科学认识核安全规律，推进风险指引核安全管理

汤搏  

生态环境部（国家核安全局）核电安全监管司原司长

国务院政府特殊津贴获得者，长期从事核安全审评和监督工作

党的十八届三中全会提出了“推进国家治理体系和治理能力现代化”的目标，而作为国家和社会治理体系的一部分，实现核安全管理体系和管理能力的现代化无疑是应有之义。

要实现核安全管理体系和管理能力的现代化，需要我们科学认识核安全问题的规律，按照规律办事，否则实现核安全管理体系和管理能力的现代化只能流于空谈。

一、科学认识核安全规律

众所周知，从科学的角度讲，这个世界上的任何事物都存在着随机性，绝对的事物不存在，安全问题也是一样。既然绝对安全不存在，安全一定是相对的，任何事物都存在着风险。从专业工作者的角度，我们把安全定义为可承受的风险，或者换个说法，安全是对风险的控制。

要判断什么是可承受的风险，或者实现对风险的控制，关键是能够对风险的大小进行评估。在风险评估过程中，我们不可避免地会遇到以下两类风险。

（一）可量化的风险

如果我们对一件事情的安全影响因素及其影响规律有比较好的了解，我们是可以对安全影响因素导致的风险建立模型并加以量化的。但是在现实中，我们经常会遇到另一类风险。

（二）不可量化的风险

我们对一件事情的安全影响因素还没有了解，或了解了，但对其影响规律还不能掌握时，我们无法将安全影响因素导致的风险量化。

安全是相对的，而安全相对性的另一个重要体现是，我们将一件事情孤立出来讨论其是否安全是没有意义的，安全一定是不同事情相互比较的结果。在比较的基础上，我们可以为一件事情确定什么是可承受的风险，而风险的量化是进行这种比较的基础。

对不可量化的风险，无法采取这种比较。现实中，对不可量化的风险，人们通常采取经验和直觉的方式进行判断，为其确定安全管理要求。但是经验和直觉的方式不可避免地存在两个问题：一是更适用于相对简单的事情，而不适用于复杂事务的管理；二是这种经验和直觉的判断经常存在很大的不确定性，并且对复杂系统来说，其结果经常是反直觉的。

这里又引出了另外一个重要的概念，即风险评估的不确定性。

不确定性来源于事物本身的随机性和人类认知的限制导致的认知不确定性。正是因为事物本身存在的随机性，才需要概率这门科学，而认知不确定性存在于我们对一件事情的安全影响因素或安全影响因素的影响规律还不够了解，或者为了使风险评估可以进行而使用的假设和选择的模型中，包括了参数不确定性、模型不确定性和完备性不确定性。在风险评估的过程中，不确定性的评价是非常重要的，因为只有把不确定性考虑进去，我们才能对风险有比较好的把握。

我们可以采用概率对随机不确定性来进行表征，对认知不确定性则通过不确定性定量分析和敏感性分析来尽可能量化和记录其影响。为了降低不确定性的影响，在安全管理中，通常要求恰当的设计裕度或安全补偿措施。

不可量化的风险和可量化的风险也不是绝对的，而是在实践过程中不断转化的，随着人类的知识水平的不断丰富和认知能力的不断提高，不可量化风险会越来越多地转变为可量化风险。

安全管理的进步就是在早期更多经验和直觉判断的基础上，随着人们量化风险能力的提高，而不断在定量化基础上变得更加精细和科学化的。

当然，上面是从科学的角度阐述安全问题的一些规律。但安全问题的复杂性在于，作为具体的人来说，对安全问题的判断带有很强的主观色彩，而这种主观性主要来自个人的世界观、价值观和伦理观等方面的影响。例如，就世界观而言，是用经验主义哲学还是理性主义哲学的观点看问题，或者是用辩证唯物主义还是形而上学的观点看问题；就价值观而言，是有尊严地活着还是苟且偷生地活着；就伦理观而言，如何看待和处理代际公平问题等。这些问题都对如何确定“可承受的风险”产生着影响。

作为人类所面临的所有安全问题的组成部分之一，核安全管理也必然符合这些规律。

二、什么是风险指引的核安全管理

在核能发展之初，人们就试图对核能的风险进行评估。如20 世纪50年代初，美国开展了大型核电厂的风险评估，1957年发布了《大型核电厂重大事故的理论可能性和后果》（WASH740）。但由于当时风险评估的方法论、事故现象认知和数据等方面还不完全具备，美国原子能委员会将管理核安全的方式转到了对一个个具体安全问题提出具体安全要求的方式上。美国将这种“处方式”的具体安全要求的总和称为确定论（Deterministic Approach）安全要求。实际上，由美国建立的这套确定论安全要求存在许多不自洽、不合理和不平衡之处，包括美国自身现在也已认识到此问题。尤其是这套“处方式”的要求，必然与具体的堆型和设计密切相关，而不存在普适性。现在的确定论核安全要求主要针对轻水堆，对于其他堆型来说，不存在完整的确定论安全要求，照搬这套确定论安全要求又存在着诸多不适应和不合理之处。

美国在建立确定论安全要求的过程中，也力所能及地进行了许多概率判断，如为了实现风险的控制，将始发事件按照估计的发生频率进行工况分类，按照发生频率高、允许后果小，而发生频率小、允许后果大的方式确定验收准则。但确定论安全要求在许多方面确实基于定性和经验的判断。

核安全领域的确定论不是哲学意义上的确定论，它存在不确定性。例如，两家不同的设计院设计同一功能的安全系统，设计方案都可以满足单一故障准则等确定论安全要求，但由于两家设计院的设计习惯不一样，所以在系统流程、设备选择、控制方式等方面可能有很大差异，从而导致可靠性不同。当然确定论核安全要求的不确定性也包括认知的不确定性，但确定论安全方法无法提供评估不确定性的手段。

在核能发展的实践和确定论安全要求的建立过程中，美国很早就认识到了这一点。为了降低不确定性，美国在核安全管理中引入了纵深防御的概念。

所谓纵深防御，就是建立安全补偿措施，在一道防线失效后，还有另外的防线予以补偿。但是纵深防御概念的理论基础是不完备的。例如，会出现如下的争论：“如果能够确定不确定性的大小，并且在设计中加以考虑，还需要不需要纵深防御？”“人类认知总是有限制的，所以经常不能确定不确定性的大小。”“如果不能确定不确定性的大小，又如何确定什么样的补偿措施可以补偿这个不确定性呢？”

因此，纵深防御概念的合理应用是在对不确定性把握比较好的方面，可以弱化纵深防御措施，而在对不确定性把握比较差的方面，应该加强纵深防御措施。由于一些其他国家没有从一开始就全面地参与确定论安全要求的建立过程，对其技术背景缺乏深入的了解，因而不能深刻地理解这些方面，经常把美国建立的确定论安全要求当作“圣经”，不敢改动丝毫，并且做外延式发展，如一味地“强化纵深防御”“加强纵深防御各个层次的独立性”等，使本来就不平衡的确定论安全要求变得更加不平衡，而许多安全改进的意义经常是值得商榷的。这也反映出确定论安全方法的另外一个问题。

由于确定论安全方法无法将风险定量化，所以既无法找出核电厂安全这个“木桶”的短板，也无法找出长板，从而无法判断什么是有效的安全改进，导致可能在无效的地方投入了过多的资源。

确定论安全方法无法处理多重故障导致的核事故，而概率风险分析和美国三哩岛核电厂事故都表明多重故障事故也是对风险的重要贡献，这说明相对于概率风险分析，确定论安全方法对风险的考察是不完整的。

风险指引的核安全管理是在人们对核电厂风险定量化能力不断提高的基础上，综合使用概率风险分析工具，考虑不确定性评估、敏感性分析和工程判断，以及合理确定风险准则，从而进行的对核安全更加科学、精细、平衡的管理方式。

但是必须承认，概率风险分析技术也不可能100%地模化现实，也存在无法定量化的地方，所以风险指引核安全管理是“Risk-informed”，而不是“Risk-based ”，在风险指引的核安全管理中仍然要维持合理的纵深防御。由于应用过程中还经常结合对构筑物和设备实际性能的跟踪和考察，所以完整的提法是风险指引和基于性能（Risk-informed and Performance-based）的管理。

三、国际上风险指引核安全管理的发展

自20 世纪90年代以来，风险指引的核安全管理在国际上得到蓬勃发展，但由于技术基础的不同、安全认知的区别及思维方式的差异等因素，发展不平衡。

作为确定论安全方法和概率风险分析技术的主要创立者，美国对确定论安全方法和概率风险分析技术都有着超出他人的深刻理解，同时在核能发展和核安全监管方面都经常面临着来自各方面的重大挑战，导致美国不得不持续完善核安全理念、方法论和技术基础，这使得其在确定论核安全管理和风险指引核安全管理的发展上都起到了领头羊的作用。

美国在1986年颁布的有关核电厂运行安全目标的政策声明和 1995 年颁布的在监管过程中应用概率风险评价技术的政策声明，开启了核安全定量化风险管理的先河。20 世纪90 年代以来，美国核管会颁布了一系列的法规、管理导则和技术文件，用以规范和指导在众多核安全领域风险指引的应用。例如“维修规则”法规的颁布，既促进了美国核电行业设备可靠性的管理和提高，又有效节约了资源，被美国核电界誉为美国核管会颁布的最成功的法规。2020 年RG1.233的颁布，意味着在建立技术包容、风险指引和基于性能的执照基准方面取得重大进展，将不同堆型的核安全管理放在统一的风险框架下，而改变了原来主要针对轻水堆、采用打补丁方式建立“处方式”核安全要求的路径，预计未来将对核电厂的设计、安全评价、取照申请等方面产生重大影响。

美国拥有全世界最大的核电运行机组群，进入21世纪以来，在安全运行指标上长期处于世界前列，风险指引和基于性能的核安全管理起到了重要作用。

其他国家，如欧洲一些国家，由于技术基础、安全理念和认知方式等方面的不同，在风险指引核安全管理方面已大幅落后于美国。

四、我国风险指引核安全管理的发展

我国概率风险分析工作起步并不算晚，20 世纪80年代成立了“南方队”和“北方队”，开展秦山核电厂和大亚湾核电厂的概率风险分析工作。由于认识问题，特别是当时的我国核安全法规还停留在“确定论为主，概率论为辅”的阶段，核电厂不但要满足全部的确定论核安全要求，而且完成了概率风险分析后，还要花费更多的资源去改进“薄弱项”，导致核电界对概率风险分析技术具有抵触情绪，相当长一段时间内，概率风险分析技术在我国的发展处于相对停滞状态。

2008 年，国家核安全局在制定高温气冷堆安全审评原则的过程中认识到，对于高温气冷堆，国际上并不存在类似轻水堆的系统的“确定论核安全要求”，而把轻水堆的核安全要求应用于高温气冷堆存在很多不合理之处，所以希望更多地使用风险指引技术来调整某些具体安全要求，但最终没有完全达到预期。

认识到推进概率风险分析和风险指引核安全管理工作，首先应该在核安全理念和政策法规上有所突破，国家核安全局2010年颁布了在核安全领域使用概率风险分析技术的技术政策，使风险指引核安全管理在我国的应用从政策法规方面成为可能。考虑到我国的技术基础和经验等现状，以及核电界一些人士对我国是否具备开展风险指引核安全管理工作的条件存在疑虑，国家核安全局采用了“试点先行、稳妥推进”的策略。

国家核安全局联合国内核电界，在技术基础和标准规范等方面做了大量的工作，如收集颁布了我国核电厂设备可靠性数据、开展同行评估改进相关工作质量、编制了大量标准规范和技术文件等。目前，试点工作已取得许多成果，初步显示了风险指引核安全管理的优越性。近期，生态环境部核与辐射安全中心又联合国内核电单位，对我国核电厂的瞬态数据进行了系统的统计和梳理，并结合相关研究，形成了我国核电厂的始发事件数据。可以说，风险指引核安全管理是推动我国核安全管理技术和能力进一步提高，逐步跟上世界先进水平的重要途径，是实现核安全管理体系和管理能力现代化的重要抓手。

在进一步推进我国风险指引核安全管理工作中，还存在以下亟待解决的问题。

（一）认识问题

从20 世纪90年代以来，国内核电界的一些人士一直对概率论核安全方法存在质疑，理由包括“我国没有设备可靠性数据”等。不同于确定论核安全要求和方法存在一些口号式形式，如纵深防御、多道屏障、单一故障准则等，概率风险分析技术需要比较系统的知识，而大多数人士没有机会接受系统的培训。对于确定论核安全要求和方法，通过会议等方式也能听到只言片语，使一些人士认为自己“只懂确定论，不懂概率论”。通过前面的分析可以看到，没有深刻理解科学的安全理念，没有对确定论安全要求建立过程和背景的深入了解，没有对概率风险分析技术的较好掌握，并且在比较的基础上看待确定论和概率论安全方法，实际的情况就可能是“既不懂概率论，也不懂确定论”，否定风险指引核安全管理在我国应用的许多理由同样可以否定确定论核安全方法在我国的应用。这需要我们做更多的工作，使人们更加深入地理解确定论核安全方法和风险指引核安全方法，从而解决认识问题。

（二）培训问题

要解决上一个问题，开展广泛的培训工作非常重要。同时，在实践中也发现，具体工作人员的知识基础已经成为我国推动风险指引核安全管理的重要阻碍。要将概率风险分析和风险指引核安全管理的知识作为核安全界和核电界培训工作的基本内容，要对确定论核安全方法做更深层次的培训，使大家真正理解确定论核安全方法，也真正理解概率论核安全方法，为风险指引核安全管理在我国的进一步发展奠定思想基础。

（三）技术基础问题

我国的风险指引核安全管理的技术基础还有待进一步提高。我国目前在风险指引核安全管理领域开展的一些工作，无论是方法论，还是风险准则，包括标准规范的制定等，都主要参考美国。虽然在起步阶段这样做是必要的，但未来的发展需要结合我国国情建立自己的东西。这就要求我们要不断加强研究、总结经验，努力强化自身的技术基础。

（四）全社会的风险意识问题

现代科学已经充分证明物质的运动是带有随机性的，世界是一个概率的世界，风险是必然存在的。在一些国家，公众普遍具备较好的风险意识。学术工作者把“风险社会”的管理作为重要课题加以研究。政府不仅在核安全领域，还在其他安全领域、环境领域、医药领域等普遍推动风险管理的方式。在我国，由于普遍的科学素养和思想方式问题，许多人还习惯于用确定的思维看问题，用绝对的方式提要求。因此，在全社会普及风险意识是推进国家治理体系和治理能力现代化的重要议题。

五、总 结

英国科学家沃森·瓦特发明的雷达对第二次世界大战中英国取得英伦战役的胜利起到了巨大作用，但后来也有人对沃森·瓦特发明的雷达提出了批评，因为沃森·瓦特所选取的电磁频段容易受到太阳耀斑爆发的干扰。对此，沃森·瓦特回答说：“我给他们提供了第三好的，第二好的正在研制，赶不上需要，第一好的永远研制不出来。”像所有事物一样，风险指引核安全管理也存在各种各样的问题，它不是第一好的，也可能不是第二好的，它不过是比所谓的确定论核安全管理更科学、更合理一些。

对于风险指引核安全管理存在的问题，必须在实践过程中不断加以解决。不通过实践而期望风险指引核安全管理方法可以自我完善，是不切实际的幻想。正如毛泽东深刻指出的：“在生产斗争和科学实验范围内，人类总是不断发展的，自然界也总是不断发展的，永远不会停止在一个水平上。因此，人类总得不断地总结经验，有所发现，有所发明，有所创造，有所前进。停止的论点，悲观的论点，无所作为和骄傲自满的论点，都是错误的。”