Define Tu Misión

Sección 1: Definición de la Misión

Cada diseño de reactor comienza con una misión. La misión impulsa cada decisión subsiguiente.

Potencia de salida determina el tamaño del reactor, el inventario de combustible y los requisitos de flujo de refrigerante. Un reactor modular pequeño (SMR) de 100 MWe tiene restricciones de ingeniería muy diferentes a las de un reactor de agua a presión de 1.200 MWe.

Ubicación impulsa los criterios de emplazamiento, la fuente de refrigerante, la integración a la red, la planificación de emergencias y la base de diseño sísmico. Los sitios en ríos interiores usan agua del río para refrigeración y deben abordar el riesgo de inundaciones. Los sitios costeros usan agua de mar, pero deben abordar tsunamis y marejadas ciclónicas. Los sitios en islas remotas o fuera de red pueden no conectarse a una red nacional en absoluto.

Integración a la red vs. microred aislada cambia cómo se manejan los requisitos de seguimiento de carga y qué sucede si la red falla (riesgo de apagón de la estación).

Vida útil de diseño afecta los límites de fatiga de materiales, los intervalos de inspección, los requisitos de renovación de licencias y las reservas de costos de desmantelamiento. La NRC actualmente licencia plantas por 40 años con extensiones de renovación de 20 años. Algunos diseños apuntan a una vida útil de 80 años.

Perfiles típicos de misiones:

- 300 MWe SMR, isla remota, red aislada, vida útil de 60 años

- 1,100 MWe PWR, sitio en río interior, red nacional, vida útil de 60 años

- 1,600 MWe EPR, sitio costero, red nacional, vida útil de 60 años

- 2 × 77 MWe matriz de SMR NuScale, sitio interior, red regional, vida útil de 40 años

Tu Declaración de Misión

Define la misión de tu reactor. Esto se convierte en la base de cada decisión de diseño que sigue.

Análisis de Compensaciones de Tipo de Reactor

Sección 2: Selección de Tipo de Reactor

Hoy en día, cinco tipos principales de reactores comerciales están en seria consideración. Cada uno tiene una base física diferente, ciclo de combustible, perfil de seguridad y nivel de madurez. Debes elegir uno y defenderlo.

Reactor de Agua a Presión (PWR)

El tipo de reactor más común en todo el mundo (alrededor del 70% de las plantas en operación). El agua ligera (H₂O) sirve como refrigerante y moderador. El circuito primario opera a ~155 bar / 325°C: la alta presión mantiene el agua líquida. Un generador de vapor transfiere el calor a un circuito secundario, que acciona la turbina. El agua radiactiva permanece en el circuito primario.

Pros: Décadas de experiencia operativa, fuerte coeficiente de vacío negativo (pérdida de agua causa disminución de reactividad), historial probado de seguridad, gran cadena de suministro industrial.

Cons: Alta presión operativa (requiere vasos de presión de paredes gruesas y bombas de servicio pesado), complejidad de dos bucles, accidente de pérdida de refrigerante (LOCA) requiere respuesta activa del ECCS.

Reactor de Agua en Ebullición (BWR)

El agua hierve dentro del vaso del reactor. El vapor va directamente a la turbina. Más simple que PWR: no se necesita generador de vapor.

Pros: Menor presión operativa que PWR, diseño más simple de un bucle, ciclo directo es más eficiente.

Cons: Vapor radiactivo va a la turbina (el edificio de la turbina es un área de radiación), ECCS complejo con múltiples sistemas de inyección, coeficiente de vacío ligeramente positivo en algunos niveles de potencia requiere diseño cuidadoso.

CANDU (Canada Deuterio Uranio)

Utiliza agua pesada (D₂O) como moderador y refrigerante. Puede usar combustible de uranio natural (no se necesita enriquecimiento). Característica única: recarga en línea: los canales de combustible pueden reemplazarse sin apagar el reactor.

Ventajas: No requiere enriquecimiento (ventaja en costo de combustible), recarga en línea significa factor de capacidad muy alto, moderador de agua pesada permite ciclo de combustible flexible.

Desventajas: El agua pesada es costosa de producir (~$1000/kg), algunas configuraciones tienen un coeficiente de vacío ligeramente positivo en ciertas condiciones que requiere un diseño de seguridad cuidadoso, gran huella física.

Reactor de Sal Fundida (MSR)

El combustible está disuelto en sal fundida de fluoruro o cloruro. No hay combustible sólido que se derrita: si falla el enfriamiento, la sal se congela o drena hacia un tapón de congelación pasivo. Puede usar ciclo de combustible de torio.

Ventajas: Seguridad de "abandonar y olvidar" (drenaje pasivo hace imposible el derretimiento), opera a presión atmosférica (sin riesgo de LOCA), recarga en línea, ciclo de combustible de torio produce mucho menos residuo de vida larga.

Contras: Desafíos de materiales (los materiales estructurales deben sobrevivir a sal caliente, corrosiva y radiactiva durante décadas), tecnología precomercial: ningún MSR ha operado comercialmente, la producción de tritio en sales fluoradas es un desafío regulatorio.

Reactor Modular Pequeño (SMR): tipo NuScale/Rolls-Royce

Módulos PWR fabricados en fábrica o PWR integral, típicamente 50-300 MWe cada uno. Seguridad pasiva basada en circulación natural, no se requieren bombas. Múltiples módulos pueden combinarse para escalabilidad.

Pros: Control de calidad de fábrica, sistemas de seguridad pasivos (sin bombas, sin necesidad de energía AC para refrigeración), capacidad escalable, tiempo de construcción más corto.

Contras: Costo de capital por kWe más alto que en plantas grandes, la mayoría de los diseños son precomerciales o están entrando en operación (NuScale VOYGR certificado en 2022 pero proyectos cancelados en 2023), cadena de suministro no desarrollada a escala aún.

La pregunta clave de física de seguridad para cualquier tipo de reactor:

¿Qué ocurre si la temperatura del refrigerante aumenta o se pierde refrigerante? Un reactor con un coeficiente de temperatura negativo y un coeficiente de vacío negativo reducirá automáticamente la potencia: una respuesta autocorrectora e inherentemente segura. Un reactor con un coeficiente de vacío positivo (la potencia aumenta al perderse refrigerante) requiere sistemas activos para apagarse de forma segura. Esto es lo que hizo tan peligroso al RBMK de Chernóbil.

Elige tu tipo de reactor

Revisa el diagrama de comparación de tipos de reactores anterior antes de decidir.

Parámetros de Diseño de Combustible

Sección 3: Diseño de Combustible

El diseño del combustible determina cuánta energía obtienes, cuánto dura el combustible, & qué sucede en un accidente. Cada parámetro interactúa con todos los demás parámetros.

Tipo de combustible:

- UO₂ (dióxido de uranio): El estándar global. Pastillas cerámicas, punto de fusión alto (~2850°C), químicamente estable, bien caracterizado. Ligeras desventaja: baja conductividad térmica: el calor se acumula en el centro de la pastilla.

- MOX (óxido mixto): Mezcla de UO₂ y PuO₂. Quema plutonio de armas o combustible gastado reprocesado. Punto de fusión ligeramente más bajo que UO₂, requiere instalación de fabricación de MOX con licencia.

- TRISO (isotrópico tri-estructural): Microesferas de combustible (UO₂ o UCO) recubiertas con múltiples capas cerámicas. Cada partícula es su propio pequeño recipiente de contención. Usado en reactores de gas de alta temperatura y algunos diseños avanzados. Extremadamente robusto: probado a temperaturas muy altas sin liberación.

Enriquecimiento:

- Uranio natural (0.7% U-235): Usado en CANDU. Sin costo de enriquecimiento, pero requiere moderador de agua pesada.

- LEU 3-5% (uranio poco enriquecido): Estándar para combustible de PWR y BWR. Enriquecido al 3-5% de U-235.

- HALEU 5-20% (uranio poco enriquecido de alto ensayo): Utilizado en muchos diseños de SMR y reactores avanzados. Mayor enriquecimiento permite núcleos más pequeños y compactos, y ciclos de combustible más largos. Requiere salvaguardas adicionales debido al mayor enriquecimiento.

- HEU >20%: Prohibido en reactores comerciales de potencia.

Material de revestimiento:

- Zircaloy-4: Revestimiento estándar a nivel mundial. Baja absorción de neutrones, buenas propiedades mecánicas hasta ~400°C. Debilidad crítica: por encima de ~1200°C reacciona con vapor para producir gas hidrógeno (Zr + 2H₂O → ZrO₂ + 2H₂). Esta fue la fuente de hidrógeno en Fukushima.

- M5 (aleación Zr-Nb): Mejor resistencia a la corrosión que Zircaloy-4 para combustible de alto quemado.

- Compuesto SiC/SiC: Revestimiento avanzado de combustible tolerante a accidentes (ATF). Mucho mayor tolerancia a la temperatura, no produce hidrógeno en vapor. En desarrollo activo pero aún no en uso comercial generalizado.

Objetivo de quema:

El combustible LWR estándar alcanza ~45-50 GWd/tHM (gigavatios-día por tonelada métrica de metal pesado) antes de su remoción. El combustible de alto rendimiento puede llegar a 65-70 GWd/tHM. Algunos diseños avanzados apuntan a 100+ GWd/tHM para ciclos extendidos. Una mayor quema significa menos paradas de combustible, pero requiere mejor rendimiento del revestimiento y mayor enriquecimiento.

Absorbedores quemables:

El combustible fresco es altamente reactivo: demasiado reactivo si cargas un núcleo completo. Los absorbedores quemables (óxido de gadolinio mezclado en las pastillas de combustible, o IFBA: absorbedor quemable integral de combustible, un recubrimiento delgado de ZrB₂) absorben neutrones en exceso al inicio de la vida y se queman a medida que el combustible se agota, aplanando la distribución de potencia a lo largo del ciclo.

Patrón de carga del núcleo:

- Carga interna-externa: Combustible fresco cargado en el centro, movido hacia afuera a medida que se agota. Simple pero crea picos de alta potencia en el centro.

- Carga de baja fuga: Combustible fresco colocado en el exterior del núcleo, combustible agotado en el centro. Reduce la fuga de neutrones (mejor economía de combustible) y reduce la fluencia en la vasija de presión del reactor. Práctica estándar para PWR modernos.

Especifica Tu Diseño de Combustible

Considera cómo tus elecciones de combustible interactúan con tu tipo de reactor y misión. Un diseñador de CANDU no necesita enriquecimiento. Un diseñador de SMR podría elegir HALEU para un núcleo compacto. Un diseñador de PWR debe abordar el revestimiento y el riesgo de producción de hidrógeno.

Diseño del refrigerante y moderador

Sección 4: Compatibilidad del refrigerante y moderador

Tu refrigerante, moderador, combustible y revestimiento deben ser químicamente y físicamente compatibles. Una incompatibilidad genera un problema de seguridad o un diseño imposible.

Agua Ligera (H₂O): PWR, BWR, SMR:

El mejor moderador por unidad de volumen. También excelente refrigerante. Opera a alta presión (PWR: ~155 bar, BWR: ~70 bar). Peligro clave: a alta temperatura se convierte en vapor (pérdida simultánea de moderación y refrigerante: el escenario LOCA). El control químico es crítico: pH, oxígeno disuelto, inyección de zinc, todos afectan las tasas de corrosión de los materiales estructurales. Recubrimiento de Zircaloy compatible hasta ~400°C en operación normal.

Agua Pesada (D₂O): CANDU:

Excelente moderador con mucho menor absorción de neutrones que H₂O: por esto CANDU puede funcionar con uranio natural. Opera a ~100 bar en tubos de presión. El agua pesada cuesta ~$1000/kg para producir (vía proceso Girdler-Sulfide u otro proceso de separación isotópica). Producción de tritio de D + n → T es un desafío operativo: el tritio es un emisor beta y debe gestionarse. Química: similar al agua ligera pero con consideraciones diferentes de isótopos de oxígeno.

Grafito: RBMK, HTGR:

El RBMK usaba grafito como moderador con refrigerante de agua: una combinación peligrosa debido al coeficiente de vacío positivo. El HTGR (reactor de gas de alta temperatura) usa grafito como moderador con refrigerante de helio: una combinación segura porque el grafito no contribuye a un coeficiente de vacío positivo con refrigerante gaseoso. El grafito también puede ser un peligro de incendio si alcanza temperaturas muy altas en aire: esto fue un factor en el incendio de Windscale de 1957.

Sal Fundida: MSR:

La sal actúa tanto como transportadora de combustible como refrigerante. No se necesita moderador separado (excepto en MSRs térmicos que pueden incluir grafito). Opera a presión atmosférica: no hay riesgo de LOCA a alta presión. Desafíos clave: las sales de fluoruro son altamente corrosivas para los metales estructurales, las sales de cloruro pueden activarse bajo flujo de neutrones. Los materiales deben sobrevivir décadas de exposición. El tapón de congelación: un tapón congelado de sal enfriado por un pequeño ventilador: se derrite si se pierde la energía, drenando el combustible a una geometría subcrítica. Esta es una característica de seguridad pasiva.

Sodio: Reactor Rápido (SFR):

El sodio líquido es un excelente refrigerante para reactores rápidos. Muy alta conductividad térmica, opera a presión atmosférica, la circulación natural es efectiva. Peligro grave: el sodio arde violentamente al exponerse al aire y reacciona explosivamente con el agua. Todos los sistemas de sodio requieren intercambiadores de calor de doble pared y atmósfera inerte. Un incendio de sodio fue un incidente importante en Monju (Japón) y Superphénix (Francia).

Matriz de compatibilidad (lo que debe funcionar todo junto):

- La química del refrigerante no debe corroer la vaina bajo irradiación

- El moderador debe ser compatible con el refrigerante (agua pesada y agua ligera son compatibles; grafito y agua crean el problema de vacío positivo RBMK)

- El combustible debe ser químicamente estable en el refrigerante (UO₂ en agua: bien. UF₄ en sal de fluoruro: bien. UO₂ en sodio: bien. Pero uranio metálico en agua corroe.)

- La temperatura y presión de operación deben estar dentro de los límites de calificación del material

Justifica Tu Refrigerante y Moderador

El tipo de tu reactor determina tu refrigerante primario. Ahora justifica la compatibilidad de tu sistema completo: refrigerante, moderador, combustible y vaina; e identifica el principal peligro químico o térmico.

Tres Circuitos de Refrigeración Independientes

Sección 5a: Sistemas de Refrigeración Triple Redundantes

¿Por qué tres circuitos de refrigeración?

Fukushima contaba con refrigeración de respaldo. Falló porque todas las copias de seguridad compartían una vulnerabilidad común: necesitaban alimentación de CA, y el mismo tsunami que cortó la red eléctrica también destruyó los generadores diésel. Las fallas individuales se propagaron hasta provocar la pérdida total de refrigeración.

La triple redundancia no consiste simplemente en tres copias del mismo sistema. La verdadera redundancia requiere independencia en tres dimensiones:

- Separación física: Edificios diferentes, cuadrantes diferentes, elevaciones diferentes. Una inundación en un cuadrante no puede inutilizar otro.

- Diferentes fuentes de alimentación: Diferentes buses eléctricos, diferentes alimentaciones de respaldo. Una falla de un bus no puede desactivar otro lazo de enfriamiento.

- Diferente lógica de activación: Un lazo se activa por alta temperatura, otro por baja presión, otro por ausencia total de energía. Diferentes modos de falla activan diferentes lazos.

Los tres lazos de enfriamiento estándar de un PWR moderno:

Lazo 1: Enfriamiento normal de parada (SCS / Residual Heat Removal, RHR):

Sistema activo. Las bombas circulan refrigerante a través de intercambiadores de calor para eliminar el calor de decaimiento después de la parada. Alimentado por CA normal o CA de emergencia. Opera a baja presión después de la despresurización. Punto de activación: normalmente cuando la temperatura del RCS baja por debajo de ~177 °C (350 °F) y la presión por debajo de ~28 bar (400 psi). Este es el sistema principal de eliminación de calor de decaimiento durante las paradas planificadas.

Bucle 2: Sistema de Refrigeración de Emergencia del Núcleo (ECCS): Inyección de Alta Presión y Baja Presión:

Sistema activo. Responde a accidentes de pérdida de refrigerante. Inyección de alta presión (HPI) se activa para roturas pequeñas: mantiene la presión del sistema de refrigerante del reactor (RCS), inyecta agua borada. Inyección de acumuladores: grandes tanques de agua borada bajo presión de nitrógeno (~40 bar): se descargan pasivamente cuando la presión del RCS cae por debajo de la presión del acumulador (sin bombas, sin energía necesaria para esta etapa). Inyección de baja presión (LPI) toma el relevo después de que el RCS se ha despresurizado completamente. La concentración de boro es crítica: suficiente para lograr y mantener el apagado en frío sin barras de control.

Bucle 3: Refrigeración Pasiva del Núcleo (alimentada por gravedad o circulación natural):

Sistema pasivo: sin bombas, sin energía CA, sin acción del operador requerida. Dos enfoques:

- Estilo AP1000 (Westinghouse): Gran tanque de agua encima del reactor (tanques de reposición del núcleo, intercambiadores de calor de remoción pasiva de calor residual). Alimentado por gravedad. En condiciones de accidente, la circulación natural elimina el calor de decaimiento del primario al agua del tanque, que hierve y se ventila: se condensa en la carcasa de contención de acero, que se enfría con el aire exterior. Completamente pasivo.

- Estilo NuScale: El módulo del reactor se encuentra dentro de una piscina de agua. Circulación natural dentro del sistema primario transfiere el calor a la piscina. Sin bombas en ningún lugar del primario o sistemas de seguridad.

- PRHR HX (Intercambiador de Calor de Remoción Pasiva de Calor Residual): Sumergido en un gran tanque lleno de agua (tanque de almacenamiento de agua de recarga en contención, IRWST). Circulación natural a través del PRHR HX elimina el calor de decaimiento sin ninguna bomba. Opera durante 72 horas sin ninguna acción del operador.

Verificación de independencia: lo que debe ser cierto:

- Los bucles 1, 2 y 3 deben obtener energía de diferentes buses eléctricos (1A, 1B, 1C o Div I, II, III)

- El bucle 3 debe funcionar con la pérdida total de energía AC

- Cada bucle debe estar en una división física diferente (separada por barreras o distancia)

- Fallos de causa común: como el tsunami de Fukushima: deben analizarse y prevenirse

Análisis de fallo de causa común:

¿Qué única falla podría inhabilitar los tres bucles? Debe identificarla y mostrar cómo su diseño la previene.

- Causa común sísmica: los tres bucles deben estar en estructuras de Categoría Sísmica I diseñadas para el SSE del sitio

- Causa común por inundación: bucles en elevaciones diferentes o compartimentos protegidos contra inundaciones

- Causa común por incendio: barreras contra fuego (clasificación de 3 horas), recorridos de cables separados, separación redundante

- Causa común por pérdida del sumidero de calor: si los tres bucles rechazan el calor al mismo sumidero de calor final (río, océano), debe analizarse la pérdida de ese sumidero

Diseño del Bucle 1: Enfriamiento Normal de Parada

Diseñe su primer bucle de enfriamiento: el sistema normal de enfriamiento de parada / RHR.

Diseña Loop 2: Inyección de alta presión ECCS

Loop 2 es tu refrigeración de emergencia del núcleo: se activa por accidentes, no por operaciones normales.

Diseña el Bucle 3: Enfriamiento Pasivo del Núcleo

El Bucle 3 debe funcionar sin potencia de CA y sin acción del operador. Es la última línea de defensa: el sistema que previene el escenario de Fukushima.

Análisis de Fallo de Causa Común

Tienes tres bucles de refrigeración. Ahora demuestra que son realmente independientes.

Tres Formas Independientes de Detener la Reacción

Sección 5b: Sistemas de Apagado con Triple Redundancia

Detener una reacción en cadena requiere más que barras de control. Un reactor moderno y seguro tiene tres mecanismos de apagado completamente independientes, cualquiera de los cuales es suficiente para lograr y mantener el apagado en frío.

¿Por qué no solo barras de control?

Las barras de control no lograron apagar el reactor de Chernóbil lo suficientemente rápido: el RBMK tenía un coeficiente de scram positivo: la inserción de barras con punta de grafito inicialmente causó un pico breve de potencia antes del apagado. En TMI, las barras de control se insertaron correctamente, pero la confusión del operador sobre el nivel de refrigerante llevó a un núcleo descubierto de todos modos. La lección: ningún sistema único debe ser el único medio de apagado.

Sistema de Apagado 1: Barras de Control:

El sistema de apagado primario. Se insertan barras que contienen material absorbedor de neutrones (carburo de boro B₄C, hafnio o aleación Ag-In-Cd) en el núcleo. Las barras se insertan por gravedad o por resorte (SCRAM): en caso de pérdida de energía o señal de seguridad, los electroimanes que sostienen las barras se desenergizan, y las barras caen en el núcleo. Tiempo de SCRAM: típicamente las barras se insertan completamente en 2-4 segundos.

Requisitos de diseño: (1) Valor de las barras: todas las barras juntas deben poder apagar el reactor desde cualquier condición de operación, con la barra de mayor valor atascada retraída. Esto es el 'criterio de barra atascada'. (2) Tiempo de SCRAM: medido y verificado durante las pruebas de arranque. (3) Frecuencia de prueba: las barras de control deben ejercitarse (retirarse parcialmente y reinsertarse) en un horario regular para verificar su operatividad.

Sistema de Apagado 2: Boriación de Emergencia:

Inyectar agua boriada en el sistema de refrigerante del reactor. El boro-10 es un excelente absorbedor de neutrones. Una inyección suficiente de boro logra el apagado en frío incluso si todas las barras de control están atascadas retraídas. Dos mecanismos: (1) Inyección por tubería de pie: tanque de ácido bórico conectado al RCS por bombas y válvulas de aislamiento. (2) Inyección de boro ECCS: el agua del acumulador ECCS ya está boriada; la inyección ECCS proporciona automáticamente boro. La concentración de boro requerida para apagado en frío con todas las barras atascadas se calcula en el análisis de seguridad y es típicamente 2000-2500 ppm (como ácido bórico, H₃BO₃).

Sistema de Apagado 3: Drenaje Pasivo de Absorbedor (basado en física, sin energía):

Un mecanismo de apagado pasivo diverso que utiliza un principio físico diferente. Ejemplos:

- Inyección de bolas de boro (estilo CANDU): Bolas de material absorbedor caen por gravedad en compartimentos separados del moderador en caso de pérdida de energía.

- Inyección pasiva de boro desde tanque elevado: Un tanque elevado de ácido bórico concentrado drena por gravedad al RCS cuando una válvula de fallo-abierto se abre en caso de pérdida de energía. Sin bombas, sin señal requerida.

- Drenaje de sal fundida a geometría subcrítica: Para MSRs, el tapón de congelación se derrite en caso de pérdida de energía de enfriamiento, drenando el combustible a una geometría físicamente incapaz de sostener una reacción en cadena (geometría subcrítica diseñada en el tanque de drenaje).

- Barras de veneno quemable con eyección por resorte: En algunos diseños, barras de apagado secundarias pueden ser eyeccionadas hacia arriba al núcleo por resorte en caso de pérdida del mecanismo de retención.

Requisitos de pruebas y vigilancia:

Cada sistema de apagado debe probarse de manera independiente en un horario regular, con los resultados registrados y reportados a la NRC. Las observaciones de inspección de la NRC sobre sistemas de apagado inoperables son eventos reportables. Las pruebas deben demostrar que cada sistema por sí solo puede lograr el apagado en frío.

Diseña Tus Tres Sistemas de Apagado

Diseña los tres sistemas de apagado para tu reactor.

Tres fuentes de alimentación independientes

Sección 5c: Fuentes de alimentación triplemente redundantes

La lección principal de Fukushima: apagón de la estación: pérdida total de energía CA: no debe llevar a daños en el núcleo. Los requisitos de la NRC posteriores a Fukushima (FLEX) exigen que las plantas demuestren que pueden manejar un apagón prolongado de la estación utilizando fuentes de energía diversas e independientes.

Fuente de Energía 1: Red Externa:

La fuente de energía normal. Dos o más líneas de transmisión independientes desde subestaciones independientes (circuitos de red diferentes). Protección del transformador: relé de presión repentina, relé diferencial, relé de bloqueo: evita que un transformador fallido afecte en cascada a otros buses. Si el generador principal de la planta se desconecta, la energía externa toma el control automáticamente en segundos a través del transformador auxiliar.

Debilidad: cualquier cosa que dañe la red (clima severo, evento sísmico, inestabilidad de la red) puede cortar la energía externa. La energía externa es la fuente normal más confiable, pero la menos confiable en emergencias.

Fuente de Energía 2: Generadores Diésel de Emergencia (EDGs):

La fuente principal de energía CA de emergencia. Mínimo NRC: 2 EDG por unidad, cada una capaz de soportar las cargas de emergencia completas para una división de seguridad. Requisito de arranque: el EDG debe alcanzar voltaje y frecuencia nominales dentro de 10 segundos de la señal de arranque (requisito NRC). Suministro de combustible: mínimo NRC es suministro para 7 días a carga completa. Mejor práctica post-Fukushima: diseñar para suministro de 14 días, con contratos de entrega de combustible que aseguren la reposición.

Pruebas: prueba de carga mensual (arranque a velocidad completa sin carga), prueba de carga trimestral (a carga nominal), prueba de resistencia de 18 meses (funcionar a carga completa durante toda la duración de la prueba).

Un PWR típico de 1100 MWe tiene 2-4 EDG, cada una con capacidad de ~7,000 a 9,000 kW.

Fuente de energía 3: Baterías de la estación (energía DC, Clase 1E):

La fuente de energía de respaldo definitiva para instrumentación, control, iluminación de emergencia, operación de válvulas y comunicación. Los buses DC se alimentan desde baterías, que se cargan desde buses AC durante operación normal. En pérdida de todo AC: las baterías proporcionan energía DC de forma independiente.

Dimensionamiento: cada bus DC debe estar dimensionado para suministrar su lista de cargas durante un mínimo de 2 horas sin recarga AC. Diseños modernos dimensionan para 4-8 horas. La lista de cargas incluye: monitores de accionamiento de barras de control, instrumentación relacionada con seguridad, iluminación de emergencia, comunicación de emergencia y actuadores de válvulas críticas.

Reemplazo de baterías: según el horario del fabricante, típicamente 10-20 años. Pruebas de baterías: prueba de capacidad anualmente, prueba de descarga cada 18 meses.

[BLOCK_TYPE SECTION/STEP]

Estrategia FLEX: Equipos Portátiles Post-Fukushima: [BLOCK_TYPE SECTION/STEP]

Generadores diésel portátiles, bombas portátiles y mangueras pre-posicionados en múltiples ubicaciones con rutas de acceso diversas (no todas alcanzables por la misma inundación o incendio). Los puntos de conexión a buses de seguridad y sistemas de refrigeración están preinstalados y probados. El equipo FLEX puede desplegarse por los operadores sin alimentación de CA. La NRC exige que las estrategias FLEX aborden: apagón total de la estación, pérdida del sumidero de calor final y combinaciones.

Diseña tus Tres Fuentes de Alimentación [BLOCK_TYPE SECTION/STEP]

Diseña tu arquitectura completa de alimentación.

Tres Canales de Monitoreo Independientes

Sección 5d: Monitoreo e Instrumentación con Triple Redundancia

Las fallas de instrumentación y control (I&C) causaron o agravaron todos los grandes accidentes nucleares. En TMI, los operadores se confundieron por un solo indicador (una luz que mostraba si se había ordenado abrir una válvula de alivio operada por piloto, no si realmente estaba abierta) y tomaron decisiones que vaciaron el núcleo. En Chernóbil, los instrumentos clave fueron desactivados o dieron lecturas engañosas durante la prueba fatal.

Tres canales de medición independientes:

Los reactores modernos dividen la instrumentación de seguridad en tres (o cuatro) canales independientes: A, B y C (o I, II, III, IV). Cada canal utiliza sensores diferentes, enrutados a través de recorridos de cable separados en conductos separados, alimentados desde buses de seguridad independientes.

¿Por qué tecnologías diferentes?

Falla de causa común en sensores: si los tres canales utilizan el mismo modelo de sensor, un defecto sistemático en ese modelo podría hacer que los tres fallen o den la misma lectura incorrecta simultáneamente. Utilizar diferentes fabricantes o diferentes principios de medición reduce este riesgo.

Lógica de votación 2-de-3:

Tres canales, cada uno emitiendo una señal sí/no para una función de seguridad (p. ej., 'alta presión, iniciar SCRAM'). La acción de seguridad se activa si al menos 2 de 3 canales están de acuerdo. ¿Por qué no 1-de-3? Porque un solo canal defectuoso causaría SCRAM espurios (demasiados falsos positivos: la planta sería poco confiable). ¿Por qué no 3-de-3? Porque un solo canal fallido impediría que ocurra el SCRAM (demasiados pocos verdaderos positivos: la planta sería insegura). 2-de-3 es el óptimo matemático: resistente a un solo disparo espurio Y a un solo fallo para disparar.

Monitoreo post-accidente: variables de Categoría 1 de NUREG-0696:

Las siguientes variables deben monitorearse después de un accidente, independientes del sistema de control digital normal (DCS), específicamente para dar a los operadores la verdad fundamental incluso si el DCS está dañado o es poco confiable:

- Presión del sistema de refrigerante del reactor

- Temperatura del sistema de refrigerante del reactor (ramal caliente, ramal frío)

- Nivel de agua del sistema de refrigeración del reactor (nivel dentro de la vasija)

- Presión de contención

- Nivel de radiación en contención

- Monitores de radiación de efluentes (refrigerante, vapor, atmósfera de contención)

Calificación ambiental y sísmica:

Todo el I&C relacionado con la seguridad debe estar cualificado para las condiciones ambientales que experimentaría en un accidente: temperatura hasta 150 °C, humedad hasta 100 %, radiación hasta 10⁷ rad (100 kGy) acumulados, durante la duración del accidente (meses). Llamamos a esto calificación ambiental según 10 CFR 50 Apéndice B / IEEE 323. Calificación sísmica (IEEE 344): debe funcionar durante y después del SSE del sitio.

Diseña tu arquitectura de monitorización

Diseña tu arquitectura de instrumentación y control de seguridad.

Seguridad Que Funciona Sin Energía ni Operadores

Sección 6: Características de Seguridad Pasiva

Las características de seguridad pasiva funcionan solo mediante física: sin bombas, sin energía, sin acción del operador. Siempre están activas, siempre funcionando, y no pueden ser desactivadas por un apagón en la estación.

Coeficiente Doppler Negativo (siempre presente en combustible de uranio):

A medida que aumenta la temperatura del combustible, los picos de absorción por resonancia del U-238 se ensanchan (ensancho de Doppler). Más neutrones son capturados por el U-238 sin causar fisión. Esto reduce automáticamente la tasa de fisión a medida que el combustible se calienta: un mecanismo de retroalimentación autorregulador y siempre presente. Funciona en todos los tipos de reactores que utilizan combustible de uranio. Es la razón por la que un reactor de uranio no puede descontrolarse como una explosión química incontrolada: la física contraataca.

Coeficiente de Temperatura Negativo del Moderador (para LWRs):

En reactores de agua ligera, a medida que aumenta la temperatura del refrigerante/moderador, la densidad del agua disminuye. El agua menos densa modera menos neutrones, por lo que menos alcanzan las energías térmicas necesarias para la fisión. La reactividad disminuye automáticamente. Esto explica por qué los PWR y BWR son inherentemente autorreguladores en un amplio rango de niveles de potencia.

Coeficiente de Vacío Negativo (para la mayoría de LWRs en potencia):

Si se forman burbujas en el refrigerante o se pierde refrigerante, la moderación disminuye. En los LWR, esto reduce la reactividad. Esta es la característica de seguridad que faltaba en el RBMK de Chernóbil: su gran coeficiente de vacío positivo significaba que perder refrigerante aumentaba la potencia, creando un bucle de retroalimentación descontrolado.

Eliminación pasiva del calor de decaimiento: Circulación natural:

El agua caliente es menos densa que el agua fría. En el circuito primario, el refrigerante caliente del núcleo asciende naturalmente. En diseños como el AP1000, esta circulación natural impulsa el refrigerante a través del PRHR HX sin necesidad de bombas. El calor de decaimiento se elimina solo por física.

Retención en el vaso (IVR): Enfoque del AP1000:

Si un accidente grave progresa hasta el daño del núcleo, el corium fundido debe mantenerse dentro del vaso del reactor. El diseño del AP1000 inunda la cavidad del reactor con agua (alimentada por gravedad desde el IRWST). El agua fuera del vaso elimina el calor de la pared del vaso, manteniendo intacto el vaso de acero e impidiendo que el corium fundido escape al piso de contención. Esta fue una innovación importante en el diseño: los LWR anteriores no tenían esta característica.

Colector de núcleo ex-vaso: Enfoque del EPR:

Una alternativa a la IVR: si el corium escapa del vaso, cae en un compartimento de dispersión (colector de núcleo) diseñado para extender el fundido en una capa delgada y enfriarlo desde abajo y arriba. El EPR (Reactor a Presión Europeo) utiliza este enfoque. Tanto la IVR como el colector de núcleo abordan el mismo escenario: progresión de un accidente grave más allá de la brecha del vaso.

Gestión del Hidrógeno: Recombinadores Autocatalíticos Pasivos (PARs):

Las reacciones de Zircaloy-vapor producen hidrógeno. El hidrógeno se acumula en la contención. A concentraciones de hidrógeno en aire del 4-75%, es inflamable; al 13-59%, detona. Las explosiones de hidrógeno de Fukushima destruyeron los edificios de reactores de las Unidades 1, 3 y 4. Las conteniciones modernas requieren gestión del hidrógeno: los PARs (recombinadores autocatalíticos pasivos) son dispositivos que contienen un catalizador de platino o paladio. El hidrógeno y el oxígeno se combinan en la superficie del catalizador a temperatura ambiente, sin ignición, produciendo vapor de agua. Sin energía, sin ventiladores, sin acción del operador. Los PARs se colocan a lo largo de la contención para prevenir acumulaciones locales. La cantidad requerida y la colocación se calculan en base al término fuente de hidrógeno en el peor caso.

Cuatro Barreras Físicas: Defensa en Profundidad:

El diagrama anterior muestra las cuatro barreras físicas entre el combustible y el medio ambiente:

1. Matriz de combustible (cerámica UO₂): retiene ~95% de los productos de fisión en condiciones normales

2. Revestimiento de combustible (Zircaloy o SiC): barrera metálica, primera contención de cualquier producto de fisión escapado

3. Límite de presión del refrigerante del reactor: recipiente y tuberías de acero de pared gruesa [BLOCK_TYPE CONTENT passive_safety/passive_intro]

4. Estructura de contención: hormigón armado, típicamente de 1-1,5 metros de espesor, diseñado para la presión y temperatura de un LOCA de peor caso, y para impacto de aeronaves [BLOCK_TYPE TITLE passive_safety/passive_question]

Diseña tus características de seguridad pasiva [BLOCK_TYPE CONTENT passive_safety/passive_question]

Las características pasivas están integradas en la física y geometría de tu diseño: no se pueden desactivar. [BLOCK_TYPE QUESTION passive_safety/passive_question]

Capa de Seguridad Humana

Sección 7: Diseño de Supervisión Humana

Cada accidente nuclear importante ha involucrado un factor humano: no porque los humanos sean poco confiables, sino porque el sistema de supervisión humana estaba mal diseñado. Un buen diseño facilita hacer lo correcto y dificulta hacer lo incorrecto.

Tres miembros mínimos calificados en el sitio en todo momento (24/7):

- Operador de Reactor (RO): Licenciado por la NRC (10 CFR Part 55). Opera los controles del reactor. Debe aprobar un examen escrito y una prueba operativa en el simulador específico de la planta. Licencia válida solo para esa planta: no es transferible.

- Operador Superior de Reactor (SRO) – Supervisor de Turno: Licenciado por la NRC. Supervisa al RO. Tiene autoridad independiente para activar el SCRAM: puede ordenar un apagado de emergencia independientemente de las instrucciones de cualquier otra persona, incluida la gerencia.

- Técnico de Protección Radiológica (RP) / Oficial de Física de la Salud: Monitorea los niveles de radiación, gestiona la dosimetría personal, autoriza el acceso a áreas controladas y registra las dosis acumuladas.

Autoridad SCRAM independiente:

El supervisor de turno tiene autoridad legal para iniciar un apagado de emergencia en cualquier momento, basándose en su juicio profesional, sin requerir aprobación de la gerencia. Esto es un requisito regulatorio según 10 CFR 50.54(x). La lección de TMI: los operadores deberían haber tenido la capacitación y autoridad para reconocer rápidamente un escenario de pérdida anormal de refrigerante y realizar un SCRAM con confianza. En cambio, se confundieron por indicadores contradictorios e intentaron "arreglar" los síntomas en lugar de reconocer la condición subyacente.

Integridad de dos personas (TPI):

Operaciones específicas: particularmente el manejo de combustible, la manipulación de barras de control durante ciertas pruebas y el acceso a ciertas áreas vitales: requieren dos personas calificadas presentes y observándose mutuamente. Ninguna persona puede completar la operación sola. Los controles físicos (interruptores de llave que requieren dos llaves simultáneas, enclavamientos) hacen cumplir esto en lugar de depender del cumplimiento de procedimientos. TPI previene errores individuales y sabotaje.

Límites de turno: gestión de la fatiga:

Según 10 CFR 26 (Aptitud para el Servicio): la duración máxima del turno es de 12 horas. El período mínimo de descanso entre turnos es de 8 horas. El máximo de horas por semana es de 54 horas (72 en emergencias con autorización de la gerencia). Estos límites existen porque la privación de sueño afecta significativamente la toma de decisiones: de la misma manera que el alcohol: y las operaciones nucleares requieren alerta sostenida.

Requisitos de formación:

- Programa de formación certificado por la NRC en un simulador de alcance completo específico de la planta

- Licencia inicial: examen escrito (aprobado/suspenso, opción múltiple y ensayo) + prueba operativa (evaluación práctica por un examinador autorizado por la NRC)

- Recalificación: examen escrito anual, examen operativo bienal en simulador

- Simulacros de emergencia evaluados: simulacros trimestrales durante el turno, ejercicio anual de respuesta a emergencias a gran escala con participación estatal y del condado

Procedimientos de Operación de Emergencia (EOP):

Procedimientos basados en síntomas, aprobados por la NRC. En lugar de 'si ves el Evento X, haz Y', los EOP modernos dicen 'si observas estos síntomas (alta presión + bajo nivel + temperatura creciente), entra en este procedimiento'. Este enfoque: desarrollado después de TMI: es más robusto porque los operadores responden a lo que observan en lugar de lo que piensan que lo causó.

Diseño de la sala de control: monitoreo post-accidente independiente del DCS:

Los instrumentos de monitoreo post-accidente deben ser legibles desde la sala de control incluso si el sistema de control digital de la planta (DCS) falla completamente. Estos son pantallas dedicadas con cableado directo: medidores analógicos o pantallas digitales calificadas con alimentación y rutas de señal separadas.

Diseña Tu Sistema de Supervisión Humana

La supervisión humana es un sistema de seguridad. Diseñarlo con el mismo rigor que tus bucles de enfriamiento.

Selección del Sitio y Diseño contra Peligros Externos

Sección 8: Ubicación y Diseño Civil

El sitio determina los peligros externos que su planta debe soportar. La NRC exige un análisis completo de peligros externos como parte del FSAR (Informe Final de Análisis de Seguridad).

Diseño sísmico: Terremoto de Parada Segura (SSE):

Cada sitio de planta tiene un Terremoto de Parada Segura (SSE): el terremoto máximo para el que la planta está diseñada para sobrevivir mientras logra y mantiene la parada segura. Las estructuras relacionadas con la seguridad (edificio del reactor, edificio de control, edificios del ECCS, edificios del EDG) deben ser Categoría Sísmica I: diseñadas para resistir el SSE y permanecer funcionales. El SSE se determina a partir de un análisis probabilístico de peligros sísmicos (PSHA) con un objetivo de probabilidad de excedencia anual de 10⁻⁴: un evento con período de retorno de 10 000 años. El terremoto de diseño de Fukushima fue de magnitud 6,1; el terremoto real fue de 9,0. Nunca subestime el SSE.

Inundación: Inundación Máxima Probable (PMF):

La PMF es la inundación máxima que podría ocurrir en el emplazamiento según el análisis meteorológico e hidrológico. La elevación del nivel de la planta debe estar por encima del nivel de la PMF, o la planta debe contar con barreras contra inundaciones (muros, puertas, escotillas) clasificadas para la PMF. Lección crítica de Fukushima: el muro marítimo se diseñó para 5,7 metros; el tsunami real alcanzó 15 metros. El cálculo de la PMF debe ser conservador.

Peligros externos: impacto de aeronaves, viento extremo, explosiones externas:

- Impacto de aeronaves: tras el 9/11, la NRC exige que las grandes centrales comerciales evalúen (no necesariamente diseñen para) el impacto de aeronaves. Los nuevos diseños como el AP1000 y el EPR incluyen resistencia al impacto de aeronaves en el diseño de la contención y la sala de control.

- Viento extremo / tornado: tornado de diseño base para cada región del emplazamiento según la Guía Regulatoria 1.76. Protección contra proyectiles: los proyectiles de tornado (postes de servicios públicos, automóviles) no deben poder penetrar las estructuras relacionadas con la seguridad.

- Explosiones externas: debe evaluarse la proximidad a plantas químicas, terminales de GNL, oleoductos o líneas ferroviarias con carga peligrosa.

Límite del Área de Exclusión (EAB): 10 CFR 100:

El EAB es el radio mínimo alrededor de la planta dentro del cual el operador tiene control de la tierra. Durante las dos horas siguientes a un accidente en el peor caso, la dosis de radiación en el EAB no debe exceder 25 rem cuerpo completo (TEDE). Este límite impulsa el diseño del confinamiento y el retroceso del límite del sitio. Una planta más grande con un término fuente más grande requiere un EAB más grande.

Zonas de Planificación de Emergencias (EPZ):

Dos zonas alrededor de cada planta nuclear:

- EPZ de vía de exposición por pluma: aproximadamente radio de 10 millas. Acciones protectoras: evacuación, refugio en el lugar, distribución de yoduro de potasio, planes de control de tráfico.

- EPZ de vía de ingestión: aproximadamente radio de 50 millas. Acciones protectoras: restricciones al consumo de alimentos y agua, monitoreo de cultivos y productos lácteos.

El tamaño de la EPZ no se determina únicamente por el tamaño de la planta: está fijado por la regulación de la NRC para todos los reactores comerciales (con algo de flexibilidad para SMR muy pequeños). Los planes de emergencia deben desarrollarse y ejercitarse con gobiernos estatales y locales.

Defiende tu sitio

Ahora justifica tus elecciones de diseño de sitio y civil.

Proceso de Licenciamiento de la NRC

Sección 9: Vía de Licenciamiento

Construir un reactor sin licencia es ilegal en Estados Unidos. El proceso de licenciamiento de la NRC según 10 CFR Parte 52 está diseñado para detectar problemas de seguridad en el papel: antes de verter el concreto. También es el mecanismo mediante el cual el público, los intervinientes y el personal técnico de la NRC cuestionan y mejoran el diseño.

10 CFR Parte 52: Licencia Combinada (COL):

La principal vía de licenciamiento moderno. Un COL combina el permiso de construcción y la licencia de operación en un solo procedimiento. El solicitante demuestra que el diseño cumple con los requisitos de la NRC y que el sitio es aceptable. La NRC emite el COL antes de la construcción. Durante la construcción, las Inspecciones, Pruebas, Análisis y Criterios de Aceptación (ITAAC) verifican que lo construido coincida con el diseño licenciado.

Certificación de Diseño (DC):

Un diseño de reactor puede ser certificado por la NRC de manera independiente de cualquier sitio específico. Una Certificación de Diseño dura 15 años. Una vez certificado, una utilidad que construye una planta COL puede referenciar la DC y no necesita re-litigar el diseño estándar. El AP1000 y el ABWR son diseños certificados. Los diseñadores de SMR (NuScale, GEH BWRX-300, Kairos, TerraPower) están persiguiendo certificaciones de diseño para sus tecnologías.

Informe Final de Análisis de Seguridad (FSAR): 17 Capítulos:

El FSAR es el documento técnico en el corazón de cada solicitud de licencia. Describe la planta y demuestra que cumple con todos los requisitos de la NRC. Capítulos clave:

- Capítulo 1: Introducción y descripción general

- Capítulo 2: Características del sitio (sísmicas, inundaciones, meteorología, población)

- Capítulo 4: Reactor (diseño del combustible, física del núcleo, termohidráulica)

- Capítulo 5: Sistema de refrigeración del reactor (circuito primario, límite de presión, ECCS)

- Capítulo 6: Sistemas de seguridad diseñados (contención, ECCS, control de hidrógeno)

- Capítulo 7: Instrumentación y control

- Capítulo 8: Alimentación eléctrica (exterior, interior, baterías, FLEX)

- Capítulo 9: Sistemas auxiliares

- Capítulo 13: Conducta de las operaciones (organización, formación, POEs)

- Capítulo 15: Análisis de accidentes (accidentes de base de diseño: LOCA, ruptura de la línea principal de vapor, eyección de barras de control, etc.)

- Capítulo 16: Especificaciones técnicas (límites operativos y requisitos de vigilancia)

Evaluación Probabilística de Riesgos (PRA):

Un análisis cuantitativo de seguridad que calcula la probabilidad de daño al núcleo y de liberación temprana grande. Dos métricas clave:

- Frecuencia de Daño al Núcleo (CDF): probabilidad por año de reactor de daño al núcleo. Meta de la NRC: < 1×10⁻⁴/año-reactor. Objetivos de reactores avanzados: < 1×10⁻⁵/año-reactor.

- Frecuencia de Liberación Temprana Grande (LERF): probabilidad por año de reactor de una liberación grande y temprana de radiactividad antes de que se puedan tomar acciones de protección. Meta de la NRC: < 1×10⁻⁵/año-reactor.

La PRA también identifica las secuencias de accidentes más importantes (contribuyentes dominantes a la CDF) y los sistemas y componentes más importantes (medidas de importancia): esto orienta los recursos de mantenimiento, pruebas y mejoras de diseño.

ITAAC: Inspecciones, Pruebas, Análisis y Criterios de Aceptación:

Para cada sistema y estructura relacionados con la seguridad, la COL especifica los ITAAC: qué debe inspeccionarse, probarse o analizarse, y cuál es el criterio de aceptación. Antes de que la NRC autorice la carga de combustible, todos los ITAAC deben completarse e informarse. Si un ITAAC falla, la planta no puede ponerse en marcha hasta que se corrija y el ITAAC se apruebe.

Construcción y Pruebas Pre-Operacionales:

Una vez emitida la COL, comienza la construcción. La NRC inspecciona la construcción bajo los Criterios de Inspección, Pruebas, Análisis y Aceptación (ITAAC). Las pruebas pre-operacionales verifican que cada sistema cumple con su especificación de diseño antes de cargar el combustible. La autorización para la carga de combustible requiere que el personal de la NRC determine que todos los ITAAC se han cumplido.

Traza tu Ruta de Licenciamiento

Recorra el camino de licenciamiento para su diseño de reactor específico.

Presenta tu Diseño Completo

Sección 10: Revisión Final del Diseño

Has diseñado todos los sistemas principales de una central nuclear. Ahora presenta tu diseño completo: tal como lo haría un Director de Operaciones Nucleares ante el Comité de Revisión de Seguridad de la NRC.

Tu diseño debe demostrar:

Redundancia triple completa para las cuatro funciones de seguridad:

1. Refrigeración: tres bucles (RHR activo, ECCS activo con acumuladores pasivos, PRHR pasivo o piscina)

2. Parada: tres sistemas (barras de control, boración de emergencia, drenaje pasivo de absorbedor)

3. Alimentación: tres fuentes (red eléctrica exterior, generadores diésel de emergencia, baterías de la central) más FLEX

4. Monitorización: tres canales independientes (A/B/C) con votación 2-de-3, monitorización post-accidente

Características de seguridad pasiva:

- Coeficiente Doppler negativo (siempre presente en el combustible de uranio)

- Coeficiente de moderador/void negativo para su tipo de reactor

- Eliminación pasiva del calor de decaimiento (circulación natural o piscina)

- Gestión de accidentes severos (IVR, captador de núcleo o drenaje MSR a subcrítico)

- Gestión de hidrógeno (PARs distribuidos en la contención)

Supervisión humana:

- Tres roles cualificados en sitio 24/7

- Integridad de dos personas con aplicación física

- Límites de turnos compatibles

- Entrenamiento en simulador específico de la planta

- POEs basados en síntomas

Ubicación:

- Base de diseño sísmico (SSE, estructuras Categoría I sísmica)

- Protección contra inundaciones (PMF o barreras)

- Límite de dosis en la EAB (25 rem TEDE)

- EPZ (pluma de 10 millas, zona de ingestión de 50 millas)

La prueba histórica:

Su diseño debe mostrar cómo previene los modos específicos de fallo de TMI, Chernobyl y Fukushima.

- TMI: Mejor monitoreo post-accidente (nivel RCS directo), EOP basados en síntomas, operadores capacitados

- Chernobyl: Coeficiente de vacío negativo (sin efecto de scram positivo), autoridad SCRAM independiente, no se permite la desactivación de sistemas de seguridad por parte del operador

- Fukushima: Enfriamiento pasivo (sin necesidad de energía AC), equipo FLEX elevado, combustible diésel para 14 días, sitio por encima del PMF

Revisión Completa del Diseño

Esta es tu defensa de diseño. Responde completamente: cada omisión será cuestionada.

Cómo tu diseño previene TMI, Chernóbil y Fukushima

Sección 11: Previniendo el Pasado

Los tres grandes accidentes nucleares definieron los requisitos modernos de seguridad de reactores. Cada sistema de redundancia que diseñaste tiene un ancestro específico en uno de estos accidentes.

Three Mile Island (TMI), 1979: Pensilvania, EE.UU.:

Una válvula de alivio accionada por piloto (PORV) que permaneció abierta permitió que el refrigerante primario se drenara durante horas. La luz indicadora mostraba que la válvula había sido COMANDADA a cerrarse, no que realmente estaba cerrada. Los operadores, confundidos por indicadores contradictorios, redujeron la inyección del ECCS porque pensaron que el sistema se estaba sobrellenando. El núcleo quedó descubierto, se sobrecalentó y se fundió parcialmente.

Lecciones: (1) Monitoreo directo post-accidente: los operadores deben poder ver la posición real de la válvula, el nivel real de refrigerante y la temperatura real del núcleo. (2) EOP basados en síntomas: los operadores responden a lo que observan, no a lo que creen que lo causó. (3) Mejor capacitación de operadores en reconocimiento y respuesta a accidentes.

Chernóbil, 1986: RSS de Ucrania, URSS:

Se realizó una prueba de seguridad con el reactor a baja potencia (región inestable) y con múltiples sistemas de seguridad desactivados o puenteados. El reactor RBMK tenía un gran coeficiente de vacío positivo: a medida que el refrigerante hervía, la reactividad aumentaba. Cuando los operadores intentaron apagar el reactor, las barras de control con puntas de grafito provocaron un breve aumento de potencia (efecto de scram positivo). Una excursión de potencia de aproximadamente 30 000 MW destruyó el reactor en una explosión de vapor y un incendio de grafito.

Lecciones: (1) Ningún coeficiente de vacío positivo en reactores comerciales. (2) Los sistemas de seguridad no deben poder ser puenteados durante las operaciones normales. (3) Autoridad independiente de SCRAM: ningún director de prueba puede anular el juicio de seguridad del supervisor de turno. (4) Capacitación de operadores en física de reactores, no solo en seguimiento de procedimientos.

Fukushima Daiichi, 2011: Japón:

Un terremoto de magnitud 9.0 provocó un tsunami de 15 metros que inundó y destruyó los generadores diésel de emergencia en Fukushima Daiichi. Sin alimentación de CA y con los diéseles destruidos, el calor de decaimiento hizo hervir el refrigerante en las Unidades 1, 2 y 3. El hidrógeno producido por la reacción Zircaloy-vapor explotó en los edificios de los reactores. Tres núcleos se fundieron en 72 horas. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

Lecciones: (1) Refrigeración pasiva que no requiere energía. (2) Diéseles y baterías ubicados por encima del nivel de inundación o protegidos contra inundaciones. (3) Equipo portátil FLEX ubicado en lugares diversos y accesibles. (4) La base de diseño PMF debe ser conservadora. (5) Se debe diseñar para un apagón prolongado de la estación: no solo analizarlo. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

[BLOCK_TYPE TITLE historical_lessons/history_question]

Conecta tu diseño con la historia [BLOCK_TYPE CONTENT historical_lessons/history_question]

Esta es la pregunta final del proyecto final. [BLOCK_TYPE QUESTION historical_lessons/history_question]