后福岛时代的纵深防御

后福岛时代的纵深防御

范育茂朱宏

（环境保护部西南核与辐射安全监督站，成都，610041）

摘要：日本福岛核事故引起了广泛的关注，将对全球核能发展产生深刻的影响。本文概述了福岛核事故前纵深防御的涵义和发展，讨论了其与安全目标的关系；应用瑞士奶酪模型(Swiss Cheese Model)分析了福岛核事故中由于共因故障所致的纵深防御漏洞，并阐述了后福岛时代纵深防御体系的两个特征。

关键词：福岛核事故纵深防御核安全瑞士奶酪模型

1 引言

2011年3月11日，日本东北地区发生里氏9.0级特大地震，加上随之而来的巨大海啸，导致福岛核电站发生严重事故。福岛核事故所造成的全世界的广泛关注和深刻影响，再一次增强了核能界由来已久的一个共识：地球上任何一处发生的核事故，其影响都是世界性的，一荣不一定俱荣，但一损俱损，“环球同此凉热”。可以预见，福岛核事故对世界核能发展的进程，无疑是一个“分水岭”：“核”去“核”从，正成为摆在各国政府面前严峻而现实的难题，未来的世界可能呈现出拥核与弃核两种鲜明的立场和格局；福岛核事故对核安全的贡献，一定是一个“里程碑”：它反映出当前人类社会对自然灾害的认识还存在局限性，更颠覆了业内人士对核事故风险的传统认识，人们不能再以福岛核事故前的思维来对待核安全问题了。

福岛核事故，正在促使各国重新审视现有的核安全监管框架，反思对核安全的本质认识，加紧研究很多过去未曾考虑或忽视的核安全议题，如一址多堆核电机组的相互影响、极端自然事件叠加导致的严重事故预防与缓解、实体屏障发生共因失效的概率及应对措施等。在此背景下，作为核安全的基本原则和根本理念，有必要对纵深防御这一安全哲学进行认真分析和讨论，总结经验、吸取教训，以“亡羊补牢”、防微杜渐，真正确保后福岛时代的核安全“万无一失”。本文即是对此议题的一个初步探索。

2 前福岛时代的纵深防御

2.1 涵义及其发展

纵深防御是上世纪50年代逐步发展起来的一种核安全策略。对于纵深防御的概念，迄今为止还没有一个权威的官方定义，但全世界核能界对之的理解和应用基本一致，都视之为核安全的基本原则，核心理念是依次设置一系列多层次的保护，以保持反应性控制、余热导出和放射性包容三项基本安全功能，进而确保工作人员、公众和环境安全。它贯彻于安全有关的全部活动，包括与组织、人员行为或设计有关的方面，以保证这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正[1]。因此，可以说，应用纵深防御原则的最根本目的是为了补偿由于认识不足而在人类活动中产生的不确定性[2]。在今天，纵深防御不仅仅是一个安全概念，也是一种原则、一种方法，更是一种哲学、一种体系[3]。

众所周知，从技术层面度量风险的大小或程度时，风险等于事故后果乘以事故的发生概率。因此，要降低核能发展可能带来的风险，就需要采取尽可能的措施降低事故发生概率和（或）事故后果。前者就是我们通常所说的事故预防范畴，后者则属于事故缓解范畴。1967年，美国原子能委员会(U.S. AEC)的一个内部研究报告首先提出了核反应堆纵深防御的三个基本层次：事故预防、保护和缓解，并强调应把安全投入和措施主要集中于事故预防上[4]。

随着上世纪两起严重核事故的发生，人类对核事故的认识和研究逐步加深，相应的安全措施日渐成熟，便形成了今天的纵深防御体系：四道实体屏障和五个连续的防御层次。就典型的水冷反应堆而言，四道实体屏障分别是燃料基体、燃料包壳、反应堆冷却剂系统压力边界和安全壳。五个连续的防御层次见下表所示：

表1 纵深防御的层次[5]

为使纵深防御得以有效实施，各个防御层次都包括如下基本的前提：适当的保守性、质量保证和安全文化。在实际应用中，层次1至层次3主要遵循保守的原则，层次4和层次5则主要坚持最佳估算方法（或现实考虑）的原则，进一步的阐述可参见文献[5]。在表示纵深防御每个层次的可靠性要求时，虽然没有通用的定量指标，但第一层次无疑应视作重点[1]。实践中，一般应用多重性、多样性和独立性原则来确保各防御层次的可靠性。

2.2 与安全目标的关系

在应用纵深防御原则付诸于实践过程中，始终要面临回答如下问题：防御的边界在哪里，或防御的程度是否足够而适当？这就涉及到安全目标的确定问题了。为了在和平利用核能的同时保护人员、社会和环境免受危害，就需要预先确定适当的安全目标。目标一旦确定，就需要采取相应的措施来实现，而纵深防御可视为实现安全目标的具体过程和措施。可以说，纵深防御与安全目标两者之间是手段与目的的关系，纵深防御的程度以特定的安全目标为根本依据。因此，理论上而言，安全目标越明确，越有利于纵深防御的有效实施。然而，当前核能界在这方面的认识还相当有限。比如，我国核安全监管部门借鉴国际原子能机构(IAEA)的做法，确定了一个总的核安全目标和两个支持性目标（辐射防护目标和技术安全目标），但都是定性的表述，在具体的实现过程中可能不好把握。相较之下，美国核管会(U.S. NRC)确定的安全目标则操作性更强。其安全目标体系包括：两个定性的安全目标（第一层次），两个支持性的定量健康目标（第二层次），两个支持性的定量的概率安全目标（第三层次）[6]、[7]。需要指出的是，确定安全目标时的详尽程度可能与各国核安全监管的现状及水平密切相关，不宜搞一刀切。有关安全目标确定问题的详细论述，可参见文献[8]。

3 瑞士奶酪模型(Swiss Cheese Model)

如三里岛核事故和切尔诺贝利核事故一样，福岛核事故再次清晰地验证了纵深防御的至关重要性，同时也暴露了现存的纵深防御体系存在的漏洞和不足。依据纵深防御原则，只有当连续且互相独立的各级保护全部失灵后才会出现损害；然而，从目前掌握的情况初步分析，福岛第一核电站的各层（级）保护并没有实现真正的相互独立，它们都被同一串事件影响甚至损坏，属于典型的共因故障（或失效）。可以说，福岛核事故直接反映出当前人们在应用独立性和多样性原则来满足纵深防御的可靠性要求方面存在的局限性。应用瑞士奶酪模型(Swiss Cheese Model)，则可以帮助我们更好