1986 年切爾諾貝利災難的原因被歸因於操作人員、工廠管理、反應堆的設計以及蘇聯核工業缺乏足夠的安全信息。 本文考慮了事故中的一些設計錯誤、操作缺陷和人為錯誤。 它檢查了導致事故發生的事件順序、反應堆和冷卻棒的設計問題以及事故本身的過程。 它考慮了人體工程學方面,並表達了事故的主要原因是人機交互不足的觀點。 最後,它強調了持續存在的不足,並強調除非充分吸取人體工程學教訓,否則類似的災難仍可能發生。
切爾諾貝利災難的全部故事尚未披露。 坦率地說,真相仍然被自私的沉默、半真半假、保密甚至謊言所掩蓋。 全面研究事故原因似乎是一項非常艱鉅的任務。 調查人員面臨的主要問題是需要根據已提供給研究的微小信息來重建事故和人為因素在事故中的作用。 切爾諾貝利災難不僅僅是一場嚴重的技術事故,災難的部分原因也在於行政和官僚主義。 然而,本文的主要目的是考慮在切爾諾貝利事故中結合的設計錯誤、操作缺陷和人為錯誤。
誰應該受到責備?
1989年,切爾諾貝利核電站(NPP)使用的壓力管大功率沸水反應堆(RBMK)的總設計師就切爾諾貝利事故的原因發表了看法。 他將災難歸因於人員未能遵守正確的程序或“生產紀律”。 他指出,調查這起事故的律師也得出了同樣的結論。 在他看來,“問題出在人員身上,而不是一些設計或製造上的失誤。” RBMK 開發的研究主管支持這一觀點。 沒有考慮人體工程學不足作為致病因素的可能性。
經營者自己也表達了不同的意見。 第四單元的值班主管AF Akimov在事故中短時間內受到超過1,500拉德(R)劑量的輻射而在醫院死亡時,不斷告訴他的父母他的行為一直是正確的,他不明白哪裡出了問題。 他的堅持反映了對據稱完全安全的反應堆的絕對信任。 阿基莫夫還表示,他沒有什麼可責怪他的船員的。 操作員確信他們的行為符合規定,而後者根本沒有提到爆炸的可能性。 (值得注意的是,反應堆在某些條件下變得危險的可能性在切爾諾貝利事故後才被引入安全法規。)但是,鑑於隨後暴露的設計問題,操作人員無法理解為什麼將棒插入核心引起瞭如此可怕的爆炸,而不是像設計的那樣立即停止核反應。 換句話說,在這種情況下,他們根據維護說明和他們對反應堆系統的心智模型採取了正確的行動,但係統的設計未能與該模型相符。
鑑於人員傷亡,僅代表電廠管理層的六人因違反潛在爆炸性設施的安全規定而被定罪。 主持法院的主席說了一些話,大意是對“那些沒有採取措施改進工廠設計的人”進行調查。 他還提到了部門官員、地方當局和醫療服務部門的責任。 但是,事實上,很明顯這個案子已經結案了。 沒有其他人對核技術史上最大的災難負責。
然而,有必要調查在災難中結合的所有致病因素,以吸取核電廠未來安全運行的重要教訓。
保密:研究和工業中的信息壟斷
導致“切爾諾貝利 86”事件的人機關係失敗在某種程度上可以歸因於保密政策——信息壟斷的實施——它控制著蘇聯核能機構的技術交流。 一小部分科學家和研究人員被賦予了定義核能基本原則和程序的詳盡權利,這是一種受到保密政策可靠保護的壟斷。 結果,蘇聯科學家關於核電站絕對安全的保證在 35 年內沒有受到質疑,秘密掩蓋了民用核領導人的無能。 順帶一提,最近有消息稱,這種保密也擴展到了與三哩島事故有關的信息; 蘇聯核電廠的運行人員並未完全了解此次事故——僅公佈了部分信息,這些信息與官方對核電廠安全的看法並不矛盾。 這篇論文的作者在 1985 年提交了一份關於三哩島事故的人體工程學方面的報告,但並未分發給涉及 NPP 安全性和可靠性的人員。
除了亞美尼亞核電站和切爾諾貝利核電站(1982 年)的事故外,沒有任何蘇聯核事故被公開過,報紙上不經意地提到了這些事故 “真理報”. 通過隱瞞真實情況(因此未能利用基於事故分析的教訓),核電行業的領導者正將其直接引向切爾諾貝利 86 號事故,這條道路因以下事實而變得更加平坦:運營商活動的簡化概念已經植入,並且低估了運行 NPP 的風險。
正如切爾諾貝利事故後果國家專家委員會成員在 1990 年所說:“為了不再犯錯,我們必須承認我們所有的錯誤並加以分析。 必須確定哪些錯誤是由於我們缺乏經驗,哪些實際上是故意隱瞞真相。”
1986 年的切爾諾貝利事故
測試計劃錯誤
25 年 1986 月 4 日,切爾諾貝利核電站第四台機組(切爾諾貝利 XNUMX 號)正準備進行日常維護。 計劃是關閉該裝置並進行一項實驗,其中涉及完全切斷正常電源供電的失效安全系統。 應該進行這個測試 之前 最初的切爾諾貝利 4 啟動。 然而,國家委員會急於啟動該裝置,以至於他們決定無限期推遲一些“無關緊要”的測試。 驗收證書是在1982年底簽署的。因此,副總工程師是按照早先的計劃行事,該計劃預設了一個完全不活躍的單位; 他的測試計劃和時間安排是根據這個隱含的假設進行的。 這場考驗,絕不是他主動進行的。
試驗方案經總工程師批准。 測試期間的功率應該由渦輪轉子的停止能量產生(在其慣性引起的旋轉期間)。 當轉子還在旋轉時,轉子會產生電力,以備不時之需。 核電站完全斷電會導致所有機制停止,包括為堆芯提供冷卻劑循環的泵,進而導致堆芯熔化——這是一場嚴重的事故。 上述實驗旨在測試使用其他一些可用方式(渦輪機的慣性旋轉)來發電的可能性。 如果已經制定了適當的程序並製定了額外的安全預防措施,則不禁止在運行中的工廠進行此類測試。 該程序必須確保提供整個測試期間的備用電源。 換句話說,權力的喪失只是隱含的,而從未實現。 試驗只能在反應堆停堆後進行,即按下“緊急停堆”按鈕並將吸收棒插入堆芯時進行。 在此之前,反應堆必須處於穩定的受控狀態,具有操作程序規定的反應性裕度,至少有 28 至 30 根吸收棒插入堆芯。
切爾諾貝利核電站總工程師批准的方案不滿足上述要求。 此外,它要求關閉緊急堆芯冷卻系統 (ECCS),從而危及整個測試期間(約四小時)的工廠安全。 在製定計劃時,發起人考慮了觸發 ECCS 的可能性,這種可能性會阻止他們完成破舊測試。 由於渦輪機不再需要蒸汽,因此程序中未指定放氣方法。 顯然,相關人員對反應堆物理學一無所知。 核電領導人顯然也包括同樣不合格的人,這就是為什麼上述方案在1986年XNUMX月提交給主管部門批准時,他們從未以任何方式發表評論。 危險的遲鈍感也起到了作用。 由於核技術的保密政策,人們認為核電站是安全可靠的,而且它們的運行沒有事故。 然而,官方對該計劃缺乏回應並沒有提醒切爾諾貝利核電站的負責人注意危險的可能性。 他決定使用未經認證的程序繼續進行測試,儘管這是不允許的。
更改測試程序
在執行測試時,人員違反了程序本身,從而為事故創造了更多可能性。 切爾諾貝利人員犯下了六項嚴重錯誤和違規行為。 根據計劃,ECCS 已失效,這是最嚴重和最致命的錯誤之一。 給水控制閥已被切斷並預先鎖定,因此甚至無法手動打開它們。 緊急冷卻被故意停止,以防止冷水進入熱核心可能導致的熱衝擊。 這個決定是基於對反應堆會堅持下去的堅定信念。 工廠相對無故障地運行了 1982 年,更加堅定了人們對反應堆的“信心”。 即使是一個嚴重的警告,即 XNUMX 年 XNUMX 月第一座切爾諾貝利核電站的部分堆芯熔毀,也被忽視了。
根據測試程序,轉子停機將在 700 至 1000 MW 的功率水平下進行th (兆瓦熱功率)。 這樣的停工本應在反應堆關閉時進行,但選擇了另一種災難性的方式:在反應堆仍在運行的情況下繼續進行測試。 這樣做是為了確保實驗的“純度”。
在某些操作條件下,有必要改變或關閉吸收棒組的本地控制。 當關閉這些本地系統之一時(執行此操作的方法在低功率操作程序中指定),高級反應堆控制工程師在糾正控制系統中的不平衡方面動作緩慢。 結果,功率降至30兆瓦以下th 這導致裂變產物反應堆中毒(用氙氣和碘)。 在這種情況下,如果不中斷測試並等待一天直到中毒被克服,幾乎不可能恢復正常狀態。 負責運營的副總工程師不想中斷測試,而是通過對他們大喊大叫,迫使控制室操作員開始提高功率水平(已穩定在 200 兆瓦th). 反應堆中毒仍在繼續,但由於大功率壓力管反應堆 (RBMK) 只有 30 根棒的小操作反應性餘量,進一步增加功率是不允許的。 反應堆實際上變得無法控制並可能發生爆炸,因為在試圖克服中毒時,操作員撤回了維持反應性安全裕度所需的幾個棒,從而使緊急停堆系統失效。 儘管如此,還是決定繼續進行測試。 操作員的行為顯然主要是出於盡快完成測試的願望。
反應堆和吸收棒設計不當導致的問題
為了更好地了解事故原因,有必要指出控制和緊急停堆系統吸收杆的主要設計缺陷。 核心高度為 7 m,而桿的吸收長度為 5 m,其上下各有 1 m 的空心部分。 吸收棒的底部充滿了石墨,完全插入後會進入芯子下方。 鑑於這種設計,控制棒進入核心,然後是一米的空心部分,最後是吸收部分。
切爾諾貝利 4 共有 211 根吸收棒,其中 205 根已完全撤出。 同時重新插入如此多的棒最初會導致反應過衝(裂變活動的峰值),因為首先石墨末端和中空部分進入核心。 在穩定的受控反應堆中,這種爆炸無需擔心,但在不利條件組合的情況下,這種添加可能會致命,因為它會導致中子反應堆迅速失控。 初始反應性增長的直接原因是堆芯中水開始沸騰。 這種初始反應性增長反映了一個特別的缺點:正蒸汽空隙係數,這是堆芯設計的結果。 這種設計缺陷是造成操作失誤的故障之一。
反應堆和吸收棒的嚴重設計錯誤實際上預示了切爾諾貝利事故的發生。 1975 年,在列寧格勒核電站事故發生後,專家們警告說,鑑於堆芯設計的缺陷,可能會再次發生事故。 切爾諾貝利災難發生前六個月,庫爾斯克核電站的一名安全檢查員致函莫斯科,向首席研究員和首席設計師指出了反應堆和控制與保護系統棒的某些設計缺陷。 但國家核電監委認為他的說法毫無根據。
事故過程本身
事件經過如下。 隨著反應堆冷卻劑泵空化的開始,導致堆芯流速降低,冷卻劑在壓力管中沸騰。 就在這時,值班主管按下了緊急停機系統的按鈕。 作為回應,所有控制棒(已撤回)和緊急停堆棒都落入堆芯。 然而,首先進入堆芯的是石墨和棒的空心端,這會導致反應性增加; 他們剛好在密集的蒸汽產生開始時進入核心。 核心溫度的升高也產生了同樣的效果。 因此,組合了對核心不利的三個條件。 立即反應堆開始失控。 這主要是由於 RBMK 的總體設計缺陷。 在這裡應該回顧一下,ECCS 已被關閉、鎖定和密封。
隨後的事件眾所周知。 反應堆損壞了。 大部分燃料、石墨和其他堆芯部件都被炸掉了。 受損設備附近的輻射水平達到 1,000 至 15,000 R/h,儘管在一些更遠或更隱蔽的區域,輻射水平要低得多。
起初,工作人員沒有意識到發生了什麼,只是不停地說:“這不可能! 一切都做得很好。”
與蘇聯事故報告相關的人體工程學考慮
蘇聯代表團在 1986 年夏季國際原子能協會 (IAEA) 會議上提交的報告顯然提供了有關切爾諾貝利爆炸的真實信息,但關於重點是否放在正確的地方以及設計是否正確的疑問不斷出現不足之處並沒有被過於溫和地對待。 報導稱,人員的行為是出於希望盡快完成測試的願望。 從人員違反準備和進行試驗的程序,違反試驗程序本身,以及在進行反應堆控制時粗心大意的事實來看,操作人員似乎沒有充分了解反應堆中發生的過程並且已經失去了所有的危險感。 據報導:
反應堆設計者未能提供旨在防止在故意關閉工程安全裝置並違反操作程序的情況下發生事故的安全系統,因為他們認為這種組合不太可能發生。 因此,事故的最初原因是工廠人員不太可能違反操作程序和條件。
眾所周知,在報告的初始文本中,“工廠人員”一詞之後是“顯示反應堆和控制與保護系統棒的設計故障”的短語。
設計者認為“聰明的傻瓜”干預工廠控制的可能性不大,因此未能開發相應的工程安全機制。 鑑於報告中的短語表明設計者認為事件的實際組合不太可能,一些問題出現了:設計者是否考慮了與工廠人類活動相關的所有可能情況? 如果答案是肯定的,那麼在工廠設計中是如何考慮它們的? 不幸的是,第一個問題的答案是否定的,用戶與機器交互的領域尚未確定。 因此,現場應急培訓以及理論和實踐培訓主要在原始控制算法內進行。
在為核電站設計計算機輔助控制系統和控制室時,並未使用人體工程學。 舉一個特別嚴重的例子,表示堆芯狀態的一個重要參數,即堆芯控制和保護系統棒的數量,以不利於人們感知和理解的方式顯示在切爾諾貝利4號的控制板上。 只有操作員在解釋顯示方面的經驗才能克服這種不足。
項目計算失誤和忽視人為因素造成了一顆延時炸彈。 需要強調的是,核心和控制系統的設計錯誤是操作人員進一步錯誤操作的致命基礎,因此事故的主要原因是人機交互設計不完善。 災難調查人員呼籲“尊重人體工程學和人機交互,這是切爾諾貝利給我們的教訓。” 不幸的是,很難放棄舊的方法和陳規定型思維。
早在 1976 年,院士 PL Kapitza 似乎就預見了一場災難,其原因可能與防止切爾諾貝利事故有關,但他的擔憂直到 1989 年才為人所知。1976 年 XNUMX 月, 美國新聞與世界報導每週新聞雜誌發表了一篇關於加州布朗斯費里核設施火災的報導。 Kapitza 非常關心這次事故,以至於他在 1976 年 XNUMX 月在斯德哥爾摩發表的報告“全球問題和能源”中提到了這件事。Kapitza 特別說:
該事故凸顯了用於計算此類事件概率的數學方法的不足,因為這些方法沒有考慮到人為錯誤造成的概率。 要解決這個問題,就必須採取措施,防止任何核事故演變成災難性的後果。
Kapitza 試圖在雜誌上發表他的論文 瑙卡與生活報 (Science and Life),但論文被拒,理由是“恐嚇公眾”不可取。 瑞典雜誌 安比奧 曾向 Kapitza 索要他的論文,但最終也沒有發表。
科學院向 Kapitza 保證,蘇聯不會發生此類事故,並作為最終“證明”向他提供了剛剛發布的核電廠安全規則。 例如,這些規則包含諸如“8.1. 發生核事故時人員的行動由處理事故後果的程序決定”!
切爾諾貝利之後
作為切爾諾貝利事故的直接或間接後果,正在製定和實施措施以確保當前核電站的安全運行並改進未來核電站的設計和建造。 特別是,已採取措施使緊急停堆系統運行更快,並排除任何被人員故意關閉的可能性。 吸收棒的設計已經過修改,數量更多。
此外,針對異常情況的切爾諾貝利事故前程序指示操作員保持反應堆運行,而根據目前的程序,反應堆必須關閉。 基本上來說,實際上本質上是安全的新反應堆正在開發中。 出現了在切爾諾貝利事故之前被忽視或不存在的新研究領域,包括概率安全分析和實驗安全台架測試。
然而,根據前蘇聯核電和工業部長 V. Konovalov 的說法,核電站的故障、關閉和事故數量仍然很高。 研究表明,這主要是由於交付的組件質量差、人為錯誤以及設計和工程機構的解決方案不充分所致。 建築和安裝工作的質量也有很多不足之處。
各種修改和設計變更已成為普遍做法。 結果,再加上培訓不足,操作人員的資格很低。 人員必鬚根據他們在工廠運營中的經驗,在工作過程中提高他們的知識和技能。
人體工程學課程仍有待學習
如果不考慮人為因素,即使是最有效、最先進的安全控制系統也無法保證工廠的可靠性。 全聯核電廠科研院人員職業培訓工作正在籌備中,併計劃加大力度。 然而,應該承認,人體工程學仍然不是電廠設計、建造、測試和運行的組成部分。
前蘇聯核電部1988年對官方詢問的答復是,1990-2000年期間不需要具有中等和高等教育學歷的人體工程學專家,因為核電廠和企業沒有相應的人員需求。
要解決本文提到的許多問題,需要物理學家、設計師、工業工程師、操作人員、人體工程學專家、心理學家等領域的專家進行聯合研發。 組織這樣的聯合工作需要很大的困難,一個特別困難的是一些科學家和科學家團體仍然壟斷著核能領域的“真相”,以及運行人員對核電廠運行信息的壟斷。 如果沒有可用的全面信息,就不可能對核電廠進行人機工程學診斷,並在必要時提出消除其缺點的方法以及製定一套系統的事故預防措施。
前蘇聯核電廠目前的診斷、控制和計算機化手段與公認的國際標準相去甚遠; 植物控制方法不必要地複雜和混亂; 沒有先進的人才培養方案; 設計師對工廠運營的支持很差,操作手冊的格式也非常過時。
結論
1990 年 XNUMX 月,經過進一步調查,兩名前切爾諾貝利僱員在任期屆滿前獲釋。 一段時間後,所有被監禁的操作人員都在指定時間之前獲釋。 許多與核電廠的可靠性和安全有關的人現在認為,這些人員的行為是正確的,即使這些正確的行為導致了爆炸。 切爾諾貝利人員不對意外的嚴重事故負責。
在試圖確定誰應對災難負責時,法院主要依靠技術專家的意見,在本案中,這些專家是切爾諾貝利核電站的設計者。 切爾諾貝利事件的結果是吸取了一個更重要的教訓:只要用於確定像 NPP 這樣複雜的設施的災難責任的主要法律文件是由這些設施的設計者專門製作和更改的維護說明,它技術上很難找到災難的真正原因,也很難採取一切必要的預防措施來避免災難。
此外,操作人員在發生災害時,是否應嚴格按照維修說明進行操作,還是根據知識、經驗或直覺進行操作,甚至可能與說明相矛盾,或在不知不覺中與故障威脅聯繫在一起,這仍然是一個問題。嚴厲的懲罰。
遺憾的是,我們必須聲明“誰對切爾諾貝利事故負有責任?”這個問題。 還沒有清理乾淨。 應在政治家、物理學家、行政人員和運營商以及開發工程師中尋找責任人。 像切爾諾貝利事件那樣僅僅對“扳道工”定罪,或者像 1991 年在斯摩棱斯克發生事故的機組那樣讓神職人員用聖水聖化核電站,都不是確保核電站安全可靠運行的正確措施。
那些認為切爾諾貝利災難只是一種永遠不會再次發生的不幸麻煩的人,必須認識到人類的一個基本特徵是人們確實會犯錯誤——不僅是操作人員,還有科學家和工程師。 在任何技術或工業領域忽視有關用戶與機器交互的人體工程學原則將導致更頻繁和更嚴重的錯誤。
因此,有必要設計 NPP 等技術設施,以便在嚴重事故發生之前發現可能的錯誤。 許多人體工程學原理已經衍生出來,試圖首先防止錯誤,例如在指示器和控件的設計中。 然而,時至今日,世界各地的許多技術設施仍違反這些原則。
複雜設施的操作人員需要具備高素質,不僅在日常操作方面,而且在偏離正常狀態的情況下的必要程序方面也是如此。 對所涉及的物理學和技術的充分理解將有助於人員在危急情況下做出更好的反應。 這些資格只能通過強化培訓獲得。
各種技術應用中人機界面的不斷改進,往往是小事故或大事故的結果,表明人為錯誤和人機交互問題遠未得到解決。 為使人機交互更加可靠,必須進行持續的人體工程學研究並隨後應用所獲得的結果,尤其是對於具有高度破壞力的技術,例如核能。 切爾諾貝利事故是一個嚴重的警告,如果人們——科學家和工程師,以及行政人員和政治家——忽視在設計和操作複雜技術設施的過程中納入人體工程學的必要性,將會發生什麼。
國際原子能機構總幹事漢斯·布利克斯用一個重要的對比強調了這個問題。 有人說,戰爭問題太嚴重了,不能只留給將軍們解決。 布利克斯補充說,“核能問題太嚴重了,不能只留給核專家解決”。