在此基礎上，根據系統論的安全研究方法，提出組織彈性的基本研究思路和概念模型。