核安全领域中纵深防御概念的产生、发展和存在的问题

汤 搏

（国家核安全局核电安全监管司，北京 100034）

核安全领域中纵深防御概念的产生、发展和存在的问题

汤 搏

（国家核安全局核电安全监管司，北京 100034）

本文对核安全领域中纵深防御概念的产生和发展做了扼要介绍，并且对纵深防御概念存在的问题和争论进行了讨论。

核安全；纵深防御；多道屏障

纵深防御概念是核安全领域中最耳熟能详的概念之一，是确定论安全要求的重要基础，一些出版物还将其上升到 “纵深防御原则”、“纵深防御要求”或 “纵深防御哲学”。日本福岛第一核电厂事故后，为了改进核电厂的安全，一些国家或组织提出 “进一步加强纵深防御”。如IAEA在其新出版的核安全标准 “Safety of Nuclear Power Plant：Design”［SSR-2/1（Rev.1）］中强调：“纵深防御的各个层次之间必须尽实际可能地相互独立”，以及 “纵深防御的各个层次必须尽实际可能地相互独立，避免一个层次的失效降低其他层次的有效性。特别是，用于设计扩展工况的安全设施 （例如对于缓解燃料熔化事故后果的设施）应尽实际可能地与安全系统独立”。

但令人感到奇怪的是，做为纵深防御概念的创建者，美国人对纵深防御概念 （应该注意的是在美国的许多文献表述中，经常不使用术语“纵深防御概念”，而仅仅使用 “纵深防御”（defense-in depth）），以及如何设置纵深防御层次和如何判断满足纵深防御概念等，迄今为止没有给出一个明确的和统一的官方定义和解释，而在其与核电安全直接相关的联邦法规中也很少提到纵深防御概念，如仅在 10CFR Part50的Appendix R中提到：

“在安全重要区域，防火大纲通过将纵深防御概念延伸到火灾防护来达到如下目标：

（1）防止着火；

（2）迅速探测、控制和及时扑灭火灾；

（3）对安全重要的系统、构筑物和设备提供保护，以使未能及时扑灭的火灾不影响电厂的安全停堆”。

日本福岛第一核电厂事故后，美国核管会原计划到2015年底能够出版一个文件，给出纵深防御的官方定义和纵深防御充分性的技术解释，但2016年3月9日，美国核管会批准了其工作人员在SECY-15-0168“RECOMMENDATIONS ON ISSUES RELATED TOIMPLEMENTATION OF ARISKMANAGEMENTREGULATORYFRAMEWORK”中所提的建议，不再发展一个确定纵深防御充分性的正式官方定义和准则。

这一切究竟是为什么？本文认为对其进行深入的探讨是十分必要的。这种探讨不但能够加深对纵深防御概念的理解，而且可以加深对核安全基本概念的理解。

1　纵深防御概念的产生

詹姆斯·马哈菲在其著作 《原子的觉醒》中生动描述了世界上第一座核反应堆—芝加哥1号的首次临界过程：

“下午3：30，费米下令把镉棒再升高6英寸，韦尔照做了。扬声器里不断传来嗡嗡的碰撞声。费米透过喧嚣的声音喊到：‘再提高1英尺’，于是韦尔又提高了1英尺。

费米仍然非常自信，转过身来对康普顿说到：‘马上就要成功了。这个反应堆马上就要成为自持的了。中子读数将要不断上升，不会再平延了’。他打开计算尺开始计算。他快速地用计算尺计算，并把计算出的数据写在背面。中子的读数一直没有减少。

3分钟后，费米进行了另一项计算。人们争先恐后地想要看中子计数器的读数。威尔科克斯·奥弗贝克离计数器最近，他开始大声地读出计数。扬声器里传出连续地嗡嗡声，已经很难根据声音判断中子的数量。在整个试验过程中，费米一直很平静，还显得有些神秘。但是他突然停下了计算，笑着说：‘现在这个反应堆已经自持了，现在的曲线已经是指数曲线了”。

芝加哥1号首次临界的成功证明了反应堆原理的可行性，也似乎证明了核物理学家们理论掌握的准确性。顺理成章地，下一步应该是建设用于核材料生产的反应堆。

但美国政府清楚地认识到科学研究和工程技术的差异，所以生产性反应堆的建设和运行没有继续委托核物理学家们进行，而是承包给杜邦公司，一个从事化学工程的公司来完成。

在汉福特B生产堆的设计和建造过程中，杜邦公司的化学工程师们根据自己的工程经验，坚持在设计中留有裕度。而汉福特B在初期的运行中，确实发生了反应堆的意外自动停堆事件。后续调查表明，自动停堆的原因是当时还没有充分认识到的现象，“氙中毒”所导致，即所谓反应堆掉入了 “碘坑”。这进一步证明了留有设计裕度的重要性。

许多文献认为，杜邦公司在汉福特B生产堆建设过程中坚持留设计裕度的做法是纵深防御概念的起源。

我们从这个纵深防御概念产生的过程中也可以看出，采用纵深防御概念，其主要目的是为了弥补人类认知能力的有限性而导致的不确定性。但后续我们要讨论到，纵深防御概念的这个理论基础是不完备的。

2　纵深防御概念的发展

历史上描述纵深防御概念的文献有很多，这里仅选一些有代表性的典型例子。

（1）1957年，在美国原子能委员会出版的WASH-740报告 《大型核电厂重大事故的理论可能性和后果》中，提到 “多重防线”的概念。

（2）最早对纵深防御概念作出系统阐述的是美国原子能委员会的克里福德·贝克，他在1967年对国会原子能联合委员会做陈述时描述：

“为了安全，在反应堆设施的实体系统中建立了三道基本防线。

①在安全防护中第一道和最重要防线是在对安全重要的基本反应堆系统的设计、建造和运行中达到卓越的质量，以保证很低的事故概率。这个目标的重点反映在：

选择合适的材料、设备制造的质量控制、严格的检查和试验体系、合适的技术和工作质量的控制。

在关键设备和系统上采用高标准的工作实践要求，如失效安全设计原则、冗余和后备、纵深防御、关键点额外的安全裕度。纵深防御原则通过防止裂变产物逃逸的系列屏障体现：

有很高滞留能力的陶瓷氧化物燃料；燃料芯块被密封在紧密的不锈钢或锆包壳中；堆芯被密封在高度完整的、经过承压试验的主冷却剂系统中；反应堆被高度完整的、经过承压和泄漏率试验的安全壳构筑物完全包围。

有计划的设备核查和维护大纲，异常事件、失效和功能失误的及时和全面的研究及纠正措施。

优秀运行管理原则的有力要求和良好定义，胜任和良好培训的人员，清晰的责任分配，纸面的程序，程序升版的审核和平衡，对运行的定期内部审查。

②第二道防线由设施设计的事故预防安全系统所组成：

这些系统是为了防止差错和扰动升级为事故，包括冗余的控制和停堆装置，独立来源的应急动力，应急冷却系统。

③第三道防线由限制后果的安全系统组成，这些系统被设计成限制或减少事故情况下裂变产物向环境的释放，包括安全壳自身、安全壳喷淋和洗涤系统、安全壳冷却系统，和安全壳内部的过滤收集系统”。

我们看到克里福德·贝克的阐述已包括了今天纵深防御概念的许多要素，但克里福德·贝克自己似乎把纵深防御定义为多道屏障。

（3）1969年，美国原子能委员会的一个内部研究组在文件 《原子能委员会关于反应堆执照计划的报告》中认可了纵深防御概念，但强调应该将纵深防御的重点放在第一道防御线，即通过设计、建造、试验和运行使核电厂以一个可靠的和可预计的方式完成正常和非正常运行。

（4）1971年，美国原子能委员会的工作人员在一个公众立法听证会的证言中用专门章节阐述了纵深防御。这个听证会是为了制定轻水堆应急堆芯冷却系统的临时验收准则召开的。证言中陈述：

“因而，安全目标是防止放射性对公众的照射。这个安全目标能够通过应用纵深防御概念，达到尽管不完全，但高度的保证。主要的防线是事故的预防。全部安全重要的构筑物、系统和设备必须被设计、建造和运行为事故发生的概率很低。……

不管已经采取的预防措施，必须提供保护系统以作为第二道防线，以纠正预计的偏差。……

尽管前两道防线已使事故的发生极不可能，必须通过安装工程安全设施来提供第三道防线，以减轻假想重大事故的后果”。

（5）另一份比较重要的文件是1972年发布的WASH-1250《核动力反应堆 （轻水冷却型）和相关设施的安全》。在其中的第二章“保证安全的基本哲学和实践”中陈述：“支撑原子能委员会的程序和监管标准，以及支撑工业界实践的基本哲学，…是经常称为 ‘纵深防御’的哲学”。

它接着阐述：“前面的讨论已经涉及防止放射性外逸的多道屏障的应用，…然而同等重要的是，必须保证这些屏障不被非正常瞬态所危害。…在这个方面，工业界致力于在法规、程序、准则和标准等管理边界允许的变化范围内，通过使用 ‘纵深防御’的设计哲学来保护电厂、运行人员，以及公众的健康和安全”。

与克里福德·贝克对纵深防御概念阐述的最大区别是，WASH-1250将纵深防御概念确定为保护多道屏障，而不是多道屏障自身。

（6）有趣的是，在美国联邦法规的其他章节中，如实体保卫、核材料、厂址选择等方面，倒是多处提到纵深防御。如在10CFR73.54“数字化计算机及通信系统和网络的保护”中要求：“应用和维持纵深防御防护策略以保证对网络攻击的探测、响应和恢复能力”；10CFR73.55“在核动力反应堆执照活动中防止核破坏的实体保卫要求”中提到：“通过所需系统、技术、大纲、设备、支持过程和实施程序的一体化提供纵深防御，以保证实体保卫大纲的有效性”；有关特种核材料要求的10CFR70.64中提到：“设施、系统设计和设施布置必须基于纵深防御实践”。10CFR70.64还给出了一个纵深防御实践的定义：“纵深防御实践意味着一种设计哲学，应用于从开始到整个设计过程，基于提供多层次的保护，以致健康和安全不完全依赖于设施设计、建造、维护和运行的任何单一因素。纵深防御实践的正效果是保守设计的设施和系统，将对故障和外部挑战具有较大的承受能力。通过完整安全分析得到的风险视角能够用于完善最终设计，以使注意力放在高风险潜在事故的预防和缓解上”；10CFR Part100中提到：“对于反应堆厂址，核管会倾向于采用传统的纵深防御方法以保护公众的安全。在评价厂址申请时，远离人口中心仍然是并且继续是一个重要的因素”。

（7）纵深防御概念在其他的美国多份文件中也有表述，但这些表述经常是多样化的。如在先进核电厂监管的政策声明中表述：“设计通过防止放射性释放的多道屏障，以及减轻可能的严重事故后果来体现纵深防御哲学”。安全目标的政策声明中将纵深防御联系到补偿概率风险分析的不确定性。而有关概率风险分析技术的政策声明中又陈述：“通过定量化防护的水平，以及帮助识别和关注弱项或过度保守的监管要求，概率风险分析技术将继续支持核管会的纵深防御哲学”。

（8）1988年，国际原子能机构出版了INSAG-3《核电安全的基本原则》，其中提到：“全部安全相关活动，不管是关于组织、人员行为，以及设备的，均应置于多层的重叠措施之下，以至于即使失效发生，也能够被补偿或纠正，从而不会对个人和公众造成大的危害。这个多层次防护的概念是纵深防御的核心特征，它在所遵循的专门安全原则中被反复应用”。INSAG-3继续阐述：“纵深防御概念用于补偿可能的人员和设备失效，核心是包括防止放射性物质释放到环境的多道屏障在内的多个层次的防护。这个概念包括通过屏障防止对电厂的损坏以及保护屏障本身，它也包括在屏障不完全有效时保护公众和环境的进一步措施”。

INSAG-3的理念被国际原子能机构进一步细化，在后续的安全标准，如 “Safety of Nuclear Power Plants：Design”（2000年版）中，纵深防御概念被全面阐述为：

“2.9纵深防御概念贯穿于安全相关的全部活动，包括与组织、人员行为或设计有关的方面，以保证这些活动均置于重叠措施的防御之下，即使有一种故障发生，它能由适当的措施探测、补偿或纠正。在整个设计和运行中应贯彻纵深防御，以便对由厂内设备失效或人员活动及厂外事件等引起的各种瞬变、预计运行事件及事故提供多层次的保护。

2.10纵深防御概念应用于核动力厂的设计，提供一系列层次的防御 （固有特性、设备及规程），用以防止事故并在未能防止事故时保证提供恰当的保护。

①第一层次防御的目的是防止偏离正常运行及防止系统失效。这一层次要求：按照恰当的质量水平和工程实践，例如多重性、独立性及多样性的应用，正确且保守地设计、建造、维修和运行核动力厂。为此，应特别注意选择恰当的设计规范和材料，并控制部件的制造和核动力厂的施工。有利于减少内部灾害的可能、减轻特定假设始发事件的后果或减少事故序列之后可能的释放的设计措施均在这一层次的防御中起作用。还应重视有关设计、制造、建造、在役检查、维修和试验的过程，以及进行这些活动时良好的可达性、核动力厂的运行方式和运行经验的利用等方面。整个过程以确定核动力厂运行和维修要求的详细分析为基础。

②第二层次防御的目的是检测和纠正对正常运行状态的偏离，以防止预计运行事件升级为事故工况。尽管注意预防，核动力厂在其运行寿期内仍然可能发生某些假设始发事件。这一层次要求设置由安全分析确定的专用系统，并制定运行规程以预防或尽量减小这些假设始发事件所造成的损害。

③设置第三层次防御是基于以下假定：尽管极少可能，某些预计运行事件或假设始发事件的升级仍有可能未被前一层次防御所制止，而演变成一种较严重的事件。这些不大可能的事件是在核动力厂设计基准中预计的，必须通过固有安全特性、故障安全设计、附加的设备和规程来控制这些事件的后果，使核动力厂在这些事件后达到稳定的、可接受的状态。这就要求设置专设安全设施以将核动力厂首先引导到可控制状态，然后引导到安全停堆状态，并且至少维持一道放射性物质的包容屏障。

④第四层次防御的目的是针对可能已超过设计基准的严重事故，并保证放射性释放保持在尽实际可能的低。这一层次最重要的目的是保护包容功能。除了事故管理规程之外，这可以由防止事故进展的补充措施与规程，以及减轻选定的严重事故后果的措施来达到。由包容提供的保护可用最佳估算方法来验证。

⑤第五层次，即最后层次防御的目的是减轻可能由事故工况引起的潜在放射性物质释放所造成的放射性后果。这方面要求有适当装备的应急控制中心及厂内、厂外应急响应计划。

2.11纵深防御概念应用的另一方面是在设计中设置一系列的实体屏障，以包容特定区域的放射性物质。所必需的实体屏障的数目取决于可能的内部及外部灾害和失效的可能后果。就典型的水冷反应堆而言，这些屏障可以是燃料基体、燃料包壳、反应堆冷却剂系统压力边界和安全壳”。

与美国的纵深防御概念相区别，国际原子能机构将应急响应纳入了纵深防御概念。

（9）从上述描述中可以看到，迄今为止的纵深防御概念有多种表述，导致理解和执行的困难和差异 （事实上，在防御层次上，英文有时使用 “level”，有时使用 “layer”，有时使用“line of defense”。甚至有时 “multiple barriers”也不用来表示的实体屏障，而表示防御层次）。这也是日本福岛第一核电厂事故后，美国核管会试图统一纵深防御概念定义和内涵，并且提供准则以判断纵深防御措施是否充分或是否得到满足的原因。2015年，美国核管会核监管研究办公室的马瑞·德罗因发表了 “纵深防御的历史回顾和评价”，提出了一个解决问题的方案。

马瑞·德罗因在方案中试图解决几个问题，第一是纵深防御层次的确定。马瑞·德罗因建议按照事故的进程设置纵深防御层次，所需的层次数量要考虑实际放射源 （反应堆堆芯）的威胁大小；第二是保护公众健康和安全原则的确定及确定这些原则的过程；第三是为每个纵深防御层次和原则所确定的保护措施；第四是确定纵深防御充分性的过程以及定量的可接受指南 （准则）。图1显示了马瑞·德罗因建议的典型纵深防御层次，图2显示了马瑞·德罗因建议的定量可接受指南的例子。

图1　纵深防御的层次Fig.1 Levels of DiD

3　纵深防御概念存在的问题和讨论

马瑞·德罗因在其文章中总结了一些纵深防御概念存在的问题，包括术语使用的混乱，没有统一的准则确定可接受的纵深防御层次，没有可接受的指南确定纵深防御的原则和保护措施，以及如何在纵深防御层次和保护措施之间取得平衡等，但本文认为还存在更深层次的问题。

（1）实际上，讨论纵深防御概念存在的问题，不能回避 “确定论安全要求”发展的历史和背景。我们知道，在核安全领域的确定论安全要求不同于哲学概念上的确定论，它不像欧几里得几何，是由几条 “公理”和一套逻辑学推论建立的一个逻辑自洽的理论体系，而是在核能发展过程中就每个碰到的具体问题通过技术判断 （工程判断）确定的一套要求，按美国核管会的说法，是一套 “打补丁”（patch work）的工作。确定论安全要求存在着大量的逻辑不自洽，经常也缺乏可靠的理论基础，包括纵深防御概念也是如此。

（2）如前所述，在核安全领域中应用纵深防御概念的目的主要是为了弥补人类认知能力的有限性而导致的不确定性，但这里面是存在逻辑矛盾的。我们可以问第一个问题：

“假如有某种方法能确定不确定性的大小，并且在设计中充分考虑了这种不确定性，是否还需要应用纵深防御概念？”。

图2　纵深防御充分性的定量可接受指南Fig.2 Quantitative acceptance guideline for adequacy of DiD

当然某些人会反驳，正是因为人类认知能力有限制，所以你无法确定这种不确定性的大小。那么第二个问题就来了：

“既然你无法确定这种不确定性的大小，你又如何确定所采取的纵深防御措施可以弥补这种不确定性？”。

（3）正是因为确定论安全要求存在的这些问题，美国人并没有把确定论安全要求普适化。如美国人在联邦法规中只定义了 “单一故障”，并且对某些安全系统要求在发生单一故障的情况能够执行预定的安全功能，而没有确定一个普适性的 “单一故障准则”；而纵深防御概念也是在联邦法规的设置中变成了对一些方面的具体要求，如 “多道屏障”的设置。对某些方面，如外部事件，我们很难确定 “纵深防御的层次”。例如地震、洪水等，我们只能根据地质地震构造，或水文条件确定一个 “设计基准地震”和 “设计基准洪水”，并且在安全构筑物、系统和设备的设计中对其设防，但很难划分出多重的设防层次。

（4）某些国家和国际组织没有考虑到确定论安全要求的这些特点，希望能将某些确定论安全要求普适化。如国际原子能机构提出的“纵深防御概念贯彻于安全有关的全部活动，包括与组织、人员行为或设计有关的方面，以保证这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正”，如前所述，在某些方面就很难明确区分出 “重叠措施”。又如国际原子能机构提出的 “必须对核动力厂设计中所包含的每个安全组合都应用单一故障准则”，与美国人对单一故障的要求也产生了差异。

（5）我们讲概率风险分析是一套系统性的方法，是因为概率风险分析技术可以将核电厂作为一个总体来考察，可以评估出局部变化对总的安全水平的影响。例如加强高压安注对对付小破口失水事故是有利的，但对蒸汽发生器传热管破裂事故则不利。又例如使用双层安全壳似乎增多了屏障数量，加强了纵深防御，但丧失了严重事故工况下利用安全壳外喷水来增强安全壳排热的能力。概率风险分析技术可以评估那个事故的风险贡献大，以确定改进的方向和改进对核电厂安全水平的总体影响，而确定论则做不到。所以我们看到确定论安全要求，包括纵深防御概念，有时会将人引到一个方向上去，就是某个具体人员在自己所从事的专业领域以为自己在加强核安全，但结果并不是。1970年代后概率风险分析技术在美国的发展已大大改变和加深了对核安全问题的认识，包括对确定论安全要求合理性和适用性的认识，美国从此走向了 “风险指引”的核安全监管之路，而不是继续简单地 “加强”或 “延伸”某些确定论安全要求。从这个角度说，欧洲一些国家和国际原子能机构推出的 “设计扩展工况”的概念，实际上还是在将确定论安全要求简单外推。

（6）经过前面的讨论，我们似乎也能更好地理解美国核管会工作人员在SECY-15-0168所提的建议：

“Ⅰ.在保证核电厂安全方面加强风险管理方法的途径：工作人员建议核管会使用目前的管理框架继续推动风险管理的改进，这个框架是有效的同时已很好地被理解，并且是基于核管会对纵深防御概念，对管理超出传统的设计基准事件的核反应堆问题，对纵深防御概念作为风险指引监管的基本构成的长久承诺。

Ⅱ.福岛NTTF建议1中核动力反应堆安全改进活动1和2的再评估：工作人员不打算建立一个正式的设计扩展工况的要求及发展一个确定纵深防御充分性的定义和准则。

Ⅲ.改进的、机构范围内使用风险管理方法的政策声明的考虑：工作人员建议核管会不编写和颁布一个机构范围的风险管理政策声明，同时工作人员在核管会计划范围内实施风险指引方法的活动将继续被推进，不受到工作人员反对编写政策声明建议的影响。

Ⅳ.现行风险指引核动力反应堆安全初步行动内在关系的描述：工作人员将为核管会提供一个现行风险指引核动力反应堆安全初步行动内在关系的描述，以保证这些初步行动是很好被协调、计划和实施的”。

核管会批准了工作人员在SECY-15-0168中所提的上述建议。

［1］IAEA.No.SSR2/1（Rev1）“Safety Nuclear Power Plants：Design”［Z］.2016.

［2］NRC.J.N.Sorensen“Historical Notes on Defense in Depth”［Z］.1997.

［3］NRC.ML13277A421“DEFENSE-IN-DEPTHOBSERVATIONSAND DETAILED HISTORY”［Z］.2012.

［4］NRC.ML080300379“Defense-in-Depth and Diversity Supporting Basis Including Single Failure Criterionreferences and Risk-InformingInitiatives”［Z］.

［5］NRC.Mary.Drouin“Historical Review and Evaluation of Defense-in-Depth”［R］.2015.

［6］NRC.SECY-15-0168“RECOMMENDATIONS ON ISSUES RELATED TO IMPLEMENTATION OF ARISK MANAGEMENT REGULATORY FRAMEWORK”［R］.2015.

The Discussion on Defense-in-Depth Concept

Tang Bo
（Nuclear Power Safety Regulation Department，MEP，Beijing 100034，China）

This article briefly introduces the establishment and development of Defense-in-Depth concept in nuclear safety area and discusses the existing issues and debates on the concept.

nuclear safety；defense-in-depth；multiple barriers

TL364+1

C

1672-5360（2016）03-0001-07

2016-06-28

2016-09-16

汤搏 （1962—），男，河北石家庄人，研究员，国家核安全局副局长、核电安全监管二司司长，现主要从事核安全审评和监管工作