对纵深防御的思考范育茂朱宏（环境保护部西南核与辐射安全监督站，成都，610041）摘要：日本福岛核事故是世界核电运行史上首个由于极端自然灾害导致多个反应堆堆芯损坏的严重事故，将对全球核能发展产生深刻的影响。

本文对作为核安全基本原则的纵深防御进行了梳理和讨论，概述了纵深防御的涵义及其发展，描述了其实施过程；在分析福岛核事故暴露出的问题和带来的挑战之基础上，对后福岛时代的纵深防御体系给出了几点初步思考。

关键词：福岛核事故纵深防御核安全设计基准1 引言2011年3月11日，日本东北地区发生里氏9.0级特大地震，加上随之而来的巨大海啸，导致福岛第一核电站(Fukushima Dai-ichi Nuclear Power Station)发生严重事故，成为世界核电五十多年运行历史上首个由于极端外部自然事件导致多个反应堆堆芯损坏的核电站。

福岛核事故反映出当前人类社会对极端自然灾害的认识还存在局限性，直接挑战了核能界对核事故风险的传统认识，人们不能再以福岛核事故前的思维来对待核安全问题了。

福岛核事故，正在促使各国重新审视现有的核安全监管框架，反思对核安全的本质认识，加紧研究很多过去未曾考虑或忽视的核安全议题，如一址多堆核电机组的相互影响、极端外部事件叠加导致的多机组严重事故预防与缓解、实体屏障发生共模失效的概率及应对措施等。

在此背景下，有必要对纵深防御(Defense-In-Depth)这一核安全的基本原则和根本理念进行重新梳理和讨论，总结经验、吸取教训，以“亡羊补牢”，真正确保后福岛时代的核安全“万无一失”。

本文即是对此议题的初步思考。

2 纵深防御2.1 涵义及其发展纵深防御是上世纪50年代逐步发展起来的一种核安全策略。

对于纵深防御的概念，迄今为止还没有一个权威的官方定义，但全世界核能界对之的理解和应用基本一致，都视之为核安全的基本原则，核心理念是依次设置一系列多层次的保护，以保持反应性控制、堆芯冷却和放射性包容三项基本安全功能，进而确保工作人员、公众和环境安全。

它贯彻于安全有关的全部活动，包括与组织、人员行为或设计有关的方面，以保证这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正[1]。

因此，可以说，应用纵深防御原则之根本目的是为了补偿由于认识不足而在人类活动中产生的不确定性[2]。

在今天，纵深防御不仅仅是一个安全概念，也是一种原则、一种方法，更是一种理念、一种体系[3]。

众所周知，从技术层面度量风险的大小或程度时，风险等于事故后果乘以事故的发生概率。

因此，要降低核能发展可能带来的风险，就需要采取尽可能的措施降低事故发生概率和（或）事故后果。

前者就是我们通常所说的事故预防范畴，后者则属于后果缓解范畴。

1967年，美国原子能委员会(U.S. AEC)的一个内部研究报告首先提出了核反应堆纵深防御的三个基本层次：事故预防、保护和缓解，并强调应把安全投入和措施主要集中于事故预防上；随后，美国核管理委员会(U.S. NRC)将之调整为事故预防、缓解和应急准备三个防御层次[4]。

随着上世纪两起严重核事故的发生，人类对核事故的认识和研究逐步加深，相应的安全措施日渐成熟，便形成了今天的纵深防御体系：四道实体屏障和五个连续的防御层次。

就典型的水冷反应堆而言，四道实体屏障分别是燃料基体、燃料包壳、反应堆冷却剂系统压力边界和安全壳。

五个连续的防御层次见下表所示：表1 纵深防御的层次[5]为使纵深防御得以有效实施，各个防御层次都包含如下的基本前提：适当的保守性、质量保证和安全文化。

在表示每个防御层次的可靠性要求时，虽然没有通用的定量指标，但第一层次无疑应视作重点[1]。

实践中，一般应用冗余性、多样性和独立性原则来确保各防御层次的可靠性。

2.2 实施过程从表1可知，纵深防御的每个层次都有其特定的目标，包括实体屏障的保护和实现这种保护的方式。

要确保各防御层次目标的实现，就需要执行和维持三项基本安全功能及导出（或辅助）的安全功能。

因此，为应对给基本安全功能带来的可能挑战（由某些机理、过程或条件所引起），需要在给定的防御层次上采取纵深防御的规定（或措施），包括固有安全特征、安全裕量、（非）能动系统、程序、操纵员动作、组织措施和安全文化等，如下图所示[6]。

图1 为达成安全目标所应采取的防御措施3 问题与挑战如三里岛和切尔诺贝利核事故一样，福岛核事故再次清晰地验证了纵深防御的至关重要性，同时也暴露了现存的纵深防御体系存在的漏洞和不足，即对确保核安全所起到的必要而远不充分的作用。

依据纵深防御原则，只有当连续且互相独立的各级保护全部失灵后才会出现损害；从目前掌握的情况分析，福岛第一核电站的各层（级）保护并没有实现真正的相互独立，它们都被同一串事件影响甚至损坏，属于典型的共模失效。

在福岛核事故中，由于地震及随后的海啸导致核电站出现（长时间的）全厂断电(SBO)事故，堆芯冷却和最终热阱丧失，使得堆芯余热无法及时导出，进而对各道实体屏障的放射性包容功能构成重大威胁。

正是由于全厂断电这一共因使得各层保护屏障出现漏洞，最后导致燃料元件部分熔化、放射性物质主动或被动释放到环境中。

由此，为防范核事故或降低事故后果，全过程运用纵深防御理念远不够，更重要的是要始终确保各个防御层次的可靠性（主要表现为完整性和有效性）。

更重要的是，福岛核事故揭示了我们对纵深防御的认识尚不够全面，过分注重事故预防，而对严重事故（尤其是极端外部事件导致的超设计基准事故）的后果缓解研究不够，导致一旦发生严重事故时，常常措手不及、应对不力。

换句话说，在贯彻和实施纵深防御原则过程中，要始终注意和强调“安全措施的均衡性”，后果缓解（包括应急）功能和事故预防同等重要，每一道防线都不可或缺且须同等“坚固”，并作为“最后一道防线”来认识与落实[7]。

4 几点思考前车之鉴，后事之师。

福岛核事故之后，要使公众真正接受核能的发展应用和恢复对核安全的充分信心，需要全球核能界在现有基础上实施较大的安全改进和作出持续的努力。

笔者以为，后福岛时代的纵深防御可能会面临和呈现以下变化和特征：4.1 公众能接受的核安全和核安全目标从辐射的角度看，福岛核事故并没有导致急性的辐射死亡，预期也不会给公众造成重要的延迟辐射健康效应[8]；但造成的政治、社会和经济方面的后果（如大面积的土地污染、事故后大量居民的重新安置、巨额的经济损失等）却相当严重，尤其是一起严重核事故将造成公众普遍减弱甚至丧失对核电发展的信心。

因此，由于核事故所具有的影响的全球性、后果的难于恢复性、公众的极度敏感性等特点，可以预见在将来如福岛这样的核事故（即使是由极端自然灾害所致）公众是不能接受的。

在后福岛时代，对公众而言什么是安全的核电站？如果在增强的纵深防御体系的有效作用下，核电站在正常运行或事故情况下，都不会向环境释放过量的放射性物质；即使在发生极端事件（包括堆芯损毁）时，我们有充分的把握保护民众的健康，并使环境受到的影响是有限、暂时、可恢复的，则此时的核安全可以说是有充分保障的，也是公众能接受的。

在未来，保护公众健康和安全免受辐射伤害仍然是核安全的首要任务，同时也应防止或最小化事故情况下放射性物质大量释放所带来的社会-政治-经济后果和环境方面的影响[9]。

为此，可能需要变革现有的核安全框架体系，而作为实现安全目标的具体过程和措施，纵深防御亦将面临重大调整和加强。

4.2 设计基准的扩展50多年以来，纵深防御对保证核安全的重要作用已被大量实践所证实，仍将继续得到贯彻[10]。

在后福岛时代，纵深防御在各国核安全监管框架中的基础地位不会动摇，并得到巩固，充分性和可靠性将增强，尤其是设计基准的适用范围将扩展。

过去，设计基准已成为核安全管理理论中的一个中心要素，现役的核反应堆均是依照设计基准方法被设计、许可和运行。

设计基准的概念等同于足够的保护，而超设计基准则属于安全的进一步提升，属于过分或额外的保护范畴[11]。

可以预见，现在属于超设计基准事故范畴的一些事故在将来可能会被调整进入设计基准事故范畴，以进一步加强纵深防御体系中的事故预防功能。

事实上，如未能紧急停堆的预期瞬变(ATWS)和全厂断电(SBO)事故，在1980年代以前被NRC排除在设计基准外，后来（由于核安全研究的发现）均被调整入设计基准事故(DBA)的范畴[9]，并在美国联邦法规（10 CFR 50.62和10 CFR 50.63）中有明确的要求。

另外，为吸取福岛核事故的教训（如共模失效和多重事故叠加的影响），NRC正在酝酿对核电厂的通用设计准则(General Design Criteria)进行修订，建立一个更“坚固”的设计基准以增强在运和在建核电站的安全。

4.3 缓解措施的增强几十年来，人们在降低事故发生概率（即事故预防）方面取得了长足的进步，但在事故后果的缓解方面还存在较大的不足[12]。

福岛核事故一方面让我们对现有核电机组的设计安全裕量抱有信心（在超设计基准条件下仍有一定的抵御能力），另一方面也提醒我们应高度重视来自极端外部事件（如地震、洪水）所带来的严峻挑战和潜在的严重后果（机组出现共模失效甚至导致多机组事故）。

借助于概率安全评价(PSA)技术，人们对事故（尤其严重事故）的发生概率和后果有更深入的认识，但至今仍难于准确预测极端自然灾害的发生概率和严重性。

因此，要完全防止堆芯熔化和放射性物质大量释放，仅仅依赖于传统的设计基准策略并不充分，需要给予事故后果缓解措施（包括应急）同等的重视，并力求在事故预防和后果缓解功能之间达成更恰当的平衡。

但是，极端自然灾害及其次生灾害的叠加，或者恐怖袭击与人为破坏，往往具有很大的不确定性；如何采取有效的技术策略处置这些初因事件诱发产生的严重事故，是福岛核事故给全球核能界带来的现实挑战。

据研究，所有内外部事件引发的严重事故，其技术方面的后果，都可以由“全厂断电”或“失去热阱”来包络，因此现有严重事故对策中，有关处置全厂断电和失去热阱的一切手段都是继续有效的[7]。

一方面，NRC认为福岛核事故验证了美国自9/11恐怖袭击事件后为应对超设计基准事件（如火灾或爆炸）而采取的B.5.b缓解策略（2009年被写入联邦法规10 CFR 50.54(hh)(2)）的潜在重要性和有效性，故继续运营和审批核电项目不会对公众健康和安全造成立即不可接受之风险[11]；另一方面，NRC在福岛核事故一周年之际发布监管指令，要求立即修改许可证中关于应对超设计基准外部事件缓解策略的要求，并认可核能研究所(NEI)发布的实施导则（Diverse and Flexible CopingStrategies(FLEX) Implementation Guide）可作为营运单位落实上述要求的具体参考[13]。