核安全的简要历史和若干基本概念 汤 搏 2013年10月

序 言 “他们说航海有危险，但实际上生活中总是充满危险。他们不懂得船，所以他们不懂得航海。” — 独自驾帆船环球航海的16岁荷兰小姑娘劳拉·德克尔

一、安全的基本概念 1.安全是人类永恒的问题 自人类诞生以来，人类就一直面临着安全问题。远古的人类面临的是食物短缺、野兽和疾病威胁等自然灾害，近代人类又面临着战争、环境问题等附加人为灾害。未来的人类是否会考虑小行星撞击以及其它现在未知的威胁？ 2.安全是一个相对的概念 既然人类要永恒面对安全问题，则安

全一定是一个相对的概念，而绝对的安全是不存在的。 衡量一件事情是否安全，只能放在其所处环境中，与其它事情比较才有意义。孤立地讨论一件事情的安全与否无法得出有意义的结论。 3.安全是一个变化的概念 随着人类所处环境的变化，人们对一件事情的安全评判也会发生变化。如处于饥饿状态的人更多地考虑的是食物的获得，而不是食物的卫生。现在的人类

也不会更多地考虑小行星的撞击，但未来很可能会。 4 也不会更多地考虑小行星的撞击，但未来很可能会。 4.需要为安全建立度量 为了比较不同事情的安全水平，一定要建立一个安全的度量。 如果一件事情的不利后果已发生，我们将其称为“灾难”。当然灾难之间是可以比较的，但存在的问题是仅仅考虑灾难的话，人类的生活将是悲观的。如已知的约6500万年前的小行星撞击导致了包括恐龙在内的大多数生物灭绝，未来

不能排除发生类似的撞击，那么人类的生活还有何意义呢？ 当然我们直观地意识到虽然撞击后果很严重，但可能性很低。这样我们就可以看到，我们通常考虑安全是从后果和可能性两方面考虑的。 我们将一件事情可能的不利后果和发生概率的乘积称为“风险”。科学界大多数同意将风险作为安全的度量指标。 核安全是所有安全问题的组成部分，也必须按照同样的方式思考问题。

5.安全是控制风险而不是消除风险 既然不存在绝对安全，则安全一定是将风险控制在可接受程度，而不是彻底消除风险。 还必须注意到的是“凡事有一利则有一弊”。 “一件事情带给我们的利益足够大，而其代价可承受，我们则认为该件事情是安全的”。 “安全是利益和代价的平衡”。

二、核安全的简要历史 1.SCRAM-防止链式反应失控 在建设世界上第一座反应堆芝加哥1号时，费米等核物理学家担心的是一旦链式反应被触发，能否得到控制。所以反应堆设置了两套自动控制和一套手动控制系统，同时设置了一个安全控制棒斧头人（Safety Control Rod Axe Man, SCRAM），时刻准备砍断吊挂着安全控制棒的绳索，以“防止链式反应失控”。

2.设计裕度-纵深防御概念的起源 在芝加哥1号建设时，位于汉福特的军用生产堆也在紧张建设过程中。军用生产堆的建设是由杜邦公司负责的。虽然核物理学家们对自己的计算都很有信心，但承建反应堆的化学工程师们则根据工业经验表示质疑，坚持在工程中保留设计裕度，采用冗余等手段，这被视为“纵深防御”概念的起源。

3.最坏的可想象事故-远距离厂址政策 在早期的研究堆和生产堆主要服务于军事用途，且主要位于偏远地区的状况下，为保证公众安全，核安全管理采取的是考虑“最坏的可想象事故”，即全堆芯熔化，并且不考虑任何包容来评价所需要的禁区半径。AEC推荐的禁区半径是： R（mile）=0.01×[反应堆堆芯热功率（Kw）]0.5。

这个公式被称为“指数原则”。 毫无疑问，为满足指数原则，厂址必须选择在远离居民区的地方，所以这时的核安全管理又称为“远距离厂址政策”（remote siting）。

4.安全壳-工程安全设施 1952年，美国要在离纽约州圣莱克迪镇19英里的克诺斯原子能实验室建设一座潜艇用原型钠冷反应堆，这不能够满足远距离厂址概念。因此反应堆采用了球型钢制安全壳作为安全措施，美国原委会接受了这一做法，但此时仍然不将这样的措施作为距离隔离概念的有效替代。由于这是采用“工程措施”解决“安全问题”，因而产生了一个术语“工程安全设施”。

5.可信事故-设计基准事故的基础 1953年代，美国开始考虑核电建设。即使考虑了安全壳这样的“工程安全设施”，后果仍然不能承受（AEC语：“除了离人口中心几百英里的地方，否则无法选到核电厂址），此时AEC（原委会）开始用“可信事故”的概念替代“最坏的可想象事故”。 可信事故的选择基于AEC专家的判断，但一个基本前提是只考虑单一设备的损坏，如某根管道的破裂或某个泵的故障。 对于某些人质疑的“多设备故障”问题，

AEC只简单地解释“我们认为不可信”（概率风险分析技术的发展和三哩岛事故将改变一些基本认识，后续讨论）。 可信事故构成了“设计基准事故”概念和“确定论安全要求”的重要基础，可信事故和工程安全设施概念的采用才使核电的建设成为可能。 对轻水堆核电厂，由于认为LBLOCA（大破口失水事故）导致的后果最严重，LBLOCA成为所谓“最大可信事故”。

6.选址源项-TID-14844 建设核电还有其他需要确定的问题，如事故工况下的放射性源项。1962年，AEC发表了针对轻水堆的源项报告TID-14844，假设在事故工况下堆芯100%的惰性气体、50%的放射性碘，以及1%的其他放射性产物进入安全壳，而50%的放射性碘因为沉积等原因去掉50%，按0.1%安全壳体积泄漏率释放，用以评价核电厂址的适宜性。

7.中国综合症-应急堆芯冷却系统 1960年代中期，核电开始向大型化方向发展，这时ACRS开始质疑，即在堆芯熔化后，安全壳能否真正起到包容作用。一个关心的焦点是堆芯熔融物可能熔穿安全壳底板。由于开玩笑地说最终会熔穿地球从而到达中国，这种现象又被称为“中国综合症”。 为了避免中国综合症，需要避免堆芯熔化，所以应急堆芯冷却系统非常重要。

大量的试验研究被开展，其中最著名的是“LOFT”（loss of fluid test），即对LOCA事故下堆芯冷却剂丧失工况开展试验研究，研究的结果被用于改进应急堆芯冷却系统的设计。 为了进一步改进应急堆芯冷却系统的可靠性，1967年，在德累斯顿2号机的应急堆芯冷却系统上采用了冗余设计。这种做法最后被发展为确定论安全要求中著名的“单一故障准则”。

8.冗余-单一故障准则的形成 1967年代，在德累司顿2号机组堆芯应急冷却系统的中，为了提高可靠性，参考航空航天业的做法，采用了系统冗余设计。1971年，单一故障准则被纳入联邦法规。 SBO和ATWS事故表明，单一故障准则的要求并不平衡，但由于其简明性、可操作性、经济可接受性，目前仍然是确定论安全要求的一个重要准则。但近些年美国正在考虑对其进行风险导向基础上的修改。

9.质量分组-质量保证要求 1960年代末期，ACRS在勃朗费里核电厂的听证中，开始关注安全系统的可靠性和质量问题。为此AEC借鉴美国军方在核武器研发过程中的经验，提出对安全系统和设备的“质量保证”要求，要求核电厂要对安全构筑物和系统进行“质量分组”。1970年，质量保证条款被正式列入联邦法规。ASME也制订了相关的“安全级”设备标准以满足“质量分组”要求。

10.GDC-确定论安全要求的形成 1971年代，美国联邦法规10CFR50 APPENDIX A正式颁布。APPENDIX A确立了58个GDC (general design criterion)，这标志着“确定论安全要求”基本形成。 安全要求演化到此时，人们的认识是堆芯熔化的事故已经不可能发生，或着说不可信，直到三哩岛事故才开始改变认识。

11.WASH-1400-概率风险评价的奠基石 1974年，AEC发表了WASH1400“反应堆安全研究”。WASH1400率先全面使用概率风险评价（PRA）方法来研究核电厂的安全，其主要结论包括核电厂的风险主要来自于严重事故的剩余风险，多重故障可能导致堆芯熔化，小破口事故可能风险更大等。 由于概率风险评价方法与确定论安全要求有着很大差异，且其本身存在着不确定性（其实确定论安全要求也存在很大不确

定性），因而WASH-1400引起了很大的争议，后续成立的NRC（核管会）被迫宣布收回WASH-1400报告。 但概率风险评价方法为观察核安全问题提供了一个全新的、系统的和更全面的视角，时至今日产生了广泛、深刻的影响。

12.AEC的解体-核安全监管的独立性 LOFT试验的结果表明，早期核电厂应急堆芯冷却系统的注入水可能被破口大量旁路，以至于堆芯不能得到足够的冷却。 这个结果使AEC陷入困境，因为已有数十个核电机组建成或在建。AEC质疑试验结果的合理性，要求将结果保密，但结果还是被泄漏，AEC丧失了社会公信力。 1974年，美国通过“能源重组法”将AEC分解为ERDA（今DOE）和NRC。

13.三哩岛事故-严重事故是可信的 1979年，美国宾西法尼亚州的三哩岛核电厂发生了严重事故，事故导致了约2/3的堆芯熔毁。虽然三哩岛事故并没有导致“可察觉的厂外影响”，但三哩岛事故严重冲击了以往的信念，即堆芯熔化事故是不可能发生的。 三哩岛事故后，安全研究的重点集中在SBLOCA（小破口失水事故）、人因、规程等方面，特别是核电厂严重事故的研究。

由于WASH1400中曾经预言了与三哩岛事故相类似的事故序列，特别是作为严重事故研究必不可少的工具，PRA技术再次得到高度重视。美国在三哩岛事故后开展了三哩岛行动计划、IPE（independent plant evaluation）和IPEEE（IPE for external events计划），为了支持IPE计划的开展，美国NRC发表了NUREG-1150报告，选取了5个典型核电厂完成了PRA。这个报告成为PRA的经典报告，也为许多安全要求的制订提供了基础。

14.ATWS和SBO-确定论安全要求的困境 1980年代，由于发生了若干起控制棒下落故障，人们开始研究ATWS（未能紧急停堆的预期瞬态）问题。ATWS表明，即使保护系统满足了安全分级、冗余的要求，其可靠性仍然不足。ATWS发生的频率约每堆年10-4，大大高于设计基准事故发生频率的下限，但由于设计基准事故基于单一设备失效的考虑，特别是为避免核电厂设计的极端复杂化，对ATWS的缓解提出了变通的要求。

SBO（丧失全部交流电源）的情况也类似。如果将SBO划为设计基准事故，按照确定论安全要求的保守处理，则需设置额外的安全级、冗余的应急电源。 这些事例表明，确定论安全要求存在内在的逻辑缺陷和不自恰，但是改变确定论安全要求又存在极大的困难和挑战。 确定论安全要求为主，概率论方法做补充的思想是这一段时间所产生的。

15.切尔诺贝利事故-安全文化的诞生 1986年，前苏联切尔诺贝利核电厂发生了严重事故，事故导致极其严重的环境和人员后果。IAEA专家组在调查切尔诺贝利核电厂事故原因时，认为前苏联从体制层面到人员观念上存在着极大的欠缺，这种体制和人员观念的欠缺被委婉地称之为缺乏“安全文化” 。1988年，IAEA在75-INSAG-3《核电安全的基本原则》中明确提出了“安全文化”的概念。

16.安全目标-多安全是足够的？ 三哩岛事故表明，由于不存在绝对安全，期望使用一种“确定的”表述方法向人们表达核电厂的安全水平最终会陷入困境。对于政府、核电建设者以及公众，都需要一种合理的度量，为核电厂确定一个可接受的安全水平。1986年，NRC发表了有关安全目标的政策声明，确定了两个“千分之一”附加风险的定量安全目标，用以衡量可接受的安全水平（风险），而所谓“熔堆频率”、“大规模放射性释放频率”成为辅助指导值。

美国的定量安全目标 ·对紧邻核电厂的正常个体成员来说，由于反应堆事故所导致立即死亡的风险不应该超过美国社会成员所面对的其它事故所导致的立即死亡风险总和的千分之一； ·对核电厂邻近区域的人口来说，由于核电厂运行所导致的癌症死亡风险不应该超过其它原因所导致癌症死亡风险总和的千分之一。

17.PRA技术政策-从风险的角度看问题 1995年，NRC发表了有关在核安全监管中更多使用PRA的政策声明，鼓励在核安全事物中更多地采用PRA技术，1990年代末，NRC发布了RG1.174～1.178，对风险准则、在役检查、质量保证、维修、在役试验、技术规格书等方面使用PRA技术给出指导。目前NRC正致力于建立performance-based and risk-informed的核安全法规体系。从风险的角度看问题将引起核安全理念和管理模式的巨大改变。

18. 福岛核事故-再一次需要转变？ 外部事件导致的严重事故、事故对环境影响的可接受程度、………？ 19 18.福岛核事故-再一次需要转变？ 外部事件导致的严重事故、事故对环境影响的可接受程度、………？ 19.研究性反应堆 巨大的设计差异、简单粗略的法规和标准、 ……… 。 如何合理地确定具体安全要求？ 概率风险分析技术是否应起到更大的作用？

三、确定论核安全要求 1.什么是确定论安全要求 “确定论安全要求”是英文“Deterministic approach”或“Deterministic requirements”的翻译。这个翻译容易引起误导，更准确的译法应该是“已确定的安全要求”。 确定论安全要求是以纵深防御概念为基础，以保证三项基本安全功能为目的，针对一套确定的设计基准工况，采用保守的假设和分析方法，以确认满足特定验收准

则的一套方法。 2.纵深防御概念 纵深防御概念是核电厂安全所遵循的基本核安全理念，它的基本点就是使核电厂中所有与安全有关的事项都置于多重防御措施之下，即使一道措施失效，还有另外的措施来补偿。纵深防御概念一个最广为人知的应用是多道屏障。 目前核电厂总体上通常设置五道纵深防御的层次：

（1）第一个层次是采用保守的设计、可靠的质量和严格的运行来预防偏离正常运行和预防系统失效； （2）第二个层次是设置必要的监测系统和保护系统来纠正可能的偏离正常运行； （3）第三个层次是设置必要的工程安全设施和事故规程来对付可能性极低，但假想会发生的设计基准事故； （4）第四个层次是采用合理可行的措施，包括必要的硬件和软件来对付超设计

基准事故，以进一步提高核电厂的安全水平； （5）第五个层次，也是最后一个层次是采用应急计划来对工作人员和公众提供最后的保护。 基准事故，以进一步提高核电厂的安全水平； （5）第五个层次，也是最后一个层次是采用应急计划来对工作人员和公众提供最后的保护。

如前所述，纵深防御概念是美国在核安全的实践中所建立的，被国际上广泛接受的，被证明行之有效的核安全理念。美国三哩岛核电厂在严重堆芯熔化的情况下，厂外后果微乎其微，没有发现对公众健康的实际影响，证明了纵深防御概念的有效性。反之，前苏联长期脱离国际核安全的主流理念，在核电厂中没有有效地贯彻纵深防御概念，切尔诺贝利核电厂事故则造成了惨重的人员和环境后果。

由于纵深防御概念已被广泛接受，并在实践中证明行之有效，所以近些年来美国在发展Risk-informed and performance-based的管理要求时，仍然提出要维持纵深防御原则，当然从PRA的观点看，对某些纵深防御具体措施的解释可能会产生一些变化。 3.三项基本安全功能 反应堆堆芯的热量来自于裂变元素的核裂变反应，核裂变反应的同时会放出射线，同时产生裂变产物。

核裂变反应同时放出的射线采用屏蔽措施可以得到比较好的防护，但裂变产物的衰变所放出的射线和衰变热（～余热）却是麻烦的主要来源。在裂变反应停止后，衰变热还会长期的释放，如果不能将其导出，则衰变热的积累最终会破坏各道放射性屏障，从而导致裂变产物（即放射性物质）向环境的大规模释放，危害人员和环境。 从一个核电厂的角度看，只要能够按要求及时地停闭反应堆、排出余热并且保证至少一道放射性屏障的完整，安全就有保证。

因而，反应性控制、余热排出、包容放射性通常被称为三项基本安全功能，而保证这三项基本安全功能的系统和设备需要采用多重性、多样性、独立性和安全级设备等方式等来保证其高度的可靠性。其实反应性控制和余热排出的最终目的也是为了保证屏障的完整性，而实现可靠的余热排出是保证核安全的主要因素，核电厂的大部分安全系统都是围绕余热排出设计的。

4.设计基准工况 前面已经从核安全发展的历史角度介绍了设计基准工况的来源，下面对其做一个更详细的介绍。 所谓设计基准工况，就是在设计中必须考虑措施加以应对的事件。为了保证高度的安全性，核电厂除了必须考虑正常的发电功能外，还必须考虑发生概率极低，实践中可能并未出现过，但在理论上预测或推测出的一些事故或事件。

在核电厂设计时，要仔细评估核电厂可能发生的一些故障或事件，包括内部和外部的事件，然后根据其可能发生的频率将其分类，选取包络性的作为设计中加以分析和评价的工况，则形成设计基准工况（但事故分析主要针对内部事件）。 对轻水堆核电厂，一种设计基准工况的划分方式为： （1）正常运行（100 ～ 10-1/堆年）；

（2）预计运行事件（100 ～ 10-2 /堆年）； （3）稀有事故（10-2 ～ 10-4 /堆年）； （4）极限事故（10-4 ～ 10-6 /堆年）。 其中（3）和（4）类又称为设计基准事故。前面已经提到，由于设计基准事故是从可信事故发展而来，所以其特点是主要考虑单一失效，如某个管道的破裂、泵的卡死等等。 设计基准事故的另一个叫法是“假想事故”。而预计运行事件加设计基准事故又称为“假设始发事件”。 对于压水堆和沸水堆核电厂，长期以来

已经形成了一套“标准”的设计基准事故清单，后续电厂多简单加以参照，而并不再从头进行分析。 5 已经形成了一套“标准”的设计基准事故清单，后续电厂多简单加以参照，而并不再从头进行分析。 5.保守假设和分析方法 在确定了设计基准工况后，需要对预计运行事件和设计基准事故进行分析和评价，以确定其安全影响。在评价时，要采用一套保守的假设，如事件和事故的初始状态应选取对后果最不利的参数、只考虑安全级系统和设备对缓解事故的作用、非安全级系统只能考虑对安全的不利作用而

不能考虑有利作用、要考虑事故发生时同时丧失了厂外电源、最大价值控制棒卡棒等，同时在缓解事故的安全系统和设备中还要假设发生了单一随机故障（即著名的单一故障准则）。 对于分析和评价所使用的计算机程序，一般都要得到良好验证，并得到核安全监管当局的认可。

6.验收准则 评价各个设计基准工况能否满足安全要求的判据是验收准则。从风险的概念出发，为各个运行工况确定了所必须满足的放射性释放准则，发生频率高的工况放射性释放必须小，而发生频率很低的事件或事故则放射性后果可以允许大一些。 由于针对每个事故都分析放射性后果通常很复杂，所以还确立了一些次级准则，如针对预计运行事件的DNBR准则等。次级准则中又包含了一些保守假设，通常满足次级准则则能保证满足放射性准则。

7.关于确定论安全方法的地位 现有的大多数核电厂都是按照确定论的安全要求设计的，确定论安全要求对于保证大量核电厂多年的安全运行起到了重要作用。 在承认确定论安全方法的重要作用时，也要避免将确定论安全方法“神圣化”的倾向。实际上，确定论安全要求是在早期“有限的试验、经验和知识”（NRC语）的基础上建立的，是在应对已发现和新发现问题的过程中逐步“堆砌”起来的。用今天的眼光看，其也存在许多不合理之处。

四、概率论安全方法简介 概率论安全方法即众所周知的概率风险分析（PRA，美国习惯性的叫法）或概率安全分析（PSA，IAEA习惯的用法），它是一套系统性地研究核设施安全问题的方法。 概率风险分析最常用的方法是事件数和故障树方法。事件树是从已分析到或发现的核设施每个可能的失效（通常称为始发事件）开始，分析事故的各种可能的进程，找到所有可能导致某种后果（如堆芯严重损坏）的事故途径的一种事故景象模型化的方法。

而故障树则将某个系统或设备的失效作为顶事件，通过分析各个设备、子设备或部件与系统或设备失效的逻辑关系，将系统或设备的失效模式模型化，进而可计算出系统或设备执行某项功能的可靠度（或失效概率）。 通过概率风险分析，可以定量地评估出一个核设施出现某种不期望后果（如堆芯严重损坏、大规模放射性释放、对居民的放射性影响等）的概率，从而将

风险定量化。将核设施的风险定量化后，就便于与其它社会风险（如火电厂、水库大坝等）进行比较，从而明确地告知公众有关的风险信息，促进核电的社会可接受性。 其实从概率的角度考虑问题是一种根本的科学观点，问题出现于将某件事情模型化过程中可能存在的困难以及对结果的置信程度，特别是对复杂系统而言。 近些年来，随着PRA技术的发展和数据积累的增加，PRA技术应用越来越广，特别是在美国。

一个典型的事件树 反应堆冷却剂系统大破口 安注箱投入 安全壳喷淋投入 低压安注直接注入 低压安注再循环注入 事件序列后果 堆芯严重损坏频率 Y Y Y CD 1.0310-9 N Y CD 7.6010-9 N CD 3.3410-8 N CD 5.0810-7 N CD：core damage

一个典型的故障树 阀门A 泵 阀门C 阀门B 阀门C输出的流量不够 或 阀门C未打开 到阀门C的流量不够 与 从阀门A来的流量不够 从泵来的流量不够 阀门B未打开 从泵来的流量不够

总 结 考察一个安全问题时，需要关注三个方面： （1）什么可能发生？ （2）它发生的可能性有多大？ （3）它的后果是什么？ 总 结 考察一个安全问题时，需要关注三个方面： （1）什么可能发生？ （2）它发生的可能性有多大？ （3）它的后果是什么？ 确定论安全方法解决了（1）和（3），而PRA技术的发展使我们也能考察（2）。只有三个方面的问题都解决了，我们才能够回答一件事情的风险问题，或者对一件事情的风险给出合理的度量。

“在生产斗争和科学实验范围内，人类总是不断发展的，自然界也总是不断发展的，永远不会停止在一个水平上。因此人类总得不断总结经验，有所发明，有所创造，有所前进。” — 毛泽东《人的正确 思想是从那里来的？》