Definisci la tua Missione

Sezione 1: Definizione della Missione

Ogni progetto di reattore inizia con una missione. La missione guida ogni decisione successiva.

Potenza erogata determina le dimensioni del reattore, l’inventario del combustibile e i requisiti di portata del refrigerante. Un reattore modulare piccolo (SMR) da 100 MWe ha vincoli ingegneristici molto diversi rispetto a un reattore ad acqua pressurizzata da 1.200 MWe.

Posizione influenza i criteri di localizzazione, la fonte di refrigerante, l’integrazione con la rete, la pianificazione delle emergenze e la base di progetto sismica. I siti fluviali interni utilizzano l’acqua del fiume per il raffreddamento e devono gestire il rischio di alluvione. I siti costieri utilizzano acqua di mare ma devono considerare tsunami e mareggiate. I siti remoti o isolati potrebbero non essere collegati a una rete nazionale.

Integrazione con la rete vs. microrete isolata modifica il modo in cui vengono gestiti i requisiti di load-following e cosa accade in caso di guasto della rete (rischio di station blackout).

Vita di progetto influisce sui limiti di fatica dei materiali, sugli intervalli di ispezione, sui requisiti di rinnovo della licenza e sugli accantonamenti per i costi di decommissioning. Attualmente la NRC rilascia licenze per 40 anni con estensioni di 20 anni. Alcuni progetti puntano a una vita operativa di 80 anni.

Profili di missione tipici:

- SMR da 300 MWe, isola remota, rete isolata, vita utile 60 anni

- PWR da 1.100 MWe, sito fluviale interno, rete nazionale, vita utile 60 anni

- EPR da 1.600 MWe, sito costiero, rete nazionale, vita utile 60 anni

- Array di 2 × 77 MWe NuScale SMR, sito interno, rete regionale, vita utile 40 anni

La tua dichiarazione di missione

Definisci la missione del tuo reattore. Questa diventa la base di ogni decisione progettuale successiva.

Analisi dei compromessi tra tipi di reattore

Sezione 2: Scelta del tipo di reattore

Oggi si stanno seriamente considerando cinque principali tipi di reattori commerciali. Ognuno ha una base fisica, un ciclo del combustibile, un profilo di sicurezza e un livello di maturità diversi. Devi sceglierne uno e difenderlo.

Reattore ad acqua pressurizzata (PWR)

Il tipo di reattore più comune al mondo (circa il 70% degli impianti in funzione). L’acqua leggera (H₂O) funge sia da refrigerante che da moderatore. Il circuito primario opera a circa 155 bar / 325 °C: l’alta pressione mantiene l’acqua allo stato liquido. Un generatore di vapore trasferisce il calore a un circuito secondario che aziona la turbina. L’acqua radioattiva rimane nel circuito primario.

Pro: Decenni di esperienza operativa, forte coefficiente di vuoto negativo (la perdita d'acqua causa una diminuzione della reattività), comprovato record di sicurezza, ampia catena di fornitura industriale.

Contro: Alta pressione operativa (richiede recipienti a pressione a pareti spesse e pompe di grande capacità), complessità a due circuiti, l'incidente di perdita del refrigerante (LOCA) richiede l'intervento attivo dell'ECCS.

Reattore ad acqua bollente (BWR)

L'acqua bolle all'interno del recipiente del reattore. Il vapore va direttamente alla turbina. Più semplice del PWR: non è necessario un generatore di vapore.

Pro: Pressione operativa inferiore rispetto al PWR, design a singolo circuito più semplice, il ciclo diretto è più efficiente.

Contro: Vapore radioattivo che arriva alla turbina (l'edificio della turbina è una zona a radiazioni), ECCS complesso con più sistemi di iniezione, coefficiente di vuoto leggermente positivo a certi livelli di potenza richiede un'attenta progettazione.

CANDU (Canada Deuterium Uranium)

Utilizza acqua pesante (D₂O) come moderatore e refrigerante. Può usare combustibile a uranio naturale (nessun arricchimento necessario). Caratteristica unica: rifornimento in linea: i canali di combustibile possono essere sostituiti senza spegnimento.

Vantaggi: Nessun requisito di arricchimento (vantaggio sui costi del combustibile), il rifornimento in linea garantisce un fattore di capacità molto elevato, il moderatore ad acqua pesante consente un ciclo del combustibile flessibile.

Svantaggi: L'acqua pesante è costosa da produrre (~1000 $/kg), alcune configurazioni presentano un coefficiente di vuoto leggermente positivo in determinate condizioni, richiedendo un'attenta progettazione di sicurezza, ingombro fisico elevato.

Reattore a sali fusi (MSR)

Il combustibile è disciolto in sali fusi di fluoruro o cloruro. Non esiste combustibile solido che possa fondere: se il raffreddamento fallisce, il sale solidifica o defluisce verso un tappo di congelamento passivo. Può utilizzare il ciclo del combustibile al torio.

Vantaggi: Sicurezza intrinseca (il drenaggio passivo rende fisicamente impossibile il meltdown), opera a pressione atmosferica (nessun rischio LOCA), rifornimento in linea, il ciclo del combustibile al torio produce molto meno scorie a lunga vita.

Contro: Sfide sui materiali (i materiali strutturali devono resistere per decenni a sali caldi, corrosivi e radioattivi), tecnologia pre-commerciale: nessun MSR ha operato commercialmente, la produzione di trizio nei sali di fluoruro rappresenta una sfida normativa.

Small Modular Reactor (SMR): tipo NuScale/Rolls-Royce

Moduli PWR o PWR integrali fabbricati in fabbrica, tipicamente da 50-300 MWe ciascuno. La sicurezza passiva si basa sulla circolazione naturale, senza necessità di pompe. Più moduli possono essere combinati per scalabilità.

Pro: Controllo qualità in fabbrica, sistemi di sicurezza passivi (nessuna pompa, nessun alimentatore AC necessario per il raffreddamento), capacità scalabile, tempi di costruzione ridotti.

Contro: Costo capitale per kWe più elevato rispetto agli impianti di grandi dimensioni, la maggior parte dei progetti è pre-commerciale o sta appena entrando in esercizio (NuScale VOYGR certificato nel 2022 ma progetti annullati nel 2023), catena di fornitura non ancora sviluppata su larga scala.

La questione chiave di fisica della sicurezza per qualsiasi tipo di reattore:

Cosa succede se la temperatura del refrigerante aumenta o se il refrigerante viene perso? Un reattore con un negativo coefficiente di temperatura e un negativo coefficiente di vuoto ridurrà automaticamente la potenza: una risposta auto-correttiva e intrinsecamente sicura. Un reattore con un positivo coefficiente di vuoto (la potenza aumenta quando il refrigerante viene perso) richiede sistemi attivi per spegnersi in sicurezza. Questo è ciò che ha reso così pericoloso l'RBMK di Chernobyl.

Scegli il tipo di reattore

Rivedi il diagramma di confronto dei tipi di reattore sopra prima di decidere.

Parametri di progettazione del combustibile

Sezione 3: Progettazione del combustibile

La progettazione del combustibile determina quanta energia si ottiene, quanto dura il combustibile e cosa succede in caso di incidente. Ogni parametro interagisce con tutti gli altri.

Tipo di combustibile:

- UO₂ (diossido di uranio): Lo standard globale. Pastiglie ceramiche, alto punto di fusione (~2850°C), chimicamente stabile, ben caratterizzato. Leggero svantaggio: bassa conducibilità termica: il calore si accumula al centro della pastiglia.

- MOX (ossido misto): Miscela di UO₂ e PuO₂. Brucia plutonio proveniente da armi o da combustibile esaurito riprocessato. Punto di fusione leggermente inferiore rispetto all’UO₂, richiede un impianto autorizzato per la fabbricazione di MOX.

- TRISO (tri-strutturale isotropo): Microsfere di combustibile (UO₂ o UCO) rivestite con più strati ceramici. Ogni particella è un minuscolo contenitore a sé stante. Utilizzato nei reattori a gas ad alta temperatura e in alcuni progetti avanzati. Estremamente robusto: testato a temperature molto elevate senza rilasci.

Arricchimento:

- Uranio naturale (0,7% U-235): Utilizzato nei reattori CANDU. Nessun costo di arricchimento, ma richiede moderatore ad acqua pesante.

- LEU 3-5% (uranio a basso arricchimento): Standard per il combustibile PWR e BWR. Arricchito al 3-5% di U-235.

- HALEU 5-20% (uranio a basso arricchimento ad alto dosaggio): Utilizzato in molti progetti di SMR e reattori avanzati. Un arricchimento maggiore consente core più piccoli e compatti e cicli di combustibile più lunghi. Richiede misure di salvaguardia aggiuntive a causa dell’arricchimento più elevato.

- HEU >20%: Vietato nei reattori di potenza commerciali.

Materiale del rivestimento:

- Zircaloy-4: Rivestimento standard a livello mondiale. Bassa assorbimento neutronico, buone proprietà meccaniche fino a ~400°C. Punto critico: sopra ~1200°C reagisce con il vapore producendo idrogeno (Zr + 2H₂O → ZrO₂ + 2H₂). Questa è stata la fonte di idrogeno a Fukushima.

- M5 (lega Zr-Nb): Migliore resistenza alla corrosione rispetto allo Zircaloy-4 per combustibile ad alto burnup.

- Composito SiC/SiC: Rivestimento ATF (accident-tolerant fuel) avanzato. Tolleranza termica molto più elevata, non produce idrogeno a contatto con il vapore. In fase di sviluppo attivo ma non ancora in uso commerciale diffuso.

Obiettivo di burnup:

Il combustibile standard per LWR raggiunge circa 45-50 GWd/tHM (gigawatt-giorno per tonnellata metrica di metallo pesante) prima della rimozione. Il combustibile ad alte prestazioni può arrivare a 65-70 GWd/tHM. Alcuni progetti avanzati puntano a oltre 100 GWd/tHM per cicli prolungati. Un burnup più elevato riduce il numero di fermate per ricarica, ma richiede migliori prestazioni del rivestimento e un maggiore arricchimento.

Assorbitori consumabili:

Il combustibile fresco è altamente reattivo: troppo reattivo se si carica un intero nocciolo. Gli assorbitori consumabili (ossido di gadolinio miscelato nei pellet di combustibile, o IFBA: integral fuel burnable absorber, un sottile rivestimento di ZrB₂) assorbono l’eccesso di neutroni all’inizio della vita e si consumano man mano che il combustibile si depleta, appiattendo la distribuzione di potenza durante il ciclo.

Schema di caricamento del nocciolo:

- Caricamento in-out: Combustibile fresco caricato al centro, spostato verso l'esterno man mano che si esaurisce. Semplice ma genera picchi di potenza elevati al centro.

- Caricamento a bassa fuga: Combustibile fresco posizionato all'esterno del nocciolo, combustibile esaurito al centro. Riduce la fuga di neutroni (migliore economia del combustibile) e riduce la fluenza sul recipiente in pressione del reattore. Pratica standard per i moderni PWR.

Specifica il tuo progetto di combustibile

Considera come le tue scelte di combustibile interagiscono con il tipo di reattore e la missione. Un progettista CANDU non ha bisogno di arricchimento. Un progettista SMR potrebbe scegliere HALEU per un nocciolo compatto. Un progettista PWR deve affrontare il problema del rivestimento e del rischio di produzione di idrogeno.

Progetto del refrigerante e del moderatore

Sezione 4: Compatibilità tra refrigerante e moderatore

Il refrigerante, il moderatore, il combustibile e il cladding devono essere chimicamente e fisicamente compatibili. Una mancata corrispondenza crea un problema di sicurezza o un progetto impossibile.

Acqua Leggera (H₂O): PWR, BWR, SMR:

Il miglior moderatore per unità di volume. Anche ottimo refrigerante. Funziona ad alta pressione (PWR: ~155 bar, BWR: ~70 bar). Rischio principale: ad alta temperatura vaporizza istantaneamente (perdita simultanea di moderazione e refrigerante: scenario LOCA). Il controllo chimico è critico: pH, ossigeno disciolto, iniezione di zinco influenzano i tassi di corrosione dei materiali strutturali. Rivestimento in Zircaloy compatibile fino a ~400°C in normale funzionamento.

Acqua Pesante (D₂O): CANDU:

Eccellente moderatore con assorbimento neutronico molto inferiore rispetto all’H₂O: per questo motivo il CANDU può funzionare con uranio naturale. Funziona a ~100 bar nei tubi di pressione. L’acqua pesante costa ~1000 $/kg da produrre (tramite processo Girdler-Sulfide o altra separazione isotopica). La produzione di trizio da D + n → T è una sfida operativa: il trizio è un emettitore beta e deve essere gestito. Chimica: simile all’acqua leggera ma con diverse considerazioni sugli isotopi dell’ossigeno.

Grafite: RBMK, HTGR:

L’RBMK utilizzava grafite come moderatore con refrigerante ad acqua: una combinazione pericolosa a causa del coefficiente di vuoto positivo. L’HTGR (reattore ad alta temperatura a gas) usa grafite come moderatore con refrigerante elio: una combinazione sicura perché la grafite non contribuisce a un coefficiente di vuoto positivo con refrigerante gassoso. La grafite può anche rappresentare un rischio di incendio se raggiunge temperature molto elevate in aria: questo fu un fattore nell’incendio di Windscale del 1957.

Sale fuso: MSR:

Il sale funge sia da vettore del combustibile che da refrigerante. Non è necessario un moderatore separato (tranne negli MSR termici che possono includere grafite). Funziona a pressione atmosferica: nessun rischio di LOCA ad alta pressione. Sfide principali: i sali di fluoruro sono altamente corrosivi per i metalli strutturali, i sali di cloruro possono attivarsi sotto flusso neutronico. I materiali devono resistere a decenni di esposizione. Il tappo congelato: un tappo di sale congelato raffreddato da un piccolo ventilatore che si scioglie in caso di perdita di alimentazione, drenando il combustibile in una geometria sottocritica. Si tratta di una caratteristica di sicurezza passiva.

Sodio: Reattore veloce (SFR):

Il sodio liquido è un eccellente refrigerante per reattori veloci. Molto elevata conducibilità termica, funziona a pressione atmosferica, la circolazione naturale è efficace. Pericolo grave: il sodio brucia violentemente a contatto con l’aria e reagisce in modo esplosivo con l’acqua. Tutti i sistemi a sodio richiedono scambiatori di calore a doppia parete e atmosfera inerte. Un incendio di sodio è stato un incidente importante a Monju (Giappone) e Superphénix (Francia).

Matrice di compatibilità (ciò che deve funzionare tutto insieme):

- La chimica del refrigerante non deve corrodere il rivestimento sotto irraggiamento

- Il moderatore deve essere compatibile con il refrigerante (acqua pesante e acqua leggera sono compatibili; grafite e acqua creano il problema del coefficiente di vuoto positivo dell'RBMK)

- Il combustibile deve essere chimicamente stabile nel refrigerante (UO₂ in acqua: ok. UF₄ in sale fluoruro: ok. UO₂ in sodio: ok. Ma l'uranio metallico in acqua corrode.)

- La temperatura e la pressione operative devono rientrare nei limiti di qualificazione dei materiali

Giustifica il tuo refrigerante e moderatore

Il tipo di reattore determina il refrigerante primario. Ora giustifica la compatibilità dell'intero sistema: refrigerante, moderatore, combustibile e rivestimento, e identifica il principale rischio chimico o termico.

Tre Circuiti di Raffreddamento Indipendenti

Sezione 5a: Sistemi di Raffreddamento Triplamente Ridondanti

Perché tre circuiti di raffreddamento?

Fukushima disponeva di sistemi di raffreddamento di emergenza. Questi fallirono perché tutte le ridondanze condividevano una vulnerabilità comune: richiedevano alimentazione AC, e lo stesso tsunami che interruppe la rete elettrica distrusse anche i generatori diesel. Un singolo guasto si propagò fino alla perdita totale del raffreddamento.

La tripla ridondanza non significa semplicemente tre copie identiche dello stesso sistema. Una vera ridondanza richiede indipendenza su tre dimensioni:

- Separazione fisica: Edifici diversi, quadranti diversi, quote diverse. Un’alluvione in un quadrante non può disabilitare un altro.

- Fonti di alimentazione diverse: Bus elettrici differenti, alimentazione di backup separata. Il guasto di un bus non può disabilitare un altro circuito di raffreddamento.

- Logica di attivazione diversa: Un circuito si attiva per alta temperatura, un altro per bassa pressione, un altro per assenza di alimentazione. Modalità di guasto diverse attivano circuiti diversi.

I tre circuiti di raffreddamento standard per un PWR moderno:

Circuito 1: Raffreddamento di Arresto Normale (SCS / Residual Heat Removal, RHR):

Sistema attivo. Le pompe fanno circolare il refrigerante attraverso gli scambiatori di calore per rimuovere il calore di decadimento dopo l’arresto. Alimentato da AC normale o AC di emergenza. Funziona a bassa pressione dopo la depressurizzazione. Setpoint di attivazione: tipicamente quando la temperatura RCS scende sotto ~177°C (350°F) e la pressione sotto ~28 bar (400 psi). Questo è il sistema primario di rimozione del calore di decadimento durante gli arresti programmati.

Loop 2: Sistema di Raffreddamento di Emergenza del Nucleo (ECCS): Iniezione ad Alta Pressione e Bassa Pressione:

Sistema attivo. Interviene in caso di incidenti con perdita di refrigerante. L’iniezione ad alta pressione (HPI) si attiva per rotture di piccole dimensioni: mantiene la pressione del sistema di raffreddamento del reattore (RCS) e inietta acqua borata. Iniezione dagli accumulatori: grandi serbatoi di acqua borata sotto pressione di azoto (~40 bar) che si scaricano passivamente quando la pressione RCS scende al di sotto della pressione degli accumulatori (nessuna pompa né alimentazione elettrica necessaria). L’iniezione a bassa pressione (LPI) subentra dopo la completa depressurizzazione del RCS. La concentrazione di boro è critica: deve essere sufficiente per raggiungere e mantenere lo stato di arresto a freddo senza barre di controllo.

Loop 3: Raffreddamento Passivo del Nucleo (alimentazione a gravità o circolazione naturale):

Sistema passivo: nessuna pompa, nessuna alimentazione AC, nessuna azione dell’operatore richiesta. Due approcci:

- Stile AP1000 (Westinghouse): Grande serbatoio d’acqua sopra il reattore (core makeup tanks, scambiatori di calore passivi per la rimozione del calore residuo). Alimentazione a gravità. In condizioni di incidente, la circolazione naturale rimuove il calore di decadimento dal primario verso l’acqua del serbatoio, che bolle e viene scaricata: il vapore condensa sul guscio di contenimento in acciaio, raffreddato dall’aria esterna. Completamente passivo.

- Stile NuScale: Il modulo del reattore è immerso in una piscina d’acqua. La circolazione naturale all’interno del sistema primario trasferisce il calore alla piscina. Nessuna pompa nel primario né nei sistemi di sicurezza.

- PRHR HX (Scambiatore di Calore Passivo per la Rimozione del Calore Residuo): Immerso in un grande serbatoio pieno d’acqua (in-containment refueling water storage tank, IRWST). La circolazione naturale attraverso il PRHR HX rimuove il calore di decadimento senza alcuna pompa. Funziona per 72 ore senza alcuna azione dell’operatore.

Verifica di indipendenza: cosa deve essere vero:

- I Loop 1, 2 e 3 devono attingere alimentazione da bus elettrici diversi (1A, 1B, 1C o Div I, II, III)

- Il Loop 3 deve funzionare con perdita totale di alimentazione AC

- Ogni loop deve trovarsi in una divisione fisica diversa (separata da barriere o distanza)

- Guasti a causa comune: come lo tsunami di Fukushima: devono essere analizzati e prevenuti

Analisi dei guasti a causa comune:

Quale singolo guasto potrebbe disabilitare tutti e tre i loop? Devi identificarlo e mostrare come il tuo progetto lo previene.

- Causa comune sismica: tutti e tre i loop devono trovarsi in strutture di Categoria Sismica I progettate per l’SSE del sito

- Causa comune da allagamento: loop in elevazioni diverse o in compartimenti protetti dalle inondazioni

- Causa comune da incendio: barriere antincendio (classificate 3 ore), percorsi cavi separati, separazione ridondante

- Causa comune da perdita del pozzo di calore: se tutti e tre i loop scaricano il calore nello stesso pozzo di calore ultimo (fiume, oceano), deve essere analizzata la perdita di tale pozzo

Progettazione Loop 1: Raffreddamento di Arresto Normale

Progetta il tuo primo loop di raffreddamento: il sistema di raffreddamento di arresto normale / RHR.

Progetta Loop 2: Iniezione ad alta pressione ECCS

Loop 2 è il sistema di raffreddamento di emergenza del nucleo: attivato in caso di incidenti, non durante le operazioni normali.

Progetta il Loop 3: Raffreddamento Passivo del Nocciolo

Il Loop 3 deve funzionare senza alimentazione AC e senza intervento dell'operatore. È l'ultima linea di difesa: il sistema che previene lo scenario di Fukushima.

Analisi dei guasti di causa comune

Hai tre circuiti di raffreddamento. Ora dimostra che sono realmente indipendenti.

Tre Modi Indipendenti per Fermare la Reazione

Sezione 5b: Sistemi di Arresto Triplamente Ridondanti

Fermare una reazione a catena richiede più delle barre di controllo. Un reattore moderno e sicuro dispone di tre meccanismi di arresto completamente indipendenti, ognuno dei quali è sufficiente per raggiungere e mantenere lo stato di arresto a freddo.

Perché non solo le barre di controllo?

Le barre di controllo non riuscirono a spegnere il reattore di Chernobyl abbastanza velocemente: l’RBMK presentava un coefficiente di scram positivo: l’inserimento delle barre con punta di grafite causò inizialmente un breve picco di potenza prima dello spegnimento. A TMI le barre di controllo si inserirono correttamente, ma la confusione degli operatori sul livello del refrigerante portò comunque a uno scoperto del nocciolo. La lezione: nessun singolo sistema deve essere l’unico mezzo di spegnimento.

Sistema di spegnimento 1: Barre di controllo:

Il sistema primario di spegnimento. Barre contenenti materiale assorbente di neutroni (carburo di boro B₄C, afnio o lega Ag-In-Cd) vengono inserite nel nocciolo. Le barre vengono inserite per gravità o con molle (SCRAM): in caso di perdita di alimentazione o segnale di sicurezza, gli elettromagneti che tengono le barre sollevate si diseccitano e le barre cadono nel nocciolo. Tempo di SCRAM: tipicamente le barre sono completamente inserite entro 2-4 secondi.

Requisiti di progetto: (1) Valore delle barre: tutte le barre insieme devono essere in grado di spegnere il reattore da qualsiasi condizione operativa, con la barra di valore più alto bloccata estratta. Questo è il “criterio della barra bloccata”. (2) Tempo di SCRAM: misurato e verificato durante i test di avviamento. (3) Frequenza dei test: le barre di controllo devono essere esercitate (parzialmente estratte e reinserite) secondo un programma regolare per verificarne l’operabilità.

Sistema di spegnimento 2: Borazione di emergenza:

Iniettare acqua borata nel sistema di raffreddamento del reattore. Il Boro-10 è un eccellente assorbitore di neutroni. Una quantità sufficiente di boro raggiunge lo spegnimento a freddo anche se tutte le barre di controllo sono bloccate estratte. Due meccanismi: (1) Iniezione da serbatoio: serbatoio di acido borico collegato al RCS tramite pompe e valvole di isolamento. (2) Iniezione di boro dall’ECCS: l’acqua degli accumulatori ECCS è già borata; l’iniezione ECCS fornisce automaticamente boro. La concentrazione di boro necessaria per lo spegnimento a freddo con tutte le barre bloccate estratte è calcolata nell’analisi di sicurezza ed è tipicamente 2000-2500 ppm (come acido borico, H₃BO₃).

Sistema di Arresto 3: Scarico Assorbitore Passivo (basato sulla fisica, senza alimentazione):

Un meccanismo di arresto passivo e diversificato che utilizza un principio fisico differente. Esempi:

- Iniezione di sfere di boro (stile CANDU): Sfere di materiale assorbitore cadono per gravità in compartimenti separati del moderatore in caso di perdita di alimentazione.

- Iniezione passiva di boro da serbatoio elevato: Un serbatoio elevato contenente acido borico concentrato si svuota per gravità nel RCS quando una valvola fail-open si apre in caso di perdita di alimentazione. Nessuna pompa né segnale richiesto.

- Scarico del sale fuso verso geometria sottocritica: Per gli MSR, il tappo congelato si scioglie in caso di perdita di potenza di raffreddamento, drenando il combustibile verso una geometria fisicamente incapace di sostenere una reazione a catena (geometria sottocritica progettata nel serbatoio di scarico).

- Barre di veleno consumabile con espulsione a molla: In alcuni progetti, barre di arresto secondarie possono essere espulse verso l'alto nel nocciolo tramite molle in caso di perdita del meccanismo di ritenuta.

Requisiti di test e sorveglianza:

Ogni sistema di shutdown deve essere testato indipendentemente secondo un programma regolare, con i risultati registrati e comunicati alla NRC. I rilievi ispettivi della NRC su sistemi di shutdown inoperativi sono eventi da segnalare. I test devono dimostrare che ciascun sistema, da solo, è in grado di raggiungere il cold shutdown.

Progetta i tuoi tre sistemi di shutdown

Progetta tutti e tre i sistemi di shutdown per il tuo reattore.

Tre Fonti di Alimentazione Indipendenti

Sezione 5c: Fonti di Alimentazione Triplamente Ridondanti

La lezione principale di Fukushima: blackout della centrale: perdita totale di alimentazione AC: non deve portare a danni al nocciolo. I requisiti NRC post-Fukushima (FLEX) impongono che gli impianti dimostrino di poter far fronte a un blackout prolungato della centrale utilizzando fonti di alimentazione diversificate e indipendenti.

Fonte di alimentazione 1: Rete esterna:

L'alimentazione normale. Due o più linee di trasmissione indipendenti da sottostazioni indipendenti (circuiti di rete diversi). Protezione del trasformatore: relè di pressione improvvisa, relè differenziale, relè di blocco: impedisce che un trasformatore guasto si propaghi ad altri bus. Se il generatore principale della centrale si scollega, l'alimentazione esterna subentra automaticamente entro pochi secondi tramite il trasformatore ausiliario.

Punto debole: qualsiasi evento che danneggi la rete (condizioni meteorologiche estreme, evento sismico, instabilità della rete) può interrompere l'alimentazione esterna. L'alimentazione esterna è la fonte normale più affidabile ma la fonte di emergenza meno affidabile.

Fonte di alimentazione 2: Generatori diesel di emergenza (EDG):

La fonte primaria di alimentazione AC di emergenza. Requisito minimo NRC: 2 EDG per unità, ciascuno in grado di alimentare i carichi di emergenza completi di una divisione di sicurezza. Requisito di avviamento: l’EDG deve raggiungere tensione e frequenza nominali entro 10 secondi dal segnale di avviamento (requisito NRC). Alimentazione di combustibile: il minimo NRC è una riserva di 7 giorni a pieno carico. Best practice post-Fukushima: progettare per una riserva di 14 giorni, con contratti di consegna del combustibile che garantiscano il rifornimento.

Prove: prova di carico mensile (avviamento a velocità nominale a vuoto), prova di carico trimestrale (a carico nominale), prova di endurance a 18 mesi (funzionamento a pieno carico per tutta la durata della prova).

Un tipico reattore PWR da 1100 MWe dispone di 2-4 EDG, ciascuno con potenza nominale compresa tra circa 7.000 e 9.000 kW.

Fonte di alimentazione 3: Batterie di stazione (alimentazione DC, Class 1E):

L’ultima fonte di alimentazione di backup per strumentazione, controllo, illuminazione di emergenza, azionamento valvole e comunicazioni. I bus DC sono alimentati dalle batterie, che vengono caricate dai bus AC durante il normale funzionamento. In caso di perdita totale di alimentazione AC: le batterie forniscono alimentazione DC in modo indipendente.

Dimensionamento: ogni bus DC deve essere dimensionato per alimentare il proprio elenco di carichi per un minimo di 2 ore senza ricarica AC. I progetti moderni prevedono un’autonomia di 4-8 ore. L’elenco dei carichi include: monitor dei meccanismi di azionamento delle barre di controllo, strumentazione di sicurezza, illuminazione di emergenza, comunicazioni di emergenza e attuatori critici delle valvole.

Sostituzione batterie: secondo il programma del costruttore, tipicamente 10-20 anni. Prove batterie: prova di capacità annuale, prova di scarica ogni 18 mesi.

Strategia FLEX: Attrezzature Portatili Post-Fukushima:

Gruppi elettrogeni diesel portatili, pompe portatili e tubi flessibili preposizionati in più sedi con percorsi di accesso diversificati (non tutti raggiungibili dalla stessa alluvione o incendio). I punti di connessione ai quadri di sicurezza e ai sistemi di raffreddamento sono preinstallati e testati. Le attrezzature FLEX possono essere messe in funzione dagli operatori anche in assenza di alimentazione AC. La NRC richiede che le strategie FLEX affrontino: blackout totale della centrale, perdita del pozzo termico finale e loro combinazioni.

Progetta le Tue Tre Fonti di Alimentazione

Progetta la tua architettura completa di alimentazione.

Tre Canali di Monitoraggio Indipendenti

Sezione 5d: Monitoraggio e Strumentazione Triplamente Ridondante

I guasti di strumentazione e controllo (I&C) hanno causato o aggravato ogni grave incidente nucleare. A TMI, gli operatori sono stati confusi da un singolo indicatore (una spia che mostrava se una valvola di sfogo pilotata era stata comandata aperta, non se fosse effettivamente aperta) e hanno preso decisioni che hanno svuotato il nocciolo. A Chernobyl, gli strumenti chiave sono stati disabilitati o hanno fornito indicazioni fuorvianti durante il test fatale.

Tre canali di misura indipendenti:

I reattori moderni dividono la strumentazione di sicurezza in tre (o quattro) canali indipendenti: A, B e C (o I, II, III, IV). Ogni canale utilizza sensori diversi, instradati attraverso percorsi di cavi separati in condotti separati, alimentati da bus di sicurezza separati.

Perché tecnologie diverse?

Guasto per causa comune nei sensori: se tutti e tre i canali utilizzano lo stesso modello di sensore, un difetto sistematico in quel modello potrebbe causare il guasto simultaneo di tutti e tre o la stessa lettura errata. L'uso di produttori diversi o principi di misura diversi riduce questo rischio.

Logica di voto 2-su-3:

Tre canali, ognuno dei quali fornisce un segnale sì/no per una funzione di sicurezza (ad es. 'alta pressione, avvia SCRAM'). L'azione di sicurezza si attiva se almeno 2 dei 3 canali concordano. Perché non 1-su-3? Perché un singolo canale difettoso causerebbe SCRAM spurie (troppi falsi positivi: l'impianto sarebbe inaffidabile). Perché non 3-su-3? Perché un singolo canale guasto impedirebbe l'attivazione dello SCRAM (troppo pochi veri positivi: l'impianto sarebbe insicuro). 2-su-3 è l'ottimo matematico: resistente sia a un singolo trip spurio sia a un singolo guasto di attivazione.

Monitoraggio post-incidente: variabili di Categoria 1 secondo NUREG-0696:

Le seguenti variabili devono essere monitorate dopo un incidente, indipendentemente dal normale sistema di controllo digitale (DCS), specificamente per fornire agli operatori una verità di base anche se il DCS è danneggiato o inaffidabile:

- Pressione del sistema di raffreddamento del reattore

- Temperatura del sistema di raffreddamento del reattore (gamba calda, gamba fredda)

- Livello dell'acqua del sistema di raffreddamento del reattore (livello in-vessel)

- Pressione del contenimento

- Livello di radiazione nel contenimento

- Monitor di radiazione degli effluenti (refrigerante, vapore, atmosfera del contenimento)

Qualifica ambientale e sismica:

Tutte le I&C di sicurezza devono essere qualificate per le condizioni ambientali che si verificherebbero in caso di incidente: temperatura fino a 150°C, umidità fino al 100%, radiazione fino a 10⁷ rad (100 kGy) cumulativi, per la durata dell'incidente (mesi). Questa è la qualifica ambientale secondo 10 CFR 50 Appendix B / IEEE 323. Qualifica sismica (IEEE 344): deve funzionare durante e dopo l'SSE del sito.

Progetta la tua architettura di monitoraggio

Progetta la tua architettura di sicurezza per strumentazione e controllo.

Sicurezza che Funziona Senza Alimentazione o Operatori

Section 6: Passive Safety Features

Le caratteristiche di sicurezza passiva funzionano solo grazie alla fisica: nessuna pompa, nessuna alimentazione, nessuna azione dell’operatore. Sono sempre attive, sempre funzionanti e non possono essere disabilitate da un blackout della centrale.

Coefficiente Doppler Negativo (sempre presente nel combustibile all’uranio):

Man mano che la temperatura del combustibile aumenta, i picchi di assorbimento per risonanza dell’U-238 si allargano (allargamento Doppler). Più neutroni vengono catturati dall’U-238 senza causare fissione. Questo riduce automaticamente la velocità di fissione man mano che il combustibile si riscalda: un meccanismo di retroazione auto-limitante e sempre presente. Funziona in tutti i tipi di reattore che utilizzano combustibile all’uranio. È per questo che un reattore all’uranio non può sfuggire al controllo come un’esplosione chimica incontrollata: la fisica reagisce.

Coefficiente di temperatura negativo del moderatore (per LWR):

Nei reattori ad acqua leggera, quando la temperatura del refrigerante/moderatore aumenta, la densità dell’acqua diminuisce. L’acqua meno densa modera meno neutroni, quindi meno neutroni raggiungono le energie termiche necessarie per la fissione. La reattività diminuisce automaticamente. Questo spiega perché i PWR e i BWR sono intrinsecamente autoregolanti su un ampio intervallo di livelli di potenza.

Coefficiente di vuoto negativo (per la maggior parte degli LWR a potenza):

Se si formano bolle nel refrigerante o se il refrigerante viene perso, la moderazione diminuisce. Negli LWR questo riduce la reattività. È la caratteristica di sicurezza che mancava all’RBMK di Chernobyl: il suo grande coefficiente di vuoto positivo significava che la perdita di refrigerante aumentava la potenza, creando un ciclo di retroazione incontrollato.

Rimozione passiva del calore di decadimento: circolazione naturale:

L’acqua calda è meno densa dell’acqua fredda. Nel circuito primario, il refrigerante caldo proveniente dal nocciolo sale naturalmente. In reattori come l’AP1000, questa circolazione naturale fa fluire il refrigerante attraverso lo scambiatore di calore PRHR senza l’ausilio di pompe. Il calore di decadimento viene rimosso esclusivamente grazie alla fisica.

Ritenzione in-vessel (IVR): approccio AP1000:

Se un incidente grave progredisce fino al danneggiamento del nocciolo, il corium fuso deve essere mantenuto all’interno del recipiente del reattore. Il progetto AP1000 allaga la cavità del reattore con acqua (alimentata per gravità dall’IRWST). L’acqua esterna al recipiente rimuove calore dalla parete, mantenendo intatto il recipiente in acciaio e impedendo al corium fuso di fuoriuscire sul pavimento del contenimento. Si tratta di una grande innovazione progettuale: i precedenti LWR non disponevano di questa caratteristica.

Core catcher ex-vessel: approccio EPR:

Un’alternativa all’IVR: se il corium fuoriesce dal recipiente, cade in un compartimento di diffusione (core catcher) progettato per distribuire il materiale fuso in uno strato sottile e raffreddarlo sia dal basso che dall’alto. Il reattore EPR (European Pressurized Reactor) utilizza questo approccio. Sia l’IVR sia il core catcher affrontano lo stesso scenario: la progressione di un incidente grave oltre la rottura del recipiente.

Gestione dell’idrogeno: Ricombinatori Autocatalitici Passivi (PAR):

Le reazioni zircaloy-vapore producono idrogeno. L’idrogeno si accumula nel contenimento. A una concentrazione del 4-75% di idrogeno in aria è infiammabile; tra il 13-59% detona. Le esplosioni di idrogeno di Fukushima hanno distrutto gli edifici dei reattori delle Unità 1, 3 e 4. I contenimenti moderni richiedono la gestione dell’idrogeno: i PAR (ricombinatori autocatalitici passivi) sono dispositivi contenenti un catalizzatore di platino o palladio. Idrogeno e ossigeno si combinano sulla superficie del catalizzatore a temperatura ambiente, senza accensione, producendo vapore acqueo. Nessuna alimentazione elettrica, nessun ventilatore, nessuna azione dell’operatore. I PAR sono distribuiti in tutto il contenimento per evitare accumuli locali. La quantità e la posizione richieste vengono calcolate in base al termine sorgente di idrogeno peggiore.

Quattro barriere fisiche: Difesa in profondità:

Il diagramma sopra mostra le quattro barriere fisiche tra il combustibile e l’ambiente:

1. Matrice del combustibile (ceramica UO₂): trattiene circa il 95% dei prodotti di fissione in condizioni normali

2. Guaina del combustibile (Zircaloy o SiC): barriera metallica, primo contenimento dei prodotti di fissione eventualmente sfuggiti

3. Limite di pressione del refrigerante del reattore: recipiente e tubazioni in acciaio a pareti spesse

4. Struttura di contenimento: calcestruzzo armato, tipicamente spesso 1-1,5 metri, progettato per la pressione e la temperatura di un LOCA peggiore e per l'impatto di un aeromobile

Progetta le tue caratteristiche di sicurezza passiva

Le caratteristiche passive sono integrate nella fisica e nella geometria del tuo progetto: non possono essere disattivate.

Strato di sicurezza umana

Sezione 7: Progettazione della supervisione umana

Ogni grave incidente nucleare ha coinvolto un fattore umano: non perché gli esseri umani siano inaffidabili, ma perché il sistema di supervisione umana era mal progettato. Un buon design rende facile fare la cosa giusta e difficile fare quella sbagliata.

Tre addetti qualificati minimi presenti in loco in ogni momento (24/7):

- Operatore di Reattore (RO): Licenza NRC (10 CFR Part 55). Gestisce i comandi del reattore. Deve superare un esame scritto e un test operativo sul simulatore specifico dell’impianto. Licenza valida solo per quell’impianto: non trasferibile.

- Operatore di Reattore Senior (SRO) – Responsabile di Turno: Licenza NRC. Supervisiona l’RO. Ha autorità indipendente di SCRAM: può ordinare un arresto di emergenza indipendentemente dalle istruzioni di qualsiasi altra persona, inclusa la direzione.

- Tecnico di Protezione Radiologica (RP) / Ufficiale di Fisica Sanitaria: Monitora i livelli di radiazione, gestisce la dosimetria personale, autorizza l’accesso alle aree controllate e tiene traccia delle dosi cumulative.

Autorità SCRAM indipendente:

Il supervisore di turno ha l'autorità legale per avviare uno spegnimento di emergenza in qualsiasi momento, sulla base del proprio giudizio professionale, senza richiedere l'approvazione della direzione. Si tratta di un requisito normativo ai sensi del 10 CFR 50.54(x). La lezione di TMI: gli operatori avrebbero dovuto avere la formazione e l'autorità per riconoscere rapidamente uno scenario di perdita anomala di refrigerante e SCRAMare con sicurezza. Invece, erano confusi da indicatori contrastanti e hanno cercato di "correggere" i sintomi piuttosto che riconoscere la condizione sottostante.

Integrità a due persone (TPI):

Operazioni specificate: in particolare la manipolazione del combustibile, la manipolazione delle barre di controllo durante determinati test e l'accesso ad alcune aree vitali: richiedono la presenza di due persone qualificate che si osservino a vicenda. Nessuna delle due persone può completare l'operazione da sola. Controlli fisici (interruttori a chiave che richiedono due chiavi simultanee, interblocchi) impongono questo requisito invece di fare affidamento sulla conformità alle procedure. La TPI previene errori individuali e sabotaggi.

Limiti di turno: gestione della fatica:

Secondo il 10 CFR 26 (Fitness for Duty): la durata massima del turno è di 12 ore. Il periodo minimo di riposo tra i turni è di 8 ore. Il massimo di ore settimanali è di 54 ore (72 in emergenze con autorizzazione della direzione). Questi limiti esistono perché la privazione del sonno compromette significativamente il processo decisionale: allo stesso modo dell'alcol: e le operazioni nucleari richiedono un'attenzione sostenuta.

Requisiti di formazione:

- Programma di formazione certificato NRC su un simulatore full-scope specifico per l’impianto

- Licenza iniziale: esame scritto (superato/non superato, a scelta multipla e a tema) + prova operativa (valutazione pratica da parte di un esaminatore autorizzato NRC)

- Requalificazione: esame scritto annuale, esame operativo biennale su simulatore

- Esercitazioni di emergenza valutate: esercitazioni trimestrali in turno, esercitazione annuale di risposta alle emergenze su larga scala con la partecipazione dello Stato e delle contee

Procedure Operative di Emergenza (EOP):

Procedure basate sui sintomi, approvate dalla NRC. Invece di "se vedi l'Evento X, fai Y", le moderne EOP dicono "se osservi questi sintomi (alta pressione + basso livello + temperatura in aumento), entra in questa procedura". Questo approccio: sviluppato dopo TMI: è più robusto perché gli operatori rispondono a ciò che osservano piuttosto che a ciò che pensano ne sia la causa.

Progettazione della sala controllo: monitoraggio post-incidente indipendente dal DCS:

Gli strumenti di monitoraggio post-incidente devono essere leggibili dalla sala controllo anche se il sistema di controllo digitale dell'impianto (DCS) è completamente guasto. Si tratta di display cablati dedicati: indicatori analogici o display digitali qualificati con percorsi di alimentazione e segnale separati.

Progetta il tuo Sistema di Sorveglianza Umana

La sorveglianza umana è un sistema di sicurezza. Progettalo con lo stesso rigore dei tuoi circuiti di raffreddamento.

Selezione del sito e progettazione per pericoli esterni

Sezione 8: Progettazione del sito e civile

Il sito determina i pericoli esterni che il vostro impianto deve essere in grado di sopportare. La NRC richiede un'analisi completa dei pericoli esterni come parte del FSAR (Final Safety Analysis Report).

Progettazione sismica: Safe Shutdown Earthquake (SSE):

Ogni sito di centrale ha un Safe Shutdown Earthquake (SSE): il massimo terremoto per il quale l'impianto è progettato per sopravvivere, raggiungendo e mantenendo lo spegnimento sicuro. Le strutture di sicurezza (edificio del reattore, edificio di controllo, edifici ECCS, edifici EDG) devono essere di Categoria Sismica I: progettate per resistere all'SSE e rimanere funzionali. L'SSE è determinato da un'analisi probabilistica del pericolo sismico (PSHA) con un obiettivo di probabilità di superamento annuale di 10⁻⁴: un evento con periodo di ritorno di 10.000 anni. Il terremoto di progetto di Fukushima era di magnitudo 6,1; il terremoto reale è stato di 9,0. Non sottovalutare mai l'SSE.

Inondazioni: Probable Maximum Flood (PMF):

La PMF è la massima piena che potrebbe verificarsi nel sito sulla base di analisi meteorologiche e idrologiche. L’elevazione del piano di riferimento dell’impianto deve essere impostata al di sopra del livello della PMF, oppure l’impianto deve essere dotato di barriere antiallagamento (muri, porte, portelli) dimensionate per la PMF. Lezione critica da Fukushima: il muro di mare è stato progettato per 5,7 metri; lo tsunami reale ha raggiunto 15 metri. Il calcolo della PMF deve essere conservativo.

Pericoli esterni: impatto di aeromobili, vento estremo, esplosioni esterne:

- Impatto di aeromobili: dopo l’11 settembre, la NRC richiede che gli impianti commerciali di grandi dimensioni valutino (non necessariamente progettino per) l’impatto di aeromobili. Nuovi progetti come l’AP1000 e l’EPR includono la resistenza all’impatto di aeromobili nella progettazione del contenimento e della sala controllo.

- Vento estremo / tornado: tornado di progetto per ciascuna regione del sito secondo la Regulatory Guide 1.76. Protezione da missili: i missili generati dal tornado (pali di servizio, automobili) non devono poter penetrare le strutture di sicurezza.

- Esplosioni esterne: deve essere valutata la vicinanza a impianti chimici, terminali LNG, condotte o linee ferroviarie con carichi pericolosi.

Exclusion Area Boundary (EAB): 10 CFR 100:

L’EAB è il raggio minimo intorno all’impianto entro il quale l’operatore ha il controllo del terreno. Durante le due ore successive a un incidente di massima gravità, la dose di radiazioni all’EAB non deve superare 25 rem all’intero corpo (TEDE). Questo limite determina la progettazione del contenimento e la distanza dal confine del sito. Un impianto più grande con un termine sorgente maggiore richiede un EAB più esteso.

Zone di pianificazione di emergenza (EPZ):

Due zone intorno a ogni centrale nucleare:

- EPZ del percorso di esposizione al pennacchio: raggio approssimativo di 10 miglia. Azioni protettive: evacuazione, rifugio sul posto, distribuzione di ioduro di potassio, piani di controllo del traffico.

- EPZ del percorso di ingestione: raggio approssimativo di 50 miglia. Azioni protettive: restrizioni al consumo di cibo e acqua, monitoraggio di colture e prodotti lattiero-caseari.

La dimensione dell’EPZ non è determinata esclusivamente dalle dimensioni dell’impianto: è fissata dalla normativa NRC per tutti i reattori commerciali (con una certa flessibilità per gli SMR molto piccoli). I piani di emergenza devono essere sviluppati ed esercitati con i governi statali e locali.

Difendi il tuo sito

Ora giustifica le scelte di progettazione del sito e delle opere civili.

Processo di licenza NRC

Sezione 9: Percorso di licenza

Costruire un reattore senza licenza è illegale negli Stati Uniti. Il processo di licenza della NRC ai sensi del 10 CFR Part 52 è progettato per individuare problemi di sicurezza sulla carta: prima che venga versato il calcestruzzo. È anche il meccanismo attraverso il quale il pubblico, gli intervenienti e il personale tecnico della NRC possono contestare e migliorare il progetto.

10 CFR Part 52: Combined License (COL):

Il percorso di licenza moderno principale. Una COL combina il permesso di costruzione e la licenza di esercizio in un unico procedimento. Il richiedente dimostra che il progetto soddisfa i requisiti NRC e che il sito è accettabile. L’NRC rilascia la COL prima dell’inizio della costruzione. Durante la costruzione, gli Inspections, Tests, Analyses, & Acceptance Criteria (ITAAC) verificano che quanto costruito corrisponda al progetto autorizzato.

Design Certification (DC):

Un progetto di reattore può essere certificato dall’NRC indipendentemente da un sito specifico. Una Design Certification ha una validità di 15 anni. Una volta certificato, un’utilità che costruisce un impianto COL può fare riferimento al DC e non deve ri-discutere il progetto standard. L’AP1000 e l’ABWR sono progetti certificati. I progettisti di SMR (NuScale, GEH BWRX-300, Kairos, TerraPower) stanno perseguendo la certificazione di progetto per le loro tecnologie.

Final Safety Analysis Report (FSAR): 17 Capitoli:

Il FSAR è il documento tecnico al centro di ogni domanda di licenza. Descrive l’impianto e dimostra che soddisfa tutti i requisiti NRC. Capitoli principali:

- Capitolo 1: Introduzione e descrizione generale

- Capitolo 2: Caratteristiche del sito (sismica, allagamento, meteorologia, popolazione)

- Capitolo 4: Reattore (progettazione del combustibile, fisica del nocciolo, termoidraulica)

- Capitolo 5: Sistema di raffreddamento del reattore (circuito primario, barriera di pressione, ECCS)

- Capitolo 6: Sistemi di sicurezza ingegnerizzati (contenimento, ECCS, controllo dell'idrogeno)

- Capitolo 7: Strumentazione e controllo

- Capitolo 8: Alimentazione elettrica (esterna, interna, batterie, FLEX)

- Capitolo 9: Sistemi ausiliari

- Capitolo 13: Condotta delle operazioni (organizzazione, formazione, EOP)

- Capitolo 15: Analisi degli incidenti (incidenti di base progettuale: LOCA, rottura della linea principale del vapore, espulsione delle barre di controllo, ecc.)

- Capitolo 16: Specifiche tecniche (limiti operativi e requisiti di sorveglianza)

Valutazione Probabilistica del Rischio (PRA):

Un'analisi quantitativa di sicurezza che calcola la probabilità di danno al nocciolo e di rilascio precoce e massiccio. Due metriche chiave:

- Frequenza di Danno al Nocciolo (CDF): probabilità per anno-reattore di danno al nocciolo. Obiettivo NRC: < 1×10⁻⁴/anno-reattore. Obiettivi per reattori avanzati: < 1×10⁻⁵/anno-reattore.

- Frequenza di Rilascio Precoce e Massiccio (LERF): probabilità per anno-reattore di un rilascio radioattivo ampio e precoce prima che possano essere intraprese azioni protettive. Obiettivo NRC: < 1×10⁻⁵/anno-reattore.

La PRA identifica inoltre le sequenze incidentali più importanti (contributori dominanti alla CDF) e i sistemi e componenti più critici (misure di importanza): questo orienta le risorse per manutenzione, test e miglioramenti progettuali.

ITAAC: Ispezioni, Test, Analisi e Criteri di Accettazione:

Per ogni sistema e struttura di sicurezza, la COL specifica gli ITAAC: cosa deve essere ispezionato, testato o analizzato, e quale è il criterio di accettazione. Prima che la NRC autorizzi il caricamento del combustibile, tutti gli ITAAC devono essere completati e riportati. Se un ITAAC non viene superato, l’impianto non può avviarsi finché non viene corretto e l’ITAAC viene superato.

Costruzione e Test Pre-Operativi:

Dopo l’emissione della COL, inizia la costruzione. La NRC ispeziona la costruzione secondo gli Inspection, Testing, Analysis, & Acceptance Criteria (ITAAC). I test pre-operativi verificano che ogni sistema soddisfi le specifiche di progetto prima del caricamento del combustibile. L’autorizzazione al caricamento del combustibile richiede che il personale NRC determini che tutti gli ITAAC siano stati soddisfatti.

Traccia il tuo percorso di licenza

Descrivi il percorso di licenziamento per il tuo specifico design di reattore.

Presenta il Tuo Progetto Completo

Sezione 10: Revisione Finale del Progetto

Hai progettato ogni sistema principale di una centrale nucleare. Ora presenta il tuo progetto completo: come lo farebbe un Chief Nuclear Officer davanti al NRC Safety Review Committee.

Il tuo progetto deve dimostrare:

Ridondanza tripla completa per tutte e quattro le funzioni di sicurezza:

1. Raffreddamento: tre circuiti (RHR attivo, ECCS attivo con accumulatori passivi, PRHR o piscina passivi)

2. Arresto: tre sistemi (barre di controllo, borazione di emergenza, drenaggio passivo dell'assorbitore)

3. Alimentazione: tre fonti (rete esterna, generatori diesel di emergenza, batterie di stazione) più FLEX

4. Monitoraggio: tre canali indipendenti (A/B/C) con votazione 2-of-3, monitoraggio post-incidente

Caratteristiche di sicurezza passive:

- Coefficiente Doppler negativo (sempre presente nel combustibile a uranio)

- Coefficiente moderatore/void negativo per il tipo di reattore

- Rimozione passiva del calore di decadimento (circolazione naturale o piscina)

- Gestione degli incidenti gravi (IVR, core catcher o scarico MSR verso subcriticità)

- Gestione dell'idrogeno (PAR distribuiti nel contenimento)

Supervisione umana:

- Tre ruoli qualificati in loco 24/7

- Integrità a due persone con applicazione fisica

- Limiti di turni conformi

- Addestramento su simulatori specifici dell’impianto

- EOP basate sui sintomi

Siting:

- Criteri di progetto sismico (SSE, strutture sismiche di Categoria I)

- Protezione contro le inondazioni (PMF o barriere)

- Limite di dose EAB (25 rem TEDE)

- EPZ (plume da 10 miglia, zona di ingestione da 50 miglia)

La prova storica:

Il tuo progetto deve mostrare come previene le specifiche modalità di guasto di TMI, Chernobyl e Fukushima.

- TMI: Miglior monitoraggio post-incidente (livello RCS diretto), EOP basati sui sintomi, operatori addestrati

- Chernobyl: Coefficiente di vuoto negativo (nessun effetto scram positivo), autorità SCRAM indipendente, non è consentito disabilitare i sistemi di sicurezza da parte degli operatori

- Fukushima: Raffreddamento passivo (nessuna alimentazione AC necessaria), equipaggiamento FLEX elevato, carburante diesel per 14 giorni, sito sopra il PMF

Revisione Completa del Progetto

Questa è la tua difesa del progetto. Rispondi in modo completo: ogni omissione sarà contestata.

Come il tuo progetto previene TMI, Chernobyl e Fukushima

Sezione 11: Prevenire il Passato

I tre principali incidenti nucleari hanno definito i moderni requisiti di sicurezza dei reattori. Ogni sistema di ridondanza che hai progettato ha un antenato specifico in uno di questi incidenti.

Three Mile Island (TMI), 1979: Pennsylvania, USA:

Una valvola di sfogo pilotata (PORV) rimasta aperta ha permesso al refrigerante primario di defluire per ore. La spia luminosa indicava che la valvola era stata COMANDATA in chiusura, non che fosse effettivamente chiusa. Gli operatori, confusi da indicatori contrastanti, hanno ridotto l’iniezione dell’ECCS perché credevano che il sistema si stesse riempiendo eccessivamente. Il nocciolo è rimasto scoperto, si è surriscaldato e si è parzialmente fuso.

Lezioni: (1) Monitoraggio diretto post-incidente: gli operatori devono poter vedere la posizione reale della valvola, il livello reale del refrigerante, la temperatura reale del nocciolo. (2) EOP basate sui sintomi: gli operatori reagiscono a ciò che osservano, non a ciò che pensano ne sia la causa. (3) Migliore addestramento degli operatori sul riconoscimento e la risposta agli incidenti.

Chernobyl, 1986: RSS Ucraina, URSS:

Un test di sicurezza è stato eseguito con il reattore a bassa potenza (zona instabile) e con numerosi sistemi di sicurezza disabilitati o bypassati. Il reattore RBMK presentava un elevato coefficiente di vuoto positivo: quando il refrigerante bolliva, la reattività aumentava. Quando gli operatori hanno tentato lo spegnimento, le barre di controllo con punta in grafite hanno causato un breve picco di potenza (effetto scram positivo). Un transitorio di potenza di circa 30.000 MW ha distrutto il reattore con un’esplosione di vapore e un incendio della grafite.

Lezioni: (1) Assenza di coefficiente di vuoto positivo nei reattori commerciali. (2) I sistemi di sicurezza non devono poter essere bypassati durante il normale funzionamento. (3) Autorità SCRAM indipendente: nessun direttore di prova può annullare il giudizio di sicurezza del capo turno. (4) Addestramento degli operatori sulla fisica del reattore, non solo sul seguire le procedure.

Fukushima Daiichi, 2011: Giappone:

Un terremoto di magnitudo 9.0 ha innescato uno tsunami di 15 metri che ha allagato e distrutto i generatori diesel di emergenza a Fukushima Daiichi. Senza alimentazione AC e con i diesel distrutti, il calore di decadimento ha fatto evaporare il refrigerante nelle Unità 1, 2 e 3. L'idrogeno prodotto dalla reazione Zircaloy-vapore ha fatto esplodere gli edifici dei reattori. Tre noccioli si sono fusi in 72 ore.

Lezioni: (1) Raffreddamento passivo che non richiede alimentazione. (2) Diesel e batterie posizionati sopra il livello di allagamento o protetti dalle inondazioni. (3) Attrezzature portatili FLEX stoccate in posizioni diverse e accessibili. (4) La base di progetto PMF deve essere conservativa. (5) Il blackout esteso della centrale deve essere progettato per: non solo analizzato.

Collega il tuo progetto alla storia

Questa è la domanda finale del progetto conclusivo.