迭代式人因工程驗證管理

譚 勇，楊云斐，劉 強，袁忠東，劉成剛，徐佳林

（中核核電運行管理有限公司，浙江嘉興 314300）

0 引言

安全是核電廠的生命線，有效的安全管理能夠降低重大事件的發生概率。核電廠人因管理涉及核安全、工業安全、輻射安全、信息網絡安全、消防安全、保衛安全等領域，是在傳統工程安全分析、風險定量定性評價的基礎上開展概率安全分析（Probabilistic Safety Assessment，PSA）的，組織專家安全風險決策。核電廠應用迭代式人因工程驗證的方法于重大系統工程改造和維修高風險作業管控，可以大概率降低安全風險。

1 人因失誤風險的挑戰

1.1 人機接口與環境的影響

技術改造涉及到大量的人機接口變更，可能對人員績效產生不同程度的影響，如重大修改后首次實施的項目，首次使用新工藝、新方法、新工具的作業，首次使用物項替代的工作等。人機接口與環境變化對風險管控存在較大影響，如環境衛生清潔度對防異物風險，環境輻照、照明、通風對人員工業安全風險或輻射安全風險，核安全文化、人文環境的缺陷對安全管控的影響等。

1.2 系統設備設計的薄弱環節

構筑物、系統、設備的內部構造的聯鎖、閉鎖控制，外部的人因工程設計有利于防止人因失誤：如果原始設計中未充分考慮預防人因失誤的設計，可能造成運行和維修操作的人因失誤陷阱；標識、標志、標簽的信息模糊，可以波及工器具、設施的防人因失誤功能不完善；規程、程序、方法的有效性不足，可能造成人因失誤陷阱。

1.3 人員安全風險認知不足

人員的知識、技能、經驗、行為的不足可能導致安全風險上升的狀況或活動。例如，執行人員的風險意識、個人技能、身心狀態、情緒管理的差異化、情緒化可能帶來執行結果與管理期望之間的偏差；電廠大修期間短時集中涌入的臨時用工、首次核電經歷的承包商人員對風險識別的認知不足；文化背景、知識、技能、經驗、人員基本功、安全文化等個體差異，可能導致風險等級被低估或誤認為風險可接受帶來的不確定性。

2 人因風險分層分級管理原則

為了提升安全質量管理水平，核電廠將人因工程與風險管控相融合，確定“分層、分級、全過程”三項人因風險分層分級管理原則。

（1）分層管理原則。根據維修或風險特性和重要程度的不同，在決策、管理、執行3 個層級上劃分相應的風險管理責任和風險報告，每個層級均有對應職能部門落實風險管理責任。

（2）分級管理原則。根據具體風險管理需要和維修作業對象重要、復雜程度，把不同風險的維修作業定為不同級別的維修活動，根據不同級別的維修要求形成維修分級要素標準，在維修準備過程中制訂該維修風險的應對措施。

（3）全過程管理原則。維修部門通過危險源辨識、維修質量高風險辨識、維修安全高風險辨識形成風險管控清單，運用風險管理的專業知識和專業技術措施以及監督管控，實現維修風險全過程管理。

3 人因管理組織體系

以“分層、分級、全過程”三項基本原則為基礎，搭建人因管理組織體系，各負其責，協同運行。

（1）安全委員會是風險管理最高決策機構，其職責是確保風險管控資源投入，推動風險管理的工作部署。

（2）領域主管批準維修高風險作業管控程序文件，指導維修風險管理工作，提出維修風險管理期望和目標。

（3）核安全、輻射安全、工業安全、質保監察等安全監督部門，負責工作許可相關風險項目的見證監督和風險管控措施方案的審核。

（4）維修部門組織風險分析、評估、管控，根據維修活動風險程度和重要程度將作業活動分為M1、M2、M3、M4 級，通過計劃工程師梳理、安全質量專員組織人因風險分析和應對措施，最后由安全監督人員落實風險管控措施。

4 人因風險類型

（1）主要的人因風險類型為程序以及生產現場的人因失誤陷阱。例如，員工對人因失誤陷阱的標準不一致，人因失誤陷阱的識別依靠個人本身的知識技能水平；人因失誤陷阱查找不全面，員工根據自身實際工作發現并提出程序、生產現場的某一個人因失誤陷阱。涉及規程完整性、設備編碼準確性、設備狀態準確性、關鍵步驟獨立性、單位標準一致性、數據記錄要求等方面。如規程頁面上的編碼、版本、頁數、當前頁碼等，規程內容完整，沒有出現缺頁、內容缺失等情況，涉及其他規程編碼或文字描述不夠準確，未列出完整的設備編碼和設備名稱，且編碼和設備名稱與圖紙顯示未保持一致，規程中設備未提供設備房間位置信息，規程對“警告”“注意”“說明”等信息未明顯標識。對于需與歷史數據進行比對的操作標準/完成狀態，記錄表格中未提出歷史數據的記錄要求

（2）生產現場的人因失誤陷阱。例如，廠房環境照明異常、噪聲超標、通信信號異常等，廠房標牌、設備標牌被遮擋、缺失、模糊等情況，設備標牌未對應的設備存在標牌與實體設備的對應關系會被誤解的情況；閥位指示、閥門操作提示、電源開關指示信息不明確，存在被遮擋、缺失、模糊等影響狀態判斷的情況；安全距離警示線完整缺失，設備誤碰風險儀控操作屏、盤柜開關、閥門等設備的誤碰風險，易走錯間隔風險，易走錯間隔設備上沒有相應的提示或屏障。

5 迭代式人因工程驗證管理的應用

5.1 技術改造

在技術改造設計之初與技術人員同步開展人因工程管理活動，組織人因工程計劃和分析，設計、驗證、確認、實施和運行。根據風險可能性、嚴重性評價原則，將技術改造子項分為“無影響”“有較小影響”和“有較大影響”3 個層次。不同的人因工程要素或活動對應不同的人機接口范圍，以實現不同的目標。對3 個層次人因工程活動的最終效果進行確認，確保投運設備和電廠啟動時的實際人員效能與經過人因工程驗證和確認的人員效能一致。

為減少技術改造工程返工和降低人因偏差項的解決成本，人因工程驗證活動在技術改造初期作業人員就介入項目，并與改造項目形成了迭代式人因工程驗證。例如：在主控室盤臺全面更新改造項目采用較簡單和靈活的方式（如虛擬盤）構建驗證模型，對頂層需求進行驗證；在項目后期，需采用更復雜和更精確的方式（如模擬機）構建驗證模型。

以主控制室技術改造為例，作業人員、運行人員和技術人員共同對所有變更項開展“規程影響分析”“知識和技能影響分析”以及“任務支持驗證”等紙面分析工作；基于模擬機的人因試驗則針對人機交互有較大影響的變更項開展。基于確定的情境，驗證人員利用設計文件和模擬機開展任務走查，評價人機接口是否能有效支持任務的執行，以及改造前后人機接口對任務支持的差異，對差異項持續改進。

5.2 安全質量人因管理

為了更好地發現安全、質量、人因差異項，將迭代式人因工程設計驗證的方法帶入人因管理和績效管理中相互融合形成系統。人、機、環境的差異項來源于狀態報告系統的維修導致的相關事件、工業安全系統中的隱患偏差、質量管理系統中的質量事實（含不符合項、待改進項）。維修安全質量人因管理以周報、月報、季度報、半年報、年報形式持續分析各類差異項的來源（人、機、環境）以及所屬責任主體（專業、科室、班組、人員），分階段形成安全質量、經反人因、狀態報告負面清單，對負面清單TOP10差異項制定定期或不定期的持續改進措施。不同的人因工程差異項，應采取不同的改進策略。

對于人的差異項主要通過培訓（知識培訓和實操演練）和管理溝通持續提升人員知識、技能、經驗。維修各專業（機、電、儀、管理等）相關專業科隊、班組、個人積極參與改進培訓課件、實操培訓及考核評價。結合組織機構相關崗位職責和核電廠安全生產一崗一清單的管理要求，開展針對性培訓，采用PDCA 管理和跟蹤，分解責任目標，制定培訓計劃，落實考核驗證。管理溝通是管理人員與負面清單責任人面對面管理溝通活動，通過溝通交流了解到工作人員的知識、技能、態度、工作環境和人文環境的不足以及管理期望與執行有效性的不足；向員工傳遞負面事實和人因工程差異項的影響、宣貫管理期望與目標，向員工展示領導關注的核安全文化的實踐，提升員工認知水平。

對于機、環境的差異項，應分層次采取應對措施：對于第一層次的機、環境的差異項，通過維修處理、外觀設置實體屏障的方式進行處理；對于第二層次的機、環境的差異項通過一般技術改造進行人因工程設計與實施、驗證與確認實現改進目標；對于第三層次的機、環境的差異項組織重特大技術改造，開展人因工程的設計與改進實現人機接口、機與環境系統的修改，以消除重特大差異項帶來的人因失誤陷阱。

5.3 安全生產活動

對構筑物、系統、設備的維修或變更技術改造全過程中作業活動可能造成核安全、輻射安全、消防安全、信息網絡安全、停機停堆安全、危險化學品使用安全可能被突破的一切活動進行迭代式人因工程驗證辨識。辨識出的維修高風險主要有9 類，按風險程度從高到低分為4 個級別，在維修管理系統中以紅、橙、黃、藍底色分類標色，不同類別建立不同安全風險應急預案和防控措施。針對驗證出的偏差，構建作業人員分級授權管理機制，不同授權工作準備人、工作負責人名單錄入EAM（Enter prise Asset Management，企業資產管理）信息系統，與對應級別的工單掛鉤，即工作準備人、工作負責人只能操作已授權范圍內的工單。優化維修分級管控機制，對電站核安全、工業安全、輻射安全、可靠性及發電的影響，不同維修分級對象由對應等級的維修準備人員和維修工作負責人進行對等授權管控，有利于防止人因失誤的風險。

通過管理巡視和觀察指導標準化創建與實施，對作業活動中的人員行為進行迭代式人因工程驗證，推進作業人員使用防人因失誤工具去發現現場設備、工作環境的安全隱患和現場管理的人因工程的陷阱。通過狀態報告反映問題，開展經驗反饋，開發糾正行動計劃，組織實施整改措施。對于已經發現的人因工程的陷阱和安全隱患偏差提交狀態報告進入系統開發，進入周報、月報、季度報、半年報、年報共性趨勢分析和持續改進。

6 實踐效果

迭代式人因工程驗證管理的運行，為核電廠培育了健康、積極、成熟的風險意識和風險管理文化，有效防范和應對了維修作業和技術改造中的各類風險。

6.1 形成突出重點、分級管理、立體防控的人因風險管理體系

確立了迭代式人因工程驗證管理人因風險管理體系，由公司安全委員會、維修領域、各主要職能部門、維修各處室、科隊、班組風險管理工作決策組織和風險管理崗位相互協作的風險管理組織職能體系，做到維修風險管控分層、分級、全過程管理各類風險，分級授權與對應風險分級工作一一對應，統籌協調，在維修風險管理方面實現了立體管控，為核電廠全面風險管理的開展奠定了堅實基礎。

6.2 培育了健康、成熟的人因風險意識和安全文化

通過在維修風險評價和風險管理過程中應用迭代式人因工程驗證管理原理、方法、工具、建立完善實體屏障、個人屏障、管理屏障、組織屏障，減少和避免了人因失誤發生概率。在預防性維修、糾正性維修和技術改造過程中同步開展人因工程活動，開展人因工程計劃和分析，設計、驗證和確認、實施和運行，主要作用有：促使維修協調工程師、維修準備人、工作負責人、監督人、班組長、科隊長、處長、科室安全員、安全質量專員的風險管理意識持續提升；通過維修高風險管控清單的發布和應用，培育了健康、成熟的風險意識和管理文化，促進安全質量管理持續改進，為機組安全穩定運行保駕護航。

6.3 有效防范維修人員操作及技術改造過程中的人因失誤風險

迭代式人因工程驗證管理推進了重大風險評估、監督常態化，從靜態地發現物的不安全因素、人的不安全行為和管理缺陷到動態地開展可視化管理、防人因失誤屏障管理，提高了維修風險預警能力。通過人因工程、風險管理的有效融合，使核電廠維修領域抗風險能力不斷增強。核電廠從未發生維修相關重大風險失控事件，全面風險處于受控狀態，維修安全績效指標持續提升，有效防范維修人員操作及技術改造過程中的各類風險。文明作業隱患同比下降56%，物項存放隱患同比下降63%，隱患總數下降25%，質量FACT 同比下降65%；保持工業安全輕傷、紅藥水和未遂事件低數量，安全隱患數量明顯降低，違章數量同比下降28.6%，偏差數量同比下降10%，隱患總數同比下降25.19%，質量FACT 同比下降65.5%；在維修人員執行上，促進全員、全過程、全方位人因管理，質量FACT降幅為69%；異物相關狀態報告數量降幅18.7%，基于人因工程的核電維修風險管理提升效果顯著。在核電質量保證領域，FACT 就是指“沒有加工過的原始的事件描述”。

7 結束語

核電廠迭代式人因工程驗證是對未知的安全風險永不停止的探索，在安全管理中的實踐表明，對重大工程技改和高風險作業活動的迭代式驗證進一步深植了追求卓越的核安全文化，既培育了健康、積極、成熟的安全文化，又有效防范了各類安全風險，促進了核電廠安全、穩定、經濟運行。