Definición del OIEA

Defensa en Profundidad: La Filosofía Organizadora

La Agencia Internacional de Energía Atómica (OIEA) define la defensa en profundidad como un enfoque multicapa para la seguridad, en el que cada capa actúa como respaldo a las anteriores. No se asume que ninguna capa individual sea perfecta. El caso de seguridad depende de tener múltiples capas independientes, de modo que ninguna falla individual: y ninguna combinación individual de fallas de una causa raíz única: pueda llevar a daño.

La defensa en profundidad opera a toda escala:

Barreras físicas: matriz de combustible → revestimiento del combustible → vaso de presión del reactor → edificio de contención → edificio del reactor (4-5 límites físicos entre el combustible y el medio ambiente)

Sistemas de seguridad: cada función (enfriamiento, apagado, energía) es realizada por al menos 3 trenes independientes

Procedimientos: procedimientos escritos rigen cada evolución; procedimientos anormales y de emergencia para cada evento de base de diseño

Operadores: con licencia, capacitados, calificados, descansados; autoridad independiente para iniciar el apagado

Gerencia: cultura de seguridad nuclear, supervisión regulatoria, revisiones independientes de seguridad

Regulación: requisitos de base de diseño de NRC 10 CFR 50, operación con licencia, inspecciones periódicas

Principio clave: No hay crédito por capas fallidas. Si no puedes confirmar que una barrera está intacta, asumes que no lo está. Todo el sistema está diseñado para ser seguro con cualquier componente activo fallido: esto se llama el criterio de fallo único.

Redundancia, Diversidad e Independencia

Tres Propiedades Que Hacen Real la Defensa

Los sistemas de seguridad nuclear deben satisfacer tres propiedades distintas. Confundirlas es un error común y peligroso.

Redundancia significa tener más de uno de lo mismo. Tres generadores diésel son redundantes. Pero si todos comparten el mismo tanque de combustible, la misma lógica de arranque o la misma sala física, la redundancia sola no protege contra un fallo de causa común.

Diversidad significa usar diferentes principios físicos o diferentes equipos para realizar la misma función. Una bomba de inyección de alta presión y un acumulador presurizado con nitrógeno ambos entregan agua al núcleo: pero funcionan con principios completamente diferentes. La diversidad derrota modos de fallo que derrotarían todas las copias redundantes de un diseño.

Independencia significa que el fallo de un tren no puede causar ni impedir el funcionamiento de otro. La independencia requiere:

- Autobuses de energía separados (alimentaciones eléctricas diferentes)

- Separación física (barreras, edificios diferentes, lados opuestos del reactor)

- Lógica de actuación separada (un cortocircuito en el Tren A no puede desactivar el Tren B)

- Instrumentación separada (los sensores del Tren A no alimentan la actuación del Tren B)

Fallo común (CCF) es el escenario de pesadilla: un solo evento desactiva múltiples trenes redundantes simultáneamente. Fukushima es el ejemplo definitorio: el tsunami no fue solo una pérdida de energía externa. Desactivó simultáneamente los tres generadores diésel de emergencia porque todos estaban en el mismo edificio bajo. La redundancia sin independencia es una ilusión.

Criterio de Fallo Único

El criterio de fallo único de la NRC (10 CFR 50, Apéndice A, Criterio General de Diseño 17) establece que los sistemas de seguridad deben diseñarse de manera que ninguna falla activa de un solo componente impida que el sistema realice su función de seguridad.

Una falla 'activa' es aquella que requiere que algo cambie de estado: una bomba que no arranca, una válvula que no se abre.

Una falla 'pasiva' (p. ej., una grieta en una tubería) se aborda mediante requisitos de diseño separados.

¿Por qué Tres Trenes?

Todo Sistema Crítico de Seguridad: Tres Trenes Independientes

La regla de la redundancia triple no es simplemente 'tres es más seguro que dos'. Es un requisito de ingeniería preciso con propiedades específicas.

Cada tren debe ser capaz del 100% de la función de seguridad de manera independiente. Si el Tren A maneja el enfriamiento, maneja todo el enfriamiento necesario. Los Trenes B y C no son contribuyentes parciales: son respaldos completos.

Los trenes deben estar físicamente separados. Edificios diferentes, o como mínimo separados por barreras contra incendios. Rutas de cables diferentes. Tuberías diferentes. Si un incendio, inundación o explosión afecta a un tren, no debe alcanzar a los otros.

Los trenes deben tener suministros de energía separados. Buses eléctricos diferentes alimentados desde fuentes diferentes. Tren A en Bus A, Tren B en Bus B, Tren C en Bus C: cada bus con su propio diésel de emergencia.

Los trenes deben tener lógica de actuación separada. Una falla en el relé del circuito de actuación del Tren A no puede impedir que el Tren B actúe. Idealmente, usan principios de actuación completamente diferentes (diversidad).

¿Por qué tres y no dos? Con tres trenes, la lógica de votación de dos-de-tres significa que cualquier fallo de un solo componente aún deja dos trenes funcionales: obtienes tanto el criterio de fallo único COMO alguna protección contra fallos de causa común. Con dos trenes, un fallo único te deja con un tren: sin margen, sin defensa contra un segundo fallo.

Diversidad vs. Redundancia

Considere el sistema de refrigeración de emergencia del núcleo de un PWR. Un enfoque: tres bombas de inyección a alta presión idénticas, cada una alimentada por un generador diésel separado, en salas separadas.

Un segundo enfoque: una bomba de inyección a alta presión, más un acumulador presurizado con nitrógeno que no requiere energía, más un tanque de agua alimentado por gravedad desde un embalse elevado.

Ambos proporcionan tres medios de entregar agua al núcleo.

ECCS: La Última Línea de Defensa del Núcleo

Sistemas de Refrigeración de Emergencia del Núcleo

El accidente de referencia de diseño para un PWR es el accidente de pérdida de refrigerante (LOCA): una ruptura en el sistema de refrigerante del reactor que permite que el refrigerante primario escape. Un LOCA de gran ruptura puede descubrir el núcleo en segundos. Sin inundación inmediata, las temperaturas de la vaina del combustible superan los 2,200°F, el zircaloy se oxida y comienza el daño del combustible.

El ECCS para un PWR típico tiene cuatro subsistemas, cada uno operando en una fase diferente del accidente:

Sistema de Inyección de Alta Presión (HPIS): Se activa inmediatamente ante baja presión del refrigerante del reactor o alta presión de contención. Inyecta agua borada en el sistema de refrigerante del reactor mientras la presión aún es alta (por encima de ~200 psi). Utiliza bombas motorizadas alimentadas por diésel de emergencia. Caudal: 500-1,500 gpm dependiendo del diseño.

Acumuladores (también llamados Tanques de Inundación del Núcleo): Tanques pasivos presurizados con nitrógeno que contienen agua borada. Inyectan automáticamente cuando la presión del refrigerante del reactor cae por debajo de la presión del nitrógeno (típicamente 600-700 psi). No requiere energía: la presión del nitrógeno impulsa el agua hacia el núcleo. Cada acumulador contiene ~1,000 galones.

Sistema de Inyección de Baja Presión (LPIS): Se activa a baja presión (<200 psi). Proporciona caudales grandes (miles de gpm) para rotura grande LOCA. Después de que el tanque de almacenamiento de agua de recarga (RWST) se vacíe, el sistema cambia a recirculación desde el sumidero: recirculando agua desde el sumidero de contención de vuelta a través del núcleo. Debe continuar durante semanas (remoción de calor de decaimiento).

Remoción de Calor Residual (RHR): También llamado sistema de Remoción de Calor de Decaimiento. Propósito principal: remover el calor de decaimiento después de que el reactor alcance el apagado en frío. Opera a baja presión y baja temperatura, circulando refrigerante a través de intercambiadores de calor. También proporciona capacidad de inyección de baja presión.

Sistemas de Rocío del Núcleo BWR: Los reactores de agua en ebullición utilizan boquillas de rociado del núcleo sobre el combustible que rocían agua directamente sobre los haces de combustible: una geometría diferente al inundado PWR.

Curva de Calor de Decaimiento

La curva de calor de decaimiento es uno de los números más importantes en la seguridad nuclear. Después del apagado del reactor:

- t = 0 segundos: ~7% de la potencia nominal (240 MW para un reactor de 3,400 MW)

- t = 1 minuto: ~3.5%

- t = 1 hora: ~1% (~34 MW)

- t = 1 día: ~0.3% (~10 MW)

- t = 1 semana: ~0.1%

- t = 1 año: el combustible aún genera calor medible de isótopos de vida larga

Diez megavatios de calor, sostenidos indefinidamente, sin energía para operar las bombas de refrigeración. Esta fue exactamente la situación en Fukushima Daiichi el 11 de marzo de 2011.

ECCS Pasivos: Diseño AP1000

Nueva Generación: Seguridad Pasiva

El Westinghouse AP1000 (Advanced Passive 1000 MWe) toma las lecciones de los ECCS activos & invierte la filosofía de diseño: en lugar de tres trenes de bombas que necesitan energía, todas las funciones de seguridad dependen de la gravedad, la circulación natural, gas comprimido & evaporación.

Tanques de Recarga del Núcleo (CMT): Dos grandes tanques de agua fría boronada montados por encima del reactor. Normalmente aislados. Al activarse, drenan por gravedad hacia el sistema de refrigerante del reactor. Cada tanque contiene suficiente agua para mantener el núcleo cubierto durante horas.

Acumuladores: Igual que en las plantas convencionales: presurizados con nitrógeno, inyección pasiva.

Tanque de Almacenamiento de Agua de Recarga en Contención (IRWST): Un gran estanque de agua dentro del edificio de contención, encima del reactor. Alimentado por gravedad. Proporciona enfriamiento a largo plazo después de que los CMT se vacíen. Sin bombas. Sin energía.

Intercambiadores de Calor Pasivos de Remoción de Calor Residual (PRHR HX): Sumergidos en el IRWST. La circulación natural transporta el calor de decaimiento del reactor al agua del IRWST, que se calienta, hierve y se ventila a la atmósfera a través de una chimenea. Sin bombas. Totalmente pasivo.

Ventana de 72 horas: El caso de seguridad del AP1000 demuestra 72 horas de enfriamiento del núcleo sin acción del operador y sin energía. Después de 72 horas, los operadores pueden rellenar el IRWST con agua de cualquier fuente.

Esta diversidad de diseño: pasiva vs. activa: es por lo que la diversidad importa. Los sistemas de seguridad del AP1000 no pueden ser derrotados por el modo de fallo que destruyó Fukushima.

[TITLE containment/]

Última Barrera Física

Contención: La Frontera Final

Si todos los demás sistemas de seguridad fallan y el combustible está dañado, la contención es la última barrera entre el material radiactivo y el público. Debe resistir: contra la presión interna del vapor, contra la combustión de hidrógeno, contra impactos de misiles de equipo fallido, y por el tiempo necesario.

Contención seca PWR: Una estructura de concreto reforzado con revestimiento de acero, típicamente de 140 pies de diámetro y 200 pies de altura. Diseñada para contener la presión de vapor de una ruptura completa de doble extremo tipo guillotina del tubo principal de refrigerante más grande (presión de diseño ~60 psi). El revestimiento de acero es la barrera de presión; el concreto proporciona resistencia estructural y blindaje biológico.

Contención con condensador de hielo: Un diseño de contención PWR más pequeño y de menor presión (utilizado en algunas plantas Westinghouse) que emplea cientos de toneladas de hielo para absorber la energía del vapor y mantener baja la presión de contención en un LOCA. Permite una estructura más pequeña y económica, pero requiere mantenimiento periódico del hielo.

Doble contención: Algunos diseños colocan una contención de acero interior dentro de un edificio de contención secundaria de concreto exterior. El espacio entre ellas se mantiene a una presión ligeramente negativa para que cualquier fuga de la contención interior se recolecte y filtre antes de liberarse.

Contención BWR: Mark I, II, III: Las contenciones de BWR de General Electric son más pequeñas porque utilizan un pozo de supresión de presión (torus o wetwell) para condensar el vapor rápidamente. El Mark I (diseño de Fukushima) es un arreglo drywell-torus: el torus es un gran pozo de agua en forma de dona debajo del drywell. Una debilidad: el torus está unido a la parte inferior del drywell. Si el torus falla, la contención falla. Esto es exactamente lo que ocurrió en la Unidad 1 de Fukushima.

Recombinadores autocatalíticos pasivos (PAR): Después de Fukushima, la mayoría de las contenciones ahora incluyen PAR: dispositivos que contienen material catalítico (paladio o platino) que reacciona hidrógeno con oxígeno para formar agua, sin ignición, a bajas concentraciones. Esto previene la acumulación de hidrógeno que podría causar deflagración o detonación.

Ventilación filtrada de contención: Requisito posterior a Fukushima en Europa y cada vez más en EE.UU.: un camino de ventilación endurecido con un sistema de filtros multi-etapa (lavador venturi + filtro de fibra metálica) que permite a los operadores ventilar deliberadamente la contención mientras retiene >99.9% de la radiactividad particulada. Esto previene el fallo incontrolado de la contención por sobrepresión.

Base de Diseño y Más Allá de la Base de Diseño

Para Qué Está Diseñada la Contención

Accidentes de base de diseño (DBA): La NRC requiere que la contención sobreviva a cualquiera de estos simultáneamente:

- Ruptura grande de LOCA: sección completa del tubo de refrigerante primario más grande, liberación máxima de refrigerante

- Pérdida de energía externa (LOOP) coincidente con LOCA: sin energía de la red cuando más se necesita

- Ruptura de la línea de vapor principal: liberación de vapor de alta energía dentro de la contención

- Accidente de manejo de combustible: ensamblaje de combustible caído, liberación de productos de fisión del combustible dañado

Eventos más allá de la base de diseño (BDBA): Post-9/11 y post-Fukushima, las plantas también deben abordar:

- Apagón de la planta (SBO): pérdida prolongada de toda la energía CA (requisito post-TMI, fortalecido post-Fukushima)

- Inundación más allá de la base de diseño: Fukushima mostró que las alturas de inundación de la base de diseño eran demasiado bajas

- Impacto de aeronave: La NRC requiere análisis post-9/11 de impacto deliberado de aeronave; las nuevas plantas deben demostrar sobrevivencia estructural

- Pérdida de enfriamiento de la piscina de combustible gastado: La piscina de combustible gastado de la Unidad 4 de Fukushima casi se secó por evaporación; los requisitos post-Fukushima agregaron conexiones dedicadas de reposición para la PFP

Vulnerabilidad Mark I

Las Unidades 1, 2 y 3 de Fukushima Daiichi tenían contenciones General Electric Mark I. El Mark I utiliza un drywell (un vaso de acero con forma de bombilla alrededor del reactor) conectado a un suppression pool toroidal (el toro) por downcomers. El vapor del drywell se dirige al agua del toro para su condensación.

Durante el accidente, se cree que el toro de la Unidad 2 fue dañado, permitiendo que los productos de fisión escaparan directamente al edificio del reactor y luego a la atmósfera sin pasar por la barrera completa de contención.

Sistemas de Apagado

Control de Reactividad: Tres Vías Independientes para el Apagado

Un reactor debe poder apagarse y permanecer apagado en cualquier condición. No se puede permitir que un solo fallo impida el apagado. El criterio general de diseño (GDC 26) requiere dos sistemas independientes de control de reactividad, cada uno capaz de mantener el reactor subcrítico.

Mecanismos de accionamiento de barras de control (CRDMs):

- CRDMs de gato magnético PWR: Las barras de control se mantienen levantadas por electroimanes. En caso de pérdida de energía (señal SCRAM o pérdida de energía), los imanes se desenergizan y las barras caen por gravedad hacia el núcleo. Fallo seguro: se requiere energía para mantener las barras FUERA. Pérdida de energía = inserción automática.

- CRDMs hidráulicos BWR: Las barras se impulsan desde abajo por agua a alta presión. La inserción de emergencia utiliza nitrógeno a alta presión para impulsar las barras rápidamente. Algunos diseños de BWR también tienen una reserva eléctrica para la inserción de barras.

Inserción alternativa de barras (ARI): Una vía de señal eléctrica separada y diversa que puede insertar las barras de control de manera independiente de la lógica normal de SCRAM. Se utiliza si falla el circuito normal de SCRAM.

Transitorio anticipado sin SCRAM (ATWS): El escenario regulatorio en el que las barras de control fallan en insertarse a demanda. Los sistemas de mitigación de ATWS (ATWS-MF) proporcionan inyección de boro independiente del SCRAM normal: típicamente inyección automática de boro a alta presión activada por un conjunto separado de sensores.

Boriación de emergencia:

- Inyección de boro a alta presión desde un tubo de pie separado (separado de la carga normal)

- Boriación de emergencia a través de las líneas de inyección de boro del ECCS

- Boriación manual desde los tanques de almacenamiento de ácido bórico

Diseños pasivos: reactor CANDU: El CANDU tiene dos sistemas de apagado completamente independientes: (1) barras de apagado mecánicas que caen por gravedad, y (2) inyección a alta presión de solución de nitrato de gadolinio en el moderador: un circuito físico separado. Son independientes en todos los sentidos: lógica de actuación diferente, sistemas físicos diferentes, principios diferentes.

Análisis de ATWS

Durante pruebas en 1979 en la Unidad 2 de Three Mile Island, un error de mantenimiento causó que un disparo del reactor (SCRAM) fallara en ocurrir durante una prueba. El evento fue detectado rápidamente. Pero esto llevó a la NRC a requerir sistemas de mitigación de ATWS en todas las plantas: porque sistemas 'imposibles de fallar' habían fallado, de hecho.

Un evento ATWS en un PWR: la potencia del reactor se dispara. Las barras de control fallan en insertarse. La boración de emergencia es la última línea de defensa.

Arquitectura de Energía de Tres Capas

Energía Eléctrica de Planta Nuclear: Tres Capas Independientes

Una planta nuclear debe mantener energía para sus sistemas de seguridad independientemente de lo que le ocurra a la red o a su propio equipo generador. La arquitectura de energía tiene tres capas:

Capa 1: Operación normal: La planta genera su propia energía desde el generador principal de la turbina. Las cargas auxiliares (bombas, ventiladores, controles) se alimentan desde la propia salida de la planta a través de transformadores auxiliares de unidad.

Capa 2: Energía externa (fuente CA preferida): Si el generador principal se desconecta, la planta se conecta a la red a través de transformadores de arranque/reserva. La NRC requiere al menos dos líneas de transmisión independientes de subestaciones diferentes: para que una sola falla de transmisión no cause pérdida total de energía externa.

Capa 3: Generadores diésel de emergencia (EDGs): Si se pierde la energía externa, los EDGs se inician automáticamente y cargan los buses de seguridad en 10 segundos. Requisitos de la NRC:

- Cada EDG debe alcanzar voltaje y frecuencia nominales en 10 segundos de recibir la señal de inicio

- Almacenamiento de combustible: mínimo 7 días a carga completa (Guía Regulatoria de la NRC 1.9)

- Pruebas: prueba de carga mensual + prueba de resistencia de 24 horas cada 24 meses

- Secuenciación de carga: las cargas de seguridad se conectan en secuencia para evitar sobrecargar el diésel al inicio

Baterías de la estación: Energía CC para instrumentación, paneles de sala de control, iluminación de emergencia, circuitos de actuación SCRAM, actuación ATWS y comunicación. Deben suministrar cargas durante un mínimo de 2 horas (Clase 1E); la mayoría de las plantas están diseñadas para 4-8 horas. Los cargadores de baterías restauran las baterías cuando regresa la CA.

Estrategia FLEX post-Fukushima: La Orden NRC EA-12-049 requiere que todas las plantas tengan bombas y generadores portátiles desplegables dentro de plazos definidos independientemente de las condiciones del sitio. El equipo FLEX se almacena en múltiples ubicaciones (algunas en estructuras robustas, otras fuera del sitio) y puede conectarse a puntos de conexión externos endurecidos en los sistemas de refrigeración del reactor y piscinas de combustible gastado.

Requisitos de los Generadores Diésel

Three Mile Island Unidad 2, 1979: La secuencia del accidente involucró un disparo de turbina seguido de una pérdida de agua de alimentación, seguido de una serie compleja de eventos que llevaron al daño del núcleo. Los generadores diésel de emergencia se iniciaron y funcionaron correctamente durante todo el evento.

Fukushima Daiichi, 2011: El terremoto causó SCRAM del reactor. Todos los seis diésel se iniciaron y funcionaron. Luego llegó el tsunami. Los diésel de las Unidades 1-3 estaban en salas en sótanos que se inundaron. El diésel de la Unidad 6 estaba en una ubicación más alta y sobrevivió. Las Unidades 5 y 6 no sufrieron daño del núcleo.

Sistema de Protección del Reactor

Sistema de Protección del Reactor (RPS)

El Sistema de Protección del Reactor es el sistema automático que inicia un SCRAM del reactor (apagado rápido) cuando los parámetros monitoreados exceden los límites seguros. Es la primera defensa automática contra transitorios.

Parámetros monitoreados que pueden iniciar SCRAM:

- Alto flujo de neutrones (alta potencia)

- Alta temperatura del refrigerante del reactor

- Baja presión del refrigerante del reactor (potencial LOCA)

- Alta presión de contención

- Bajo flujo de refrigerante del reactor

- Alto nivel de refrigerante (BWR)

- Nivel de agua bajo-bajo (BWR)

- Pérdida de energía externa

- Activación manual (iniciada por el operador)

Lógica de votación: Cada parámetro se mide con cuatro sensores independientes, cada uno en un canal de protección separado. Un SCRAM requiere que 2 de 4 canales excedan el punto de ajuste. Esto significa:

- Un solo sensor fallido (lectura falsamente alta) no puede causar un disparo espurio

- Cualquier dos canales que excedan el punto de ajuste inicia el disparo

- Un solo canal fallido (leyendo bajo falsamente) deja tres canales, aún capaz de 2-de-3

Sistema de Actuación Diverso y Dedicado (DDAS): Los sistemas RPS digitales modernos tienen una copia de seguridad analógica: DDAS, que puede iniciar funciones de seguridad de manera independiente del I&C digital. Esto proporciona diversidad: los sistemas digital y analógico pueden fallar por razones completamente diferentes, y un fallo no impide que el otro funcione.

Lógica 2-de-4 vs 2-de-3

El RPS utiliza votación 2-de-4 para iniciar SCRAM (cuatro sensores, dos deben estar de acuerdo para disparar). Pero los sensores individuales reportan al sistema de actuación utilizando votación 2-de-3 dentro de cada tren (tres mediciones, dos deben estar de acuerdo para activar una función de seguridad específica como ECCS).

Estas no son lo mismo, & entender la diferencia importa.

Personal Mínimo

Supervisión Humana: La Capa Que Piensa

Las operaciones de la planta nuclear requieren personal con licencia en turno en todo momento. NRC 10 CFR 50.54(m) establece los requisitos mínimos de personal. Como mínimo, los equipos de operación incluyen:

Operador de Reactor (RO): Licenciado por la NRC (10 CFR 55). Opera directamente los controles del reactor, el panel de control principal y los sistemas de seguridad. Debe estar en los controles continuamente durante las operaciones con potencia.

Operador Senior de Reactor (SRO): Licencia NRC superior. Supervisa al RO. Tiene autoridad independiente para iniciar el apagado. Revisa y aprueba las acciones del RO durante eventos anormales. No puede ser la misma persona que el RO en el turno.

Supervisor de Turno (SS): Licenciado como SRO senior. Responsable de la conducción general de las operaciones y la seguridad de la planta durante el turno. Autoridad final en el sitio para las operaciones de la planta.

Asesor Técnico de Turno (STA): Requisito post-TMI (NUREG-0737). Un ingeniero con licencia asignado a cada turno específicamente para proporcionar soporte técnico independiente durante eventos anormales: no distraído por los controles de operación, enfocado completamente en diagnosticar el evento.

¿Por qué múltiples personas? Defensa en profundidad en la capa humana. Un RO bajo estrés, enfocado en ejecutar procedimientos, puede perder la visión general. El SRO proporciona supervisión independiente. El STA proporciona análisis técnico independiente. El supervisor de turno mantiene la conciencia situacional. Ningún fallo cognitivo humano individual puede impedir que la planta sea controlada de manera segura.

Herramientas de Rendimiento Humano

Reducción de Errores Humanos: Herramientas Sistemáticas

La industria nuclear ha cuantificado las tasas de error humano para diferentes tipos de tareas. Las tasas de error para la toma de decisiones complejas bajo estrés pueden superar 1 en 10. La industria apunta a tasas de error de 1 en 1,000 o mejor para tareas críticas: y las logra mediante herramientas sistemáticas de rendimiento humano.

Reunión previa al trabajo: Antes de cualquier tarea significativa, una reunión cubre: objetivo de la tarea, peligros, condiciones esperadas, pasos para verificar la finalización, condiciones de parada (si X sucede, parar y llamar al supervisor). Toma 5-15 minutos. Reduce drásticamente los errores en la ejecución de la tarea.

STAR (Parar, Pensar, Actuar, Revisar): Técnica de auto-verificación para cada acción crítica. Parar: pausar antes de la acción. Pensar: ¿qué estoy a punto de hacer, y es correcto? Actuar: realizar la acción. Revisar: ¿fue el resultado el que esperaba? La pausa de dos segundos detecta errores de transposición, selecciones de válvulas incorrectas y atajos cognitivos.

Comunicación de tres vías: Para todas las órdenes verbales de importancia para la seguridad: (1) El iniciador establece la orden: 'Alinear válvula HV-233 a la posición abierta.' (2) El receptor repite exactamente: 'Alinear válvula HV-233 a la posición abierta.' (3) El iniciador confirma: 'Eso es correcto.' Un error de comunicación que no se detecta en este intercambio es inusual: requiere que ambas partes oigan mal o recuerden mal.

Integridad de dos personas: Para ciertas operaciones de alto riesgo (relacionadas con seguridad, manejo de fuentes), deben estar presentes dos personas con licencia y verificar mutuamente las acciones del otro. Ninguna persona puede realizar la acción sensible sola: la segunda persona debe estar físicamente presente y confirmar cada paso.

Gestión de la fatiga: NRC 10 CFR 26 establece límites: máximo 16 horas de jornada laboral, mínimo 8 horas de descanso antes de regresar al servicio, máximo 54 horas por semana, máximo 72 horas por semana con horas extras. La fatiga degrada la toma de decisiones tan severamente como la intoxicación: estos límites no son recomendaciones de productividad, son requisitos de seguridad.

Procedimientos de Operación de Emergencia

Antes de Three Mile Island (1979), las plantas nucleares usaban procedimientos de emergencia basados en eventos: si ocurre el evento X, ejecutar el procedimiento X. Los operadores tenían que identificar correctamente el evento antes de tomar acción.

En TMI, los operadores recibieron indicaciones contradictorias. Una válvula de alivio de presión estaba atascada abierta: esto era una LOCA de pequeña ruptura: pero los operadores identificaron mal el evento y siguieron el procedimiento equivocado. Para cuando se hizo el diagnóstico correcto, se había producido un daño significativo en el núcleo.

Después de TMI, la industria desarrolló procedimientos de operación de emergencia basados en síntomas (EOPs). En lugar de 'identificar evento, seleccionar procedimiento', los operadores siguen: 'observar síntomas, tomar acciones protectoras para esos síntomas, independientemente de lo que creas que es el evento.'

La condición de entrada clave basada en síntomas: cualquier cambio inesperado en el nivel, presión o temperatura del refrigerante del reactor, independientemente de la causa, activa la misma secuencia de verificación de enfriamiento del núcleo.

ALARA: Tan Bajo Como Razonablemente Alcanzable

Ingeniería de Protección Radiológica

ALARA: Tan Bajo Como Razonablemente Alcanzable: no es simplemente un límite de dosis. Es una filosofía: la dosis debe reducirse tanto como sea práctico, no solo mantenerse por debajo de los límites legales. La NRC exige ALARA como un requisito regulatorio (10 CFR 20.1101), no meramente como una buena práctica.

Gestión de dosis externa: los tres controles clásicos:

- Tiempo: Reducir el tiempo en el campo de radiación a la mitad, reduce la dosis a la mitad. Secuencias de trabajo preplanificadas minimizan el tiempo innecesario en áreas de alta dosis.

- Distancia: La tasa de dosis sigue la ley del inverso del cuadrado. Duplicar la distancia de una fuente puntual, reduce la tasa de dosis a un cuarto. Trabajar desde seis pies en lugar de tres pies reduce la dosis en un 75%.

- Blindaje: Plomo, concreto, agua y polietileno atenúan diferentes tipos de radiación. La Capa de Medio Valor (HVL) es el grosor que reduce la intensidad a la mitad. HVL del plomo para gamma típica: ~1 cm. HVL del concreto: ~6 cm. Después de diez HVL (10 TVL = Capa de Décimo Valor), la intensidad se reduce a 1/1,000 de la original.

Gestión de la dosis interna:

- El material radiactivo dentro del cuerpo continúa irradiando órganos hasta que decae o se excreta

- Vías: inhalación (aerosoles, gases), ingestión (alimentos/agua contaminados), absorción a través de la piel (rara)

- Concentración Derivada en el Aire (DAC): la concentración en el aire de un radionúclido que, si se inhala durante 2,000 horas/año, entrega el límite de dosis ocupacional. Respiradores y recintos de presión negativa previenen la dosis por inhalación.

- Límite Anual de Ingestión (ALI): ingesta total (inhalación + ingestión) que entrega el límite de dosis ocupacional

Límites de dosis ocupacional (10 CFR 20):

- 5 rem (50 mSv) por año de dosis equivalente efectiva total

- 3 rem (30 mSv) por trimestre

- 15 rem (150 mSv) por año al cristalino del ojo

- 50 rem (500 mSv) por año a la piel o extremidades

- Restricción de dosis para planificación ALARA: 2 rem/año (límites administrativos específicos de la planta a menudo más bajos)

Control de contaminación:

- Áreas Controladas Radiológicamente (RCAs) tienen acceso controlado, cacheo a la salida

- Almohadillas de paso: papel o plástico en las salidas de RCA; cambiar cubrezapatos aquí para evitar rastrear contaminación

- Conteo corporal total: después de trabajar en áreas con potencial contaminación interna, conteos gamma corporales totales detectan captación interna

- Programas de bioensayo: análisis de orina y heces cuantifican dosis interna de isótopos específicos

ALARA en la Práctica

Un trabajador de radiación debe reemplazar una válvula en un área de alta radiación. La tasa de dosis en la ubicación de la válvula es 500 mrem/hora. El trabajo requiere 30 minutos para completarse. La dosis anual del trabajador hasta la fecha es 1,200 mrem contra un límite administrativo de la planta de 2,000 mrem/año.

Usando los principios ALARA y los tres controles, evalúe si este trabajo puede proceder e identifique al menos dos acciones específicas para reducir la dosis.

Three Mile Island (1979)

Three Mile Island Unidad 2: 28 de marzo de 1979

TMI no fue un fallo de diseño: fue un fallo de defensa en profundidad en las capas humana y de procedimientos.

Qué sucedió:

- Un disparo de turbina causó un SCRAM del reactor (automático: funcionó correctamente)

- Una válvula de alivio de presión (PORV) se abrió (correcto) pero se quedó abierta (fallo de equipo)

- Un indicador en la sala de control mostró solo que la válvula había recibido una señal de cierre: no que estuviera realmente cerrada

- El refrigerante escapó a través de la PORV atascada abierta. La presión y la temperatura en el reactor cayeron

- Los operadores malinterpretaron los síntomas como exceso de refrigerante y redujeron la inyección de refrigeración de emergencia: lo opuesto a lo que se necesitaba

- Durante más de dos horas, el núcleo del reactor estuvo parcialmente descubierto

- Aproximadamente la mitad del núcleo se fundió

Lo que hizo la contención: Resistió. A pesar de daños severos en el núcleo y acumulación de hidrógeno dentro de la contención, la estructura de contención retuvo esencialmente todos los productos de fisión. Las consecuencias de dosis fuera del sitio fueron menores: no hubo efectos en la salud pública por radiación.

Mejoras post-TMI (NUREG-0737):

- EOPs basadas en síntomas (reemplazando las basadas en eventos)

- Asesores Técnicos de Turno en cada turno

- Simuladores de alcance completo certificados por la NRC para el entrenamiento de la tripulación

- Instrumentación de monitoreo post-accidente (PAM): indicadores directos de enfriamiento del núcleo, panel de visualización calificado con alimentación independiente de CA

- Estándares revisados de diseño de sala de control (NUREG-0700)

- Requisitos mejorados de exámenes de licenciamiento de operadores

Chernóbil (1986)

Chernóbil Unidad 4: 26 de abril de 1986

Chernóbil fue diferente en carácter a TMI: fue principalmente una deficiencia de diseño combinada con bypasses deliberados de los sistemas de seguridad.

Qué sucedió:

- Una prueba de estabilidad de voltaje requería operar el reactor a baja potencia (~200 MW, vs. potencia nominal 3.200 MW)

- A baja potencia, el reactor RBMK tenía un coeficiente de vacío positivo: las burbujas de vapor en el refrigerante aumentaban la reactividad

- Las barras de control tenían un defecto de diseño: las puntas de grafito desplazaban el agua al insertarse primero, causando un aumento inicial de reactividad antes de que la parte absorbente de neutrones entrara en el núcleo

- La prueba se retrasó; el equipo nocturno no estaba capacitado para ella

- Múltiples sistemas de seguridad fueron desactivados intencionalmente para realizar la prueba

- Al presionar el botón de apagado de emergencia (AZ-5), las puntas de las barras de grafito causaron un pico de reactividad en lugar del SCRAM previsto

- La potencia se disparó a 30.000 MW en segundos: aproximadamente 10 veces la potencia nominal

- El combustible y el refrigerante se convirtieron en vapor, causando una explosión de vapor que destruyó el reactor

- El incendio de grafito ardió durante 10 días, dispersando productos de fisión por Europa

Sin contención: El RBMK no tenía un edificio de contención completo. El reactor estaba en un gran edificio industrial sin capacidad de retención de presión. Cuando el reactor fue destruido, no había una última barrera.

Cambios posteriores a Chernóbil:

- Modificaciones al diseño RBMK: eliminaron el coeficiente de vacío positivo a baja potencia, rediseñaron las puntas de las barras, agregaron absorbedores de neutrones adicionales

- Convenciones internacionales de seguridad nuclear fortalecidas

- Concepto de cultura de seguridad nuclear formalizado por el OIEA (INSAG-7)

- Énfasis regulatorio occidental en el confinamiento como requisito no negociable

Tres Accidentes, Tres Lecciones

Ahora conoces los tres principales accidentes nucleares civiles: TMI (1979), Chernóbil (1986) y Fukushima (2011). Cada uno reveló un tipo diferente de fallo en la defensa en profundidad.

Cuantificación del Riesgo

PRA: Pasando de "Suficientemente Seguro" a "¿Qué tan Seguro?"

El análisis de seguridad determinista dice: diseña la planta para sobrevivir a estos accidentes específicos. La Evaluación de Riesgo Probabilístico (PRA) plantea una pregunta diferente: dada todas las formas en que las cosas podrían salir mal, ¿cuál es la probabilidad de que realmente sucedan?

Frecuencia de daño al núcleo (CDF): La probabilidad de que el núcleo del reactor sufra un daño significativo en cualquier año dado. Objetivo de seguridad de la NRC: CDF < 1×10⁻⁴ por reactor-año (una vez en 10,000 reactor-años). Las plantas modernas típicamente logran CDF < 1×10⁻⁵ (una vez en 100,000 reactor-años).

Frecuencia de liberación temprana grande (LERF): La probabilidad de una liberación grande y temprana de radiactividad al medio ambiente (antes de que se pueda completar la evacuación). Objetivo de seguridad de la NRC: LERF < 1×10⁻⁵ por reactor-año.

Árboles de fallos: Diagramas lógicos gráficos que muestran las combinaciones de fallos de componentes que llevan a un evento superior definido (p. ej., 'ECCS no entrega agua al núcleo'). Utilizan puertas AND (todos deben fallar) y puertas OR (cualquier fallo es suficiente). Las puertas AND reducen la probabilidad (requieren múltiples fallos simultáneos). Las puertas OR aumentan la probabilidad.

Árboles de eventos: Diagramas gráficos que comienzan con un evento iniciador (p. ej., 'ocurre un LOCA de gran ruptura') y rastrean las consecuencias dependiendo de si los sistemas de seguridad tienen éxito o fallan. Cada rama representa el éxito o fallo de una función de seguridad. Los nodos terminales son secuencias de accidentes: apagado seguro, daño al núcleo, liberación grande.

Medidas de importancia: PRA identifica qué componentes y sistemas contribuyen más al riesgo.

- Importancia Fussel-Vesely (FV): la fracción de CDF contribuida por los fallos de un componente. Alto FV = este componente importa mucho.

- Valor de Logro de Riesgo (RAW): cuánto aumenta el CDF si se asume que este componente ha fallado. Alto RAW = este componente no debe estar fuera de servicio por mucho tiempo.

RAW impulsa la programación de mantenimiento y pruebas: los componentes de alto RAW reciben pruebas frecuentes y tiempos de interrupción permitidos cortos.

PRA y Programación de Mantenimiento

Una planta nuclear tiene tres generadores diésel de emergencia (A, B, C). El análisis PRA muestra:

- CDF con los tres operables: 2×10⁻⁵ por año

- CDF con el diésel A fuera de servicio por mantenimiento: 8×10⁻⁵ por año (aumento 4x)

- CDF con los diésels A y B simultáneamente fuera de servicio: 4×10⁻³ por año (aumento 200x)

El equipo de mantenimiento quiere sacar de servicio los diésels A y B simultáneamente para una gran revisión que dura 30 días.

Combustible Gastado: La Obligación a Largo Plazo

Combustible Gastado: Gestión Activa y Pasiva

Cuando el combustible se retira de un reactor después de 3-5 años de operación, está intensamente radiactivo y térmicamente caliente debido al calor de decaimiento. La misma curva de calor de decaimiento aplica: 7% de la potencia nominal inmediatamente, disminuyendo durante años.

Piscinas de combustible gastado (SFP): Inmediatamente después de la remoción, los conjuntos de combustible gastado se colocan en una piscina de combustible gastado: una cuenca llena de agua, típicamente de 40 pies de profundidad, adyacente al edificio del reactor. El agua cumple dos propósitos: enfriamiento y blindaje (el agua sobre el combustible absorbe la radiación, permitiendo que los trabajadores en la cubierta de la piscina reciban dosis bajas).

Tiempo mínimo de enfriamiento en piscina antes de casquillo seco: Aproximadamente 5 años para combustible PWR. El combustible debe enfriarse hasta el punto en que el enfriamiento pasivo por aire en un casquillo seco pueda manejar el calor de decaimiento restante sin agua.

Riesgo de incendio de Zircaloy: Si los conjuntos de combustible gastado quedan descubiertos (pérdida de agua en la piscina), la vaina de zircaloy puede oxidarse en el aire a altas temperaturas. A diferencia de la reacción vapor-zircaloy que produce hidrógeno, la oxidación aire-zircaloy a temperaturas rojo incandescente puede sostener un incendio de zircaloy: una reacción exotérmica autosostenida. La piscina de combustible gastado de la Unidad 4 de Fukushima estuvo a días de alcanzar temperaturas donde esto podría haber ocurrido.

Requisitos post-Fukushima para el SFP (Orden NRC EA-12-051):

- Instrumentación confiable para el nivel y temperatura del agua del SFP

- Capacidad para agregar agua de reposición al SFP desde fuentes diversas

- Estrategias para mantener o restaurar el enfriamiento del SFP en escenarios de pérdida prolongada de energía

Almacenamiento en cascos secos: Después de 5+ años en la piscina, el combustible se transfiere a cascos secos: recipientes de acero soldados rodeados de blindaje de concreto o polietileno de alta densidad. El enfriamiento es completamente pasivo: convección natural de aire a través de ventilaciones en la estructura exterior. No se requiere energía. Vida útil de diseño: 100+ años. Actualmente más de 90,000 toneladas métricas de metal pesado en almacenamiento en cascos secos solo en EE.UU.

Disposición de desechos de alto nivel: El combustible gastado se clasifica como desecho nuclear de alto nivel. La ley de EE.UU. (Nuclear Waste Policy Act) designa a Yucca Mountain, Nevada como el repositorio permanente: pero no se ha abierto debido a oposición política. La NRC requiere que un repositorio proporcione contención por 10,000 años (estándar de la EPA: 1 millón de años para dosis más allá de 10,000 años). La disposición geológica profunda utiliza la formación rocosa misma como barrera primaria, con barreras diseñadas (vitrificación en vidrio, contenedores metálicos, arcilla bentonita) como capas adicionales.

Desechos de bajo nivel (LLW): Ropa contaminada, herramientas, filtros, resinas. Tres clases de la NRC:

- Clase A: actividad más baja, isótopos de vida media más corta. Entierro en tierra superficial, requisito de aislamiento de 100 años

- Clase B: actividad moderada. Entierro superficial con aislamiento de 300 años

- Clase C: actividad más alta, isótopos de vida media más larga. Requiere aislamiento de 500 años; disposición cerca de la superficie con mayores barreras diseñadas

Técnicas de reducción de volumen (incineración, compactación, fusión) son obligatorias para minimizar el espacio de disposición

Caso de Seguridad de los Fardos Secos

Un crítico argumenta que el almacenamiento en fardos secos es inseguro porque los fardos no tienen enfriamiento activo, no tienen conexiones de energía y están al aire libre sobre plataformas de concreto. Un ingeniero nuclear responde que los fardos secos podrían ser en realidad más seguros que la piscina de combustible gastado.

Defensa en Profundidad: La Visión Completa

Ingeniería de Seguridad Nuclear: Una Disciplina de Sistemas

Ahora has estudiado cada capa de la ingeniería de seguridad nuclear. Retrocede & ve el sistema:

Barreras físicas (matriz de combustible, revestimiento, vaso de presión, contención) son pasivas: no requieren ninguna acción para funcionar. Son la base.

Sistemas de seguridad (ECCS, RPS, EDGs, DDAS) son activos con respaldos pasivos (acumuladores, tanques de gravedad, baterías). Cada función tiene tres trenes independientes. Cada tren es 100% capaz. Los enfoques activo & pasivo son diversos.

Instrumentación (RPS, actuacion ECCS, PAM) monitorea docenas de parámetros con lógica de votación 2-de-4: resistente a disparos espurios y a fallos de sensores que impedirían el disparo.

Procedimientos (EOPs basados en síntomas) guían a los operadores hacia acciones protectoras sin requerir un diagnóstico correcto. Post-TMI. Esencial.

Factores humanos (personal, entrenamiento, herramientas de rendimiento humano, límites de fatiga) reducen la probabilidad de que la capa humana falle. Requisito STA post-TMI. Entrenamiento en simulador. Breves pre-trabajo. STAR. Comunicación de tres vías.

Gestión y cultura de seguridad aseguran que la seguridad no se cambie por eficiencia. Post-Chernóbil INSAG-7. La lección de Chernóbil es que los sistemas de seguridad desactivados por la gestión son sistemas de seguridad que no existen.

Regulación (NRC 10 CFR 50, estándares IAEA, inspecciones periódicas) proporciona supervisión independiente en la capa más alta. Un regulador que no inspecciona es un regulador que no existe.

Los tres grandes accidentes revelaron que la defensa en profundidad falla no por un único fallo dramático, sino por una combinación de pequeños fallos, suposiciones incorrectas y márgenes inadecuados en múltiples capas simultáneamente. El caso de seguridad es solo tan fuerte como su combinación simultánea más débil.

Integración Final

Pregunta Final: La Más Difícil

Un nuevo diseño de reactor propuesto afirma ser tan seguro que solo necesita un tren ECCS (no tres), sin diésel de emergencia (solo enfriamiento pasivo) y un modelo de personal simplificado con dos operadores en turno en lugar de cuatro.

El diseñador argumenta: "El enfriamiento pasivo significa que no se necesita energía, por lo que los diésel son innecesarios. El reactor no puede fundirse por física, por lo que el personal simplificado está justificado."