核能事故肇因分析案例
—志賀電廠一號機
唐子富譯
台電核安處
前言
日本有一個由政府出資成立,名稱叫做「科學技術振興機構」(Japan Science and Technology Agency-簡稱JST)的獨立行政法人,該機構的任務是鼓勵科技創意並向日本社會及國民推廣科學研究成果,該機構的前身是1957年成立的「日本科學技術情報中心」,1996年以後改組成「科學技術振興事業團」,至2003年再依據2002年所頒布的「獨立行政法人科學技術振興機構法」,改制為獨立行政法人。
根據JST所制定的第二期中期計畫(2007年4月至2012年3月),它目前所扮演的角色主要有5個:
(1)培養創新技術的研究(Creation of advanced technology)
(2)促進新技術的商業化應用(Promoting business using advanced technology)
(3)促進科學及技術資訊的推廣交流(Promoting dissemination of scientific and technological information)
(4)科學技術開發相關研究的交流與支援(Researcher exchange and research support)
(5)促進科學技術相關知識的普及(Promoting understanding of science and technology by the public)
JST擁有一個內容包含各種與科技有關資訊的資料庫,可供產、官、學各界及一般民眾查詢,其中有一個放在「安全與災害」的分類下稱做「失敗知識Data Base」的資料庫,裡面蒐集了包含機械、材料、化學、建築、其他等五大類共1160個(迄2009年5月)重大產業事故的案例,並由日本工學院的畑村洋太郎教授領導的專家群對這些事故的發生原因及改正行動進行分析,以提供各界做為經驗回饋和教育宣導之用。這1160個重大產業事故的案例,若按產業別加以區分,則可分為機械工業207件、化學工業198件、石油工業105件、石油化學工業31件、建築工業222件、電氣電子及資訊56件、電力瓦斯業74件、核能發電30件、航空及太空63件、公路52件、鐵路39件、船舶30件、金屬31件、食品19件、天然災害23件、其他81件(以上合計有1261件)。這個資料庫從2005年3月23日才開放供一般民眾網路查閱。
為了防止異常事件的重複發生,本公司各核能電廠一直都很重視肇因分析,也都有一份肇因分析作業程序書做為執行的依據。不過根據電廠現有程序書對肇因的分類只有三大類(20小項):
(1)程序書缺失
A.缺乏合適之程序書 B.程序書欠週延 C.程序書內容不正確 D.其他
(2)設備故障
A.過載 B.疲勞(振動、偏心)C.腐蝕(孔蝕、沖蝕、銹蝕)D.磨耗(擦破、擦損)E.材質老化F.電磁干擾G.設計不良 H.製造不良I.施工不良 J.維護不良 K.肇因未查明,將進一步鑑定。
(3)環境問題
A.濕度 B.溫度 C.光線 D.輻射線 E.空間 F.噪音 G.鹽害 H.其他
JST所執行的肇因分析,是把肇因分為二大類「失敗原因」、「失敗動作」及另一類有關事件所造成後果的「失敗結果」,但是在這二大原因類別之下,又再細分為第一層(20)及第二層(51)原因。所以JST肇因分析所分析的層次和精細程度,和目前本公司核電廠所執行的程度相較之下是更深入的。
從INPO和WANO的網頁,我們都可以取得核能界所發生重要事故的回饋經驗,包括各事故的經過情形、發生原因及改正措施等方面的檢討,本公司也會利用「核能營運技術資訊通知表」,有系統地將蒐集到的國、內外重要事故經驗回饋給各核電廠參考,只是INPO/WANO提供的OE(Operating Experiences)、SOER(Significant Operating Experience Report)、SER(Significant Event Reports),內容過於詳細,一般員工並沒有時間從頭到尾讀一遍,而描述經過摘要又過於簡單,所以都不適用於人員訓練和宣導。
JST「失敗知識Data Base」資料庫,對個別事故經過情形的敘述也許不若SER /SOER詳細,但它除了有事件摘要、發生原因、改正措施、防範措施等肇因分析應具備的內容外,還包括了相關知識、背景說明及原因分類,所以是很適合做為訓練/宣導的教材及個人學習的資訊來源,對有興趣學習肇因分析技巧的同仁而言,也是極具參考價值的一套資料庫。
JST「失敗知識Data Base」資料庫,對肇因分析所使用的分類名詞,整理如下:
(1)失敗原因(第一層原因有10個,第二層原因有27個)
失敗原因的分類
主要原因
|
第一層原因
|
第二層原因
|
個人的原因
|
1.無知
|
知識不足、不重視傳承
|
2.不注意
|
疲勞/身體狀況不佳、注意/用心不夠、未充分瞭解
|
3.不遵守程序
|
不重視程序、連絡溝通不良
|
4.判斷錯誤
|
對狀況判斷錯誤、認知錯誤、理解不正確、考慮欠周
|
5.調查檢討不充分
|
環境調查不充分、事前檢討不充分、模擬演練不充分
|
非個人或組織的原因
|
6.對環境改變適應不良
|
工作環境的變化、經濟環境的變化
|
組織上的原因
|
7.規劃不良
|
權責劃分不良、組織的組成不良、戰略規劃不良
|
8.價值觀不正確
|
不同文化背景、組織文化不良、安全意識不良
|
9.組織管理不良
|
管理僵化、管理不良、成員不良
|
不屬於任何人的原因
|
10.未知的原因
|
異常事件發生、未知的事件發生
|
(2)失敗動作(第一層原因有10個,第二層原因有24個)
失敗動作的分類
主要原因
|
第一層原因
|
第二層原因
|
設備相關的動作
|
計畫/設計
|
計畫不良、採用不當設計
|
製作
|
軟體製作、硬體製作
|
使用
|
運轉/使用、維護/修理、運輸/貯藏、廢棄
|
人員行為相關的動作
|
例行操作
|
不遵守程序書、誤操作
|
非例行操作
|
操作變更、緊急操作
|
例行動作
|
不注意動作、危險動作、誤動作
|
非例行動作
|
狀況變化時動作、身體不舒服時動作
|
錯誤反應行為
|
溝通不良、自我保護
|
不正確行為
|
違反倫理道德、違反規定
|
非正常行為
|
變更、緊急時行為、不作為
|
(3)失敗結果(第一層結果有10個,第二層結果有29個)
失敗結果的分類
主要結果
|
第一層結果
|
第二層結果
|
對物質的結果
|
功能不完全
|
功能未發揮、硬體不健全、軟體不健全、系統不健全
|
不正常的現象
|
機械現象、熱流現象、化學現象、電氣故障
|
破損
|
劣化、薄化、變形、破壞/損傷、大規模破損
|
對外界影響的結果
|
二次災害
|
損壞、環境破壞
|
對人的結果
|
身體上的傷害
|
身體損傷、發病、受傷、死亡
|
精神上的傷害
|
精神的損傷
|
對組織/社會的結果
|
組織的損失
|
經濟上的損失、社會上的損失
|
對社會的損害
|
社會機能不全、人們意識的變化
|
對未來的損害
|
未發生的結果、可預測的結果、無法預測的結果
|
可能造成的結果
|
可能造成的損害
|
虛驚一場、潛在危機
|
JST「失敗知識Data Base」資料庫中屬於核能發電的30件肇因分析案例,將逐一譯出供本公司同仁參考,希望同仁能從另類的肇因分析手法中汲取更多的經驗與教訓。
以下即按照該資料庫的排序方式,從最近發生的事件以倒敘的方式往前介紹,首先要介紹的就是日本志賀電廠1999年發生的控制棒抽出的臨界事件。
一、志賀電廠臨界事件
1.事件名稱:志賀電廠原子爐非預期臨界
2.發生日期:2007年3月15日(真實事件是發生在1999年)
3.發生場所:日本北陸電力公司志賀核能電廠
4.前情簡介:
2006年因為日本很多核電廠接連爆發運轉數據造假事件,日本核能發電主管機關原子力安全保安院(隸屬於經濟產業省)於是在2006年11月30日通令各核能電廠全面清查是否亦有隱匿不報或篡改運轉紀錄的情事,其中北陸電力公司志賀核能電廠一號機清查出1999年(8年前)第5次大修期間的6月18日曾發生控制棒意外被抽出造成反應器臨界並出現急停信號,反應器處於臨界的狀態達15分鐘後才把控制棒插回的異常事件,而於2007年3月15日向原子力安全保安院報告。這件異常事件披露後,原子力安全保安院向北陸電力公司發出嚴重警告的處分,並要求儘速停止運轉,提出調查報告說明發生原因及防範再發生的具體措施,志賀核能電廠一號機於是停止運轉進行檢查。
因為2002年8月日本東京電力被檢舉有圍阻體檢查紀錄造假的事件以後,其他的核電廠也陸續傳出類似的紀錄造假事件,而引發外界對核能電廠的檢討聲浪,所以志賀電廠隱匿異常臨界的事件,特別引起關注。北陸電力公司為了平息外界的指摘和恢復民眾對該公司的信心,除了提出了詳細的檢討報告,採取防範再發生的措施外,並對相關人員處以減薪和調職的處分,以展現改革的決心。
5.事件經過:
(1)1999年4月29日開始第5次大修。
(2)1999年6月18日執行「反應器停機功能強化改善工程」完工後的控制棒快速插入測試時,為了要防止其他控制棒也跟著抽插,而將受測以外的88支(共89支)控制棒驅動機構(HCU)管線上的隔離閥101及102予以關閉隔離,並將HCU的流量調節閥開啟。
(3)6月18日02:17因為流量調節閥開啟,而使HCU管內壓力逐漸升高,這時值班人員以手動方式將其中之一控制棒的閥101關閉時,就發生了三支控制棒被抽出的事件。
(4)6月18日02:18反應器達到臨界狀態,使反應器功率上升而出現反應器急停信號,但是因為測試而將插入側管路上的隔離閥關閉,且HCU蓄壓器也未加壓,使控制棒無法緊急插入。
(5)6月18日02:33手動開啟插入側隔離閥101才將控制棒插入,而結束反應器臨界狀態。
(6)事件發生後,當時值班部門及管理階層曾召開緊急會議檢討,與會者大多認為未達臨界狀況,廠長即決定隱瞞事情的真相,要求相關人員修改紀錄,以不實的報告向外界公布。
(7)電廠和總公司、東京分公司、石川分公司等四單位的人員曾召開視訊會議,但因電廠指出是因為假信號所造成,於是會議即以此當做結論。所以總公司並不知道事實的真相,一直到8年後,整個事件才被查出來,並在強大壓力下將機組停止運轉,進行徹底的調查和檢討。
(8)為了隱瞞事情的真相,運轉課長還指示值班主任不要在值班日誌中留下任何紀錄,並把運轉數據自動紀錄紙上的那一段用筆註明「檢修中」,至於警報紀錄紙也讓其「遺失」而查無證據。
6.發生原因:
(1)事件發生的時候,日本電廠的人員還未養成「安全第一」的安全文化。
(2)工作人員不瞭解他所從事作業的危險性。
(3)執行測試作業時未能按照程序書的步驟一步接著一步確實地執行。
(4)作業負責人在工作前未能將程序書研讀一遍,並將工作的重點和風險告知相關人員。
(5)雖然電廠中有很多相關人員都瞭解控制棒掉落及中子通量上升屬於重大事件,但是因為擔心萬一讓外界知道,會影響二號機建廠工程的開工,且認為把原因推給雜訊造成的急停假信號可以搪塞過去,所以都配合演出,而未堅持應向主管機關報告。
(6)以上諸項原因,歸根究底都是因為電廠中充斥運轉績效掛帥,疏忽運轉安全文化所造成。
7.檢討:
(1)因為未能清楚認識臨界事故的嚴重性,而且認為可以用雜訊向外界解釋是造成反應器急停信號產生的原因,於是上下配合採取了一系列的篡改紀錄及隱瞞真相的行為。
(2)有些技術主管雖然認為已構成應向主管機關報告的臨界事件,但因廠長已決定要隱瞞真相而未能向公司的高層反應,致總公司一直被矇在鼓裡。
(3)電廠在事件發生後,所採取的防範再發生的改善對策,只是針對作業程序書進行修改,而未針對管理和組織文化的問題進行充分的檢討。
(4)隱瞞真相的行為被查出後,在原子力安全保安院要求儘速停止運轉並說明發生原因及防範再發生的具體措施的命令下,北陸電力公司才於2007/3/30向原子力安全保安院提出詳細的檢討報告。
8.防範對策:
(1)北陸電力公司總公司發覺反應器臨界事件後,已立即要求志賀電廠詳細說明控制棒意外抽出的發生機制,並製作模擬器以事件再重現的方 式進行調查。
(2)對於燃料束可能受到的影響及對人員劑量的影響進行再評估。評估結果顯示,臨界事件不致造成燃料束的損傷,對工作人員的輻射劑量及環境污染都未構成影響。
(3)為了防止再發生類似事件,對於有同樣潛在風險的程序書均加以修改。
(4)推動落實安全文化的計畫,以樹立不隱瞞事實的電廠風氣及安全文化。
9.經驗回饋:
(1)如果工作前對所執行作業的內容和重要性不瞭解,一接到指令即開始執行作業,這時即使是按照程序書的步驟執行,也可能發生意想不到的危險。尤其是對於複雜的生產系統,如果不規劃好各分組之間的協調連繫和施工順序,執行過程中即可能出現預想不到的結果。
(2)組織中的各項規定、準則,有些時候可能因為狀況特殊而不一定適用,但在大原則上,既然是規定,就必須嚴格遵守,如果因為貪圖一時的方便或利益,而把規定視而不見,則可能要付出更大的代價來善後。
10.背景分析:
(1)臨界事件發生前三天,才發生緊急柴油發電機汽缸曲軸龜裂的設備故障,電廠正忙於解決這個設備故障問題。
(2)志賀電廠二號機也就是ABWR機組的增建工程,已預定二個月以後要開工,這個時間點上如果讓外界知道一號機發生臨界事件,恐怕會影響二號機的如期開工,對於正在大修中的一號機也可能因為被主管機關要求檢討,而讓大修工期延長而無法如期恢復發電,因為電廠主管普遍存有這種一旦曝光勢必影響營運績效的心態,所以沒有人願意把事實說出。
(3)大家都知道1999年9月30日日本的JCO核燃料公司發生造成人員傷亡和附近居民疏散的臨界事件,卻不知道在JCO臨界事件發生的三個月之前,原來志賀電廠已發生過類似的臨界事件,只是因為無人傷亡而被隱瞞起來了。
11.肇因分類及演變經過(註:演變經過的先後順序,以阿拉伯數字表示):
(A)失敗原因的分類
主要原因
|
第一層原因
|
第二層原因
|
組織上的原因
|
1.價值觀不正確
|
2.組織文化不良3.安全意識不良
|
4.組織管理不良
|
5.管理不良6.管理僵化
|
個人的原因
|
7.不遵守程序
|
8.連絡溝通不良9.不重視程序
|
(B)失敗動作的分類
主要原因
|
第一層原因
|
第二層原因
|
設備相關的動作
|
10.使用
|
11.維護/修理
|
人員行為相關的動作
|
12.非例行操作
|
13.操作變更
|
(C)失敗結果的分類
主要結果
|
第一層結果
|
第二層結果
|
對物質的結果
|
14.不正常的現象
|
15.熱流現象16.機械現象
|
對組織/社會的結果
|
17.對社會的損害
|
18.喪失信用
|
19.組織的損失
|
20.經濟上的損失21.停止運轉
|