黃平輝譯
台電公司核發處專業工程師
引言
於101年3月6日在福島事故將滿週年之際,卡內基國際和平基金會(Carnegie Endowment for International Peace,為全世界最大智庫之一)特別舉辦「One Year On: Assessing Fukushima’s Impact」會議,會議之首要議題為「福島事故是否可以避免?」,基金會同時在其網站發表「福島事故為何可以避免」(Why Fukushima was preventable)報告,該報告由James Acton及Mark Hibbs撰寫,作者認為這次事故不只是無法避免的「天災」,而是「核能管制和核能電廠設計」失效的結果,此兩者都已落後國際的「最佳做法」 (Best Practices)和標準。如果這些最佳做法和標準被注意並採用,福島第一核能電廠的風險可能已被認知,而且避免發生重大事故的有效措施可能已被採用,因此作者相信福島事故是可以避免的。
該報告的結論和幾個月後日本國會成立的福島核能電廠事故獨立調查委員會的結論相若,委員會在今年7月5日公佈的報告書指出,去年的福島核災顯然不只是肇因於海嘯,而是「人為災難」。這場災難原本是可以預見和避免的,但卻沒有做好準備,如果事前採取更有效的因應措施,地震及海嘯後所造成的危害就會減輕很多。
相對地,該報告作者對於台灣核能電廠的事故因應設施有很高的評價,在撰寫報告時也曾向本公司洽詢資料,認為本公司在建置事故因應設施時比其他核能業者更審慎;該報告在嚴重海嘯之防護能力方面,以台灣核能電廠為「最佳做法」之範例,包括建置設施時充分利用電廠地形狀況,設施高程都超過海嘯設計基準,除緊急柴油發電機外,還有氣冷式氣渦輪發電機、生水池等可用(詳如本文第柒(二)節)。內容相當正面。
該報告在101年3月下旬舉行之第十八屆太平洋盆地核能會議獲大會邀請貴賓特別提出討論,內容頗具參考價值,因此取得該報告作者Mark Hibbs同意予以翻譯,但因報告內容共有40頁,無法全部登出,故僅節譯較為相關部分。
摘要
在2011年3月11日日本福島第一核能電廠事故發生後,在許多國家,公眾的想法已轉為反對核能。放射性物質的大量外釋已造成重大的人類苦難,並導致大範圍的土地不適於居住。清理工作需要數十年時間,也可能需要數千億美元。
然而,福島事故是可以避免的。若該電廠的業主東京電力公司(TEPCO)和日本的管制機關「原子能安全保安院」(Nuclear and Industrial Safety Agency, NISA,簡稱「原安院」)遵照國際最佳做法和標準,應該會預測到電廠遭受大規模的海嘯襲擊的可能性。若該電廠的設計在之前已按照最先進的安全做法更新,電廠應可安全承受海嘯的襲擊。
東京電力公司和原安院用來評估海嘯風險的方法至少在三個重要方面落後於國際標準:
• 不夠重視大約每一千年發生一次,將電廠周邊地區淹沒的大海嘯之證據。
• 模擬海嘯威脅的電腦模式並不適當,最重要的是,在2008年東京電力公司執行的初步模擬,結果顯示電廠的海嘯風險已被嚴重地低估,此資料並未被追蹤,一直到2011年3月7日才提報給原安院。
• 原安院未能審查東京電力公司執行的模擬,和促成適當的電腦模擬工具之開發。
在事故發生當時,核能電廠內關鍵的安全系統,在一些國家,特別是在歐洲國家,受到遠比日本更好地保護。在1999年發生法國Blayais核能電廠淹水事件後,歐洲國家顯著地強化了他們的電廠對極端的廠外事件之防護能力。日本經營者知道此經驗,東京電力公司可以,也應該更新福島第一電廠之防護能力。
當電廠被大海嘯淹沒時,例如在2011年3月襲擊電廠的情況,避免發生重大事故的步驟包括:
• 保護緊急電源設備,包括柴油發電機和電池,將其移到更高的地方或置於水密的保護室(bunker)內。
• 在緊急電源和關鍵的安全系統之間建立水密的連接;和
• 加強海水泵(用來將熱量從電廠傳給海洋,及冷卻柴油發電機)的保護,及/或建置移熱的後備方法。
雖然對東京電力公司和原安院的未能遵照國際最佳做法和標準,並無法以單一的理由解釋,但可以指出若干可能的根本原因。原安院與負責推動核能的政府機構和核能產業兩者之間,都存在缺乏獨立性的問題。在日本核能產業一直只專注於地震的安全,而排除其他可能出現的風險。官僚的作風和專業的傲慢,使得核能官員不願聽取核能領域以外專家的意見。核能專業人員也可能未能有效利用本地的知識;而且,也許最重要的是,許多人認為嚴重事故根本是不可能發生的。
總而言之,福島事故並沒有揭露與核能電廠相關、以前不知道的致命缺陷,相反地,張顯因應動態的外部威脅和不斷演進的最佳做法,定期地重新評估電廠安全的重要性,以及一個有效的管制機關來監督這一過程的需要。
壹、導言
2011年3月11日發生的福島第一核能電廠事故,已對核能的前景造成極大的影響。有關核能的辯論,本來就是一定會有爭議,而福島事故更進一步使安全顧慮成為辯論的焦點。由於大量的放射性物質外釋到環境中,造成超過30萬居民由電廠附近撤離,後續的除污工作將需要幾十年和幾百億美元的費用(如果不是幾千億美元的話)。批評者認為核能太危險,無法接受。但他們是否正確呢?核能發電能否進一步改善使其更安全嗎?問題的答案很大程度取決於核能電廠在本質上是否容易因發生少見但極端的廠外事件而受損,或者是能否預測並防護這類事故。
截至目前為止,民用核能電廠總共發生三個嚴重事故,其中有兩個導致大量的輻射外釋,平均起來約為每運轉7500反應器年發生一個重大的輻射外釋事故。「國際原子能總署」 (International Atomic Energy Agency, IAEA)的「國際核能安全團體」(International Nuclear Safety Group)認為如果最佳做法被採行,現有核能電廠發生重大輻射外釋的頻率應該會減至約十五分之一;的確,為使核能在社會和政治上能獲得廣泛的接受,這種規模的改善可能是必要的。
很明顯的,福島事故前的兩個重大核能事故:1986年的車諾比和1979年的三哩島(涉及大量的核燃料損壞,但相對較小的輻射外釋量),都是可以避免的。在這兩個案例,原因都是不當的運轉員訓練和反應器設計的缺失,加上對潛在的風險的認識不足。更好的訓練和更好的設計(此為全世界核能產業已取得重大進展的範疇)應可避免類似事件再次發生。
相較之下,福島事故至少在表面上,似乎是非常不同的。電廠先被大規模的地震、然後被海嘯所襲擊,引發了一連串導致燃料熔化和重大的廠外輻射外釋的事件。此事故的發生,強化了世界各地,從日本到瑞士、德國到印度,有關「核能發電的高風險是無法接受的」之公眾觀感。
不過,在福島事故發生一年後,逐漸顯示這場大災難不只是無法避免的「天災」( act of god),有越來越多的證據顯示這次事故是「核能管制和核能電廠設計」失效的結果,此兩者都已落後國際的最佳做法和標準。如果這些最佳做法和標準被注意並採用,福島第一核能電廠的風險可能已被認知,而且避免發生重大事故的有效措施可能已被採用。根據這個觀念,我們相信福島事故就如同之前的兩大核能事故,是可以避免的。
貳、事故序列
2011年3月11日,在當地時間下午2點46分,芮氏規模9.0的強震襲擊了日本,地震震央位於仙台市以東約80公里的太平洋,進而引發強大的海嘯。此地震為自有記錄以來日本最大的地震,根據「美國地質調查」(United States Geological Survey),為自1900年以來世界第四大的地震。
福島第一核能電廠有六個機組,地震發生時有三個(一、二、三號機)正在運轉,而四、五、六號機正處於停機狀態進行維修。沸水式反應器的簡化截面圖如圖 1所示。
圖 1 沸水式反應器的簡化截面圖
當地震來襲時,運轉中的機組自動地「急停」,即控制棒被插入反應器爐心以抑制核分裂反應。儘管如此,如同所有反應爐在停機後一樣,反應爐仍需要冷卻,此因運轉過程中累積之高放射性物質會繼續衰變及產生熱量。
當反應爐已停機而不再產生電力時,福島第一反應爐的停機後冷卻系統如同所有當前運轉中的反應爐,需要替代電源(雖然每個反應爐有一個系統在沒有電源的情況仍具有限之功能),因為所有六條從日本電網至電廠的廠外電源線路都已被地震所破壞,廠內的緊急柴油發電機開始運轉,在仍有電力可用的情況,二和三號機在海嘯來襲前,爐心冷卻繼續正常地進行。一號機則由於未知的原因,爐心的溫度和壓力下降比預期的快;為了避免損壞反應器壓力容器及遵守電廠的運轉程序書,運轉員反復的開啟和關閉緊急冷卻系統以減低冷卻的速度。系統剛好在海嘯摧毀所有廠外電源後失去功能,若系統能繼續運作,一號機後續之事故序列可能會以更慢的速度展開。
地震發生後約45分鐘,電廠被一系列造成嚴重損害的海嘯所淹沒。當時營運中的12部緊急柴油發電機有11部發生故障(有一部連接至六號機的仍可運作),此因緊急柴油發電機需要水冷卻,因為海嘯摧毀了海水泵而使得冷卻變得不可能。這導致一至五號機完全喪失來自廠內和廠外電源的交流電源,此情況被稱為「電廠全黑」(station blackout)。電廠配備了直流電池以因應「電廠全黑」事故;然而,一和二號機的電池因淹水而無法供電;三號機的電池繼續運作約30小時,遠遠超過8小時的設計壽命。此外,可將廠外電源連接到電廠的配電匯流排也被海水淹沒而嚴重損壞。負責將反應器爐心取出的熱量傳送到海洋(所謂「最終熱沉」(ultimate heat sink))以及冷卻大部分緊急柴油發電機的海水泵和其馬達,因被安裝在比反應器廠房還低的位置,故被海水淹沒而完全損毀。因此,即使電力已可用來驅動緊急冷卻系統,熱量還是無法移除。
在其後三天,地震發生時正在運轉的三個反應器,一個接著一個喪失爐心冷卻能力,造成喪失冷卻水事故:在無冷卻情況下,反應器壓力容器中的水沸騰,反應爐水位下降,核燃料裸露,隨後造成爐心熔毀。在此情況下,「爐心熔融物」(corium,為燃料和反應器組件的熔融混合物)可熔穿鋼質反應器,再熔穿混凝土和鋼筋構成的一次圍阻體,直到底下的泥土中,從而增加釋放到環境的輻射量。電廠的業主東京電力公司(TEPCO)使用極為保守的假設,進行模擬之結果顯示即使在最壞情況下,「爐心熔融物」熔穿所有福島第一電廠三個損壞機組的反應器壓力容器,將不會完全貫穿圍阻體(儘管在一號機可能會達離外側鋼襯板37公分,或 15 英寸以內)。其他模擬顯示雖然燃料可能會熔化並沉積在壓力容器底部,並不會熔穿壓力容器。然而值得強調的是,損壞的真確程度只有在壓力容器和一次圍阻體可以直接觀察時才能知道,離現在還要再等幾年。
大量的放射性物質從損壞的燃料外釋到環境中。當冷卻水蒸發變成蒸汽,一次圍阻體內的壓力增加,產生允許輻射外釋的裂縫。在延遲一段時間後,當工作人員進行圍阻體洩壓,試圖減少內部壓力時,更多的輻射伴隨氣體被釋放出去,過程中氫氣及放射性物質洩漏至反應器廠房上層工作區域。然而在海嘯發生後的 4 天內,由一、三、四號機的反應器廠房內發生的一連串爆炸,導致更多的輻射被釋放。當反應器過熱及燃料熔化時產生易燃的氫(大部分是由蒸汽與燃料外圍鋯護套的反應生成)。氫在一、三號機反應器廠房內累積,最終發生爆炸。氫可能也經由三、四號機共用的排氣系統,由三號機洩漏至四號機,在四號機造成爆炸。
在 2011年 6月向國際原子能總署解釋這次事故的報告中,日本政府估計此事故釋放到大氣中的輻射量約為車諾比事故釋放的輻射量的15%,車諾比事故造成超過 20 萬人永久的撤離,最終可能會導致數千「額外的」癌症,在反應器爐心內的嚴重爆炸使燃燒的燃料對環境直接暴露後,蘇聯當局有多日未能防止不間斷的大量輻射外釋。相較之下,在福島事故,爐心內的燃料存量有顯著更多被圍堵在爐心內,日本當局能夠更迅速和有效地減輕事故對人類健康的影響。不論如何,福島事故的輻射外釋量仍有爭議,估計的外釋量在有更多的資訊可用時可能會改變。遠遠較小量的輻射被釋放到太平洋,大部分是經由用來冷卻反應器之受污染的水溢出之釋出方式。
在2011年 12月 16日,日本官員宣佈福島第一電廠已進入「冷停機」的狀態。此聲明導致一些反應器安全專家的批評,理由是造成「受損的福島第一機組比任何停機後的未損壞反應器,已不會構成更大的風險」的虛假印象。雖然此一批評當然有些道理,此聲明如果被理解為電廠的業主和官員基於下述電廠狀態的判斷是合理的:電廠爐心的剩餘部分現在正被穩定地冷卻,放射性排放量已被降低至接近可接受的水準,除非發生不可預見的事故,現狀可以無限期地維持下去。
儘管如此,該廠區的完全復原可能需要30或40年,其最大的挑戰可能是移除所有熔化的燃料。完成復原之路將是極其冗長而且昂貴的。
參、指認關鍵問題
有關事故序列仍有很多問題尚待釐清,其中包括電廠運轉員所採取的減緩事故之行動。與國際原子能總署調查團的報告(其對電廠運轉員是高度讚許的)相反,由日本政府委任來調查這次事故的一個委員會之臨時報告中對一、三號機電廠運轉員耽誤實施緊急冷卻程序,表示直接的和重大的批評;然而,此委員會並未聲稱更快的回應就可阻止這些機組爆炸,在有更多的資訊可用之前暫不做判斷。在未來幾個月,運轉員所採取的行動無疑會受到相當大的關注;在評估這些行動時,有必要牢記兩個要點。
第一,這次事故的發展極為快速。表一顯示了由日本的管制機關原子能安全保安院和東京電力公司估計的地震發生後至發生下列情況的時間長度:(i)燃料裸露,(ii)燃料開始熔化,和(iii)熔化的燃料開始損壞反應堆壓力容器。在一號機,緊急冷卻系統(RCIC)似乎在海嘯發生後立即失效,燃料在兩個或三個小時後開始損壞(即地震後三個或四個小時),不過,大部分時間運轉員是在不清楚情況下盲目地操作。一、二號機主控制室內的所有儀器在海嘯後都已失效,在一些儀器已修復、運轉員有理由推測緊急冷卻系統已失效時,已是接近三個小時以後,在運轉員可以合理地知道有問題時,燃料損壞已經迫在眉睫。
二、三號機之事故發展稍為緩慢,這些機組的緊急冷卻系統分別在約70及35個小時後發生故障,燃料在7個或8個小時後開始損壞(分別是地震後大77和43個小時)。
表一 事故的發展
地震發生至發生下列情況的時間長度(以小時為單位)
|
|
燃料裸露
|
燃料開始熔化
|
反應堆壓力容器損壞
|
一號機
|
原子能安全保安院
|
2
|
3
|
5
|
東京電力公司
|
3
|
4
|
15
|
二號機
|
原子能安全保安院
|
75
|
77
|
80
|
東京電力公司
|
75
|
77
|
109
|
三號機
|
原子能安全保安院
|
41
|
44
|
79
|
東京電力公司
|
40
|
42
|
66
|
第二,電廠運轉員所面對之電廠廠區的狀況是真正令人震驚的。國際原子能總署的報告指出:
「在初步反應的期間,工作是在極惡劣的狀況下進行,而且有未遮蓋的人孔和地面的裂縫及下陷;晚上的工作是在黑暗中進行的,路上有很多的障礙物如海嘯產生的殘骸及由一、三、四號機中爆炸產生的瓦礫等擋住。執行所有的工作時都要配戴防毒面具和防護服,而且大部分是在高輻射場所進行。」
為了修復儀器,運轉員不得不在電廠搜尋(包括從他們自己的汽車)連結到控制盤面的電纜和電池 (有一個案例是在黑暗中進行,在與一號機共用的控制室內二號機的一側沒有照明),現場緊急控制中心與每個控制室之間的通信,只剩下一個有線電話線路可用。因為準備極為不足,廠外核能緊急應變總部不得不撤出。現場間歇的爆炸不只是危險,也阻礙了救援工作,例如,提供電源和水給二號機的一條電纜和一條軟管就被一號機爆炸的破片所毀壞。最後,工作人員承受到極不尋常的身體和心理壓力。事實上,事故發生的早期階段,很多人不知道他們的家屬在災害之後是否還活著。
對評估福島第一核能電廠事故,上述兩項觀察具有重要的意含。由於「電廠全黑」事故下運轉員採取行動可用的時間很短,而且他們可能工作的情況下有極不尋常的壓力,極端的廠外事件後應採取的行動和用以防止燃料損害的措施,必須事先準備好,必須廣泛地演練,以及必須只依賴本地的資源,才可能有實在的成功機會。這些準則福島第一核能電廠都不符合。
因此,我們認為將事故的大部分責任歸罪於運轉員在海嘯後採取(或未能採取) 的行動,如同官方調查委員會的作法,是不公平的。此外,鑒於完全喪失交流電源潛在的挑戰,很明顯的,預防是管理的最佳形式。為此目的,事故所點出的關鍵的問題應是:「福島第一核能電廠的海嘯災害為何被如此嚴重地低估?」及「由有效的安全審查產生的電廠設計改變是否能在發生海嘯襲擊電廠事件時避免嚴重事故?」。這些問題的答案有助於闡明事故本來是否可以避免。
肆、低估了威脅
福島第一核能電廠防護海嘯的設計基準高程,只有2011年3月襲擊日本海岸之海嘯的不到一半。
根據官方的執照文件,福島第一核能電廠的設計基準海嘯經估計為最高達平均海平面以上3.1公尺,在這種情況,東京電力公司決定將海水進水口設置在海平面以上4公尺、主廠房設置在海平面以上10公尺的斜坡頂部(如圖 2所示)。在2002年,根據日本土木工程師協會發展的海嘯安全的新評估方法,東京電力公司自動地重新評估海嘯災害,並將設計基準海嘯高程修訂為5.7公尺。然而,原安院並未更新執照文件來反映這個變更,也未審查東京電力公司的分析。由於經修訂的設計基準海嘯已高於海水泵1.4公尺以上,此審查應該被執行。
圖2 福島第一核能電廠受到海嘯損壞之關鍵設備的簡化截面圖
由於電廠的海平面量計(sea-level gauge)被毀壞,襲擊電廠之海嘯的最大高程其實還不是完全清楚。東京電力公司和日本土木工程師學會使用電腦模式來重建觀測的電廠淹水型式,估計出海嘯的高程在剛抵陸地之前為13.1公尺,超過修訂的設計基準海嘯高程之兩倍,一旦海嘯「遡上」(run up)至電廠主廠房所在的斜坡,海嘯高程在許多區域達到海平面以上14–15公尺,有幾個地方甚至超過17公尺。
福島第一核能電廠海嘯的規模是由很多因素所共同促成的結果。海嘯實際上包括一系列的波浪,在此案例,波浪離海岸超過約10公里,其中最大的波浪高度僅約6公尺。然而,當波浪接近海岸線時,從陸地反射回來的先前波浪會「強化」(reinforce)此波浪(此效應的正式名稱為「建設性的干擾」(constructive interference)),最後產生一個超過13公尺的海嘯。此現象劇烈地提高了電廠附近的海嘯高程(做為比較,在福島第一核能電廠以南約12公里之福島第二核能電廠,海嘯高程是9公尺,在福島第一核能電廠以南約40公里之磐城,海嘯高程只有1公尺。)。雖然此效應已被充分理解,且事故前就已被預測到,但因為模擬所假設的地震規模比3月11日實際上襲擊電廠的地震要小得多,海嘯的高程被低估了。
海嘯之前的地震超過電廠二、三、五號機的地震設計基準,根據東京電力公司和原安院之聲明,並沒有關鍵的安全相關設備如緊急柴油發電機、海水泵和冷卻系統等,在地震中受到損壞,但在電廠可被大為仔細地檢查之前,看起來此聲明不能被完全確認。雖然海嘯導致大部分的損壞,如果不是全部的話,「地震災害被低估」提供災害預測和管理的系統性問題之證據。
伍、預測災難
因為基礎的地球物理現象是非常複雜的,準確的地震和海嘯之災害評估是極具挑戰性的。但已越來越明顯,用來評估福島第一核能電廠災害的方法存在明顯的缺陷。
在宮城地區的外海, 3月11日地震的震央所在,很久以來即被預期會發生地震,例如,最近的一次是在 2011年1月11日,「地震研究促進」(Earthquake Research Promotion)之總部重複做出在該區域中「三十年內有99%的機率會發生一場7.5級地震」的預測存在已久。但當地震實際發生時,其規模使地震學家大為吃驚,2011年 3月11日的東日本大地震實際上是規模9.0 的事件。儘管日本大量投資在地震學中,此嚴重低估還是發生了,對在災害預測之過分自信,這是一個發人深省的警告。
實際上,即使在過去的15年當中,其他核能電廠亦有不少超越設計基準的地震和水災的其他例子。例如,在1999年12月,法國Blayais核能電廠在漲潮時受到暴風雨襲擊造成兩座反應器的淹水;在2004年12月26日,印度洋之海嘯淹沒了印度Madras核能電廠的海水泵;在2007年7月16日,東京電力公司在新潟縣的柏崎刈羽核能電廠發生一場超過設計基準的地震;福島事故五個半月後,就在 2011年 8月 23日,美國東岸維吉尼亞州的North Anna核能電廠發生稍微超出設計基準的地震。這一系列事件說明了災害預測是如何困難的,然而,所有運轉的機組都成功地進入冷停機的事實顯示,對於大部分超越設計基準事件,電廠的安全餘裕可能都足以彌補此一困難。
儘管災害預測有其本質上的困難,福島第一核能電廠災害預測的方法與國際最佳做法,以及在某些情況下與日本的最佳做法,在三個重要領域似乎是有衝突的。
第一,東京電力公司和原安院似乎不夠重視大地震和海嘯的歷史證據。根據國際原子能總署發表的最佳做法,為了提供設備對每一萬年才發生一次之罕見的極端地震事件之保護,要求收集在核能電廠周邊地區之史前及歷史上的地震和海嘯資料,歷史資料被用於評估電廠的安全性。福島第一核能電廠的原始設計基準海嘯被設定為3.1公尺,因為1960年智利海岸外的一場地震在福島海岸造成該高程的海嘯。然而,對更久遠之歷史的證據應該更為重視;在過去十年左右,宮城縣周圍出現了遠遠更大海嘯的證據。日本研究人員已經發現由海嘯沈積的沙層,得出的結論是該區域曾被每一千年發生一次的大規模海嘯所淹沒;這些事件的最近一次發生在西元869年,被歸因於一場規模8.3地震。更普遍而言,鑒於日本海嘯的歷史記錄,東京電力公司和原安院在定義設計基準海嘯時應該要更為保守。例如,一個有關日本各地歷史海嘯之整理,列出自1498年以來有12個最大高程超過10公尺的海嘯事件,其中6個其最大高程超過20公尺。
當然,這種「紅色標記」在事後是遠比災難之前更容易被看出。經由篩選和評估潛在相關的一連串地理研究,以獲得對核能電廠安全很重要的資料之挑戰不應低估。或許不令人驚訝的是,日本國內於學術界是否未提供適當的警告,或是已提供但產業和管制機關未予以理會,已經有相當激烈的辯論。儘管如此,由於日本歷史上嚴重的海嘯之遺跡相當明顯,注意到此歷史記錄,特別是因其涉及電廠周圍區域,可能會導致福島第一核能電廠的設計基準之向上修正,和可能因此進行對基礎設施的改善,以提供電廠更好的防護。
第二,海嘯模擬的程序有缺陷,導致福島第一核能電廠的安全餘裕不足。建置在海邊斜坡上的核能電廠必須設計使其在海嘯遡上至斜坡時不會損壞。在2002年,日本土木工程師協會發展了決定海嘯最大遡上高度之詳細的方法。這一方法促使東京電力公司自願地將福島第一核能電廠的設計基準海嘯從3.1公尺修訂為5.7公尺。然而,至少在一個重要的著眼點,東京電力公司似乎並未完全執行有關的程序。
按照國際最佳做法,日本土木工程協會的方法要求電腦模擬應基於詳細的個廠特定的資料。然而,由國際原子能總署在2011年5月25日至6月2日到日本執行專家任務後編寫的一份報告指出「東京電力公司的遡上計算似乎未考慮電廠佈置的特定和詳細的安排」;換句話說,東京電力公司用來決定海嘯將會達到之高程的模擬是不適當的。
此外,東京電力公司所執行的計算似乎是有問題的。在國際原子能總署訪問日本的期間,東京電力公司向其表示,根據計算,5.7公尺海嘯的遡上高度將不會顯著地超過該高度。然而,由東京電力公司在2008年研究(未向國際原子能總署報告)的初步結果顯示,9公尺海嘯的遡上高度可能超過15公尺。事實上,在3月11日,一個9公尺海嘯淹沒了鄰近的福島第二核能電廠,該廠係建置在12公尺斜坡之上。這些觀察引起關於「是否連只有5.7公尺的海嘯(東京電力公司認為福島第一電廠可以承受者)都會造成福島第一核能電廠嚴重的損害」的重要問題。考慮到海嘯之遡上高度可能比預期高,很可能會損壞易受傷害的較低位置組件,例如海水泵。
改進的「海嘯遡上」模擬如果已被注意,可能提供可促使東京電力公司於3月11日事故發生之前採取減緩行動的資訊,即使該模擬假設一個比實際淹沒電廠者小的海嘯。具體來說,很可能警告東京電力公司其海嘯的防護措施不足;增強的防護系統將加大電廠的安全餘裕,可能減緩比電廠設計可承受者更大之海嘯的後果。
東京電力公司不僅沒有完全落實日本土木工程協會的模擬計算方法,而且方法本身有缺陷,因為它完全聚焦在評估遡上效應,理由是「其他現象比起水位都較不重要」。「其他現象」包括海嘯的水動力和任何海嘯可能攜帶的殘骸與泥沙的影響,可能會造成核能電廠廣泛的損害。國際原子能總署發表的最佳做法要求考慮這些現象,美國核能管制委員會也一樣。福島核能電廠未能加以考慮,在發生超越設計基準海嘯時,可能會給電廠運轉員「電廠具有安全餘裕」的虛假感覺。
公平地說,日本似乎沒有合適的工具可供東京電力公司分析海嘯的全部效應。但鑒於海嘯在日本的普遍性,原安院應鼓勵這類工具的發展,以符合國際標準。
在國際原子能總署訪問日本後,已經出現新的資訊,東京電力公司在2008年確實曾執行一些初步的電腦模擬,暫時顯示電廠之海嘯災害已經嚴重地低估;東京電力公司表示,當時他們並不相信此模擬的可靠性,打算與日本土木工程師學會合作以進一步追蹤;這項追蹤似乎沒有發生。東京電力公司直到三年以後在2011年3月7日才告知原安院其結果。
這些模擬假設西元869年的地震再度發生,因為此事件比以往模擬所依據的地震要大,預測得到的海嘯也更高。鑒於新的模擬係基於實際的歷史上的地震,他們應該要立即繼續追蹤。若結果被證實,東京電力公司可能已及時採取改正行動,以避免2011年3月11日的災難。
第三,核能安全的基本原則是存在有效和獨立的管制機關來制定安全規則,並確保法規遵從性。然而,日本的管制機關似乎很少關注海嘯的風險。原安院審查核能電廠安全的準則,係由另一個機關「核能安全委員會」所制定(做為正在進行的管制改革的一部分,這兩個機關將合併) 的。值得注意的是,在基本準則「輕水式核能電廠反應器設施安全設計審查的管制指引」(最後一次於1990年更新)中,並未提及海嘯安全。特別地,此議題只能經由關於「確保發生地震以外其他假設的自然現象時之安全」之涵蓋全部條款所涵蓋。評估海嘯安全的官方方法遲至2002年才開發,「海嘯安全」終於在處理地震安全之特定指引的2006年修訂版第一次被明確地提到了。
與此相反,早在國際原子能總署在1983年發表沿海核能電廠淹水災害的第一次指引時,即已要求海嘯安全的電腦模擬。此外,日本土木工程師學會在 2002年發展的方法似乎純粹只由日本電力公司使用,不由原安院的技術支援機關「日本核能安全組織」用來做審查。
一個原安院高級官員向我們證實,原安院未委託或審查福島第一的海嘯遡上數值研究。當東京電力公司自願地將福島第一核能電廠的設計基準海嘯從3.1公尺改變為5.7公尺時,原安院未能更新電廠的執照文件,此為原安院不關注海嘯安全的更多證據。簡而言之,原安院在審查是否符合海嘯安全標準,以及在出現新的證據和不斷演進的國際標準時更新安全標準,似乎有失責之處。
如果這些國際標準和最佳做法被遵循,2011年3月11日自然災害的規模可能已被預測,可能給東京電力公司提高電廠防護的機會。
陸、如何強化電廠的保護
在針對海嘯威脅的防護,雖然日本在採用確定的法規方面是相當緩慢的,但並不是因為缺乏有關適當的指引和審查過程的知識。日本和許多其他先進國家一樣,要求定期的安全審查,以評估並更新核子設施在十年期間的安全狀態。根據具有多年核能計畫經驗、熟悉日本核能計畫的日本以外和國際原子能總署之決策者和安全專家,日本業界和政府對於有關「嚴重的廠外事件下核能電廠安全之審查」的國際努力是很熟悉的,一些情況下也有參加。基於此活動,東京電力公司和日本的管制機關應採用已熟知和直截了當的工程措施,以在事故發生之前更好地保護福島第一核能電廠。
根據這些專家,基於福島第一核能電廠的四十年運轉壽命期間所累積和在其他核能電廠所實證的國際知識,東京電力公司在日本管制機關的鼓勵下,可以採取下列行動之一部分或全部,以在海嘯襲擊情況保護電廠:
• 將緊急柴油發電機和其他緊急電源移到廠區更高的地方;
• 在緊急電源和電廠之間建立水密的連接;
• 建置堤防及海堤以提供嚴重海嘯的保護;
• 將緊急電源設備和冷卻水泵安裝於專用的、受保護的(bunkered)、水密的建築物或隔間內。
• 確保海水供應之基礎設施是強固的,並提供額外的、強固的來源做為電廠的終極熱沉。
在建造福島第一核能電廠時,緊急柴油發電機和緊急電池被安裝在電廠建築物裡面的地板上,以提供地震的防護,此設備所在的隔間是不能防水的。安全專家表示,將此緊急電源設備移到更高的地方,並不會增加對地震衝擊的脆弱性,如果此設備被固定在一個抗震的平台上的話。
採取這種行動的價值可由一個日本電力公司的精進所展現,日本原子動力公司 (JAPC)在海嘯襲擊日本東海岸當時正在進行相關的精進工作。JAPC的東海-2核能電廠(Tokai-2)位於福島以南約100英里,蹂躪福島的海嘯也造成東海-2電廠淹水,在海嘯發生之前,JAPC已部分完成建立一堵牆以防止海嘯淹沒安裝海水泵的兩個地下室、以及使泵室水密的計畫。在海嘯發生之前該牆已被建立,因為在事故發生前,管路穿入地下室之空間尚未完成水密工作,水進入其中一個地下室;在那個地下室,提供緊急柴油發電機冷卻功能的一台海水泵因而損壞,無法正常運轉,迫使JAPC關閉該發電機。但在另一個管路穿入口已完成水密工作的地下室,並沒有發生淹水情況,因此保全了其他兩台柴油發電機的冷卻泵。如果JAPC未進行這些提升,幾乎可以肯定將會喪失所有三台緊急柴油發電機,甚至可能會導致一個更為嚴重的事故。
柒、國際的最佳做法
在福島第一核能電廠運轉的四十年間,幾個國家的核能安全當局和核能電廠業主建立了可能使福島第一核能電廠免於大災難的管制要求和配置。特別是,日本以外的一些管制機關重新評估設施發生極端的淹水災害、電廠全黑和喪失最終熱沉時的安全。根據參與安全評估的專家看法,日本若曾根據這些發展採取必要行動,福島電廠可能安全承受2011年3月的海嘯襲擊。
(一)、電廠全黑的防護
相較於其他國家的某些核發電廠,福島第一的機組對於廠區喪失內部和外部交流電源的防護是顯著地較差。除了「缺少防水和保護建築」,此弱點已被證明對福島第一核能電廠的緊急電源設備是致命的,大部分的設備都是水冷式,不是較新型的氣冷式,水冷式的柴油發電機需要一個連結到最終熱沉的冷卻水系統。
關於國際審查程序促成核能電廠全黑防護能力之提升,過去已經有很多的案例。例如,美國核能管制委員會(NRC)在1988年開始要求核能電廠有能力承受4至8小時期間(根據特定的狀況)之完全喪失交流電源,隨後NRC制定一項改善電廠全黑防護之計畫,及在9/11之後做出進一步的改善,要求實行所謂B.5.b措施。但是,有關9/11措施資訊很少對大眾公開,這些措施對減低美國核能電廠的「電廠全黑」相關風險之程度是有爭議的。
有一些資深的歐洲核能安全專家表示「福島第一機組實際上可能已符合美國的電廠全黑準則」的觀點;一號機配置了隔離冷凝器,二號機和三號機都配置了渦輪驅動的反應器爐心隔離冷卻系統(reactor core isolation cooling system)。一個專家表示:美國有很多電廠的廠內交流電源,並不會比福島第一核能電廠完善。
儘管如此,有一個日本高級決策者聲稱,與日本相比,美國在9/11以後的電力供應系統之強化是顯著的。與美國和歐洲相比,他表示:「在日本,並沒有針對電廠全黑事故之大規模強化[在電源方面]」。有一個美國安全專家表示:「9/11 以後,美國政府已鼓勵日本採行類似的措施,在某些美國核能電廠執行之福島後檢查,顯示電廠已實行可能保住福島第一反應器的B.5.b提升」。
在德國,「核能電廠的電廠全黑防護」之要求明定於管制文件KTA 3701中,這些要求在以往年度經過修訂,現在強制要求業主在緊急柴油發電機和電池提供幾層的重複性,包括在所有電廠提供受保護的發電機組。
根據德國的反應器安全委員會去年的評估:「德國核能電廠的電力供應全面地比福島第一更強固。所有德國電廠至少都有一個額外的後備電網連接線路和更多的緊急柴油發電機,其中至少兩部有受外部衝擊的保護。」;大多數德國核能反應器至少有四台緊急柴油發電機,再加上一台專用於應付廠外事件的額外柴油發電機。
其他某些歐洲國家的一些核發電廠情況是類似的,例如,比利時的兩機組Doel-3/4電廠,每個機組在喪失交流電源時設置有三台後備的柴油發電機,外加三台在保護室內。較老的Doel-1/2電廠在1970年代建造於一個沿海的河口,在喪失交流電源時配備四台抗震一級的柴油發電機,若這些發電機失效時,再使用兩台緊急柴油發電機。這些發電機不在保護室內,但都設置於分離的、已被升級以提供廠外事件防護的「緊急系統建築」內。
另舉一個案例,芬蘭的三機組Olkiluoto核能電廠,每個機組配設有四台用在所有的假設狀況來達成安全停機的緊急柴油發電機。每台緊急柴油發電機是設置於一個遠高於計算所得電廠設計基準水災水位之防火的隔間,另有一台空氣冷卻的氣渦輪發電機支援緊急柴油發電機。電廠建置於設計基準水災高程之上方,是在獨立的廠房內,有兩個獨立的發電機組系統,每組有兩台氣渦輪機。四台氣渦輪機之任何一台可以為所有三個Olkiluoto機組提供足夠的電力。
在福島核能電廠事故之後,日本專家草擬了應付核能電廠電廠全黑的新修訂,制定了更嚴格的要求。
(二)、喪失最終熱沉
3月11日海嘯導致海水泵和所有相關的福島第一核能電廠的電氣和機械設備失效。在沒有替代熱沉情況下,電廠完全沒有冷卻反應爐的方法。事實顯示,沒有替代熱沉同樣是其他國家的問題;與有關「電廠全黑的防護」之硬體的情況不同,由歐洲聯盟國家的管制機關執行的福島後檢查,證實在「提供後備替代熱沉以應付嚴重的廠外事件」,並沒有國家的管制要求。
法國核能安全管理局在其報告中指出:「以德國核能電廠為例,法規中沒有一個多樣化的替代熱沉的要求」,「在法國,除了目前正在建設的 Flammanville 3電廠外,都沒有替代熱沉」,如地下水、湖、或冷卻塔。根據壓力測試報告,在某些其他國家之核能電廠,替代熱沉只有部分可用或未經國家核能安全法規之驗證。在一個具有某些類似於福島的設計功能之瑞士核能電廠,管制機關在2011年3月後發現,在主要的河水熱沉失效情況下,若發生一個類似福島之事故時,此電廠需要有替代熱沉。管制機關命令電廠在 2011年安裝以泵為基礎(pump–based)之移動的系統,長遠而言,電廠需要設置一個可做為河水的全規模替代之新熱沉。
但在這些國家,核能電廠的幾個業主在日本事故發生之前即經由與管制機關之協商,設置了在嚴重的廠外事件情況下可用的替代熱沉。其中包括荷蘭的Borssele核能電廠,在主要的河水熱沉喪失時,有具重複性、可抗廠外事件的衝擊之排氣系統可用,以釋壓閥排出蒸汽來移熱,Borssele核能電廠也有8個可抗地震和淹水的深水井可用。在瑞士的幾個核能電廠,在福島事故發生之前即設置了地下水井,在其中一個案例,也設置了緊急的冷卻塔。瑞士與荷蘭電廠的河水抽取和攝入設備,其設計要求也是在假設的嚴重廠外事件的情況下能有最大的可靠度。英國的壓水式反應器Sizewell B有一個氣冷式熱交換器做為備用的終極熱沉,在主要海水冷卻熱沉失效時,從核心移除停機後之衰變熱。此備用系統被設置在與海水泵分開的獨立建築物內。
特別值得一提是臺灣對「嚴重海嘯的防護」為其核能電廠所採取的措施,臺灣在建置設施時充分利用電廠佈置的地理狀況。像日本一樣,臺灣的幾個反應器位於太平洋沿岸地區,電廠廠區容易受到極端的地震事件襲擊。為了避免喪失最終熱沉,兩個機組的金山沸水式反應器核能電廠,在1970年代期間建造,與福島第一核能電廠二和三號機的設計實質上是相同的,其設計基準海嘯的最大高程為海平面以上10.73公尺,此電廠因此建置在海平面以上12公尺。除了廠內的緊急柴油發電機建置在海嘯的設計基準高程之上,另有兩台建置在海平面以上22公尺的氣渦輪發電機可用。在喪失主要的熱沉之狀況,建置在海平面以上62公尺的生水池可提供緊急冷卻。
在國聖,臺灣另一個設有兩個沸水式反應器之廠址,核能電廠建置在海平面以上12公尺,高於設計基準海嘯的10.28公尺;兩台緊急氣渦輪發電機建置在海平面以上22公尺;兩個生水池建置在海平面以上90公尺。比較而言,福島第一廠址的地理狀況較為平坦,且提供熱沉和緊急電源的關鍵設備之高程太低,無法承擔嚴重海嘯的防護。
(三)、嚴重水災的防護
原安院和東京電力公司未能注意到來自世界其他地方有關水災風險的警告。在1999年12月,法國的Blayais核能電廠在漲潮時受到暴風雨襲擊,超過電廠之設計基準水災情境,造成兩個機組淹水和喪失部分電源。暴風雨還導致喪失一些通信線路和到該廠區之出入道路。法國當局審查結果發現堤防太低,以及容納緊急設備的房間沒有充分的淹水防護。
體認到Blayais事件代表災害評估的系統性失效,管制機關其後命令所有法國的19個核能電廠找出可能導致淹水的所有現象,以及重新評估關於喪失廠外電源、通信和熱沉方面,電廠特定的淹水管理防護。一些電廠被要求加高堤防和圍牆,所有電廠都須針對建築子結構、淹水可能會侵入的廠區位置、以及容納緊急設備的房間,進行防水處理。最後,針對假設的複合極端自然現象可能同時威脅電廠之情況,電廠的安全被重新評估。在一個受到管制機關監測的計畫中,法國電廠的提升進行了7年,電廠的業主法國電力公司付出1億1000萬歐元的費用。
在1999至2001年之間,經濟合作暨發展組織的核能署(OECD/NEA)也研究了Blayais 事件,日本為OECD/NEA的會員。Blayais事件導致一些其他國家重新評估水災對其電廠安全之影響,造成廠業主和管制機關採用可以大為改善水災防護的措施,例如,「Blayais 的淹水事件的分析」被列入在2006-2007年展開的比利時7個核發電廠的廠外事件防護之評估,此評估提出一些電廠提升的建議,福島事故發生時這些建議尚未完全實施。與此相反的是,日本產業官員表示,日本的安全專家們知道Blayais事件,但並沒有嚴格地重新審視日本核發電廠的水災防護情況。
在全世界的許多核能電廠之定期安全審查程序中,水災和其他廠外事件之防護都受到評估。如上述的Doel-1/2核能電廠,在設計基準地震其原先設計並未考慮應付電廠全黑或喪失最終熱沉的情況。但在1980年代期間,這些電廠的首次定期安全審查完成後,一個獨立的建築被建置來容納額外的冷卻來源和緊急柴油發電機,並提供廠外事件情況下的防護。在定期安全審查後,Doel-1/2還需要其他提升,以更完善地處理衰變熱移除。這些審查考慮「由多於一個外部原因所造成之嚴重事件」的特定情境;隨後,設計基準水災的高程由9.13公尺被加高到9.35公尺(仍遠低於電廠廠區所建置河堤的高程,剛超過12公尺)。
(四)、海嘯風險評估
最後,由日本的做法和不斷進化的國際標準的日益分歧,原安院和東京電力公司應當警覺到他們的海嘯風險評估方法中存在潛在的問題。在2003年,國際原子能總署發表了一份關於核電廠的安全指引,其中包含關於海嘯風險評估必須考慮的所有因素之指引。因為日本風險評估方法只專注於評估海嘯的「遡上」(run-up)效應,忽略了其他顯著的因素例如殘骸的影響,並不符合此指引。
在2004年12月海嘯蹂躪許多印度洋沿海地區,並導致印度一個核能電廠停機後,國際原子能總署更用心地投入海嘯安全的議題,在世界氣象組織參與下發展2003年安全指引的修訂版,納入更新的準則和建議,並整合氣象和水文災害。在海嘯災害評估方法方面,係由一個主要由日本和美國支持的特定專案所展開。
日本積極參與該專案的執行,但國際原子能總署的調查結果並沒有及時在2011年的海嘯襲擊前,轉化成實際做法以防護福島第一核能電廠。儘管如此,鑒於日本參與該專案,應該已經充分意識到自己的做法落後國際標準有多遠,這也會促使其採取補救行動。
捌、國際的最佳做法和行動為什麼沒有在福島第一實施?
對於「為什麼福島第一和其他日本核能電廠在海嘯防護中會有重大的安全缺陷?」的問題,並沒有簡單的答案。根據日本政府和業內專家提供的資料,日本對於「最重要因素是什麼?」(通俗的說法是:這次事故該「歸罪於」誰?),似乎沒有共識。本文不打算對這些問題提供確定的答案。
(一)、管制的品質和獨立性
包括在事故發生前,經常有人主張原安院與負責推動核能的政府機關「經濟產業省自然資源和能源廰」 (Ministry of Economy, Trade and Industry’s Agency for Natural Resources and Energy)間缺乏獨立性,這使原安院不敢主張其訂定規則、以命令要求安全改進、以及強制執行其決定的職權。
在1990及2000年代,日本的核能計畫被幾個事件所擾亂,這些事件被外國核能管制機關視為缺乏有效和持久的監督之象徵,包括1999年發生在東海村核燃料處理工廠的致命臨界事故,國際原子能總署指稱是由「人為錯誤和嚴重違反安全原則的行為」所造成。美國核能管制委員會內部報告指稱東海事故的原因是「缺乏管制監督」。在2002年,東京電力公司和原安院證實「有超過十年的期間,核能電廠人員系統性地迴避管制程序,未向管制機關陳報電廠在工程上所做的變更及偽造設施狀態報告」之後,東京電力公司的最高決策者辭職。在回應這些事件時,日本業界和政府做出用意在恢復公眾對日本核能計畫的信心之更改,但一方面,原安院與日本政府之間,及另一方面,原安院與產業之間的關係基本上未受挑戰。
福島事故之後,日本的管制制度受到更為廣泛的國內和國際批評,這種批評很大程度上聚焦於原安院與政府之間缺乏獨立性。但原安院與產業之間的缺乏獨立性也許是更為嚴重的問題。日本已制定新規則以防止「amakudari」(從天而降) 的做法,高級管制官員獲委任為主要電力公司的高層決策者。然而,一種較鮮為人知的做法「amaagari」(升天),即產業之安全專家受雇於原安院的技術支援機關「日本核能安全組織」(Japan Nuclear Energy Safety Organization),也很麻煩。
(二)、忽視安全威脅
美國核能管制委員會對1999年在東海村的臨界事故發生的原因做出結論:因為在該設施申請執照時,管制機關錯誤地做出「沒有故障和其他失效會造成發生臨界事故的可能性」之結論。…「臨界事故不可能發生的信念」使得事故管理複雜化,可能導致人員遭到輻射曝露。原安院和東京電力公司同樣地淡化海嘯之威脅,更廣泛地說,廠外事件可能導致核能電廠發生嚴重事故之威脅。
在近半個世紀前,當商業用核能發電的時代開始時,安全專家最初最關心的是在廠內展開的一系列事件會造成一個嚴重事故的可能性,例如,造成1979年的美國三哩島事故和1986年的車諾比爆炸。後來安全專家之關注逐漸地聚焦於一個極端的廠外事件可能導致反應器損壞的可能性;在某些核能計畫中,廠外事件的特定威脅之評估已隨時間而改變。
日本對廠外事件的威脅之態度是極具選擇性的。一方面,日本的整個產業及工程文化對地震活動的危險是高度熟悉的,日本對所有其土木工程結構,包括核能電廠,有確定和強固的技術要求。相反的,日本對一些其他廠外事件的潛在危險之認知,尤其是海嘯,一直要慢得多。
(三)、風險評估
日本的核能文化與許多其他國家的明顯差異是對風險的態度。這也許可以部分解釋為何日本不願意接受使用「風險告知」(risk-informed)和機率的方式做為評估廠外事件的方法。
在日本以外的許多國家,電廠特定的安全度評估被例行地用於估計廠內和廠外事件對爐心熔毀頻率的貢獻,此為核能電廠安全的共同準則。在其中的一些國家,管制機關要求業主設計其裝置以安全承受千年淹水事件,機率的方法被用來計算淹水的高程。法國的 Blayais 事件之後,一些國家施加核電廠承受千年淹水的要求。對於某些事件,歐洲法規要求考慮百萬年的事件。國際原子能總署之準則鼓勵電廠特定的安全度評估中涵括外部和內部事件兩者。
根據日本政府和產業界的官員,大多數日本的安全規則係按照「決定式」(deterministic)評估,法規並未要求使用安全度評估來證實電廠不受外部的嚴重事件之威脅。日本專家表示:特別地在2007年一場嚴重的地震破壞柏崎刈羽核能電廠後,電廠特定的地震安全度評估在日本已在試驗的基礎上進行,但直到福島事故發生之日,其結果並未經業主或管制機關應用於設計更改之決策上。在一個日本決策者中的看法是「底線是,日本的風險資訊的應用不足,以及電廠全黑的風險並未廣泛地受到管理人員所認知」。
仍然更廣泛地說,日本核能官員和決策者表示,管制當局不願重新評估海嘯風險可能反映更普遍的日本文化偏見「不願公開討論日本社會和其當局還沒有準備好的最嚴重情況或突發事件」。雖然在日本,地震安全已有數十年是一個引起公眾的廣泛興趣和辯論的主題,在福島事故發生之前,海嘯安全還不曾遭受密集的公眾或媒體關注。
最候,在一些日本專家的看法中,福島第一核能電廠事故是日本決策者的最高自信「日本的核能計畫將永遠不會遭遇嚴重事故」的表現。電廠全黑狀況受日本核能安全委員會制定的「1990年安全指引」所規範,該指引載明「在短期之完全喪失交流電源的情況下,核反應器設施設計須在反應器急停後,可以確保安全停機和適當的冷卻。」,根據一位日本核能高級決策者,「短期」的意思係指「30 分鐘或更少」。長期喪失電源未列入核發電廠的設計基準,意味著核電廠業主不需要證實長期喪失電源可以避免。
這種過度自信的另一個例子是,與全世界幾乎所有其他的動力反應器業主不同,日本電力公司對事故須承擔無限的責任。這一規定顯然是依照電廠業主之要求實施的,目的是要向當地民眾證明他們對其電廠安全之信心。
一位決策者表示,相較於美國和歐洲,在日本因為日本電力供應系統的可靠性較佳,對於電廠全黑之風險有較少的關注。他表示「我們從根本上相信如果我們失去廠外電源,我們將在不超過半小時的時間重新連結到電網上,…相較於美國和歐洲,日本的核能計劃不相信「核能安全」(nuclear safety)和「核能保安」(nuclear safety)有直接的關係,基於此原因,對於評估9/11後美國從核能安全觀點所採取的方法,日本是疏忽的。」
(四)、公司與核能文化
日本的一些安全專家認為,幾十年來缺乏對福島海嘯安全之協調的關注,對普遍的日本安全文化之缺陷可能是較輕的說法,至少可部分地歸因於東京電力公司的管理文化之缺陷。幾位專家認為東京電力公司容忍或鼓勵掩蓋問題的做法;他們描述了東京電力公司在2002年以前對管制機關的隱匿行動,有系統地迴避要求電廠業主向管制機關提供電廠活動的詳細文件以及在很小或沒有安全重要性的行動獲得管制機關的核准,相關的規則和程序。在很多其他核能計畫中,營運中檢查之規則允許核能電廠業主維修或更換安全重要性不大的設備,採取這種行動不需停機和獲得管制機關的核准,但是,在一個案例,反應器圍阻體洩漏測試的結果,這顯然是安全重大的問題,在福島第二核能電廠卻被偽造;必須說明的是其他電力公司人員同樣從事這些欺騙性的做法,儘管顯然是在較小程度上。
更普遍而言,一些核能產業決策者和日本官員指責日本核能部門之「官僚和專業的傲慢、以及隔絕和優越感」,使得核能專業人員不願聽取核能領域以外專家的意見。他們表示,這可以部分解釋為什麼日本核能設施對地震之防護能力相當良好,但可能遠更容易遭受海嘯之襲擊。
關於核能安全之決策,在日本最具有海嘯意識的可能是當地人員。在 1979年,東北電力公司基於海嘯的顧慮,在三個機組的女川核能電廠施工之前更改廠址。2011年 3月的地震和海嘯摧毀了位於福島北方約75英里的女川城鎮,該事件破壞了連接電廠到電網的五個電源線路中的四個。不同於福島第一核能電廠,其設置緊急柴油發電機的汽機廠房遭受海嘯直接的襲擊,女川電廠受到更好地防護。根據日本的安全官員及電廠業主,電廠未受到嚴重的損害,其原因為在施工之前,有個受雇於東北電力公司的土木工程師自身具有海嘯危險的本地知識,堅持將電廠廠址移到更高和離海岸更遠的地方。(譯者註:福島第一核能電廠廠址高度原本是海平面以上35公尺,但是為了容易施工和取得岩盤地基,被剷平至10公尺。女川電廠也受到13公尺高的大海嘯侵襲。但由於電廠座落在14.8公尺的地盤上,雖然因大地震地盤全部下沉約1公尺,但還有13.8公尺,因而安然無恙。最初廠址之決策決定了後來的結果。)
一位官員認為:因為在東北電力公司女川核能電廠計畫之決策涉及當地人員,最高管理階層可能更容易做出成本昂貴的廠址更改;但在其它地方,當地知識可能未被充分利用。由東京電力公司在2011年3月之前對於福島海嘯議題的缺乏追蹤行動,儘管東電人員自願地自2002年開始研究海嘯的風險,可能反映了在東京的公司總部高密度的決策與缺乏當地知識。
玖、結論
地震和海嘯聯合襲擊福島第一核能電廠不只是日本核能計畫的運氣不佳,此事件也不只是不可預測的、廠區的反應器之一般基礎設施不能安全承受的「天災」( act of god)。
在日本事故之後,經由對於全世界核能計畫之核能安全議題的深入調查,揭露許多核反應器對極端的廠外事件的潛在弱點。光是在法國,管制機關將發佈一百多個新規則,電廠業主法國電力公司將在58個電廠實施有關可能在極端事件期間喪失電源和喪失熱沉等議題的防範措施,估計的成本為100億歐元。
但在日本,與其他一些國家不同的是,在過去二十年並沒有系統性地重新探討海嘯安全的關鍵議題,在危害評估與電廠設計的弱點都比較大。若電廠的業主東京電力公司和日本的管制機關原安院,已經及時注意到上面討論的其他警告和好的做法,他們可能已認知到福島第一核能電廠所面對的海嘯威脅被低估了,以及可防護致命地癱瘓廠區三個反應器的自然力量。
準確的災害預測是極具挑戰性的,但總是可能找到即將到來的災難指標,在此案例,包括每一千年一次淹沒周邊地區的大規模海嘯之證據。然而,在事故發生前的潛在風險之最明顯徵兆是程序上的問題:日本的評估海嘯風險的方法明顯地落後於國際標準,東京電力公司甚至沒有完全實行此方法,原安院則很少關注海嘯的風險。由於日本歷史上的海嘯遺跡相當明顯,這最後一點,原安院對海嘯的缺乏關注,應該已經警告核能安全委員會(本來應是原安院的查核者) 潛在的風險可能低估。
福島事故並沒有揭露與核能技術和基礎設施相關致命、以前不知道的本質風險。如有日本當局和業界有適當的先見,看起來這次事故可能是可以避免的。在事故發生時,日本業界和政府似乎正在採取可能促使「日本的核發電廠無法應付極端的海嘯」成為共識的暫時措施,但他們無法克服阻止東京電力公司和原安院更快地採取有效行動之障礙。
對核能設施的外部威脅是動態的,近年來,自然原因引起的威脅已被破壞活動和恐怖主義的威脅所強化;在未來,將進一步包括全球氣候變遷造成的本地威脅。在福島災難之後,日本以及所有其他核能國家,應確保核能電廠可以安全承受所有此類威脅,包括「多個威脅同時發生的情境」(multi-threat scenarios),福島事故大大地強調這是「可信的」(credible),但直到事故發生時,它並未在全世界許多核能計畫的威脅評估中所考慮。