事件根本原因分析方法全解课件

1、事件根本原因分析主讲 ： 黄清武1同行经验反馈研讨第1页，共119页。目录培训的目的公司根本原因分析现状三种人因失误类型根本原因分析方法根本原因分析实例2同行经验反馈研讨第2页，共119页。一、培训目的 复习人因失效的三种模型，了解人因失效的根本原因分析方法，并能在实际工作中加以应用3同行经验反馈研讨第3页，共119页。二、公司根本原因分析现状4同行经验反馈研讨第4页，共119页。安全战略计划建立质量保证生产体系安全监督系统风险 分析系统经验 反馈系统纠正 跟踪系统自我 评估监查安全业绩指标第5页，共119页。事件汇报事件调查取证事件根本原因分析纠正行动制定纠正行动落实纠正行动有效性评估如果原

2、因没找准，制定纠正行动就是无的放矢第6页，共119页。事件报告透明度不够事件调查取证缺乏根本原因分析能力不足纠正行动不准确（消缺类和预防类）纠正行动跟踪不力EPCS各板块未联动几乎没有一份规范的事件分析报告7同行经验反馈研讨第7页，共119页。三、三种人因失误类型8同行经验反馈研讨第8页，共119页。注意力熟悉程度低高低高千分之一的失误率技能型失误技能型失误9同行经验反馈研讨第9页，共119页。技能型失误无意识的行为疏忽或是过失资深员工从事自己的专业工作或是非常熟练的工作时所犯的失误技能型失误发生在熟悉的环境、执行例行工作中技能性失误案例2技能性失误案例110同行经验反馈研讨第10页，共119

3、页。技能型失误防止减少干扰，提高注意力，是减少技能型失误的最有效方法11同行经验反馈研讨第11页，共119页。注意力熟悉程度规则型失误低高低高百分之一的失误率规则型失误12同行经验反馈研讨第12页，共119页。规则型失误 规则型失误发生在理解、执行现有程序（规则）时出现失误 规则型失误的三大类：不正确的程序（“程序”本身的问题）程序的错误运用（程序是对的，使用上出现了问题）不遵守程序（“遵守”问题）规则型失误案例13同行经验反馈研讨第13页，共119页。规则型失误防止提高程序质量、遵守程序、及时反馈程序执行中碰到的问题，是防止规则型失误的有效方法14同行经验反馈研讨第14页，共119页。注意力

4、熟悉程度低高低高人因失误类型知识型失误十分之一的失误率15同行经验反馈研讨第15页，共119页。知识型失误有意识地做决定时，没有或不清楚有没有“规则”做参考由于没有具体的规则可遵从，需要我们运用逻辑分析思维我们必须运用基本原理并综合理解做出决定知识型失误发生在我们无章可循的时候，在现场需要的知识外诊断时（如第一次从事某项工作，猜测，排除故障）记住：“我们不知道我们的不知道！”知识型失误案例16同行经验反馈研讨第16页，共119页。知识型失误防止加强人员技能培训是最好的预防方法当自己感觉到不知道怎么做时，寻求他人帮助，是防止知识型失误的有效方法互教互学17同行经验反馈研讨第17页，共119页。注

5、意力熟悉程度规则型失误(5060%)技能型失误(2030%)低高低高千分之一的失误率百分之一的失误率三种人因失误类型知识型失误2030%十分之一至二分之一的失误率18同行经验反馈研讨第18页，共119页。人因失效类型19同行经验反馈研讨第19页，共119页。瑞士航空安全总监的分析有安全后果的飞行违反程序(有意)程序错误(无意)知识和技能相关错误运行决策失误Source: LOSA StudyUT, Dr. R. Helmreich0%10%20%30%40%50%60%有失误的飞行注: 有意违反程序的机组人员, 接下来再犯一个错误的概率增加两倍!注: 知识和技能相关的错误，以及运行决策错误，导

6、致安全后果的可能性高！沟通失误20同行经验反馈研讨第20页，共119页。三种人因失误的关系 例如，某人在厂区内开启手机打电话，其所发出的无线信号可能会干扰电子设备并导致一些重要系统自动停运。这个失误可能属于以下的失误类型：技能型的：某人在使用手机之前未考虑他/她所在位置或正好忘记考虑位置（习惯性的动作）。21同行经验反馈研讨第21页，共119页。三种人因失误的关系规则型的：某人认为在厂区内使用手机是可以的，并在厂区内使用了手机，因为他/她认为是类似的区域内这样做是可以的（规则的误用）；或者某人仅仅用了片刻时间接听手机，他/她认为这是重要的电话，尽管他/她知道在那个特殊的区域不应该这样做（不遵守

7、规则）。知识型的：某人没有意识到使用手机将对厂区内电子信号产生什么影响，其它人也没有人告诉他/她。课间休息时间22同行经验反馈研讨第22页，共119页。四、根本原因分析方法23同行经验反馈研讨第23页，共119页。事件的冰山理论3000个实际的隐患300个记录的缺陷30次一般事故1次严重事故为避免重大事件的发生，必须从纠正小偏差做起30000个不安全的行为和条件上善若水，细润无声24同行经验反馈研讨第24页，共119页。在岭澳核电站启动前，调试机组停堆次数世界先进水平是 7起岭澳一号机 6起（RPN占3起）岭澳二号机 0起零停堆归功于有效的根本原因分析和经验反馈那么岭澳二期我们能做到多少？其它

8、项目呢？25同行经验反馈研讨第25页，共119页。事件分析流程2、事件调查：收集证据、人员访谈4、分析确定人的故障或设备 故障 任务分析 屏障分析 变化分析5、分析故障发生的原因，构建原 因因素图（也叫故障情景重建）6、分析确定根本原因和原因因素7、相关影响分析：其他可能受影响的项目8、制定纠正措施9、纠正行动实施跟踪10、纠正行动的有效性检查3、构建事件时序图1、事件描述、确定调查范围26同行经验反馈研讨第26页，共119页。透明地暴露小偏差-24小时报告制定，任何人都可以编写。对潜在后果、已经有后果的事件或对重复发生的事件进行进行反馈-IOE（内部运行事件），相关责任单位编写。对有安全降级

9、的事件进行反馈-LOE（执照运行事件），相关责任单位编写。对于跨部门的LOE、IOE事件则由执照申请处牵头编写。1、事件汇报27同行经验反馈研讨第27页，共119页。工程公司需改进的方面（讨论）：- 各部门汇报自己碰到的事件，透明度有待提高- 事件报告避重就轻- 事件报告准则不够清楚- 。1、事件汇报28同行经验反馈研讨第28页，共119页。2、事件调查及访谈开展事件调查的基础：管理者的大力支持要求不断自我改进的企业文化自愿报告所见任何偏差的体制员工得到有关事件调查方法的培训对事件先兆和未遂进行跟踪和趋势分析对重复发生的偏差进行跟踪和趋势分析有从以往经验中学习的愿望29同行经验反馈研讨第29页

10、，共119页。证据信息的收集信息收集的四个来源（1）实体证据 事件现场、相关设备和部件照片 实体布置的录像 给损坏部件贴标签并包好（以防止触摸破坏表面和断面对接） 记录现场相关表计读数 使用已校准的测量、试验工具，有合格授权的人进行测试。30同行经验反馈研讨第30页，共119页。证据信息的收集信息收集的四个来源（2）文档：记录和工作文件上的记载 事件相关工作过程的准备、审批记录 事件相关的工作记录、完工记录 带有签名的其他记录、识别号码和数据单 在各种媒介的信息清单中找出相关信息 （如电子文件） 事件中相关设备的技术文件 事件过程中相关的所管理规程 收集其他特殊文件的副本31同行经验反馈研讨第

11、31页，共119页。证据信息的收集信息收集的四个来源（3）经验反馈信息 发生故障的设备（部件）以前的设计、运行、维修历史 本核电厂曾经发生的相关或相类事件信息（原因分析、纠正行动等） 其他电厂发生的相关或相类事件信息32同行经验反馈研讨第32页，共119页。证据信息的收集信息收集的四个来源（4）人员访谈得来的信息（但可信率最低）33同行经验反馈研讨第33页，共119页。访谈过程背景分析做访谈计划进行访谈验证和确认结论34同行经验反馈研讨第34页，共119页。背景分析 尽可能了解事件概况 熟悉事件相关的现场环境 事件发生前的内、外部情况 有哪些相关人员及其背景、个性特点 相关人员在事件中的立场、

12、利益关系 事件的内外部影响、领导关注的方向及期望 有哪些可利用的资源 目前有哪些需要知道，需要什么证据35同行经验反馈研讨第35页，共119页。访谈计划 初定访谈人员次序：访谈要按照与事件相关程度，从小到大渐进行。（使自己渐处主动，避免偏信） 确定访谈参加人员（非当事者） 选择访谈地点：事发现场、对方工作地、特定地点 考虑从每个人那里获得什么信息？ 初步设计提问方式、问题顺序、中断条件、过渡话题。36同行经验反馈研讨第36页，共119页。进行访谈 开场白、说明目的 开放式提问、广泛的问题 收口式提问，具体的问题 再次以广泛的提问收尾，“还有其他补充吗？” 再次完善、核对笔录内容 尽量记录查言观

13、色、灵活机变 诚恳的态度：谈话详细而精确、提供的信息多于所求、举指大方而轻松、保持视线接触、很少辩解 虚假的态度：自我保护的姿态、被动回答、不自然的声音37同行经验反馈研讨第37页，共119页。4、事件分析方法DNMC的事件根本原因分析方法是参考INPO的HPES理论（人员工作表现改进系统）和PII的事件分析方法编写的. 在绝大多数情况下，事件原因分析的过程都是一个多种方法互相渗透、互为补充、互相验证的过程。38同行经验反馈研讨第38页，共119页。分析方法中的基本概念直接原因（observed cause or direct cause）：立即导致事件发生的失效、行为、疏忽或条件。表面原因或

14、显因（apparent cause）：基于由有限调查所获信息的事件或问题的最可能的原因。 根本原因（root cause）：基本的原因，如果被纠正了就能防止事件、不利条件的重新出现。 贡献因素或促成因素（ contributing cause ）：此原因的存在不必然会导致事件发生，但它使事件更易发生，仅它被纠正并不能阻止事件重发。纠正它可以降低事件发生的可能性，并提高工作过程的质量。39同行经验反馈研讨第39页，共119页。分析方法中的基本概念原因因素（causal factor） ：包括了根本原因和促成因素的因素。故障：非预期的设备状态或人的行为、人所控制的状态。 共模故障：也称共因故障，是

15、在两台或多台设备上由于同一故障原因引起的故障。纠正行动(correct action)：针对原因因素所采取的行动。 40同行经验反馈研讨第40页，共119页。2、5.8未遂事件示意图2.5m3mR788当事人需在线的仪表或阀门R888攀爬口，盖板被拆除R688人员途中抓住爬梯缓慢下滑分析方法中的基本概念41同行经验反馈研讨第41页，共119页。分析方法中的基本概念案例：请分析5.8未遂伤人事件的直接原因、表面原因、根本原因和促成因素直接原因：工作人员边走路边找阀门掉进打开的孔洞表面原因：工作人因安全意识淡薄、孔洞打开后未及时关闭根本原因：现场孔洞管理不善促成因素：现场照明不足、现场无反光标识课

16、间休息时间42同行经验反馈研讨第42页，共119页。事件分析方法介绍任务分析变化分析屏障分析原因因素图法故障树法故障路径法HPES methodology（DNMC根本原因分析方法） 43同行经验反馈研讨第43页，共119页。任务分析 书面式任务分析：分析确定我们所希望的在已发生了 事件的整个工作过程中人所应该实施的正确动作。 实践式任务分析：调查事件发生过程各环节中人的真 实活动。 通过两者的比较确定人的失误或规定的不足。 确定这些差异对事件后果的影响。（分析人因事件） 任务分析44同行经验反馈研讨第44页，共119页。任务分析 任务偏差书面式任务分析实践式任务分析+-对后果的影响45同行经

17、验反馈研讨第45页，共119页。任务分析工作表书面任务分析工作表 步骤要求的执行人要求的行动 动作设备 工具 备注/问题 步骤实际执行人实际的行动 动作设备 工具 备注实践式任务分析工作表 46同行经验反馈研讨第46页，共119页。任务分析工作表任务分析比较工作表 步骤故障影响评价备注47同行经验反馈研讨第47页，共119页。任务分析案例书面任务分析工作表步骤要求的执行人要求的行动 动作设备 工具 备注/问题 1一名负责人和两名高级技术员 校准6个主蒸汽管压力变送器一个班标定一个2主管技师（负责人）在控制室将PT534放在试验位置PT534开关触发主控室一个报警3主管技师令高级技术员A隔离PT

18、534传感线头戴式耳机 4高级技师A口头命令高级技师B隔离PT534 口头5高级技师B按标牌查找PT534，核实标牌正确48同行经验反馈研讨第48页，共119页。书面任务分析工作表 步骤要求的执行人要求的行动 动作设备 工具 备注/问题 6高级技术员A 监督并验证PT534标牌正确 7高级技术员A指令B隔离PT534PT5348高级技术员B连接试验设备并提起导线49同行经验反馈研讨第49页，共119页。实践式任务分析工作表步骤执行人行动 动作设备 工具 备注/问题 1一名负责人、一名高级技术员和一名受训者 校准6个主蒸汽管压力变送器一个班标定六个2主管技师（负责人）在控制室将PT534放在试验

19、位置PT534开关触发主控室一个报警3主管技师令高级技术员隔离PT534传感线头戴式耳机 4高级技师口头命令受训者隔离PT534 口头5受训者走到PT534附近查看标牌，看出是PT53550同行经验反馈研讨第50页，共119页。实践式任务分析工作表步骤要求的执行人要求的行动 动作设备 工具 备注/问题 6高级技术员在一旁站立7高级技术员听到受训者说找到PT534后指令其隔离PT534PT5348受训者连接试验设备并提起导线51同行经验反馈研讨第51页，共119页。任务分析比较工作表 步骤故障影响评价备注1按规定要求的一个高级技术员换成了一个受训者不具备此工作的技能5受训者将PT534看成是PT

20、535走错间隔，将在错误设备上工作6高级技术员未对受训者实施监督并实施独立验证失去一道屏障，使已发生的错误得不到纠正课间休息时间52同行经验反馈研讨第52页，共119页。变化分析 变化分析：对于工作过程中发生了事件的整个任务，对照以前曾经成功地执行过的相同任务进行比较，找出不同；或只就事件的某一方面寻找变化。之后分析变化与事件发生的关系及变化发生的原因，并找到根本原因。在起因不明确时、不知道从哪儿着手或怀疑一个变化可能对结果有影响等情况下都可以采用变化分析法。53同行经验反馈研讨第53页，共119页。变化分析变化分析的步骤：1、按时间次序列出事件发生过程中所有人的动作、设备反应。2、列出以前成

21、功完成的相同活动中发生的所有人的动作、设备反应。3、比较以上两种情况，找出不同之处。无论差别是否与事件的发生相关，都应记录到变化分析工作表中。4、分析这些差别对事件发生的作用。这一步必须特别注意细节问题，寻找模糊的、间接关联的、综合的或缓慢的变化。 例如，颜色或表面涂层上的一个变化可能会改变传热系数并最终影响到系统温度。5、综合所有与事件原因相关的信息到调查过程中。54同行经验反馈研讨第54页，共119页。变化分析1带有不良后果的事件过程3比 较2无不良后果的可比较的对应过程6综合与不良后果原因有关的信息4记下差别5分析对不良后果有影响的差异变化分析的六个步骤 55同行经验反馈研讨第55页，共

22、119页。变化分析变化分析工作单确定变化时序法时序步骤以前情况 现在情况 差异/变化 影响 要回答的问题 初始状态事情一事情二结果事情：人的活动及与人的活动相关的所事情（如当时的环境、工作 条件、人使用的文件和工作、工作对象情况等）56同行经验反馈研讨第56页，共119页。变化分析变化因素以前 现在 差异/变化 影响 要回答的问题 什么（条件、活动、设备） 时间（电站状态、时间表） 地点（具体位置、环境条件、规程步骤） 如何（工作实践、疏忽、外部动作、规程错误） 谁（相关人员、监督人员） 变化分析工作单确定变化简节法确定变化简节法：直接考虑做此项工作以前与现在有何不同，省时但容易漏掉不明显的变

23、化。57同行经验反馈研讨第57页，共119页。例：大亚湾核电站的控制棒落棒试验超差。开始原因不明。参考电站：法国GRAVELINES电站没有发生类似事件。问：两个电站有什么不同因素促使落棒时间不同？答：这个问题范围太广也太一般。问：大亚湾用的燃料组件与GRAVELINNES厂一样吗？答：一样。问：两个电站的控制棒一样吗？答：一样。问：两个电站的上部构件一样吗？答：一样。问：两个电站的导向筒一样吗？答：不一样， GRAVELINNES厂用CP1导向筒，我们厂用M1导向筒问：M1和CP1导向筒在设计上有什么不同？答：M1导向筒在一侧开孔。变化分析案例58同行经验反馈研讨第58页，共119页。变化分

24、析举例问：为什么要在一侧开孔？答：使控制棒在侧面水力作用下靠向一边，减少因流动而导致震动，使导向筒磨损。问：此情况会加大落棒时间吗？答：经试验，M1型导向筒在无磨损情况下落棒时间与CP1相比增加约0.1秒。问：有磨损情况下呢？答：落棒时间可能会加长。问：为什么这个问题在机组调试时没有出现？答：在一年的运行中，控制棒累积行走步数较少，在水力侧推力作用下，导向筒与控制棒之间的磨擦抛光作用使两个表面更加光滑，从而使”水密封“效应更加加强，牵拽着控制棒的自由落下，导致落棒时间超差。59同行经验反馈研讨第59页，共119页。屏障分析 屏障是一种行政管理控制或者是实体控制。屏障用来保护系统或人员不受伤害，

25、在发生人员不恰当行为或设备故障后可以防止发生不良结果。行政管理屏障（如规程、培训等）保证人员表现的可靠性，实体屏障（如设备联锁、设计裕度）是用来保护人员和设备以及增强人-机接口的安全及性能的设施。一般而言，屏障是多重、多样的，所有的屏障依次失效才会导致不希望的事件的发生。对防止后果起关键作用的屏障应该是分析的焦点。 60同行经验反馈研讨第60页，共119页。制度屏障组织屏障始发事件重大事件个人失误管理屏障个人屏障潜在组织失效(工作环境)(工作过程)第61页，共119页。纵深防御屏障组织屏障制度屏障管理屏障个人屏障Checklist“优秀的守门员”管理技能&能力工作过程工作环境 培训 个人防护用

26、品 经验反馈 人因工具 个人安全文化质疑的态度严谨的方法沟通的习惯 程序 规则 检查单 班前会 班后会 管理巡视 主管在场 团队工作 厂房清洁管理 足够人力资源 设计合理 足够工作空间 自我改进的文化 管理的高期望值 高瞻远瞩 新设计和新工艺 建立学习型组织 提高知识与技能 提供工具和资源 领导安全文化示范 免责备文化 制度引导透明62同行经验反馈研讨第62页，共119页。 实体屏障 专用安全设施 安全卸压装置 保守的设计裕量 多重设备 防火墙，防火门 上锁的门和阀 接地故障保护 辐射屏障 报警和信号灯屏障举例 63同行经验反馈研讨第63页，共119页。屏障举例 行政管理屏障 电厂运行规程和维

27、修规程 电厂政策和实践 运行总则(GOR) 培训和教育 操纵员资格/执照 焊工资格 维修工作申请 辐射工作票 交流方法 人员任命 人员授权 管理条例64同行经验反馈研讨第64页，共119页。屏障案例： SG低液位紧急停堆 机组启动前检修发现ARE主给水调节阀存在泄漏问题，但由于机组启动的时间压力，放弃了对此阀的泄漏试验。运行人员启动机组，开始以给水旁路调节阀控制蒸发器水位，主给水调节阀处于隔离状态。当升堆功率至15%后（ 堆功率在10%时，开启主给水调节阀之隔离阀投入主给水调节阀，给水旁路调节阀供水上限为20%堆功率），发现主阀仍泄漏，值长决定隔离此阀，仍使用旁路阀。保持机组负荷，等待继续处理

28、主阀。 65同行经验反馈研讨第65页，共119页。 这一信息没有记入运行日志，也没有在设备上挂牌，并且在交接班时也没有向下一值交代。交接班后，接班的运行人员继续启动机组，功率继续上升，20%负荷后，产生的蒸汽超过了给水旁路阀的给水能力，SG液位不断下降，在液位问题被诊断和纠正前，发生了低液位紧急停堆。屏障案例： SG低液位紧急停堆66同行经验反馈研讨第66页，共119页。未能防止紧急停堆的屏障是哪些？它们是如何失效的？为什么它们会失效？规程未按要求在启动规程中记下电厂的异常设备配置，规程屏障失效；交接班未告诉下一班反应堆操纵员或高级操纵员关于阀门被隔离的事；运行日志被隔离的阀没有记录下来；标志

29、报告未按电厂规程要求用标志报告指示出异常的再线或异常的电厂状况；屏障案例： SG低液位紧急停堆67同行经验反馈研讨第67页，共119页。标志使用值长没有把标志挂在指定的被关闭的阀上；泄漏试验被放弃，这是规程所允许的，如果值长认为有必要这样做的话；系统检查在把主给水调节阀投入运行之前没有进行检查。流量指示器当水位开始降低时，操纵员没有使用它。 由于这些屏障都破了，因此紧急停堆事件就发生了。屏障案例： SG低液位紧急停堆68同行经验反馈研讨第68页，共119页。屏障分析独立法（举例）低液位紧急停堆规程流量显示系统检查标志使用试验泄漏交接班值班日志挂牌报告屏障未使用未交代未进行登录FW-78处于关闭

30、状态没有挂牌未使用未使用放弃在主给水调节阀投入使用前未执行未观察评估69同行经验反馈研讨第69页，共119页。SG低液位紧急停堆原因时序图主给水调节阀检修完毕，机组准备启动为省时间未做主调节阀的泄漏试验升堆功率至15%，发现主调节阀泄漏隔离此阀，保持机组负荷此信息未记入运行日志未在故障设备上挂牌交接班时未向下一值交代接班人员继续升功率到20%以上升负荷过程中操纵员未认真监视SG水位接班人员未对设备状态进行认真检查SG液位不断下降紧急停堆AA泄漏试验运行日记交接班未在标志报告中记录此异常标志报告标志使用系统检查监盘70同行经验反馈研讨第70页，共119页。事件和原因因素图法 事件和原因因素图法

31、（E & CF）可以帮助调查员理解发生的事件的先后次序及引起事件的原因。重大事件通常不是单个故障的结果。可以显示出从开始到结束这一过程中事件发生的次序，包括失效的屏障、预先存在的条件、次级事件、不恰当动作和形成事件的原因因子。绘制此图时，可能的原因因子将变得很明显。71同行经验反馈研讨第71页，共119页。构造原因因素图示意图72同行经验反馈研讨第72页，共119页。故障树法 在调查设备或人员表现中的某一故障时，故障树分析法用以列出所有可能的原因以为揭开真实原因的调查确立一个方向。在使用该方法时，要使用自由思考能力和逻辑思维能力。 该方法的基本前提是所有可能的错误和原因都被列出，然后分析人或分

32、析小组对所有可能的原因进行调查，通过推论或调查来排除不成立的原因并分析确定根本原因73同行经验反馈研讨第73页，共119页。故障树法设备故障树分析举例说明：1、确定故障 设备冷水泵不能手动启动 母线没电没有控制电源OR设备冷水泵不能手动启动启动逻辑不满足2、列出所有可能的直接原因和逻辑关系 74同行经验反馈研讨第74页，共119页。故障树法3、把每一个找出的原因用逻辑关系与事件连接起来，把已找出的这些原因作为事件，再找这些新事件下一层的原因，直至可接受的最后原因。 75同行经验反馈研讨第75页，共119页。故障树法76同行经验反馈研讨第76页，共119页。故障树法 设冷水泵不能手动启动 启动逻

33、辑不满足 母线失电 没有控制电源 OR 和 直流电源断路器处在开路位置 控制电源保险丝熔断 低轴承水流 或 或 厂外电源不可用 应急柴油发电机不可用 入口阀关闭 在控制开关上没有选择泵启动 转换开关没有打在主控室操作位置 或 阀没有全开 限位开关缺陷 77同行经验反馈研讨第77页，共119页。故障树法4、在画故障树过程中如有证据证明某原因不可能存在，则删掉它， 不再往下分析。5、当故障树图已画到可接受的详细水平后，继续着手去确定真实原 因。 复核逻辑树剔除某些不可能的原因。 调查剩下的原因，确定可能的原因是否正确。 如果有证据证明剩下原因正确，该原因就应该是最重要的原 因。6、对已找到的原因，

34、确定是否还要继续分析。78同行经验反馈研讨第78页，共119页。故障树法人员表现相关的故障树举例说明：79同行经验反馈研讨第79页，共119页。故障路径法故障路径用于设备故障分析 此方法研究在故障情景中各故障之间的连线为什么没能断开。每根连线是导致设备发生故障的故障路径。对于每根连线都要问 “为什么既有的屏障（如果有的话）没有能使这根连线断掉？”80同行经验反馈研讨第80页，共119页。故障路径法这个问题的答案可能是下面两个答案中的一个： 1） 无既有的屏障， 2）有既有的屏障但没有起作用。 如果答案是“无既有的屏障”，那么，要问的下一个问题就是“需要屏障吗”？如果答案是肯定的，那么，缺乏这样

35、一个屏障就是原因因素了。如果答案是“有既有屏障但没有起作用”，那么我们就要找出屏障不起作用的原因。我们必须弄清楚是什么因素使连线没有断掉。81同行经验反馈研讨第81页，共119页。故障路径法故障路径举例：1986年6月San Onofre核电站1号机组上主给水泵轴破裂事件 泵例行大修止推轴承锁紧螺母预加载不够止推轴承自由窜动大止推轴承和轴之间有磨损痕迹循环弯曲应力大于疲劳极限裂纹在最高循环应力点处开始整个轴疲劳破裂 泵轴故障的简化故障情景 82同行经验反馈研讨第82页，共119页。故障路径法缺乏控制供货商建议的大纲没有遵守程序缺乏止推轴承振动探头泵例行大修预加载不够止推轴承自由窜动大轴承和轴之

36、间磨损根本原因和促成因素 故障情景 83同行经验反馈研讨第83页，共119页。泵例行大修泵启动投入运行主给水泵轴破裂主给水泵不可用预加载不够止推轴承自由窜动大缺乏止推轴承振动探头轴承和轴之间磨损没有遵守程序缺乏控制供货商建议的大纲循环弯曲应力大于疲劳极限裂纹在最高循环应力点处开始整个轴疲劳破裂止推轴承自由窜动大84同行经验反馈研讨第84页，共119页。最终状态原因故 障事 项事 项初始状态屏障分析变化分析故障树分析任务分析各分析方法的应用85同行经验反馈研讨第85页，共119页。设备故障根本原因分析显然人因事件和设备事件的不同之处在于发生故障的主体不同，一个是人，一个是设备。人和设备各有其不同

37、的特点。从事件调查的角度来说，人的故障难以确定，而且故障发生的过程又可以追溯。因为有时事件发生了，人并不知道犯了什么错误而导致事件发生，而当对涉事人进行调查时，其又可以对事件过程进行追忆。而设备不然，通常事件发生了，调查人员很快就可以看到现场的什么设备出现了故障而引起事件发生，但设备自身所经历的缺陷演化过程只能通过调查人员的推理来判断。对于人因事件要花很多时间，而对设备事件常常是显而易见。86同行经验反馈研讨第86页，共119页。纠正行动的制定纠正行动的作用：消缺类：预防类：防止事件的重发如果防止事件重发不切实际，则减少事件的重发。（如对人的行为） 如果事件重发不可避免，则减少事件的后果。提高

38、事件相关工作过程的工作质量消除事件的实际后果87同行经验反馈研讨第87页，共119页。纠正行动的制定制定纠正行动的原则： 纠正行动应针对所分析到的事件原因制定； 纠正行动必须具有可操作性和可检查性。 纠正行动的实施，不应引起其他方面的新的缺陷或质量安全水平下降； 纠正行动的实施，在电站所能控制的范围之内； 纠正行动符合“代价收益”要求； 纠正行动的完成期限，根据完成纠正行动所需时间和事件重发的可能性大小综合确定。88同行经验反馈研讨第88页，共119页。纠正行动的制定事件报告中的纠正行动应包括： 制定每项纠正行动的原因因素 每项纠正行动的内容 负责实施纠正行动的单位 完成纠正行动的期限必须是具

39、体的时间 纠正行动实施的状态说明（必要时） 课间休息时间89同行经验反馈研讨第89页，共119页。根本原因分析实例90同行经验反馈研讨第90页，共119页。实例1 大泵和小泵 运行人员把地坑泵P-119A退出运行并在电源断路器上挂“危险”的标 牌，但实际上他们断开并把标牌挂在泵P-119B的断路器上。检修人员去维修地坑泵P-119A时，该泵自动运转，但没有人受伤。在事件调查中得到以下信息：1.在夜班即将结束时，指派了给泵挂牌的任务。当班的值长在早晨7点钟时批准了一个正确的排除设备故障的命令。并指示两名运行人员去把泵退出运行。2.两台泵P-119A和P-119B并排安装在同一个地坑上。两台泵的断

40、路器上没有标志。这些断路器相互靠在一起并位于泵的附近。3.早晨8点换班。91同行经验反馈研讨第91页，共119页。实例1 大泵和小泵 4.运行人员看见一个断路器比另一个要大。他们还注意到泵P-119A比泵P-119B大。在泵和断路器之间的电缆除了一小段在一个金属的盖板下穿过外，其余的电缆都是可见的。运行人员从盖板的一端观察电缆，他们认为能够看见电缆在穿过盖板时并没有改变他们相对的位置。他们还拉了一下其中的一根电缆，并在盖板另外一端感觉到相应的这根电缆的移动。而事实上，在盖板下面电缆象下图那样改变了相对的位置。P-119AP-119B92同行经验反馈研讨第92页，共119页。实例1 大泵和小泵

41、5.第一个运行人员跟踪从泵P-119A出来的电缆，并认为电缆在盖板下并没有相互交叉，结果电缆到达泵P-119B。正巧是个大的断路器，这更证明了他确认的断路器是对的。他断开了断路器并把一个“危险”的标牌挂到了该断路器的手柄上。6.第二个运行人员协助第一个运行人员跟踪了此电缆，并在操作单上签字确认。7.许多相似设备的断路器都没有标牌。运行人员已经习惯于没有标牌了。93同行经验反馈研讨第93页，共119页。实例1 大泵和小泵 8.接受任务的运行人员在7:40左右放置并且确认挂牌。他们知道他们必须在下班以前完成这项任务。9.检修人员在9:00开始维修泵P-119A。在9:30时，当检修人员在分开泵和马

42、达后，马达在地坑的高液位响应下启动。10.电站的管理规程没有规定人员如何放置挂牌，也没规定确认挂牌的人应当保持独立。通常这些人员不在一起工作。然而，由于这一天所剩时间不多，他们就在一起干活了。 请大家动手制作一个原因分析时序图94同行经验反馈研讨第94页，共119页。值长安排2名运行人员去隔离P119A泵第一位运行人员隔离了P119B泵的断路器第二位运行人员确认了隔离，但没有发现错误P119A泵的检修工作开始马达与P119A泵分离当地坑高液位时P119A泵马达启动第一位运行人员找到的断路器不正确泵的断路器上没有标签电站标签普遍薄弱第一位运行人员自认为大泵连大断路器运行人员对设备不挂标签已习惯了

43、规程中没有关于独立的指南运行人员没有经过独立验证的培训运行人员很匆忙验证工作不独立培训计划标签规程95同行经验反馈研讨第95页，共119页。根本原因是什么？标牌管理混乱其它原因因素是什么？程序缺陷培训不足计划不周96同行经验反馈研讨第96页，共119页。泰坦尼克号的悲剧老板与船长.mpg船长与大副.mpg水手和情侣.mpg泰坦尼克号的悲剧案例297同行经验反馈研讨第97页，共119页。根本原因是什么？违反规程超速其它原因素是什么？时间压力质疑不够环境影响98同行经验反馈研讨第98页，共119页。1986年4月26日切尔诺贝利核事故发生在20年前的故事.mpg案例399同行经验反馈研讨第99页，

44、共119页。根本原因是什么？设计错误违反规程操作其它原因因素是什么？程序缺陷安全文化缺乏100同行经验反馈研讨第100页，共119页。案例4：5.19事件 5.19燃料弯曲事故2004年5月19日23时10分，装料操作进行到126步时，燃料操作员按下“灯试”按钮，由于设计错误，导致燃料弯曲。101同行经验反馈研讨第101页，共119页。根本原因是什么？设计错误其它原因因素是什么？没有审查102同行经验反馈研讨第102页，共119页。实例5 阀门3RCV030VP在冷试期间反馈故障 9月18日，#3机组CFT期间，在KIC上将RCV030VP手动切换至“TO TEP”时，阀门RCV030VP全开

45、（TO TEP），但DCS未收到RCV030VP阀门的位置反馈信号。检查发现RCV030VP阀门的DCM模块参数“SENSTYPE”设置为“Controlled YA（cl：0%，op：100%）”，同时RCV030VP阀门反馈信号未接线。随后临时把“SENSTYPE”参数设置为“NO-CONT”，并端接阀门反馈信号线，阀门位置反馈正常。 103同行经验反馈研讨第103页，共119页。原因1：组态错误RCV030VP阀门的DCM模块参数“SENSTYPE”设置为“Controlled YA”（开关量控制模式）而不是“NO CONT”（模拟量控制模式） 组态时未结合现场实际情况，也未严格按照逻辑

46、图表达功能进行组态，致使组态后的逻辑功能与设计逻辑图所表达的功能不一致，发出虚假信号，误导试验人员认为阀门状态显示和反馈信号都正常，致使试验人员未能及早发现阀门反馈信号未接线的问题。104同行经验反馈研讨第104页，共119页。阀门3RCV030VP在冷试期间反馈故障 原因2：RCV030VP反馈线未端接105同行经验反馈研讨第105页，共119页。原因3：RCV TP 009调试程序执行不到位 试验人员未能准确理解调试程序的要求，并严格执行，从而未能及时发现组态错误并及时处理。3RCV030VP阀门的调试程序要求设置模拟量控制信号在50%（12mA），在KIC和BUP盘上先后Set RCV0

47、30VP “TO TEP” 和Set RCV030VP “TO RCV”，并检查KIC上阀门显示状态。此时，阀门处于开关量控制方式，在此试验条件下，KIC上阀门状态显示应为中间状态，而不是程序要求的“TO TEP”和“TO RCV”。如果严格执行程序，仔细检查KIC上的显示，就会发现这种差异，进而，就可发现DCM模块的组态错误。 106同行经验反馈研讨第106页，共119页。根本原因是什么？组态错误107同行经验反馈研讨第107页，共119页。怎么反馈？ 既然根本原因是设计错误（组态错误），那么是不是我们就没有责任了？有什么需要反馈的？108同行经验反馈研讨第108页，共119页。怎么反馈？ 设计