IAEA 定義

縱深防禦：組織哲學

國際原子能機構 (IAEA) 將縱深防禦定義為一種多層安全方法，其中每一層都作為前一層的備份。假設沒有單一層是完美的。安全案例依賴於多個獨立的層級，因此沒有單一故障：也沒有來自單一根本原因的單一故障組合：會導致危害。

縱深防禦在每個尺度上運作：

物理屏障：燃料基質 → 燃料包殼 → 反應爐壓力容器 → 圍阻體建築 → 反應爐建築（燃料與環境之間的 4-5 個物理邊界）

安全系統：每個功能（冷卻、關閉、電源）至少由 3 個獨立系統執行

程序：書面程序規範每個演變；針對每個設計基準事件的不正常及緊急程序

操作員：持有執照、受過訓練、合格、休息充足；擁有獨立啟動關閉的權限

管理：核安全文化、監管監督、獨立安全審查

監管：NRC 10 CFR 50 設計基準要求、持照運作、定期檢查

關鍵原則：失敗的層級不計分。 如果你無法確認一道屏障是完整的，你就假設它不是。整個系統設計成即使任何一個活性組件失效也能安全：這被稱為單一失效準則。

冗餘、多樣性與獨立性

使防禦成真的三個特性

核安全系統必須滿足三個不同的特性。混淆它們是一個常見且危險的錯誤。

冗餘意味著擁有不止一個相同的事物。三台柴油發電機是冗餘的。但如果它們共用同一個燃料箱、同樣的啟動邏輯，或同一個物理房間，單獨的冗餘無法防範共同原因失效。

多樣性意味著使用不同的物理原理或不同的設備來執行相同功能。高壓注入泵和氮氣加壓蓄能器都將水輸送到反應堆核心：但它們的工作原理完全不同。多樣性能擊敗會擊敗單一設計所有冗餘副本的失效模式。

獨立性意味著一組系統的故障不能導致或阻止另一組系統的運作。獨立性需要：

- 獨立的電源匯流排（不同的電氣饋線）

- 物理分離（障礙物、不同建築物、反應堆的相對側）

- 獨立的致動邏輯（A 組的短路不能使 B 組失效）

- 獨立的儀控系統（A 組的感測器不饋入 B 組的致動）

共因失效（CCF）是最可怕的情景：單一事件同時使多組備援系統失效。福島是經典範例：海嘯不僅是外部電源喪失。它同時使所有三組緊急柴油發電機失效，因為它們都位於同一低窪建築物中。沒有獨立性的備援只是幻覺。

單一失效準則

NRC 的 單一失效準則（10 CFR 50, Appendix A, General Design Criterion 17）規定，安全系統必須設計成不會因單一主動組件失效而無法執行其安全功能。

「主動」失效是指需要狀態改變的失效：例如泵浦無法啟動、閥門無法開啟。

「被動」失效（例如管路裂縫）則由其他設計要求處理。

為什麼是三組？

每個安全關鍵系統：三組獨立系統

三重冗餘法則不僅僅是「三比二更安全」。它是一項精確的工程要求，具有特定特性。

每列火車必須獨立承擔 100% 的安全功能。 如果 A 列火車負責冷卻，它必須處理所有所需的冷卻。B 列和 C 列不是部分貢獻者：它們是完整的備份。

列火車必須物理分離。 不同的建築物，或至少由防火牆分隔。不同的電纜路由。不同的管道佈線。如果火災、洪水或爆炸影響一列火車，它絕對不能波及其他列火車。

列火車必須有獨立的電源供應。 不同的電氣母線，從不同來源供電。A 列火車接母線 A，B 列火車接母線 B，C 列火車接母線 C：每個母線都有自己的緊急柴油發電機。

列火車必須有獨立的執行邏輯。 A 列火車執行電路中的繼電器故障不能阻止 B 列火車執行。理想情況下，它們完全使用不同的執行原理（多樣性）。

為什麼是三而不是二？ 使用三個系統，二取三的投票邏輯意味著任何單一組件故障仍會留下兩個功能正常的系統：你同時獲得單一故障準則 AND 對共因故障的一些保護。使用兩個系統，單一故障會讓你只剩一個系統：沒有餘裕，沒有對第二個故障的防護。

多樣性 vs. 冗餘

考慮 PWR 的緊急堆芯冷卻系統。一種方法：三台相同的的高壓注入泵，每台由獨立的柴油發電機供電，位於不同的房間。

第二種方法：一台高壓注入泵，加上一個不需要電源的氮氣加壓蓄能器，加上一個來自高位水庫的重力供水箱。

兩者都提供了三種將水輸送到堆芯的方法。

ECCS：核心的最後防線

緊急核心冷卻系統

PWR 的設計基準事故是冷卻劑喪失事故 (LOCA)：反應堆冷卻系統破裂，導致一迴路冷卻劑外洩。大破口 LOCA 可能在數秒內暴露核心。若無立即灌水，燃料包殼溫度上升超過 2,200°F，鋯合金氧化，燃料損壞開始。

典型 PWR 的 ECCS 有四個子系統，每個在事故的不同階段運作：

高壓注入系統 (HPIS)：當反應堆冷卻劑壓力低或機殼壓力高時立即啟動。在壓力仍高（約 200 psi 以上）時向反應堆冷卻系統注入含硼水。使用由緊急柴油機供電的馬達驅動泵。流量：依設計 500-1,500 gpm。

累積器（也稱為堆芯淹沒槽）：被動式氮氣加壓槽，內含含硼水。當反應堆冷卻劑壓力降至低於氮氣壓力（通常 600-700 psi）時自動注入。不需電力：氮氣壓力驅動水進入堆芯。每個累積器容納約 1,000 加侖。

低壓注入系統 (LPIS)：在低壓（<200 psi）時啟動。提供大流量（數千 gpm）用於大破口 LOCA。補給水儲存槽 (RWST) 清空後，系統切換至排水槽再循環：將機殼排水槽的水再循環回堆芯。必須持續數週（衰變熱移除）。

殘餘熱移除 (RHR)：也稱為衰變熱移除系統。主要目的：在反應堆達到冷停機後移除衰變熱。以低壓及低溫運作，透過熱交換器循環冷卻劑。同時提供低壓注入能力。

BWR 核心噴淋系統：沸水式反應爐使用位於燃料上方的核心噴淋噴嘴，直接將水噴灑到燃料束上：這與 PWR 淹沒式的幾何形狀不同。

衰變熱曲線

衰變熱曲線是核安最重要數字之一。反應爐停機後：

- t = 0 秒：約額定功率的 ~7%（3,400 MW 反應爐為 240 MW）

- t = 1 分鐘：~3.5%

- t = 1 小時：~1% (~34 MW)

- t = 1 天：~0.3% (~10 MW)

- t = 1 週：~0.1%

- t = 1 年：燃料仍因長壽同位素產生可測量的熱量

一千萬瓦的熱量，無限持續，卻沒有電力運轉冷卻泵。這正是2011年3月11日福島第一核電廠的確切情況。

被動 ECCS：AP1000 設計

下一代：被動安全

Westinghouse AP1000（先進被動 1000 MWe）吸取了主動 ECCS 的教訓，並顛倒了設計理念：不再是三組需要動力的泵，所有安全功能都依賴重力、自然循環、壓縮氣體與蒸發。

堆芯補充水箱 (CMT)：兩個安裝在反應堆上方的大型冷硼水箱。通常處於隔離狀態。啟動時，它們透過重力排入反應堆冷卻系統。每個水箱含有足夠的水，可保持堆芯覆蓋數小時。

蓄能器：與傳統電廠相同：氮氣加壓，被動注入。

機殼內補給水儲存槽 (IRWST)：位於機殼建築內、反應爐上方的大型水池。靠重力供水。在 CMTs 耗盡後提供長期冷卻。無泵浦。無電力。

被動殘餘熱移除熱交換器 (PRHR HX)：浸沒在 IRWST 中。自然循環將反應爐的衰變熱帶入 IRWST 水體，水體加熱、沸騰，並透過煙囪排氣至大氣。無泵浦。完全被動。

72 小時窗口：AP1000 安全案例證明無操作員行動及無電力下，可維持堆芯冷卻 72 小時。72 小時後，操作員可從任何來源補充 IRWST 的水。

這種設計多樣性：被動 vs. 主動：就是多樣性重要的原因。AP1000 的安全系統無法被摧毀福島的故障模式擊敗。

[TITLE containment/]

最後物理屏障

圍阻：最終邊界

如果所有其他安全系統失效且燃料損壞，圍阻是放射性物質與公眾之間的最後屏障。它必須承受：來自蒸氣的內部壓力、氫氣燃燒、來自故障設備的飛彈撞擊，並持續必要的時間。

PWR 乾式圍阻：鋼襯裡的鋼筋混凝土結構，通常直徑 140 英尺、高 200 英尺。設計用來承受最大主冷卻劑管線完全雙端斷裂的蒸氣壓力（設計壓力 ~60 psi）。鋼襯裡是壓力邊界；混凝土提供結構強度與生物屏蔽。

冰冷凝器圍阻體：一種較小、低壓力的 PWR 圍阻體設計（用於某些 Westinghouse 電廠），使用數百噸冰來吸收蒸汽能量，並在 LOCA 事故中保持圍阻體壓力低。允許使用較小、較便宜的結構，但需要定期冰塊維護。

雙層圍阻體：某些設計在外部混凝土二次圍阻體建築內放置內部鋼製圍阻體。它們之間的空間保持輕微負壓，因此內部圍阻體的任何洩漏都會在釋放前被收集並過濾。

BWR 圍阻體：Mark I、II、III：通用電氣 BWR 圍阻體較小，因為它們使用壓力抑制池（環形池或濕井）來快速冷凝蒸汽。Mark I（福島的設計）是乾井-環形池配置：環形池是乾井下方的大型甜甜圈形狀水池。弱點：環形池附著在乾井底部。如果環形池失效，圍阻體失效。這正是福島一號機發生的事故。

被動自催化重組器 (PAR)：福島事故後，大多數圍阻體現在包含 PAR：含有催化材料（鈀或鉑）的裝置，能在低濃度下使氫氣與氧氣反應生成水，而無需點火。這可防止氫氣積聚導致爆燃或爆轟。

過濾式安全殼排氣：後福島要求在歐洲及美國日益增加：一條強化排氣路徑，配備多階段過濾系統（文氏管洗滌器 + 金屬纖維過濾器），允許操作員故意排氣安全殼，同時保留 >99.9% 的顆粒放射性。這可防止安全殼因過壓而無控失效。

設計基準及超越設計基準

安全殼的設計目的

設計基準事故 (DBA)：NRC 要求安全殼能夠同時承受以下任何一種：

- 大型破裂 LOCA：最大主冷卻劑管線完全斷裂，最大冷卻劑釋放

- 外部電源喪失 (LOOP) 與 LOCA 同時發生：最需要時無電網電源

- 主蒸汽管線破裂：圍阻體內高能量蒸汽釋放

- 燃料處理事故：燃料組件掉落，受損燃料釋放裂變產物

超出設計基準事件 (BDBA)：9/11 事件後及福島事故後，電廠也必須應對：

- 總站 blackout (SBO)：所有交流電長期喪失（三哩島事故後要求，福島事故後強化）

- 超出設計基準的淹水：福島事故顯示設計基準淹水高度過低

- 飛機撞擊：NRC 要求 9/11 事件後分析故意飛機撞擊；新電廠必須證明結構生存能力

- 乏燃料池冷卻喪失：福島第 4 單位乏燃料池幾乎乾沸；福島事故後要求新增專用 SFP 補水連接

Mark I 漏洞

福島第一核電廠 1、2、3 號機皆採用通用電氣 Mark I 圍阻體。Mark I 使用乾井（圍繞反應爐的燈泡形狀鋼製容器）透過下行管連接至環形抑制池（torus）。乾井中的蒸汽被導向 torus 水體中進行冷凝。

在事故期間，2 號機的 torus 據信已損壞，導致裂變產物直接逸散至反應爐廠房，然後進入大氣，而未通過完整的圍阻體邊界。

關閉系統

反應性控制：三條獨立的關閉路徑

反應爐必須能在任何條件下關閉並保持關閉。不能允許單一故障阻止關閉。一般設計準則 (GDC 26) 要求兩個獨立的反應性控制系統，每個都能使反應爐維持亞臨界。

控制棒驅動機構 (CRDMs)：

- PWR 磁性千斤頂 CRDMs：控制棒由電磁鐵支撐。在失去電源（SCRAM 信號或電源喪失）時，磁鐵去磁能化，棒由重力落下進入堆芯。故障安全：保持棒抽出需要電源。電源喪失 = 自動插入。

- BWR 液壓 CRDMs：棒由下方高壓水驅動。緊急插入使用高壓氮氣快速驅動棒插入。有些 BWR 設計也有用於棒插入的電氣備用系統。

替代棒插入 (ARI)：一個獨立的、多樣化的電氣信號路徑，可獨立於正常 SCRAM 邏輯插入控制棒。用於正常 SCRAM 電路失效時。

預期無 SCRAM 瞬態 (ATWS)：控制棒無法按需求插入的監管情境。ATWS 緩解系統 (ATWS-MF) 提供獨立於正常 SCRAM 的硼注入：通常由獨立感測器組觸發的自動高壓硼注入。

緊急硼化：

- 來自獨立立管的高壓硼注入（獨立於正常充電系統）

- 透過 ECCS 硼注入管線的緊急硼化

- 來自硼酸儲存槽的手動硼化

被動式設計：CANDU 反應爐：CANDU 擁有兩個完全獨立的關閉系統：(1) 依賴重力落下的機械關閉棒，以及 (2) 高壓注入釓硝酸鹽溶液至緩和劑：獨立的物理迴路。這些系統在每個方面皆獨立：不同的作動邏輯、不同的物理系統、不同的原理。

ATWS 分析

1979 年三哩島 2 號機組測試期間，一項維護錯誤導致反應堆跳脫（SCRAM）在測試中未能發生。此事件被迅速察覺。但這促使 NRC 要求所有電廠安裝 ATWS 緩解系統：因為「不可能失效」的系統，事實上已經失效。

PWR 中的 ATWS 事件：反應堆功率激增。控制棒無法插入。緊急硼注入是最後一道防線。

三層電源架構

核電廠電能系統：三個獨立層級

核電廠必須確保其安全系統無論電網或自身發電設備發生何種狀況都能維持電力供應。電源架構有三個層級：

層級 1：正常運作：電廠由主汽輪發電機產生自身電力。輔助負載（泵浦、風扇、控制系統）透過單位輔助變壓器由電廠自身輸出供電。

第 2 層：場外電源（首選交流電源）：如果主發電機跳脫，電廠會透過啟動/備用變壓器連接到電網。NRC 要求至少兩條來自不同變電站的獨立輸電線：如此一條輸電線故障就不會導致場外電源完全喪失。

第 3 層：緊急柴油發電機 (EDGs)：如果場外電源喪失，EDGs 會自動啟動並在 10 秒內負載安全匯流排。NRC 要求：

- 每個 EDG 必須在收到啟動訊號後 10 秒內達到額定電壓與頻率

- 燃料儲存：全負載下至少 7 天（NRC 監管指南 1.9）

- 測試：每月負載測試 + 每 24 個月 24 小時耐久測試

- 負載順序連接：安全負載依序連接，以避免柴油機啟動時過載

站用電池：用於儀表、控制室面板、緊急照明、SCRAM 致動電路、ATWS 致動及通訊的直流電源。必須至少供應負載 2 小時（Class 1E）；大多數電廠設計為 4-8 小時。當交流電恢復時，電池充電器會恢復電池。

後福島 FLEX 策略：NRC 命令 EA-12-049 要求所有電廠具備可攜式泵浦與發電機，無論現場條件如何，都能在規定時間內部署。FLEX 設備分階段置於多個地點（有些在堅固結構中，有些在場外），並可連接到反應爐冷卻與乏燃料池系統的硬化外部連接點。

柴油發電機要求

三哩島 2 號機，1979 年：事故序列涉及汽輪機跳機，接著失去給水，隨後一系列複雜事件導致堆芯損壞。緊急柴油發電機在整個事件中啟動並正常運轉。

福島第一核電廠，2011 年：地震導致反應爐 SCRAM。所有六台柴油發電機啟動並運轉。然後海嘯來襲。1-3 號機的柴油發電機位於地下室，遭淹水。6 號機的柴油發電機位於較高位置並倖存。5 與 6 號機未遭受堆芯損壞。

反應堆保護系統

反應爐保護系統 (RPS)

反應爐保護系統是自動系統，當監測參數超過安全限制時，它會啟動反應爐 SCRAM（快速關閉）。它是對瞬態現象的第一道自動防禦。

可啟動 SCRAM 的監測參數：

- 高中子通量（高功率）

- 高反應爐冷卻劑溫度

- 低反應爐冷卻劑壓力（潛在 LOCA）

- 高圍阻體壓力

- 低反應堆冷卻劑流量

- 高冷卻劑水位 (BWR)

- 低低水位 (BWR)

- 外部電源喪失

- 手動跳機 (操作員啟動)

投票邏輯：每個參數由四個獨立感測器測量，每個感測器位於獨立的保護通道中。SCRAM 需要 2-of-4 通道超過設定值。這意味著：

- 單一故障感測器 (假高讀數) 無法造成誤跳機

- 任何兩個通道超過設定值即會觸發跳機

- 單一通道失效（錯誤地讀取低值）仍留下三個通道，仍具備 2-of-3 能力

多樣化且專用致動系統 (DDAS)：現代數位 RPS 系統具有類比備份：DDAS，可獨立於數位 I&C 啟動安全功能。這提供了多樣性：數位和類比系統可能因完全不同的原因失效，一個失效不會阻止另一個運作。

2-of-4 與 2-of-3 邏輯

RPS 使用 2-of-4 投票來啟動 SCRAM（四個感測器，兩個必須同意才觸發跳機）。但個別感測器向致動系統報告時，每個列車內使用 2-of-3 投票（三個測量值，兩個必須同意才致動特定安全功能，如 ECCS）。

這些不是同一件事，而且理解它們的差異很重要。

最低人員配置

人工監督：思考的層級

核電廠運作需要持照人員全時值班。NRC 10 CFR 50.54(m) 規定最低人員配置要求。最低限度，運作團隊包括：

反應爐操作員 (RO)：NRC 核准執照（10 CFR 55）。直接操作反應爐控制、主控制板及安全系統。在功率運作期間必須持續位於控制台。

高級反應堆操作員 (SRO)：較高的 NRC 執照。監督 RO。擁有獨立啟動停機的權力。在異常事件中審查並批准 RO 的行動。輪班中的 SRO 不能與 RO 是同一人。

輪班主管 (SS)：資深 SRO 執照持有者。負責輪班期間整體營運行為及電廠安全。現場對電廠營運的最終權威。

輪班技術顧問 (STA)：三哩島事故後要求 (NUREG-0737)。指派給每個輪班的執照工程師，專門在異常事件中提供獨立技術支援：不受操作控制干擾，完全專注於診斷事件。

為什麼需要多人？人類層面的縱深防禦。一名處於壓力的 RO 專注於執行程序，可能錯過大局。SRO 提供獨立監督。STA 提供獨立技術分析。輪班主管維持情境意識。沒有單一的人類認知失誤能阻止電廠被安全控制。

人類效能工具

減少人為錯誤：系統性工具

核能產業已針對不同任務類型量化人為錯誤率。在壓力下的複雜決策錯誤率可能超過 1/10。產業針對關鍵任務目標錯誤率為 1/1,000 或更好，並透過系統性人力績效工具達成。

任務前簡報：在任何重大任務前，進行簡報涵蓋：任務目標、危害、預期條件、驗證完成的步驟、停止條件（如果發生 X，則停止並呼叫主管）。需時 5-15 分鐘。大幅減少任務執行錯誤。

STAR (Stop, Think, Act, Review)：針對每個關鍵動作的自檢技巧。Stop：動作前暫停。Think：我即將做什麼，這正確嗎？Act：執行動作。Review：結果是否如我預期？這兩秒暫停可捕捉轉置錯誤、錯誤閥門選擇及認知捷徑。

三方溝通：針對所有安全重大口頭指令：(1) 發起者陳述指令：「將閥門 HV-233 切換至開啟位置。」(2) 接收者逐字重複：「將閥門 HV-233 切換至開啟位置。」(3) 發起者確認：「正確。」未在此次交流中被捕捉到的溝通錯誤極為罕見：需雙方皆聽錯或記錯。

雙人完整性：對於某些高後果操作（與安全相關、來源處理），必須有兩名持照人員在場，並相互驗證對方的動作。任何一人均無法獨自執行敏感動作：第二人必須親自在場並確認每個步驟。

疲勞管理：NRC 10 CFR 26 規定限制：每日最大工作時間 16 小時，返回勤務前至少 8 小時休息，每週最大 54 小時，加班下每週最大 72 小時。疲勞會像酒精中毒一樣嚴重損害決策能力：這些限制不是生產力建議，而是安全要求。

緊急操作程序

在三哩島事故（1979 年）之前，核電廠使用事件導向的緊急程序：如果發生 X 事件，則執行程序 X。操作員必須正確識別事件後才能採取行動。

在 TMI，操作員收到矛盾的指示。一個壓力釋放閥卡住開啟：這是一個小破損 LOCA：但操作員誤判事件並遵循錯誤的程序。到正確診斷時，已經發生嚴重的堆芯損壞。

TMI 之後，產業發展出基於症狀的緊急操作程序 (EOPs)。操作員不再是「識別事件，選擇程序」，而是遵循：「觀察症狀，針對那些症狀採取保護措施，而不管你認為事件是什麼。」

關鍵的基於症狀的進入條件：反應爐冷卻劑水位、壓力或溫度的任何意外變化，不管原因為何，都會觸發相同的堆芯冷卻驗證序列。

ALARA：盡可能低可達成

輻射防護工程

ALARA：盡可能低可達成：不僅僅是劑量限制。它是一種哲學：劑量應被驅動到盡可能低，不僅僅是保持在法律限制以下。NRC將ALARA規定為監管要求（10 CFR 20.1101），而非僅僅是良好實踐。

外部劑量管理：三個經典控制：

- 時間：將輻射場中的時間減半，劑量減半。預先規劃的工作順序可最小化在高劑量區域的不必要時間。

- 距離：劑量率遵循平方反比定律。從點源的距離加倍，劑量率減為四分之一。从六英尺而非三英尺工作，可將劑量減少75%。

- 屏蔽：鉛、混凝土、水與聚乙烯可衰減不同類型的輻射。半值層 (HVL) 是將強度減半的厚度。典型伽馬的鉛 HVL：~1 cm。混凝土 HVL：~6 cm。經過十個 HVL（10 TVL = 第十值層）後，強度減至原來的1/1,000。

內部劑量管理：

- 體內的放射性物質會持續照射器官，直到其衰變或排出

- 途徑：吸入（氣溶膠、氣體）、攝入（受污染的食物/水）、經皮膚吸收（罕見）

- 衍生空氣濃度 (DAC)：若吸入2,000小時/年，將達職業劑量限值的放射性核素空氣濃度。呼吸器與負壓圍護可防止吸入劑量。

- 年攝入量限制 (ALI)：提供職業劑量限制的總攝入量（吸入 + 攝入）

職業劑量限制 (10 CFR 20)：

- 每年 5 rem (50 mSv) 總有效劑量當量

- 每季度 3 rem (30 mSv)

- 每年對眼晶狀體 15 rem (150 mSv)

- 每年對皮膚或四肢 50 rem (500 mSv)

- ALARA 規劃的劑量約束：2 rem/年（廠特定行政限制通常更低）

污染控制：

- 輻射控制區 (RCAs) 具有受控進出，出口處進行巡查

- 步離墊：位於 RCA 出口處的紙張或塑膠；在此更換鞋套以避免攜帶污染

- 全身體計數：在可能有內部污染的區域工作後，全身體伽瑪計數偵測內部攝取

- 生物測定計劃：尿液與糞便分析量化特定同位素的內部劑量

ALARA 實務應用

輻射工作者必須在高輻射區域更換一個閥門。閥門位置的劑量率為 500 mrem/小時。工作需要 30 分鐘完成。工作者截至目前的年度劑量為 1,200 mrem，對應工廠行政限制為 2,000 mrem/年。

使用 ALARA 原則及三項控制措施，評估此工作是否可進行，並識別至少兩個具體動作來降低劑量。

三哩島（1979）

三哩島 2 號機組：1979 年 3 月 28 日

TMI 並非設計失敗：它是人類與程序層面的多層防護失敗。

發生了什麼：

- 汽輪機跳機導致反應爐 SCRAM（自動：正常運作）

- 壓力釋放閥 (PORV) 開啟（正確）但卡住開啟（設備故障）

- 控制室指示器僅顯示閥門已接收到關閉訊號：而非其實際已關閉

- 冷卻劑從卡住開啟的 PORV 洩漏。反應爐內的壓力與溫度下降

- 操作員誤判症狀為冷卻劑過多，並減少緊急冷卻注入：這正好與所需相反

- 超過兩小時，反應爐堆芯部分暴露

- 約一半堆芯熔毀

圍阻體的作用： 它承受住了。儘管堆芯嚴重損壞且圍阻體內累積氫氣，圍阻體結構仍保留了幾乎所有裂變產物。場外劑量後果輕微：無輻射對公眾健康的影響。

TMI 事故後改進措施 (NUREG-0737)：

- 以症狀為基礎的 EOP（取代事件為基礎）

- 每個班次配備輪班技術顧問

- 用於機組訓練的 NRC 認證全範圍模擬器

- 事故後監測儀器 (PAM)：直接反應堆冷卻指示器，具備 AC 獨立電源的合格顯示面板

- 修訂控制室設計標準 (NUREG-0700)

- 改善操作員執照考試要求

車諾比（1986）

車諾比 4 號機組：1986 年 4 月 26 日

車諾比與 TMI 的性質不同：主要是設計缺陷結合故意繞過安全系統。

發生了什麼：

- 電壓穩定性測試要求反應爐以低功率運行（~200 MW，相較於額定 3,200 MW）

- 在低功率時，RBMK 反應爐具有正空泡係數：冷卻劑中的蒸汽氣泡會增加反應性

- 控制棒有設計缺陷：石墨尖端在首次插入時會取代水，導致反應性最初增加，然後中子吸收部分才進入堆芯

- 測試被延遲；夜班人員未受過該測試訓練

- 多個安全系統被故意停用以進行測試

- 按下緊急停機按鈕（AZ-5）時，石墨棒尖端導致反應性激增，而非預期的SCRAM

- 功率在數秒內激增至30,000 MW：約為額定功率的10倍

- 燃料與冷卻劑閃蒸成蒸汽，引發蒸汽爆炸摧毀反應爐

- 石墨火燃燒10天，將裂變產物散布至歐洲各地

無圍阻體：RBMK沒有完整的圍阻建築。反應爐坐落於一個大型工業建築內，無壓力保持能力。當反應爐被摧毀時，沒有最後一道屏障。

車諾比事故後的變更：

- RBMK 設計修改：移除低功率下的正空泡係數，重新設計控制棒尖端，增加額外的中子吸收劑

- 國際核安全公約加強

- IAEA（INSAG-7）正式化核安全文化概念

- 西方監管強調圍阻體作為不可妥協的要求

三起事故，三個教訓

你現在已經知道三個主要的民用核能事故：TMI (1979)、Chernobyl (1986) & Fukushima (2011)。每個事故都揭示了不同類型的縱深防禦失效。

風險量化

PRA：從「足夠安全」轉向「有多安全？」

確定性安全分析認為：設計工廠以承受這些特定事故。機率風險評估（PRA）提出不同的問題：考慮所有可能出錯的方式，實際發生的機率是多少？

堆芯損壞頻率 (CDF)：反應堆堆芯在任何給定年份中遭受重大損壞的機率。NRC 的安全目標：CDF < 1×10⁻⁴ 每反應堆年（每 10,000 反應堆年一次）。現代工廠通常達成 CDF < 1×10⁻⁵（每 100,000 反應堆年一次）。

大量早期釋放頻率 (LERF)：放射性物質大量、早期釋放到環境中的機率（在疏散完成之前）。NRC 安全目標：LERF < 1×10⁻⁵ 每反應堆年。

故障樹：圖形邏輯圖，顯示導致定義頂層事件（例如「ECCS 無法向堆芯輸送水」）的組件故障組合。使用 AND 閘（所有必須故障）& OR 閘（任一故障即足夠）。AND 閘降低機率（需要多重同時故障）。OR 閘增加機率。

事件樹：圖形圖表，從起始事件（例如「發生大斷裂 LOCA」）開始，依據安全系統成功或失敗追蹤後果。每個分支代表安全功能的成功或失敗。終端節點為事故序列：安全停堆、堆芯損壞、大量釋放。

重要性度量：PRA 識別哪些組件與系統對風險貢獻最大。

- Fussel-Vesely (FV) 重要性：組件故障貢獻的 CDF 比例。高 FV = 此組件非常重要。

- Risk Achievement Worth (RAW)：假設此組件故障時，CDF 增加多少。高 RAW = 此組件不得長時間停機。

RAW 驅動維護與測試排程：高 RAW 組件需頻繁測試與短允許停機時間。

PRA 與維護排程

一座核電廠有三台緊急柴油發電機（A、B、C）。PRA 分析顯示：

- 三台皆可運作時的 CDF：2×10⁻⁵ /年

- 柴油機 A 因維護停機時的 CDF：8×10⁻⁵ /年（增加 4 倍）

- 柴油機 A 與 B 同時停機時的 CDF：4×10⁻³ /年（增加 200 倍）

維護團隊希望同時將柴油機 A 與 B 停機進行為期 30 天的重大檢修。

乏燃料：長期的義務

乏燃料：主動與被動管理

燃料在反應爐運轉 3-5 年後移除時，會極度放射性且因衰變熱而熱度很高。相同的衰變熱曲線適用：立即為額定功率的 7%，並在數年內逐漸下降。

乏燃料池 (SFP)：移除後立即將乏燃料組件置入乏燃料池：一個通常深 40 英尺的水填充池盆，位於反應爐建築旁。水有雙重作用：冷卻與屏蔽（燃料上方的水吸收輻射，讓池甲板上的工人接收低劑量）。

乾式容器前的最短池冷卻時間：PWR 燃料約 5 年。燃料必須冷卻至乾式容器中的被動空氣冷卻能夠處理剩餘衰變熱，而無需任何水。

Zircaloy 火災風險：如果乏燃料組件暴露（池水喪失），zircaloy 包殼在高溫下會在空氣中氧化。不同於產生氫氣的蒸汽-zircaloy 反應，紅熱溫度下的空氣-zircaloy 氧化可維持 zircaloy 火災：一種自持的放熱反應。福島第四單元的乏燃料池在數日內即將達到可能發生此情況的溫度。

福島事故後 SFP 要求（NRC 命令 EA-12-051）：

- SFP 水位與溫度的可靠儀器

- 能夠從多樣來源向 SFP 補充水的能力

- 在長時間斷電情境下維持或恢復 SFP 冷卻的策略

乾式桶儲存：在池中存放 5 年以上後，燃料會被轉移至乾式桶：焊接鋼製容器，周圍環繞混凝土或高密度聚乙烯屏蔽。冷卻完全被動：透過外結構通風口的自然空氣對流。無需電力。設計壽命：100 年以上。目前僅美國就有超過 90,000 公噸重金屬以乾式桶儲存。

高階廢棄物處置：乏燃料被分類為高階核廢棄物。美國法律（《核廢料政策法》）指定內華達州的尤卡山為永久儲存庫：但由於政治反對尚未開放。NRC 要求儲存庫提供 10,000 年的封閉（EPA 標準：10,000 年後的劑量為 100 萬年）。深地質處置利用岩層本身作為主要屏障，工程屏障（玻璃玻璃化、金屬罐、膨潤土黏土）作為額外層。

低階廢棄物 (LLW)：受污染的衣物、工具、過濾器、樹脂。三種 NRC 分類：

- A 類：最低活性、最短壽命同位素。淺層土地掩埋，100 年隔離要求

- B 類：中等活性。淺層掩埋，300 年隔離

- C 類：較高活性、較長壽命同位素。需要 500 年隔離；近表面處置需更多工程屏障

體積減量技術（焚燒、壓縮、熔融）為最小化處置空間而強制實施

乾式貯罐安全案例

一位批評者主張乾式貯罐儲存不安全，因為貯罐沒有主動冷卻、沒有電源連接，且置於戶外的混凝土墊上。一位核子工程師回應說，乾式貯罐實際上可能比乏燃料池更安全。

縱深防禦：全貌

核安全工程：一門系統學科

您現在已經研究了核安全工程的每一層。退後一步，看看整個系統：

物理屏障（燃料基質、包殼、壓力容器、圍阻體）是被動的：它們無需任何動作即可運作。它們是基礎。

安全系統（ECCS、RPS、EDGs、DDAS）是主動的，並有被動備份（蓄能器、重力水箱、電池）。每個功能有三個獨立的支路。每個支路都是100% 能力的。主動與被動方法是多樣化的。

儀器設備（RPS、ECCS 啟動、PAM）監測數十個參數，使用 2-of-4 投票邏輯：抵抗誤跳閘，並抵抗會阻止跳閘的感測器故障。

程序（基於症狀的 EOPs）引導操作員採取保護措施，而無需正確診斷。TMI 事故後。不可或缺。

人因工程（人員配置、訓練、人類表現工具、疲勞限制）降低人類層失效的機率。TMI 事故後 STA 要求。模擬器訓練。工作前簡報。STAR。三方溝通。

管理與安全文化確保安全不會為了效率而被犧牲。車諾比事故後 INSAG-7。車諾比的教訓是：由管理層停用的安全系統就是不存在的安全系統。

監管（NRC 10 CFR 50、IAEA 標準、定期檢查）提供最高層次的獨立監督。一個不檢查的監管機構就是不存在的監管機構。

三大重大事故揭示，防禦縱深並非因單一戲劇性故障而失效，而是因多層同時出現的小故障、不正確假設及不充分裕度的組合而失效。安全案例的強度僅如其最弱的同時組合。

最終整合

最終問題：最難的一題

一項新提出的反應爐設計宣稱其安全度極高，因此只需單一 ECCS 系統（而非三個）、無需緊急柴油發電機（僅被動冷卻），以及簡化的輪班模式，每班僅兩名操作員而非四名。

設計師主張：「被動冷卻意味著不需要電力，因此柴油發電機是不必要的。反應爐因物理原理不可能熔毀，因此簡化人員配置是合理的。」