后福岛时代的纵深防御范育茂朱宏（环境保护部西南核与辐射安全监督站，成都，610041）摘要：日本福岛核事故引起了广泛的关注，将对全球核能发展产生深刻的影响。

本文概述了福岛核事故前纵深防御的涵义和发展，讨论了其与安全目标的关系；应用瑞士奶酪模型(Swiss Cheese Model)分析了福岛核事故中由于共因故障所致的纵深防御漏洞，并阐述了后福岛时代纵深防御体系的两个特征。

关键词：福岛核事故纵深防御核安全瑞士奶酪模型1 引言2011年3月11日，日本东北地区发生里氏9.0级特大地震，加上随之而来的巨大海啸，导致福岛核电站发生严重事故。

福岛核事故所造成的全世界的广泛关注和深刻影响，再一次增强了核能界由来已久的一个共识：地球上任何一处发生的核事故，其影响都是世界性的，一荣不一定俱荣，但一损俱损，“环球同此凉热”。

可以预见，福岛核事故对世界核能发展的进程，无疑是一个“分水岭”：“核”去“核”从，正成为摆在各国政府面前严峻而现实的难题，未来的世界可能呈现出拥核与弃核两种鲜明的立场和格局；福岛核事故对核安全的贡献，一定是一个“里程碑”：它反映出当前人类社会对自然灾害的认识还存在局限性，更颠覆了业内人士对核事故风险的传统认识，人们不能再以福岛核事故前的思维来对待核安全问题了。

福岛核事故，正在促使各国重新审视现有的核安全监管框架，反思对核安全的本质认识，加紧研究很多过去未曾考虑或忽视的核安全议题，如一址多堆核电机组的相互影响、极端自然事件叠加导致的严重事故预防与缓解、实体屏障发生共因失效的概率及应对措施等。

在此背景下，作为核安全的基本原则和根本理念，有必要对纵深防御这一安全哲学进行认真分析和讨论，总结经验、吸取教训，以“亡羊补牢”、防微杜渐，真正确保后福岛时代的核安全“万无一失”。

本文即是对此议题的一个初步探索。

2 前福岛时代的纵深防御2.1 涵义及其发展纵深防御是上世纪50年代逐步发展起来的一种核安全策略。

对于纵深防御的概念，迄今为止还没有一个权威的官方定义，但全世界核能界对之的理解和应用基本一致，都视之为核安全的基本原则，核心理念是依次设置一系列多层次的保护，以保持反应性控制、余热导出和放射性包容三项基本安全功能，进而确保工作人员、公众和环境安全。

它贯彻于安全有关的全部活动，包括与组织、人员行为或设计有关的方面，以保证这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正[1]。

因此，可以说，应用纵深防御原则的最根本目的是为了补偿由于认识不足而在人类活动中产生的不确定性[2]。

在今天，纵深防御不仅仅是一个安全概念，也是一种原则、一种方法，更是一种哲学、一种体系[3]。

众所周知，从技术层面度量风险的大小或程度时，风险等于事故后果乘以事故的发生概率。

因此，要降低核能发展可能带来的风险，就需要采取尽可能的措施降低事故发生概率和（或）事故后果。

前者就是我们通常所说的事故预防范畴，后者则属于事故缓解范畴。

1967年，美国原子能委员会(U.S. AEC)的一个内部研究报告首先提出了核反应堆纵深防御的三个基本层次：事故预防、保护和缓解，并强调应把安全投入和措施主要集中于事故预防上[4]。

随着上世纪两起严重核事故的发生，人类对核事故的认识和研究逐步加深，相应的安全措施日渐成熟，便形成了今天的纵深防御体系：四道实体屏障和五个连续的防御层次。

就典型的水冷反应堆而言，四道实体屏障分别是燃料基体、燃料包壳、反应堆冷却剂系统压力边界和安全壳。

五个连续的防御层次见下表所示：表1 纵深防御的层次[5]为使纵深防御得以有效实施，各个防御层次都包括如下基本的前提：适当的保守性、质量保证和安全文化。

在实际应用中，层次1至层次3主要遵循保守的原则，层次4和层次5则主要坚持最佳估算方法（或现实考虑）的原则，进一步的阐述可参见文献[5]。

在表示纵深防御每个层次的可靠性要求时，虽然没有通用的定量指标，但第一层次无疑应视作重点[1]。

实践中，一般应用多重性、多样性和独立性原则来确保各防御层次的可靠性。

2.2 与安全目标的关系在应用纵深防御原则付诸于实践过程中，始终要面临回答如下问题：防御的边界在哪里，或防御的程度是否足够而适当？这就涉及到安全目标的确定问题了。

为了在和平利用核能的同时保护人员、社会和环境免受危害，就需要预先确定适当的安全目标。

目标一旦确定，就需要采取相应的措施来实现，而纵深防御可视为实现安全目标的具体过程和措施。

可以说，纵深防御与安全目标两者之间是手段与目的的关系，纵深防御的程度以特定的安全目标为根本依据。

因此，理论上而言，安全目标越明确，越有利于纵深防御的有效实施。

然而，当前核能界在这方面的认识还相当有限。

比如，我国核安全监管部门借鉴国际原子能机构(IAEA)的做法，确定了一个总的核安全目标和两个支持性目标（辐射防护目标和技术安全目标），但都是定性的表述，在具体的实现过程中可能不好把握。

相较之下，美国核管会(U.S. NRC)确定的安全目标则操作性更强。

其安全目标体系包括：两个定性的安全目标（第一层次），两个支持性的定量健康目标（第二层次），两个支持性的定量的概率安全目标（第三层次）[6]、[7]。

需要指出的是，确定安全目标时的详尽程度可能与各国核安全监管的现状及水平密切相关，不宜搞一刀切。

有关安全目标确定问题的详细论述，可参见文献[8]。

3 瑞士奶酪模型(Swiss Cheese Model)如三里岛核事故和切尔诺贝利核事故一样，福岛核事故再次清晰地验证了纵深防御的至关重要性，同时也暴露了现存的纵深防御体系存在的漏洞和不足。

依据纵深防御原则，只有当连续且互相独立的各级保护全部失灵后才会出现损害；然而，从目前掌握的情况初步分析，福岛第一核电站的各层（级）保护并没有实现真正的相互独立，它们都被同一串事件影响甚至损坏，属于典型的共因故障（或失效）。

可以说，福岛核事故直接反映出当前人们在应用独立性和多样性原则来满足纵深防御的可靠性要求方面存在的局限性。

应用瑞士奶酪模型(Swiss Cheese Model)，则可以帮助我们更好地理解和认识这一问题。

瑞士奶酪模型是由英国曼彻斯特大学心理学教授James Reason提出的一个用于分析事故或系统失效原因的模型，已在航空和医疗保健领域得到广泛的应用[9]，如下图所示。

瑞士奶酪有着独特的外观，即块状的奶酪上布满了圆孔，以便乳酸菌充分发酵，求得更好风味。

图中每块奶酪代表一个防御层次，而奶酪上的圆孔则代表系统的潜在缺陷或现实故障。

如果恰好在某一时刻每一层保护屏障上都出现漏洞，则危害正好通过每层屏障上的漏洞贯穿整个奶酪，酿成事故、造成损失。

在福岛核事故中，由于地震及随后的海啸导致核电站出现（长时间的）全厂断电(Station Blackout)事故，堆芯冷却和最终热阱丧失，使得堆芯余热无法及时导出，进而对各道实体屏障的放射性包容功能构成重大威胁。

正是由于全厂断电这一共因使得各层保护屏障出现漏洞，最后导致燃料元件部分熔化、放射性物质主动或被动释放到环境中。

由此，为防范核事故或降低事故后果，全过程运用纵深防御远远不够，更重要的是要始终确保各个防御层次的可靠性（主要表现为完整性和有效性）。

图1 Swiss Cheese Model[10]4 后福岛时代的纵深防御前车之鉴，后事之师。

福岛核事故之后，要使公众真正接受核能的发展应用和恢复对核安全的充分信心，需要全球核能界在核安全上作出持续的努力和实施较大的改进。

笔者以为，后福岛时代的纵深防御可能会呈现出以下特征：（1）纵深防御在核安全中的基础性地位不会动摇，但适用范围会拓展，充分性和可靠性将增强。

50多年以来，纵深防御对保证核安全的重要作用已被大量实践所证实，仍应继续得到贯彻[11]。

在后福岛时代，纵深防御理念在各国核安全监管框架中的基础地位将得到巩固，且包括对严重事故的明确要求。

过去，设计基准已成为核安全管理理论中的一个中心要素，现役的核反应堆均是依照设计基准方法被设计、许可和运行。

设计基准的概念等同于足够的保护，而超设计基准则属于安全的进一步提升，属于过分或额外的保护范畴[12]。

现在属于超设计基准事故范畴的一些事故（如A TWS 和SBO）在将来可能会被调整进入设计基准事故范畴，以进一步加强纵深防御体系中的事故预防功能。

同时，借助于概率安全分析技术的大规模应用和质量提升，可以为更准确地评估纵深防御措施的适当性提供合理的技术基础，并进一步充分应用多样性和独立性原则真正确保纵深防御各层次的可靠性，以更好地回答“（设计的）安全是否足够安全（How Safe is Safe Enough）”的问题。

（2）纵深防御仍将继续对核安全起到主导性的贡献，但侧重点会有所改变，在事故预防和事故缓解功能之间达成更恰当的平衡。

几十年来，人们在降低事故发生概率（即事故预防）方面取得了长足的进步，但在事故后果的缓解方面还存在较大的不足[13]。

福岛核事故亦反映出我们对纵深防御的重点认识还不够全面，过分注重事故预防，而对严重事故的后果缓解研究不够，导致一旦发生严重事故时，常常措手不及、应对不力。

事实上，在真实的世界里，并不存在绝对安全的系统或设备，不可能完全预防所有事故。

因此，事故缓解功能（包括应急）同样重要，尤其是缓解和应对后果严重而发生概率很低的严重事故。

对严重事故进程的研究表明，在大多数情况下，从初始事件发展到堆芯损坏的状况，期间有足够的应对时间来遏制事故的发展；而且，即使在发生堆芯熔化的条件下，只要应急及时、应对得力，是完全有可能杜绝放射性物质释放到环境的[5]。

从三里岛核事故和福岛核事故的经验及教训中，我们是否应该尝试调整对核安全的本质认识？对公众而言，什么是安全的核电站？如果在纵深防御的有效作用下，核电站在正常运行或事故情况下，都不会向环境释放过量的放射性物质，此时的核安全可以说是有充分保障的，也是公众能接受的。

因为哪怕在堆芯损坏的严重事故情况下，堆芯熔化对公众而言并不是很重要，其损失仅限于经济上的，只要不给核电站以外的人员和环境带来放射性释放之虞。

5 结束语人类的发展不会止步于各种事故，相反会激发我们更加重视技术进步，更加完善安全措施。

福岛核事故提醒我们，在核安全领域，任何谨慎都不为过，需要考虑一切难以考虑的因素。

毫无疑问，后福岛时代的反应堆将更加安全。

这有赖于我们更加重视纵深防御在核安全中的绝对主导地位，更加注重各防御层次的可靠性，更加注重事故预防与事故缓解之间的良好平衡。

参考文献[1] 国家核安全局. 核动力厂设计安全规定（HAF102），2004版[2] U.S. NRC. Feasibility Study for a Risk-Informed and Performance-Based Regulatory Structure for Future Plant Licensing，NUREG-1860. 2007[3] Nils J. Diaz. The Very Best-Laid Plans (The NRC's Defense-in Depth Philosophy). The 3rd Annual Homeland Security Summit. 2004[4] N. Sorensen, G. E. Apostolakis, T. S. Kress, D. A. Powers. On the Role of Defense in Depth in Risk- Informed Regulation. International Topical Meeting on Probabilistic Safety Assessment. 1999[5] IAEA. Defence in depth in nuclear safety，INSAG-10. 1996[6] U.S. NRC. The Commission’s Policy Statement on Safety Goals for the Operations of Nuclear Power Plants, 51 FR 30028. 1986[7] Mike Tschiltz, Gareth Parry. The Use of Safety Goals in Regulation of Nuclear Power Plants.http://www.nsc.go.jp/anzen/sonota/riskwork/2-1.pdf[8] 汤搏. 关于核电厂安全目标的确定问题. 核安全，2007年第2期，8～11[9] J. Reason, E. Hollnagel, J Paries. Revisiting the Swiss Cheese Model of Accidents. EUROCONTROL Experimental Centre. 2006[10] Reason J. Human error: models and management. BMJ 2000; 320:768-770[11] 国家核安全局. 技术政策：概率安全分析技术在核安全领域中的应用（试行）. 2010[12] U.S. NRC. Recommendations for Enhancing Reactor Safety in the 21st Century, The Near-team Task Force Review of Insights from the Fukushima DAI-ICHI Accident. 2011[13] Karl N. Fleming, Fred A. Silady. A Risk Informed Defense-In-Depth Framework for Existing and Advanced Reactors. Reliability Engineering & System Safety，V olume 78, 2000, Issue 3: 205-225Defense-in-Depth in the Post-Fukushima EraFAN Y umao ZHU Hong(Southwestern Regional Office for Nuclear and Radiation Safety,Ministry of Environmental Protection, Chengdu, 610041)Abstract:Fukushima nuclear accidents have caused serious concern, and will influence profoundly the development process of nuclear power all over the world. This article summarizes the meaning and historical development of Defense-in-Depth before the Fukushima nuclear accidents, discussing the relationship between Defense-in-Depth and safety goals for nuclear power plants. Swiss Cheese Model are used to analyze the leak holes of Defense-in-Depth due to the common cause failure in the Fukushima nuclear accidents. Finally, two characteristics of Defense-in-Depth in the post-Fukushima era are expounded.Key words:Fukushima Nuclear Accident, Defense-in-Depth, Nuclear Safety, Swiss Cheese Model。