?文章要點：

• 現(xiàn)實中反應(yīng)堆嚴重事故發(fā)生的頻率比風險評估模型預測值高

• 概率安全評價法對“單一事件諸如海嘯引起的多個安全系統(tǒng)失效”預測不足

• 反應(yīng)堆事故是不可避免的，因為設(shè)計者和風險建模者不能預想復雜系統(tǒng)失效的所有可能途徑

發(fā)生在福島核電站上多樣且不間斷的事故成為把核電與外部災(zāi)害聯(lián)系起來的一個提醒。與早期的切爾諾貝利和三里島核事故一樣，福島發(fā)生的所有事情弄清楚之前需要相當長一段時間。

福島事故

工程師和技術(shù)專家有兩種確保核電廠安全的方法：一種是設(shè)計反應(yīng)堆使得在各種始發(fā)事故中恢復正常——自動地降低損毀傳播概率，即使在沒有任何保護措施（能動的和非能動的）的情況下。另一種方法是設(shè)置多重保護系統(tǒng)，因為這些系統(tǒng)在放射性釋放發(fā)生之前可能失效。第二種方法叫“縱深防御”，這通常被認為是核安全的保障。例如，世界核協(xié)會認為西方國家的反應(yīng)堆利用“縱深防御”實現(xiàn)了最佳安全。

從這個角度看，事故通常被指責，至少在某種程度上缺乏恰當?shù)陌踩到y(tǒng)運作或設(shè)計缺陷。例如，分析人員通常追蹤切爾諾貝利事故的災(zāi)難歸咎于反應(yīng)堆缺少安全殼以及在低功率運行時的操作行為。同樣地，回到福島事故上，許多分析人員聚焦在反應(yīng)堆安全殼系統(tǒng)的弱點上。

遺憾的是，只關(guān)注獨立部件——非整體系統(tǒng)——這為分析者提供了虛假的安全感。他們的思路是：對于每一個安全系統(tǒng)，在任何給定的時間內(nèi)失效的幾率很小，所以在同一時刻多個安全系統(tǒng)同時失效是極其不可能。嚴重事故不可能發(fā)生除非多個安全系統(tǒng)同時失效。因此，他們認為嚴重事故幾乎不可能發(fā)生。

可惜的是，存在多個安全系統(tǒng)同時失效的情況，實際情況比分析者認為的發(fā)生頻率更高。這就是福島所發(fā)生的。當一個安全系統(tǒng)失效觸發(fā)其他安全系統(tǒng)或部件失效后事故就可能發(fā)生。在某些情況下，一個系統(tǒng)能獨立正常工作但是作為整體系統(tǒng)時就失效。舉一個1999年火星極地登陸者號的例子，其設(shè)計的著陸器軟件用來解讀瞬態(tài)信號以確認空間飛行器的著陸。該軟件過早地關(guān)閉了降落引擎，導致飛行器墜落在火星表面。這種失效模式使安全分析者很難通過常用的機械論（確定論）的框架來模擬。

火星極地登陸者號

大多數(shù)人認為風險是多維度的，包含了災(zāi)難的多重特性，例如災(zāi)難的潛在性，可控性以及對未來幾代人的威脅。另一方面，技術(shù)人員對風險持有狹隘的定義，把它作為一個事故發(fā)生概率與其發(fā)生的后果的乘積。為了在諸如核電廠等復雜系統(tǒng)中量化風險，分析者依賴于概率風險評估的數(shù)學方法。（稱為概率安全評價或概率安全分析方法。）概率安全評價方法認為事故由多種因素共同作用所致，通過這些因素計算嚴重事故的可能性。正如美國核管會（NRC）所描述，概率安全評價涉及多個步驟，包括定義可能導致事故發(fā)生（堆芯融毀）的始發(fā)事件（例如管道破裂），求出這些始發(fā)事件發(fā)生的頻率，并對始發(fā)事件造成的嚴重后果進行分析。

風險評估的結(jié)果被不同的人群以不同的方式利用。例如，在核工業(yè)中，利用這些結(jié)果來指導運行和維護決策。另一方面，管理者利用他們優(yōu)化規(guī)范，某種程度上來說是為了回應(yīng)來自核工業(yè)的壓力。與美國核管會一樣，日本核工業(yè)安全局在事故發(fā)生前一個月對福島第一核電站的運營許可延長了10年，所采用的就是“概率論方法的監(jiān)管”。

然而，風險評估最具有誤導和政治爭議的用途是，用來計算各種反應(yīng)堆嚴重事故發(fā)生的概率。例如，法國核電公司阿?，m斷言：正在歐洲和中國建造的EPR（歐洲先進壓水堆），“事故導致堆芯融化的概率極小，在上一代反應(yīng)堆中發(fā)生的概率就很小了?！?在申請英國安全監(jiān)管部門的許可證時，阿?，m估計反應(yīng)堆堆芯熔化概率為6.25×10^-7/（堆年）。同樣地，西屋公司聲稱其AP1000反應(yīng)堆提供“無與倫比的安全”，部分原因是該公司的概率風險評估計算表明反應(yīng)堆堆芯損毀事件總概率為5×10^-7/（堆年）。對美國舊式反應(yīng)堆評估結(jié)果是堆芯融毀的概率更高；例如，美國核管會給出賓西法尼亞州的反應(yīng)堆堆芯熔化概率為10^-4/（堆年），該反應(yīng)堆是一座沸水堆，其安全殼與福島第一核電站一樣。

既存在經(jīng)驗上的因素也存在理論上的因素去懷疑這些數(shù)據(jù)。2003年一份來自麻省理工學院對未來核電的研究指出概率風險評估（PRA）方法及數(shù)據(jù)庫的不確定性使得當核工業(yè)做出有關(guān)安全的判斷時更為謹慎，需牢記記住實際歷史風險經(jīng)驗。歷史經(jīng)驗告訴了我們什么？在世界范圍內(nèi)，已經(jīng)具有了接近15000堆年的運行經(jīng)驗，眾所周知已有三大核事故。然而，正如美國自然資源保護委員會的ThomasCochran最近對美國參議院所闡述的那樣，根據(jù)堆芯毀傷的定義，還有其他的很多事故應(yīng)當被考慮。1次嚴重事故的發(fā)生頻率可能高達1/1400(堆/年)。以這樣的頻率，我們可以預見，以麻省理工的研究為基礎(chǔ)，如果核電站從今天的440座商用反應(yīng)堆擴大到1000座，那么平均每1.4年就會出現(xiàn)一起包含堆芯損毀的事故。盡管在其他方面我們的經(jīng)驗有限，不能做出任何可靠的預測。

理論上，概率風險評價方法遇到了許多問題。麻省理工的Nancy Leveson 和她的同事稱通常用于風險評價方法的事故的事件鏈概念不能解釋間接的、非線性的以及復雜系統(tǒng)中多事故的反饋關(guān)系。這樣的風險評價對已知的人因及他們對反應(yīng)堆的影響方面做的很糟糕，更不用說在未知的失效模式方面了。同時，1978年提交給美國核管會的風險評價評審組報告指出，“從數(shù)學的角度來說，事件樹和故障樹在概念上是不可能被完整構(gòu)造的…這種固有的限制意味著任何使用這種方法進行的計算總是受制于對其完備性的修正和懷疑?！?/strong>

概率風險評價模型在很多事故中不能夠解釋未預料到的失效模式。例如日本的Kashiwazaki Kariwa反應(yīng)堆，在2007年中越地震后，地基下沉將電纜下拉，使得反應(yīng)堆地下室墻壁上開了一個大口，這使得一些放射性物質(zhì)泄漏進入大海中。東京電力公司官方強調(diào)，“在外墻上用于架設(shè)電纜的洞里產(chǎn)生了一個泄露的出口，這超出了我們的想象”。

日本的Kashiwazaki Kariwa反應(yīng)堆

然而，當關(guān)系到未來的安全時，核反應(yīng)堆的設(shè)計者與運行者似乎總是假定他們知道將要發(fā)生什么。這就允許他們可以為所有可能發(fā)生的意外制定計劃。或者，就如印度原子能委員會主席在福島核事故后斷言的那樣，在印度核反應(yīng)堆是“百分之一百”安全。

如果說概率風險評價方法的弱點已經(jīng)在福島得到驗證，那就是共因失效或者共模失效建模的困難。從大部分報告中似乎可以清楚地看出，是海嘯單一事件導致了大量的失效，這為最終事故發(fā)生打下了基礎(chǔ)。這些失效包括了失去了場外電源，失去了柴油發(fā)電機的儲油罐以及備用能源，配電的失效，以及從海洋中引入冷卻水的入口損壞。最終的結(jié)果是，盡管有多種方法從堆芯中帶走熱量，但這些方法都失效了。

概率風險評價方法在努力將共因失效納入考慮范圍，但結(jié)果不令人滿意。例如，利用概率風險評價方法計算了EPR在所有場外電源喪失的情況下的堆芯損毀頻率為8×10^-8/（堆年）。這么低的數(shù)字是通過假定除了場外電源失效外其他失效是隨機的且相互獨立發(fā)生得到的。但在福島核電站，同樣的事件毀壞了場外電源也引發(fā)了其他堆芯冷卻系統(tǒng)的失效。

福島核事故也證明了使用多重系統(tǒng)保證更高安全水平的負面效應(yīng)：冗余有時會使得事情變得更糟。和國際上許多反應(yīng)堆一樣，福島核反應(yīng)堆采用鋯包殼包裹并保護核燃料。但是當冷卻系統(tǒng)停止工作時，鋯包殼處于過熱狀態(tài)。高溫鋯與水或蒸汽發(fā)生反應(yīng)產(chǎn)生氫氣。當氫氣與安全殼內(nèi)空氣接觸后發(fā)生爆炸，將進一步損毀反應(yīng)堆下部的抑壓池，即損毀另外的保護系統(tǒng)。換句話說，反應(yīng)堆內(nèi)復雜冗余系統(tǒng)對安全可能會有一些意料之外或負面的結(jié)果。正如包括Charles Perrow學者，特別是 Scott Sagan過去所指出的那樣。

反應(yīng)堆復雜系統(tǒng)

概率風險評估方法在處理多重系統(tǒng)的問題時表明關(guān)于所有事故發(fā)生概率的任何結(jié)論還遠沒有可靠的。也許可以得到的唯一可靠結(jié)論就是沒有兩次重大事故是一樣的。歷史上發(fā)生反應(yīng)堆嚴重事故的起源，等級和影響各不相同。發(fā)生在不同國家多種堆型設(shè)計的反應(yīng)堆上。這意味著雖然可能防止類似福島核災(zāi)難重演，但是下一個反應(yīng)堆事故可能由于不同的組合因素所致。沒有可靠的工具來預測這些組合因素是什么，因此沒有人可以自信的說可以防止事故的再次發(fā)生。這些問題不可能通過簡單的新設(shè)計得到解決，那些新設(shè)計往往是基于概率風險評估方法得到一個更低事故發(fā)生概率，從而被認為是更安全的。

如果概率風險評估僅僅是核工程師在業(yè)內(nèi)的演練，就不會有太多理由關(guān)心他們?nèi)狈煽啃浴栴}是由這種復雜計算的演練得到這么小的數(shù)字可能是錯誤的并具有誤導作用，特別是對于政策制定者和公眾。這是嚴重的誤導，最可悲的是在切爾諾貝利事故中得到了體現(xiàn)。早在2008年前，國際原子能機構(gòu)安全分部主席B. A. Semenov對切爾諾貝利采用的壓力管式石墨慢化沸水堆（RBMK）寫到：“未來的設(shè)計有超過1000個獨立系統(tǒng)增加反應(yīng)堆的安全——冷卻劑喪失事故幾乎不可能發(fā)生?！边@個斷言和目前在建的核反應(yīng)堆的安全性聲明是驚人的相似。

從福島、切爾諾貝利和三哩島事故中得到的啟示是核能帶來不可避免的災(zāi)難性事故。雖然從絕對意義上來說這可能不會經(jīng)常發(fā)生，但人們有充分的理由相信這比諸如概率風險評估量化工具的預測值高。任何關(guān)于核能未來的討論應(yīng)該基于這種認識開始。

點擊上方圖片進入活動頁面