核史丨核安全的基石是怎样筑牢的-第2页-北极星核电网

投稿

我要投稿

多层防御的实践

第二次世界大战结束后，里科夫(Hyman Rickover)非常赞赏杜邦公司在生产堆上保守的决策思想，把它移植到核潜艇的研制过程中。相比于战斗力，他更关心和在乎核潜艇的安全性。安全，成为他一切决策的前提条件。

为了确保艇员的安全，里科夫和手下的工程师们可是煞费苦心。我们知道，对于陆上反应堆，可以分别应用距离和屏蔽防护的原则，即依靠偏远的选址和增设安全壳的方法，来规避反应堆运行过程中可能对工作人员和公众产生的辐射危害。但对于长时间航行在大海深处的核潜艇而言，这两种方法都难以适用：一来发生事故时，艇员在水下逃生空间非常有限，即使停留在港口，也多位于都市的人口密集区附近；二来由于潜艇尺寸和空间的限制，不太可能在反应堆的外面罩上一个庞大的安全壳。别无他法，海军方面只有穷尽一切办法防止发生事故，来确保核安全了。

在里科夫的主持下，海军在设备制造质量控制、系统和部件试验或检查、操纵员培训等方面制定了严格的程序。设计之初就考虑了潜在的设备失效或故障，设置了冗余系统，以便每个安全功能均由多于一个的系统或部件来执行；系统和部件在制造时留有相当大的裕量，以便应对可能的意外状况；操控反应堆的工作人员，必须经过严格的培训方可上岗。事实证明，这些事故预防策略达到了预期的效果，对潜艇反应堆的运行安全起到重要的保障作用。

美国的核电，起源于核潜艇反应堆技术。自然而然地，海军的反应堆事故预防策略，随后被完全移植到早期的核电厂设计、建设当中。1957年建成投运的希平波特核电厂，所有重要的设备、部件和仪表，在整个制造过程中处于工程人员的全程监造和监督当中，对发现的质量缺陷，作为政府全权代表的里科夫一票否决，绝不妥协。为了确保公众安全，在放射性物质与环境之间设计了四道屏障：第一道是将核燃料装进高度耐腐蚀的锆合金包壳中，第二道是将密封焊接好的反应堆主冷却剂系统置于承压的隔墙内，第三道是将反应堆及其蒸汽系统装在一系列相互连接的压力容器里，最后一道则是将整个反应堆置于地下混凝土结构中。

1958年，在一个描述汉福特钚生产堆的安全设计文件中，第一次公开提及到这种多层防御的概念。1965年，在呈送给国会原子能联合委员会的一封信中，原委会主席西博格(Glenn Seaborg)把“多层防御”定义为民用反应堆的事故预防和缓解策略。1967年，在原委会的一个内部报告中，他们把防御的层次概括为事故预防、保护和缓解三个层次，并强调应把安全投入和措施集中于事故预防上。

随后，“多层防御”在核工业界逐渐演变为“纵深防御(Defense in Depth)”的概念，并成为确保核安全的基石。在1973年发布的WASH-1250报告《核电厂轻水反应堆和相关设施的安全》中，原委会将“纵深防御”概括为确保核安全的基本哲学，也是迄今为止能找到的出现该术语的最早文献。

这种安全哲学，隐含着三个基本的假设：设计上不可能完美无缺，设备有时会出故障，人们偶尔会出错。既然如此，为了安全考虑，我们便采取两种策略：一种是预防策略，尽可能避免出现故障、瑕疵或失误；另一种是缓解策略，即使采取了各种预防措施，但难免百密一疏，事故仍有可能发生，那么就利用一切可行的补救措施来缓解或控制事故后果。

在贯彻和落实预防或缓解策略过程中，我们常常秉承三个原则：

一是冗余性，确保执行同一安全功能的系统或设备有多套，比如设置超出运行需求的多套应急柴油机组；

二是独立性，避免一个系统或设备受到其他系统或设备的影响而发生继发故障，比如将相邻的两个安全重要设备进行实体隔离；

三是多样性，避免执行同一安全功能的系统或设备由于同样的原因失效，比如采用不同的运行条件、不同的制造厂、不同的工作原理等等。

概而言之，我们应用纵深防御思想的根本目的，在于补偿由于人类认知能力的限制而产生的不确定性。

麻烦之处在于，人们往往很难确切地知道不确定性的大小，那么补偿这种不确定性的边界又在哪里呢？可以说，这种评估纵深防御实施有效性的难题，也是确定论安全方法所面临的难题。

纵深防御的现实与挑战

紧随希平波特核电厂之后，美国核电厂的承建者如法炮制，广泛地借鉴这种成功的实践经验，在此基础上形成了早期的纵深防御策略：为确保反应堆安全，首要的关键要素是实施事故预防措施，通过质量控制、系统和设备保守的设计、制造和安装、操纵员的严格培训来最大程度减少事故发生的可能性；尽管如此，设备故障或操作失误在所难免，事故仍可能发生，则依靠冗余的安全系统来应对；假若安全系统失效或应对不力，则依靠安全壳厂房来防止放射性核素释放至环境；此外，核电厂要启动事故管理程序；最后，在选址时，事先划定隔离区和低人口区来减少事故情况下潜在的受照人群，并制定应急计划(包括掩蔽和撤离措施)来减少公众的受照剂量。