風險管理與黑天鵝效應

 
2016/09/06 高梓木 | 行政院原子能委員會核能研究所     894
 
風險評估和管理

美國航空暨太空總署的太空探索任務須以通過可靠性驗證和風險管理來防止人為或機件設計的錯誤。一般來說,每一個任務都可區分出3種可能的風險:已知的已知(known known)、已知的未知、未知的未知(unknown unknown)。

歐洲人在發現澳洲後才知道天鵝可以是黑色的。現在所謂的黑天鵝是指不可預知或看似很不可能發生的事件,但它們往往帶來令人驚奇或「未知的未知」的極端後果。而「核電廠黑天鵝事故」是指預期很不可能發生(機率很低),但一旦發生其後果及衝擊都很大的事故,例如同廠址內多個核電機組爐心接續熔損,或日本福島核能電廠事故。

在黑天鵝效應打破原有的風險觀念之後,要如何建立新的風險管理架構呢?首先,要確認情境,倘若是屬於原先受控制的範圍就不需調整,否則就需評估這種情境可能發生的黑天鵝效應,儘量以風險管理減少暴露在黑天鵝效應的情境中。因此,風險決策並不只是被動地應變,也不只是災害事後的救助,如果能夠分析風險可能的成因,掌握風險擴散的動向,就能找到事先預防的方法或順勢而為的契機,甚至化危機為轉機。

美國前麻省理工學院教授Norman Rasmussen於1975年以量化風險評估(probabilistic risk assessment, PRA)方法發表反應器安全研究報告,並於1979年的美國三浬島事故獲得驗證,引起人們對PRA的重視。歷經40年的發展,PRA已經從消極量化核電廠風險,演變成找尋電廠設計及運轉上弱點的工具,現在更積極運用在電廠例行的運轉與大修維護上的風險管控,提供管理階層決策的參考。簡單來說,PRA是一種透過詢問、分析並解決哪裡會出錯、出錯的可能性有多高、出錯會造成什麼樣的後果等三大問題的工具。

PRA的分析架構

核能電廠風險評估所使用的方法是結合事件樹分析與故障樹分析,以邏輯推理組合成事故情節,並分析某一個系統不樂見的失效狀態與發生機率,考量系統內各組件的硬體故障、人為失誤及共因失效,所有評估都以可公評的數據為基礎。一般來說,PRA所使用的數據都得自工業界的一般性數據,加上各電廠本身的個廠數據,利用貝氏(Bayes)定理組合而來,個廠數據的詳盡與否決定風險評估模式反映實際狀況的程度。

就核能電廠的應用而言,PRA又可分為幾個層級。一階分析的目的在確認造成爐心熔損的事故序列及估算發生的機率;二階分析則評估圍阻體完整性及可能的輻射外釋頻率,即把爐心熔損所能導致的外釋,依其相關性分為數個或數十個外釋類別,針對每個外釋類別量化其輻射源項(即外釋發生的時機、核種與量的大小),並自系統分析與圍阻體失效分析的結果,得到各外釋類別發生的機會。

三階分析就是災害後果的分析,把二階分析所得到的輻射源項,透過輻射物質傳播與擴散的計算,估計廠外民眾在事故中所接受的劑量,再轉換成民眾受到傷害的程度,連同前述外釋類別的發生機率,就得到電廠對民眾可能造成的風險。

由於PRA納入設備及人因失效模式,並盡可能真實且客觀地反映電廠實際運作的情況,因此能夠輕易量化出每個設備對總風險的重要程度。

美國核能PRA的發展

PRA技術真正獲得全面的推廣,是在前述Rasmussen教授的反應器安全研究報告發表整整20個年頭之後。1995年8月,美國核能管制委員會(Nuclear Regulatory Commission, NRC)及核能工業界認知到PRA已可做為管制或營運決策的工具,NRC進而發布推廣PRA應用的政策說明,希望能借助其分析技術協助核安的決策並增進管制的效率,即所謂的風險告知決策。在NRC的大力推廣下,採用PRA來落實風險告知的管制或營運的觀念蔚為風潮,以謀求安全與有限資源(如經濟因素或人力考量)間能取得平衡。

2000年4月起,NRC展開新的「反應器監管程序」,使監管過程更加客觀、可預知、具一致性與風險告知化,以減少不必要的管制負擔。同時,整合視察、評估與執法過程,使用客觀的績效指標,使視察作業聚焦於安全領域,對於績效有問題的電廠採取較多的管制,對表現良好的電廠則維持基本程度的管制。透過可預知及一致的態度,回應管制者對經營者違規的裁定,並反映違規層級的核安顯著性。

我國核能PRA的發展

PRA技術引進國內始於80年代初期,由當時旅居美國的華裔核能專家陳明真與湯琅孫兩位博士先後向國內核能界夏德鈺博士鄭重推荐,而於1983年起開始執行。目前,我國核能PRA的研發分為四大方向:PRA模式的更新與精進、核能電廠風險監視系統的發展、PRA在風險告知管制與營運上的推廣與應用、日本福島事故後核電廠PRA模式的檢討與再精進。

我國引進PRA技術依序建立核二廠、核三廠與核一廠的整廠PRA模式。完成各核電廠評估後的主要建議之一是:各核能電廠宜增設一台額外的柴油發電機(稱為第5台柴油發電機),以加強電廠處理喪失外電的能力並降低風險。因PRA技術除可發掘設計基準內的系統潛在弱點,提出改善建議外,更可補足既有設計基準的限制,強化對超出設計基準事件的深度防禦。

例如,2001年3月18日,核三廠的廠外輸電迴路因當地鹽霧害而喪失外電,一號機組又遭遇兩台專屬的柴油發電機都故障,雖然仍有直流電池可短暫供電,但主要仍仰賴因PRA建議設置的第5台柴油發電機所提供的設計基準之外的防禦。電廠因而可以從容地化解事件惡化,避免演變為電力供應短缺,乃至經濟上重大損失等核電的黑天鵝效應。

善用風險管理工具

所謂風險管理,就是針對風險評估的結果與改善建議,透過系統化、決策與執行過程的落實及追蹤考核等程序,達到保護員工、公眾、環境,以及避免公司商業損失的目的。基本上,風險管理是強調危害管控技術和管理知識整合。工業先進國開始對工業安全衛生與環境生態保護高度重視後,風險管理蔚為世界潮流。PRA可整合各方面的科技,透過量測風險度,選擇可接受的風險度做為決策依據,可看出PRA與風險管理之間密不可分。

我國核電廠早已於2000年左右就開始在日常維護作業中採行風險管理,功率運轉爐心熔損頻率(每反應器每年)及風險趨勢的監視系統就是一例。這系統所內建的風險計算引擎採用核研所PRA團隊自力開發完成的防災利器—超大型故障樹分析軟體。

原能會為呼應前述美國反應器監管程序的施行,也利用核研所於2004年建立的另一套「顯著性確立程序」的風險告知視察工具,供視察人員評估核電廠的安全績效。並於2006 年1月起實施核安紅綠燈管制,進一步採用風險告知與績效基準的做法,結合核電廠具體的運轉安全指標數值,以及駐廠視察員的視察評估結果,以量化、可測量與比較的方式衡量各核電廠的運轉安全表現,並以簡單的燈號顏色顯示,按季公布於該會網站,提供民眾公開透明的施政資訊。

這一風險管理作為就是採用該風險「顯著性確立」及可靠度工具,快速計算核能管制駐廠視察員所發現的電廠績效缺失在風險上的重要程度,爭取管制與矯正時效,讓決策者在做成最佳決定時,能夠知道所承擔的風險,並對其合理性具有信心。

風險管理新思維

福島事故屬於核能嚴重事故,已超出電廠設計基準事故的範疇,但並非是超出想像的事故。2012年3月出版的卡內基報告《為何應可預防福島事故的發生》就指出3大肇因:福島核電廠早應注意卻一直未納入一千年發生一次的巨大海嘯會使福島核電鄰近區域淹大水的證據、不適當的海嘯威脅電腦評估模式、核安管制當局不肯重估海嘯的風險。

一般大眾或許認為核電廠未如電力公司過去所宣稱般的安全可靠,但國際原子能總署於2015年8月發行的福島事故署長報告中指出:福島核一廠在2011年311事故前甫運轉屆滿40年,即使熔損了3部機組,事故後迄今逾5年,並未有因過多輻射劑量造成任何工作人員或民眾的死亡。因此,從另一角度來看,也反證了核電廠設計的耐受性。

在真實的世界並無絕對、百分之百安全的系統或設施,能做到的是如何了解風險並合理降低風險。因此談安全應指對風險進行全面而有效的事前管理,按照風險高低投入相對的資源改善以降低風險。

福島事故後,台電公司重新擬定面對核電黑天鵝事件時採取「斷然處置措施」的風險管理新思維:由廠長決定,在需優先確保反應爐結構與爐心核燃料的完整性時,於核電機組有爐心熔解之虞的第1個小時內執行放棄該機組、永不再營運的斷然措施,以杜絕任何類似乃至超出福島事故的核電黑天鵝效應。