|
文章要点:
发生在福岛核电站上多样且不间断的事故成为把核电与外部灾害联系起来的一个提醒。与早期的切尔诺贝利和三里岛核事故一样,福岛发生的所有事情弄清楚之前需要相当长一段时间。 福岛事故 工程师和技术专家有两种确保核电厂安全的方法:一种是设计反应堆使得在各种始发事故中恢复正常——自动地降低损毁传播概率,即使在没有任何保护措施(能动的和非能动的)的情况下。另一种方法是设置多重保护系统,因为这些系统在放射性释放发生之前可能失效。第二种方法叫“纵深防御”,这通常被认为是核安全的保障。例如,世界核协会认为西方国家的反应堆利用“纵深防御”实现了最佳安全。 从这个角度看,事故通常被指责,至少在某种程度上缺乏恰当的安全系统运作或设计缺陷。例如,分析人员通常追踪切尔诺贝利事故的灾难归咎于反应堆缺少安全壳以及在低功率运行时的操作行为。同样地,回到福岛事故上,许多分析人员聚焦在反应堆安全壳系统的弱点上。 遗憾的是,只关注独立部件——非整体系统——这为分析者提供了虚假的安全感。他们的思路是:对于每一个安全系统,在任何给定的时间内失效的几率很小,所以在同一时刻多个安全系统同时失效是极其不可能。严重事故不可能发生除非多个安全系统同时失效。因此,他们认为严重事故几乎不可能发生。 可惜的是,存在多个安全系统同时失效的情况,实际情况比分析者认为的发生频率更高。这就是福岛所发生的。当一个安全系统失效触发其他安全系统或部件失效后事故就可能发生。在某些情况下,一个系统能独立正常工作但是作为整体系统时就失效。举一个1999年火星极地登陆者号的例子,其设计的着陆器软件用来解读瞬态信号以确认空间飞行器的着陆。该软件过早地关闭了降落引擎,导致飞行器坠落在火星表面。这种失效模式使安全分析者很难通过常用的机械论(确定论)的框架来模拟。
大多数人认为风险是多维度的,包含了灾难的多重特性,例如灾难的潜在性,可控性以及对未来几代人的威胁。另一方面,技术人员对风险持有狭隘的定义,把它作为一个事故发生概率与其发生的后果的乘积。为了在诸如核电厂等复杂系统中量化风险,分析者依赖于概率风险评估的数学方法。(称为概率安全评价或概率安全分析方法。)概率安全评价方法认为事故由多种因素共同作用所致,通过这些因素计算严重事故的可能性。正如美国核管会(NRC)所描述,概率安全评价涉及多个步骤,包括定义可能导致事故发生(堆芯融毁)的始发事件(例如管道破裂),求出这些始发事件发生的频率,并对始发事件造成的严重后果进行分析。 风险评估的结果被不同的人群以不同的方式利用。例如,在核工业中,利用这些结果来指导运行和维护决策。另一方面,管理者利用他们优化规范,某种程度上来说是为了回应来自核工业的压力。与美国核管会一样,日本核工业安全局在事故发生前一个月对福岛第一核电站的运营许可延长了10年,所采用的就是“概率论方法的监管”。 然而,风险评估最具有误导和政治争议的用途是,用来计算各种反应堆严重事故发生的概率。例如,法国核电公司阿海珐断言:正在欧洲和中国建造的EPR(欧洲先进压水堆),“事故导致堆芯融化的概率极小,在上一代反应堆中发生的概率就很小了。” 在申请英国安全监管部门的许可证时,阿海珐估计反应堆堆芯熔化概率为6.25×10-7/(堆年)。同样地,西屋公司声称其AP1000反应堆提供“无与伦比的安全”,部分原因是该公司的概率风险评估计算表明反应堆堆芯损毁事件总概率为5×10-7/(堆年)。对美国旧式反应堆评估结果是堆芯融毁的概率更高;例如,美国核管会给出宾西法尼亚州的反应堆堆芯熔化概率为10-4/(堆年),该反应堆是一座沸水堆,其安全壳与福岛第一核电站一样。 既存在经验上的因素也存在理论上的因素去怀疑这些数据。2003年一份来自麻省理工学院对未来核电的研究指出概率风险评估(PRA)方法及数据库的不确定性使得当核工业做出有关安全的判断时更为谨慎,需牢记记住实际历史风险经验。历史经验告诉了我们什么?在世界范围内,已经具有了接近15000堆年的运行经验,众所周知已有三大核事故。然而,正如美国自然资源保护委员会的ThomasCochran最近对美国参议院所阐述的那样,根据堆芯毁伤的定义,还有其他的很多事故应当被考虑。1次严重事故的发生频率可能高达1/1400(堆/年)。以这样的频率,我们可以预见,以麻省理工的研究为基础,如果核电站从今天的440座商用反应堆扩大到1000座,那么平均每1.4年就会出现一起包含堆芯损毁的事故。尽管在其他方面我们的经验有限,不能做出任何可靠的预测。 理论上,概率风险评价方法遇到了许多问题。麻省理工的Nancy Leveson 和她的同事称通常用于风险评价方法的事故的事件链概念不能解释间接的、非线性的以及复杂系统中多事故的反馈关系。这样的风险评价对已知的人因及他们对反应堆的影响方面做的很糟糕,更不用说在未知的失效模式方面了。同时,1978年提交给美国核管会的风险评价评审组报告指出,“从数学的角度来说,事件树和故障树在概念上是不可能被完整构造的…这种固有的限制意味着任何使用这种方法进行的计算总是受制于对其完备性的修正和怀疑。” 概率风险评价模型在很多事故中不能够解释未预料到的失效模式。例如日本的Kashiwazaki Kariwa反应堆,在2007年中越地震后,地基下沉将电缆下拉,使得反应堆地下室墙壁上开了一个大口,这使得一些放射性物质泄漏进入大海中。东京电力公司官方强调,“在外墙上用于架设电缆的洞里产生了一个泄露的出口,这超出了我们的想象”。
然而,当关系到未来的安全时,核反应堆的设计者与运行者似乎总是假定他们知道将要发生什么。这就允许他们可以为所有可能发生的意外制定计划。或者,就如印度原子能委员会主席在福岛核事故后断言的那样,在印度核反应堆是“百分之一百”安全。 如果说概率风险评价方法的弱点已经在福岛得到验证,那就是共因失效或者共模失效建模的困难。从大部分报告中似乎可以清楚地看出,是海啸单一事件导致了大量的失效,这为最终事故发生打下了基础。这些失效包括了失去了场外电源,失去了柴油发电机的储油罐以及备用能源,配电的失效,以及从海洋中引入冷却水的入口损坏。最终的结果是,尽管有多种方法从堆芯中带走热量,但这些方法都失效了。 概率风险评价方法在努力将共因失效纳入考虑范围,但结果不令人满意。例如,利用概率风险评价方法计算了EPR在所有场外电源丧失的情况下的堆芯损毁频率为8×10-8/(堆年)。这么低的数字是通过假定除了场外电源失效外其他失效是随机的且相互独立发生得到的。但在福岛核电站,同样的事件毁坏了场外电源也引发了其他堆芯冷却系统的失效。 福岛核事故也证明了使用多重系统保证更高安全水平的负面效应:冗余有时会使得事情变得更糟。和国际上许多反应堆一样,福岛核反应堆采用锆包壳包裹并保护核燃料。但是当冷却系统停止工作时,锆包壳处于过热状态。高温锆与水或蒸汽发生反应产生氢气。当氢气与安全壳内空气接触后发生爆炸,将进一步损毁反应堆下部的抑压池,即损毁另外的保护系统。换句话说,反应堆内复杂冗余系统对安全可能会有一些意料之外或负面的结果。正如包括Charles Perrow学者,特别是 Scott Sagan过去所指出的那样。 反应堆复杂系统 概率风险评估方法在处理多重系统的问题时表明关于所有事故发生概率的任何结论还远没有可靠的。也许可以得到的唯一可靠结论就是没有两次重大事故是一样的。历史上发生反应堆严重事故的起源,等级和影响各不相同。发生在不同国家多种堆型设计的反应堆上。这意味着虽然可能防止类似福岛核灾难重演,但是下一个反应堆事故可能由于不同的组合因素所致。没有可靠的工具来预测这些组合因素是什么,因此没有人可以自信的说可以防止事故的再次发生。这些问题不可能通过简单的新设计得到解决,那些新设计往往是基于概率风险评估方法得到一个更低事故发生概率,从而被认为是更安全的。 如果概率风险评估仅仅是核工程师在业内的演练,就不会有太多理由关心他们缺乏可靠性。问题是由这种复杂计算的演练得到这么小的数字可能是错误的并具有误导作用,特别是对于政策制定者和公众。这是严重的误导,最可悲的是在切尔诺贝利事故中得到了体现。早在2008年前,国际原子能机构安全分部主席B. A. Semenov对切尔诺贝利采用的压力管式石墨慢化沸水堆(RBMK)写到:“未来的设计有超过1000个独立系统增加反应堆的安全——冷却剂丧失事故几乎不可能发生。”这个断言和目前在建的核反应堆的安全性声明是惊人的相似。 从福岛、切尔诺贝利和三哩岛事故中得到的启示是核能带来不可避免的灾难性事故。虽然从绝对意义上来说这可能不会经常发生,但人们有充分的理由相信这比诸如概率风险评估量化工具的预测值高。任何关于核能未来的讨论应该基于这种认识开始。
|
|
|
