核史丨核安全的基石是怎样筑牢的

1

物理学家与化学工程师之间的冲突

得知杜邦公司的工程师对他的反应堆设计方案进行了大量修改后，魏格纳(Eugene Wigner)怒不可遏，双方由来已久的矛盾终于爆发了。

（来源：微信公众号“核史钩沉” 作者：另类核史）

Eugene Wigner

1942年秋天，美国为研制原子弹秘密启动曼哈顿工程后，项目负责人格罗夫斯(Leslie  Groves)将军便找上了化学工业领头羊杜邦公司，鼓动其积极参与到核武器材料的生产中来。成立于1802年的杜邦公司，以生产黑火药起家，在第一次世界大战中因出售大量军需品而迅速扩张为跨国工业巨头。经过一番考察与调研后，杜邦公司与联邦政府签订了一揽子服务协议，只象征性地收取一美元的费用，希望借此机会扭转在业界和民众中留下的唯利是图的坏名声，并树立爱国、奉献的良心企业形象。

12月2日，世界上第一座反应堆CP-1在芝加哥大学成功临界后，建造用于生产原子弹核材料的反应堆便迅速提上了议事日程，杜邦公司承担了将科学家的理论设想变成现实可行的实践的重任。

首先，他们在橡树岭基地承建了X-10反应堆。这座石墨慢化、空气冷却的原型反应堆，由费米在芝加哥大学冶金实验室的同事魏格纳操刀设计，用以生产少量的钚，为后续建造大型生产堆和化学后处理工厂积累经验。

由于反应堆功率很小（初始功率500kW），而且项目由芝加哥大学冶金实验室的科学家主导并负责运行，杜邦公司只是承建方，虽然在建造过程中出现一些分歧和小摩擦，大家基本上还是相安无事。

随后，基于CP-1和X-10反应堆的设计和实验经验，魏格纳带着项目组的同事在几个月内设计了第一座大型生产性反应堆，也就是汉福特基地的B反应堆。面对这样一座大型的工业设施，格罗夫斯决定交由杜邦公司负责建造和运行，冶金实验室的科学家负责反应堆初步设计。

在魏格纳及其同事看来，将他们设计的石墨慢化、水冷却反应堆变成一座实际运行的工厂，并不是一件难事，工程师们只需要按照设计报告中的图纸照葫芦画瓢建造就行了，根本不用进行详细的工程设计。然而，在杜邦工程师的眼里，建造和运行一座大型反应堆是一项异常艰巨的工程任务，一百多年前在研制火药过程中付出了大量血的代价与教训，逐渐培育了谨慎、保守的企业安全文化。

在进行施工图设计过程中，由于对神秘的核技术缺乏充分的了解，杜邦公司的工程师出于安全上的考虑，针对魏格纳的初步设计做了不少的调整与修改。比如，基于之前在建造、运营化工厂中采用的通用设计方法，工程师们把反应堆分隔成一个个相对独立的子系统分别建造，从而实现各系统之间的隔离，防止局部发生的事件波及整个厂房；在危险的放射性物质与工作人员及外部环境之间，设置多道实体的隔离屏障，防止人员受到意外辐射照射；在重要系统或设备的设计、建造和安装过程中，他们还有意识地留有安全裕量，把燃料孔道数由魏格纳设计的1500个调整为2004个，热功率降低一半至250MW，在反应堆的背面设置了一个大水池来收集废铀棒等等。

由于设计上的调整与修改，工程拖到1943年10月才开工，这让魏格纳非常生气。他对自己的设计非常自信，坚持认为反应堆的物理计算已相当准确，无需在建造中再考虑其他影响安全的不利因素，杜邦公司的做法严重影响了工程的进度，担心德国可能赶在美国之前造出原子弹来。

建造中的汉福特B反应堆

不过，在这一次的争执与分歧过程中，杜邦公司没有妥协与让步，因为他们不只是建造反应堆，还负责在将来运营反应堆，工程师们坚持必须考虑必要的不确定性而在设计中留有裕度。魏格纳找到格罗夫斯抗议一番无果后，也只得作罢。

一年以后，B反应堆建造完成。结果，在达到临界几小时后，反应堆便自行停堆了。正是由于杜邦工程师当初“多余”的燃料孔道设计，克服了氙-135的“中毒”效应，反应堆才得以继续运行并生产出核武器材料（参见《群星辉耀曼哈顿》）。这个事件给魏格纳等一帮核物理学家上了一课，再也不好意思嘲笑那帮工程师无知、胆小了。

更让他们想不到的是，杜邦公司在汉福特B反应堆上的做法，在后来的工程实践中被广泛借鉴，逐渐演变成了核安全的基石。

这块基石，便是今天大家耳熟能详的纵深防御策略。

2

多层防御的实践

第二次世界大战结束后，里科夫(Hyman  Rickover)非常赞赏杜邦公司在生产堆上保守的决策思想，把它移植到核潜艇的研制过程中。相比于战斗力，他更关心和在乎核潜艇的安全性。安全，成为他一切决策的前提条件。

为了确保艇员的安全，里科夫和手下的工程师们可是煞费苦心。我们知道，对于陆上反应堆，可以分别应用距离和屏蔽防护的原则，即依靠偏远的选址和增设安全壳的方法，来规避反应堆运行过程中可能对工作人员和公众产生的辐射危害。但对于长时间航行在大海深处的核潜艇而言，这两种方法都难以适用：一来发生事故时，艇员在水下逃生空间非常有限，即使停留在港口，也多位于都市的人口密集区附近；二来由于潜艇尺寸和空间的限制，不太可能在反应堆的外面罩上一个庞大的安全壳。别无他法，海军方面只有穷尽一切办法防止发生事故，来确保核安全了。

在里科夫的主持下，海军在设备制造质量控制、系统和部件试验或检查、操纵员培训等方面制定了严格的程序。设计之初就考虑了潜在的设备失效或故障，设置了冗余系统，以便每个安全功能均由多于一个的系统或部件来执行；系统和部件在制造时留有相当大的裕量，以便应对可能的意外状况；操控反应堆的工作人员，必须经过严格的培训方可上岗。事实证明，这些事故预防策略达到了预期的效果，对潜艇反应堆的运行安全起到重要的保障作用。

美国的核电，起源于核潜艇反应堆技术。自然而然地，海军的反应堆事故预防策略，随后被完全移植到早期的核电厂设计、建设当中。1957年建成投运的希平波特核电厂，所有重要的设备、部件和仪表，在整个制造过程中处于工程人员的全程监造和监督当中，对发现的质量缺陷，作为政府全权代表的里科夫一票否决，绝不妥协。为了确保公众安全，在放射性物质与环境之间设计了四道屏障：第一道是将核燃料装进高度耐腐蚀的锆合金包壳中，第二道是将密封焊接好的反应堆主冷却剂系统置于承压的隔墙内，第三道是将反应堆及其蒸汽系统装在一系列相互连接的压力容器里，最后一道则是将整个反应堆置于地下混凝土结构中。

1958年，在一个描述汉福特钚生产堆的安全设计文件中，第一次公开提及到这种多层防御的概念。1965年，在呈送给国会原子能联合委员会的一封信中，原委会主席西博格(Glenn  Seaborg)把“多层防御”定义为民用反应堆的事故预防和缓解策略。1967年，在原委会的一个内部报告中，他们把防御的层次概括为事故预防、保护和缓解三个层次，并强调应把安全投入和措施集中于事故预防上。

随后，“多层防御”在核工业界逐渐演变为“纵深防御(Defense in  Depth)”的概念，并成为确保核安全的基石。在1973年发布的WASH-1250报告《核电厂轻水反应堆和相关设施的安全》中，原委会将“纵深防御”概括为确保核安全的基本哲学，也是迄今为止能找到的出现该术语的最早文献。

这种安全哲学，隐含着三个基本的假设：设计上不可能完美无缺，设备有时会出故障，人们偶尔会出错。既然如此，为了安全考虑，我们便采取两种策略：一种是预防策略，尽可能避免出现故障、瑕疵或失误；另一种是缓解策略，即使采取了各种预防措施，但难免百密一疏，事故仍有可能发生，那么就利用一切可行的补救措施来缓解或控制事故后果。

在贯彻和落实预防或缓解策略过程中，我们常常秉承三个原则：

一是冗余性，确保执行同一安全功能的系统或设备有多套，比如设置超出运行需求的多套应急柴油机组；

二是独立性，避免一个系统或设备受到其他系统或设备的影响而发生继发故障，比如将相邻的两个安全重要设备进行实体隔离；

三是多样性，避免执行同一安全功能的系统或设备由于同样的原因失效，比如采用不同的运行条件、不同的制造厂、不同的工作原理等等。

概而言之，我们应用纵深防御思想的根本目的，在于补偿由于人类认知能力的限制而产生的不确定性。

麻烦之处在于，人们往往很难确切地知道不确定性的大小，那么补偿这种不确定性的边界又在哪里呢？可以说，这种评估纵深防御实施有效性的难题，也是确定论安全方法所面临的难题。

3

纵深防御的现实与挑战

紧随希平波特核电厂之后，美国核电厂的承建者如法炮制，广泛地借鉴这种成功的实践经验，在此基础上形成了早期的纵深防御策略：为确保反应堆安全，首要的关键要素是实施事故预防措施，通过质量控制、系统和设备保守的设计、制造和安装、操纵员的严格培训来最大程度减少事故发生的可能性；尽管如此，设备故障或操作失误在所难免，事故仍可能发生，则依靠冗余的安全系统来应对；假若安全系统失效或应对不力，则依靠安全壳厂房来防止放射性核素释放至环境；此外，核电厂要启动事故管理程序；最后，在选址时，事先划定隔离区和低人口区来减少事故情况下潜在的受照人群，并制定应急计划(包括掩蔽和撤离措施)来减少公众的受照剂量。

早期的纵深防御策略

三里岛核事故和切尔诺贝利核事故的发生，使得人类对核事故的认识和研究逐步加深，相应的安全措施日渐成熟，便形成了今天四道实体屏障与五个防御层次相辅相成的纵深防御体系。就一座典型的轻水堆核电厂而言，四道实体屏障分别是燃料芯体、燃料包壳、反应堆冷却剂系统压力边界和安全壳。

轻水堆核电厂的四道实体屏障示意图

纵深防御的五个层次

为了确保纵深防御体系得以有效实施，各个防御层次都包括一些基本的前提，比如适当的保守性、质量保证和安全文化等。同时，每个防御层次都有其特定的目标，包括实体屏障的保护和实现这种保护的方式。

实体屏障与防御层次的关系示意图

关于纵深防御的概念，迄今为止全世界核能界尚没有形成一个权威的官方定义，但对其理解和应用基本一致，都把它作为核安全的基本原则，核心的理念是依次设置一系列多层次的保护，以保持反应性控制、堆芯热量导出和放射性包容三项基本安全功能，进而确保工作人员、公众和环境安全。它贯彻于安全有关的全部活动，包括与组织、人员行为或设计有关的方面，以保证这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正。在今天，纵深防御不仅仅是一个安全概念，也是一种原则、一种方法，更是一种哲学、一种体系。

2011年发生的福岛核事故，在清晰验证纵深防御至关重要性的同时，也暴露了现存的纵深防御体系存在的漏洞和不足。正如英国曼彻斯特大学心理学教授里泽(James  Reason)提出的瑞士奶酪模型所揭示的那样，福岛第一核电厂的各层（级）保护并没有实现真正的相互独立，它们都被同一串事件影响甚至损坏，属于典型的共因故障失效。地震及随后的大规模海啸，导致核电厂发生长时间全厂断电事故，堆芯冷却和最终热阱丧失，堆芯余热无法及时导出，进而对各道实体屏障的放射性包容功能构成重大威胁。正是由于全厂断电这一共因使得各层保护屏障出现漏洞，最后导致燃料元件部分熔化、放射性物质主动或被动释放到环境中。

瑞士奶酪模型

从福岛核事故上，我们发现，现有的纵深防御体系在应对一些极端自然灾害方面存在着先天性不足。比如对于地震或洪水这样的外部事件，我们只能事先确定一个设计基准，作为设计安全重要系统和设备的设防要求，却很难划定出一系列的防御层次。如此，当超大规模的地震或海啸突如其来时，往往一下子把几道防御层次同时破坏掉，也就是奶酪模型中的一连串穿孔。

因此，为了防范核事故或降低严重事故的后果，全过程地运用纵深防御还远远不够，更重要的是要始终确保各个防御层次的可靠性(主要表现为完整性和有效性)。从各国采取的福岛后安全改进行动不难发现，改进方向基本都是着眼于增强对极端外部事件所致事故的应对能力，也就是进一步巩固、强化纵深防御中的后果缓解策略。

或许，后福岛时代的核电厂，在强化的纵深防御体系的有效作用下，即使在发生极端事件(包括堆芯损毁)时，我们仍有充分的把握保护公众安全与健康，并使环境受到的影响是有限、暂时、可恢复的，此时的核安全才可以说是有充分保障的。

唯如此，核能才能为公众所接受。

原标题：核安全的基石是怎样筑牢的