事件根本原因分析

RCA课堂材料编制：汪德伟12005年10月----DNMC人因事件分析方法培训1RCA课堂材料编制：汪德伟事件根本原因分析RCA课堂材料编制：汪德伟2事件分析流程2、事件调查：收集证据、人员访谈4、分析确定人的故障或设备故障任务分析（适用于人因事件）屏障分析（适用于人因事件）变化分析5、分析故障发生的原因，构建原因因素图（对设备，也叫故障情景重建）故障树分析法（故障模式分析）变化分析、屏障分析6、分析确定根本原因和原因因素7、相关影响分析：其他可能受影响的项目8、制定纠正措施9、纠正行动实施跟踪10、检查纠正行动的有效性3、构建事件时序图（主要用于人因事件）1、事件描述、确定调查范围RCA课堂材料编制：汪德伟3证据信息的收集信息收集的四个来源（1）实体证据：鉴定和迹象照片、实体布置的录像给部件贴标签并包好（以防止触摸破坏表面和断面对接）保持部件在良好的控制之下。使用已校准的测量、试验工具。有合格授权的人进行测试（2）文档：记录和工作文件上的记载

事件相关工作过程的准备、审批记录事件相关的工作记录、完工记录带有签名的其他记录、识别号码和数据单在各种媒介的信息清单中找出相关信息（白板、电子文件）事件中相关设备的技术文件事件过程中相关的所管理规程收集其他特殊文件的副本（3）历史的外部的信息（4）人员访谈RCA课堂材料编制：汪德伟4访谈过程背景分析做访谈计划进行访谈验证和确认结论RCA课堂材料编制：汪德伟5尽可能了解事件概况熟悉事件相关的现场环境事件发生前的内、外部情况有哪些相关人员及其背景、个性特点相关人员在事件中的立场、利益关系事件的内外部影响、领导关注的方向及期望有哪些可利用的资源目前有哪些需要知道，需要什么证据背景分析啊！？出了这么大的事……RCA课堂材料编制：汪德伟6访谈计划初定访谈人员次序：访谈要按照与事件相关程度，从小到大渐进行。（使自己渐处主动，避免偏信）确定访谈参加人员（非当事者）选择访谈地点：地点（事发现场、对方工作地、特定地点）、布置考虑从每个人那里获得什么信息？初步设计提问方式、问题顺序、中断条件、过渡话题。RCA课堂材料编制：汪德伟7访谈坐位布置主要调查人员次要调查人员受访者访谈计划RCA课堂材料编制：汪德伟8进行访谈开场白、说明目的开放式提问、广泛的问题收口式提问，具体的问题再次以广泛的提问收尾，“还有其他补充吗？”再次完善、核对笔录内容尽量记录查言观色、灵活机变

–

诚恳的态度：谈话详细而精确、提供的信息多于所求、举指大方而轻松、保持视线接触、很少辩解

–

虚假的态度：自我保护的姿态、被动回答、不自然的声音RCA课堂材料编制：汪德伟9人员访谈注意事项时间性地点：现场、其他要有准备人数：对当事人的采访最好单独进行。当各方对事件的看法和表述不一致时，或者需要在短期内收集较多信息时，可能需要召开相关人员参加的事件分析会。

保持视线接触用实物帮助被访人回忆消除戒备心理：减压和加压不建议使用录音和录像设备注意对方肢体语言撒谎：口吃、清咳喉咙、避免凝视、眨眼、多喝水、吞唾液、咬手指、摸鼻子(平均26次/分钟.克林顿)从被调查者的角度来感知，以被调查者的逻辑来看问题。特别注意当事人在做不当动作前后的思想活动提问：建意先开放，后封闭。用中性问题，而不用引导式问题。RCA课堂材料编制：汪德伟10事件分析方法DNMC的事件根本原因分析方法是参考INPO的HPES理论和PII的事件分析方法编写的.在绝大多数情况下，事件原因分析的过程都是一个多种方法互相渗透、互为补充、互相验证的过程。RCA课堂材料编制：汪德伟11分析方法中的基本概念直接原因（observedcauseordirectcause）：立即导致事件发生的失效、行为、疏忽或条件。根本原因（rootcause）：基本的原因，如果被纠正了就能防止事件、不利条件的重新出现。贡献因素或促成因素（contributingcause）：此原因的存在不必然会导致事件发生，但它使事件更易发生，仅它被纠正并不能阻止事件重发。纠正它可以降低事件发生的可能性，并提高工作过程的质量。原因因素或原因因子（causalfactor）：包括了根本原因和促成因素的因素。（在此个人定义，与外来资料不同）故障：非预期的设备状态或人的行为、人活动所需的条件。纠正行动(correctaction)：为消除事件根本原因、促成因素、可能原因，为消除和减轻事件后果，为减小事件重发可能性以及为提高事件相关工作过程的质量所采取的行动。RCA课堂材料编制：汪德伟12事件分析方法介绍任务分析变化分析屏障分析原因因素图法（ECFC）故障树法故障路径法HPESmethodology

RCA课堂材料编制：汪德伟13任务分析

关闭稳压器人孔：请找出事件中的人因故障（例三）

12月7日，核岛安装处（NIE）发出AWNLANG800364LCFS（ClosureofPZRmanhole）。之后，FRA就此项工作向NIE提交了调试许可证申请，NIE审校并签字后由NIE工作申请人将调试许可证申请交给了调试相关试验负责人。

12月14日，NIE收到由调试队/行政管理处（SUT/ATB）接口办送来的特殊许可单（认为此工作有特殊风险，要办特殊工作签字手续），NIE工作申请人看后又将特殊许可单转回ATB接口办，接口办拒绝接收，随即工作申请人找到调试队核岛处处长，核岛调试处处长带工作申请人去找ATB接口办时同样被拒绝，但ATB人员向工作申请人讲解了办证的流程。该特殊许可单要经多位领导签字，ATB认为这是工作负责人的事。NIE工作申请人拿此特殊许可单去找生产部相关人员签字，在隔离经理处，隔离经理将相关工作程序分别附加在特殊许可单后面，在保健物理处，相关工程师也提出了安全保证的工作要求。签好字后，NIE工作申请人在1RX20M现场将特殊许可单转交给了FRA工作负责人。

12月19日上午的协调会上，业主口头通知FRA12月19日下午关闭稳压器人孔盖。12月19日下午，一回路处于维修冷停堆状态，一回路水位未到预定水位，FRA携特殊许可单去关闭PZR人孔盖。FRA拆除了稳压器人孔临时盖板，安装永久盖板，但螺栓尚未拉伸拧紧，此时，运行人员发现，随即要求停止工作。

RCA课堂材料编制：汪德伟14任务分析

□书面式任务分析：分析确定我们所希望的在已发生了事件的整个工作过程中人所应该实施的正确动作。□实践式任务分析：调查事件发生过程各环节中人的真实活动。□通过两者的比较确定人的故障或规定的不足。□确定这些差异对事件后果的影响。（分析人因事件）任务分析RCA课堂材料编制：汪德伟15任务分析书面式任务分析要做的两重工作：1、将事件相关的整个工作分成具体的每一步骤工作，查找所有相关规定，咨询资深人员，确定电站原本要求的每一步骤工作的正规做法，并记录下来。2、分析研究以上正规要求是否存在不当的、要改进之处，以及对事件发生有无影响。记录下来，列出期望的最佳做法。（程序改进、良好实践）RCA课堂材料编制：汪德伟16任务分析---书面任务分析书面式任务分析的步骤

1、获取初步信息，确定任务分析的范围。

2、获取可利用的信息☆相关规程☆流程图、仪表图、☆对执行任务的人员进行访谈，以获得关于任务应如何进行的资料（正常的）。

3、将任务分成若干小的行动或步骤。

4、在任务分析工作单上按发生次序写下步骤或行动的名称。

5、在任务分析工作单写出每一小步工作要求的做法。

6、可以分析被期望的正确做法，以找出原本存在的要求上的或事件发生前潜藏的不足。RCA课堂材料编制：汪德伟17例三:“关闭稳压器人孔”书面任务分析：程序规定的正确流程2004年4月\RCA例三：提前关闭稳压器人孔.ppt任务分析---书面任务分析RCA课堂材料编制：汪德伟18任务分析---实践式（walkthrough）任务分析实践式任务分析□调查在事件发生过程中，该任务是如何被执行的。□由当事人为未参与该任务的调查员重新一步步演绎一遍任务，将每一步的实际做法记录下来，这种方式称为实践式任务分析。□目的是确定工作人员是怎样“真正”执行任务的，并将之与书面式任务分析所得做法进行比较，寻找并记录差别，即为故障。RCA课堂材料编制：汪德伟19任务分析---实践式（walkthrough）任务分析实践式任务分析

准备好书面任务分析。

选择事件中执行任务的人（当事者）。如果任务是由群体完成，则每个当事者在演绎任务时起相同的作用。

由当事者详细再现任务的执行过程，调查者详细记录动作、其所使用工具、设备和各种显示。

与书面式任务分析相对比，寻找二者之不同，记录任何有偏差或有问题的地方，特别是不恰当动作，即为故障。★实践式任务分析的前提：参与的演绎人员应该是原先执行该任务的人。RCA课堂材料编制：汪德伟20任务分析工作表书面任务分析工作表

步骤要求的执行人要求的行动动作设备工具备注/问题步骤实际执行人实际的行动动作设备工具备注实践式任务分析工作表

RCA课堂材料编制：汪德伟21任务分析工作表任务分析比较工作表

步骤故障影响评价备注RCA课堂材料编制：汪德伟22思考：例三请做出“关闭稳压器人孔”的实践式任务分析（以时序图形式）比较两种任务分析找出故障所在。2004年4月\RCA例三：提前关闭稳压器人孔.ppt任务分析举例孰长孰短？RCA课堂材料编制：汪德伟23任务分析举例附录一PT-534/535—反应堆紧急停堆事件（例四）RCA课堂材料编制：汪德伟24任务分析举例简略书面任务分析工作表（部分）

步骤要求的执行人要求的行动动作设备工具备注/问题1一名负责人和两名高级技术员

校准6个主蒸汽管压力变送器一个班标定一个2主管技师（负责人）在控制室将PT534放在试验位置PT534开关触发主控室一个报警3主管技师令高级技术员A隔离PT534传感线头戴式耳机

4高级技师A口头命令高级技师B隔离PT534口头5高级技师B按标牌查找PT534，核实标牌正确RCA课堂材料编制：汪德伟25任务分析举例简略书面任务分析工作表（部分）

步骤要求的执行人要求的行动动作设备工具备注/问题6高级技术员A

监督并验证PT534标牌正确

7高级技术员A指令B隔离PT534PT5348高级技术员B连接试验设备并提起导线…………………………RCA课堂材料编制：汪德伟26任务分析举例简略实践式任务分析工作表（部分）

步骤执行人行动动作设备工具备注/问题1一名负责人、一名高级技术员和一名受训者

校准6个主蒸汽管压力变送器一个班标定六个2主管技师（负责人）在控制室将PT534放在试验位置PT534开关触发主控室一个报警3主管技师令高级技术员隔离PT534传感线头戴式耳机

4高级技师口头命令受训者隔离PT534口头5受训者走到PT534附近查看标牌，看出是PT535RCA课堂材料编制：汪德伟27任务分析举例简略实践式任务分析工作表（部分）

步骤要求的执行人要求的行动动作设备工具备注/问题6高级技术员在一旁站立7高级技术员听到受训者说找到PT534后指令其隔离PT534PT5348受训者连接试验设备并提起导线…………………………RCA课堂材料编制：汪德伟28任务分析举例任务分析比较工作表

步骤故障影响评价备注1按规定要求的一个高级技术员换成了一个受训者不具备此工作的技能5受训者将PT534看成是PT535走错间隔，将在错误设备上工作6高级技术员未对受训者实施监督并实施独立验证失去一道屏障，使已发生的错误得不到纠正…………………………RCA课堂材料编制：汪德伟29任务分析举例例三：提前关闭稳压器人孔事件以时序图形式做任务分析书面式任务分析：实践式任务分析：比较两种任务分析找出故障所在。2004年4月\RCA例三：提前关闭稳压器人孔.pptRCA课堂材料编制：汪德伟30变化分析

变化分析：对于工作过程中发生了事件的整个任务，对照以前以前曾经成功地执行过的相同任务进行比较，找出不同；或只就事件的某一方面寻找变化。之后分析变化与事件发生的关系及变化发生的原因，并找到根本原因。在起因不明确时、不知道从哪儿着手或怀疑一个变化可能对结果有影响等情况下都可以采用变化分析法。RCA课堂材料编制：汪德伟31变化分析变化分析的步骤：1、按时间次序列出事件发生过程中所有人的动作、设备反应。2、列出以前成功完成的相同活动中发生的所有人的动作、设备反应。3、比较以上两种情况，找出不同之处。无论差别是否与事件的发生相关，都应记录到变化分析工作表中。（往往表面上看无关紧要的差别有可能一起导致事件的发生。）4、分析这些差别对事件发生的作用。这一步必须特别注意细节问题，寻找模糊的、间接关联的、综合的或缓慢的变化。例如，颜色或表面涂层上的一个变化可能会改变传热系数并最终影响到系统温度。5、综合所有与事件原因相关的信息到调查过程中。RCA课堂材料编制：汪德伟32变化分析1带有不良后果的事件过程3比较2无不良后果的可比较的对应过程6综合分析各原因确定根本原因4记下差别5分析对不良后果有影响的差异变化分析的六个步骤

变化分析时序法单一故障变化分析RCA课堂材料编制：汪德伟33变化分析变化分析工作单——确定变化时序法时序步骤以前情况

现在情况

差异/变化

影响

要回答的问题

初始状态事情一事情二……结果事情：人的活动及与人的活动相关的所事情（如当时的环境、工作条件、人使用的文件和工作、工作对象情况等）RCA课堂材料编制：汪德伟34变化分析变化因素以前

现在

差异/变化

影响

要回答的问题

什么（条件、活动、设备）

时间（电站状态、时间表）

地点（具体位置、环境条件、规程步骤）

如何（工作实践、疏忽、外部动作、规程错误）

谁（相关人员、监督人员）

变化分析工作单——确定变化简节法确定变化简节法：直接考虑做此项工作以前与现在有何不同，省时但容易漏掉不明显的变化。RCA课堂材料编制：汪德伟35变化分析单一故障变化分析法：就是针对单一的故障分析为什么此时发生而不是以前发生，为什么在此发生而还是别处，为什么此人工作就发生不别人不发生，等等，从这些问题的解答中寻找出故障的原因。要点：故障已知。RCA课堂材料编制：汪德伟36变化分析举例附录一PT-534/535—反应堆紧急停堆事件他们有什么变化？RCA课堂材料编制：汪德伟37变化分析举例变化分析工作单（PT-534/535—反应堆紧急停堆事件）

变化因子

差别/变化

结果

回答的问题

什么（条件、行动、设备）脱开了错误的变送器上的导线反应堆紧急停堆和安全注射为什么弄错了变送器？设备设计/布置或可进入性是一个原因时间（发生、电厂状态、时间表）一个值安排六个变送器，而不是正常的一个值一个变送器。（繁重的仪表和控制工作负担影响了正常的时间表。现在为了满足技术规格书上的要求，必须校准六个变送器。）显见的完成任务的压力按技术规格书上所需的测试要求来制定计划的计划技术方法是什么？是不是监督试验通常午夜班进行？进行监督试验的频率是多久一次？地点（实际位置、环境条件、规程步骤）工作条件、工作环境如何？设备位置在哪里？设备的情况如何？怎样（工作实践、忽略、外部行为、无序状态、低劣的程序）变送器是否易于识别？规程是否提供了充分的细节/指导？是否前四个变送器的校准成功，从而造成了麻痹大意？谁（涉及的人员、监理）一位主技师、一位高级技术员、一位实习生、而不是一位主技师和两个高级技术员

执行该任务的经验较少谁批准不按正常情况进行？执行这项任务的资格要求是什么？为什么人员组成有变动？执行这项任务人员的经验有多少？监督水平如何？工作培训的要求是什么？对值长的培训是怎样的？变化分析的弱点：无法识别原已存在的不足，如这里的光线问题。RCA课堂材料编制：汪德伟38变化分析举例问：为何出现失速，而以前未出现过？答：这个问题范围太广也太一般。问：在秋末这个时候究竟有什么差别？答：加防冬剂。问：防冬剂有什么变化？答：用了新牌号的防冬剂。问：这会造成失速吗？答：经评价，不会造成失速。问：其他有什么变化？答：有一块新的“装入防冬剂”标牌，很大，该标牌的挂法与以前不同（新标牌有一块很长的线）问：对发动机失速有影响吗？答：评价结果是：新标牌被间断地吸敷在空气入口上，一贴上，发动机就失速，一停机检查标牌又回到原位。例：在秋末，一种汽油发电机开始出现周期性超速，没有显而易见的原因。参考状态：在以前的状态，发电机没有出现过失速。RCA课堂材料编制：汪德伟39例：大亚湾核电站的控制棒落棒试验超差。开始原因不明。参考电站：法国GRAVELINES电站没有发生类似事件。问：两个电站有什么不同因素促使落棒时间不同？答：这个问题范围太广也太一般。问：大亚湾用的燃料组件与G厂一样吗？答：一样。问：两个电站的控制棒一样吗？答：一样。问：两个电站的上部构件一样吗？答：一样。问：两个电站的导向筒一样吗？答：不一样，G厂用CP1导向筒，D厂用M1导向筒。问：M1和CP1导向筒在设计上有什么不同？答：M1导向筒在一侧开孔。变化分析举例RCA课堂材料编制：汪德伟40问：为什么要在一侧开孔？答：使控制棒在侧面水力作用下靠向一边，减少因流动而导致震动，使导向筒磨损。问：此情况会加大落棒时间吗？答：经试验，M1型导向筒在无磨损情况下落棒时间与CP1相比增加约0.1秒。问：有磨损情况下呢？答：落棒时间可能会加长。问：为什么这个问题在机组调试时没有出现？答：在一年的运行中，控制棒累积行走步数较少，在水力侧推力作用下，导向筒与控制棒之间的磨擦抛光作用使两个表面更加光滑，从而使”水密封“效应更加加强，牵拽着控制棒的自由落下，导致落棒时间超差。变化分析举例RCA课堂材料编制：汪德伟41变化分析的优、劣优点-

容易入手。-

当收集了足够的数据后，变化通常比较容易确定。缺点-

与立即变化相比，无法认识到缓慢的变化。-

不能认识到导致不恰当动作的所有变化。-

不能认识到多项变化的综合作用。RCA课堂材料编制：汪德伟42屏障分析

屏障是一种行政管理控制或者是实体控制。屏障用来保护系统或人员不受伤害，在发生人员不恰当行为或设备故障后可以防止发生不良结果。行政管理屏障（如规程、培训等）保证人员表现的可靠性，实体屏障（如设备联锁、设计裕度）是用来保护人员和设备以及增强人-机接口的安全及性能的设施。一般而言，屏障是多重、多样的，所有的屏障依次失效才会导致不希望的事件的发生。对防止后果起关键作用的屏障应该是分析的焦点。

RCA课堂材料编制：汪德伟43屏障分析

屏障分析是找出所有有助于防止事件发生的实体和行政管理控制，并对他们的有效性进行评价的过程。换句话说，屏障分析就是确定失效的屏障、薄弱的屏障或不存在的屏障。

屏障分析有独立法和综合法RCA课堂材料编制：汪德伟44­

实体屏障

· 专用安全设施

· 安全卸压装置

· 保守的设计裕量

· 多重设备

· 防火墙，防火门

· 上锁的门和阀

· 接地故障保护装置

· 辐射屏障

· 报警和信号灯

屏障举例

­

行政管理屏障

·

电厂运行规程和维修规程

·

电厂政策和实践

·

运行总则(GOR)

·

培训和教育

·

操纵员资格/执照

·

焊工资格

·

维修工作申请

·

辐射工作票

·

交流方法

·

人员任命

·

人员授权

·

管理条例RCA课堂材料编制：汪德伟45屏障分析独立法对一项活动进行独立屏障分析的步骤1、按时序描述此活动应该经过的所有步骤。2、根据以上过程列出活动全过程中的所有已存在的屏障，然后找出所有有利于阻止后果发生的屏障。3、根据此活动的实际执行情况来鉴别有哪些屏障的失效。对于一起事件的发生，所有的屏障（必须是用于阻止后果发生的屏障）必须连续失效。如果某一阻止后果发生的屏障未失效，那这一屏障一定是不完整的。4、将所有失效屏障按所应起作用的先后顺序画出整个活动失效屏障图。5、继续分析各失效屏障为何会失效。RCA课堂材料编制：汪德伟46屏障分析举例RCA课堂材料编制：汪德伟47投运STR001TX过程中安全阀动作1996年8月3日，因时间较紧，白班值在准备2STR隔离及解除隔离启动文件包时未编写启动阶段文件包，只在计划上写入启动2STR，交给运行值执行。后曾有检修工作将2STR001TX二次侧汽回路部分排空，但信息未传递下来，此时蒸气转换器2STR001TX二次侧汽空间排汽阀2STR009VV和出口阀SVA308VV已被关闭。8月8日，早班值执行2STR解除隔离（0SVC/9SVA暖管）操作，因无启动文件只得以S程序自己编写操作单（包括投运STR二次侧水回路及再线械检查部分）。因得到信息STR二次侧汽回路未动过，操纵员与现操讨论决定直接执行S规程的投二次侧水回路部分，之后向中班交接。中班得到“STR已解除隔离、水侧已好、SVC已投运”的信息后继续执行S程序的投运001TX部分。现操在开启一次侧供汽阀2STR003VV过程中发现二次侧汽空间排汽阀2STR009VV无汽冒出，在未切断汽源情况下打电话与主控讨论，此时水测汽空间因憋压安全阀010VV动作。屏障分析举例RCA课堂材料编制：汪德伟48屏障分析举例1、按时序描述此活动应该经过的所有步骤电站2号机组满功率正常运行白班值准备文件包时未编写启动部分，未要求检查设备在线。------------------1996-08-03在检修工作中STR二次侧汽侧排空，但信息未传递下来早班接到夜班解除隔离单，并得知STR汽侧未动过---------------08-08上午早班用S程序自编操作单，投运STR二次侧水回路部分并对SVA/SVC暖管（包含检查启动准备在线）早班启动二次侧水回路并在化学化验水质合格后交班中班继续投运蒸气转换器2STR001TX------------08-08下午现操未关闭003VV便与主控联系20多分钟现操开启2STR003VV到30%仍未见2STR009VV有汽冒出--------------2005-08-08下午安全阀L2STR010VV憋压动作早班直接执行S规程的投二次侧水回路部分并对SVA/SVC暖管RCA课堂材料编制：汪德伟49屏障分析举例2、列出所有屏障，找阻止后果发生的屏障文件准备：在线文件包的准备白班值交接班化验水质合格后交班早/中班安全阀L2STR010VV憋压动作文件准备准备解除STR隔离操作单早班遵守程序从检查再线准备开始执行操作单早班遵守程序按规程投运蒸气转换器2STR001TX3-8中班遵守程序现操按规操作、监视有无异常知识技能现操处理异常的技能信息记录STR二次侧汽侧状态改变信息的传递当值信息传递传解除隔离单、STR二次汽侧未动过的信息

3月8日信息处理信息被正确处理3-8中班RCA课堂材料编制：汪德伟50屏障分析举例3、据实际情况鉴别失效的屏障

4、画出整个活动失效屏障图文件准备：在线文件包的准备白班值交接班化验水质合格后交班早/中班安全阀L2STR010VV憋压动作文件准备准备解除STR隔离操作单早班遵守程序从检查再线准备开始执行操作单早班遵守程序按规程投运蒸气转换器2STR001TX3-8中班遵守程序现操按规操作、监视有无异常知识技能现操处理异常的技能信息记录STR二次侧汽侧状态改变信息当值信息传递传解除隔离单、STR二次汽侧未动过的信息

3月8日信息处理信息被正确处理3-8中班RCA课堂材料编制：汪德伟51屏障分析举例5、继续分析各失效屏障为何会失效在线文件包的准备白班值程序规定人力保障员工纪律STR二次侧汽侧状态改变信息的传递当值值班日志全面检查再线情况早班现操处理异常的技能在岗培训复岗再培训程序提醒RCA课堂材料编制：汪德伟52屏障分析独立法继续分析每一失效屏障屏障是如何失效的

例如：因为员工遗漏了规程中的一个步骤，所以规程屏障失效。为什么规程屏障会失效例如：因为职员中断工作后，没有进行自检以保证恢复工作后的步骤是正确的，于是他跳过了一个步骤。没有进行独立验证。纠正措施：为了防止事件的重复发生，屏障需要强化、更换或补充。并且这些屏障在事件次序中的位置应该能防止事故的发生。例如:规程需要改进，把停止活动放到重要步骤的后面。防止事件或状态变得更严重的屏障是否有效，确定是否需要其它屏障。例如:增加独立验证(问题由另一名员工发现)。行政管理屏障缺乏的行政管理屏障：对于重要的规程步骤，没有要求必须进行独立验证。RCA课堂材料编制：汪德伟53屏障分析独立法后果/不利结果

本应防止后果发生的屏障

对屏障的评价

(屏障为何失效)

屏障分析工作表

(每次列一个，不必按顺序)

(为每个后果找出实体的和行政管理上的屏障)

(确定屏障是否薄弱、没有或无效？为什么会这样？

RCA课堂材料编制：汪德伟54屏障分析独立法举例附录二SG低液位紧急停堆在这起事件中下列屏障失效：

1.

规程——没有使用适当的规程，即记下电站的异常设备配置。

2.

交接班——没有告诉下一值的RO或SRO关于隔离阀的事。

3.

运行日志——使用旁路阀没有记录。

4.

挂牌——没有挂牌标明阀门已关闭。

5.

偏离报告——没有按要求使用（美国电站有此类要求）

6.

挂牌日志——没有使用。

7.

泄漏试验——未执行，规程允许在值长认为必要的时候可以不进行该试验。

8.

系统巡检——在把主给水调节阀投入运行前没有进行巡检（在这个电站，系统巡检是规范化做法）。

9.

流量指示——当给水流量无法增加时，操纵员没有使用它。RCA课堂材料编制：汪德伟55屏障分析独立法举例规程流量显示系统巡检偏差报告试验泄漏交接班值班日志挂牌报告挂牌日志屏障未使用未交代未进行登录FW-78处于关闭状态没有挂牌未使用未使用放弃在主给水调节阀投入使用前未执行未观察低液位紧急停堆评估RCA课堂材料编制：汪德伟56屏障分析独立法屏障分析单独使用时的缺点：要确定所有失效的屏障是困难的。屏障分析应与其他根本原因分析工具一起使用，并综合到E&CF图中。如果调查者对屏障不熟悉，他就可能找不全屏障。因此从熟悉屏障的人那里获得屏障信息是很重要的。如果屏障自身存在问题，则该问题也许无法探测到。例如，规程是标准的，但是，可能存在格式或材料上的差异影响屏障的有效性。

RCA课堂材料编制：汪德伟57屏障分析综合法

通常屏障分析是跟E&CFC结合在一起使用。把屏障放进图中，这样就可以确定事件次序中屏障的位置。RCA课堂材料编制：汪德伟58故障树法

在调查设备或人员表现中的某一故障时，故障树分析法用以列出所有可能的原因以为揭开真实原因的调查确立一个方向。在使用该方法时，要使用自由思考能力和逻辑思维能力。该方法的基本前提是所有可能的错误和原因都被列出，然后分析人或分析小组对所有可能的原因进行调查，通过推论或调查来排除不成立的原因并分析确定根本原因。故障树图需要遵循以下两条基本准则：第一，每个事件必须与原因通过逻辑关系（或门、与门、非门和与非门）连接。第二，逻辑门只能连接上一层的原因或事件和下一层的原因或事件。RCA课堂材料编制：汪德伟59故障树法设备故障树分析举例说明：1、确定故障

设冷水泵不能手动启动

母线没电没有控制电源OR设冷水泵不能手动启动启动逻辑不满足2、列出所有可能的直接原因和逻辑关系

RCA课堂材料编制：汪德伟60故障树法3、把每一个找出的原因用逻辑关系与事件连接起来，把已找出的这些原因作为事件，再找这些新事件下一层的原因，直至可接受的最后原因。

RCA课堂材料编制：汪德伟61故障树法RCA课堂材料编制：汪德伟62故障树法4、在画故障树过程中如有证据证明某原因不可能存在，则删掉它，不再往下分析。5、当故障树图已画到可接受的详细水平后，继续着手去确定真实原因。复核逻辑树剔除某些不可能的原因。调查剩下的原因，确定可能的原因是否正确。如果有证据证明剩下原因正确，该原因就应该是最重要的原因。6、对已找到的原因，确定是否还要继续分析。RCA课堂材料编制：汪德伟63故障树法人员表现相关的故障树举例说明：RCA课堂材料编制：汪德伟64故障树法PII推荐的例表法即是简化的故障树法。原因支持的理由反对的理由评价ABCRCA课堂材料编制：汪德伟65事件和原因因素图法（ECFC）E&CF图可以帮助调查员理解发生的事件的先后次序及引起事件的原因。重大事件通常不是单个故障的结果。可以显示出从开始到结束这一过程中事件发生的正确次序，包括失效的屏障、预先存在的条件、次级事件、不恰当动作和形成事件的原因因子。绘制此图时，可能的原因因子将变得很明显。RCA课堂材料编制：汪德伟66E&CF图的核心是按时间先后排列的事件次序线。选择起点和终点来获取和情况有关的所有重要信息。这种方法用完整格式来记录整个情况，各自位置很清楚。E&CF图帮助调查员理解事故发展的每一步，这样就有助于认定缺少的信息以及信息中的矛盾。也有助于调查人向其它人解释事故情况。不同的调查员所画的图可能会不一样，但最后得出的根本原因应该是大体相同的。事件和原因因素图法（ECFC）RCA课堂材料编制：汪德伟67构造原因因素图——示意图最终状态根本原因GEMS故障事项促成因素事项初始状态次级事项屏障分析屏障名称屏障名称HEIA从初始状态演变到最终状态的过程中存在一些非故障的中间环节，放在矩形内，每一事件可以有多个中间环节。事件中的失效屏障，它一般与事件的原因和促成因素相对应，并在图形下写出屏障的名称，如“规程”、“培训”等。“最终状态”表示事件的结束，也是事件的后果或风险。一起事件只有一个最终状态。人的故障或设备故障放在菱形中，一起事件中可以有多个故障，即可有多个菱形。事件的原因放在椭圆内，这是原因分析的中间原因，它是上面“椭圆”的结果，是下面“椭圆”的原因。“根本原因”放在带阴影的椭圆中。所做的动作或发生的事情对事件经过有影响，但并不直接属于事件的时序过程。事件发生前机组或事件主体所处的状态，它是原因因素图的起点。“促成因素”放入不带阴影的椭圆中。KVO&PRCA课堂材料编制：汪德伟68构造原因因素图——示意图RCA课堂材料编制：汪德伟69事件和原因因素图法（ECFC）ECFC分析过程根据初始信息确定图的范围（确定初始状态和最终事件）。根据调查和访谈的信息按事件发生全过程的时序将所有相关的事情或事件连接起来。每一个事情/事件必须描述一个简单的动作或单个事情，并且应该用包含主语和谓语的短句正确描写。对还不太清楚的事情/事件用虚线表示它是假设的。采用各种有效的技术来获取更详细的信息或更多的事实，把以上事件时序图做得准确、完整。确定不应该发生的事件（即故障），并分析鉴别出对最终后果发生起关键作用的事件（有些材料称为主要影响）。将所有故障用菱形表示。RCA课堂材料编制：汪德伟70事件和原因因素图法（ECFC）分析每一个故障，确定什么状态或原因导致故障的发生。将这些条件（即故障原因）放在椭圆中，标在图上以表示它们与故障的关系。对于每一个已确定的条件，确定为什么该条件会存在。把这些条件当作结果来处理，确定造成这些结果的原因。用线连接原因和结果，这样会形成一系列椭圆的堆积。直到满足下列条件之一：原因已超出电厂员工的控制范围。防止该原因的纠正措施的代价超出允许的范围。所有故障得到完整解释。没有其他的原因可以解释要分析的故障。进一步的原因及影响分析将不会为纠正主要问题提供更多的益处。RCA课堂材料编制：汪德伟71事件和原因因素图法（ECFC）利用原因和故障的关系来确定引起最终事件后果的根本原因和促成因素。在图中用锯齿标出失效的实体屏障和/或行政管理屏障。RCA课堂材料编制：汪德伟72故障路径法故障路径用于设备故障分析此方法研究在故障情景中各故障之间的连线为什么没能断开。每根连线是导致设备发生故障的故障路径。对于每根连线都要问“为什么既有的屏障（如果有的话）没有能使这根连线断掉？“这个问题的答案可能是下面两个答案中的一个：

1）

无既有的屏障，

2）

有既有的屏障但没有起作用。如果答案是“无既有的屏障”，那么，要问的下一个问题就是“需要屏障吗”？如果答案是肯定的，那么，缺乏这样一个屏障就是原因因素了。如果答案是“有既有屏障但没有起作用”，那么我们就要找出屏障不起作用的原因。我们必须弄清楚是什么因素使连线没有断掉。RCA课堂材料编制：汪德伟73故障路径法故障路径举例：1986年6月SanOnofre核电站1号机组上主给水泵轴破裂事件

泵例行大修止推轴承锁紧螺母预加载不够止推轴承自由窜动大止推轴承和轴之间有磨损痕迹循环弯曲应力大于疲劳极限裂纹在最高循环应力点处开始整个轴疲劳破裂

泵轴故障的简化故障情景

RCA课堂材料编制：汪德伟74故障路径法缺乏控制供货商建议的大纲没有遵守程序缺乏止推轴承振动探头泵例行大修预加载不够止推轴承自由窜动大轴承和轴之间磨损根本原因和促成因素

故障情景

RCA课堂材料编制：汪德伟75泵例行大修泵启动投入运行主给水泵轴破裂预加载不够止推轴承自由窜动大缺乏止推轴承振动探头轴承和轴之间磨损没有遵守程序缺乏控制供货商建议的大纲循环弯曲应力大于疲劳极限裂纹在最高循环应力点处开始整个轴疲劳破裂止推轴承自由窜动大1986年6月SanOnofre核电站1号机组上主给水泵轴破裂事件原因因素图故障路径法与故障树法的关系

(这一部分仅供参考)RCA课堂材料编制：汪德伟76故障路径法==故障树法+找缺少的新屏障故障情景是故障树的一部分？？故障路径法与故障树法的关系

(这一部分仅供参考)RCA课堂材料编制：汪德伟77最终状态原因故障事项事项初始状态屏障分析变化分析故障树分析任务分析各分析方法的应用RCA课堂材料编制：汪德伟78对任何事物的评价首先需要一个参照系，即要知正确的是什么。事件分析总的来说包括两步：确定故障对故障进行根本原因分析因为：

根本原因故障事件后果各分析方法的相互关系

(这一部分仅供参考)RCA课堂材料编制：汪德伟79从实质上说：

书面任务分析包含了寻找正确做法（参照系）的这一实质性内容。而实践式任务分析正是通过与参照系的对比鉴别出故障所在。

屏障分析中找所有屏障的工作跟书面任务分析类同；找失效屏障的工作跟实践式任务分析类同。

变化分析时序法也是如此。总之，以上三方法实质是构建ECFC时序图的过程。各分析方法的相互关系

(这一部分仅供参考)RCA课堂材料编制：汪德伟80

而对故障进行分析的方法是：

故障树法

单一故障变化分析法

单一故障屏障分析法即，使用以上三方法来画出ECFC的菱形往上的部分，并最终找出根本原因和促成因素。各分析方法的相互关系

(这一部分仅供参考)RCA课堂材料编制：汪德伟81严格来说：事件&原因因素图法是不能直接用来做事件分析的，但它能很准确、明了地表述出事件的原因分析结果，因而可用于事件分析报告的格式中。综上所述，事件分析方法就是：任务分析法+（故障树法+单一故障变化/屏障分析法）各分析方法的相互关系

(这一部分仅供参考)RCA课堂材料编制：汪德伟82人因事件与设备故障事件分析的不同人因事件过程有可追溯性，可以调查当事人说出事件经过。而设备不然，它要靠人去推断。所以对人因事件可以画出详细的时序图，而设备事件简化成了：事件机组状态设备故障机组后果RCA课堂材料编制：汪德伟83纠正行动的制定纠正行动的作用：消缺类：预防类：防止事件的重发如果防止事件重发不切实际，则减少事件的重发。（如对人的行为）如果事件重发不可避免，则减少事件的后果。提高事件相关工作过程的工作质量消除事件的实际后果RCA课堂材料编制：汪德伟84纠正行动的制定制定纠正行动的原则：纠正行动应针对所分析到的事件原因制定；纠正行动必须具有可操作性和可检查性。纠正行动的实施，不应引起其他方面的新的缺陷或质量安全水平下降；纠正行动的实施，在电站所能控制的范围之内；纠正行动符合“代价——收益”要求；纠正行动的完成期限，根据完成纠正行动所需时间和事件重发的可能性大小综合确定。RCA课堂材料编制：汪德伟85纠正行动的制定事件报告中的纠正行动应包括：○

制定每项纠正行动的原因因素○

每项纠正行动的内容○

负责实施纠正行动的单位（处以上）○

完成纠正行动的期限必须是具体的时间○

纠正行动实施的状态说明（必要时）

RCA课堂材料编制：汪德伟86事件分析流程2、事件调查：收集证据、人员访谈4、分析确定人的故障或设备故障任务分析（适用于人因事件）屏障分析（适用于人因事件）变化分析5、分析故障发生的原因，构建原因因素图（对设备，也叫故障情景重建）故障树分析法（故障模式分析）变化分析6、分析确定根本原因和原因因素7、相关影响分析：其他可能受影响的项目8、制定纠正措施9、纠正行动实施跟踪10、检查纠正行动的有效性3、构建事件时序图（主要用于人因事件）1、事件描述、确定调查范围好麻烦!好麻烦!好麻烦!好麻烦!好麻烦!好麻烦!RCA课堂材料编制：汪德伟87报告编写1、名称

2、摘要：时间—谁---因为什么---做错了什么—导致什么后果

3、事件准则

4、事件过程详述：经过整理的、按时间顺序

5、原因因素图

6、原因分析详述

7、括展分析：相关影响的分析

8、纠正行动

9、附件及参考资料RCA课堂材料编制：汪德伟88附录一PT-534/535—反应堆紧急停堆事件

事件名称：当在蒸汽管线压力变送器(PT534)上进行标定时，I&C技术员提起PT535的导线，引起紧急停堆和安注。(INPO)

事件时序描述：在夜班上的三个I&C技术员被派去标定在蒸汽地道内的6个主蒸汽管线压力变送器。到早晨5时技术员们已成功地标定了六个变送器中的4个，并正试图去找出压力变送器PT—534。在控制室的领头技术员把在安全设备柜中的PT—534的试验开关置于试验位置，然后他指挥在地道中的技术员们去找出、隔离它和连接上试验设备。高级技术员通过头戴送受话器接受这一信息并指挥受培训者去找出PT—534，然后将变送器隔离并把试验设备连接上。受培训者去到最近的变送器并看了标牌。受培训者就在PT—534旁边；然而，他错误地把标牌看为PT—535。他知道仅有另一个变送器，他就去到最后的变送器并认为它就是PT—534。这一变送器实际上是PT—535。这一变送器是在角落处，此角落是在阴影之下。在这一过程中，高级技术员也是作为受培训者就这个标定问题的培训教师。然而，高级技术员并没有直接监督受培训者，而且，在提起输出导线之前也没有进行要求的独立验证。然后，在5时10分左右受培训者隔离了PT—535，连接上试验设备并提起导线。随着PT—534试验和PT—535不可用，满足3取2逻辑，导致紧急停堆和安注。

RCA课堂材料编制：汪德伟89附录一PT-534/535—反应堆紧急停堆事件

值班技术顾问的报告：早晨5:30，反应堆在100％额定功率运行时发生紧急停堆事件。这起事件是由于一名仪控技术人员在监测某主蒸汽管道上压力变送器的校准监督试验过程中，脱开了变送器的连接线而引起的。

I&C值长指派三名仪控技术人员，在大夜班时标定六个主蒸汽管道压力变送器。通常，这项任务应分配给一个主管技师和两个高级技术员进行协同工作。但是由于该值缺乏人手，他把这项任务交给一名主管技师，一名高级技术员和一名仪控实习人员去完成。同时该值长交给主管技师一份操作规程的复印件。他们在得到了值长和操纵员的许可后，就去执行这个监督试验。主管技师留在控制室里，而高级技术员和实习人员带了测试好的自重块和测试用压力表去现场。这两名技术员进入主蒸汽管管廊，并且通过头戴式耳机同主控室里的主管技师保持着联系。主控室里的主管技师控制着这项监督试验任务。这是第一次在一个班里标定六个变送器。以前都是一个班标定一个，直至六个全都校准完毕。这个星期因为有很多额外的工作要做，所以这项监督试验被推迟了。但是，按照技术规格书上的要求，必须及时完成这项监测工作。

到5:00时，他们已经校好了六个变送器中的四个。下一个要校准的是PT—534。按照规程的指导，主控室里的主管技师把PT—534的电路卡放到“测试”的位置。此动作如期触发了主控室的一个报警。随后，他指示技术员脱开PT—534上的传感线。待完成这项操作后，他又指示技术员接上自重测试仪和压力表，并且脱开PT—534上的连接线。约10分钟后，当技术员无意中脱开PT—535上的一根进线时，发生了反应堆紧急停堆。由于PT—534正在测试，而PT—535上的线路又脱开了，满足反应堆保护逻辑引起紧急停堆。所有的系统按设计要求运行，并且机组稳定在热备用工况。

RCA课堂材料编制：汪德伟90附录一PT-534/535—反应堆紧急停堆事件PT534/535事件变送器/环路布置反应堆保护系统环路1环路3环路4环路2PT533PT534PT5352/31/4安注停堆MSIV关闭RCA课堂材料编制：汪德伟91附录一PT-534/535—反应堆紧急停堆事件仪表校准规程（部分）（适用于PT—534）5.2 测试/校准5.2.3 AB/PT0534（环路3）5.2.3.1 在主控室面板RL006上，找到ABFS/532C“蒸汽流向选择开关”。确定开关在“F533”位置。如果在“F533”位置，则跳过步骤5.2.3.2和5.2.3.3，直接执行步骤5.2.3.4。如果开关的位置不在“F533”，执行步骤5.2.3.2和5.2.3.3。5.2.3.2 在RL006上找到AEFK-530M/A位置，将操作位置设定在“手动”。5.2.3.3 把ABFS/532C操作位置设置在“F533”位置。待稳定以后，操纵员可把AEFK-530小心地恢复到“自动”位置。5.2.3.4 提示操纵员出现下列报警和状态显示。

“PCSCAB的门被打开”（RK024—893）

“STMLINELPL3PB534A”（Rx部分跳闸状态面板）

“STMHPRATEL3PB534B”（Rx部分跳闸状态面板）5.2.3.5 检查反应堆停堆状态面板上，没有任何安注或蒸汽管道隔离功能的状态显示灯是亮的。（在模式3-6，可不必使用此步骤）5.2.3.6 在保护装置I的端子箱01里，找到在0848位置上的“通道测试”卡PS—534。把开关FS/534A和FS/534B设置在“测试”位置。5.2.3.7 在保护装置I的端子箱01里，找到在0847位置上的“主测试”卡UY/761T。把Sw67设置在测试位置。5.2.3.8 如果是在模式1或模式2下，再一次通知操作员将AB/PT0534切除。5.2.3.9 找到蒸汽管廊里的PT0535。关闭隔离阀传感器。5.2.3.10 用某一适当型号的自重测试器泵作为测试压力源。5.2.3.11 用压力计将压力输入源和总管的测试输入端口相连接。5.2.3.12 移去变送器的覆盖面板5.2.3.13 使用一个直流电压表，在正（+）极和负（—）极检查供应给变送器的电压。数值应大约在25—45伏（直流）之间。如果低于20V，就应在校准之前检查环路的电源问题。5.2.3.14 从变送器端子盒上脱开正极的导线，把数值为50欧姆的精密电阻和当前环路串联。

RCA课堂材料编制：汪德伟92附录一PT-534/535—反应堆紧急停堆事件与高级技术人员访谈的详细内容PT-534操作过程

1.

最近在仪控部门刚开始开展独立确认。这里的高级技术人员没有接受过这方面的培训，他们认为这是一个质量控制特征，而不认为是要求他们确认已经执行步骤的独立确认。2.

高级技术人员是在变送器上进行工作培训的教员。3.

没有强调对自我确认的监督。4.

高级技术员离受训者约8英尺远，他头上的耳机线长度不足以达到PT-534或PT-535。高级技术员站在一个空调通风口的正下方。5.

高级技术员最后一次进行这项任务的时间是5个月前。6.

蒸汽压力变送器用于保护主蒸汽管道的破裂，在一条主蒸汽管上设置3个变送器，3取2以满足停堆、安注和主蒸汽管隔离阀关闭的要求。7.

技术人员工作匆忙以便在这一值结束时能完成全部6个变送器的工作。通常，6个变送器的校准工作在一周内完成。8.

按季进行监督试验。监督试验安排在每季的最后一周。9.

技术人员在车间里没有可用的工作手电筒。他们应让仪控值长要求仓库管理员加班，再申请一个手电筒或电池。10.

自从上次那个高级技术人员完成校准后，规程被重新修订了。高级技术人员没有收到关于规程已修订的指令。其中加入了第一和第二确认（独立确认）。作为这一修改版一部分的第5.2.3.9(PT0535应为PT0534)中的错误不知为何没有被改正。11.

高级技术人员和受训者没有和倒班的运行人员一起参加交接班情况介绍。主管技师告诉高级技术人员，他和值长一起讨论了工作，并被告知必须在上午8:00前完成校准。12.

仪控值班人员人手不够。所以主管技师命令高级技术人员让受训人员一起去，还可以提供实际工作培训。13.

高级技术员让受训人员拿了校准仪表后在蒸汽管廊入口处和他会面。两个技术人员大约在0:45到达蒸汽管廊。1:00左右开始校准第一个变送器。约1小时15分后完成第一个变送器校准。其余3个变送器，每个都不到1小时就完成了校准工作。14.

受训人员在高级技术员的指导下完成了第一批4个变送器的校准工作。15.

变送器都有标签（电站建造时由设计确认）。对于高级技术人员来说标签不是问题。他知道设备是有标签的，但想不起来是如何标的。他自己从来都不会找错变送器。16.

高级技术人员清晰的听见主管技师提到PT534。高级技术人员让受训人员到PT534去。不一会儿，受训人员回答“我找错了变送器”。高级技术人员喊他到正确的变送器那边去。受训人员然后回答道：“现在我站对位置了”。高级技术员没有亲自走过去确认受训人员是否站在PT534边上。17.

一声巨响后（主蒸汽管隔离阀关闭），立即听到主管技师告诉高级技术人员“电站紧急停堆，你们一定做错了什么。我们必须收拾测试设备返回仪表车间。”18.

技术人员（主管技师、高级技术员和受训人员）在通讯时没有采用“复诵”。这在电站里是不允许的。19.

高级技术员随身带着规程复印件。他没有让受训人员看规程。20.

高级技术员和受训人员在离开蒸汽管廊、回到实验室的路上讨论着发生了什么事。高级技术员告诉受训人员前两个变送器的校准步骤（如：打开盖，连接数字电压表（DVM），脱开连接导线等）。受训人员通过他在实验室的训练显然知道这些操作步骤。所以，没有必要告诉他其他那些变送器的操作步骤。

RCA课堂材料编制：汪德伟93附录一PT-534/535—反应堆紧急停堆事件与受训人员访谈的详细内容PT-534操作过程1.

变送器位于阴影里，标签的字母1/8英寸高，而且是灰底黑字。标签的位置让人很难看清。2.

蒸汽管廊里的光线不足。有很多阴影使小标签很难看清。3.

受训人员执行的工作是岗位培训和工作资格的一部分。4.

当高级技术人员用耳机和控制室里的主管技师通话时，受训人员正在执行任务。受训人员离高级技术员约8英尺远。5.

技术人员工作匆忙以便在这一值结束时能完成全部6个变送器的校准工作。通常，这些变送器在一周内完成全部校准。6.

这是第三个大夜班。7.

这是受训人员第一次离开仪控实验室在现场执行任务。8.

这是6个变送器中的第五个（只有PT535和PT534在左边）。蒸汽管廊里有两根主蒸汽管，每根上有3个变送器。另一个管廊包含另两根蒸汽管。9.

监督试验写明包含：设置实验通道、确认报警、隔离变送器、进行校准。这些都按正确的次序执行了。10.

这一班从午夜开始到上午8:00结束。11.

受训人员来电站已有8个月了。前6个月受训。12.

受训人员看着PT-534误认为是PT-535。他告诉高级技术人员然后走到最后一个变送器。受训者将PT-535错看成PT-534并开始执行校准规程的余下部分。13.

蒸汽管廊里变送器的分布没有特别的规律。隔离阀紧挨着它们各自的变送器。14.

蒸汽管廊里的温度约43.3℃。15.

受训人员在车间里用校准规程校准仪表。由于很多步骤通常是在控制室里完成的，所以他只用了校准的那一部分规程。受训人员对独立确认不熟悉；他认为没有必要在现场进行确认，因为那里只有一个变送器。16.

受训者不知道是否有交接班情况介绍。高级技术人员告诉他6个变送器必须在早晨8:00前完成校准，而他将获得实际工作操作培训以得到执行这项工作的资格。17.

高级技术员让受训人员拿了校准仪表后在蒸汽管廊入口处和他会面。两个专业技术人员大约在午夜0:45到达蒸汽管廊。大约在凌晨1:00开始校准第一个变送器。约1小时15分后完成第一个变送器校准。其余3个变送器，每个都不到1小时就完成了校准工作。18.

受训人员在高级技术员的指导下完成了第一批4个变送器的校准检查。19.

受训者不熟悉标签的标注方式也不熟悉变送器位置。他认为变送器是按一定次序标签的。他接受了高级技术人员的指导。20.

受训人员清晰的听见高级技术员指出PT534。听到他的指令后一会儿，他回答“我找错了变送器”。高级技术员喊他到正确的变送器那边去。受训者人员然后回答到：“现在我站对位置了”。高级技术人员没有亲自走过去确认受训人员是否站住PT534边上。21.

一声巨响后（主蒸汽管隔离阀关闭），立即听到高级技术人员告诉受训人员“电站紧急停堆，你一定做错了什么。我们必须收拾测试设备返回仪表间。”22.

技术人员（高级技术员和受训人员）在通讯时没有用“复诵”。这在电站里是不允许的。23.

高级技术员随身带着规程复印件。他没有让受训人员看规程。24.

受训人员隔离了PT535并在他认为是PT534的PT535上进行校准检查。他打开变送器的盖，连接数字电压表，断开导线。完成第二个变送器校准后高级技术员没有告诉他其他那些变送器的操作步骤。25.

受训人员被告知主蒸汽变送器是安全系统保护的一部分，能引起反应堆紧急停堆。在实验室里最近两个月他接受过一些系统知识的培训。26.

高级技术员和受训人员在离开蒸汽管廊、回到实验室的路上讨论着发生了什么事。RCA课堂材料编制：汪德伟94附录一PT-534/535—反应堆紧急停堆事件书面任务分析（针对仪表校准规程部分）

步骤执行人员要求动作动作设备工具备注/问题5.2.3.1仪控技术员确定蒸汽流量选择开关的位置，若开关在FS33位置，在规程中跳过蒸汽流量选择开关无单个步骤中的多个行动可能造成混乱。哪个技术员执行了此项和其它步骤。5.2.3.2反应堆操纵员设定AEFK-530在手动AEFK-530无关键步骤。当切换蒸汽流量选择开关时，未做此步骤会造成大的瞬态。在规程中加一个“小心”的标志会有所帮助。5.2.3.3反应堆操纵员设定蒸汽流量开关ABFC/532C，到F333位置蒸汽流量开关ABFC/532C，无关键步骤。当切换蒸汽流量选择开关时，如果开关在F534位置而AEFK在自动时，未做此步骤会造成大的瞬态。5.2.3.4仪控技术员通知操纵员会有预期报警N/A电话？不清楚通知谁。应该通知反应堆操纵员。通常通知谁。5.2.3.5仪控技术员确认没有安注或蒸汽管道隔离等停堆信号反应堆停堆状态面板上的指示灯无如果发生停堆，无“做什么”的指令？如果发生停堆，什么是必要的？在此情况下，仪控技术员该怎样动作。RCA课堂材料编制：汪德伟95附录一PT-534/535—反应堆紧急停堆事件步骤

执行人员

要求动作

动作设备

工具

备注/问题

书面任务分析（针对仪表校准规程部分）5.2.3.6仪控技术员设定FS/534A和PS/534在“测试”的位置。电源1端子箱1开关FS/534A和PS/534

无没有说明这个电器柜的位置。是否有任何显示表明已经正确执行了此项操作。5.2.3.7仪控技术员设定开关67在“测试”位置在0874的主测试卡UY/761T上的开关67无这个开关在哪个电气柜中，是否有检测显示？5.2.3.8仪控技术员通知操纵员切除ABPT0534的在役状态N/A电话？可能在辅助厂房蒸汽管管廊中需要个人通讯设施，做此步骤需要多少技术员？5.2.3.9仪控技术员关闭隔离阀PT535隔离阀的传感线无

明显的规程错误。关闭了哪个阀门？阀门的标识是唯一的吗？若在同一时间内两个通道不可同时操作的话，就可能产生技术规格书错误。第1和第2空白是何意思？RCA课堂材料编制：汪德伟96附录一PT-534/535—反应堆紧急停堆事件步骤

执行人员

要求动作

动作设备

工具

备注/问题

书面任务分析（针对仪表校准规程部分）

5.2.3.10仪控技术员不清楚该做什么自重测试仪无应正确指出此步骤或再明确此特定行动。是否规定自重测试仪的型号和测试标定要求？是否需要记录测试仪的序列号（编号）？5.2.3.11仪控技术员连接自重测试仪自重测试仪扳手没有说明怎样连接测试仪。有张图纸的话会有所帮助的。测试仪该和哪个变送器相连？5.2.3.12仪控技术员移去变送器盖板变送器螺丝刀没有指明是哪个变送器5.2.3.13仪控技术员检查“＋”极和“－”极电压变送器数字电压表没有记录下数字电压表的序列号（编号）和电压读数。没有指明数字电压表的型号5.2.3.14仪控技术员脱开“＋”导线，串联50欧姆的精密电阻。变送器螺丝刀，50欧姆的精确电阻没有提示或警告指出脱开导线会产生触发信号，拉起错误的变送器的导线将导致主蒸汽管破裂隔离信号，使反应堆保护系统（3取2）反应堆紧急停堆，安全注射、和蒸汽管隔离动作。RCA课堂材料编制：汪德伟97变化分析工作单

（PT-534/535—反应堆紧急停堆事件）

变化因子差别/变化

结果

回答的问题

什么：（条件、行动、设备）脱开了错误的变送器上的导线反应堆紧急停堆和安全注射为什么弄错了变送器？设备设计/布置或可进入性是一