湯 搏

（國(guó)家核安全局核電安全監(jiān)管司，北京 100034）

核安全領(lǐng)域中縱深防御概念的產(chǎn)生、發(fā)展和存在的問(wèn)題

湯 搏

（國(guó)家核安全局核電安全監(jiān)管司，北京 100034）

本文對(duì)核安全領(lǐng)域中縱深防御概念的產(chǎn)生和發(fā)展做了扼要介紹，并且對(duì)縱深防御概念存在的問(wèn)題和爭(zhēng)論進(jìn)行了討論。

核安全；縱深防御；多道屏障

縱深防御概念是核安全領(lǐng)域中最耳熟能詳?shù)母拍钪唬谴_定論安全要求的重要基礎(chǔ)，一些出版物還將其上升到 “縱深防御原則”、“縱深防御要求”或 “縱深防御哲學(xué)”。日本福島第一核電廠事故后，為了改進(jìn)核電廠的安全，一些國(guó)家或組織提出 “進(jìn)一步加強(qiáng)縱深防御”。如IAEA在其新出版的核安全標(biāo)準(zhǔn) “Safety of Nuclear Power Plant：Design”［SSR-2/1（Rev.1）］中強(qiáng)調(diào)：“縱深防御的各個(gè)層次之間必須盡實(shí)際可能地相互獨(dú)立”，以及 “縱深防御的各個(gè)層次必須盡實(shí)際可能地相互獨(dú)立，避免一個(gè)層次的失效降低其他層次的有效性。特別是，用于設(shè)計(jì)擴(kuò)展工況的安全設(shè)施 （例如對(duì)于緩解燃料熔化事故后果的設(shè)施）應(yīng)盡實(shí)際可能地與安全系統(tǒng)獨(dú)立”。

但令人感到奇怪的是，做為縱深防御概念的創(chuàng)建者，美國(guó)人對(duì)縱深防御概念 （應(yīng)該注意的是在美國(guó)的許多文獻(xiàn)表述中，經(jīng)常不使用術(shù)語(yǔ)“縱深防御概念”，而僅僅使用 “縱深防御”（defense-in depth）），以及如何設(shè)置縱深防御層次和如何判斷滿足縱深防御概念等，迄今為止沒有給出一個(gè)明確的和統(tǒng)一的官方定義和解釋，而在其與核電安全直接相關(guān)的聯(lián)邦法規(guī)中也很少提到縱深防御概念，如僅在 10CFR Part50的Appendix R中提到：

“在安全重要區(qū)域，防火大綱通過(guò)將縱深防御概念延伸到火災(zāi)防護(hù)來(lái)達(dá)到如下目標(biāo)：

（1）防止著火；

（2）迅速探測(cè)、控制和及時(shí)撲滅火災(zāi)；

（3）對(duì)安全重要的系統(tǒng)、構(gòu)筑物和設(shè)備提供保護(hù)，以使未能及時(shí)撲滅的火災(zāi)不影響電廠的安全停堆”。

日本福島第一核電廠事故后，美國(guó)核管會(huì)原計(jì)劃到2015年底能夠出版一個(gè)文件，給出縱深防御的官方定義和縱深防御充分性的技術(shù)解釋，但2016年3月9日，美國(guó)核管會(huì)批準(zhǔn)了其工作人員在SECY-15-0168“RECOMMENDATIONS ON ISSUES RELATED TOIMPLEMENTATION OF ARISKMANAGEMENTREGULATORYFRAMEWORK”中所提的建議，不再發(fā)展一個(gè)確定縱深防御充分性的正式官方定義和準(zhǔn)則。

這一切究竟是為什么？本文認(rèn)為對(duì)其進(jìn)行深入的探討是十分必要的。這種探討不但能夠加深對(duì)縱深防御概念的理解，而且可以加深對(duì)核安全基本概念的理解。

1　縱深防御概念的產(chǎn)生

詹姆斯·馬哈菲在其著作 《原子的覺醒》中生動(dòng)描述了世界上第一座核反應(yīng)堆—芝加哥1號(hào)的首次臨界過(guò)程：

“下午3：30，費(fèi)米下令把鎘棒再升高6英寸，韋爾照做了。揚(yáng)聲器里不斷傳來(lái)嗡嗡的碰撞聲。費(fèi)米透過(guò)喧囂的聲音喊到：‘再提高1英尺’，于是韋爾又提高了1英尺。

費(fèi)米仍然非常自信，轉(zhuǎn)過(guò)身來(lái)對(duì)康普頓說(shuō)到：‘馬上就要成功了。這個(gè)反應(yīng)堆馬上就要成為自持的了。中子讀數(shù)將要不斷上升，不會(huì)再平延了’。他打開計(jì)算尺開始計(jì)算。他快速地用計(jì)算尺計(jì)算，并把計(jì)算出的數(shù)據(jù)寫在背面。中子的讀數(shù)一直沒有減少。

3分鐘后，費(fèi)米進(jìn)行了另一項(xiàng)計(jì)算。人們爭(zhēng)先恐后地想要看中子計(jì)數(shù)器的讀數(shù)。威爾科克斯·奧弗貝克離計(jì)數(shù)器最近，他開始大聲地讀出計(jì)數(shù)。揚(yáng)聲器里傳出連續(xù)地嗡嗡聲，已經(jīng)很難根據(jù)聲音判斷中子的數(shù)量。在整個(gè)試驗(yàn)過(guò)程中，費(fèi)米一直很平靜，還顯得有些神秘。但是他突然停下了計(jì)算，笑著說(shuō)：‘現(xiàn)在這個(gè)反應(yīng)堆已經(jīng)自持了，現(xiàn)在的曲線已經(jīng)是指數(shù)曲線了”。

芝加哥1號(hào)首次臨界的成功證明了反應(yīng)堆原理的可行性，也似乎證明了核物理學(xué)家們理論掌握的準(zhǔn)確性。順理成章地，下一步應(yīng)該是建設(shè)用于核材料生產(chǎn)的反應(yīng)堆。

但美國(guó)政府清楚地認(rèn)識(shí)到科學(xué)研究和工程技術(shù)的差異，所以生產(chǎn)性反應(yīng)堆的建設(shè)和運(yùn)行沒有繼續(xù)委托核物理學(xué)家們進(jìn)行，而是承包給杜邦公司，一個(gè)從事化學(xué)工程的公司來(lái)完成。

在漢福特B生產(chǎn)堆的設(shè)計(jì)和建造過(guò)程中，杜邦公司的化學(xué)工程師們根據(jù)自己的工程經(jīng)驗(yàn)，堅(jiān)持在設(shè)計(jì)中留有裕度。而漢福特B在初期的運(yùn)行中，確實(shí)發(fā)生了反應(yīng)堆的意外自動(dòng)停堆事件。后續(xù)調(diào)查表明，自動(dòng)停堆的原因是當(dāng)時(shí)還沒有充分認(rèn)識(shí)到的現(xiàn)象，“氙中毒”所導(dǎo)致，即所謂反應(yīng)堆掉入了 “碘坑”。這進(jìn)一步證明了留有設(shè)計(jì)裕度的重要性。

許多文獻(xiàn)認(rèn)為，杜邦公司在漢福特B生產(chǎn)堆建設(shè)過(guò)程中堅(jiān)持留設(shè)計(jì)裕度的做法是縱深防御概念的起源。

我們從這個(gè)縱深防御概念產(chǎn)生的過(guò)程中也可以看出，采用縱深防御概念，其主要目的是為了彌補(bǔ)人類認(rèn)知能力的有限性而導(dǎo)致的不確定性。但后續(xù)我們要討論到，縱深防御概念的這個(gè)理論基礎(chǔ)是不完備的。

2　縱深防御概念的發(fā)展

歷史上描述縱深防御概念的文獻(xiàn)有很多，這里僅選一些有代表性的典型例子。

（1）1957年，在美國(guó)原子能委員會(huì)出版的WASH-740報(bào)告 《大型核電廠重大事故的理論可能性和后果》中，提到 “多重防線”的概念。

（2）最早對(duì)縱深防御概念作出系統(tǒng)闡述的是美國(guó)原子能委員會(huì)的克里福德·貝克，他在1967年對(duì)國(guó)會(huì)原子能聯(lián)合委員會(huì)做陳述時(shí)描述：

“為了安全，在反應(yīng)堆設(shè)施的實(shí)體系統(tǒng)中建立了三道基本防線。

①在安全防護(hù)中第一道和最重要防線是在對(duì)安全重要的基本反應(yīng)堆系統(tǒng)的設(shè)計(jì)、建造和運(yùn)行中達(dá)到卓越的質(zhì)量，以保證很低的事故概率。這個(gè)目標(biāo)的重點(diǎn)反映在：

選擇合適的材料、設(shè)備制造的質(zhì)量控制、嚴(yán)格的檢查和試驗(yàn)體系、合適的技術(shù)和工作質(zhì)量的控制。

在關(guān)鍵設(shè)備和系統(tǒng)上采用高標(biāo)準(zhǔn)的工作實(shí)踐要求，如失效安全設(shè)計(jì)原則、冗余和后備、縱深防御、關(guān)鍵點(diǎn)額外的安全裕度?？v深防御原則通過(guò)防止裂變產(chǎn)物逃逸的系列屏障體現(xiàn)：

有很高滯留能力的陶瓷氧化物燃料；燃料芯塊被密封在緊密的不銹鋼或鋯包殼中；堆芯被密封在高度完整的、經(jīng)過(guò)承壓試驗(yàn)的主冷卻劑系統(tǒng)中；反應(yīng)堆被高度完整的、經(jīng)過(guò)承壓和泄漏率試驗(yàn)的安全殼構(gòu)筑物完全包圍。

有計(jì)劃的設(shè)備核查和維護(hù)大綱，異常事件、失效和功能失誤的及時(shí)和全面的研究及糾正措施。

優(yōu)秀運(yùn)行管理原則的有力要求和良好定義，勝任和良好培訓(xùn)的人員，清晰的責(zé)任分配，紙面的程序，程序升版的審核和平衡，對(duì)運(yùn)行的定期內(nèi)部審查。

②第二道防線由設(shè)施設(shè)計(jì)的事故預(yù)防安全系統(tǒng)所組成：

這些系統(tǒng)是為了防止差錯(cuò)和擾動(dòng)升級(jí)為事故，包括冗余的控制和停堆裝置，獨(dú)立來(lái)源的應(yīng)急動(dòng)力，應(yīng)急冷卻系統(tǒng)。

③第三道防線由限制后果的安全系統(tǒng)組成，這些系統(tǒng)被設(shè)計(jì)成限制或減少事故情況下裂變產(chǎn)物向環(huán)境的釋放，包括安全殼自身、安全殼噴淋和洗滌系統(tǒng)、安全殼冷卻系統(tǒng)，和安全殼內(nèi)部的過(guò)濾收集系統(tǒng)”。

我們看到克里福德·貝克的闡述已包括了今天縱深防御概念的許多要素，但克里福德·貝克自己似乎把縱深防御定義為多道屏障。

（3）1969年，美國(guó)原子能委員會(huì)的一個(gè)內(nèi)部研究組在文件 《原子能委員會(huì)關(guān)于反應(yīng)堆執(zhí)照計(jì)劃的報(bào)告》中認(rèn)可了縱深防御概念，但強(qiáng)調(diào)應(yīng)該將縱深防御的重點(diǎn)放在第一道防御線，即通過(guò)設(shè)計(jì)、建造、試驗(yàn)和運(yùn)行使核電廠以一個(gè)可靠的和可預(yù)計(jì)的方式完成正常和非正常運(yùn)行。

（4）1971年，美國(guó)原子能委員會(huì)的工作人員在一個(gè)公眾立法聽證會(huì)的證言中用專門章節(jié)闡述了縱深防御。這個(gè)聽證會(huì)是為了制定輕水堆應(yīng)急堆芯冷卻系統(tǒng)的臨時(shí)驗(yàn)收準(zhǔn)則召開的。證言中陳述：

“因而，安全目標(biāo)是防止放射性對(duì)公眾的照射。這個(gè)安全目標(biāo)能夠通過(guò)應(yīng)用縱深防御概念，達(dá)到盡管不完全，但高度的保證。主要的防線是事故的預(yù)防。全部安全重要的構(gòu)筑物、系統(tǒng)和設(shè)備必須被設(shè)計(jì)、建造和運(yùn)行為事故發(fā)生的概率很低?！?/p>

不管已經(jīng)采取的預(yù)防措施，必須提供保護(hù)系統(tǒng)以作為第二道防線，以糾正預(yù)計(jì)的偏差。……

盡管前兩道防線已使事故的發(fā)生極不可能，必須通過(guò)安裝工程安全設(shè)施來(lái)提供第三道防線，以減輕假想重大事故的后果”。

（5）另一份比較重要的文件是1972年發(fā)布的WASH-1250《核動(dòng)力反應(yīng)堆 （輕水冷卻型）和相關(guān)設(shè)施的安全》。在其中的第二章“保證安全的基本哲學(xué)和實(shí)踐”中陳述：“支撐原子能委員會(huì)的程序和監(jiān)管標(biāo)準(zhǔn)，以及支撐工業(yè)界實(shí)踐的基本哲學(xué)，…是經(jīng)常稱為 ‘縱深防御’的哲學(xué)”。

它接著闡述：“前面的討論已經(jīng)涉及防止放射性外逸的多道屏障的應(yīng)用，…然而同等重要的是，必須保證這些屏障不被非正常瞬態(tài)所危害?！谶@個(gè)方面，工業(yè)界致力于在法規(guī)、程序、準(zhǔn)則和標(biāo)準(zhǔn)等管理邊界允許的變化范圍內(nèi)，通過(guò)使用 ‘縱深防御’的設(shè)計(jì)哲學(xué)來(lái)保護(hù)電廠、運(yùn)行人員，以及公眾的健康和安全”。

與克里福德·貝克對(duì)縱深防御概念闡述的最大區(qū)別是，WASH-1250將縱深防御概念確定為保護(hù)多道屏障，而不是多道屏障自身。

（6）有趣的是，在美國(guó)聯(lián)邦法規(guī)的其他章節(jié)中，如實(shí)體保衛(wèi)、核材料、廠址選擇等方面，倒是多處提到縱深防御。如在10CFR73.54“數(shù)字化計(jì)算機(jī)及通信系統(tǒng)和網(wǎng)絡(luò)的保護(hù)”中要求：“應(yīng)用和維持縱深防御防護(hù)策略以保證對(duì)網(wǎng)絡(luò)攻擊的探測(cè)、響應(yīng)和恢復(fù)能力”；10CFR73.55“在核動(dòng)力反應(yīng)堆執(zhí)照活動(dòng)中防止核破壞的實(shí)體保衛(wèi)要求”中提到：“通過(guò)所需系統(tǒng)、技術(shù)、大綱、設(shè)備、支持過(guò)程和實(shí)施程序的一體化提供縱深防御，以保證實(shí)體保衛(wèi)大綱的有效性”；有關(guān)特種核材料要求的10CFR70.64中提到：“設(shè)施、系統(tǒng)設(shè)計(jì)和設(shè)施布置必須基于縱深防御實(shí)踐”。10CFR70.64還給出了一個(gè)縱深防御實(shí)踐的定義：“縱深防御實(shí)踐意味著一種設(shè)計(jì)哲學(xué)，應(yīng)用于從開始到整個(gè)設(shè)計(jì)過(guò)程，基于提供多層次的保護(hù)，以致健康和安全不完全依賴于設(shè)施設(shè)計(jì)、建造、維護(hù)和運(yùn)行的任何單一因素?？v深防御實(shí)踐的正效果是保守設(shè)計(jì)的設(shè)施和系統(tǒng)，將對(duì)故障和外部挑戰(zhàn)具有較大的承受能力。通過(guò)完整安全分析得到的風(fēng)險(xiǎn)視角能夠用于完善最終設(shè)計(jì)，以使注意力放在高風(fēng)險(xiǎn)潛在事故的預(yù)防和緩解上”；10CFR Part100中提到：“對(duì)于反應(yīng)堆廠址，核管會(huì)傾向于采用傳統(tǒng)的縱深防御方法以保護(hù)公眾的安全。在評(píng)價(jià)廠址申請(qǐng)時(shí)，遠(yuǎn)離人口中心仍然是并且繼續(xù)是一個(gè)重要的因素”。

（7）縱深防御概念在其他的美國(guó)多份文件中也有表述，但這些表述經(jīng)常是多樣化的。如在先進(jìn)核電廠監(jiān)管的政策聲明中表述：“設(shè)計(jì)通過(guò)防止放射性釋放的多道屏障，以及減輕可能的嚴(yán)重事故后果來(lái)體現(xiàn)縱深防御哲學(xué)”。安全目標(biāo)的政策聲明中將縱深防御聯(lián)系到補(bǔ)償概率風(fēng)險(xiǎn)分析的不確定性。而有關(guān)概率風(fēng)險(xiǎn)分析技術(shù)的政策聲明中又陳述：“通過(guò)定量化防護(hù)的水平，以及幫助識(shí)別和關(guān)注弱項(xiàng)或過(guò)度保守的監(jiān)管要求，概率風(fēng)險(xiǎn)分析技術(shù)將繼續(xù)支持核管會(huì)的縱深防御哲學(xué)”。

（8）1988年，國(guó)際原子能機(jī)構(gòu)出版了INSAG-3《核電安全的基本原則》，其中提到：“全部安全相關(guān)活動(dòng)，不管是關(guān)于組織、人員行為，以及設(shè)備的，均應(yīng)置于多層的重疊措施之下，以至于即使失效發(fā)生，也能夠被補(bǔ)償或糾正，從而不會(huì)對(duì)個(gè)人和公眾造成大的危害。這個(gè)多層次防護(hù)的概念是縱深防御的核心特征，它在所遵循的專門安全原則中被反復(fù)應(yīng)用”。INSAG-3繼續(xù)闡述：“縱深防御概念用于補(bǔ)償可能的人員和設(shè)備失效，核心是包括防止放射性物質(zhì)釋放到環(huán)境的多道屏障在內(nèi)的多個(gè)層次的防護(hù)。這個(gè)概念包括通過(guò)屏障防止對(duì)電廠的損壞以及保護(hù)屏障本身，它也包括在屏障不完全有效時(shí)保護(hù)公眾和環(huán)境的進(jìn)一步措施”。

INSAG-3的理念被國(guó)際原子能機(jī)構(gòu)進(jìn)一步細(xì)化，在后續(xù)的安全標(biāo)準(zhǔn)，如 “Safety of Nuclear Power Plants：Design”（2000年版）中，縱深防御概念被全面闡述為：

“2.9縱深防御概念貫穿于安全相關(guān)的全部活動(dòng)，包括與組織、人員行為或設(shè)計(jì)有關(guān)的方面，以保證這些活動(dòng)均置于重疊措施的防御之下，即使有一種故障發(fā)生，它能由適當(dāng)?shù)拇胧┨綔y(cè)、補(bǔ)償或糾正。在整個(gè)設(shè)計(jì)和運(yùn)行中應(yīng)貫徹縱深防御，以便對(duì)由廠內(nèi)設(shè)備失效或人員活動(dòng)及廠外事件等引起的各種瞬變、預(yù)計(jì)運(yùn)行事件及事故提供多層次的保護(hù)。

2.10縱深防御概念應(yīng)用于核動(dòng)力廠的設(shè)計(jì)，提供一系列層次的防御 （固有特性、設(shè)備及規(guī)程），用以防止事故并在未能防止事故時(shí)保證提供恰當(dāng)?shù)谋Ｗo(hù)。

①第一層次防御的目的是防止偏離正常運(yùn)行及防止系統(tǒng)失效。這一層次要求：按照恰當(dāng)?shù)馁|(zhì)量水平和工程實(shí)踐，例如多重性、獨(dú)立性及多樣性的應(yīng)用，正確且保守地設(shè)計(jì)、建造、維修和運(yùn)行核動(dòng)力廠。為此，應(yīng)特別注意選擇恰當(dāng)?shù)脑O(shè)計(jì)規(guī)范和材料，并控制部件的制造和核動(dòng)力廠的施工。有利于減少內(nèi)部災(zāi)害的可能、減輕特定假設(shè)始發(fā)事件的后果或減少事故序列之后可能的釋放的設(shè)計(jì)措施均在這一層次的防御中起作用。還應(yīng)重視有關(guān)設(shè)計(jì)、制造、建造、在役檢查、維修和試驗(yàn)的過(guò)程，以及進(jìn)行這些活動(dòng)時(shí)良好的可達(dá)性、核動(dòng)力廠的運(yùn)行方式和運(yùn)行經(jīng)驗(yàn)的利用等方面。整個(gè)過(guò)程以確定核動(dòng)力廠運(yùn)行和維修要求的詳細(xì)分析為基礎(chǔ)。

②第二層次防御的目的是檢測(cè)和糾正對(duì)正常運(yùn)行狀態(tài)的偏離，以防止預(yù)計(jì)運(yùn)行事件升級(jí)為事故工況。盡管注意預(yù)防，核動(dòng)力廠在其運(yùn)行壽期內(nèi)仍然可能發(fā)生某些假設(shè)始發(fā)事件。這一層次要求設(shè)置由安全分析確定的專用系統(tǒng)，并制定運(yùn)行規(guī)程以預(yù)防或盡量減小這些假設(shè)始發(fā)事件所造成的損害。

③設(shè)置第三層次防御是基于以下假定：盡管極少可能，某些預(yù)計(jì)運(yùn)行事件或假設(shè)始發(fā)事件的升級(jí)仍有可能未被前一層次防御所制止，而演變成一種較嚴(yán)重的事件。這些不大可能的事件是在核動(dòng)力廠設(shè)計(jì)基準(zhǔn)中預(yù)計(jì)的，必須通過(guò)固有安全特性、故障安全設(shè)計(jì)、附加的設(shè)備和規(guī)程來(lái)控制這些事件的后果，使核動(dòng)力廠在這些事件后達(dá)到穩(wěn)定的、可接受的狀態(tài)。這就要求設(shè)置專設(shè)安全設(shè)施以將核動(dòng)力廠首先引導(dǎo)到可控制狀態(tài)，然后引導(dǎo)到安全停堆狀態(tài)，并且至少維持一道放射性物質(zhì)的包容屏障。

④第四層次防御的目的是針對(duì)可能已超過(guò)設(shè)計(jì)基準(zhǔn)的嚴(yán)重事故，并保證放射性釋放保持在盡實(shí)際可能的低。這一層次最重要的目的是保護(hù)包容功能。除了事故管理規(guī)程之外，這可以由防止事故進(jìn)展的補(bǔ)充措施與規(guī)程，以及減輕選定的嚴(yán)重事故后果的措施來(lái)達(dá)到。由包容提供的保護(hù)可用最佳估算方法來(lái)驗(yàn)證。

⑤第五層次，即最后層次防御的目的是減輕可能由事故工況引起的潛在放射性物質(zhì)釋放所造成的放射性后果。這方面要求有適當(dāng)裝備的應(yīng)急控制中心及廠內(nèi)、廠外應(yīng)急響應(yīng)計(jì)劃。

2.11縱深防御概念應(yīng)用的另一方面是在設(shè)計(jì)中設(shè)置一系列的實(shí)體屏障，以包容特定區(qū)域的放射性物質(zhì)。所必需的實(shí)體屏障的數(shù)目取決于可能的內(nèi)部及外部災(zāi)害和失效的可能后果。就典型的水冷反應(yīng)堆而言，這些屏障可以是燃料基體、燃料包殼、反應(yīng)堆冷卻劑系統(tǒng)壓力邊界和安全殼”。

與美國(guó)的縱深防御概念相區(qū)別，國(guó)際原子能機(jī)構(gòu)將應(yīng)急響應(yīng)納入了縱深防御概念。

（9）從上述描述中可以看到，迄今為止的縱深防御概念有多種表述，導(dǎo)致理解和執(zhí)行的困難和差異 （事實(shí)上，在防御層次上，英文有時(shí)使用 “l(fā)evel”，有時(shí)使用 “l(fā)ayer”，有時(shí)使用“l(fā)ine of defense”。甚至有時(shí) “multiple barriers”也不用來(lái)表示的實(shí)體屏障，而表示防御層次）。這也是日本福島第一核電廠事故后，美國(guó)核管會(huì)試圖統(tǒng)一縱深防御概念定義和內(nèi)涵，并且提供準(zhǔn)則以判斷縱深防御措施是否充分或是否得到滿足的原因。2015年，美國(guó)核管會(huì)核監(jiān)管研究辦公室的馬瑞·德羅因發(fā)表了 “縱深防御的歷史回顧和評(píng)價(jià)”，提出了一個(gè)解決問(wèn)題的方案。

馬瑞·德羅因在方案中試圖解決幾個(gè)問(wèn)題，第一是縱深防御層次的確定。馬瑞·德羅因建議按照事故的進(jìn)程設(shè)置縱深防御層次，所需的層次數(shù)量要考慮實(shí)際放射源 （反應(yīng)堆堆芯）的威脅大?。坏诙潜Ｗo(hù)公眾健康和安全原則的確定及確定這些原則的過(guò)程；第三是為每個(gè)縱深防御層次和原則所確定的保護(hù)措施；第四是確定縱深防御充分性的過(guò)程以及定量的可接受指南 （準(zhǔn)則）。圖1顯示了馬瑞·德羅因建議的典型縱深防御層次，圖2顯示了馬瑞·德羅因建議的定量可接受指南的例子。

圖1　縱深防御的層次Fig.1 Levels of DiD

3　縱深防御概念存在的問(wèn)題和討論

馬瑞·德羅因在其文章中總結(jié)了一些縱深防御概念存在的問(wèn)題，包括術(shù)語(yǔ)使用的混亂，沒有統(tǒng)一的準(zhǔn)則確定可接受的縱深防御層次，沒有可接受的指南確定縱深防御的原則和保護(hù)措施，以及如何在縱深防御層次和保護(hù)措施之間取得平衡等，但本文認(rèn)為還存在更深層次的問(wèn)題。

（1）實(shí)際上，討論縱深防御概念存在的問(wèn)題，不能回避 “確定論安全要求”發(fā)展的歷史和背景。我們知道，在核安全領(lǐng)域的確定論安全要求不同于哲學(xué)概念上的確定論，它不像歐幾里得幾何，是由幾條 “公理”和一套邏輯學(xué)推論建立的一個(gè)邏輯自洽的理論體系，而是在核能發(fā)展過(guò)程中就每個(gè)碰到的具體問(wèn)題通過(guò)技術(shù)判斷 （工程判斷）確定的一套要求，按美國(guó)核管會(huì)的說(shuō)法，是一套 “打補(bǔ)丁”（patch work）的工作。確定論安全要求存在著大量的邏輯不自洽，經(jīng)常也缺乏可靠的理論基礎(chǔ)，包括縱深防御概念也是如此。

（2）如前所述，在核安全領(lǐng)域中應(yīng)用縱深防御概念的目的主要是為了彌補(bǔ)人類認(rèn)知能力的有限性而導(dǎo)致的不確定性，但這里面是存在邏輯矛盾的。我們可以問(wèn)第一個(gè)問(wèn)題：

“假如有某種方法能確定不確定性的大小，并且在設(shè)計(jì)中充分考慮了這種不確定性，是否還需要應(yīng)用縱深防御概念？”。

圖2　縱深防御充分性的定量可接受指南Fig.2 Quantitative acceptance guideline for adequacy of DiD

當(dāng)然某些人會(huì)反駁，正是因?yàn)槿祟愓J(rèn)知能力有限制，所以你無(wú)法確定這種不確定性的大小。那么第二個(gè)問(wèn)題就來(lái)了：

“既然你無(wú)法確定這種不確定性的大小，你又如何確定所采取的縱深防御措施可以彌補(bǔ)這種不確定性？”。

（3）正是因?yàn)榇_定論安全要求存在的這些問(wèn)題，美國(guó)人并沒有把確定論安全要求普適化。如美國(guó)人在聯(lián)邦法規(guī)中只定義了 “單一故障”，并且對(duì)某些安全系統(tǒng)要求在發(fā)生單一故障的情況能夠執(zhí)行預(yù)定的安全功能，而沒有確定一個(gè)普適性的 “單一故障準(zhǔn)則”；而縱深防御概念也是在聯(lián)邦法規(guī)的設(shè)置中變成了對(duì)一些方面的具體要求，如 “多道屏障”的設(shè)置。對(duì)某些方面，如外部事件，我們很難確定 “縱深防御的層次”。例如地震、洪水等，我們只能根據(jù)地質(zhì)地震構(gòu)造，或水文條件確定一個(gè) “設(shè)計(jì)基準(zhǔn)地震”和 “設(shè)計(jì)基準(zhǔn)洪水”，并且在安全構(gòu)筑物、系統(tǒng)和設(shè)備的設(shè)計(jì)中對(duì)其設(shè)防，但很難劃分出多重的設(shè)防層次。

（4）某些國(guó)家和國(guó)際組織沒有考慮到確定論安全要求的這些特點(diǎn)，希望能將某些確定論安全要求普適化。如國(guó)際原子能機(jī)構(gòu)提出的“縱深防御概念貫徹于安全有關(guān)的全部活動(dòng)，包括與組織、人員行為或設(shè)計(jì)有關(guān)的方面，以保證這些活動(dòng)均置于重疊措施的防御之下，即使有一種故障發(fā)生，它將由適當(dāng)?shù)拇胧┨綔y(cè)、補(bǔ)償或糾正”，如前所述，在某些方面就很難明確區(qū)分出 “重疊措施”。又如國(guó)際原子能機(jī)構(gòu)提出的 “必須對(duì)核動(dòng)力廠設(shè)計(jì)中所包含的每個(gè)安全組合都應(yīng)用單一故障準(zhǔn)則”，與美國(guó)人對(duì)單一故障的要求也產(chǎn)生了差異。

（5）我們講概率風(fēng)險(xiǎn)分析是一套系統(tǒng)性的方法，是因?yàn)楦怕曙L(fēng)險(xiǎn)分析技術(shù)可以將核電廠作為一個(gè)總體來(lái)考察，可以評(píng)估出局部變化對(duì)總的安全水平的影響。例如加強(qiáng)高壓安注對(duì)對(duì)付小破口失水事故是有利的，但對(duì)蒸汽發(fā)生器傳熱管破裂事故則不利。又例如使用雙層安全殼似乎增多了屏障數(shù)量，加強(qiáng)了縱深防御，但喪失了嚴(yán)重事故工況下利用安全殼外噴水來(lái)增強(qiáng)安全殼排熱的能力。概率風(fēng)險(xiǎn)分析技術(shù)可以評(píng)估那個(gè)事故的風(fēng)險(xiǎn)貢獻(xiàn)大，以確定改進(jìn)的方向和改進(jìn)對(duì)核電廠安全水平的總體影響，而確定論則做不到。所以我們看到確定論安全要求，包括縱深防御概念，有時(shí)會(huì)將人引到一個(gè)方向上去，就是某個(gè)具體人員在自己所從事的專業(yè)領(lǐng)域以為自己在加強(qiáng)核安全，但結(jié)果并不是。1970年代后概率風(fēng)險(xiǎn)分析技術(shù)在美國(guó)的發(fā)展已大大改變和加深了對(duì)核安全問(wèn)題的認(rèn)識(shí)，包括對(duì)確定論安全要求合理性和適用性的認(rèn)識(shí)，美國(guó)從此走向了 “風(fēng)險(xiǎn)指引”的核安全監(jiān)管之路，而不是繼續(xù)簡(jiǎn)單地 “加強(qiáng)”或 “延伸”某些確定論安全要求。從這個(gè)角度說(shuō)，歐洲一些國(guó)家和國(guó)際原子能機(jī)構(gòu)推出的 “設(shè)計(jì)擴(kuò)展工況”的概念，實(shí)際上還是在將確定論安全要求簡(jiǎn)單外推。

（6）經(jīng)過(guò)前面的討論，我們似乎也能更好地理解美國(guó)核管會(huì)工作人員在SECY-15-0168所提的建議：

“Ⅰ.在保證核電廠安全方面加強(qiáng)風(fēng)險(xiǎn)管理方法的途徑：工作人員建議核管會(huì)使用目前的管理框架繼續(xù)推動(dòng)風(fēng)險(xiǎn)管理的改進(jìn)，這個(gè)框架是有效的同時(shí)已很好地被理解，并且是基于核管會(huì)對(duì)縱深防御概念，對(duì)管理超出傳統(tǒng)的設(shè)計(jì)基準(zhǔn)事件的核反應(yīng)堆問(wèn)題，對(duì)縱深防御概念作為風(fēng)險(xiǎn)指引監(jiān)管的基本構(gòu)成的長(zhǎng)久承諾。

Ⅱ.福島NTTF建議1中核動(dòng)力反應(yīng)堆安全改進(jìn)活動(dòng)1和2的再評(píng)估：工作人員不打算建立一個(gè)正式的設(shè)計(jì)擴(kuò)展工況的要求及發(fā)展一個(gè)確定縱深防御充分性的定義和準(zhǔn)則。

Ⅲ.改進(jìn)的、機(jī)構(gòu)范圍內(nèi)使用風(fēng)險(xiǎn)管理方法的政策聲明的考慮：工作人員建議核管會(huì)不編寫和頒布一個(gè)機(jī)構(gòu)范圍的風(fēng)險(xiǎn)管理政策聲明，同時(shí)工作人員在核管會(huì)計(jì)劃范圍內(nèi)實(shí)施風(fēng)險(xiǎn)指引方法的活動(dòng)將繼續(xù)被推進(jìn)，不受到工作人員反對(duì)編寫政策聲明建議的影響。

Ⅳ.現(xiàn)行風(fēng)險(xiǎn)指引核動(dòng)力反應(yīng)堆安全初步行動(dòng)內(nèi)在關(guān)系的描述：工作人員將為核管會(huì)提供一個(gè)現(xiàn)行風(fēng)險(xiǎn)指引核動(dòng)力反應(yīng)堆安全初步行動(dòng)內(nèi)在關(guān)系的描述，以保證這些初步行動(dòng)是很好被協(xié)調(diào)、計(jì)劃和實(shí)施的”。

核管會(huì)批準(zhǔn)了工作人員在SECY-15-0168中所提的上述建議。

［1］IAEA.No.SSR2/1（Rev1）“Safety Nuclear Power Plants：Design”［Z］.2016.

［2］NRC.J.N.Sorensen“Historical Notes on Defense in Depth”［Z］.1997.

［3］NRC.ML13277A421“DEFENSE-IN-DEPTHOBSERVATIONSAND DETAILED HISTORY”［Z］.2012.

［4］NRC.ML080300379“Defense-in-Depth and Diversity Supporting Basis Including Single Failure Criterionreferences and Risk-InformingInitiatives”［Z］.

［5］NRC.Mary.Drouin“Historical Review and Evaluation of Defense-in-Depth”［R］.2015.

［6］NRC.SECY-15-0168“RECOMMENDATIONS ON ISSUES RELATED TO IMPLEMENTATION OF ARISK MANAGEMENT REGULATORY FRAMEWORK”［R］.2015.

The Discussion on Defense-in-Depth Concept

Tang Bo
（Nuclear Power Safety Regulation Department，MEP，Beijing 100034，China）

This article briefly introduces the establishment and development of Defense-in-Depth concept in nuclear safety area and discusses the existing issues and debates on the concept.

nuclear safety；defense-in-depth；multiple barriers

TL364+1

C

1672-5360（2016）03-0001-07

2016-06-28

2016-09-16

湯搏 （1962—），男，河北石家莊人，研究員，國(guó)家核安全局副局長(zhǎng)、核電安全監(jiān)管二司司長(zhǎng)，現(xiàn)主要從事核安全審評(píng)和監(jiān)管工作