Definiere Deine Mission

Abschnitt 1: Mission Definition

Jede Reaktordesign beginnt mit einer Mission. Die Mission bestimmt jede weitere Entscheidung.

Leistungsausgang bestimmt die Größe des Reaktors, die Brennelementmenge und die Kühlungsanforderungen. Ein 100 MWe kleines modulares Reaktor (SMR) hat völlig verschiedene Ingenieur-einschränkungen als ein 1.200 MWe Druckwasserreaktor.

Standort bestimmt die Sitzkriterien, die Kühlquellen, die Grid-Integration, die Notfallplanung und die seismischen Design-Basis. An Flussstandorten werden für die Kühlung Flusswasser verwendet und müssen den Hochwasser-Risiko ansprechen. An Küstenstandorten wird Meereswasser verwendet, aber Tsunamis und Sturzfluten müssen berücksichtigt werden. Auf entlegenen Inseln oder in isolierten Mikrogrids können sie möglicherweise nicht an ein nationales Netz angeschlossen werden.

Grid-Integration vs. isolierte Mikrogrids ändert, wie Anforderungen an Lastfolgenhandhabung behandelt werden und was passiert, wenn das Netz versagt (Stromausfall-Risiko).

Gesamtes Designleben beeinflusst die Festigkeitsgrenzen von Materialien, die Inspektionsintervalle, die Erneuerungserfordernisse für Lizenzierung und die Kosten für Stilllegung. Der NRC wird derzeit Anlagen für 40 Jahre lizenzieren, mit 20-jährigen Erweiterungserneuerungen. Einige Designs richten sich auf ein 80-jähriges Leben.

Typische Mission-Profile:

- 300 MWe SMR, entlegener Insel, isoliertes Netz, 60-jähriges Leben

- 1.100 MWe Druckwasserreaktor, Flussstandort, nationales Netz, 60-jähriges Leben

- 1.600 MWe EPR, Küstenstandort, nationales Netz, 60-jähriges Leben

- 2 x 77 MWe NuScale SMR Array, Flussstandort, regionales Netz, 40-jähriges Leben

Deine Missionserklärung

Definieren Sie die Mission Ihres Reaktors. Dies wird die Grundlage jeder nachfolgenden Designentscheidung sein.

Reaktortypen-Verzweigungsanalyse

Abschnitt 2: Reaktortypauswahl

Es werden heute fünf Hauptkommerzreaktortypen ernsthaft in Betracht gezogen. Jeder hat ein unterschiedliches physikalisches Grundlagenkonzept, Brennelementzyklus, Sicherheitsprofil und Reifegrad. Sie müssen einen auswählen und ihn verteidigen.

Druckwasserreaktor (PWR)

Der am häufigsten verwendete Reaktortyp weltweit (etwa 70% der in Betrieb befindlichen Anlagen). Leichtwasser (H₂O) dient als Kühlmedium und Moderator. Der Primärkreislauf arbeitet bei etwa 155 bar / 325°C: Der hohe Druck hält das Wasser flüssig. Eine Dampferzeuger überträgt die Wärme auf einen Sekundärkreislauf, der die Turbine antreibt. Radioaktives Wasser bleibt im Primärkreislauf.

Vorteile: Jahrzehnte des Betriebserlebnisses, starker negativer Volumen coefficient (Wasserverlust führt zu Reaktivitätsabnahme), bewährtes Sicherheitsniveau, große industrielle Lieferkette.

Nachteile: Hoher Betriebsdruck (erfordert dickleibige Druckbehälter und schwere Pumpen), Zweilöpigs-Designkomplexität, Verlust von Kühlmedium (LOCA) erfordert aktive ECCS-Reaktion.

Siedewasserreaktor (BWR)

Das Wasser siedet im Reaktorbehälter. Dampf geht direkt zur Turbine. Einfacher als PWR: Keine Dampferzeuger erforderlich.

Vorteile: Niedrigerer Betriebsdruck als PWR, einfacher Einlöpigs-Design, direkter Wirkungsgrad ist effizienter.

Nachteile: Radioaktiver Dampf geht zur Turbine (Turbinebau ist eine Strahlungsbereich), komplexes ECCS mit mehreren Einstrahlungssystemen, leicht positiver Volumen coefficient bei einigen Leistungsniveaus erfordert sorgfältige Planung.

CANDU (Kanada-Deuterium-Uranium)

Verwendet schweres Wasser (D₂O) als Moderator und Kühlmittel. Kann natürlichen Uranbrennstoff verwenden (keine Enrichment erforderlich). Einzigartige Funktion: Online-Befüllung: Brennelementkanäle können ohne Stillstand ausgetauscht werden.

Vorteile: Keine Enrichment-Anforderung (Brennstoffkostenvorteil), Online-Befüllung bedeutet sehr hoher Leistungsgrad, schwerwassermoderierte Anlage ermöglicht flexibles Kraftwerk, einige Konfigurationen erfordern sorgfältige Sicherheitsdesign unter bestimmten Bedingungen.

Nachteile: Schwerwasser ist teuer herzustellen (~$1000/kg), einige Konfigurationen haben einen leicht positiven Leerzustand unter bestimmten Bedingungen, was eine sorgfältige Sicherheitsgestaltung erfordert, großer physischer Fußabdruck.

Molten Salt Reactor (MSR)

Brennstoff ist in flüssigem Fluorid- oder Chlorid-Salz gelöst. Kein festes Brennstoff zum Schmelzen: wenn die Kühlung versagt, gefriert der Salz oder entleert sich in einen passive Froststopfen. Kann den Thorium-Brennstoffkreislauf verwenden.

Vorteile: Selbst fortlaufend sicher (passiver Auslauf macht einen Schmelzvorgang physisch unmöglich), unter Druck betrieben (kein LOCA-Risiko), Online-Befüllung, Thorium-Brennstoffkreislauf erzeugt viel weniger langlebiges Abfallprodukt.

Nachteile: Materialprobleme (Bauteile müssen wärme- und korrosionsbeständig und radioaktiv für Jahrzehnte in heißem, korrosiven, radioaktiven Salz sein), Vorserie-Technologie: Kein MSR hat kommerziell betrieben, Tritiumproduktion in Fluoridsalzen ist eine regulatorische Herausforderung.

Small Modular Reactor (SMR): NuScale/Rolls-Royce Typ

In Fabrik hergestellte PWR- oder integrierte PWR-Module, typischerweise 50-300 MWe jedes. Passive Sicherheit basiert auf natürlicher Zirkulation, keine Pumpe erforderlich. Mehrere Module können für Skalierbarkeit kombiniert werden.

Vorteile: Fabrikqualität (Qualitätssicherung), passive Sicherheitssysteme (keine Pumpe, keine Wechselstromkraft für Kühlung erforderlich), skalierbare Kapazität, kürzere Bauzeit.

Nachteile: Höherer Investitionskosten pro kW als bei großen Anlagen, die meisten Designs sind Vorserie oder sind erst in Betrieb gegangen (NuScale VOYGR zertifiziert 2022, aber Projekte storniert 2023), Lieferkette noch nicht auf großem Maßstab entwickelt.

Die Haupt-Sicherheitsphysik-Frage für jede Reaktortyp:

Was passiert, wenn die Kühltemperatur ansteigt oder das Kühlmedium verloren geht? Ein Reaktor mit einem negativen Temperaturkoeffizienten und negativen Leerzustand wird die Leistung automatisch reduzieren: eine selbstkorrigierende, selbstsichere Reaktion. Ein Reaktor mit einem positiven Leerzustand (Leistung steigt, wenn das Kühlmedium verloren geht) erfordert aktive Systeme zur sicheren Stilllegung. Dies war, was den RBMK-Reaktor von Tschernobyl so gefährlich machte.

Wählen Sie Ihren Reaktortyp

Überprüfen Sie das Reaktortypen-Vergleichsdiagramm oben, bevor Sie sich entscheiden.

Brennstoffentwicklungsparameter

Abschnitt 3: Brennstoffentwicklung

Die Brennstoffentwicklung bestimmt, wie viel Energie Sie erhalten, wie lange der Brennstoff anhält und was bei einem Unfall passiert. Jeder Parameter interagiert mit jedem anderen Parameter.

Brennstofftyp:

- UO₂ (Uraniumdioxid): Die globale Norm. Keramikperlen, hoher Schmelzpunkt (~2850°C), chemisch stabil, gut charakterisiert. Leichter Nachteil: geringe thermische Leitfähigkeit: Die Wärme baut sich im Perlenzentrum auf.

- MOX (gemischtes Oxid): Mischung aus UO₂ und PuO₂. Verbrennt Plutonium aus Waffen oder aus raffiniertem Abfallbrennstoff. Sichtiger niedrigerer Schmelzpunkt als UO₂, erfordert lizenzierte MOX-Fertigungsanlage.

- TRISO (tri-structural isotropic): Brennstoffkugeln (UO₂ oder UCO) mit mehreren keramischen Schichten umhüllt. Jeder Teilikel ist sein eigenes kleines Behältnis. Becoming used in high-temperature gas reactors and some advanced designs. Extremely robust: tested to very high temperatures without release.

Enrichment:

- Natürlicher Uran (0,7% U-235): Used in CANDU. Keine Enrichierungskosten, aber erfordert schweres Wassermoderator.

- LEU 3-5% (niedrig angereichertes Uran): Standard für PWR & BWR-Brennstoff. Auf 3-5% U-235 angereichert.

- HALEU 5-20% (hochwertiges niedrig angereichertes Uran): Used in many SMR & advanced reactor designs. Higher enrichment allows smaller, more compact cores & longer fuel cycles. Requires additional safeguards because of higher enrichment.

- HEU >20%: Prohibited in commercial power reactors.

Umhüllungsmaterial:

- Zircaloy-4: Standard Verkleidung weltweit. Niedrige Neutronenabsorption, gute mechanische Eigenschaften bis ~400°C. Kritische Schwäche: oberhalb ~1200°C reagiert mit Dampf, um Wasserstoffgas zu produzieren (Zr + 2H₂O → ZrO₂ + 2H₂). Dies war der Wasserstoffquelle in Fukushima.

- M5 (Zr-Nb Legierung): Besseres Korrosionswiderstand als Zircaloy-4 für hochverbrennbares Treibstoff.

- SiC/SiC Verbund: Fortschrittliche Unfall-tolerierende Treibstoff (ATF) Verkleidung. Viel höhere Temperaturtoleranz, produziert keinen Wasserstoff im Dampf. Aktive Entwicklung, aber noch nicht in der breiten kommerziellen Verwendung.

Verbrennungsziel:

Standard LWR-Treibstoff erreicht ~45-50 GWd/tHM (Gigawatt-Tage pro Tonnen Schwermetall) vor der Entfernung. Hochleistungstreibstoff kann 65-70 GWd/tHM erreichen. Einige fortschrittliche Designziele 100+ GWd/tHM für erweiterte Kreisläufe. Höherer Verbrennung bedeutet weniger Treibstoffausfälle, aber besserer Verkleidung Leistung & mehr Enrichment erforderlich.

Verbrennungsausauschmittel:

Frischer Treibstoff ist sehr reaktiv: zu reaktiv, wenn Sie einen vollständigen Kern laden. Verbrennungsausauschmittel (Gadoliniumoxid gemischt in Treibstoffkörnern oder IFBA: integrales Brennelement verbrennungsausauschmittel, eine dünne ZrB₂-Behandlung) absorbieren Exzessneutronen zu Beginn des Lebens und verbrennen sich bei der Treibstoffverdünnung, flachend die Leistungsdistribution über den Zyklus.

Kernbeladungsplan:

- Ein-aus Beladung: Frischer Treibstoff geladen in der Mitte, bewegt sich nach außen, während er sich verbraucht. Einfach, aber schafft hohe Leistungsspitzen in der Mitte.

- Niedriglecksbeladung: Frischer Treibstoff platziert außerhalb des Kernes, verbrauchtes Treibstoff in der Mitte. Reduziert Neutronenleckage (bessere Treibstoffökonomie) & reduziert Fluence auf das Druckrohr. Standardpraxis für moderne PWRs.

Spezifizieren Sie Ihre Treibstoffdesign

Überlegen Sie, wie Ihre Treibstoffauswahlen mit Ihrem Reaktortyp und Ihrer Mission interagieren. Ein CANDU-Designer benötigt keine Enrichment. Ein SMR-Designer könnte HALEU für einen kompakten Kern auswählen. Ein PWR-Designer muss die Verkleidung ansprechen und die Wasserstoffproduktionsgefahr bewerten.

Kühl- und Moderator-Design

Abschnitt 4: Kühl- und Moderator-Kompatibilität

Ihr Kühlmedium, Moderator, Brennstoff und Verklappung müssen chemisch und physikalisch kompatibel sein. Ein Missmatch erzeugt entweder eine Sicherheitsproblematik oder eine unmögliche Design.

Leichtes Wasser (H₂O): PWR, BWR, SMR:

Das beste Moderator pro Volumeneinheit. Ist auch ein hervorragendes Kühlmedium. Betreibt unter hohem Druck (PWR: ~155 bar, BWR: ~70 bar). Hauptgefährdung: Bei hohen Temperaturen entweicht es in Dampf (Verlust der Moderations- und Kühlung gleichzeitig: die LOCA-Szenario). Die Chemikalienkontrolle ist entscheidend: pH-Wert, gelöster Sauerstoff, Zinkinjektionen beeinflussen die Korrosionsraten der Baustoffe. Zircaloy-Verklappung ist kompatibel bis zu ~400°C normaler Betriebsamkeit.

Schweres Wasser (D₂O): CANDU:

Ausgezeichnetes Moderator mit viel geringerem Neutronenabsorption als H₂O: Dies ist der Grund, warum CANDU natürlichen Uran eingesetzt kann. Betreibt unter ~100 bar in Druckröhrchen. Schweres Wasser kostet ~$1000/kg zur Herstellung (Girdler-Sulfid- oder andere Isotop-Trennverfahren). Tritiumproduktion aus D + n → T ist eine Betriebs Herausforderung: Tritium ist ein Beta-Emittent und muss verwaltet werden. Chemie: ähnlich wie leichtes Wasser, aber mit unterschiedlichen Sauerstoffisotopen Überlegungen.

Graphit: RBMK, HTGR:

Der RBMK verwendete Graphit als Moderator mit Wasser als Kühlmedium: eine gefährliche Kombination, weil der positive Vakuumeffekt. Der HTGR (Hochtemperatur-Gasreaktor) verwendet Graphit als Moderator mit Helium als Kühlmedium: eine sichere Kombination, weil Graphit keinen positiven Vakuumeffekt beiträgt, wenn es mit Gas als Kühlmedium betrachtet wird. Graphit kann auch ein Brandgefahr sein, wenn es in Luft sehr hohe Temperaturen erreicht: dies war ein Faktor bei dem Windscale-Feuer von 1957.

Flüssiges Salz: MSR:

Das Salz ist sowohl Brennstoffträger als auch Kühlmedium. Kein separates Moderator erforderlich (ausgenommen thermische MSR, die möglicherweise Graphit enthalten). Betreibt unter atmosphärischem Druck: keine LOCA-Hochdruckgefahr. Haupt Herausforderungen: Fluoridsalze sind hochkorrosiv für metallische Bauteile, Chloridsalze können unter Neutronenstrahlung aktiviert werden. Materialien müssen Jahrzehnte der Exposition überstehen. Die Gefrieklemme: eine gefrorene Klemme aus Salz, die durch einen kleinen Lüfter gekühlt wird: schmilzt, wenn die Leistung verloren geht, leitet das Brennstoff in eine subkritische Geometrie ab. Dies ist ein passives Sicherheitsmerkmal.

Natrium: Schneller Reaktor (SFR):

Flüssiges Natrium ist ein hervorragender Kühlmittel für schnelle Reaktoren. Sehr hohe thermische Leitfähigkeit, betreibt unter atmosphärischem Druck, natürliche Zirkulation ist effektiv. Schwere Gefahr: Natrium brennt heftig, wenn es mit Luft in Kontakt kommt und explodiert mit Wasser. Alle Natrium-Systeme benötigen Doppelwandwärmeübertrager und inertes Atmosphäre. Ein Natriumbrand war ein schwerwiegender Vorfall in Monju (Japan) und Superphénix (Frankreich).

Kompatibilitätsmatrix (was muss alle zusammenarbeiten):

- Die Kühlmittelchemie darf die Umhüllung beim Strahlen nicht korrodieren

- Der Moderator muss mit dem Kühlmittel kompatibel sein (schweres Wasser und leichtiges Wasser sind kompatibel; Graphit und Wasser erzeugen das RBMK-Positive-Void-Problem)

- Das Treibstoff muss chemisch stabil im Kühlmittel (UO₂ in Wasser: in Ordnung. UF₄ in Fluoridsalz: in Ordnung. UO₂ in Natrium: in Ordnung. Metallisches Uran in Wasser korrodiert aber.)

- Betriebs temperatur und Druck müssen innerhalb der Qualifikationsgrenzen der Materialien liegen

Begründen Sie Ihren Kühlmittel und Moderator

Ihr Reaktortyp bestimmt Ihr primäres Kühlmittel. Jetzt rechtfertigen Sie die Kompatibilität Ihres vollständigen Systems: Kühlmittel, Moderator, Treibstoff und Umhüllung: und identifizieren Sie die Hauptchemikalie oder thermische Gefahr.

Drei unabhängige Kühlkreisläufe

Abschnitt 5a: Dreifach redundante Kühlungssysteme

Warum drei Kühlkreisläufe?

Fukushima verfügte über Notkühlung. Sie schlug fehl, weil alle Notfallsysteme eine gemeinsame Schwäche hatten: Sie benötigten Wechselstrom, & der gleiche Tsunami, der die Netzleitungen außer Gefecht setzte, zerstörte auch die Dieselgeneratoren. Einzeldefekte kulminierten in einem vollständigen Verlust der Kühlung.

Dreifache Redundanz bedeutet nicht einfach drei Kopien desselben Systems. Wahrer Redundanz erfordert Unabhängigkeit in drei Dimensionen:

- Physische Trennung: Verschiedene Gebäude, verschiedene Quadranten, verschiedene Höhen. Ein Überschwemmung in einem Quadranten kann nicht ein anderes ausfallen lassen.

- Verschiedene Stromquellen: Verschiedene Stromkreise, verschiedene Notstromaggregate. Ein Defekt an einem Stromkreis kann nicht ein anderes Kühlkreislauf lahmlegen.

- Verschiedenes Aktivierungslogik: Ein Kreislauf aktiviert bei hoher Temperatur, ein anderer bei niedrigem Druck, ein anderer bei keiner Stromversorgung überhaupt. Verschiedene Fehlertoleranzmodi aktivieren verschiedene Schleifen.

Die drei standardmäßigen Kühlkreisläufe für ein modernes PWR:

Kreislauf 1: Normale Abschaltkühlung (SCS / Restwärmeabgabe, RHR):

Aktives System. Pumpen zirkulieren das Kühlmedium durch Wärmeübertrager, um Restwärme nach dem Stillstand zu entfernen. Angetrieben durch normales Wechselstrom oder Notwechselstrom. Betreibt sich bei niedrigem Druck, nach Entdruckung. Aktivierungssetpunkt: typischerweise, wenn die RCS-Temperatur unter ~177°C (350°F) & der Druck unter ~28 bar (400 psi) fällt. Dies ist der primäre System zur Entfernung von Restwärme während geplanter Stillstandsphasen.

Kreislauf 2: Notkernkühlungssystem (ECCS): Hochdruck- und Niederdruckeintrag:

Aktives System. Reagiert auf Verlust von Kühlmedium-Unfällen. Hochdruckeintrag (HPI) schaltet für kleine Risse: hält den Druck im Reaktor-Kühlkreislauf (RCS) aufrecht, injiziert borathiertes Wasser. Akkumulatorinjektion: große Behälter mit borathiertem Wasser unter Druck von N2 (~40 bar): entladen passiv, wenn der RCS-Druck unter den Akkumulatordruck fällt (keine Pumpen, keine Stromversorgung für diese Phase erforderlich). Niederdruckeintrag (LPI) übernimmt, nachdem der RCS vollständig entdrückt wurde. Die Bor-Konzentration ist entscheidend: genug, um einen kaltstillstehenden Zustand ohne Steuerstäbe zu erreichen.

Kreislauf 3: Passive Kernkühlung (schwerkraftgeführt oder natürliche Zirkulation):

Passives System: keine Pumpen, keine Wechselstromversorgung, keine Bedienung durch den Betreuer. Zwei Ansätze:

- AP1000 Stil (Westinghouse): Großer Wasserbehälter über dem Reaktor (Kernzusatzbehälter, passive Restwärmeabgabe-Wärmeübertrager). Schwerkraftgeführt. Bei Unfallbedingungen sorgt natürliche Zirkulation für die Entfernung von Restwärme vom Primärwasser in den Tankwasser, das kocht und ventiliert: kondensiert auf der Stahlumhüllung des Gehäuses, die durch Außenluft gekühlt wird. völlig passiv.

- NuScale-Design: Das Reaktormodul befindet sich in einem Pool mit Wasser. Die Wärmeübertragung im primären System erfolgt durch natürliche Zirkulation. Es gibt keine Pumpe im primären oder Sicherheitssystem.

- PRHR-Wärmetauscher (passiver Restwärmeabzug-Wärmetauscher): Immers in einem großen wasser gefüllten Tank (in-Containment Refueling Water Storage Tank, IRWST). Die natürliche Zirkulation im PRHR-Wärmetauscher entfernt Wärme aus dem Zerfall ohne Pumpe. Es funktioniert für 72 Stunden ohne Eingriff des Betriebspersonals.

Unabhängigkeit der Verifikation: was muss wahr sein:

- Schleuse 1, 2 & 3 müssen ihre Leistung von verschiedenen elektrischen Bussen (1A, 1B, 1C oder Div I, II, III) beziehen.

- Schleuse 3 muss mit vollständigem Verlust von Wechselstrom funktionieren.

- Jede Schleuse muss sich in einem verschiedenen physischen Bereich (getrennt durch Barriere oder Entfernung) befinden.

- Analyse und Vermeidung von Gemeinsamen Ursachenfehlern: wie Fukushima's Tsunami.

Analyse von Gemeinsamen Ursachenfehlern:

Welche einzelne Fehlfunktion könnte alle drei Schleusen deaktivieren? Sie müssen es identifizieren und zeigen, wie Ihre Gestaltung dies verhindert.

- Seismische Gemeinsame Ursachenfehler: Alle drei Schleusen müssen in Seismic Category I-Strukturen sein, die für den Standort SSE entworfen sind.

- Flutungsgemeinsame Ursachenfehler: Schleusen in verschiedenen Höhen oder flutgeschützten Kompartimenten.

- Brandgemeinsame Ursachenfehler: Brandbarrieren (3-stündig zertifiziert), getrennte Kabelverläufe, redundante Trennung.

- Verlust des Wärmesinks: Wenn alle drei Schleusen die Wärme an den gleichen endgültigen Wärmesink (Fluss, Ozean) ableiten, muss ein Verlust dieses Sinks analysiert werden.

Entwurf der Schleuse 1: Normales Abschaltkühlen

Entwerfen Sie die erste Kühlleitung: das normale Abschaltkühlsystem / RHR-System.

Entwurf der Schleuse 2: ECCS-Hochdruckinjektion

Loop 2 ist Ihr Notkernkühlungssystem: aktiviert durch Unfälle, nicht durch normale Betriebsvorgänge.

Entwerfen Sie Loop 3: Passive Kernekühlung

Loop 3 muss ohne Wechselstrom und ohne Betreiberaktion funktionieren. Es ist die letzte Verteidigungslinie: das System, das den Fukushima-Szenario verhindert.

Gemeinsame Ursachenfehleranalyse

Sie haben drei Kühlkreise. Beweisen Sie jetzt, dass sie wirklich unabhängig voneinander sind.

Drei unabhängige Möglichkeiten, die Reaktion zu stoppen

Abschnitt 5b: Dreifach redundante Abschalt-Systeme

Das Stoppen einer Kettenreaktion erfordert mehr als nur Kontrollstäbe. Ein moderner sicherer Reaktor verfügt über drei vollständig unabhängige Abschaltmechanismen, von denen jeder ausreichen soll, um eine und einen Erhalt des kalten Abschaltens zu erreichen.

Warum nur Kontrollstäbe?

Kontrollstäbe schalteten das Reaktor von Tschernobyl nicht schnell genug aus: Der RBMK hatte einen positiven Scram-Koeffizienten: Das Einfügen von Graphit-Spitzen führte zunächst zu einem kurzen Leistungsanstieg, bevor das Abschalten einsetzte. Bei TMI wurden die Kontrollstäbe korrekt eingefügt, aber die Betreiber verwechselten die Kühlwasserseite und führten zu einem offenen Kern. Die Lektion: Kein einzelnes System sollte der einzige Mittel zum Abschalten sein.

Abschalt-System 1: Kontrollstäbe:

Das primäre Stilllegungssystem. Röhren mit neutronenabsorbierendem Material (Borcarbid B₄C, Hafnium oder Ag-In-Cd-Legierung) werden in das Kerngebiet eingeführt. Die Röhren werden durch Schwerkraft oder Federkraft (SCRAM) eingeführt: Bei Verlust der Stromversorgung oder Sicherheitssignal deenergisieren die Elektromagnete, die die Röhren in der Höhe halten, und die Röhren fallen in das Kerngebiet. SCRAM-Zeit: Typischerweise sind die Röhren innerhalb von 2-4 Sekunden vollständig eingefügt.

Designanforderungen: (1) Röhrenwert: Alle Röhren zusammen müssen in jedem Betriebszustand in der Lage sein, den Reaktor zu stilllegen, wobei die höchstwertige Röhre fest in der zurückgezogenen Position verkeilt ist. Dies ist das 'verkeilte Röhrenkriterium'. (2) SCRAM-Zeit: Messung und Verifizierung während der Starttests. (3) Testhäufigkeit: Die Stellantriebsröhren müssen regelmäßig geübt (teils zurückgezogen und erneut eingeführt) werden, um die Betriebsbereitschaft zu verifizieren.

Stilllegungssystem 2: Notboration:

Borwasser mit eingebautem Bor in das Reaktor-Kühlungssystem einleiten. Bor-10 ist ein hervorragender Neutronenabsorber. Eine ausreichende Borinjektion erreicht die Kaltstilllegung, selbst wenn alle Stellantriebsröhren fest in der zurückgezogenen Position verkeilt sind. Zwei Mechanismen: (1) Standrohrinjektion: Behälter mit Borasure gesichert an das RCS durch Pumpe und Trennventile. (2) ECCS-Borinjektion: Das Wasser der ECCS-Akkumulatoren ist bereits boriert; die ECCS-Injektion liefert Bor automatisch. Die Bor-Konzentration, die für eine Kaltstilllegung mit allen Röhren verkeilt erforderlich ist, wird in der Sicherheitsanalyse berechnet und liegt in der Regel zwischen 2000-2500 ppm (als borsäure, H₃BO₃).

Stilllegungssystem 3: Passives Absorber-Entleeren (phänomenologisch, ohne Strom):

Ein vielseitiges, selbsttätiges Stilllegungssystem, das einen anderen physikalischen Mechanismus verwendet. Beispiele:

- Bor-Kugel-Injektion (CANDU-Design): Kugeln aus Absorbermaterial fallen bei Verlust der Stromversorgung in getrennte Moderator-Kammern.

- Passive Borinjektion aus erhöhtem Tank: Ein erhöhter Tank mit konzentrierter borsäure leitet bei Öffnen eines Sicherungsventils bei Verlust der Stromversorgung durch Schwerkraft in das RCS ein. Keine Pumpe, kein Signal erforderlich.

- Molten Salt Drain-to-Subcritical Geometry: Für MSR (Molten Salt Reactor) löst sich bei Verlust der Kühlungsstromversorgung der Frostlösung in der Tankwand, wodurch das Kraftstoff in eine geometrische Form geleitet wird, die physisch unfähig ist, eine Kettenreaktion zu unterstützen (in die Drain-Tank-Geometrie eingebaut).

- Verbrennungsfremdkörper-Röhren mit Federabschub: In einigen Designkonzeptionen können sekundäre Stilllegungsrohren bei Verlust der Haltevorrichtung durch Federabschub in das Kerngebiet geschoben werden.

Prüfung und Überwachungsanforderungen:

Jedes Stilllegungssystem muss in regelmäßigen Abständen unabhängig voneinander getestet werden, wobei die Ergebnisse protokolliert und dem NRC gemeldet werden. NRC-Inspektionsbefunde über nicht betriebsbereite Stilllegungssysteme sind meldepflichtige Ereignisse. Die Prüfungen müssen zeigen, dass jedes System einzeln eine Kaltstilllegung erreichen kann.

Entwerfen Sie Ihre Drei Stilllegungssysteme

Entwerfen Sie alle drei Abschalt-Systeme für Ihren Reaktor.

Drei unabhängige Stromquellen

Abschnitt 5c: Dreifach redundantierte Stromquellen

Das Kern-Ergebnis von Fukushima: Stationsabschaltung: vollständiger Verlust von Wechselstrom: darf nicht zum Schäden des Kerns führen. Die Anforderungen der NRC nach Fukushima (FLEX) verlangen, dass Anlagen zeigen können, dass sie mit einer erweiterten Stationsabschaltung unter Verwendung diverser und unabhängiger Stromquellen zurechtkommen.

Stromquelle 1: Offsite-Netz:

Der normale Stromlieferant. Zwei oder mehr unabhängige Übertragungsleitungen von unabhängigen Transformatorstationen (verschiedene Netzschaltkreise). Transformatorschutz: plötzlicher Druckrelais, Differenzrelais, Ausschaltrelais: verhindert einen fehlgeschlagenen Transformator, der sich auf andere Bussysteme ausbreitet. Wenn der Hauptgenerator des Kraftwerks abschaltet, übernimmt das Offsite-Power innerhalb von Sekunden über den Hilfs-Transformator.

Schwäche: Jedes Element, das den Netzwerk (starkes Wetter, seismischer Vorfall, Netzwerkinstabilität) beschädigen kann, kann die Offsite-Energie unterbrechen. Offsite-Energie ist die zuverlässigste normale Quelle, aber die am wenigsten zuverlässige Notfallquelle.

Stromquelle 2: Notdieselgeneratoren (EDGs):

Die Hauptnotstrom-AC-Stromquelle. Mindestens 2 EDGs pro Einheit, jeder imstande, die vollständigen Notfalllasten für eine Sicherheitsabteilung zu tragen. Startanforderung: EDG muss innerhalb von 10 Sekunden nach einem Startsignal die Nenntenspung und -frequenz erreichen (Anforderung der NRC). Kraftstoffvorrat: Mindestens 7-tägiger Vorrat bei voller Last (Anforderung der NRC). Nach Fukushima beste Praxis: Planung für einen 14-tägigen Vorrat, wobei Kraftstofflieferverträge eine Auffüllung sicherstellen.

Prüfung: monatliche Lastprüfung (Vollgeschwindigkeit, geladenes Starten), quartale Lastprüfung (bei Nenndauerleistung), 18-monatige Dauerprüfung (Läufer bei voller Last für die gesamte Prüfzeit).

Ein typischer 1100 MWe PWR hat 2-4 EDGs, jeder mit einer Nennleistung von etwa 7.000 bis 9.000 kW.

Stromquelle 3: Anlagenbatterien (Gleichstrom, Klasse 1E):

Die letzte Sicherheitsreserve an Strom für Instrumentierung, Steuerung, Notbeleuchtung, Ventilbetätigung und Kommunikation. Gleichspannungsbusse, die von Batterien gespeist werden, die während des normalen Betriebs von AC-Busse geladen werden. Verlust von allen AC: Batterien liefern unabhängig Gleichstrom.

Größe: Jeder Gleichstrombus muss für die Bereitstellung seiner Lastliste für mindestens 2 Stunden ohne AC-Ladung ausgelegt sein. Moderne Konzepte dimensionieren für 4-8 Stunden. Die Lastliste umfasst: Steuerstangen für Stabregler, sicherheitsrelevante Instrumente, Notbeleuchtung, Notkommunikation und kritische Ventilaktoren.

Batterieersatz: gemäß Herstellerplan, typischerweise 10-20 Jahre. Batterietest: Kapazitätsprüfung jährlich, Entladesprüfung alle 18 Monate.

FLEX-Strategie: Notstromaggregate nach Fukushima:

Verlegbare Dieselgeneratoren, verlegbare Pumpe und Schläuche, die in mehreren Standorten mit diversifizierten Zugangsrichtungen (nicht alle erreichbar über das gleiche Hochwasser oder Feuer) vorbereitet sind. Anschlüsse an Sicherheitsbusse und Kühlkreisläufe sind vorinstalliert und getestet. FLEX-Ausrüstung kann von Betreibern ohne AC-Strom eingesetzt werden. Die NRC verlangt, dass FLEX-Strategien die Themen behandeln: Stromausfall, Verlust des letzten Wärmeabzugs und Kombinationen.

Design Your Three Power Sources

Entwerfen Sie Ihr komplettes Leistungsschema.

Drei unabhängige Monitoringkanäle

Abschnitt 5d: Dreifach redundantes Monitoring & Instrumentierung

Instrumenten- und Steuereingabefehlverluste (I&C) verursachten oder verschärften every major nuclear accident. At TMI, operators were confused by a single indicator (a light showing whether a pilot-operated relief valve had been commanded open, not whether it was actually open) & made decisions that drained the core. At Chernobyl, key instruments were disabled or misleading during the fatal test.

Drei unabhängige Messkanäle:

Moderne Reaktoren teilen die Sicherheitsinstrumentierung in drei (oder vier) unabhängige Kanäle auf: A, B und C (oder I, II, III, IV). Jeder Kanal verwendet verschiedene Sensoren, die über separate Kabelverläufe in separaten Leitungen geführt werden, und wird von separaten Sicherheitsbussen gespeist.

Warum verschiedene Technologien?

Gemeinsame Ursachenfehler in Sensoren: Wenn alle drei Kanäle die gleichen Sensormodelle verwenden, könnte ein systematischer Defekt in diesem Modell alle drei gleichzeitig verursachen oder falsche Werte gleichzeitig liefern. Durch die Verwendung verschiedener Hersteller oder verschiedener Messprinzipien wird dieser Risiko reduziert.

2-of-3 Voting Logic:

Drei Kanäle, jeder sendet ein Ja/Nein-Signal für eine Sicherheitsfunktion (z. B. 'hohes Druck, SCRAM starten'). Die Sicherheitsaktion tritt ein, wenn mindestens 2 von 3 Kanäle übereinstimmen. Warum nicht 1 von 3? Weil ein einzelner fehlerhafter Kanal falsche SCRAMs verursachen würde (zu viele falsche Positivfälle: Das Kraftwerk wäre unzuverlässig). Warum nicht 3 von 3? Weil ein einzelner fehlgeschlagener Kanal einen SCRAM-Ablauf verhindern würde (zu wenige echte Positivfälle: Das Kraftwerk wäre unsicher). 2 von 3 ist die mathematische Optimum: widerstandsfähig gegen einzelne falsche Trip und einzelne Versäumnisse beim Trip.

Nachunfallüberwachung: NUREG-0696 Kategorie 1 Variablen:

Die folgenden Variablen müssen nach einem Unfall unabhängig von dem normalen digitalen Steuerungssystem (DCS) überwacht werden, um den Betreibern eine Grundwahrheit zu geben, selbst wenn das DCS beschädigt oder unzuverlässig ist:

- Druck im Reaktorkühlkreislauf

- Temperatur im Reaktorkühlkreislauf (heißer Leg, kälter Leg)

- Wasserstand im Reaktorkühlkreislauf (in-vessel Level)

- Druck im Behälter

- Strahlungsniveau im Behälter

- Effluent-Strahlungsmessgeräte (Kühlmedium, Dampf, Behälteratmosphäre)

Umwelt- und seismische Qualifizierung:

Alle sicherheitsrelevanten I&C-Messsysteme müssen für die Umweltbedingungen qualifiziert sein, unter denen sie bei einem Unfall erfahren würden: Temperatur bis 150°C, Luftfeuchtigkeit bis 100%, Strahlung bis 10⁷ Rad (100 kGy) kumulativ, für die Dauer des Unfalls (Monate). Wir nennen dies die Umweltqualifizierung nach 10 CFR 50 Appendix B / IEEE 323. Die seismische Qualifizierung (IEEE 344): muss während und nach dem SSE funktionieren.

Entwerfen Sie Ihre Überwachungsarchitektur

Entwerfen Sie Ihre Instrumentierung und Sicherheitssteuerungskonzeption.

Sicherheit, die ohne Strom oder Betreuer funktioniert

Abschnitt 6: Passive Sicherheitsmerkmale

Passive Sicherheitsmerkmale arbeiten durch Physik allein: keine Pumpe, keine Stromversorgung, keine Betriebshandlung. Sie sind immer aktiv, immer am Werken und können nicht durch einen Blackout der Anlage deaktiviert werden.

Negativer Doppler-Koeffizient (immer in Uranbrennstoffen vorhanden):

Bei einem Anstieg der Brennstofftemperatur verbreitern sich die U-238-Resonanzabsorptionsschwellen (Doppler-Verbreiterung). Mehr Neutronen werden ohne Fission durch U-238 gefangen. Dies reduziert automatisch die Fissionsrate, wenn der Brennstoff sich aufheizt: ein selbstbegrenzendes, immer präsentes Rückkopplungsgeschehen. Es funktioniert in allen Reaktortypen, die Uranbrennstoff verwenden. Es ist der Grund, warum ein Uranreaktor nicht auslaufen kann wie eine unkontrollierte chemische Explosion: die Physik wehrt sich.

Negativer Moderator-Temperaturkoeffizient (für LWRs):

In Leichtwasserreaktoren nimmt die Reaktivität ab, wenn die Moderator-/Kühlstofftemperatur steigt. Wasser hat weniger Dichte, weniger Wasser moderiert weniger Neutronen, weniger in thermische Energien zur Fission. Dies erklärt, warum PWRs und BWRs über einen weiten Bereich von Leistungsstufen selbstregulierend sind.

Negativer Vakuumeffekt (für die meisten LWRs bei Betrieb):

Wenn Blasen im Kühlstoff entstehen oder der Kühlstoff verloren geht, verringert sich die Moderation. In LWRs verringert dies die Reaktivität. Dieses Sicherheitsmerkmal fehlte im RBMK von Tschernobyl: Sein großer positiver Vakuumeffekt bedeutete, dass das Verlust von Kühlstoff die Leistung erhöhte, was einen Auslauf-Fedderkreislauf erzeugte.

Passive Abklingwärmeentfernung: Natürliche Zirkulation:

Heißes Wasser hat eine geringere Dichte als kaltes Wasser. In der Primärkreislauf steigt heißer Abklingstoff aus dem Kern natürlicherweise. In Entwürfen wie dem AP1000 treibt diese natürliche Zirkulation den Abklingstoff durch das PRHR-HX ohne Pumpe. Abklingwärme wird durch Physik entfernt.

In-Vessel-Retention (IVR): AP1000-Ansatz:

Wenn ein schwerer Unfall zum Kernschaden führt, muss der geschmolzene Corium innerhalb des Reaktorbehälters gehalten werden. Der AP1000-Design überschwemmt den Reaktorkavität mit Wasser (von der IRWST durch Schweregravitation gespeist). Das Wasser außerhalb des Behälters entzieht der Behälterwand Wärme, hält die Stahltank intakt und verhindert, dass geschmolzenes Corium auf den Behälterboden entweicht. Dies war eine wichtige Designinnovation: frühere LWRs verfügten nicht über diese Funktion.

Ex-Vessel Core Catcher: EPR-Ansatz:

Eine Alternative zum IVR: Wenn Corium den Behälter verlässt, fällt es in eine Ausbreitungskammer (Core Catcher), die das Schmelzmaterial dünn verbreitet und es von unten und oben abkühlt. Der EPR (Europäischer Druckreaktor) verwendet diesen Ansatz. Beide IVR und Core Catcher behandeln das gleiche Szenario: schwerer Unfall mit durchtrennter Behälterwand.

Wasserstoffmanagement: Passive Autocatalytische Rekombinatoren (PARs):

Reaktionen von Zircaloy mit Dampf erzeugen Wasserstoff. Wasserstoff akkumuliert im Behälter. Bei 4-75% Wasserstoffkonzentration in der Luft ist er brennbar; bei 13-59% detoniert er. Die Wasserstoffexplosionen in Fukushima zerstörten die Einheiten 1, 3 & 4 der Reaktorgebäude. Moderne Behälter erfordern Wasserstoffmanagement: PARs (passive autocatalytische Rekombinatoren) sind Geräte, die einen Platinkatalysator oder Palladiumkatalysator enthalten. Wasserstoff und Sauerstoff reagieren auf der Katalysatoroberfläche bei Zimmertemperatur, ohne Ignition, und erzeugen Wasserdampf. Ohne Strom, ohne Lüfter, ohne Eingriff des Betriebspersonals. PARs werden im gesamten Behälter zur Verhinderung der lokalen Akkumulation platziert. Die erforderliche Menge und Platzierung werden auf der Basis des schlimmstmöglichen Wasserstoffquellebegriffs berechnet.

Vier physische Barrieren: Verteidigung in Tiefen:

Das oben gezeigte Diagramm zeigt die vier physischen Barrieren zwischen dem Brennstoff und der Umwelt:

1. Brennstoffmatrix (UO₂ Keramik): hält etwa 95% der Spaltprodukte unter normalen Bedingungen.

2. Brennstoffverkleidung (Zircaloy oder SiC): Metallbarriere, erste Behälterung für entwichene Spaltprodukte

3. Reaktorkühlmedium Druckgrenze: dicke Stahlwände des Behälters und Rohre

4. Behälterstruktur: verstärkter Beton, typischerweise 1-1,5 Meter dick, ausgelegt für den Druck und die Temperatur eines schlimmstmöglichen LOCA und für einen Flugzeugkrash

Entwerfen Sie Ihre Passiven Sicherheitsmerkmale

Passive Merkmale sind in die Physik und Geometrie Ihrer Konzeption integriert: Sie können nicht ausgeschaltet werden.

Schicht der menschlichen Sicherheit

Abschnitt 7: Design der menschlichen Überwachung

Jeder große nukleare Unfall betraf einen menschlichen Faktor: nicht because menschen sind unzuverlässig, sondern because das System für menschliche Überwachung war schlecht entworfen. Gute Gestaltung ermöglicht es, das Richtige zu tun, und macht es schwer, das Falsche zu tun.

Drei qualifizierte Mitarbeiter auf der Baustelle 24/7:

- Reaktorbetreiber (RO): Lizenz nach NRC (10 CFR Part 55). Betreibt Reaktorkontrollen. Muss eine schriftliche Prüfung und eine Betriebsprüfung auf der plantenspezifischen Simulator bestehen. Lizenziert für diese spezifische Anlage: nicht übertragbar.

- Senior Reaktorbetreiber (SRO): Schichtaufseher: Lizenz nach NRC. Überwacht den RO. Hat unabhängige SCRAM-Befugnisse: kann eine Notabschaltung anordnen, unabhängig von den Anweisungen anderer Personen, einschließlich der Geschäftsleitung.

- Strahlenschutztechniker (RP) / Leiter der Strahlenphysik: Überwacht Strahlungsniveaus, verwaltet persönliche Dosimetrie, genehmigt den Zugang zu kontrollierten Bereichen, verfolgt kumulative Dosen.

Unabhängige SCRAM-Befugnisse:

Der Schichtleiter hat gesetzliche Befugnisse, eine Notauschung jederzeit aufgrund seiner beruflichen Beurteilung einzuleiten, ohne Genehmigung des Managements erforderlich zu sein. Dies ist eine regulatorische Anforderung gemäß 10 CFR 50.54(x). Die Lektion von TMI: Betreiber sollten ausgebildet und befugt gewesen sein, eine abnorme Kühlmediumverlustsituation schnell zu erkennen und sicher auszuschalten. Stattdessen wurden sie durch widersprüchliche Anzeigen verwirrt und versuchten, Symptome zu "beheben", anstatt die zugrunde liegende Situation zu erkennen.

Zwei-Personen-Integrität (TPI):

Geschriebene Betriebsvorgänge: insbesondere Brennelementhandling, Manipulation von Stellantrieben während bestimmter Tests und Zugang zu bestimmten lebenswichtigen Bereichen: erfordern die Anwesenheit und Beobachtung von zwei qualifizierten Personen. Keine Person kann den Vorgang alleine ausführen. Physikalische Steuerelemente (Schalter, die gleichzeitig zwei Schlüssel erfordern, Verriegelungen) erzwingen dies anstelle der Verlass auf die Einhaltung von Verfahren. TPI verhindert individuelle Fehler und Sabotage.

Schichtgrenzen: Ermüdungsbewältigung:

Gemäß 10 CFR 26 (Eignung für die Ausübung des Berufs): Die maximale Schichtlänge beträgt 12 Stunden. Mindestens 8-stündiger Ruhezeit zwischen Schichten. Höchst 54 Stunden pro Woche (72 Stunden in Notfällen mit Genehmigung des Managements). Diese Grenzen existieren, weil Schlafentzug die Entscheidungsfindung erheblich beeinträchtigt: genauso wie Alkohol: und nukleare Betriebsvorgänge erfordern eine konstante Wachsamkeit.

Ausbildungserfordernisse:

- NRC-zertifiziertes Ausbildungsprogramm auf einem plantenspezifischen vollständigen Simulators

- Erste Lizenz: schriftliche Prüfung (Bestehen oder Nichtbestehen, Multiple-Choice & Essay) + Betriebsprüfung (Praxisprüfung durch einen lizenzierten Prüfer der NRC)

- Wiederqualifizierung: jährliche schriftliche Prüfung, alle zwei Jahre Betriebsprüfung im Simulator

- Ausgewertete Notfallübungen: vierteljährliche Schichtübungen, jährliche umfassende Notfallreaktionsexercise mit Beteiligung von Bundes- & Landesbehörden

Notfallbetriebsverfahren (EOPs):

Symptomorientierte Verfahren, genehmigt durch die NRC. Anstelle von "Wenn du Ereignis X siehst, tu Y", verwenden moderne EOPs "Wenn du diese Symptome (hohes Druck + niedrige Wasserstand + steigende Temperatur) beobachtest, fährst du dieses Verfahren ein." Diese Herangehensweise: entwickelt nach TMI: ist widerstandsfähiger, weil Betreiber auf das reagieren, was sie beobachten, anstatt auf das zu reagieren, was sie für die Ursache halten.

Stellplatzgestaltung: Unabhängige Nachweisführung nach Unfällen von DCS:

Nach Unfällen lesbare Nachweisführungsinstrumente müssen vom Stellplatz aus, selbst wenn das Anlage-Steuerungssystem (DCS) vollständig ausgefallen ist, lesbar sein. Diese sind auf dedizierte Hardwired-Anzeigen beschränkt: Analogzähler oder qualifizierte digitale Anzeigen mit separatem Strom- und Signalweg.

Entwerfen Sie Ihr System für die menschliche Überwachung

Die menschliche Überwachung ist ein Sicherheitssystem. Entwerfen Sie es mit derselben Sorgfalt wie Ihre Kühlkreisläufe.

Standortauswahl und Design externer Gefahren

Abschnitt 8: Siting & zivile Design

Der Standort bestimmt die externen Gefahren, gegen die Ihre Anlage bestehen muss. Die NRC fordert eine umfassende externe Gefahrenanalyse als Teil des FSAR (Final Safety Analysis Report).

Erdbebenentwurf: Sicherheitsabschaltbeben (SSE):

Jedes Kraftwerksgelände verfügt über eine Sicherheits-Schutzeerdbeben (SSE): das maximale Erdbeben, für das das Kraftwerk entworfen ist, um es bei der Erreichung und Wahrung einer sicheren Stilllegung zu überstehen. Sicherheitsrelevante Bauwerke (Reaktorgebäude, Steuerungsbauwerk, ECCS-Gebäude, EDG-Gebäude) müssen in die Seismische Kategorie I fallen: Sie müssen das SSE widerstehen und funktionsfähig bleiben. Die SSE wird durch eine probabilistische seismische Gefahrenanalyse (PSHA) mit einem Ziel eines jährlichen Überschreitungsvermögens von 10⁻⁴ bestimmt: ein Ereignis mit einem 10.000-Jahres-Rückkehrzeitraum. Das designbasierte Erdbeben von Fukushima betrug 6,1 auf der Magnitudenskala; das tatsächliche Erdbeben betrug 9,0. Die SSE niemals unterschätzen.

Überschwemmungen: Wahrscheinlichstes Maximum Hochwasser (PMF):

Das PMF ist das maximale Hochwasser, das je am Standort aufgrund einer meteorologischen und hydrologischen Analyse auftreten könnte. Die Anlagenhöhenstufe muss über dem PMF-Niveau liegen oder das Kraftwerk muss Überflutungsschutzbauwerke (Wände, Türen, Schieber) haben, die dem PMF-Wert entsprechen. Kritischer Lehrgang aus Fukushima: Die Deichhöhe wurde für 5,7 Meter entworfen; die tatsächliche Flutwelle betrug 15 Meter. Die PMF-Berechnung muss konservativ sein.

Äußere Gefahren: Flugzeugabsturz, extreme Winde, äußere Explosionen:

- Flugzeugabsturz: Nach den Anschlägen vom 11. September verlangt die NRC von großen kommerziellen Anlagen, dass diese die Auswirkungen eines Flugzeugabsturzes (nicht zwingend für) bewerten. Neue Entwürfe wie das AP1000 und EPR beinhalten die Flugzeugabsturzbeständigkeit im Entgasungs- und Steuerungszimmerdesign.

- Extreme Winde/Tornado: Designbasiertes Tornado für jeden Standortbereich gemäß Richtlinie 1.76 des NRC. Raketenabwehr: Tornado-Missiles (Straßenlaternen, Autos) dürfen die sicherheitsrelevanten Bauwerke nicht durchdringen.

- Äußere Explosionen: Die Nähe zu Chemieanlagen, LNG-Terminals, Pipelines oder Eisenbahnstrecken mit gefährlichem Güterverkehr muss bewertet werden.

Exklusionsgebietsgrenze (EAB): 10 CFR 100:

Die EAB ist der minimale Radius um das Kraftwerk herum, über den der Betreiber die Kontrolle über das Land hat. Innerhalb der zwei Stunden nach einem Worst-Case-Unfall darf die Strahlenbelastung an der EAB den Körper insgesamt nicht 25 rem (TEDE) überschreiten. Diese Grenze bestimmt das Design des Containments und der Standortabstandsregel. Ein größeres Kraftwerk mit einem größeren Quellterm erfordert eine größere EAB.

Notfallplanungszone (EPZ):

Zwei Zonen rund um jedes Kernkraftwerk:

- Plumefahrtweginhaltsweg-EPZ: etwa 10 Meilen Radius. Schutzmaßnahmen: Evakuierung, Zufluchtsraum, Verteilung von Natriumjodid, Verkehrsregelungspläne.

- Verzehrfahrtweg-EPZ: etwa 50 Meilen Radius. Schutzmaßnahmen: Einschränkungen für die Verwendung von Lebensmitteln und Wasser, Überwachung von Gemüse und Milchprodukten.

Die Größe des EPZ hängt nicht allein von der Größe des Kraftwerks ab: Sie wird durch die NRC-Verordnung festgelegt, die für alle kommerziellen Reaktoren (mit etwas Flexibilität für sehr kleine SMRs) gilt. Notfallpläne müssen mit den staatlichen und kommunalen Behörden entwickelt und geübt werden.

Verteidige Dein Gelände

Begründe jetzt Deine Wahl für das Gelände- und Bauwesen-Design.

NRC-Lizenzierungsprozess

Abschnitt 9: Lizenzierungsverfahren

Ein Reaktor ohne Lizenz ist in den Vereinigten Staaten illegal. Der NRC-Lizenzierungsprozess nach 10 CFR Teil 52 ist darauf ausgelegt, Sicherheitsprobleme auf dem Papier zu erkennen: bevor das Beton gegerbt wird. Er ist auch der Mechanismus, mit dem die Öffentlichkeit, Einwender und der technische Personal des NRC Sicherheitsprobleme erkennen und verbessern können.

10 CFR Teil 52: Kombinierte Lizenz (COL):

Das Hauptmodell der modernen Lizenzierungsverfahren. Eine COL kombiniert den Baugenehmigungsantrag und den Betriebslizenz in einen einzigen Verfahren. Der Antragsteller zeigt auf, dass die Designvorgaben des NRC eingehalten werden und der Standort akzeptabel ist. Der NRC wird die COL vor der Baustart erteilt. Während des Baus werden Prüfungen, Tests, Analysen und Akzeptanzkriterien (ITAAC) überprüfen, ob das Gebaute mit der lizenzierten Designübereinstimmung passt.

Design-Zertifizierung (DC):

Ein Reaktordesign kann von der NRC unabhängig von einem bestimmten Standort zertifiziert werden. Eine Design-Zertifizierung dauert 15 Jahre. Sobald ein Design zertifiziert ist, kann ein Unternehmen, das eine COL-Anlage baut, auf die DC verweisen und muss die Standardgestaltung nicht erneut verhandeln. Die AP1000 und ABWR sind zertifizierte Designs. SMR-Entwickler (NuScale, GEH BWRX-300, Kairos, TerraPower) verfolgen Zertifizierungen für ihre Technologien.

Endgültiger Sicherheitsnachweis (FSAR): 17 Kapitel:

Der FSAR ist das technische Dokument im Herzen jeder Genehmigungsantrag. Es beschreibt die Anlage und zeigt auf, dass sie alle Anforderungen der NRC erfüllt. Schlüsselkapitel:

- Kapitel 1: Einführung und allgemeine Beschreibung

- Kapitel 2: Standortmerkmale (Erdbeben, Überschwemmungen, Meteorologie, Bevölkerung)

- Kapitel 4: Reaktor (Brennelementdesign, Kerneigenschaften, Thermohydraulik)

- Kapitel 5: Reaktorkühlkreislauf (Primärlauf, Druckgrenze, ECCS)

- Kapitel 6: Ingenieurssicherheitsmerkmale (Entsorgung, ECCS, Wasserstoffkontrolle)

- Kapitel 7: Mess- und Steuersysteme

- Kapitel 8: Elektrizität (Außenanlage, Innenanlage, Batterien, FLEX)

- Kapitel 9: Hilfsysteme

- Kapitel 13: Betriebsführung (Organisation, Ausbildung, EOPs)

- Kapitel 15: Unfallanalyse (Grundlagenunfälle: LOCA, Hauptdampfleitungsbrechen, Stößeleintritt der Steuerstäbe usw.)

- Kapitel 16: Technische Anforderungen (Betriebsgrenzen und Überwachungsanforderungen)

Wahrscheinlichkeitstheoretische Risikoanalyse (PRA):

Eine quantitative Sicherheitsanalyse, die die Wahrscheinlichkeit eines Kerndschadens und eines großen frühen Freisets berechnet. Zwei wichtige Kenngrößen:

- Kernschadensfrequenz (CDF): Wahrscheinlichkeit eines Kernschadens pro Reaktorjahr. NRC-Ziel: < 1×10⁻⁴/Reaktorjahr. Fortschrittsreaktoren zielen auf < 1×10⁻⁵/Reaktorjahr ab.

- Frühfreisetzungsfrequenz (LERF): Wahrscheinlichkeit pro Reaktorjahr einer großen, frühen Freisetzung von Radioaktivität vor der Möglichkeit schützender Maßnahmen. NRC-Ziel: < 1×10⁻⁵/Reaktorjahr.

Die PRA identifiziert auch die wichtigsten Unfallfolgen (höchste Beiträge zur CDF) und die wichtigsten Systeme und Komponenten (Bedeutungsmaße): dies leitet Wartungs-, Test- und Designverbesserungsmaßnahmen.

ITAAC: Inspektionen, Tests, Analysen und Akzeptanzkriterien:

Für jedes sicherheitsrelevanten System und Gebäude legt die COL die ITAAC fest: was geprüft, getestet oder analysiert werden muss und welche Akzeptanzkriterien gelten. Bevor die NRC die Genehmigung erteilt, müssen alle ITAAC abgeschlossen und gemeldet sein. Wenn eine ITAAC nicht besteht, darf die Anlage nicht in Betrieb genommen werden, bis sie korrigiert und die ITAAC bestanden wird.

Konstruktion & Vorabschnitts-Prüfung:

Nach Erteilung der COL beginnt die Konstruktion. Der NRC führt die Inspektion, Prüfung, Analyse und Akzeptanzkriterien (ITAAC) durch. Die Vorabschnitts-Prüfung überprüft, ob jeder System den Entwurfsanspruch erfüllt, bevor das Treibstoff geladen wird. Die Genehmigung zur Treibstoffbeladung erfordert eine Feststellung des NRC-Personals, dass alle ITAAC erfüllt sind.

Deinen Lizenzierungsweg weisen

Gehen Sie durch den Lizenzierungsweg für Ihre spezifische Reaktordesign.

Stellen Sie Ihr vollständiges Design vor

Abschnitt 10: Endgültige Designprüfung

Sie haben jedes wichtige System eines Kernkraftwerks entworfen. Stellen Sie jetzt Ihr vollständiges Design vor: wie ein Chief Nuclear Officer vor dem NRC Safety Review Committee.

Ihr Design muss zeigen:

Vollständige Dreifach-Sicherung für alle vier Sicherheitsfunktionen:

1. Kühlung: drei Schlauchsysteme (aktive RHR, aktive ECCS mit passiven Akkumulatoren, passives PRHR oder Pool)

2. Abschaltung: drei Systeme (Steuerröhrchen, Notboration, passiver Absorberentleerung)

3. Leistung: drei Quellen (Ausfallnetz der Außenstelle, Notdiesel, Stationsbatterien) plus FLEX

4. Überwachung: drei unabhängige Kanäle (A/B/C) mit 2-für-3-Stimmabgabe, Nach-Unfall-Überwachung

Passive Sicherheitsmerkmale:

- Negativer Doppler-Koeffizient (immer vorhanden in Uran-Brennstoff)

- Negativer Moderator/Vakuumkoeffizient für Ihren Reaktortyp

- Passive Abwärmeentfernung (natürliche Zirkulation oder Pool)

- Schwere Unfall-Verwaltung (IVR, Kernteilchenfänger oder MSR drain-to-subcritical)

- Wasserstoffverwaltung (PARs in der Behälter verteilt)

Menschliche Überwachung:

- Drei qualifizierte Rollen vor Ort 24/7

- Zweisorg-Integrität mit physischer Durchsetzung

- Einhaltung der Schichtgrenzen

- Anlagen-spezifische Simulationsausbildung

- Symptombasierte EOPs

Standort:

- Seismische Basisentscheidung (SSE, Seismische Kategorie I Gebäude)

- Überschwemmungsschutz (PMF oder Barrieren)

- EAB-Dosisgrenze (25 rem TEDE)

- EPZ (10-Meilen-Schwaden, 50-Meilen-Zufuhr)

Die historische Prüfung:

Ihr Design muss zeigen, wie es die spezifischen Versagensmodi von TMI, Tschernobyl und Fukushima verhindert.

- TMI: Bessere Nach-Unfall-Überwachung (direkter RCS-Niveau), symptombasierte EOPs, geschulte Betreiber

- Tschernobyl: Negativer Vakuumkoeffizient (kein positives Scram-Effekt), unabhängige Scram-Befugnisse, keine Unterdrückung von Sicherheitssystemen durch Betreiber erlaubt

- Fukushima: Passive Kühlung (keine AC-Stromnotwendigkeit), erhöhte FLEX-Ausrüstung, 14-tägiges Dieselkraftstoff, Standort über PMF

Absolutes Design-Review

Dies ist Ihre Designverteidigung. Antworte vollständig: Jede Auslassung wird angefordert.

Wie Ihr Design vor TMI, Tschernobyl und Fukushima schützt

Abschnitt 11: Verhindern des Vergangenen

Die drei schweren nuklearen Unfälle bestimmten die modernen Sicherheitsanforderungen für Reaktoren. Jedes Redundanzsystem, das Sie entworfen haben, hat einen spezifischen Vorfahren in einem dieser Unfälle.

Drei Meilen Insel (TMI), 1979: Pennsylvania, USA:

Ein festgelegtes Offenes Pilot-geführtes Sicherheitsventil (PORV) ließ den Hauptkühlmittelvorrat für Stunden entweichen. Das Anzeigelicht zeigte, dass das Ventil geschlossen Befehl gegeben wurde, nicht, dass es tatsächlich geschlossen war. Die Betreiber, verwirrt durch konfligierende Anzeigen, reduzierten die Zufuhr des ECCS, weil sie dachten, das System würde überfüllt.

Lektionen: (1) Direkte post-akute Überwachung: Betreiber müssen die tatsächliche Ventilposition, den tatsächlichen Kühlvorrat und die tatsächliche Kerntemperatur sehen können. (2) Symptom-basierte EOPs: Betreiber reagieren auf, was sie beobachten, nicht auf, was sie denken, es verursacht hat. (3) Bessere Ausbildung der Betreiber im Umgang mit Unfallerkennung und -reaktion.

Tschernobyl, 1986: Ukrainische SSR, Sowjetunion:

Ein Sicherheitstest wurde mit dem Reaktor bei niedriger Leistung (instabiler Bereich) und mit mehreren Sicherheitssystemen deaktiviert oder umgangen durchgeführt. Der RBMK-Reaktor hatte einen großen positiven Vakuumeffekt: Je mehr der Kühlmittel verdampfte, desto mehr stieg die Reaktivität. Als die Betreiber versuchten, den Reaktor abzuschalten, verursachte die Graphit-Spitze der Stellantriebe einen kurzen Leistungsanstieg (positiver Scram-Effekt). Eine Leistungsanstiegs von etwa 30.000 MW zerstörte den Reaktor in einer Dampfexplosion und Graphitbrand.

Lektionen: (1) Kein positiver Vakuumeffekt in kommerziellen Reaktoren. (2) Sicherheitssysteme müssen während der normalen Betriebsbedingungen nicht umgangen werden. (3) Unabhängige Scram-Befugnisse: Kein Testleiter kann die Sicherheitsmeinung des Schichtverantwortlichen übergehen. (4) Ausbildung der Betreiber in Reaktorphysik, nicht nur im Durchführen von Verfahren.

Fukushima Daiichi, 2011: Japan:

Ein Beben der Stärke 9,0 löste einen 15 Meter hohen Tsunami aus, der die Notdieselgeneratoren im Fukushima Daiichi zerstörte. Ohne Wechselstrom und die zerstörten Dieselspeicher kochte der Abkühlwasserstrom in den Einheiten 1, 2 und 3 aufgrund von Verlustleistung. Wasserstoff, der durch die Reaktion von Zircaloy mit Dampf entstand, explodierte in den Reaktorgebäuden. Die drei Kerne schmolzen innerhalb von 72 Stunden.

Lektionen: (1) Passive Kühlung, die keine Stromversorgung benötigt. (2) Dieselmotoren und Batterien in einem Bereich über dem Hochwasserstand oder vor Hochwasser geschützt. (3) FLEX mobile Ausrüstung in verschiedenen, zugänglichen Standorten bereitgestellt. (4) PMF muss konservativ sein. (5) Ausgedehnte Stromausfälle müssen entworfen werden: nicht nur analysiert.

Verbinde Dein Design mit der Geschichte

Das ist die letzte Frage des Abschlussprojekts.