Почему аварии становятся катастрофой и как снизить риск?
Почему аварии на современных АЭС и других сложных технических системах могут превратиться в кастастрофу? Что нужно сделать, чтобы снизить риск трагедий?
Системный анализ проблемы опубликован в статье «Управленческие ошибки как системная проблема техногенных катастроф».
Статья на портале ПроАтом опубликована совместно с Игорем Лузиным, с которым были выпускниками кафедры Теплифизики Ленинградского Политехнического института в 1976. Так, недавняя встреча однокашников, посвященная юбилею окончания Альма Матер, трансформировалась в творческую дискуссию и статью
_______________________________________________________________________________________________
Современная техносфера характеризуется колоссальной концентрацией энергии и опасных веществ. Традиционное деление катастроф на «техногенные» и «природно-техногенные» [1] часто маскирует истинную природу происшествий.
Анализ крупнейших аварий последних десятилетий показывает: природное воздействие или ошибка оператора являются лишь спусковым крючком, который высвобождает разрушительный потенциал, накопленный из-за системных управленческих дефектов. Цель данной статьи — показать, что непосредственные причины (ошибки человека или отказ техники) являются лишь следствием глубоких коренных причин, лежащих в плоскости управления безопасностью. Мы отходим от упрощённого понятия «человеческий фактор» как синонима халатности исполнителя и рассматриваем его с позиций современной теории надёжности социотехнических систем.
Методологическая рамка анализа
Для объективного расследования недостаточно установить, кто ошибся и что сломалось. Необходимо понять, почему система защиты позволила единичному отказу или ошибке развиться в катастрофу. В основу данного исследования положена модель «швейцарского сыра» Джеймса Ризона [2], согласно которой происшествие происходит при совпадении «дыр» в нескольких слоях защиты. Эти «дыры» делятся на два типа:
· Активные отказы (непосредственные причины): Небезопасные действия персонала (ошибки, нарушения), непосредственно предшествующие событию.
· Латентные условия (коренные причины): Скрытые дефекты системы, заложенные задолго до аварии решениями проектировщиков, регуляторов, высшего руководства. Сюда входят неадекватная культура безопасности, дефекты проектирования и ошибочная техническая политика.
Мы также используем концепцию «нормализации отклонений» (normalization of deviance), введённую Д. Воган при анализе катастрофы «Челленджера» [3], когда технические сигналы опасности систематически игнорируются, а отклонения от нормы постепенно принимаются как допустимый риск.
Рассмотрим с этих позиций ключевые катастрофы, включая катастрофы на Чернобыльской АЭС и АЭС «Фукусима», отнесённые к катастрофам 7 уровня, т. е. наиболее тяжёлым по своим последствиям катастрофам последнего времени.
Чернобыльская АЭС: Эксперимент как следствие дефектов системы
Авария 26 апреля 1986 года часто трактуется как результат преступной халатности операторов. Действительно, действия персонала (отключение защит, подъём стержней СУЗ для удержания реактора в режиме «йодной ямы») стали активной непосредственной причиной разгона. Попытка вывести реактор на мощность порядка 200 МВт за счёт вывода всех регулирующих стержней спровоцировала неуправляемый разгон, однако сама возможность такого развития событий была предопределена мощнейшими латентными условиями:
1. Проектные дефекты (латентное условие первого уровня): Реактор РБМК-1000 обладал положительным паровым коэффициентом реактивности и концевым эффектом стержней СУЗ, что делало его нестабильным на малых мощностях. Это была не операторская ошибка, а заложенная конструкторами физическая особенность, которую персонал в полной мере не осознавал [4].
2. Информационный вакуум (коренная управленческая ошибка): Информация об этих опасных свойствах была засекречена и не доведена до эксплуатационного персонала как из-за режимных требований, так и из-за боязни подорвать доверие к технологии. Персонал не мог принимать осознанные решения [5].
3. Давление плана (организационная причина): Эксперимент по выбегу ротора турбогенератора проводился во время плановой остановки блока на ремонт. Давление руководства, требовавшего выполнения программы любой ценой, создало атмосферу, в которой отказ от эксперимента воспринимался как чрезвычайное происшествие. Это привело к игнорированию требований технологического регламента (были отключены автоматические системы защиты, в результате скорость реакции на развитие быстротекущих процессов, определяемая скоростью человеческой реакции оператора, оказалась явно недостаточной).
Таким образом, катастрофа на ЧАЭС — это не вина одного оператора, а системный провал, где ошибка проектирования была усугублена режимом секретности и производственным давлением.
АЭС «Фукусима-1»: Регуляторный захват и блокирование плохих новостей
Авария 11 марта 2011 года формально была спровоцирована цунами, высота которого превысила проектные защитные барьеры. Однако, в отличие от других АЭС, успешно справившихся с землетрясением, на «Фукусиме-1» авария переросла в катастрофу 7-го уровня именно из-за накопленных управленческих ошибок.
1. Дефекты проектных угроз и надзора (коренная причина): Задолго до аварии были известны палеоцунами, значительно превышавшие проектные отметки. Компания TEPCO и национальный регулятор (NISA) знали о недостаточной высоте защитной стены и о расположении аварийных дизель-генераторов в затапливаемых зонах, но не приняли мер. Это классический пример «регуляторного захвата», когда надзорный орган действует в интересах корпорации, а не безопасности [6].
2. Ущербная культура безопасности (коренная организационная причина): После потери охлаждения руководство TEPCO и станции медлило с вентиляцией реакторных зданий для сброса давления. Задержка привела к взрывам водорода. Согласно выводам парламентской комиссии Японии, причиной была не техническая невозможность, а нежелание открыто признать масштаб аварии и испортить репутацию компании [7]. Оценка А. Коваленко, бывшего заместителя руководителя ЧАЭС, — «растерянность и бездействие руководства компании-оператора довели аварию средней тяжести до настоящей катастрофы» — лишь подтверждает приоритет управленческого фактора.
3. Сокрытие информации и жёсткая централизация: Страх перед сообщением плохих новостей наверх парализовал принятие решений в реальном времени [7]. Свою роль сыграла и принятая в TEPCO предельная централизация управления, при которой персонал на площадке не имел полномочий на самостоятельные действия в кризисной ситуации, а согласование с руководством занимало часы. Фатальные задержки с вентиляцией реакторов стали прямым следствием этой организационной патологии.
Вместе с тем необходимо отметить героизм, граничащий с самопожертвованием, проявленный рядовыми японскими ликвидаторами, усилиями которых было обеспечено эффективное охлаждение повреждённых зон. В результате в специально построенных резервуарах АЭС «Фукусима-1» в настоящее время содержится более 1,34 млн тонн воды разной степени радиоактивности. Японское правительство приняло решение о постепенном сбросе её в океан после очистки; в 2024 году начался четвёртый этап сброса 7,8 тыс. тонн воды (порциями, не превышающими 500 тонн в сутки). Предполагается, что операция по сбросу всей накопленной воды растянется на 30–40 лет — наглядный пример долгосрочной цены управленческих ошибок.
Саяно-Шушенская ГЭС: Экономическая оптимизация против физики
Катастрофа 17 августа 2009 года, унесшая жизни 75 человек, является хрестоматийным примером «нормализации отклонений». Непосредственной причиной стало разрушение шпилек крепления крышки турбины гидроагрегата № 2 из-за усталостных повреждений [8].
Однако коренные причины лежат в области управления:
1. Систематическая эксплуатация в запрещённой зоне (коренная причина): Гидроагрегат № 2 годами эксплуатировался с переходами через зону нерекомендованной работы. Только за 2009 год он прошёл её 232 раза, находясь в ней суммарно 46 минут [8]. Это делалось под управлением автоматической системы ГРАРМ, выполнявшей команды системы автоматического регулирования частоты и мощности (АРЧМ) для экономической оптимизации нагрузки.
2. Нормализация отклонений: Вибрационное состояние агрегата ухудшалось постепенно. К утру 17 августа амплитуда вибрации достигала 840 мкм при допустимых 160 мкм, но это не привело к остановке [8]. Многочисленные переходы через опасную зону и рост вибрации стали «новой нормой». Оператор не остановил агрегат, поскольку это означало бы невыполнение диспетчерского графика и экономические потери.
3. Отсутствие или неввод защитных барьеров: Система непрерывного виброконтроля на агрегате № 2 была смонтирована, но не введена в эксплуатацию, что лишило персонал и автоматику последнего барьера [8].
В 8:13 по местному времени произошло внезапное разрушение гидроагрегата № 2 с поступлением через шахту гидроагрегата под большим напором значительных объёмов воды. Около 8:30 восемь человек оперативного персонала добрались до помещения затворов и, взломав железную дверь, в течение часа вручную осуществили сброс аварийно-ремонтных затворов водоприёмников, прекратив поступление воды в машинный зал. К 13:07 все 11 затворов водосливной плотины были открыты, начался пропуск воды вхолостую. Эти самоотверженные действия предотвратили дальнейшее развитие катастрофы, однако 9 из 10 гидроагрегатов были разрушены или серьёзно пострадали. Следует особо отметить, что на станции были установлены три уровня автоматизированных систем защиты, ни одна из которых в момент аварии не сработала: на первом уровне автоматически не снизились обороты вращения турбины, на втором — не повернулись лопатки, ограничивающие приток воды к турбинам, на третьем — не закрылись аварийные водоводы верхнего бьефа.
Саяно-Шушенская ГЭС демонстрирует, как благое намерение оптимизировать экономику привело к разрушению генерирующего объекта стоимостью в миллиарды рублей. Физика не прощает, когда управленческие решения входят с ней в конфликт.
Общие черты катастроф: Анатомия управленческой ошибки
Приведённые примеры, а также менее масштабные аварии (гибель теплохода «Булгария» из-за систематического выхода в рейс на неисправном судне; авиакатастрофы, спровоцированные страхом пилота перед наказанием за перерасход топлива; массовая гибель птицы на птицефабриках из-за отсутствия резервных генераторов при регулярных отключениях энергии) позволяют выделить устойчивую патологию управления [9]:
Примат экономики над безопасностью. Индикаторы безопасности (вибрация, давление, регламент) систематически приносятся в жертву производственным показателям (выполнение плана, экономия топлива, сокращение затрат).
Нормализация отклонений. Опасные сигналы, повторяясь, перестают восприниматься как угроза, становясь частью «нормального» производственного фона.
Блокирование плохих новостей. Вертикаль управления выстроена так, что доклад о проблеме ведёт к наказанию, а не к поиску решения. Это уничтожает главный механизм предотвращения катастроф — извлечение уроков из предвестников.
Девальвация инженерного авторитета. Решающий голос в вопросах безопасности передаётся от главного инженера (специалиста) к менеджеру (управленцу широкого профиля), чьи ключевые показатели эффективности и компетенции лежат в финансово-экономической плоскости.
Выводы и предложения
Техногенные катастрофы редко являются следствием уникального стечения обстоятельств или злого умысла. В подавляющем большинстве случаев это закономерный итог деградации культуры безопасности и системы управления на объекте. Ошибка оператора — не причина, а последствие созданной для него «организационной ловушки».
Для перелома тенденции необходимо:
Институционально восстановить приоритет технической безопасности. Законодательно закрепить за главным инженером право вето на решения, несущие неприемлемый риск, включая право на остановку производства без санкций со стороны коммерческого руководства.
Создать систему «справедливой культуры». Внедрить на предприятиях систему добровольных и конфиденциальных сообщений о проблемах, при которой персонал поощряется за выявление дефектов, а не наказывается. Это позволит вскрывать латентные условия до того, как они проявятся в виде катастрофы [10].
Изменить методологию расследований. Перейти от цели «найти и наказать виновного» к цели «найти и устранить коренные причины в системе». Пока инженеры видят в расследовании репрессивный механизм, они будут скрывать проблемы.
Реабилитировать инженерное образование и статус. Государственная политика должна быть направлена на подготовку специалистов с глубокими «физическими» знаниями, способных адекватно оценивать опасность, а не только управлять финансовыми потоками. Необходимо создание системы обязательной периодической аттестации технических руководителей опасных производственных объектов по вопросам управления техногенными рисками и культуры безопасности. Такая аттестация должна опираться на реальное понимание физических процессов и предотвращение латентных отказов, а не только на формальное знание регламентов. Как показывает опыт Чернобыля и Саяно-Шушенской ГЭС, попытка «управлять законами физики» неизбежно ведёт к катастрофе. Стоимость предотвращения всегда несоизмеримо меньше цены ликвидации её последствий [9].
Список литературы
Акимов В.А., Лесных В.В., Радаев Н.Н. Риски в природе, техносфере, обществе и экономике. — М.: Деловой экспресс, 2004. — 352 с.
Reason J. Human Error. — Cambridge University Press, 1990. — 302 p.
Vaughan D. The Challenger Launch Decision: Risky Technology, Culture, and Deviance at NASA. — University of Chicago Press, 1996. — 575 p.
Международная консультативная группа по ядерной безопасности (INSAG). INSAG-7: Чернобыльская авария: дополнение к INSAG-1. — МАГАТЭ, Вена, 1993. — 146 с.
Медведев Г.У. Чернобыльская тетрадь. — М.: Новый мир, 1990. — №6.
Kurokawa K. et al. The Official Report of the Fukushima Nuclear Accident Independent Investigation Commission (National Diet of Japan). — Tokyo, 2012. — 86 p.
Funabashi Y., Kitazawa K. Fukushima in Review: A Complex Disaster, a Disastrous Response // Bulletin of the Atomic Scientists. — 2012, March.
Акт технического расследования причин аварии на Саяно-Шушенской ГЭС 17 августа 2009 года. — Ростехнадзор, 2009.
Легасов В.А. Аварии на химических и атомных объектах и меры их предупреждения. — М.: Изд-во МГУ, 1992. — 112 с.
Dekker S. Just Culture: Balancing Safety and Accountability. — Ashgate Publishing, 2012. — 171 p.
Источник: https://www.proatom.ru/modules.php?name=News&file=article&sid=11935
Рассылка Международного Социально-экологического Союза
