历史上发生过了多少次核事故了? 这是一个有争议的问题。主要有两个原因:
1) 有些事故发生年代较早,发生以后也没有被公开,过了许多年以后才被公众了解;
2) 对什么是“核事故”本身就存在一些不同的理解。例如把核事故分成七个等级,核事故等级表里面的0、1、2、3级不是核事故,是核事件!
注: 此处“事故”和“事件"在定义上是不一样的。
(来源:微信公众号“核能科普ABC ” 作者:俞冀阳)
(图片来自网络)
所以什么叫核事故?较起真来的话,还真是非三言两语可以说得清楚的。
三哩岛事故算不算核事故?
切尔诺贝利事故算不算核事故?
福岛事故算不算核事故?
(图片来自网络)
有据可查的堆芯熔毁事故见下表所示:
(俞冀阳,《核心理学》,清华大学出版社)
美国、前苏联、法国、英国、德国、日本都在上表里出现了,据说加拿大和印度也有出过核事故,但是因为没有查到确切的资料,因此本文没有把他们列入上表。
都已经发生了这么多次核事故了,都是惨痛的历史教训,那凭什么让我们相信核电厂是安全的?
A 核电厂系统的复杂程度
核电厂是迄今为止人类设计的最复杂的工业系统之一。(如果不考虑军用的核动力航母的话,去掉“之一”也无不可)
一个核电厂里有各种重要阀门几千个,各种高温高压管道几千公里,数以亿米计的电线电缆,控制开关、仪表、瓶瓶罐罐简直无法计数。
一个核电厂的设计除了一般的文秘、外语、财务、后勤等人员以外,还需要核物理、核安全、核燃料、热工水力、辐射防护、机械、材料、仪控、水力、电子、软件、信息、通讯、化工、电气、力学、土木、建筑、环境、人因、应急、地质、气象、水文、人口、质保等等诸多领域的资深专业人士,协同作战才能完成。每个跨专业的地方都需要有相应的接口,互相扯皮、互相耦合、互相理解,系统的复杂度属于超级复杂工程。
有时候和隔壁同事之间都是十万八千里的专业距离,互相讨论起问题都免不了云里雾里。每个人都在专研很小的一部分领域,却信誓旦旦地相信其他人应该不会和自己这样一知半解。
我们不妨和汽车工业做一个比较。设计一辆汽车也会涉及到机械、流体、控制、材料、电子、软件、安全等诸多学科。但是,即便经过了一百多年马路上数以亿次计的真实碰撞和大量的实验室模拟测试碰撞,还是不可避免地存在设计上的安全缺陷。
设计上的安全缺陷是与系统的复杂度密切相关的。理论上是无法消除的,越是复杂的系统,潜在的缺陷也会越多。即便是千锤百炼的计算机CPU,也时不时会爆出安全缺陷。
三哩岛事故暴露出的设计缺陷是关键设备的可靠性达不到设计上的要求、经验反馈没有到位、安注系统的参数设定对小破口事故不适合等等。
切尔诺贝利事故暴露出来的是在低功率区存在核物理正反馈、操纵员违反规程肆意妄为、爆炸后应急准备不足等等。
福岛事故暴露出来的是应急柴油发电机的楼板不够高、海啸的风险早已被预见却没有妥善处理、现场果断处置能力不够、到目前为止放射性物质排放尚未得到有效控制等等。
每一起事故都能暴露出来一些设计缺陷和人为错误。如此复杂的一个系统,谁能知道是否存在没有被发现的重大设计缺陷呢?
汽车有缺陷可以召回,核电厂有缺陷那就只能靠运气了。所以人类研究出了所谓的概率论安全分析方法,期望自己可以预测赌桌上的输赢。
B 人的不可靠性
人是这个世上最不可靠的东西。(爱抬杠的人也许会说,错了,人根本就不是个东西。好吧,你是对的。) 即便是训练有素的核电厂操纵员,在三哩岛、切尔诺贝利、福岛都发生了不可饶恕的错误判断和错误行为,管理层和监管部门也存在各种各样的人为失误,且不说是有意的还是无意的。
人与机器相比,犯错误的可能性要大的多。从这个意义上看,无人值守核电厂应该更加靠谱一些。虽然目前连无人驾驶汽车都还存在重大争议,无人值守核电厂,还是想想就好了。
无数的历史事实也都告诉我们,智人是最不可信任的。不值得信任的智人即便按照最严格的质量保证程序或者最严格的监管都不可能不出现纰漏或者差错(不管是有意的还是无意的)。没有什么是不能隐瞒或造假的,负责给核电厂提供设备和服务的几百家供货商也不能例外。
更何况还有躲在暗处虎视眈眈的恐怖分子。
C 技术的局限性
人类征服和改造自然的能力不是无限的。人类发展的知识和技术都是有局限性的。
对于核电厂的安全性而言,法理上是要“自证清白”的。也就是说设计提供方能够说清楚他是安全的之前,监管者认为他是不安全的。
那么,现在国内的设计能完成这道证明题了没?表面上看,只要拿到了监管当局的设计许可,这道证明题应该是差不多做完了,即符合现行的安全标准。但实际的状况可能是,连外国人开发的分析核电厂安全性的基本工具可能很多人都还没有彻底搞清楚。(注: 基本工具是几十万行代码的核电厂事故分析计算机程序,例如美国NRC批准的最新的可用于轻水堆安全分析的TRACE程序)
每个人都像瞎子摸象一样诠释着自己的理解,每个人都寄希望于别人(尤其是外国人)开发的计算机程序是靠谱的,每个人都寄希望于其他人不会像自己一样一知半解。
在分工不断细化的今天,工业设计不断依赖于一些黑匣子式的软件,科学研究逐渐演化成了各式各样的目的。现如今,即便是在老牌的美国西屋公司,对核电厂全局设计完整了解的人也已经屈指可数了,或者根本就已经不存在了。
现在核电厂的安全运行靠的是经验,靠的是当初美国人过份保守的设计思想和理念。是不断积累的运行业绩让我们仿佛相信了核电厂是基于经验的成熟技术,是迄今为止最为安全的人工系统之一。
那么到底是凭什么让我们相信核电厂是安全的呢?听到的最有说服力的解释有三种:
A 人类总是在教训中获得成长;
B 三(或四)道屏障+五层防御的纵深防御体系;
C 重新定义和诠释安全。
人类总是在教训中获得成长。言外之意是成长是必须的,教训也是必须的,跌倒了再爬起来才能学会走路。小时候总是渴望成长,到一定岁数了就会反过来了。如果成长的代价太大,是不是可以拒绝成长?
核电厂一旦发生事故以后损失十分巨大,包括经济损失、环境损失和社会损失。所幸我们国家有后发的优势、市场的优势、厂址条件的优势和组织管理的优势,到目前为止还没有发生过重大的核事故。可是一旦发生,其灾难性的后果或许是不敢想象的。举个例子,光经济损失一项,福岛核事故把日本几十年所有核电厂赚的钱就一次性都赔进去了。
(图片来自网络)
基于实体屏障和多层次防御的纵深防御体系,对核电厂降低事故发生的频率无疑是有效的。但是,光靠纵深防御体系无法"实际消除"大规模厂外放射性物质释放的可能性。就好比足球,也是基于纵深防御的一种运动,在世界杯上想要进一个球确实是十分困难的,但是一旦防守上稍微出现薄弱环节,也是会被踢进去的。
最巧妙的解释是想办法重新定义安全,或者重新诠释核安全。例如去查字典,根据《现代汉语词典》第7版,对安全的解释是“没有危险;平安。”《安全工程大辞典》对安全的解释是“可接受的风险。”《辞海》第六版对安全的解释是:“没有危险;不受威胁;不出事故。”
因为不可接受的风险就是危险,所以安全就是没有危险,安全不是没有风险,安全是可接受的风险。你看,字面上论证清楚了,安全不是安心,而是可接受的风险。却避开了是否真的"不受威胁;不出事故"的讨论。
其实判断是否存在威胁的方法很简单,就看是否需要场外应急准备。若真的没有威胁,需要场外应急准备干啥?
重新用风险的方法来定义或诠释了核安全以后,巧妙地证明了核电厂是安全的,因为绝对安全是不存在的,言下之意就是大家得接受目前的这个风险。
或曰: “然,吾惶惶而信之,心实难安。”
核电应该如何能让公众安心,任重道远。
