濮繼龍簡歷
性別:男
年齡:69歲
1943年7月生,江蘇江都人,中共黨員;
曾任大亞灣核電站第一任中方廠長、中國廣東核電集團公司黨組成員、副總經理兼技術中心主任、安全總監;
1943年7月生,江蘇江都人,中共黨員,1968年12月畢業於北京清華大學工程物理系,研究員級高級工程師。
曾任中國廣東核電集團公司黨組成員、副總經理兼技術中心主任,安全總監。
畢業後,參加了我國第一座高通量工程試驗反應堆的設計、建造和試運行。1982-1984年,作為訪問學者赴美國BNL國家實驗所從事與核安全分析有關的合作研究。後從事過快堆研究的部分課題。1986年8月,在北京中國原子能科學技術研究院堆工所任副研究員,從事核電安全及嚴重事故的課題研究。
1991年3月,調入廣東核電合營有限公司,歷任應急工程師、核安全處處長,第三副廠長、第一副廠長、廠長、公司生產副總經理。2000年調中國廣東核電集團公司工作至今。在核工程建設與營運、安全分析、安全管理、企業安全文化建設、應急準備及企業經營等方面,均取得一定成績,曾發表著述數十篇。現擔任國家核電國產化專家組成員、國家處置核輻射恐怖攻擊事件專家諮詢組專家、國家核事故應急協調委員會專家諮詢組成員、國家核安全與環境專家委員會委員、海軍核安全專家委員會委員、中國核工業集團公司科技委委員、中廣核集團公司科技委委員。曾多次參與過在IAEA、WANO和其他國際組織框架下的國際核能與核安全活動,曾擔任過國際原子能機構總幹事巴拉迪的核保衛顧問組主席。
工作經歷
1968年12月於“北京清華大學工程物理系”畢業後,參加了我國第一座高通量工程試驗反應堆的設計、建造和試運行。
1982-1984年,作為訪問學者赴美國BNL國家實驗所從事與核安全分析有關的合作研究。後從事過快堆研究的部分課題。
1986年8月,在北京中國原子能科學技術研究院堆工所任副研究員,從事核電安全及嚴重事故的課題研究。
1991年3月,調入廣東核電合營有限公司,歷任應急工程師、核安全處處長,第三副廠長、第一副廠長、廠長、公司生產副總經理。
2000年調中國廣東核電集團公司工作至今。
詳細經歷
濮繼龍是我國最早赴美從事核安全分析的訪問學者之一,我國最早從事核電廠嚴重事故及其對策研究的科技人員,我國大陸第一座大型商用核電站的第一位中國人廠長。此外,他還是擔任國際原子能機構總幹事巴拉蒂高級顧問團主席的第一位中國專家。
早在1963年,濮繼龍就以全國高考成績上海地區總分第一名考入清華大學,攻讀工程物理系重同位素分離專業,畢業後下放農場勞動鍛鍊兩年,1970年進入北京194研究所,從事高通量工程實驗反應堆物理設計與計算,翌年調任四川核工業第一研究院參加重要課題研究,至1980年出色完成反應堆調試啟動,第一爐生產設計,特種同位素生產研究。
特區建設大風唱響的1991年初,濮繼龍接到調令,赴任廣東大亞灣核電站生產部應急準備工程師,先後建立起了核安全監督,經驗反饋,運行質量保證等信息化建設管理體系。此後,他被總部推薦為大亞灣核安全諮詢委員會委員。1995年大修中出現的核反應堆控制棒落棒時間超差事件,他全力以赴,帶領大家攻克了一個國際性難題,使得大亞灣核電站當年的生產任務順利完成。
1996年3月,濮繼龍被任命為第一副廠長,不僅證明他被
“而一生中最值得珍貴的日子,是1997年7月1日,香港回歸祖國之際,我正式接任廠長,大亞灣核電建設史上首任中國人廠長。而此前,這個職位都是由法國人擔任的。”濮繼龍充滿感情地說,“作為中國第一個大型商用核電站的中國人廠長,這種榮譽是人人都會感到羨慕的,而我卻是興奮與憂慮交織,深感任重而道遠。”
擔任廠長後,濮繼龍面臨的一個大挑戰是電站內部加強管理,增強團隊凝聚力,“我的對策是:充分發揮班子內專家的作用,首先解決勵磁機故障問題,讓生產先正常起來。在此同時,我一改過去的‘救火式’、抓計畫和滾動管理,進而形成十大管理法。同時抓‘三基’,即基本技能、基本技術、基層班組,推動體制與機制創新。”
濮繼龍告訴我們,接任廠長時他設定了三個目標:創造一個比法國機組更好的運行安全記錄;把大亞灣的管理從法國模式中提升出來,形成有大亞灣特色的管理文化;培養一支後繼有人的員工和幹部隊伍。
由於始終堅持“安全第一,質量第一”的方針,核電機組的性能業績已經達到了世界先進水平。1999年和2000年,大亞灣核電站在與外國電力公司同類機組的安全生產競賽中,連續兩年獲得第1名。與美國106個核電機組相比,大亞灣的綜合競爭力排在第7位。2004年,濮繼龍過了退休年齡,但集團讓他留任工作。去年,他正式離開了行政崗位,仍繼續擔任董事、顧問、科技委員。他說,“大亞灣核電站的經歷,是我人生中最大的考驗、最珍貴的財富。在有限的人生中,如何為祖國的核電事業發揮出更多光和熱,這是我一輩子的追求。”
部分成果
在核工程建設與營運、安全分析、安全管理、企業安全文化建設、應急準備及企業經營等方面,均取得一定成績,曾發表著述數十篇。現擔任國家核電國產化專家組成員、國家處置核輻射恐怖攻擊事件專家諮詢組專家、國家核事故應急協調委員會專家諮詢組成員、國家核安全與環境專家委員會委員、海軍核安全專家委員會委員、中國核工業集團公司科技委委員、中廣核集團公司科技委委員。曾多次參與過在IAEA、WANO和其他國際組織框架下的國際核能與核安全活動,曾擔任過國際原子能機構總幹事巴拉迪的核保衛顧問組主席。
濮繼龍(5張)學術文章
敬畏核安全,加深對核安全問題的全面準確理解
(2012-03-13 10:06:03) (本文原載《核電》2011第4期)
由一場超強自然災害引發的福島核電廠事故引起世界震驚,引發了國內外各界對核電安全的高度關注和廣泛討論,安全是人類和平利用核能的首要條件,是政府決心發展核電的重要承諾。國內有識之士在福島事故後提出:我們要“敬畏核安全,守護核安全”,這一口號無疑是及時的,也十分正確。然而,要真正做到由衷地敬畏,首先必須加深對核安全內涵、特點與要求的理解,全面、客觀、系統地認識核電安全。只有這樣,才可能形成較為統一的認識,更科學、更有效地指導我們在核電發展問題上的決策與管理。
已經沒有人質疑我國發展核電“安全第一、質量第一”的方針了,但核安全究竟意味著什麼?我們如何把握核安全問題的核心?以下將從三個方面闡述對有關問題的理解。
一、安全問題本質上是一種社會心理體驗,僅從技術層面研究是遠遠不夠的
生存是人類的基本需要,安全也是人類的基本需要。多年以來,我們從事工業活動的專家通常總認為安全是一種合理的技術措施,對風險做到“可知可控”便是安全了,並且我們常以這樣一種思維,試圖去說服政府與公眾。
這一理解本身並沒有錯,但不夠完整。現實工作中,我們經常會遇到這樣的情況:在解決安全問題的時候,從代價與利益平衡角度所作的技術決定本身並沒有錯,但總有一些非技術因素,迫使得我們不得不放棄簡便途徑,轉而採取費時費力又費錢的方案,才能得到政府部門與社會公眾的認可。可見,安全不僅僅是技術問題,它還包含其它層面,也就是經常被忽略的法規層面和社會心理層面。
在法規層面,安全必須是“合法合規”的,符合國家法律法規要求的才是安全的。在社會心理層面,安全必須是“可靠可信”的。這一層面講的不是理智問題,而是情感問題。政府層面的“合法合規”,本質上所遵循的是對此時此地人群社會心理的道德取向,在很大程度上也仍然是心理認同問題。一項工業活動,能使得政府、公眾等相關方對其安全有信心,對從業人員有信任,才能得以實施。換句話說,只有政府、公眾信得過才是安全的,只要政府、公眾信得過,它就是安全的!儘管它未必意味著永遠不出意外。全球每年因道路交通事故死亡人員約120萬人,2000萬~3000萬人遭受各種非致命傷害,可是沒有哪個國家因此規定禁止汽車,因為在長期的生活實踐中,他們越來越享受現代交通帶來的便捷與舒適,公眾的情感體驗總體上認可汽車是安全的。正因為安全潛含一種情感體驗,所以一個不為大家所接受的事物,就不能說是安全的,再怎么從技術上論證也是不全面的。
核電,由於其物理特點,即放射性對人群與環境的潛在傷害具有超越時空界限的特徵,因而特別難以為公眾所認同。所以,對於核電安全,也必須從合理、合法、合情三個層面來全面認識和理解。當前一些觀點,甚至是主流觀點,明顯地存在著兩個偏差:比較多的核電熱心人士往往注重和強調技術層面,把確保核電安全只歸結為技術因素,總想向政府與公眾“在技術上說清楚”,而忽略了在法律層面和社會心理層面的努力。對公眾的質疑與政府的謹慎總是不解,感到鬱悶,這實在是沒有理解“發展核電,造福人民”的深刻含義。也有個別人士或團體,為了一己之私利,片面誤導輿論,從技術上支持一方貶低另一方,尋求輿論及政府對本身有利的偏向。這部分人士表面講的是純技術,其著力點卻是社會心理層面,通過動搖政府和公眾對某些技術的信任,從而穩固自身所握有技術的市場地位和發展前景。這種不客觀的觀點在公眾和政府官員中造成了很大的疑惑和不安,動搖了我國核電發展的基石,最終也會傷害到他們自身。在這個問題上,相關各方應保持清醒的認識。
二、核電安全是一個綜合管理的結果
核安全是一個綜合管理的結果,它不可能由一兩個人來成功實施,更不可能由一兩個指標來表達。核安全的實現與系統狀況、人員素質、運行環境三方面都密切相關。
核安全管理有著三個明顯的特徵。首先,核安全管理是全過程的,它涉及核電產業鏈上的每一個環節,包括研發、設計、選址、建造、設備加工、安裝、調試、運行、退役,乃至放射性廢物的處置。這其中,設計是龍頭,設計必須賦予核電機組固有安全特性,這是核電安全的物質保證。但僅強調技術和設計,是遠遠不夠的;其次,核安全是一個綜合體系,核安全不是孤立的,工業安全、輻射安全、電網安全、消防安全、食品衛生等均可能引發核安全問題,反之,核安全事故也常常伴隨著其他工業傷害,因此核安全管理也是全方位的;此外,由於現場環境、設備狀態、從業人員狀態千變萬化,核安全管理還必須是動態的,才能落實有針對性和有效的安全舉措。固守某些條文和框框,不是正確的核安全管理之道,是不科學的,也是不可取的。
確保核電安全的根本,在於嚴格有效的安全管理,而不僅僅取決於技術的先進性。現在有一種觀點,認為堆芯損壞機率(CDF)代表了核電安全水平的高低,顯然是不準確的,更不全面。
系統評價核電機組安全水平的高低,需要考慮兩個重要因素:
1.“實踐是檢驗真理的唯一標準”,在先進性與成熟性的關係上,我們認為技術成熟性是機組安全性的基礎,國際核安全原則中明確要求核電必須採用“經過驗證的技術(proven Technology)”,就是這個道理。也就是說,設計的安全目標能否達到,需要通過工程和運營的全過程實踐來檢驗和證明。我國引進的先進技術,其成熟性仍有待來自工程實踐的統計及驗證,現階段不可過分依賴,更不應盲目樂觀。
2.安全業績是靠人做出來的,既然核電的安全性要求貫穿於核電站全過程的各個環節,整個體系內高素質的人才和科學嚴密的管理就是關鍵。越是先進的技術,越需要更加嚴格科學的安全管理。這一點,日本福島核電廠事故和近期發生的甬溫線高鐵事故,都從反面給予了充分的警示。
三、核電安全管理要求必須充分,但也必須適度和均衡
說到底,安全並不是目的,而是為達成某項工業活動實現社會價值、同時又能有效保護公眾與環境而採取的措施。正因為如此,安全要求並非越高越好,考慮到前面所說的安全是一種社會心理體驗,安全標準應當是在一定社會政治經濟環境下,代價利益均衡的結果。要說絕對的核安全,“棄核”是絕對安全的。然而,“棄核”立場必然要求社會付出比“用核”更大更多的代價。
安全不是目的,但安全總有底線。核安全管理的基本要求必須是充分的。所謂充分就是必須保證足夠安全,“多安全是足夠安全的(How safe is safe enough)?”美國三哩島事故以來,人們一直在這樣問。最好的回答還是由美國核管會作出的。其在1986年發布的《核電安全目標》政策聲明中,提出“兩個千分之一”[1]作為安全目標所導出的定量指標,這一定量指標,已被國際核電界所廣泛接受。按照有關方面的深入分析,現有世界核電機組,基本都能滿足這一標準,因而都可以認為是足夠安全的。福島核電廠事故後各國所作的大規模核安全評估與壓力測試,並未顛覆這一結論。
從“兩個千分之一”指標看,相對於其它發電形式,核電的安全要求是非常苛刻的,這是充分考慮了核電不為廣大公眾所理解與支持的社會心理因素的結果。在這一基礎上的層層加碼,絕不意味著核電不夠安全,更多地是為了讓公眾更放心。
在充分的前提下,核安全要求還必須適度。所謂適度,一是技術上可實現、代價上可承受,二是在技術層面上,即便可以實現,也要防止回響過度。技術上畫蛇添足的舉措,不但不能提高機組的安全性,反而破壞了合理的電廠配置,加重了設備維護保養的複雜性,最終增加了風險。
核安全的要求,也必須是均衡的。所謂均衡,就是避免短板效應,所有安全要素,必須達到同一安全等級,具有同樣的事故耐受性(robustness)。縱深防禦五道防線,每道防線都應得到同等重視,達到同等水平的堅固。事實教育我們:並不是最強大的一環保證核安全,而是最弱的一環決定了核安全的命運。
一直以來,我們一再強調預防為主,把它作為處理核安全問題的重要原則。福島核電廠事故提醒我們:預防措施固然是管理工作的重點,但在事故後果緩解措施的環節,也絕不可掉以輕心。各國核安全大檢查的重心,無一不包括嚴重事故處置方略和應急回響與救援問題,核安全五道防線中的最後兩道,正是事故後果緩解的重要內容。
福島核事故之前的很長一段時間裡,核電的管理者們,往往把自己的注意力,集中到若干最能反映“水平”的指標上去,而忽略了最基本的核安全管理要素。在一些人的腦海里,發生嚴重事故,那是遙不可及的不可思議的事情。福島核電廠事故向我們敲響了警鐘。關切公眾的感受,注重管理的每一個細節,克服追逐利益最大化的本能衝動,確保核安全,保障核電穩妥、有序、高效發展,理應是核電從業人員最基本的職業道德。
守護核安全,堅守“終極安全”底線
(2012-03-13 10:10:05)
(本文原載《中國核能》2011年第3期)
終極安全,是我們必須堅守的底線
福島核電站事故原因調查還在繼續,但目前至少可以肯定,福島核事故並未顛覆人們對核安全的基本認識,也並未挑戰成熟的核安全原則與法規,幾十年來形成的核安全認識、理念、要求、原則與標準,依然是正確有效的。作為核電從業者,首要任務就是立足現有原則和標準,結合福島核電事故的反饋,更深入地理解和認識核安全,切實提高核電安全管理水平,為我國核電發展營造一個良好環境。
核安全的終極目的,是採取一切措施,有效保護公眾與環境免遭意外過量放射性照射的傷害,這就是核安全的最終底線。守住了這條底線,我們就可以說實現了核電的絕對安全。
安全不是目的,而是措施和手段。“安全”不等於要求“不出事”和“不出意外”,核安全也不等同於堆芯絕對不損壞。安全是在萬一發生意外或極端事件(包括堆芯毀損)時,我們有充分的把握保護民眾的健康,並使環境受到的影響是有限的、暫時的、可以恢復的。這是核電從業者追求的核安全目標,也是核電的“終極安全”。
“終極安全”是指在各種極不可能的事件發生時,即便所有常規手段都難以發揮作用的情況下,機組、環境、公眾健康等所能達到的安全狀態。這與我們一般意義上的“十分安全”、“足夠安全”、“絕對安全”有所區別。為了實現核電的終極安全,必須有“兜底”的措施。
本文試圖匯總說明我們對這些措施的認識與理解。
CDF,不是核安全的底線
在核安全的總目標下,技術安全目標要求在設計上可靠地預防核電站發生事故。一是對於設計中所考慮的任何事故條件下,確保其可能的放射性後果是極其有限的;二是要在技術上確保導致嚴重放射性後果的重大事故發生的可能性是微乎其微的。
過去一段時間以來,人們熱衷於拿堆芯損壞頻度(CDF)來說事,認為CDF一個數值,就代表了機組的絕對安全水平。實際上,CDF並非核安全的底線。為了說清楚這一點,我們不妨通過下表回顧一下最基本的核安全原則:縱深設防。
防禦層次 | 目標 | 基本手段 | 相關的對應指標 |
第1層 | 防止運行異常與故障 | 保守設計,高質量建造與運行 | 初因事件發生頻度PIE |
第2層 | 控制異常防止發生事故 | 控制、限制、保護系統,其他監督手段 | ​ |
第3層 | 把事故控制在設計基準以內 | 專設安全設施與事故規程 | 堆芯損壞頻度CDF |
第4層 | 控制嚴重電廠工況,包括防止事故演進,緩解嚴重事故後果 | 補充措施與事故管理 | 放射性物質早期大量釋放頻度LERF |
第5層 | 緩解放射性材料明顯釋放的嚴重後果 | 場外應急回響 | “兩個千分之一” |
需要進一步思考的是,當我們把CDF強調到不適當的高度時,我們是否意識到,我們輕視了對安全殼完整的關注,漠視了應急準備的重大貢獻?我們是否在大方向上已經破壞了縱深設防的原則?
為了實現終極的安全,必須抓住四個環節:源頭管理、過程控制、後果緩解,以及萬一發生嚴重事故後為保護公眾與環境所必須採取的應急行動管理。四個環節,一個都不能少。
源頭管理:決不能“意想不到”
福島核事故後,一些人陷入了巨大的不可知論陰影:“誰知道會出什麼事?!”“凡事皆有可能。”他們對幾十年來核能界已經達成的共識都失去了信任。而另一些人則心懷僥倖,總覺得“不會吧?”“不能吧?”這兩種態度都不可取。
總的來說,事故的發生髮展有規律可循。要確保核安全,就必須把事故消滅在萌芽狀態,減少誘因事件的發生頻度。如果我們認真研究一下假設始發事件就不難看到,引起意外的根源,不外乎設計缺陷與設備故障、人為操作管理失當以及自然災害及外部影響這三大類。核電歷史上的嚴重事故,都是由其中一項或兩項疊加作用的結果。
福島核事故是由超強自然災害合併多重故障引發的。核電機組能否抵禦超設計基準的外部自然災害,能否應對多重故障,正成為誘因分析的重要內容,無論美國NRC的工作組分析,還是由歐盟倡導的壓力測試,這兩方面都是關鍵檢查領域。
還有一個尚未列入假設始發事件清單的重要誘因,那就是針對核電機組的人為破壞和恐怖攻擊。這與前述“人為操作管理失當”(指的是人們因技術或心理原因產生差錯)不一樣,與前述“外部影響”主要是水淹、火災等非惡意物理過程也絕然不同。所以,有必要把假設始發事件擴充到四大類,把“人為破壞和恐怖攻擊”也考慮為一種可能引起安全問題的根源。
所以從現在起,核電從業主們就應著手對假設始發事件清單進行重新梳理和完善,強化事故預想的完整性,並制定好相應的有效對策。
過程控制:預防勝於搶險
儘管我們可以採取各種措施防範初因事件,但並不能保證它絕對不會發生。根據縱深設防的原則,在發生意外事件後,我們必須堅持預防為主,採取一切可能的措施,防止事件從初始狀態逐步惡化演變為嚴重事故。
經過幾十年的研究,對於核電機組運行技術偏差演變到堆芯嚴重損壞全過程的物理現象,核電從業者們已經普遍形成了非常清晰、準確的認識和理解,並且具備了完整、有效的相應對策。我們知道,核電廠輻射風險的產生需要歷經一系列重要物理過程,而並非是瞬間的行為,因此完全可以通過果斷採取一系列經過驗證的有效手段,及時終止事故的演進過程,從而避免產生嚴重後果。
人們會提出的另外一個問題是,恐怖攻擊與人為破壞,特大自然災害及其次生災害的疊加,具有極大的不確定性,並且超出了設計與技術防範的預想。在這種“意外”情況下,如果誘發產生了嚴重事故,還有什麼辦法,可以保證絕對的安全?能否設計出一個事故處置的技術策略,可以覆蓋千變萬化的情景?
這一點是可以做到的。據研究,就目前所知的情況,所有內外部事件(包括恐怖攻擊)引發的核電機組嚴重事故,其技術方面的後果,都可以由“全廠斷電”或“失去熱阱”來包容,因此現有嚴重事故對策中,有關處置全廠斷電和失去熱阱的一切手段都是繼續有效的。換一個角度來說,不管事件的演變是否超出設計基準,機組的安全性,最終所依賴的就是熱阱、電源、應急回響這三大能力。從技術上說,極限安全措施應從這三方面下手。
後果緩解:守住最後一道屏障
保護公眾與環境的最後一道屏障是安全殼功能,這是多道屏障中的最後一道,也是縱深設防的第五道防線。這就是終極安全的“物質底線”。
世界核電史上發生的三次嚴重事故,都為安全殼功能的極端重要性給出了深刻詮釋。車諾比與福島核事故在技術上的共同教訓,其中一條都是缺乏一個強健的安全殼。車諾比機組根本沒有安全殼,而福島核電廠所採用的是早期設計的沸水堆,其安全殼不足以抵禦嚴重事故。相比之下,屬於壓水堆的三哩島機組,雖然也有堆芯嚴重損壞,但由於有安全殼的有效保護,所產生的放射性物質釋放後果幾乎可以忽略不計。
因此,在極限事故工況下,必須確保放射性物質被有效包容在安全殼內。這就要求在任何情況下,都必須確保全全殼的完整性。要確保所有安全殼貫穿件始終處於密封狀態,防止出現安全殼旁路;要防止因蒸汽爆炸、氫氣爆炸、DCH、晚期緩慢超壓等現象引起安全殼超壓爆裂;還要採取有效措施防止安全殼底板被融穿。
做好核應急工作,把住最後一道防線
福島核事故的教訓再次證明:核事故應急準備及回響,是縱深設防體系中不可忽視的組成部分,而且是最後的一道防線,其重要性為事故處置的經驗和教訓所充分證明。各國在事故後的核安全檢查及評估中,均對應急工作提出了更為明確的要求。如美國NRC工作組在福島核事故後提出的核安全相關建議中,要求建立更有效的監管框架,其中就包括現場應急措施,並把總體應急準備作為一個獨立的篇章提出了特別要求。
場外應急是核事故後的終極防衛措施。作為一種預防性行動,應當有組織地採取事故後果防範措施,包括隱蔽、撤離、服用碘片等。在目前的技術與經濟條件下,這是完全可以做到的。啟動應急回響本身就是對核風險與後果的預防,是核安全管理體系的有機組成部分。有些人認為,“只要啟動了應急行動,核電就不安全了”,這是是一種模糊的,甚至是錯誤的認識,也與國家應急計畫法規的立意相去甚遠。
強健可靠的安全殼,真實有效的應急準備,這兩者就是核電終極安全的“兜底”手段。只要我們保持清醒認識,認真採取一切可用的手段,核電的終極安全就會得到切實可靠的保障。
對核電設計安全標準升版問題的若干認識
(本文原載《核電》2011年第5期)
2011年11月14日
福島核事故後,人們對核安全的要求再次上升,他們首先想到的就是對現有法規是否充分的擔心。一旦面臨意外,人們首先會從外部查找原因,這是人群尋求心理安慰的一種模式,完全可以理解。人們一談及提高核安全水平,很容易想到通過提高法規要求來實現。通過完善法規要求來提高核安全水平,應該毫無疑義。隨著技術的發展和認識的不斷提高,使提高安全標準成為可能。但是想通過提高要求的量化標準來提高核安全水平則必須十分小心。我們要防止簡單地企圖通過提高某些參數指標來提高“安全性”。在這個問題上,我們要有系統冷靜的思考。
一、HAF102是目前世界上最嚴格的安全標準
車諾比事故之後,IAEA組織了國際同行專家,對舊版核安全標準NUSS系列作了修訂,內容上發生了重大變化。新版標準具有明顯的層次性。我們過去已經習慣了的最低限度法規要求的強制性口吻,如“嚴禁、不許、必須”等等,在新的核安全標準中已經演化為一種層次性的要求,每一層次的強制性程度有所不同。
第一類要求是“必須”,它表達一種無可置疑的強制性。這一類普適的安全要求,也可以理解為對核動力廠設計的最低限度要求。第二類也是強制性的,但是它是針對某一技術選擇提出的“必須”,就是“若,則必須”,業者可以通過不作某一選擇而規避這些要求。第三類是“必須考慮”,安全監管部門只提出需要關注的問題,解決問題的技術途徑則可以容業者自行做主。強制性更弱一些的要求是第四類“必須儘量(必須儘可能,as far as practicable, as far as possible)”,它要求業者在其條件與技術許可時盡某些義務。第五類的“應當”可以理解為某種較弱的要求,它也可以被理解為某種建議,通常不強制必須作到。不過從執照申請的角度說,做到了顯然於己於人都更為有利。第六類“可能,也許”,可以理解為某種變通,某種程度的寬鬆。但實際上新標準中的“可能,可以(may)”,有時是一種很弱的要求,也是不得不考慮的。第五第六兩類要求,本身並非可有可無,很多時候它是支持其他強制性要求的補充條款,有時候它本身就是一種提倡性的要求。
我們特別注意到,在涉及有關嚴重事故對策的條款中,新版標準屬於高強制性的“必須”要求,只占總要求的30%左右,遠低於新標準總體上高強制性要求的比例,而屬於“充分考慮”,“考慮”的條款占到了40%以上。為什麼很多要求是“應當”而不求“必須”呢?
這主要有三方面的原因。一是IAEA的標準匯集了世界各國核安全專家學者的意見,可稱得上是“最嚴格的標準”,然而,核安全管理是成員國自身的主權事項,能否完全做到則取決於該國的技術經濟實力,IAEA只能提供建議而不能強制推行;二是從法理上說,核安全管理遵從預防為主的原則,IAEA倡導的重點還是在事故預防的前端,即設計基準以內的工況,不想不分主次地提出一攬子的“嚴格要求”;三是從技術上說,三里島事故以來世界各國針對嚴重事故開展的大量的理論研究和實驗研究,除個別幾個問題外,對嚴重事故的大部分現象和物理機理有了比較透徹的認識,並提出了各種防止嚴重事故發生和惡化演變的安全措施和事故管理方法。就目前的認識水平而言,對於制定嚴重事故對策和事故管理導則已經足夠。但是,畢竟在嚴重事故工況下情況極為複雜,到目前為止,對嚴重事故的理論分析還只能是定性的,無法做精細化模擬,更談不到嚴格意義上的仿真。在此情況下,標準以較為溫和的態度闡述某些要求,就比較主動。
IAEA的新標準,把最低限度要求與最新技術建議寫在一起,意在促進成員國在滿足基本要求的同時努力追求卓越,這體現了促進安全文化建設的大原則。
在隨後的實踐中,各成員國中絕大部分都會依國情對標準作必要的增刪,只有很少國家幾乎全盤接受新標準的所有條款。我國就是這少數幾個國家之一。我國目前生效的核安全法規HAF以及其它相關法規與導則,與國際原子能機構IAEA的安全標準有著深刻的淵源關係。IAEA所形成的一系列公約、標準,是我國核安全監管的主要參照檔案,而且,在一些當事人心目中,所有“應當”、“應當考慮”和某些“可以”,都被理解成了“必須”。因此可以說,我國的核安全法規HAF102,是世界上目前最嚴格的核安全標準。
二、核安全標準的升級勢在必行
但是,福島核事故從一個側面說明了,對那些“應當”、“應當考慮”和“可以”做到的事情,做不到是會有嚴重後果的。這就證明了,我們全盤接受新版核安全標準,是對的。各國應當仿照我國的榜樣,把國際原子能機構組織全球頂級專家編寫出來的核安全標準,作為各國核安全法規的基本參照物。
在過去幾年HAF102的執行過程中,我們遇到很多困惑,執照申請單位和核安全監管部門,不得不在某些一時無法嚴格做到的條款上作個案處理。這一困惑,是因理論上的認識不足造成的。
與此同時,福島事故後國際上統一併強制推行更高的核電標準呼聲漸高,其中法國最為積極,並得到了日本、歐盟等的回響。國際上統一核電標準的建議涉及到多方利益,協調難度大,到目前為止,核電工業界還沒有採取具體的步驟。
但是,不管怎么說,核安全標準的升級勢在必行。就我國的情況而言,首先必須加深對IAEA新標準的正確理解,再結合我國實際情況,對已發布的核安全法規進行修訂補充,實現與國際先進標準的一致性。其次,新法規必須有相應的導則及工業標準作支撐,這方面正好是我們的弱項。
福島事故後,世界各國對核安全標準的思考與總結有著重要的啟示性。在選址、設計基準、多重故障、嚴重事故應對等方面,都有不少新的認識。按照國際核能界的共識,及時修訂IAEA的標準系列並相應修改我國的HAF系列,是一件確定無疑的任務。
在執行這一操作之前,我們還是應當想清一些原則問題。
第一點,核安全標準的總體框架不可能被顛覆,HAF102的總體理念及框架無需調整。國際核能界多年來行之有效的實踐中,最重要的是縱深設防。現有核安全管理,已經實現了對核安全風險的全覆蓋。我們所需做的是如何加強各層次防線的有效性,而不是顛覆之。
表1核安全假想事件的管理策略
福島核事故是特大自然災害疊加多重故障的結果。那么,過去我們用於處置設計基準事故的監管手段及其基本假設是否應當被推翻?應該看到,就核安全管理而言,重點設防的應當是那些發生頻度較高的事件,也即我們所說的“一般事故”,對付一般事故,根據經驗與理論分析,安全保障系統中只要有一列有效即可抵禦,這就是“單一故障”準則得以成立的依據。事實上從過往的經驗來看,按單一故障準則設計出來的安全系統,多數情況下在處置多種故障時依然能發揮作用。從20世紀80年代開始一直到現在,美國NRC維持了設計基準方法,並將其拓展以解決某些關注的問題。隨著新的問題出現,NRC又增加了對每個新問題的要求,但並未對設計基準事件這一基本概念或事件的列表進行過改變,為解決超設計基準問題而採取的行動大體被看作是安全上的增強。為此,設計基準事故以內手段,正是增強超設計基準安全的前提保障。
福島核事故後,顯然我們看到在極端情況下,超過設計基準的事件或外部自然災害是依然會發生的。那么,有必要考慮設計基準事故的“擴招”嗎?現在看來,這也是不必要的。這裡涉及到的是核安全監管的策略問題。有兩種處理問題的邏輯:把原先的超設計基準事件上升為設計基準加以嚴格設防,或者我們也可以把針對設計基準事件的嚴格管理延伸到超設計基準事件,兩種做法同等有效。由於超設計基準事件的物理過程不易做數理上的量化分析,看來加強管理要優於簡單的升級。
關於多重自然災害和多重故障問題,其實在HAF102中已經有了明確的規定,包括嚴重事故都已經成了“電廠狀態”的一個重要類別。這與舊版核安全法規有著巨大的差別。從這一點來看,設計基準事故擴容的問題可以說是一個偽命題。
第三點,核電廠選址和抗禦特大自然災害的標準要提高嗎?究竟提高到什麼程度?
當一些人糾結於福島核事故的時候,他們變得不十分冷靜。當然也有冷靜的人群。美國NRC認為,重要的是,在評估地震和海嘯這類自然事件時,不能將世界上某一地方發生的地震和海嘯的數據外推到世界上的另一個地方。這些災難性的自然事件是與具體區域和位置非常密切相關的,取決於構造和地質斷層位置。WANO主席斯蒂科爾先生也認為:“我們不好說一種核反應堆設計比另一種好多少。相反,我們必須針對每一座反應堆的實際情況包括其所處的地理位置進行研究。一座反應堆經受了海嘯的威脅,並不意味著在世界另外地方的同一設計的反應堆也會經受同樣的命運。”他們都不主張一概而論,不主張“一竹篙打翻一船人”。
這樣的問題是很難在法規上“一刀切”的。福島核事故以後。由歐盟發起的“壓力測試”為我們在處理超設計自然災害事項時提供了一個成功的思路。這一思路其實與1975年著名的拉斯繆森報告(WASH1400)如出一轍,在WASH1400中,這部分內容稱為“設計充分性(Design Adequacy)”。
針對超強自然災害的問題,由於其高度的差異性和不確定性,“壓力測試”或“設計充分性”論證,應當是比較妥帖的要求。這些要求,以在HAF102的下游檔案中規定為好。
三、對嚴重事故處置的一些要求應是強制性的
我們認真研究現有的HAF102法規及其參照物IAEA的NS-R-1,就會發現,法規最需要升級的內容,不是個別地提高一兩件量化標準,而是充分做好安全要求的均衡性工作。
原法規在設計基準事故以內的事故預防及早期干預部分,可以說綜合了國際核能界的豐富經驗,做足了功夫,也是很有成效的。但在應對最後一類工況“嚴重事故”部分,很多要求是以“必須充分考慮”、“必須考慮”等形式提出的,顯得較為鬆軟。
表2 HAF102中有關嚴重事故對策的部分要求
要求的形式 | 涉及的事項 |
“必須充分考慮” | 堆芯應急冷卻、安全殼泄漏、安全殼隔離、安全殼貫穿、安全殼氣閘門、安全殼內部結構、安全殼排熱、安全殼大氣淨化與消氫 |
“必須考慮” | 電廠在嚴重事故下的行為、嚴重事故序列挑選、涉及嚴重事故設計活動要點、多重性、多樣性、防止共模故障、廠外支持,主要是外電源、利用所有可能套用的系統轉到安全狀態、利用相鄰機組的支持、安全殼設計有利於緩解選定的嚴重事故後果、保證安全殼完整性的措施 |
因此,法規在預防與緩解兩方面,側重於預防,這是對的。但在事故緩解方面則較為薄弱。現在要考慮的就是事故預防與事故緩解要求的均衡性。有關安全殼及嚴重事故的這部分條款,理應將“考慮(consider)”升格為“確保(ensure)”。當然,也並非所有“應當”都可以升格為“必須”,所有“考慮”都升格為“確保”,這取決於我們對有關物理現象的把握,以及具體工程實踐中的可操作性。
四、CDF暫不可以提升成指令性要求
近來,一些人頻頻發聲,要求在法規中加入堆芯損壞機率的量化要求。這一動議,大有商榷的必要。
眾所周知,堆芯損壞頻度(CDF)只是核電機組定性安全目標的導出要求,它最先出現於三里島事故後的“用戶要求檔案”中,是一個指導性的意見,並不是極限安全要求。時至今日,世界各國還沒有誰把CDF值列入法規成為強制性要求。以法規的形式強制推行CDF,並沒有國外可資借鑑的案例,因而不能認為是一種“成熟的”實踐。
其次,我們知道,CDF是機率風險評價的結果,而目前各國沿用的核安全法規,其基本構架是以確定論分析為基礎的。如在法規中引入CDF數值,勢必挑戰法規的理論基礎。機率風險分析方法雖號稱是“系統化的分析方法”,但要把一個高度複雜的核電系統模化成一個可以進行量化分析的資料庫,必然要作適當簡化,這一簡化過程帶有很強的技巧性,因而也是高度不確定的。此外,PSA分析的結果在很大程度上與可靠性數據的可信度有關,而這正是目前PSA結果不確定性的主要來源之一。正因為有以上法理與技術兩方面的原因,目前世界各國的實踐,都還是以確定論方法為依據。機率安全分析必不可少,但只是輔助性的。我國HAF102的第3.2.3款也肯定機率論安全分析的結果是“補充性的”。如想在法規檔案中寫入PSA的結果作為執法依據,則必須先肯定PSA的法規地位。這一點在目前還沒有條件做到。
第三,從執法的實踐來看,法律法規的要求,必須具備可監管性,必須有驗收準則和驗收的技術手段。而PSA的分析結果有著很高的不定性,要對它作確定論式的監控評估目前還不太可能。事實上,國內外針對PSA結果的評估,採用的都是同行評估方式,它取決於業內專家的個人學識與經驗,很難把它變為一種嚴格的執法行動。
從以上三方面分析看來,CDF值目前還不具備提升為法規強制性要求的條件。
五、小結
我國的核安全設計標準HAF102 充分借鑑了國際最先進的核安全理念與實踐,總體來說是先進的。福島核事故向我們提出了新的問題,標準的再評判與修改自然是事故後糾正行動的題中應有之義。然而,我們必須十分注意,切實把握修改標準的基礎。我們不能任意地增加條款或執行難度而忽略法規的整體邏輯性,不能破壞了既有的成功實踐。我們還要注意的是,在把NS-G-1轉化成HAF102的時候,由於對原文理解上的差異,導致一些條款比參照版還要疲軟。這一部分是需要加強的。
因此,我們有必要根據近幾年來的實踐,重新審視法規本身的協同性和可操作性,緊密跟蹤國際核能界的認識與行動,積極穩妥地做好核安全法規的修訂工作。
個人安全文化素養的“三大紀律,八項注意”
2011年12月16日
福島核事故引發的思考是多層次的。我們要問:難道這只是一場天災嗎?在核電的運作與監管中,我們應當牢記哪些教訓?
人們在總結1986年車諾比事故的時候,曾經指出,其教訓之一,就是前蘇聯“從上到下,普遍缺少安全文化意識。”福島核事故過程中,我們也看到,在日本核電運作過程中,同樣是“從上到下,普遍缺少安全文化意識。”從1986年至今25年過去了,日本有關方面究竟在“管理”與“文化”方面有何反思,有何動作?時至今日,日本方面還把福島核事故歸因於“技術”與“紀律”問題,絕不想觸及任何其它涉及人文科學的內容。可以說,福島核事故的最大教訓,就是日本的某些核電相關方,根本沒有從車諾比事故中汲取教訓。利益和自大蒙蔽了一些人的雙眼。
因此,福島核事故後,我們更要強調注重安全文化建設,從根本上建立確保核安全的基石。
一、什麼是安全文化
國際核能界所提倡的安全文化,絕不如一般人所想像的是一種常規的文化活動,而是一種高境界的核安全管理。我們說它是一種管理,因為安全文化的要素,涵蓋了組織、參與者責任、制度、執行、監控等環節,具有可量化的指標體系。我們說它“高”,因為安全文化是人文科學與自然科學的結合,是技術手段與管理手段的綜合運用,它集中了全球核安全專家的智慧,將原本零散、機械、孤立、靜止的核安全要求,整合成了一套可操作一體化的理念與制度。
安全文化首先表現為一種有效的體系,即一套系統科學的管理制度。正如“INSAG-13”所指出:“具有強勢安全文化的組織必然有一個有效的、為全體員工所支持和擁有的安全管理體系。然而,安全管理體系具有更廣泛的作用,因為它提供了一個框架,使組織能夠確保全全相關活動的計畫、控制和監督都取得良好的安全業績。反過來,安全管理體系又為組織提供了一種促進和支持強勢安全文化的手段。特別是,安全管理體系能塑造人們工作的環境,進而影響他們對待安全的行為和態度。因此,安全管理體系通常被看成是組織質量管理體系不可分割的一部分,後者用於確保核電廠運營所有方面的質量,包括安全。然而,質量管理體系的存在本身並不能確保就有一個有效的安全管理體系,因為還要求確保全全所需的各項安排都已識別和實施。”
同時,安全文化還表現為核電從業人員正確的思想方法和正當的行為習慣,這兩者可以說是文化層面的要素。正因為如此,安全文化的推行必然觸及每個從業人員的習慣並使之改變。安全文化的推進就是要改變人,這正是最難的部分。
二、推行安全文化建設為(略)
三、為什麼說“安全文化在某種程度上就是企業領導人的文化”?
安全文化是一個組織的價值觀和行為模式,取決於其領導者以身作則,致力於對核安全給予最重要和最優先的考慮。關於領導人在安全文化建設中的作用,國際同行有著精當的表述:
“對質量保障的安全文化來說,對精益管理和持續改進的態度,需要被所有運行和維護核電事業的人員所認同。安全運行人人有責,但是確保整個組織對待安全的態度得以強化和落實,卻是領導的職責,也就是一線領導團隊的責任。(David M. Collins)”
“領導們創造文化。如果一種文化的意圖被偏離,最終需要領導們有所作為來成全這項文化的初衷(麻省理工學院埃德加·施恩博士)。”
從歷次事故或意外的分析中,我們可以看到,領導人一時的不當決策或言行,可能徹底摧毀下屬的價值觀與信仰。“領導者的言行直接影響到下屬和身邊的人,好的作風與良好的文化素養對他人的影響是潛移默化的,並經長期的作用下才能顯現效果;而領導者的不良習慣和短視行為對下屬的影響則是立竿見影,效仿者甚眾。(摘自“一位員工的感悟”)”
領導者在安全文化建設中有著舉足輕重的作用,他們應當能客觀認識安全業績,盡力查找有待改進的領域,實現持續進步。在面臨巨大經營壓力或者某些業績指標“滑坡”的時候,依然保持冷靜的頭腦和平和的心態,而不是試圖用消防隊的方式急於扭轉不利的外部形象。在取得極為驕人的業績的時候,仍然願意從成績和讚揚聲中查找自己的不足和有待改進之處。當外部的批評和內部的不滿鋪天蓋地而來的時候,願意承認其中合理的成分而不是把它當作惡意攻擊而拒之門外。
他們應當能正確把握安全文化理解的要點,冷靜處理突發事件,客觀看待人的行為。並能學會辯證地處理好各有關範疇。
領導人應當有計畫地建立起持續改進的長效機制。安全文化的精髓是追求卓越,實現持續改進。安全文化建設不是搞運動,風一吹過就完了,安全文化建設是每日每時都要做的事情。這就是抓責任落實和制度建設,使之規範化、制度化、常態化。制度是否嚴密,責任是否清楚,有沒有履行責任,敢不敢承擔責任,是安全文化好不好的一個重要標誌。
以上有關領導人的執行力,就是安全文化建設中能衝破層層阻力的根本動力所在。
四、個人安全行為習慣的“三大紀律八項注意”
雖說安全文化本質上是高層次的管理,但安全文化的確與文化密切相關。這個關節點就是安全文化對從業人員的品質與素養的要求。
多年以來,我們對安全文化的人員素養要求即三條鐵律已經耳熟能詳,這就是:質疑的工作態度、嚴謹的工作方法、良好的溝通習慣。但我們必須知道,這固然是個人安全文化素養的重要部分,卻不是其全部。
《安全文化(INSAG-4)》指出:良好實踐本身是安全文化的一個重要組成部分,但機械地套用是不夠的。安全文化的要求更進了一步,即在嚴格履行良好實踐基礎上,還需要對所有的安全事項具備警覺性、充分的思考、全面的知識、準確的判斷和高度的責任心。
安全文化的原則不變,但它對個人修養的要求卻會隨著時間與空間的變化而變化。個人修養的重點是需要“與時俱進”的。針對當前所處的特定情況,我們可以把它較為完整地歸納為:責任心、謙虛好學的探索態度、嚴謹的工作作風、合作的精神、互相交流的工作習慣、正確的理解能力、良好的技能和健康的心理素質。這些要素,缺一不可。這種要求對高層管理者與基層員工一律適用。
為了使我國的幹部員工便於理解與記憶,我們不妨把安全文化的個人修養要求總結為核安全文化的“三大紀律”和“八項注意”。
三大紀律是:
第一,一切行動都要服從規則。
安全文化一種制度文化。核電風險巨大,系統複雜,一個人要想全盤掌控很難。而規則與標準,是人們從過去千百次的失敗與教訓中總結出來的真知灼見。嚴格遵守規則要求,可以保證我們不犯別人曾經犯過的錯誤,減少發生嚴重差錯的機會。在對待規則的問題上,我們的態度應當是:規則當然是可以修改的,但那要經過嚴格的論證辨析。而違反既有規則的事,不管規則有多不完善,不管動機如何良好,也不管做事的結果如何有效,一律都應作為“違章”來處理。子曰:“爾愛其羊,吾愛其禮”,這就是程式體系的神聖不可侵犯性。
第二,做事要留有餘地。
安全文化也是一種穩健經營文化。話不可說絕,力不可使盡,一定要留點後手。這種文化,在技術上稱為裕度,在管理上稱為保險係數,在決策上稱為保守,在經營上稱為穩健。其目的是確保縱深防禦有效,同時,要有事故預案,技術路線要經得起推敲。
第三,一有異常,立即報告。
安全文化還是一種報告文化,也可稱之為透明度文化。核安全管理所堅持的經驗反饋體系,是以所有失誤與意外都能得到及時報告為基礎的。只有及時報告,才能組織深入可靠的分析找到教訓和改進的空間,防止重犯同類的錯誤。當然,僅有報告是不夠的,還必須有嚴格分析總結和糾正行動落實。我們所強調的透明度,不僅要求下級對上級的透明,也要求上級對下級的透明,還要求企業內部對外部公眾和監管機構的透明。只有堅持透明度,才能實現及時有效的報告和及時真實的經驗反饋。
除以上所述的三大紀律之外,針對目前普遍存在的不良工作習慣,我們提出如下的“八項注意”:
一要要勤于思考,理解所發生的變化,善於發現問題;
二要會舉一反三,實現有效的經驗反饋與共享;
三不弄虛作假;
四不姑息遷就,問題不過夜,回響及時,不留遺憾;
五不敷衍了事,要從根本上有效解決問題背後的問題,不留後患;
六不逞能充好漢,而要發揚團隊力量,成績與錯誤都不要僅僅歸於個人;
七不要走捷徑,圖省事;
八不搞繁瑣哲學,不要把管理過程複雜化。
“三大紀律和八項注意”,是我們從業人員的基本職業素養,也可以說是我們的職業道德。只要其中有一條做不好,安全就會存在隱患。
行文至此,筆者不由心生感嘆:我們可以做到其中的一條或幾條,我們能全部做到嗎?我們幾個人可以做到,我們能要求所有人都做到嗎?我們也許有一次碰巧能做到,我們能永遠做到嗎?安全文化建設真是一件不容易的事情。
核電安全無小事。核安全文化的建設,任重而道遠。
從事核電行業的人們,你們要警惕啊。我是愛你們的!