تعريف الوكالة الدولية للطاقة الذرية

الدفاع بعمق: الفلسفة المنظمة

تُعرّف الوكالة الدولية للطاقة الذرية (IAEA) الدفاع بعمق كنوع من النهج متعدد الطبقات للسلامة، حيث يعمل كل طبقة كاحتياطي للطبقات السابقة لها. لا يُفترض أن تكون طبقة واحدة مثالية. يعتمد الحالة الآمنة على وجود طبقات متعددة مستقلة، بحيث لا يؤدي أي فشل واحد: ولا أي تركيبة واحدة من الأعطال من سبب جذري واحد: إلى الضرر.

يعمل الدفاع بعمق على كل مقياس:

الحواجز المادية: مصفوفة الوقود → تغليف الوقود → وعاء ضغط المفاعل → مبنى الاحتواء → مبنى المفاعل (4-5 حدود مادية بين الوقود والبيئة)

أنظمة السلامة: يتم تنفيذ كل وظيفة (التبريد، الإغلاق، الطاقة) بواسطة ما لا يقل عن 3 خطوط مستقلة

الإجراءات: إجراءات مكتوبة تحكم كل تطور؛ إجراءات غير طبيعية وطوارئ لكل حدث أساسي التصميم

المشغلون: مرخصون، مدربون، مؤهلون، مرتاحون؛ سلطة مستقلة لبدء الإغلاق

الإدارة: ثقافة سلامة نووية، إشراف تنظيمي، مراجعات سلامة مستقلة

التنظيم: متطلبات أساس التصميم NRC 10 CFR 50، تشغيل مرخص، تفتيش دوري

المبدأ الرئيسي: لا نقاط للطبقات الفاشلة. إذا لم تتمكن من التأكد من سلامة حاجز، فافترض أنه غير سليم. تم تصميم النظام بأكمله ليكون آمناً مع فشل أي مكون نشط واحد: وهذا يُسمى معيار الفشل الواحد.

التكرار، والتنوع، والاستقلال

ثلاث خصائص تجعل الدفاع حقيقياً

يجب أن تلبي أنظمة السلامة النووية ثلاث خصائص متميزة. الخلط بينها خطأ شائع وخطير.

التكرار يعني وجود أكثر من واحد من نفس الشيء. ثلاث مولدات ديزل تكرارية. لكن إذا كانت تشترك جميعها في خزان وقود نفسه، أو منطق التشغيل نفسه، أو الغرفة المادية نفسها، فإن التكرار وحده لا يحمي من فشل سبب مشترك.

التنوع يعني استخدام مبادئ فيزيائية مختلفة أو معدات مختلفة لأداء الوظيفة نفسها. مضخة حقن عالية الضغط ومخزن مضغوط بالنيتروجين كلاهما يوصلان الماء إلى النواة: لكنهما يعملان على مبادئ مختلفة تماماً. التنوع يهزم أنماط الفشل التي ست هزم جميع النسخ التكرارية لتصميم واحد.

الاستقلال يعني أن فشل إحدى القطارات لا يمكن أن يسبب أو يمنع عمل الأخرى. يتطلب الاستقلال:

- حوامل طاقة منفصلة (تغذيات كهربائية مختلفة)

- فصل فيزيائي (حواجز، مبانٍ مختلفة، أضلاع متقابلة للمفاعل)

- منطق تنشيط منفصل (قصر دائرة في القطار A لا يمكن أن يعطل القطار B)

- أجهزة قياس منفصلة (حساسات القطار A لا تغذي تنشيط القطار B)

فشل السبب المشترك (CCF) هو السيناريو الكابوسي: حدث واحد يعطل عدة قطارات احتياطية متكررة في وقت واحد. فوكوشيما هي المثال الحاسم: التسونامي لم يكن مجرد فقدان للطاقة الخارجية. فقد عطل في الوقت نفسه جميع ثلاثة مولدات الديزل الطارئة لأنها كانت جميعها في المبنى المنخفض نفسه. التكرار بدون استقلال هو وهم.

معيار الفشل الفردي

يُنص معيار الفشل الفردي الخاص بلجنة تنظيم الطاقة النووية (10 CFR 50، الملحق A، معيار التصميم العام 17) على أن أنظمة السلامة يجب تصميمها بحيث لا يمنع فشل مكون نشط واحد النظام من أداء وظيفته المتعلقة بالسلامة.

الفشل "النشط" هو فشل يتطلب تغيير حالة شيء ما: مضخة تفشل في البدء، صمام يفشل في الفتح.

الفشل "السلبي" (مثل تشقق أنبوب) يُعالج بمتطلبات تصميم منفصلة.

لماذا ثلاثة خطوط؟

كل نظام حرج السلامة: ثلاثة خطوط مستقلة

قاعدة التكرار الثلاثي ليست ببساطة "ثلاثة أكثر أمانًا من اثنين". إنها متطلب هندسي دقيق يتمتع بخصائص محددة.

يجب أن تكون كل قطار قادرًا على 100% من وظيفة السلامة بشكل مستقل. إذا قام القطار A بمعالجة التبريد، فإنه يتعامل مع كل التبريد المطلوب. القطاران B وC ليسا مساهمين جزئيين: إنهما نسخ احتياطية كاملة.

يجب أن تكون القطارات مفصولة فيزيائيًا. مبانٍ مختلفة، أو على الأقل مفصولة بحواجز حريق. مسارات كابلات مختلفة. مسارات أنابيب مختلفة. إذا أثر حريق أو فيضان أو انفجار على قطار واحد، فيجب ألا يصل إلى الآخرين.

يجب أن تكون للقطارات مصادر طاقة منفصلة. حوامل كهربائية مختلفة تُغذى من مصادر مختلفة. القطار A على الحامل A، القطار B على الحامل B، القطار C على الحامل C: كل حامل مع ديزل طوارئ خاص به.

يجب أن تكون للقطارات منطق تنشيط منفصل. فشل مرحل في دائرة تنشيط القطار A لا يمكن أن يمنع القطار B من التنشيط. المثالي أن تستخدم مبادئ تنشيط مختلفة تمامًا (التنوع).

لماذا ثلاثة وليس اثنين؟ مع ثلاثة قطارات، يعني منطق التصويت اثنين من ثلاثة أن أي عطل في مكون واحد لا يزال يترك قطارين وظيفيين: تحصل على معيار العطل الواحد وأيضًا بعض الحماية ضد الأعطال ذات الأسباب المشتركة. مع قطارين، يترك العطل الواحد قطارًا واحدًا: لا هامش، لا دفاع ضد عطل ثانٍ.

التنوع مقابل التكرار

فكر في نظام تبريد النواة الطارئ لمفاعل PWR. نهج واحد: ثلاث مضخات حقن عالية الضغط متطابقة، كل واحدة تعمل بواسطة مولد ديزل منفصل، في غرف منفصلة.

نهج ثانٍ: مضخة حقن عالية الضغط واحدة، بالإضافة إلى خزان مضغوط بالنيتروجين لا يحتاج إلى طاقة، بالإضافة إلى خزان ماء يعمل بالجاذبية من خزان مرتفع.

كلاهما يوفر ثلاث وسائل لتوصيل الماء إلى النواة.

ECCS: خط الدفاع الأخير للنواة

أنظمة التبريد الطارئ للنواة

حادث التصميم الأساسي لمفاعل PWR هو حادث فقدان سائل التبريد (LOCA): كسر في نظام سائل تبريد المفاعل يسمح لسائل التبريد الأساسي بالهروب. يمكن لحادث LOCA كبير أن يكشف النواة في ثوانٍ. بدون غمر فوري، ترتفع درجات حرارة غلاف الوقود فوق 2,200°F، يتأكسد الزيركالوي، ويبدأ تلف الوقود.

يحتوي ECCS لمفاعل PWR نموذجي على أربعة أقسام فرعية، تعمل كل منها في مرحلة مختلفة من الحادث:

نظام الحقن عالي الضغط (HPIS): يُفعّل فوراً عند انخفاض ضغط سائل تبريد المفاعل أو ارتفاع ضغط الحاوية. يحقن ماءً مُبوراتياً في نظام سائل تبريد المفاعل بينما الضغط لا يزال مرتفعاً (فوق ~200 psi). يستخدم مضخات مدفوعة بالمحركات تعمل بالديزل الطارئ. معدل التدفق: 500-1,500 gpm حسب التصميم.

المراكم (تُعرف أيضاً باسم خزانات فيضان النواة): خزانات مُضغوطة بالنيتروجين سلبياً تحتوي على ماء مُبوراتي. تحقن تلقائياً عندما ينخفض ضغط سائل تبريد المفاعل إلى أقل من ضغط النيتروجين (عادةً 600-700 psi). لا يتطلب طاقة: ضغط النيتروجين يدفع الماء إلى النواة. يحتوي كل مركم على ~1,000 جالون.

نظام الحقن منخفض الضغط (LPIS): يُفعّل عند ضغط منخفض (<200 psi). يوفر معدلات تدفق كبيرة (آلاف gpm) لـ LOCA الكبيرة. بعد أن يفرغ خزان تخزين مياه إعادة التزود (RWST)، يتحول النظام إلى إعادة الدوران من المجمع: إعادة تدوير الماء من مجمع الحاوية عبر النواة. يجب أن يستمر لأسابيع (إزالة حرارة التحلل).

إزالة الحرارة المتبقية (RHR): تُعرف أيضاً بنظام إزالة حرارة التحلل. الغرض الأساسي: إزالة حرارة التحلل بعد وصول المفاعل إلى الإغلاق البارد. يعمل عند ضغط منخفض ودرجة حرارة منخفضة، يدور سائل التبريد عبر مبادلات الحرارة. كما يوفر قدرة حقن منخفضة الضغط.

أنظمة رش النواة في مفاعلات BWR: تستخدم مفاعلات الماء المغلي فوهات رش نواة فوق الوقود ترش الماء مباشرة على حزم الوقود: هندسة مختلفة عن فيضان PWR.

منحنى حرارة الاضمحلال

منحنى حرارة الاضمحلال هو أحد أهم الأرقام في سلامة النووي. بعد إيقاف المفاعل:

- t = 0 ثوانٍ: ~7% من القدرة المقننة (240 ميغاواط لمفاعل 3,400 ميغاواط)

- t = 1 دقيقة: ~3.5%

- t = 1 ساعة: ~1% (~34 ميغاواط)

- t = 1 يوم: ~0.3% (~10 ميغاواط)

- t = 1 week: ~0.1%

- t = 1 year: الوقود لا يزال يولد حرارة قابلة للقياس من النظائر طويلة العمر

عشرة ميغاواط من الحرارة، مستمرة إلى أجل غير مسمى، بدون طاقة لتشغيل مضخات التبريد. كانت هذه هي الوضعية الدقيقة في فوكوشيما داييتشي في 11 مارس 2011.

ECCS السلبي: تصميم AP1000

الجيل التالي: السلامة السلبية

يأخذ Westinghouse AP1000 (Advanced Passive 1000 MWe) دروس ECCS النشطة & يقلب فلسفة التصميم: بدلاً من ثلاث مجموعات من المضخات التي تحتاج إلى طاقة، تعتمد جميع وظائف السلامة على الجاذبية، والدوران الطبيعي، والغاز المضغوط، & التبخر.

خزانات تعويض النواة (CMT): خزانان كبيران من الماء البورات البارد مثبتان فوق المفاعل. عادةً معزولان. عند التنشيط، يتدفقهما الجاذبية إلى نظام تبريد المفاعل. يحتوي كل خزان على ما يكفي من الماء للحفاظ على تغطية النواة لساعات.

المراكمات: نفسها كما في المفاعلات التقليدية: مشحونة بالنيتروجين، حقن سلبي.

خزان تخزين مياه إعادة التزود بالوقود داخل الحاوية (IRWST): بركة مياه كبيرة داخل مبنى الحاوية، فوق المفاعل. يعتمد على الجاذبية. يوفر تبريدًا طويل الأمد بعد نفاد المبردات الطبيعي (CMTs). لا مضخات. لا طاقة.

مبادلات الحرارة لإزالة الحرارة المتبقية السلبية (PRHR HX): مغمورة في خزان IRWST. الدوران الطبيعي ينقل حرارة التحلل من المفاعل إلى مياه IRWST، التي تسخن وتغلي وتخرج إلى الغلاف الجوي عبر مدخنة. لا مضخات. سلبي بالكامل.

نافذة 72 ساعة: يثبت حالة السلامة لـ AP1000 توفير تبريد للنواة لمدة 72 ساعة دون تدخل من المشغلين ودون طاقة. بعد 72 ساعة، يمكن للمشغلين إعادة ملء IRWST بالماء من أي مصدر.

هذا التنوع في التصميم: سلبي مقابل نشط: هو السبب في أهمية التنوع. أنظمة السلامة في AP1000 لا يمكن هزيمتها بواسطة وضع الفشل الذي دمر فوكوشيما.

[TITLE containment/]

الحاجز المادي الأخير

الحاوية: الحد النهائي

إذا فشل كل نظام سلامة آخر & تضرر الوقود، فإن الحاوية هي الحاجز الأخير بين المواد المشعة & الجمهور. يجب أن تحافظ على تماسكها: ضد الضغط الداخلي من البخار، ضد احتراق الهيدروجين، ضد تأثيرات الصواريخ من المعدات الفاشلة، & لأطول فترة ممكنة.

حاوية PWR الجافة: هيكل خرساني مدعم مبطن بالفولاذ، عادةً بقطر 140 قدم & ارتفاع 200 قدم. مصممة لاحتواء ضغط البخار الناتج عن كسر مزدوج الطرفين كامل الطول لأكبر أنبوب تبريد أساسي (ضغط التصميم ~60 psi). بطانة الفولاذ هي حد الضغط؛ الخرسانة توفر القوة الهيكلية & الدرع البيولوجي.

حاوية مكثف الثلج: تصميم حاوية PWR أصغر وأقل ضغطًا (يُستخدم في بعض محطات ويستينغهاوس) يستخدم مئات الأطنان من الثلج لامتصاص طاقة البخار والحفاظ على ضغط الحاوية منخفضًا في حالة LOCA. يسمح بهيكل أصغر وأرخص لكنه يتطلب صيانة دورية للثلج.

الحاوية المزدوجة: بعض التصاميم تضع حاوية فولاذية داخلية داخل مبنى حاوية ثانوية خرسانية خارجية. يُحافظ على الفراغ بينهما عند ضغط سالب طفيف قليلاً حتى يتم جمع أي تسرب من الحاوية الداخلية وتصفيته قبل الإفراج.

حاوية BWR: Mark I، II، III: حاويات BWR من جنرال إلكتريك أصغر لأنها تستخدم بركة كبح الضغط (توروس أو wetwell) لتكثيف البخار بسرعة. Mark I (تصميم فوكوشيما) هو ترتيب drywell-torus: التوروس هو بركة ماء كبيرة على شكل دونات تحت الـdrywell. نقطة ضعف: التوروس متصل بقاع الـdrywell. إذا فشل التوروس، تفشل الحاوية. هذا بالضبط ما حدث في وحدة فوكوشيما 1.

مُعاد التركيب الذاتي التحفيزي السلبي (PAR): بعد فوكوشيما، تشمل معظم الحاويات الآن PARs: أجهزة تحتوي على مادة تحفيزية (بالاديوم أو بلاتين) تتفاعل الهيدروجين مع الأكسجين لتكوين ماء، بدون إشعال، عند تركيزات منخفضة. هذا يمنع تراكم الهيدروجين الذي قد يسبب انفجارًا سريعًا أو انفجارًا.

تصريف الاحتواء المفلتر: متطلب ما بعد فوكوشيما في أوروبا وزيادة في الولايات المتحدة: مسار تصريف مدعم بنظام فلتر متعدد المراحل (غاسل فنتوري + فلتر ألياف معدنية) يسمح للمشغلين بتصريف الاحتواء عمداً مع الاحتفاظ بأكثر من 99.9% من النشاط الإشعاعي الجسيمي. هذا يمنع الفشل غير المنضبط للاحتواء بسبب الضغط الزائد.

أساس التصميم وما بعد أساس التصميم

ما صُمم الاحتواء من أجله

حوادث أساس التصميم (DBA): تطالب هيئة التنظيم النووي (NRC) بأن ينجو الاحتواء من أي من هذه الحوادث في وقت واحد:

- انفجار كبير في LOCA: قطع كامل لأكبر أنبوب تبريد أساسي، إطلاق أقصى للمبرد

- فقدان الطاقة الخارجية (LOOP) مع LOCA في الوقت نفسه: عدم وجود طاقة الشبكة عند الحاجة إليها بشدة

- كسر خط البخار الرئيسي: إطلاق بخار عالي الطاقة داخل الحاوية

- حادث معالجة الوقود: سقوط وحدة وقود، إطلاق منتجات الانشطار من الوقود التالف

أحداث خارج أساس التصميم (BDBA): بعد 11 سبتمبر وبعد فوكوشيما، يجب على المحطات أيضًا معالجة:

- انقطاع التيار الكهربائي في المحطة (SBO): فقدان ممتد لجميع الطاقة المترددة (متطلب بعد TMI، تم تعزيزه بعد فوكوشيما)

- الفيضان خارج أساس التصميم: أظهرت فوكوشيما أن ارتفاعات الفيضان في أساس التصميم كانت منخفضة جدًا

- تأثير الطائرة: يتطلب NRC تحليلًا بعد 11 سبتمبر لتأثير الطائرة المتعمد؛ يجب على المحطات الجديدة إثبات القدرة على البقاء الهيكلي

- فقدان التبريد في حوض وقود المستنفد: حوض وقود المستنفد في وحدة فوكوشيما 4 كاد يغلي تمامًا؛ أضيفت متطلبات بعد فوكوشيما لاتصالات تعويض SFP المخصصة

ضعف Mark I

كانت وحدات فوكوشيما دايشي 1، و2، و3 جميعها تحتوي على حاويات General Electric Mark I. يستخدم Mark I drywell (وعاء فولاذي على شكل مصباح كهربائي حول المفاعل) متصلاً بحوض كبح تورويدي (التوروس) بواسطة downcomers. يتم توجيه البخار من الـdrywell إلى مياه التوروس للتكثيف.

خلال الحادث، يُعتقد أن التوروس في الوحدة 2 قد تضرر، مما سمح للنواتج الإشعاعية بالهروب مباشرة إلى مبنى المفاعل ثم إلى الغلاف الجوي دون المرور عبر حدود الحاوية الكاملة.

أنظمة الإغلاق

التحكم في التفاعلية: ثلاثة مسارات مستقلة للإغلاق

يجب أن تكون المفاعل قادرًا على الإغلاق والاستمرار في الإغلاق تحت أي ظروف. لا يُسمح بأن يمنع عطل واحد الإغلاق. يتطلب المعيار التصميمي العام (GDC 26) نظامين مستقلين للتحكم في التفاعلية، كل منهما قادر على الحفاظ على المفاعل تحت الحرجية.

آليات دفع قضبان التحكم (CRDMs):

- CRDMs المغناطيسية الجاك في PWR: تُحتفظ قضبان التحكم مرفوعة بواسطة كهرومغناطيس. عند فقدان الطاقة (إشارة SCRAM أو فقدان الطاقة)، تفقد المغناطيس الطاقة وتسقط القضبان بالجاذبية إلى النواة. آمن عند الفشل: الطاقة مطلوبة للحفاظ على القضبان خارج النواة. فقدان الطاقة = إدخال تلقائي.

- CRDMs الهيدروليكية في BWR: تُدفع القضبان من الأسفل بواسطة ماء عالي الضغط. الإدخال الطارئ يستخدم نتروجين عالي الضغط لدفع القضبان بسرعة. بعض تصاميم BWR لديها أيضًا دعم كهربائي احتياطي لإدخال القضبان.

الإدخال البديل للقضبان (ARI): مسار إشارة كهربائية منفصل ومتنوع يمكنه إدخال قضبان التحكم بشكل مستقل عن منطق SCRAM العادي. يُستخدم إذا فشل دائرة SCRAM العادية.

الحدث العابر المتوقع بدون SCRAM (ATWS): السيناريو التنظيمي حيث تفشل قضبان التحكم في الإدخال عند الطلب. أنظمة التخفيف من ATWS (ATWS-MF) توفر حقن البورون بشكل مستقل عن SCRAM العادي: عادةً حقن بورون عالي الضغط تلقائي يُفعل بواسطة مجموعة مستشعرات منفصلة.

حقن البورون الطارئ:

- حقن البورون عالي الضغط من أنبوب وقوف منفصل (منفصل عن الشحن العادي)

- حقن البورون الطارئ عبر خطوط حقن البورون في نظام ECCS

- حقن البورون اليدوي من خزانات تخزين حمض البوريك

تصاميم سلبية: مفاعل CANDU: يحتوي CANDU على نظامين مستقلين تمامًا للإغلاق: (1) قضبان إغلاق ميكانيكية تسقط بالجاذبية، و(2) حقن عالي الضغط لمحلول نترات الجادولينيوم في المعدِّل: دائرة فيزيائية منفصلة. هذه مستقلة في كل معنى: منطق تنشيط مختلف، أنظمة فيزيائية مختلفة، مبادئ مختلفة.

تحليل ATWS

خلال الاختبارات في عام 1979 في وحدة ثري مايل آيلاند 2، تسبب خطأ في الصيانة في فشل حدوث إيقاف مفاجئ للمفاعل (SCRAM) أثناء الاختبار. تم اكتشاف الحدث بسرعة. لكنه دفع هيئة التنظيم النووي (NRC) إلى طلب أنظمة التخفيف من ATWS في جميع المفاعلات: لأن الأنظمة التي كانت "مستحيل الفشل" قد فشلت في الواقع.

حدث ATWS في مفاعل PWR: يرتفع طاقة المفاعل بشكل مفاجئ. تفشل قضبان التحكم في الإدخال. التعويض الطارئ بالبورون هو الخط الدفاعي الأخير.

هندسة الطاقة ثلاثية الطبقات

طاقة المحطة النووية الكهربائية: ثلاث طبقات مستقلة

يجب على المحطة النووية الحفاظ على الطاقة لأنظمتها الآمنة بغض النظر عما يحدث للشبكة أو معدات التوليد الخاصة بها. تتكون هندسة الطاقة من ثلاث طبقات:

الطبقة 1: التشغيل العادي: تولد المحطة طاقتها الخاصة من التوربين الرئيسي المولد. يتم تشغيل الأحمال المساعدة (المضخات، المراوح، الضوابط) من إخراج المحطة الخاص بها عبر محولات المساعدة الوحدية.

الطبقة 2: الطاقة الخارجية (مصدر التيار المتردد المفضل): إذا تعثر المولد الرئيسي، يتصل المفاعل بالشبكة من خلال محولات البدء/الاحتياطي. تتطلب هيئة التنظيم النووي (NRC) خطي نقل مستقلين على الأقل من محطات فرعية مختلفة: حتى لا يؤدي عطل نقل واحد إلى فقدان الطاقة الخارجية الكلي.

الطبقة 3: المولدات الديزل الطارئة (EDGs): إذا فقدت الطاقة الخارجية، تبدأ EDGs تلقائيًا وتحمل حافلات السلامة خلال 10 ثوانٍ. متطلبات هيئة التنظيم النووي (NRC):

- يجب أن يصل كل EDG إلى الجهد والتردد المقدرين خلال 10 ثوانٍ من تلقي إشارة البدء

- تخزين الوقود: الحد الأدنى 7 أيام عند الحمل الكامل (دليل التنظيم النووي NRC 1.9)

- الاختبار: اختبار حمل شهري + اختبار تحمل 24 ساعة كل 24 شهرًا

- تسلسل الحمل: تتصل الأحمال الآمنة على التوالي لتجنب تحميل الديزل بشكل زائد عند البدء

بطاريات المحطة: طاقة تيار مستمر للأجهزة الآلية، لوحات غرفة التحكم، الإضاءة الطارئة، دوائر تفعيل SCRAM، تفعيل ATWS، والإتصالات. يجب أن توفر الحمل لمدة لا تقل عن ساعتين (Class 1E)؛ معظم المحطات مصممة لـ 4-8 ساعات. شاحنات البطاريات تعيد شحن البطاريات عند عودة التيار المتردد.

استراتيجية FLEX بعد فوكوشيما: أمر NRC EA-12-049 يتطلب من جميع المحطات توفير مضخات ومولدات محمولة يمكن نشرها خلال إطارات زمنية محددة بغض النظر عن ظروف الموقع. معدات FLEX مخزنة في مواقع متعددة (بعضها في هياكل قوية، وبعضها خارج الموقع) ويمكن ربطها بنقاط اتصال خارجية مدعمة على أنظمة تبريد المفاعل وحوض الوقود المستنفد.

متطلبات المولد الديزل

ثری مايل آيلند الوحدة 2، 1979: تسلسل الحادث شمل إيقاف التوربين تلاه فقدان المياه الإغذائية، تلاه سلسلة معقدة من الأحداث التي أدت إلى تلف النواة. مولدات الديزل الطارئة بدأت وعملت بشكل صحيح طوال الحدث.

فوكوشيما داييتشي، 2011: الزلزال تسبب في SCRAM المفاعل. جميع ستة مولدات الديزل بدأت وعملت. ثم وصلت التسونامي. مولدات الوحدات 1-3 كانت في غرف الطابق السفلي التي غمرتها المياه. مولد الوحدة 6 كان في موقع أعلى ونجا. الوحدتان 5 و6 لم تعرضا لتلف النواة.

نظام حماية المفاعل

نظام حماية المفاعل (RPS)

نظام حماية المفاعل هو النظام التلقائي الذي يبدأ إيقاف المفاعل SCRAM (إغلاق سريع) عندما تتجاوز المعايير المراقبة الحدود الآمنة. إنه الدفاع التلقائي الأول ضد الظروف العابرة.

المعايير المراقبة التي يمكن أن تبدأ SCRAM:

- تدفق نيوتروني عالي (طاقة عالية)

- درجة حرارة مبرد المفاعل عالية

- ضغط مبرد المفاعل منخفض (احتمالية LOCA)

- ضغط الحاوية عالي

- تدفق منخفض لمبرد المفاعل

- مستوى مبرد عالٍ (BWR)

- مستوى ماء منخفض-منخفض (BWR)

- فقدان الطاقة الخارجية

- إيقاف يدوي (مبادرة من المشغل)

منطق التصويت: يتم قياس كل معلمة بواسطة أربعة أجهزة استشعار مستقلة، كل منها في قناة حماية منفصلة. يتطلب SCRAM أن تتجاوز 2 من 4 قنوات نقطة الإعداد. هذا يعني:

- لا يمكن لجهاز استشعار فاشل واحد (قراءة عالية كاذبة) أن يسبب إيقافًا كاذبًا

- تجاوز أي قناتين للقيمة المحددة يؤدي إلى التعطيل

- فشل قناة واحدة (تقرأ قيمة منخفضة بشكل خاطئ) يترك ثلاث قنوات، لا تزال قادرة على 2 من 3

نظام التنفيذ المتنوع والمخصص (DDAS): أنظمة RPS الرقمية الحديثة لديها نسخة احتياطية تناظرية: DDAS: التي يمكنها بدء وظائف السلامة بشكل مستقل عن التحكم الرقمي I&C. هذا يوفر التنوع: يمكن أن تفشل الأنظمة الرقمية والتناظرية لأسباب مختلفة تمامًا، وفشل واحد لا يمنع الآخر من العمل.

منطق 2 من 4 مقابل 2 من 3

يستخدم RPS منطق التصويت 2 من 4 لبدء SCRAM (أربعة أجهزة استشعار، يجب أن يتفق اثنان للتعطيل). لكن الأجهزة الفردية تستخدم منطق التصويت 2 من 3 داخل كل قطار للإبلاغ لنظام التنفيذ (ثلاث قياسات، يجب أن يتفق اثنان لتنفيذ وظيفة أمان محددة مثل ECCS).

هذه ليست نفس الشيء، & فهم الفرق بينهما يهم.

الحد الأدنى من التوظيف

الإشراف البشري: الطبقة التي تفكر

تتطلب عمليات محطة الطاقة النووية تواجد أفراد مرخص لهم في الوردية في جميع الأوقات. يحدد NRC 10 CFR 50.54(m) الحد الأدنى من متطلبات التوظيف. على الأقل، تشمل فرق التشغيل:

مشغل المفاعل (RO): مرخص من NRC (10 CFR 55). يشغل مباشرة ضوابط المفاعل، لوحة التحكم الرئيسية، وأنظمة السلامة. يجب أن يكون عند الضوابط باستمرار أثناء عمليات الطاقة.

مشغل مفاعل أول (SRO): رخصة NRC أعلى. يشرف على RO. يمتلك سلطة مستقلة لبدء الإغلاق. يراجع ويوافق على إجراءات RO أثناء الأحداث غير الطبيعية. لا يمكن أن يكون الشخص نفسه الذي يشغل RO في الوردية.

مشرف الوردية (SS): SRO مرخص أعلى رتبة. مسؤول عن إدارة العمليات العامة وسلامة المحطة أثناء الوردية. السلطة النهائية في الموقع لعمليات المحطة.

مستشار الوردية التقني (STA): متطلب بعد TMI (NUREG-0737). مهندس مرخص مخصص لكل وردية خصيصًا لتقديم دعم تقني مستقل أثناء الأحداث غير الطبيعية: غير مشتت بتشغيل الضوابط، مركز بالكامل على تشخيص الحدث.

لماذا عدة أشخاص؟ الدفاع العميق في الطبقة البشرية. RO تحت الضغط، مركز على تنفيذ الإجراءات، قد يفوته الصورة الكبيرة. يوفر SRO إشرافًا مستقلًا. يوفر STA تحليلًا تقنيًا مستقلًا. يحافظ مشرف الوردية على الوعي الظرفي. لا يمكن لفشل معرفي بشري واحد أن يمنع التحكم الآمن في المحطة.

أدوات الأداء البشري

تقليل الأخطاء البشرية: الأدوات المنهجية

لقد قامت صناعة الطاقة النووية بتحديد معدلات الأخطاء البشرية لأنواع مختلفة من المهام. قد تتجاوز معدلات الأخطاء في اتخاذ القرارات المعقدة تحت الضغط 1 من 10. وتستهدف الصناعة معدلات أخطاء تبلغ 1 من 1,000 أو أفضل للمهام الحرجة، وتحقق ذلك من خلال أدوات الأداء البشري المنهجية.

الإحاطة قبل المهمة: قبل أي مهمة مهمة، تغطي الإحاطة: هدف المهمة، المخاطر، الظروف المتوقعة، خطوات التحقق من الإنجاز، وشروط التوقف (إذا حدث X، توقف واتصل بالمشرف). تستغرق من 5 إلى 15 دقيقة. وتقلل بشكل كبير من أخطاء تنفيذ المهمة.

STAR (توقف، فكر، نفذ، راجع): تقنية فحص ذاتي لكل إجراء حرج. توقف: توقف قبل الإجراء. فكر: ماذا أنا على وشك فعله، وهل هذا صحيح؟ نفذ: قم بالإجراء. راجع: هل كانت النتيجة كما توقعت؟ يلتقط التوقف لثانيتين أخطاء التبديل، واختيارات الصمامات الخاطئة، والاختصارات المعرفية.

الاتصال ثلاثي الاتجاه: لجميع الأوامر اللفظية ذات الأهمية السلامية: (1) يذكر المبادر الأمر: "قم بمحاذاة الصمام HV-233 إلى الوضع المفتوح." (2) يعيد المستقبل التكرار بالضبط: "قم بمحاذاة الصمام HV-233 إلى الوضع المفتوح." (3) يؤكد المبادر: "هذا صحيح." خطأ الاتصال الذي لا يُكتشف في هذا التبادل غير عادي: إذ يتطلب من الطرفين سماع أو تذكر خاطئ.

نزاهة شخصين: بالنسبة لعمليات ذات عواقب عالية معينة (المتعلقة بالأمن، التعامل مع المصدر)، يجب أن يكون هناك شخصان مرخصان حاضرَان ويتم التحقق من أفعال بعضهما البعض بالتلفظ. لا يمكن لأي شخص أداء الإجراء الحساس بمفرده: يجب أن يكون الشخص الثاني موجودًا جسديًا ويؤكد كل خطوة.

إدارة الإرهاق: NRC 10 CFR 26 تحدد الحدود: أقصى يوم عمل 16 ساعة، حد أدنى 8 ساعات راحة قبل العودة إلى الواجب، أقصى 54 ساعة أسبوعيًا، أقصى 72 ساعة أسبوعيًا تحت العمل الإضافي. الإرهاق يضعف اتخاذ القرار بقدر الإسكار: هذه الحدود ليست توصيات إنتاجية، بل متطلبات أمان.

إجراءات التشغيل الطارئ

قبل ثلاثة أميال جزيرة (1979)، استخدمت محطات الطاقة النووية إجراءات طوارئ مبنية على الحدث: إذا حدث الحدث X، نفذ الإجراء X. كان على المشغلين تحديد الحدث بشكل صحيح قبل اتخاذ الإجراء.

في TMI، تلقى المشغلون إشارات متناقضة. كان صمام تخفيف الضغط عالقًا مفتوحًا: كانت هذه تسرب صغير LOCA: لكن المشغلين أخطأوا في تحديد الحدث واتبعوا الإجراء الخاطئ. بحلول الوقت الذي تم فيه التشخيص الصحيح، حدث تلف كبير في النواة.

بعد TMI، طورت الصناعة إجراءات التشغيل الطارئة المبنية على الأعراض (EOPs). بدلاً من 'تحديد الحدث، اختيار الإجراء'، يتبع المشغلون: 'مراقبة الأعراض، اتخاذ إجراءات وقائية لهذه الأعراض، بغض النظر عما تعتقد أن الحدث هو.'

الشرط الداخلي الرئيسي المبني على الأعراض: أي تغيير غير متوقع في مستوى أو ضغط أو درجة حرارة سائل التبريد النووي، بغض النظر عن السبب، يؤدي إلى تسلسل التحقق من تبريد النواة نفسه.

ALARA: As Low As Reasonably Achievable

هندسة حماية الإشعاع

ALARA: As Low As Reasonably Achievable: ليست مجرد حد جرعة. إنها فلسفة: يجب تقليل الجرعة إلى أدنى حد عملي، وليس فقط الحفاظ عليها أقل من الحدود القانونية. يفرض NRC مبدأ ALARA كمتطلب تنظيمي (10 CFR 20.1101)، وليس مجرد ممارسة جيدة.

إدارة الجرعة الخارجية: الثلاثة ضوابط الكلاسيكية:

- الوقت: قَصِّر الوقت في حقل الإشعاع إلى النصف، ينخفض الجرعة إلى النصف. تسلسلات العمل المخططة مسبقًا تقلل الوقت غير الضروري في المناطق عالية الجرعة.

- المسافة: معدل الجرعة يتبع قانون المربع العكسي. ضاعف مسافةك من مصدر نقطي، ينخفض معدل الجرعة إلى الربع. العمل من ستة أقدام بدلاً من ثلاثة أقدام يقلل الجرعة بنسبة 75%.

- الدرع: الرصاص، والخرسانة، والماء، والبولي إيثيلين يخففان أنواع الإشعاع المختلفة. طبقة القيمة النصفية (HVL) هي السُمْك الذي يقلل الكثافة إلى النصف. HVL للرصاص للأشعة غاما النموذجية: ~1 سم. HVL للخرسانة: ~6 سم. بعد عشر طبقات قيمة نصفية (10 TVL = طبقة القيمة العُشرية)، تنخفض الكثافة إلى 1/1,000 من الأصلية.

إدارة الجرعة الداخلية:

- المادة المشعة داخل الجسم تستمر في إشعاع الأعضاء حتى تتحلل أو تُطْرَح

- المسارات: استنشاق (رذاذات، غازات)، ابتلاع (طعام/ماء ملوث)، امتصاص عبر الجلد (نادر)

- التركيز الجوي المشتق (DAC): التركيز الجوي للنظير المشع الذي، إذا استُنشِق لمدة 2,000 ساعة/سنة، يُعْطِي حد الجرعة المهنية. أقنعة التنفس والحجرات ذات الضغط السالب تمنع جرعة الاستنشاق.

- الحد السنوي للاستيعاب (ALI): إجمالي الاستيعاب (استنشاق + ابتلاع) الذي يوصل إلى حد الجرعة المهنية

حدود الجرعات المهنية (10 CFR 20):

- 5 ريم (50 ميلي سيفرت) سنويًا لإجمالي المكافئ الفعال للجرعة

- 3 ريم (30 ميلي سيفرت) لكل ربع سنة

- 15 ريم (150 ميلي سيفرت) سنويًا لعدسة العين

- 50 ريم (500 ميلي سيفرت) سنويًا للجلد أو الأطراف

- قيد الجرعة لتخطيط ALARA: 2 ريم/سنة (حدود إدارية خاصة بالمحطة غالبًا أقل)

التحكم في التلوث:

- المناطق الخاضعة للرقابة الإشعاعية (RCAs) لها وصول خاضع للرقابة، تفتيش عند الخروج

- وسائد الخطوة: ورق أو بلاستيك عند مخارج RCA؛ تغيير غطاء الأحذية هنا لتجنب نقل التلوث

- عد الجسم الكامل: بعد العمل في مناطق ذات إمكانية تلوث داخلي، يحدد عد الجاما للجسم الكامل الامتصاص الداخلي

- برامج التحليل الحيوي: تحليل البول والبراز يقيس الجرعة الداخلية من نظائر محددة

ALARA في الممارسة

يجب على عامل إشعاعي استبدال صمام في منطقة إشعاع عالي. معدل الجرعة في موقع الصمام هو 500 ميريم/ساعة. المهمة تتطلب 30 دقيقة لإكمالها. جرعة العامل السنوية حتى الآن هي 1,200 ميريم مقابل حد إداري للمصنع يبلغ 2,000 ميريم/سنة.

باستخدام مبادئ ALARA والثلاثة ضوابط، قم بتقييم ما إذا كان يمكن المتابعة مع هذه المهمة وحدد على الأقل إجراءين محددين لتقليل الجرعة.

ثلاثة أميال جزيرة (1979)

وحدة ثلاثة أميال جزيرة 2: 28 مارس 1979

لم تكن TMI فشلًا في التصميم: بل كانت فشلًا في الدفاع بعمق في الطبقات البشرية وإجراءات التشغيل.

ما حدث:

- توقف التوربين أدى إلى SCRAM للمفاعل (تلقائي: عمل بشكل صحيح)

- فتح صمام تخفيف الضغط (PORV) (صحيح) لكنه ظل مفتوحًا (عطل في المعدات)

- أظهر مؤشر غرفة التحكم فقط أن الصمام قد تلقى إشارة الإغلاق: وليس أنه أُغلق فعليًا

- تسرب سائل التبريد من خلال صمام PORV المفتوح. انخفض الضغط ودرجة الحرارة في المفاعل

- أساء المشغلون قراءة الأعراض فظنوها زيادة في سائل التبريد، فقللوا حقن التبريد الطارئ: وهو عكس ما كان مطلوبًا

- لأكثر من ساعتين، انكشف قلب المفاعل جزئيًا

- ذاب حوالي نصف القلب

ما فعله الاحتواء: صمد. رغم الضرر الشديد في القلب وتراكم الهيدروجين داخل الاحتواء، احتفظ هيكل الاحتواء بجميع نواتج الانشطار تقريبًا. كانت الجرعات الإشعاعية خارج الموقع طفيفة: ولم تحدث آثار صحية على الجمهور من الإشعاع.

تحسينات ما بعد TMI (NUREG-0737):

- إجراءات التشغيل الطارئة القائمة على الأعراض (بدلاً من القائمة على الحدث)

- مستشارون تقنيون للوردية في كل وردية

- محاكيات كاملة النطاق معتمدة من NRC لتدريب الطاقم

- أجهزة مراقبة ما بعد الحادث (PAM): مؤشرات مباشرة لتبريد النواة، لوحة عرض مؤهلة على طاقة مستقلة عن التيار المتردد

- معايير تصميم غرفة التحكم المعدلة (NUREG-0700)

- متطلبات محسنة لامتحانات ترخيص المشغلين

تشرنوبيل (1986)

وحدة تشرنوبيل 4: 26 أبريل 1986

كان تشرنوبيل مختلفًا في طبيعته عن TMI: كان في المقام الأول نقصًا في التصميم مع تجاوزات متعمدة لأنظمة السلامة.

ما حدث:

- اختبار استقرار الجهد يتطلب تشغيل المفاعل عند طاقة منخفضة (~200 ميغاواط، مقابل القدرة المقننة 3,200 ميغاواط)

- عند الطاقة المنخفضة، كان لمفاعل RBMK معامل فراغ إيجابي: زادت فقاعات البخار في المبرد من التفاعلية

- كانت قضبان التحكم بها عيب تصميمي: كانت أطراف الغرافيت تدفع الماء عند الإدخال الأولي، مما يسبب زيادة أولية في التفاعلية قبل دخول الجزء الممتص للنيوترونات إلى النواة

- تم تأخير الاختبار؛ لم يكن طاقم الليل مدربًا عليه

- تم تعطيل أنظمة السلامة المتعددة عمدًا لإجراء الاختبار

- عند الضغط على زر الإغلاق الطارئ (AZ-5)، تسببت رؤوس قضبان الغرافيت في ارتفاع في التفاعلية بدلاً من الإيقاف الطارئ المقصود (SCRAM)

- ارتفع الطاقة إلى 30,000 ميغاواط في ثوانٍ: حوالي 10 أضعاف الطاقة المقدرة

- تحول الوقود ومبرد السائل إلى بخار، مما تسبب في انفجار بخاري دمر المفاعل

- احترق حريق الغرافيت لمدة 10 أيام، مما أدى إلى تشتيت المنتجات النووية عبر أوروبا

لا حاوية: لم يكن لدى RBMK حاوية كاملة. كان المفاعل في مبنى صناعي كبير بدون قدرة على الاحتفاظ بالضغط. عند تدمير المفاعل، لم يكن هناك حاجز أخير.

التغييرات بعد تشيرنوبيل:

- تعديلات تصميم RBMK: إزالة معامل الفراغ الإيجابي عند الطاقة المنخفضة، إعادة تصميم رؤوس القضبان، إضافة ماصات نيوترون إضافية

- تعزيز الاتفاقيات الدولية للسلامة النووية

- رسمية مفهوم ثقافة السلامة النووية من قبل IAEA (INSAG-7)

- التركيز التنظيمي الغربي على الحاوية كمتطلب غير قابل للتفاوض

ثلاث حوادث، ثلاث دروس

أنت الآن تعرف الحوادث النووية المدنية الثلاث الرئيسية: TMI (1979)، وتشيرنوبيل (1986)، وفوكوشيما (2011). كل منها كشف عن نوع مختلف من فشل في العمق الدفاعي.

كمية المخاطر

PRA: الانتقال من "آمن بما فيه الكفاية" إلى "كم هو آمن؟"

تحليل السلامة الحتمي يقول: صمم المحطة لتحمل هذه الحوادث المحددة. تقييم المخاطر الاحتمالي (PRA) يطرح سؤالًا مختلفًا: مع جميع الطرق التي يمكن أن تسوء بها الأمور، ما هي الاحتمالية أن تحدث فعليًا؟

تردد تلف النواة الأساسي (CDF): الاحتمالية أن تتعرض نواة المفاعل لتلف كبير في أي عام معطى. هدف السلامة لـ NRC: CDF < 1×10⁻⁴ لكل سنة مفاعل (مرة كل 10,000 سنة مفاعل). المحطات الحديثة تحقق عادةً CDF < 1×10⁻⁵ (مرة كل 100,000 سنة مفاعل).

تردد الإطلاق المبكر الكبير (LERF): الاحتمالية لإطلاق كبير ومبكر للإشعاع إلى البيئة (قبل إكمال الإجلاء). هدف السلامة لـ NRC: LERF < 1×10⁻⁵ لكل سنة مفاعل.

أشجار الأعطال: رسوم بيانية منطقية تُظهر التركيبات من أعطال المكونات التي تؤدي إلى حدث علوي محدد (مثل 'فشل ECCS في تسليم الماء إلى النواة'). تستخدم بوابات AND (يجب أن تفشل جميعها) وبوابات OR (فشل واحد كافٍ). بوابات AND تقلل الاحتمالية (تتطلب أعطال متعددة متزامنة). بوابات OR تزيد الاحتمالية.

أشجار الأحداث: رسوم بيانية تبدأ بحدث مبدئي (مثل 'يحدث LOCA كسر كبير') وتتبع العواقب اعتمادًا على نجاح أو فشل أنظمة السلامة. تمثل كل فرع نجاح أو فشل وظيفة أمان. العقد النهائية هي تسلسلات الحوادث: إغلاق آمن، تلف النواة، إطلاق كبير.

مقاييس الأهمية: تحدد PRA أي المكونات والأنظمة تساهم أكثر في المخاطر.

- أهمية Fussel-Vesely (FV): النسبة المئوية من CDF الناتجة عن أعطال مكون. FV عالية = هذا المكون مهم جدًا.

- قيمة تحقيق المخاطر (RAW): مقدار زيادة CDF إذا افترضنا فشل هذا المكون. RAW عالية = يجب ألا يخرج هذا المكون عن الخدمة لفترة طويلة.

RAW توجه جدولة الصيانة والاختبار: المكونات ذات RAW العالية تحصل على اختبارات متكررة وأوقات توقف قصيرة مسموحة.

**جدول الأعطال وأشجار الأحداث في PRA وجدولة الصيانة**

يحتوي محطة نووية على ثلاثة مولدات ديزل طوارئ (أ، ب، ج). تظهر تحليل PRA:

- معدل فشل التصميم (CDF) مع عمل الثلاثة: 2×10⁻⁵ في السنة

- معدل فشل التصميم (CDF) مع إيقاف مولد أ عن الخدمة للصيانة: 8×10⁻⁵ في السنة (زيادة 4 أضعاف)

- معدل فشل التصميم (CDF) مع إيقاف مولدي أ وب معاً: 4×10⁻³ في السنة (زيادة 200 ضعف)

ترغب فريق الصيانة في إيقاف مولدي أ وب عن الخدمة معاً لإصلاح كبير يستمر 30 يوماً.

الوقود المستهلك: الالتزام الطويل

الوقود المستهلك: الإدارة النشطة والسلبية

عند إزالة الوقود من المفاعل بعد 3-5 سنوات من التشغيل، يكون شديد الإشعاع ومنخفض الحرارة من حرارة التحلل. تنطبق نفس منحنى حرارة التحلل: 7% من الطاقة المقدرة فوراً، وتنخفض على مدى سنوات.

حمامات الوقود المستهلك (SFP): فوراً بعد الإزالة، يتم وضع تجميعات الوقود المستهلك في حمامة وقود مستهلك: حوض مملوء بالماء، عادةً بعمق 40 قدماً، مجاور لمبنى المفاعل. يخدم الماء غرضين: التبريد والحماية (الماء فوق الوقود يمتص الإشعاع، مما يسمح للعمال على سطح الحمامة بتلقي جرعات منخفضة).

الحد الأدنى لوقت تبريد الحمامة قبل برميل جاف: حوالي 5 سنوات لوقود PWR. يجب أن يبرد الوقود إلى النقطة التي يمكن فيها التبريد الهوائي السلبي في برميل جاف التعامل مع حرارة التحلل المتبقية دون أي ماء.

خطر حريق الزركالوي: إذا تم كشف تجميعات الوقود المستهلك (فقدان ماء الحمامة)، يمكن أن يتأكسد غلاف الزركالوي في الهواء عند درجات حرارة عالية. بخلاف تفاعل البخار-الزركالوي الذي ينتج الهيدروجين، يمكن أن يدعم تأكسد الزركالوي بالهواء عند درجات حرارة حمراء ساخنة حريق زركالوي: تفاعل حراري ذاتي الاستدامة. كانت حمامة وقود المفاعل رقم 4 في فوكوشيما على بعد أيام من الوصول إلى درجات حرارة يمكن أن يحدث فيها ذلك.

متطلبات بركة الوقود المستهلك بعد فوكوشيما (أمر NRC EA-12-051):

- أجهزة قياس موثوقة لمستوى الماء ودرجة الحرارة في بركة الوقود المستهلك

- القدرة على إضافة ماء تعويضي إلى بركة الوقود المستهلك من مصادر متعددة

- استراتيجيات للحفاظ على تبريد بركة الوقود المستهلك أو استعادته في سيناريوهات انقطاع التيار الكهربائي الممتد

التخزين في حاويات جافة: بعد 5 سنوات أو أكثر في البركة، يُنقل الوقود إلى حاويات جافة: أسطوانات فولاذية ملحومة محاطة بدرع من الخرسانة أو البولي إيثيلين عالي الكثافة. التبريد سلبي تمامًا: تدفق هواء طبيعي عبر فتحات في الهيكل الخارجي. لا يحتاج إلى كهرباء. العمر التصميمي: أكثر من 100 عام. يوجد حاليًا أكثر من 90,000 طن متري من المعدن الثقيل مخزنة في حاويات جافة في الولايات المتحدة وحدها.

التخلص من النفايات عالية المستوى: يُصنف الوقود المستهلك كنفايات نووية عالية المستوى. يحدد القانون الأمريكي (قانون سياسة النفايات النووية) جبل يوكا في نيفادا كمستودع دائم: لكنه لم يفتح بسبب المعارضة السياسية. تتطلب هيئة التنظيم النووي (NRC) أن يوفر المستودع احتواءً لمدة 10,000 عام (معيار EPA: مليون عام للجرعات التي تتجاوز 10,000 عام). يستخدم التخلص الجيولوجي العميق تكوين الصخور نفسها كحاجز أساسي، مع حواجز مصممة (تصلب الزجاج، حاويات معدنية، طين البنتونيت) كطبقات إضافية.

النفايات منخفضة المستوى (LLW): الملابس الملوثة، الأدوات، المرشحات، الراتنجات. ثلاث فئات من NRC:

- الفئة A: أقل نشاط، نظائر قصيرة العمر. دفن أرضي ضحل، متطلب عزل 100 عام

- الفئة B: نشاط معتدل. دفن ضحل مع عزل 300 عام

- الفئة C: نشاط أعلى، نظائر أطول عمرًا. يتطلب عزل 500 عام؛ التخلص قريب السطح مع حواجز مصممة أكبر

تقنيات تقليل الحجم (الحرق، الضغط، الذوبان) إلزامية لتقليل مساحة التخلص

حقيبة التخزين الجافة: حالة السلامة

يجادل ناقد بأن تخزين الحقائب الجافة غير آمن لأن الحقائب لا تحتوي على تبريد نشط، ولا توجد اتصالات كهربائية، وتوضع في الهواء الطلق على ألواح خرسانية. يرد مهندس نووي بأن الحقائب الجافة قد تكون في الواقع أكثر أمانًا من حوض الوقود المستنفد.

الدفاع بعمق: الصورة الكاملة

هندسة السلامة النووية: تخصص نظامي

لقد درست الآن كل طبقة من هندسة السلامة النووية. تراجع خطوة إلى الوراء & انظر إلى النظام:

الحواجز الفيزيائية (مصفوفة الوقود، الغلاف، وعاء الضغط، الحاوية) سلبية: لا تتطلب أي إجراء لتعمل. إنها الأساس.

أنظمة السلامة (ECCS، RPS، EDGs، DDAS) نشطة مع نسخ احتياطية سلبية (المراكمات، خزانات الجاذبية، البطاريات). كل وظيفة لديها ثلاثة خطوط مستقلة. كل خط قادر بنسبة 100%. النهج النشط & السلبي متنوعان.

الأجهزة الآلية (RPS، تشغيل ECCS، PAM) تراقب عشرات المعلمات بمنطق التصويت 2 من 4: مقاومة للانقطاعات الزائفة ولعطل الحساسات التي تمنع الانقطاع.

الإجراءات (EOPs القائمة على الأعراض) توجه المشغلين إلى إجراءات وقائية دون الحاجة إلى تشخيص صحيح. بعد TMI. أساسية.

عوامل الإنسان (التوظيف، التدريب، أدوات أداء الإنسان، حدود الإرهاق) تقلل من احتمال فشل الطبقة البشرية. متطلب STA بعد TMI. تدريب المحاكي. توجيهات قبل المهمة. STAR. التواصل الثلاثي.

الإدارة وثقافة السلامة تضمن عدم التضحية بالسلامة من أجل الكفاءة. INSAG-7 بعد تشيرنوبيل. درس تشيرنوبيل هو أن أنظمة السلامة التي يعطلها الإدارة هي أنظمة سلامة غير موجودة.

التنظيم (NRC 10 CFR 50، معايير IAEA، تفتيش دوري) يوفر رقابة مستقلة في الطبقة العليا. المنظم الذي لا يفتش هو منظم غير موجود.

كشفت الحوادث الثلاث الكبرى أن دفاع العمق يفشل ليس بسبب فشل درامي واحد، بل بسبب مزيج من الفشلات الصغيرة، والافتراضات الخاطئة، & الهوامش غير الكافية في طبقات متعددة في الوقت نفسه. حالة السلامة قوية فقط بقدر أضعف مزيج متزامن فيها.

التكامل النهائي

السؤال النهائي: الأصعب

تصميم مفاعل جديد مقترح يدعي أنه آمن لدرجة أنه يحتاج فقط إلى خط ECCS واحد (وليس ثلاثة)، لا مولدات طوارئ (تبريد سلبي فقط)، & نموذج توظيف مبسط مع اثنين من المشغلين في الوردية بدلاً من أربعة.

يجادل المصمم: "التبريد السلبي يعني عدم الحاجة إلى الطاقة، لذا فإن المحركات الديزل غير ضرورية. لا يمكن للمفاعل الذوبان فيزيائيًا، لذا فإن تبسيط الطاقم مبرر."