Definisi IAEA

Pertahanan dalam Kedalaman: Filosofi Penyelenggara

Badan Energi Atom Internasional (IAEA) mendefinisikan pertahanan dalam kedalaman sebagai pendekatan keselamatan berlapis-lapis, di mana setiap lapisan berfungsi sebagai cadangan bagi lapisan sebelumnya. Tidak ada lapisan tunggal yang diasumsikan sempurna. Kasus keselamatan bergantung pada memiliki beberapa lapisan independen, sehingga tidak ada kegagalan tunggal: dan tidak ada kombinasi kegagalan tunggal dari penyebab akar tunggal: yang dapat menyebabkan bahaya.

Pertahanan dalam kedalaman beroperasi pada setiap skala:

Penghalang fisik: matriks bahan bakar → pelapisan bahan bakar → wadah tekanan reaktor → bangunan kontainmen → bangunan reaktor (4-5 batas fisik antara bahan bakar & lingkungan)

Sistem keselamatan: setiap fungsi (pendinginan, penutupan, daya) dilakukan oleh setidaknya 3 rangkaian independen

Prosedur: prosedur tertulis mengatur setiap evolusi; prosedur abnormal & darurat untuk setiap kejadian dasar desain

Operator: berlisensi, terlatih, berkualifikasi, istirahat cukup; wewenang independen untuk memulai penutupan

Manajemen: budaya keselamatan nuklir, pengawasan regulasi, tinjauan keselamatan independen

Regulasi: persyaratan dasar desain NRC 10 CFR 50, operasi berlisensi, inspeksi berkala

Prinsip kunci: Tidak ada kredit untuk lapisan yang gagal. Jika Anda tidak dapat mengonfirmasi bahwa penghalang utuh, Anda mengasumsikannya tidak. Seluruh sistem dirancang untuk aman dengan satu komponen aktif yang gagal: ini disebut kriteria kegagalan tunggal.

Redundansi, Diversitas, dan Independensi

Tiga Properti yang Membuat Pertahanan Nyata

Sistem keselamatan nuklir harus memenuhi tiga properti yang berbeda. Membingungkannya adalah kesalahan umum & berbahaya.

Redundansi berarti memiliki lebih dari satu hal yang sama. Tiga generator diesel adalah redundan. Tetapi jika semuanya berbagi tangki bahan bakar yang sama, logika start yang sama, atau ruangan fisik yang sama, redundansi saja tidak melindungi dari kegagalan penyebab umum.

Diversitas berarti menggunakan prinsip fisik yang berbeda atau peralatan yang berbeda untuk melakukan fungsi yang sama. Pompa injeksi tekanan tinggi dan akumulator bertekanan nitrogen keduanya mengirimkan air ke inti: tetapi mereka bekerja pada prinsip yang sepenuhnya berbeda. Diversitas mengalahkan mode kegagalan yang akan mengalahkan semua salinan redundan dari satu desain.

Kemandirian berarti bahwa kegagalan satu rangkaian tidak dapat menyebabkan atau mencegah operasi rangkaian lainnya. Kemandirian memerlukan:

- Bus daya terpisah (penyediaan listrik yang berbeda)

- Pemisahan fisik (penghalang, bangunan berbeda, sisi berlawanan reaktor)

- Logika aktuator terpisah (hubungan singkat di Rangkaian A tidak dapat menonaktifkan Rangkaian B)

- Instrumentasi terpisah (sensor Rangkaian A tidak memberi umpan ke aktuator Rangkaian B)

Kegagalan penyebab umum (CCF) adalah skenario mimpi buruk: satu peristiwa menonaktifkan beberapa rangkaian redundan secara bersamaan. Fukushima adalah contoh utama: tsunami bukan hanya kehilangan daya luar. Ia secara bersamaan menonaktifkan ketiga generator diesel darurat karena semuanya berada di bangunan rendah yang sama. Redundansi tanpa kemandirian hanyalah ilusi.

Kriteria Kegagalan Tunggal

Kriteria kegagalan tunggal NRC (10 CFR 50, Appendix A, General Design Criterion 17) menyatakan bahwa sistem keselamatan harus dirancang sedemikian rupa sehingga tidak ada kegagalan komponen aktif tunggal yang mencegah sistem melakukan fungsi keselamatannya.

Kegagalan 'aktif' adalah kegagalan yang memerlukan perubahan keadaan: pompa gagal menyala, katup gagal terbuka.

Kegagalan 'pasif' (misalnya, retak pada pipa) ditangani oleh persyaratan desain terpisah.

Mengapa Tiga Rangkaian?

Setiap Sistem Kritis Keselamatan: Tiga Rangkaian Independen

Aturan redundansi tiga kali lipat bukan sekadar 'tiga lebih aman daripada dua.' Ini adalah persyaratan teknik yang tepat dengan sifat-sifat khusus.

Setiap kereta harus mampu menangani 100% fungsi keselamatan secara independen. Jika Kereta A menangani pendinginan, ia menangani seluruh pendinginan yang diperlukan. Kereta B dan C bukan kontributor parsial: mereka adalah cadangan penuh.

Kereta harus dipisahkan secara fisik. Bangunan berbeda, atau minimal dipisahkan oleh penghalang api. Rute kabel berbeda. Jalur pipa berbeda. Jika kebakaran, banjir, atau ledakan memengaruhi satu kereta, itu tidak boleh mencapai kereta lainnya.

Kereta harus memiliki pasokan daya terpisah. Bus listrik berbeda yang diberi daya dari sumber berbeda. Kereta A pada Bus A, Kereta B pada Bus B, Kereta C pada Bus C: setiap bus dengan diesel daruratnya sendiri.

Kereta harus memiliki logika aktuator terpisah. Kegagalan relai di sirkuit aktuator Kereta A tidak boleh mencegah Kereta B untuk beraktuasi. Idealnya, mereka menggunakan prinsip aktuator yang berbeda sepenuhnya (keragaman).

Mengapa tiga dan bukan dua? Dengan tiga kereta, logika pemungutan suara dua-dari-tiga berarti kegagalan satu komponen tunggal masih menyisakan dua kereta yang berfungsi: Anda mendapatkan kriteria kegagalan tunggal DAN perlindungan terhadap kegagalan penyebab umum. Dengan dua kereta, kegagalan tunggal menyisakan satu kereta: tidak ada margin, tidak ada pertahanan terhadap kegagalan kedua.

Keragaman vs. Redundansi

Pertimbangkan sistem pendingin darurat inti PWR. Satu pendekatan: tiga pompa injeksi tekanan tinggi yang identik, masing-masing didukung oleh generator diesel terpisah, di ruangan terpisah.

Pendekatan kedua: satu pompa injeksi tekanan tinggi, ditambah satu akumulator bertekanan nitrogen yang tidak memerlukan daya, ditambah satu tangki air yang dialirkan oleh gravitasi dari waduk yang ditinggikan.

Kedua pendekatan menyediakan tiga cara untuk mengirimkan air ke inti.

ECCS: Garis Pertahanan Terakhir Inti

Sistem Pendingin Darurat Inti

Kecelakaan dasar desain untuk PWR adalah kecelakaan kehilangan pendingin (LOCA): pecahnya sistem pendingin reaktor yang memungkinkan pendingin primer keluar. LOCA besar dapat membuka inti dalam hitungan detik. Tanpa genangan segera, suhu selimut bahan bakar naik di atas 2.200°F, zircaloy teroksidasi, dan kerusakan bahan bakar dimulai.

ECCS untuk PWR tipikal memiliki empat subsistem, masing-masing beroperasi pada fase berbeda dari kecelakaan:

Sistem Injeksi Tekanan Tinggi (HPIS): Aktivasi segera pada tekanan pendingin reaktor rendah atau tekanan kontenmen tinggi. Menyuntikkan air berboron ke dalam sistem pendingin reaktor saat tekanan masih tinggi (di atas ~200 psi). Menggunakan pompa motor-driven yang didukung oleh diesel darurat. Laju alir: 500-1.500 gpm tergantung desain.

Akumulator (juga disebut Tangki Banjir Inti): Tangki pasif bertekanan nitrogen yang berisi air berboron. Menyuntikkan secara otomatis ketika tekanan pendingin reaktor turun di bawah tekanan nitrogen (biasanya 600-700 psi). Tidak memerlukan daya: tekanan nitrogen mendorong air ke dalam inti. Setiap akumulator menampung ~1.000 galon.

Sistem Injeksi Tekanan Rendah (LPIS): Aktivasi pada tekanan rendah (<200 psi). Menyediakan laju alir besar (ribuan gpm) untuk LOCA patah besar. Setelah tangki penyimpanan air pengisian bahan bakar (RWST) kosong, sistem beralih ke resirkulasi sump: mendaur ulang air dari sump kontenmen kembali melalui inti. Harus berlanjut selama berminggu-minggu (penghilangan panas peluruhan).

Penghilang Panas Sisa (RHR): Juga disebut sistem Penghilang Panas Peluruhan. Tujuan utama: menghilangkan panas peluruhan setelah reaktor mencapai penutupan dingin. Beroperasi pada tekanan rendah & suhu rendah, mendaur ulang pendingin melalui penukar panas. Juga menyediakan kemampuan injeksi tekanan rendah.

Sistem Penyemprot Inti BWR: Reaktor air mendidih menggunakan nosel penyemprot inti di atas bahan bakar yang menyemprotkan air langsung ke bundel bahan bakar: geometri yang berbeda dibandingkan pembanjiran PWR.

Kurva Panas Peluruhan

Kurva panas peluruhan adalah salah satu angka terpenting dalam keselamatan nuklir. Setelah reaktor dimatikan:

- t = 0 detik: ~7% dari daya terukur (240 MW untuk reaktor 3.400 MW)

- t = 1 menit: ~3,5%

- t = 1 jam: ~1% (~34 MW)

- t = 1 hari: ~0,3% (~10 MW)

- t = 1 minggu: ~0.1%

- t = 1 tahun: bahan bakar masih menghasilkan panas yang terukur dari isotop jangka panjang

Sepuluh megawatt panas, yang berlangsung tanpa batas waktu, tanpa daya untuk menjalankan pompa pendingin. Inilah situasi persis di Fukushima Daiichi pada 11 Maret 2011.

ECCS Pasif: Desain AP1000

Generasi Berikutnya: Keselamatan Pasif

Westinghouse AP1000 (Advanced Passive 1000 MWe) mengambil pelajaran dari ECCS aktif & membalikkan filosofi desain: alih-alih tiga rangkaian pompa yang membutuhkan daya, semua fungsi keselamatan bergantung pada gravitasi, sirkulasi alami, gas terkompresi, & penguapan.

Tangki Isi Inti (CMT): Dua tangki besar berisi air borat dingin yang dipasang di atas reaktor. Biasanya terisolasi. Saat diaktifkan, mereka mengalirkan air secara gravitasi ke sistem pendingin reaktor. Setiap tangki memiliki cukup air untuk menjaga inti tertutup selama berjam-jam.

Akumulator: Sama seperti pembangkit konvensional: ditekan nitrogen, injeksi pasif.

Tangki Penyimpanan Air Pengisian Bahan Bakar di Dalam Kontenmen (IRWST): Kolam air besar di dalam gedung kontenmen, di atas reaktor. Didorong gravitasi. Menyediakan pendinginan jangka panjang setelah CMT kosong. Tidak ada pompa. Tidak ada daya.

Penukar Panas Penghilang Panas Sisa Pasif (PRHR HX): Terbenam di IRWST. Sirkulasi alami membawa panas peluruhan dari reaktor ke air IRWST, yang memanas, mendidih, & mengalirkan ke atmosfer melalui cerobong. Tidak ada pompa. Sepenuhnya pasif.

Jendela 72 jam: Kasus keselamatan AP1000 menunjukkan 72 jam pendinginan inti tanpa tindakan operator & tanpa daya. Setelah 72 jam, operator dapat mengisi ulang IRWST dengan air dari sumber apa pun.

Keragaman desain ini: pasif vs. aktif: adalah alasan mengapa keragaman penting. Sistem keselamatan AP1000 tidak dapat dikalahkan oleh mode kegagalan yang menghancurkan Fukushima.

[TITLE containment/]

Penghalang Fisik Terakhir

Kontainment: Batas Akhir

Jika setiap sistem keselamatan lainnya gagal & bahan bakar rusak, kontainment adalah penghalang terakhir antara material radioaktif & masyarakat umum. Ia harus bertahan: terhadap tekanan internal dari uap, terhadap pembakaran hidrogen, terhadap dampak misil dari peralatan yang gagal, & selama yang diperlukan.

Kontainment kering PWR: Struktur beton bertulang berlapis baja, biasanya berdiameter 140 kaki & setinggi 200 kaki. Dirancang untuk menahan tekanan uap dari patah guillotine dua ujung lengkap pada pipa pendingin primer terbesar (tekanan desain ~60 psi). Liner baja adalah batas tekanan; beton memberikan kekuatan struktural & pelindung biologis.

Ice condenser containment: Desain containment PWR yang lebih kecil, bertekanan rendah (digunakan di beberapa pembangkit Westinghouse) yang menggunakan ratusan ton es untuk menyerap energi uap & menjaga tekanan containment rendah pada LOCA. Memungkinkan struktur yang lebih kecil, lebih murah tetapi memerlukan pemeliharaan es secara berkala.

Double containment: Beberapa desain menempatkan containment baja dalam di dalam bangunan containment sekunder beton luar. Ruang di antara keduanya dijaga pada tekanan negatif ringan sehingga kebocoran apa pun dari containment dalam dikumpulkan & disaring sebelum dilepaskan.

BWR containment: Mark I, II, III: Containment BWR General Electric lebih kecil karena menggunakan kolam penekanan tekanan (torus atau wetwell) untuk mengembunkan uap dengan cepat. Mark I (desain Fukushima) adalah pengaturan drywell-torus: torus adalah kolam air berbentuk donat besar di bawah drywell. Kelemahan: torus terpasang di bagian bawah drywell. Jika torus gagal, containment gagal. Inilah yang persis terjadi di Unit 1 Fukushima.

Passive autocatalytic recombiners (PAR): Pasca-Fukushima, sebagian besar containment sekarang dilengkapi PAR: perangkat yang berisi material katalitik (palladium atau platinum) yang bereaksi hidrogen dengan oksigen untuk membentuk air, tanpa pengapian, pada konsentrasi rendah. Ini mencegah akumulasi hidrogen yang dapat menyebabkan deflagrasi atau detonasi.

Ventilasi containment yang disaring: Persyaratan pasca-Fukushima di Eropa & semakin di AS: jalur ventilasi yang diperkuat dengan sistem filter multi-tahap (venturi scrubber + metal fiber filter) yang memungkinkan operator untuk sengaja melepaskan tekanan containment sambil mempertahankan >99,9% radioaktivitas partikulat. Ini mencegah kegagalan containment yang tidak terkendali akibat tekanan berlebih.

Design Basis dan Beyond Design Basis

Apa yang Containment Dirancang Untuk

Design basis accidents (DBA): NRC mensyaratkan containment untuk bertahan terhadap semua skenario ini secara bersamaan:

- Large-break LOCA: pemutusan total pipa pendingin primer terbesar, pelepasan pendingin maksimum

- Loss of offsite power (LOOP) bersamaan dengan LOCA: tidak ada daya jaringan saat paling dibutuhkan

- Main steam line break: pelepasan uap berenergi tinggi di dalam containment

- Fuel handling accident: perakitan bahan bakar jatuh, pelepasan produk fisi dari bahan bakar yang rusak

Beyond design basis events (BDBA): Pasca-9/11 & pasca-Fukushima, pembangkit juga harus mengatasi:

- Station blackout (SBO): kehilangan daya AC total yang berkepanjangan (persyaratan pasca-TMI, diperkuat pasca-Fukushima)

- Flooding beyond design basis: Fukushima menunjukkan bahwa ketinggian banjir desain terlalu rendah

- Aircraft impact: NRC mensyaratkan analisis pasca-9/11 terhadap dampak pesawat yang disengaja; pembangkit baru harus menunjukkan ketahanan struktural

- Spent fuel pool loss of cooling: kolam penyimpanan bahan bakar bekas Unit 4 Fukushima hampir kering mendidih; persyaratan pasca-Fukushima menambahkan sambungan makeup SFP khusus

Kerentanan Mark I

Fukushima Daiichi Unit 1, 2, & 3 semuanya menggunakan kontainmen General Electric Mark I. Mark I menggunakan drywell (bejana baja berbentuk bohlam lampu yang mengelilingi reaktor) yang terhubung ke kolam penekan toroidal (torus) melalui downcomer. Uap dari drywell dialirkan ke air torus untuk kondensasi.

Selama kecelakaan, torus di Unit 2 diyakini mengalami kerusakan, sehingga produk fisi dapat keluar langsung ke gedung reaktor & kemudian ke atmosfer tanpa melewati batas kontainmen secara penuh.

Sistem Penghentian

Kontrol Reaktivitas: Tiga Jalur Independen untuk Penghentian

Sebuah reaktor harus dapat dimatikan & tetap mati dalam kondisi apa pun. Tidak ada kegagalan tunggal yang boleh mencegah penghentian. Kriteria desain umum (GDC 26) mensyaratkan dua sistem kontrol reaktivitas independen, masing-masing mampu menjaga reaktor subkritis.

Mekanisme penggerak batang kendali (CRDMs):

- PWR magnetic jack CRDMs: Batang kendali dipegang oleh elektromagnet. Saat kehilangan daya (sinyal SCRAM atau kehilangan daya), magnet kehilangan energi & batang jatuh karena gravitasi ke dalam inti. Fail-safe: daya diperlukan untuk menjaga batang KELUAR. Kehilangan daya = penyisipan otomatis.

- BWR hydraulic CRDMs: Batang didorong dari bawah oleh air bertekanan tinggi. Penyisipan darurat menggunakan nitrogen bertekanan tinggi untuk mendorong batang masuk dengan cepat. Beberapa desain BWR juga memiliki cadangan listrik untuk penyisipan batang.

Alternate Rod Insertion (ARI): Jalur sinyal listrik terpisah dan beragam yang dapat menyisipkan batang kendali secara independen dari logika SCRAM normal. Digunakan jika sirkuit SCRAM normal gagal.

Anticipated Transient Without Scram (ATWS): Skenario regulasi di mana batang kendali gagal menyisip saat diminta. Sistem mitigasi ATWS (ATWS-MF) menyediakan penyuntikan boron secara independen dari SCRAM normal: biasanya penyuntikan boron bertekanan tinggi otomatis yang dipicu oleh set sensor terpisah.

Boronasi darurat:

- Injeksi boron bertekanan tinggi dari standpipe terpisah (terpisah dari pengisian normal)

- Boronasi darurat melalui jalur injeksi boron ECCS

- Boronasi manual dari tangki penyimpanan asam borat

Desain pasif: reaktor CANDU: CANDU memiliki dua sistem shutdown yang sepenuhnya independen: (1) batang shutoff mekanis yang jatuh karena gravitasi, dan (2) injeksi bertekanan tinggi larutan gadolinium nitrat ke dalam moderator: sirkuit fisik terpisah. Kedua sistem ini independen dalam segala hal: logika aktuasi berbeda, sistem fisik berbeda, dan prinsip kerja berbeda.

Analisis ATWS

Saat pengujian pada tahun 1979 di Three Mile Island Unit 2, kesalahan perawatan menyebabkan reaktor trip (SCRAM) gagal terjadi selama pengujian. Kejadian tersebut cepat terdeteksi. Namun hal ini mendorong NRC untuk mewajibkan sistem mitigasi ATWS di semua pembangkit: karena sistem yang 'mustahil gagal' ternyata bisa gagal.

Suatu peristiwa ATWS pada PWR: daya reaktor melonjak. Batang kendali gagal masuk. Borasi darurat menjadi garis pertahanan terakhir.

Arsitektur Tenaga Tiga Lapisan

Tenaga Listrik Pembangkit Nuklir: Tiga Lapisan Independen

Sebuah pembangkit nuklir harus mempertahankan tenaga untuk sistem keselamatannya terlepas dari apa yang terjadi pada jaringan atau peralatan pembangkitannya sendiri. Arsitektur tenaga memiliki tiga lapisan:

Lapisan 1: Operasi normal: Pembangkit menghasilkan tenaganya sendiri dari turbin generator utama. Beban tambahan (pompa, kipas, kontrol) diberi tenaga dari output pembangkit sendiri melalui transformator tambahan unit.

Lapisan 2: Daya luar lokasi (sumber AC yang disukai): Jika generator utama trip, pembangkit menghubungkan ke jaringan melalui transformator startup/reserve. NRC mensyaratkan setidaknya dua saluran transmisi independen dari gardu induk yang berbeda: sehingga satu kegagalan transmisi tidak dapat menyebabkan kehilangan total daya luar lokasi.

Lapisan 3: Generator diesel darurat (EDGs): Jika daya luar lokasi hilang, EDGs mulai secara otomatis dan membebani bus keselamatan dalam 10 detik. Persyaratan NRC:

- Setiap EDG harus mencapai tegangan & frekuensi rating dalam 10 detik setelah menerima sinyal start

- Penyimpanan bahan bakar: minimum 7 hari pada beban penuh (NRC Regulatory Guide 1.9)

- Pengujian: uji beban bulanan + uji daya tahan 24 jam setiap 24 bulan

- Penurunan beban: beban keselamatan dihubungkan secara berurutan untuk menghindari kelebihan beban diesel saat start

Baterai stasiun: Daya DC untuk instrumentasi, panel ruang kontrol, pencahayaan darurat, sirkuit aktuator SCRAM, aktuator ATWS, & komunikasi. Harus memasok beban selama minimum 2 jam (Kelas 1E); sebagian besar pembangkit dirancang untuk 4-8 jam. Pengisi daya baterai mengembalikan baterai ketika AC kembali.

Strategi FLEX Pasca-Fukushima: Perintah NRC EA-12-049 mengharuskan semua pembangkit memiliki pompa & generator portabel yang dapat dikerahkan dalam kerangka waktu yang ditentukan terlepas dari kondisi situs. Peralatan FLEX disimpan di beberapa lokasi (beberapa di struktur kokoh, beberapa di luar situs) & dapat terhubung ke titik koneksi eksternal yang diperkuat pada sistem pendingin reaktor & kolam bahan bakar bekas.

Persyaratan Generator Diesel

Three Mile Island Unit 2, 1979: Urutan kecelakaan melibatkan trip turbin diikuti oleh kehilangan air umpan, diikuti oleh serangkaian peristiwa kompleks yang menyebabkan kerusakan inti. Generator diesel darurat menyala & berjalan dengan benar sepanjang kejadian.

Fukushima Daiichi, 2011: Gempa bumi menyebabkan SCRAM reaktor. Semua enam diesel menyala & berjalan. Kemudian tsunami datang. Diesel untuk Unit 1-3 berada di ruang basement yang banjir. Diesel untuk Unit 6 berada di lokasi yang lebih tinggi & bertahan. Unit 5 & 6 tidak mengalami kerusakan inti.

Sistem Proteksi Reaktor

Sistem Proteksi Reaktor (RPS)

Sistem Proteksi Reaktor adalah sistem otomatis yang memulai SCRAM reaktor (pemadaman cepat) ketika parameter yang dipantau melebihi batas aman. Ini adalah pertahanan otomatis pertama terhadap transien.

Parameter yang dipantau yang dapat memulai SCRAM:

- Fluks neutron tinggi (daya tinggi)

- Suhu pendingin reaktor tinggi

- Tekanan pendingin reaktor rendah (potensi LOCA)

- Tekanan kontenmen tinggi

- Aliran pendingin reaktor rendah

- Level pendingin tinggi (BWR)

- Level air sangat rendah (BWR)

- Hilangnya daya offsite

- Trip manual (diinisiasi operator)

Voting logic: Setiap parameter diukur oleh empat sensor independen, masing-masing berada di channel proteksi terpisah. SCRAM memerlukan 2 dari 4 channel melebihi setpoint. Artinya:

- Satu sensor yang gagal (pembacaan tinggi palsu) tidak dapat menyebabkan trip palsu

- Dua kanal yang melebihi setpoint memicu trip

- Satu kanal yang gagal (membaca rendah secara salah) menyisakan tiga kanal, masih mampu 2-dari-3

Sistem Aktuasi Beragam dan Khusus (DDAS): Sistem RPS digital modern memiliki cadangan analog: DDAS: yang dapat memulai fungsi keselamatan secara independen dari I&C digital. Ini menyediakan keberagaman: sistem digital dan analog dapat gagal karena alasan yang benar-benar berbeda, dan satu kegagalan tidak mencegah yang lain berfungsi.

Logika 2-dari-4 vs 2-dari-3

RPS menggunakan voting 2-dari-4 untuk memulai SCRAM (empat sensor, dua harus setuju untuk trip). Tetapi sensor individu melaporkan ke sistem aktuasi menggunakan voting 2-dari-3 dalam setiap train (tiga pengukuran, dua harus setuju untuk mengaktifkan fungsi keselamatan tertentu seperti ECCS).

Ini bukan hal yang sama, & memahami perbedaannya penting.

Minimum Staffing

Pengawasan Manusia: Lapisan yang Berpikir

Operasi pembangkit nuklir memerlukan personel berlisensi yang selalu berada di shift. NRC 10 CFR 50.54(m) menetapkan persyaratan minimum kepegawaian. Setidaknya, kru operasi mencakup:

Reactor Operator (RO): Berlisensi NRC (10 CFR 55). Mengoperasikan kontrol reaktor, main control board, & sistem keselamatan secara langsung. Harus berada di posisi kontrol secara terus-menerus selama operasi daya.

Senior Reactor Operator (SRO): Lisensi NRC yang lebih tinggi. Mengawasi RO. Memiliki wewenang independen untuk memulai penutupan. Meninjau & menyetujui tindakan RO selama kejadian abnormal. Tidak boleh menjadi orang yang sama dengan RO pada shift tersebut.

Shift Supervisor (SS): Memiliki lisensi SRO senior. Bertanggung jawab atas pelaksanaan operasi secara keseluruhan & keselamatan pembangkit selama shift. Wewenang akhir di lokasi untuk operasi pembangkit.

Shift Technical Advisor (STA): Persyaratan pasca-TMI (NUREG-0737). Seorang insinyur berlisensi yang ditugaskan untuk setiap shift khusus untuk memberikan dukungan teknis independen selama kejadian abnormal: tidak terganggu oleh pengendalian operasi, sepenuhnya fokus pada diagnosis kejadian.

Mengapa banyak orang? Pertahanan mendalam pada lapisan manusia. Seorang RO yang sedang stres, fokus pada pelaksanaan prosedur, mungkin melewatkan gambaran besar. SRO memberikan pengawasan independen. STA memberikan analisis teknis independen. Pengawas shift mempertahankan kesadaran situasional. Tidak ada kegagalan kognitif manusia tunggal yang dapat mencegah pembangkit dikendalikan dengan aman.

Alat Kinerja Manusia

Mengurangi Kesalahan Manusia: Alat Sistematis

Industri nuklir telah mengukur tingkat kesalahan manusia untuk berbagai jenis tugas. Tingkat kesalahan untuk pengambilan keputusan kompleks di bawah tekanan dapat melebihi 1 dari 10. Industri menargetkan tingkat kesalahan 1 dari 1.000 atau lebih baik untuk tugas kritis, dan mencapainya melalui alat kinerja manusia yang sistematis.

Briefing pra-pekerjaan: Sebelum tugas signifikan apa pun, briefing mencakup: tujuan tugas, bahaya, kondisi yang diharapkan, langkah-langkah untuk memverifikasi penyelesaian, kondisi berhenti (jika X terjadi, berhenti & hubungi supervisor). Memakan waktu 5-15 menit. Secara dramatis mengurangi kesalahan pelaksanaan tugas.

STAR (Stop, Think, Act, Review): Teknik pemeriksaan mandiri untuk setiap tindakan kritis. Stop: berhenti sejenak sebelum tindakan. Think: apa yang akan saya lakukan, dan apakah ini benar? Act: lakukan tindakan. Review: apakah hasilnya sesuai harapan? Jeda dua detik ini menangkap kesalahan transposisi, pemilihan katup yang salah, dan jalan pintas kognitif.

Komunikasi tiga arah: Untuk semua perintah lisan yang berkaitan dengan keselamatan: (1) Pengirim menyatakan perintah: 'Posisikan katup HV-233 ke posisi terbuka.' (2) Penerima mengulangi persis: 'Posisikan katup HV-233 ke posisi terbuka.' (3) Pengirim mengonfirmasi: 'Benar.' Kesalahan komunikasi yang tidak tertangkap dalam pertukaran ini jarang terjadi: hal ini memerlukan kedua pihak salah dengar atau salah ingat.

Two-person integrity: Untuk operasi berisiko tinggi tertentu (terkait keamanan, penanganan sumber), dua orang berlisensi harus hadir dan saling memverifikasi tindakan satu sama lain. Tidak ada satu pun yang boleh melakukan tindakan sensitif sendirian: orang kedua harus hadir secara fisik dan mengonfirmasi setiap langkah.

Manajemen kelelahan: NRC 10 CFR 26 menetapkan batasan: maksimum 16 jam kerja per hari, minimal 8 jam istirahat sebelum kembali bertugas, maksimum 54 jam per minggu, maksimum 72 jam per minggu saat lembur. Kelelahan menurunkan kemampuan pengambilan keputusan setara dengan keracunan: batasan ini bukan rekomendasi produktivitas, melainkan persyaratan keselamatan.

Prosedur Operasi Darurat

Sebelum Three Mile Island (1979), pembangkit nuklir menggunakan prosedur darurat berbasis kejadian: jika kejadian X terjadi, jalankan prosedur X. Operator harus mengidentifikasi kejadian dengan benar sebelum mengambil tindakan.

Di TMI, operator menerima indikasi yang saling bertentangan. Sebuah katup pelepas tekanan macet terbuka: ini merupakan LOCA small-break, tetapi operator salah mengidentifikasi kejadian dan mengikuti prosedur yang salah. Pada saat diagnosis yang benar dibuat, kerusakan inti yang signifikan telah terjadi.

Pasca-TMI, industri mengembangkan prosedur operasi darurat berbasis gejala (symptom-based emergency operating procedures/EOPs). Alih-alih “identifikasi kejadian, pilih prosedur”, operator mengikuti: “amati gejala, ambil tindakan perlindungan untuk gejala tersebut, terlepas dari apa yang Anda anggap sebagai kejadian.”

Kondisi masuk berbasis gejala yang utama: setiap perubahan tak terduga pada level, tekanan, atau suhu pendingin reaktor, terlepas dari penyebabnya, memicu urutan verifikasi pendinginan inti yang sama.

ALARA: As Low As Reasonably Achievable

Teknik Proteksi Radiasi

ALARA: As Low As Reasonably Achievable: bukan hanya batas dosis. Ini adalah filosofi: dosis harus ditekan serendah mungkin secara praktis, bukan hanya dijaga di bawah batas hukum. NRC mewajibkan ALARA sebagai persyaratan regulasi (10 CFR 20.1101), bukan sekadar praktik baik.

Pengelolaan dosis eksternal: tiga kontrol klasik:

- Waktu: Mengurangi waktu di medan radiasi menjadi setengah akan mengurangi dosis menjadi setengah. Urutan kerja yang direncanakan sebelumnya meminimalkan waktu yang tidak perlu di area dosis tinggi.

- Jarak: Laju dosis mengikuti hukum kuadrat terbalik. Menggandakan jarak dari sumber titik akan mengurangi laju dosis menjadi seperempat. Bekerja dari jarak enam kaki daripada tiga kaki mengurangi dosis sebesar 75%.

- Perisai: Timbal, beton, air, & polietilena melemahkan berbagai jenis radiasi. Half Value Layer (HVL) adalah ketebalan yang mengurangi intensitas menjadi setengah. HVL timbal untuk gamma tipikal: ~1 cm. HVL beton: ~6 cm. Setelah sepuluh HVL (10 TVL = Tenth Value Layer), intensitas berkurang menjadi 1/1.000 dari aslinya.

Manajemen dosis internal:

- Bahan radioaktif di dalam tubuh terus menyinari organ hingga meluruh atau dikeluarkan

- Jalur paparan: inhalasi (aerosol, gas), ingesti (makanan/air yang terkontaminasi), absorpsi melalui kulit (jarang)

- Derived Air Concentration (DAC): konsentrasi udara radionuklida yang, jika dihirup selama 2.000 jam/tahun, memberikan dosis batas okupasional. Respirator & enclosure tekanan negatif mencegah dosis inhalasi.

- Annual Limit on Intake (ALI): total intake (inhalation + ingestion) yang menghasilkan batas dosis okupasional

Batas dosis okupasional (10 CFR 20):

- 5 rem (50 mSv) per tahun total effective dose equivalent

- 3 rem (30 mSv) per kuartal

- 15 rem (150 mSv) per tahun ke lensa mata

- 50 rem (500 mSv) per tahun ke kulit atau ekstremitas

- Dose constraint untuk perencanaan ALARA: 2 rem/tahun (batas administratif khusus instalasi sering lebih rendah)

Kontrol kontaminasi:

- Kawasan Terkendali Radiologi (RCAs) memiliki akses terkendali, pemeriksaan frisking saat keluar

- Step-off pads: kertas atau plastik di pintu keluar RCA; ganti penutup sepatu di sini untuk menghindari penyebaran kontaminasi

- Penghitungan seluruh tubuh: setelah bekerja di area dengan potensi kontaminasi internal, penghitungan gamma seluruh tubuh mendeteksi penyerapan internal

- Program bioassay: analisis urin & feses mengukur dosis internal dari isotop spesifik

ALARA dalam Praktik

Seorang pekerja radiasi harus mengganti katup di area radiasi tinggi. Laju dosis di lokasi katup adalah 500 mrem/jam. Pekerjaan membutuhkan 30 menit untuk diselesaikan. Dosis tahunan pekerja hingga saat ini adalah 1.200 mrem terhadap batas administratif pabrik 2.000 mrem/tahun.

Menggunakan prinsip ALARA & tiga kontrol, evaluasi apakah pekerjaan ini dapat dilanjutkan & identifikasi setidaknya dua tindakan spesifik untuk mengurangi dosis.

Three Mile Island (1979)

Three Mile Island Unit 2: 28 Maret 1979

TMI bukan kegagalan desain: ini adalah kegagalan pertahanan berlapis pada lapisan manusia dan prosedur.

Apa yang terjadi:

- Trip turbin menyebabkan SCRAM reaktor (otomatis: berfungsi dengan benar)

- Sebuah katup pelepas tekanan (PORV) terbuka (benar) tetapi macet dalam posisi terbuka (kegagalan peralatan)

- Indikator ruang kontrol hanya menunjukkan bahwa katup telah menerima sinyal tutup: bukan bahwa katup benar-benar tertutup

- Pendingin keluar melalui PORV yang macet terbuka. Tekanan & suhu di dalam reaktor turun

- Operator salah membaca gejala sebagai kelebihan pendingin dan mengurangi injeksi pendingin darurat: kebalikan dari yang seharusnya dilakukan

- Selama lebih dari dua jam, teras reaktor sebagian terbuka

- Sekitar setengah teras mengalami pelelehan

Apa yang dilakukan containment: Ia bertahan. Meskipun terjadi kerusakan teras yang parah dan akumulasi hidrogen di dalam containment, struktur containment tetap menahan hampir seluruh produk fisi. Konsekuensi dosis di luar lokasi sangat kecil: tidak ada dampak kesehatan masyarakat akibat radiasi.

Peningkatan pasca-TMI (NUREG-0737):

- EOP berbasis gejala (menggantikan berbasis kejadian)

- Penasihat Teknis Shift di setiap shift

- Simulator skala penuh bersertifikat NRC untuk pelatihan kru

- Instrumen pemantauan pasca-kecelakaan (PAM): indikator pendinginan inti langsung, panel tampilan yang memenuhi syarat dengan daya independen AC

- Standar desain ruang kontrol yang direvisi (NUREG-0700)

- Persyaratan ujian lisensi operator yang ditingkatkan

Chernobyl (1986)

Unit 4 Chernobyl: 26 April 1986

Chernobyl berbeda sifatnya dari TMI: ini terutama kekurangan desain yang dikombinasikan dengan penyelewengan sistem keselamatan yang disengaja.

Apa yang terjadi:

- Uji stabilitas tegangan memerlukan reaktor beroperasi pada daya rendah (~200 MW, vs. daya nominal 3.200 MW)

- Pada daya rendah, reaktor RBMK memiliki koefisien kekosongan positif: gelembung uap di pendingin meningkatkan reaktivitas

- Batang kendali memiliki cacat desain: ujung grafit menggeser air saat pertama kali dimasukkan, menyebabkan peningkatan reaktivitas awal sebelum bagian penyerap neutron memasuki inti

- Uji coba ditunda; kru malam tidak dilatih untuk itu

- Beberapa sistem keselamatan sengaja dinonaktifkan untuk menjalankan uji coba

- Saat tombol shutdown darurat (AZ-5) ditekan, ujung batang grafit menyebabkan lonjakan reaktivitas daripada SCRAM yang dimaksudkan

- Daya melonjak ke 30.000 MW dalam hitungan detik: sekitar 10x daya nominal

- Bahan bakar & pendingin berubah menjadi uap secara mendadak, menyebabkan ledakan uap yang menghancurkan reaktor

- Kebakaran grafit berlangsung selama 10 hari, menyebarkan produk fisi ke seluruh Eropa

Tidak ada penahanan: RBMK tidak memiliki bangunan penahanan penuh. Reaktor berada di dalam bangunan industri besar tanpa kemampuan menahan tekanan. Ketika reaktor hancur, tidak ada penghalang terakhir.

Perubahan Pasca-Chernobyl:

- Modifikasi desain RBMK: menghilangkan koefisien void positif pada daya rendah, mendesain ulang ujung batang kendali, menambahkan penyerap neutron tambahan

- Konvensi keselamatan nuklir internasional diperkuat

- Konsep budaya keselamatan nuklir diformalkan oleh IAEA (INSAG-7)

- Penekanan regulasi Barat pada containment sebagai persyaratan yang tidak dapat dinegosiasikan

Tiga Kecelakaan, Tiga Pelajaran

Kini Anda telah mengetahui tiga kecelakaan nuklir sipil utama: TMI (1979), Chernobyl (1986), dan Fukushima (2011). Masing-masing mengungkapkan jenis kegagalan pertahanan berlapis yang berbeda.

Kuantifikasi Risiko

PRA: Berpindah Dari 'Cukup Aman' ke 'Seamanakah?'

Analisis keselamatan deterministik menyatakan: rancang pabrik untuk bertahan dari kecelakaan spesifik ini. Penilaian Risiko Probabilistik (PRA) mengajukan pertanyaan yang berbeda: mengingat semua cara yang bisa salah, apa probabilitas bahwa hal itu benar-benar terjadi?

Frekuensi kerusakan inti (CDF): Probabilitas bahwa inti reaktor akan rusak secara signifikan dalam satu tahun tertentu. Tujuan keselamatan NRC: CDF < 1×10⁻⁴ per tahun-reaktor (sekali dalam 10.000 tahun-reaktor). Pabrik modern biasanya mencapai CDF < 1×10⁻⁵ (sekali dalam 100.000 tahun-reaktor).

Frekuensi pelepasan dini besar (LERF): Probabilitas pelepasan dini besar radioaktivitas ke lingkungan (sebelum evakuasi dapat diselesaikan). Tujuan keselamatan NRC: LERF < 1×10⁻⁵ per tahun-reaktor.

Pohon kesalahan: Diagram logika grafis yang menunjukkan kombinasi kegagalan komponen yang mengarah ke peristiwa puncak yang didefinisikan (misalnya, 'ECCS gagal mengirimkan air ke inti'). Menggunakan gerbang AND (semua harus gagal) & gerbang OR (satu kegagalan saja sudah cukup). Gerbang AND mengurangi probabilitas (memerlukan beberapa kegagalan simultan). Gerbang OR meningkatkan probabilitas.

Pohon peristiwa: Diagram grafis yang dimulai dengan peristiwa inisiator (misalnya, 'LOCA patah besar terjadi') & melacak konsekuensinya tergantung pada keberhasilan atau kegagalan sistem keselamatan. Setiap cabang mewakili keberhasilan atau kegagalan fungsi keselamatan. Node terminal adalah urutan kecelakaan: penonaktifan aman, kerusakan inti, pelepasan besar.

Ukuran kepentingan: PRA mengidentifikasi komponen & sistem mana yang paling berkontribusi pada risiko.

- Fussel-Vesely (FV) importance: fraksi CDF yang disumbangkan oleh kegagalan komponen. FV tinggi = komponen ini sangat penting.

- Risk Achievement Worth (RAW): seberapa besar CDF meningkat jika komponen ini diasumsikan gagal. RAW tinggi = komponen ini tidak boleh tidak beroperasi terlalu lama.

RAW mengemudikan penjadwalan pemeliharaan & pengujian: komponen dengan RAW tinggi mendapatkan pengujian sering & waktu pemadaman yang singkat.

PRA dan Penjadwalan Pemeliharaan

Sebuah pembangkit nuklir memiliki tiga generator diesel darurat (A, B, C). Analisis PRA menunjukkan:

- CDF dengan ketiga diesel beroperasi: 2×10⁻⁵ per tahun

- CDF dengan diesel A tidak beroperasi untuk pemeliharaan: 8×10⁻⁵ per tahun (peningkatan 4x)

- CDF dengan diesel A & B secara bersamaan tidak beroperasi: 4×10⁻³ per tahun (peningkatan 200x)

Tim pemeliharaan ingin menonaktifkan diesel A & B secara bersamaan untuk perbaikan besar yang berlangsung 30 hari.

Bahan Bakar Bekas: Kewajiban Jangka Panjang

Bahan Bakar Bekas: Pengelolaan Aktif & Pasif

Ketika bahan bakar dikeluarkan dari reaktor setelah 3-5 tahun operasi, bahan bakar tersebut sangat radioaktif & panas secara termal dari panas peluruhan. Kurva panas peluruhan yang sama berlaku: 7% dari daya nominal segera, menurun selama bertahun-tahun.

Kolam bahan bakar bekas (SFP): Segera setelah dikeluarkan, perakitan bahan bakar bekas ditempatkan di kolam bahan bakar bekas: baskom berisi air, biasanya kedalaman 40 kaki, bersebelahan dengan gedung reaktor. Air memiliki dua fungsi: pendinginan dan pelindung (air di atas bahan bakar menyerap radiasi, memungkinkan pekerja di dek kolam menerima dosis rendah).

Waktu pendinginan kolam minimum sebelum tabung kering: Sekitar 5 tahun untuk bahan bakar PWR. Bahan bakar harus didinginkan hingga titik di mana pendinginan udara pasif di tabung kering dapat menangani panas peluruhan yang tersisa tanpa air.

Risiko kebakaran Zircaloy: Jika perakitan bahan bakar bekas terbuka (air kolam hilang), selubung zircaloy dapat teroksidasi di udara pada suhu tinggi. Tidak seperti reaksi uap-zircaloy yang menghasilkan hidrogen, oksidasi udara-zircaloy pada suhu merah membara dapat mempertahankan kebakaran zircaloy: reaksi eksotermik yang mandiri. Kolam bahan bakar bekas Unit 4 Fukushima berada dalam hitungan hari mencapai suhu di mana ini bisa terjadi.

Persyaratan SFP Pasca-Fukushima (NRC Order EA-12-051):

- Instrumen andal untuk mengukur level air & suhu SFP

- Kemampuan menambahkan air makeup ke SFP dari berbagai sumber

- Strategi untuk mempertahankan atau memulihkan pendinginan SFP dalam skenario kehilangan daya yang berkepanjangan

Penyimpanan cask kering: Setelah 5+ tahun di kolam, bahan bakar dipindahkan ke cask kering: canister baja yang dilas dikelilingi oleh pelindung beton atau polietilena densitas tinggi. Pendinginan sepenuhnya pasif: konveksi udara alami melalui ventilasi pada struktur luar. Tidak memerlukan daya. Umur desain: 100+ tahun. Saat ini lebih dari 90.000 metrik ton logam berat disimpan dalam cask kering di AS saja.

Pembuangan limbah tingkat tinggi: Bahan bakar bekas diklasifikasikan sebagai limbah nuklir tingkat tinggi. Hukum AS (Nuclear Waste Policy Act) menetapkan Yucca Mountain, Nevada sebagai lokasi penyimpanan permanen: tetapi belum dibuka karena oposisi politik. NRC mensyaratkan bahwa repositori menyediakan 10.000 tahun penahanan (standar EPA: 1 juta tahun untuk dosis melebihi 10.000 tahun). Pembuangan geologis dalam menggunakan formasi batuan itu sendiri sebagai penghalang utama, dengan penghalang rekayasa (vitrifikasi kaca, canister logam, tanah liat bentonit) sebagai lapisan tambahan.

Limbah tingkat rendah (LLW): Pakaian terkontaminasi, peralatan, filter, resin. Tiga kelas NRC:

- Kelas A: aktivitas terendah, isotop berumur paling pendek. Penguburan tanah dangkal, persyaratan isolasi 100 tahun

- Kelas B: aktivitas sedang. Penguburan dangkal dengan isolasi 300 tahun

- Kelas C: aktivitas lebih tinggi, isotop berumur lebih panjang. Membutuhkan isolasi 500 tahun; pembuangan dekat permukaan dengan penghalang rekayasa yang lebih besar

Teknik pengurangan volume (insinerasi, pemadatan, peleburan) wajib dilakukan untuk meminimalkan ruang pembuangan

Kasus Keamanan Dry Cask

Seorang kritikus berpendapat bahwa penyimpanan dry cask tidak aman karena cask tidak memiliki pendinginan aktif, tidak ada sambungan listrik, dan diletakkan di luar ruangan di atas bantalan beton. Seorang insinyur nuklir menjawab bahwa dry cask sebenarnya mungkin lebih aman daripada kolam bahan bakar bekas.

Pertahanan Berlapis: Gambaran Lengkap

Rekayasa Keselamatan Nuklir: Suatu Disiplin Sistem

Anda telah mempelajari setiap lapisan rekayasa keselamatan nuklir. Ambil langkah mundur & lihat sistemnya:

Penghalang fisik (matriks bahan bakar, kelongsong, bejana tekan, penampung) bersifat pasif: mereka tidak memerlukan tindakan apa pun untuk bekerja. Mereka adalah fondasi.

Sistem keselamatan (ECCS, RPS, EDG, DDAS) bersifat aktif dengan cadangan pasif (akumulator, tangki gravitasi, baterai). Setiap fungsi memiliki tiga kereta independen. Setiap kereta 100% mampu. Pendekatan aktif & pasif bersifat beragam.

Instrumentasi (RPS, ECCS actuation, PAM) memantau puluhan parameter dengan logika voting 2-of-4: tahan terhadap spurious trip dan kegagalan sensor yang dapat mencegah trip.

Prosedur (EOP berbasis gejala) membimbing operator untuk melakukan tindakan proteksi tanpa memerlukan diagnosis yang benar. Pasca-TMI. Esensial.

Faktor manusia (staffing, pelatihan, human performance tools, batas kelelahan) mengurangi kemungkinan kegagalan lapisan manusia. Persyaratan STA pasca-TMI. Pelatihan simulator. Pre-job briefing. STAR. Komunikasi tiga arah.

Manajemen & budaya keselamatan memastikan bahwa keselamatan tidak dikorbankan demi efisiensi. Pasca-Chernobyl INSAG-7. Pelajaran dari Chernobyl adalah bahwa sistem keselamatan yang dinonaktifkan oleh manajemen adalah sistem keselamatan yang tidak ada.

Regulasi (NRC 10 CFR 50, standar IAEA, inspeksi berkala) menyediakan pengawasan independen pada lapisan tertinggi. Regulator yang tidak melakukan inspeksi adalah regulator yang tidak ada.

Tiga kecelakaan besar mengungkapkan bahwa pertahanan berlapis gagal bukan karena satu kegagalan dramatis, melainkan karena kombinasi kegagalan kecil, asumsi yang salah, & margin yang tidak memadai di beberapa lapisan secara bersamaan. Kasus keselamatan hanya sekuat kombinasi simultan terlemahnya.

Integrasi Akhir

Pertanyaan Akhir: Yang Paling Sulit

Sebuah desain reaktor baru mengklaim sangat aman sehingga hanya membutuhkan satu train ECCS (bukan tiga), tanpa diesel darurat (hanya pendinginan pasif), & model kepegawaian yang disederhanakan dengan dua operator per shift alih-alih empat.

Perancang berargumen: 'Pendinginan pasif berarti daya tidak diperlukan, sehingga mesin diesel menjadi tidak perlu. Reaktor tidak dapat meleleh secara fisika, sehingga pengurangan staf dapat dibenarkan.'