想象一下下面的场景,与当前一季的电视连续剧《24小时》的情节没有太大的不同,但也不是那么牵强。白宫接到一个恐怖组织的电话,声称他们有计划地从美国核燃料工厂转移了足够制造一枚粗核弹的钚,大约15磅。该组织还声称,它得到了it部门的一名内部人员的协助,他能够通过破坏基于计算机的材料会计系统来掩盖盗窃行为。恐怖分子威胁说,除非他们的过分要求得到满足,否则他们将在24小时内在芝加哥引爆炸弹。
白宫首先想知道的是,这种威胁是否可信。所以总统打电话给设施经理,询问是否有钚丢失。对话如下:
经理:“我再打给你。”
总统:“什么时候?”
经理:“好的,我们会查一下我们的电脑记录,如果我们不能全部解释的话,72小时内就会告诉你。”
总统:“我们没有72小时!小偷声称他们伪造了电脑记录!你需要测量你拥有的所有钚,并确保它们都在那里!”
经理:总统先生,我们不能那样做。我们需要几周或几个月的时间来测量钚。但是,恕我直言,核管理委员会并不要求我们在每一种可能的盗窃场景中迅速评估所谓盗窃的有效性,也不要求我们在不使用我们的记录系统的情况下这样做。
总统:打电话给杰克·鲍尔!
经理:对不起,这没有用。杰克·鲍尔不是我们承诺在基本核材料控制计划中使用的工具之一。
钚和MOX燃料
这令人震惊,但不幸的是事实如此。该工厂是位于南卡罗来纳州萨凡纳河现场的混合氧化物(MOX)燃料制造设施(MFFF),目前正在由能源部承包商Shaw AREVA MOX Services建设。建造MFFF的目的是将美国核武器项目中多余的钚转化为一种名为MOX的核反应堆燃料。近年来,它经历了大规模的成本上升和其他项目困难,导致能源部重新考虑其完成建设和运营工厂的计划。然而,国会中的MFFF支持者正在迫使能源部继续建设,该项目仍然非常活跃。
十多年来,UCS一直在协助当地公民团体和他们的律师黛安·柯伦(Diane Curran)努力阻止核管理委员会为MFFF颁发建设和运营许可证。在这些过程中,UCS一直在努力确保MFFF,如果建成,将具有强大的物理安全和材料会计系统,以防止和发现恐怖分子盗窃钚。尽管我们在这一过程中赢得了一些重要的让步2014年2月初审决定在美国,核管理委员会原子安全与许可委员会(ASLB)的三名成员中的大多数驳回了我们的投诉,为核管理委员会颁发运营许可证打开了大门。
在裁决中,ASLB指出,“NRC的规定并不要求申请人在每一个可能的盗窃场景中迅速评估涉嫌盗窃的有效性。法规也没有要求申请人在不使用其记录系统的情况下快速评估。”ASLB的大多数成员认为,MOX Services对其快速评估盗窃指控有效性的能力提供了合理的保证,并对该公司将采取任何适当和必要的行动来评估盗窃指控感到满意。
美国核管理委员会的五名委员已经对最初的决定提出上诉。上诉仍在进行中,但委员们几乎没有机会投票推翻ASLB多数派的裁决。
有缺陷的钚核算体系
由于涉及到安全问题,ASLB听证会是闭门进行的,许多诉状也没有公开发布。但现在,该决定的修订版本已经公开,UCS可以自由地谈论我们对MOX工厂材料会计系统的担忧,在NRC已经发布的信息范围内。
核心问题与MOX服务公司的方法有关,该方法满足了核管理委员会的重要要求,即定期核查含有钚的物品是否在它们应该在的地方,并且没有被篡改。虽然满足这些要求的传统方法包括在一定时间内实际找到和检查物品,但MOX服务公司建议只能使用计算机化库存和过程控制系统内的数据以虚拟方式完成核查。但是,正如我们假设的威胁场景所表明的那样,有一个问题是,这引入了额外的不确定性,因为数据本身可能是不准确的,无论是出于意外还是出于恶意。
我们认为,如果核管理委员会接受这种方法,MOX服务公司必须提供非常高水平的保证,即数据本身是准确的,也就是说,它准确地反映了钚在工厂的位置。我们进一步指出,在MOX服务公司提出的计划下,核管理委员会没有办法得到那个水平的保证。事实上,NRC甚至没有针对MFFF这样的燃料循环设施防范网络攻击的规定,尽管它计划在未来的某一天采用一项规定。在批准MOX Services的材料会计方案时,ASLB完全依赖于能源部的网络安全要求,而没有独立确认这些要求是否足够严格以确保材料会计数据的保真度。
MOX服务公司承诺在72小时内核实储存库中钚的数量,但只能依靠其计算机记录系统。这种验证不包括在这个时间框架内对保险库中的材料进行物理检查,因为MOX Services拒绝——也许是无法——承诺这样做。工厂将每六个月进行一次库存检查,但在此期间主要依靠计算机记录。这种临时计算是至关重要的,因为如果钚被盗,它可能在几周或更短的时间内被转化为武器。)
会计需要多长时间?
但是,如果所谓的盗窃涉及到对记录系统的破坏,MOX Services没有承诺要花多长时间才能核实是否真的丢失了钚。ASLB的大多数人接受了这种情况。(委员会主席迈克尔·c·法勒(Michael C. Farrar)在反对意见中对我们的网络安全担忧表示同情。)
(这甚至还没有考虑到钚不是从保险库而是从工厂的其他区域被盗的可能性,在那里更难迅速解释炸弹大小的钚的损失——这是我们没有时间或资源向ASLB提出的另一个问题。)
这意味着,如果MFFF最终启动,我们所呈现的场景成为现实,总统可能要等上几周,甚至几个月,工厂经理才能回答这个问题:是否缺少钚?
在恐怖主义威胁仍然很高的时候,这种不充分的探测美国钚被盗的方法给整个世界带来了不可接受和不必要的风险。