IAEA 정의

다중 방호: 안전을 조직하는 철학

국제원자력기구(IAEA)는 다중 방호를 각 계층이 이전 계층의 백업 역할을 하는 다층적 안전 접근 방식으로 정의합니다. 어떤 단일 계층도 완벽하다고 가정하지 않습니다. 안전성은 여러 독립적인 계층을 갖추는 데 의존하므로, 단일 고장이나 단일 근본 원인으로 인한 고장 조합이 피해로 이어지지 않도록 합니다.

다중 방호는 모든 규모에서 작동합니다:

물리적 장벽: 핵연료 매트릭스 → 핵연료 피복관 → 원자로압력용기 → 격납건물 → 원자로건물 (연료와 환경 사이에 4~5개의 물리적 경계)

안전계통: 각 기능(냉각, 정지, 전원)은 최소 3개의 독립된 계통으로 수행됨

절차서: 모든 운전은 문서화된 절차서에 따라 수행되며, 설계기준사건에 대한 이상 및 비상절차서가 마련됨

운전원: 면허를 보유하고 교육·훈련을 받은 자격자이며, 충분한 휴식을 취하고 있으며, 독립적인 정지 권한을 가짐

경영층: 핵안전문화, 규제 감독, 독립적인 안전성 검토

규제: NRC 10 CFR 50 설계기준 요건, 인가된 운전, 정기 검사

핵심 원칙: 실패한 계층은 신뢰하지 않는다. 방벽이 온전한지 확인할 수 없다면, 그 방벽은 고장난 것으로 간주한다. 시스템 전체는 단 하나의 구성 요소가 고장 나더라도 안전하도록 설계되어 있으며, 이를 단일 고장 기준(Single Failure Criterion)이라고 한다.

중복성, 다양성 및 독립성

방어 기능을 실질적으로 만드는 세 가지 특성

원자력 안전 시스템은 세 가지 서로 다른 특성을 반드시 만족해야 한다. 이들을 혼동하는 것은 흔하면서도 위험한 오류이다.

중복성(Redundancy)이란 동일한 기능을 수행하는 장치를 여러 대 두는 것을 의미한다. 예를 들어 디젤발전기 3대를 설치하는 것은 중복성이다. 그러나 이들이 모두 동일한 연료탱크, 동일한 기동 논리, 또는 동일한 물리적 공간을 공유한다면, 중복성만으로는 공통원인고장(Common Cause Failure)을 막을 수 없다.

다양성(Diversity)이란 동일한 기능을 수행하기 위해 서로 다른 물리적 원리나 서로 다른 장비를 사용하는 것을 의미한다. 고압주입펌프와 질소 가압식 축압기는 모두 노심에 물을 공급하지만, 완전히 다른 원리로 작동한다. 다양성은 단일 설계의 모든 중복 장치를 동시에 무력화할 수 있는 고장 모드를 방지한다.

독립성이란 한 계통의 고장이 다른 계통의 작동을 유발하거나 방해할 수 없음을 의미합니다. 독립성을 확보하려면 다음이 필요합니다:

- 별도의 전원 버스 (서로 다른 전기 공급원)

- 물리적 분리 (차단벽, 별도 건물, 원자로의 반대쪽 배치)

- 별도의 작동 논리 (Train A의 단락이 Train B를 무력화할 수 없음)

- 별도의 계측기 (Train A 센서가 Train B 작동에 영향을 주지 않음)

공통원인고장(CCF)은 최악의 시나리오입니다. 단일 사건이 여러 중복 계통을 동시에 무력화시키는 경우입니다. 후쿠시마 사고가 대표적인 예입니다. 쓰나미는 단순히 외부 전원 상실만이 아니었습니다. 모든 비상디젤발전기가 같은 저지대 건물에 있었기 때문에 동시에 무력화되었습니다. 독립성이 없는 중복성은 환상에 불과합니다.

단일 고장 기준

NRC의 단일 고장 기준(10 CFR 50, Appendix A, General Design Criterion 17)은 안전계통이 단일 능동 부품의 고장으로도 안전 기능을 수행할 수 있도록 설계되어야 한다고 규정합니다.

‘능동’ 고장이란 상태 변화가 필요한 고장을 의미합니다. 예를 들어 펌프가 기동되지 않거나 밸브가 열리지 않는 경우입니다.

‘수동’ 고장(예: 배관 균열)은 별도의 설계 요건으로 다룹니다.

왜 세 개의 계통인가?

모든 안전 중요 계통: 세 개의 독립된 계통

삼중화 규칙은 단순히 '셋이 둘보다 안전하다'는 의미가 아닙니다. 이는 특정한 특성을 가진 정밀한 공학적 요구사항입니다.

각 트레인은 독립적으로 안전기능의 100%를 수행할 수 있어야 합니다. 트레인 A가 냉각을 담당한다면 필요한 모든 냉각을 처리해야 합니다. 트레인 B와 C는 부분적으로 기여하는 것이 아니라 완전한 백업입니다.

트레인은 물리적으로 분리되어야 합니다. 별도의 건물에 설치하거나, 최소한 방화벽으로 분리해야 합니다. 케이블 경로와 배관 경로도 달라야 합니다. 화재, 홍수, 폭발이 한 트레인에 영향을 주더라도 다른 트레인에는 미치지 않아야 합니다.

트레인은 별도의 전원공급을 가져야 합니다. 서로 다른 전원에서 공급되는 별도의 전기 버스를 사용해야 합니다. 트레인 A는 버스 A, 트레인 B는 버스 B, 트레인 C는 버스 C에 연결되며, 각 버스에는 전용 비상 디젤발전기가 있어야 합니다.

트레인은 별도의 작동 논리를 가져야 합니다. 트레인 A의 작동 회로에서 릴레이 고장이 발생하더라도 트레인 B의 작동을 막아서는 안 됩니다. 이상적으로는 서로 다른 작동 원리(다양성)를 사용해야 합니다.

왜 3개이고 2개가 아닌가? 세 개의 트레인을 사용하면 2-out-of-3 투표 논리를 통해 단일 구성 요소 고장이 발생하더라도 두 개의 트레인이 여전히 작동 상태를 유지합니다. 따라서 단일 고장 기준을 충족하면서 공통 원인 고장에 대한 보호도 어느 정도 확보할 수 있습니다. 반면 두 개의 트레인만 사용하면 단일 고장 발생 시 하나의 트레인만 남게 되어 여유가 없고, 두 번째 고장에 대한 방어가 없습니다.

다양성 vs. 중복성

PWR의 비상노심냉각계통을 고려해 보자. 한 가지 접근법은 세 대의 동일한 고압주입펌프를 각각 별도의 디젤발전기로 구동하고, 별도의 격실에 설치하는 것이다.

두 번째 접근법은 한 대의 고압주입펌프, 전원이 필요 없는 질소가압 축압기, 그리고 고위 저수조로부터 중력으로 물을 공급하는 탱크를 함께 사용하는 것이다.

두 방식 모두 노심에 물을 공급하는 세 가지 수단을 제공한다.

ECCS: 노심의 최후 방어선

비상노심냉각계통

PWR의 설계기준사고는 냉각재상실사고(LOCA)입니다. 원자로냉각재계통의 파단으로 1차 냉각재가 유출되는 사고입니다. 대형 LOCA의 경우 수초 내에 노심이 노출될 수 있으며, 즉각적인 주수가 이루어지지 않으면 피복관 온도가 2,200°F를 초과하여 지르코늄 산화가 진행되고, 핵연료 손상이 시작됩니다.

일반적인 PWR의 ECCS는 사고의 각 단계에서 작동하는 네 가지 하위계통으로 구성됩니다:

고압주입계통(HPIS): 원자로냉각재 압력이 낮거나 격납용기 압력이 높을 때 즉시 작동합니다. 압력이 아직 높은 상태(~200 psi 이상)에서도 붕산수를 원자로냉각재계통에 주입합니다. 비상디젤발전기로 구동되는 모터구동펌프를 사용하며, 설계에 따라 유량은 500~1,500 gpm입니다.

축압기(Accumulator) (또는 노심주수탱크): 질소로 가압된 수동식 탱크로 붕산수가 들어 있습니다. 원자로냉각재 압력이 질소 압력(보통 600~700 psi) 이하로 떨어지면 자동으로 주입됩니다. 전원이 필요 없으며, 질소 압력으로 물을 노심에 밀어 넣습니다. 각 축압기는 약 1,000갤런을 저장합니다.

저압주입계통(LPIS): 압력이 낮을 때(<200 psi) 작동합니다. 대형냉각재상실사고(LOCA) 시 수천 gpm의 대유량을 제공합니다. 사용후연료저장탱크(RWST)가 비워지면 섬프 재순환 모드로 전환되어 격납용기 섬프의 물을 다시 노심으로 순환시킵니다. 붕괴열 제거를 위해 수주 동안 계속 작동해야 합니다.

잔열제거계통(RHR): 붕괴열제거계통이라고도 합니다. 주요 목적은 원자로가 냉간정지 상태에 도달한 후 붕괴열을 제거하는 것입니다. 저압·저온에서 작동하며, 열교환기를 통해 냉각재를 순환시킵니다. 저압주입 기능도 겸합니다.

BWR Core Spray Systems: 비등수형 원자로는 연료 다발 위에 위치한 노즐을 통해 연료봉에 직접 물을 분사합니다. 이는 PWR의 침수 방식과는 다른 기하학적 구조입니다.

붕괴열 곡선

붕괴열 곡선은 원자력 안전에서 가장 중요한 수치 중 하나입니다. 원자로 정지 후:

- t = 0초: 정격 출력의 약 7% (3,400 MW 원자로 기준 240 MW)

- t = 1분: 약 3.5%

- t = 1시간: 약 1% (~34 MW)

- t = 1일: 약 0.3% (~10 MW)

- t = 1 week: ~0.1%

- t = 1 year: 연료는 장수명 동위원소로부터 여전히 측정 가능한 열을 발생시키고 있음

냉각 펌프를 작동시킬 전력이 전혀 없는 상태에서 10메가와트의 열이 무기한 지속되었습니다. 이것이 바로 2011년 3월 11일 후쿠시마 다이이치 원전에서 발생한 상황입니다.

수동식 ECCS: AP1000 설계

차세대: 수동 안전

웨스팅하우스 AP1000(Advanced Passive 1000 MWe)은 기존 능동형 ECCS의 교훈을 바탕으로 설계 철학을 완전히 뒤집었습니다. 전원이 필요한 펌프 3계통 대신, 모든 안전 기능이 중력, 자연순환, 압축가스, 증발에 의존합니다.

노심 보충 탱크(CMT): 원자로 위에 설치된 2개의 대형 붕산수 탱크입니다. 평상시에는 격리되어 있으며, 작동 시 중력에 의해 원자로냉각재계통으로 물이 주입됩니다. 각 탱크는 노심을 수 시간 동안 덮을 수 있는 충분한 물을 보유하고 있습니다.

축압기: 기존 플랜트와 동일: 질소 가압식, 피동 주입.

격납건물 내 재장전수 저장탱크(IRWST): 격납건물 내부에 위치한 대형 수조로, 원자로 위쪽에 설치됨. 중력 주입 방식. CMT가 비워진 후 장기 냉각을 제공. 펌프 불필요. 전원 불필요.

피동 잔열제거 열교환기(PRHR HX): IRWST에 잠겨 있음. 자연순환에 의해 원자로의 붕괴열이 IRWST 수조로 전달되며, 수조의 물은 가열되어 비등한 후 굴뚝을 통해 대기로 배출됨. 펌프 불필요. 완전 피동 방식.

72시간 대응 기간: AP1000 안전해석은 운전원 조치 및 전원 공급 없이 72시간 동안 노심 냉각이 가능함을 입증함. 72시간 이후에는 운전원이 IRWST에 임의의 수원을 이용해 물을 보충할 수 있음.

이 설계 다양성(수동식 vs. 능동식)이 바로 다양성의 중요성을 보여줍니다. AP1000의 안전계통은 후쿠시마를 파괴한 고장 모드에 영향을 받지 않습니다.

[TITLE containment/]

최후의 물리적 방벽

격납구조: 최후의 경계

모든 안전계통이 실패하고 핵연료가 손상되더라도, 격납구조는 방사성 물질과 공중 사이의 마지막 방벽입니다. 증기 내부 압력, 수소 연소, 고장 장비로부터의 미사일 충격을 견뎌야 하며, 필요한 시간 동안 유지되어야 합니다.

PWR 건식 격납구조: 일반적으로 직경 140피트, 높이 200피트 규모의 철강 라이닝 보강 콘크리트 구조물입니다. 최대 규모의 1차 냉각재 배관이 완전 이중단 단절되는 사고 시 발생하는 증기 압력을 견디도록 설계되었습니다(설계 압력 약 60 psi). 철강 라이너는 압력 경계를 형성하며, 콘크리트는 구조적 강도와 차폐 기능을 제공합니다.

아이스 콘덴서 격납용기: 일부 웨스팅하우스 PWR 플랜트에서 사용되는 소형·저압 격납용기 설계로, 수백 톤의 얼음을 이용해 증기 에너지를 흡수하고 LOCA 시 격납용기 압력을 낮게 유지합니다. 구조물을 더 작고 저렴하게 만들 수 있지만, 주기적인 얼음 유지보수가 필요합니다.

이중 격납용기: 일부 설계에서는 내부 강철 격납용기를 외부 콘크리트 2차 격납용기 건물 안에 배치합니다. 두 격납용기 사이의 공간은 약간의 부압으로 유지되어 내부 격납용기에서 누출된 물질이 방출되기 전에 포집·여과됩니다.

BWR 격납용기: Mark I, II, III: 제너럴 일렉트릭 BWR 격납용기는 압력 억제 수조(토러스 또는 웨트웰)를 사용해 증기를 빠르게 응축하기 때문에 크기가 작습니다. Mark I(후쿠시마 설계)은 드라이웰-토러스 구조로, 토러스는 드라이웰 아래에 있는 대형 도넛 모양의 물 수조입니다. 약점: 토러스가 드라이웰 바닥에 연결되어 있어 토러스가 파손되면 격납용기도 파손됩니다. 이는 후쿠시마 1호기에서 실제로 발생한 상황입니다.

수동 자촉매 재결합기(PAR): 후쿠시마 사고 이후 대부분의 격납용기에는 PAR이 설치되었습니다. PAR은 팔라듐 또는 백금 같은 촉매 물질을 포함한 장치로, 수소와 산소를 점화 없이 낮은 농도에서 반응시켜 물을 생성합니다. 이를 통해 수소가 축적되어 폭연 또는 폭발이 발생하는 것을 방지합니다.

여과형 격납용기 배기: 후쿠시마 이후 유럽 및 미국에서 점차 요구되는 사항으로, 다단계 필터 시스템(벤투리 스크러버 + 금속 섬유 필터)이 장착된 강화된 배기 경로를 통해 운전원이 격납용기를 의도적으로 배기하면서도 입자상 방사능의 99.9% 이상을 제거할 수 있게 한다. 이는 과압으로 인한 격납용기의 비제어적 파손을 방지한다.

설계기준 및 설계기준초과사고

격납용기가 설계된 대상

설계기준사고(DBA): NRC는 격납용기가 다음 사고를 동시에 견딜 것을 요구한다:

- 대형 냉각재상실사고(LOCA): 가장 큰 1차 냉각재 배관의 완전 절단, 최대 냉각재 방출

- LOCA와 동시에 발생하는 외부 전원 상실(LOOP): 가장 필요할 때 전력망 전원이 없음

- 주증기관 파단(Main steam line break): 격납용기 내부에서 고에너지 증기 방출

- 핵연료 취급 사고(Fuel handling accident): 핵연료 집합체 낙하로 인한 손상 핵연료로부터의 핵분열 생성물 방출

초설계기준사건(BDBA): 9·11 테러 및 후쿠시마 사고 이후, 원전은 다음 사항도 대처해야 함:

- 전원 완전 상실(SBO): 모든 교류 전원 장기 상실 (TMI 사고 후 요구사항, 후쿠시마 사고 후 강화)

- 설계기준 초과 홍수: 후쿠시마 사고로 설계기준 홍수 높이가 과소평가되었음이 드러남

- 항공기 충돌: NRC는 9·11 테러 이후 의도적 항공기 충돌 분석을 요구하며, 신규 원전은 구조적 생존성을 입증해야 함

- 사용후핵연료저장조 냉각 상실: 후쿠시마 4호기 사용후핵연료저장조가 거의 비등 건조될 뻔함; 후쿠시마 사고 이후 전용 SFP 보충수 연결부 설치 요구사항이 추가됨

Mark I 취약성

후쿠시마 다이이치 1, 2, 3호기는 모두 GE Mark I 격납용기를 사용했다. Mark I은 원자로를 둘러싼 전구 모양의 강철 건식웰(drywell)과, 다운커머(downcomer)로 연결된 토로이달 억제수조(토러스)로 구성된다. 건식웰에서 발생한 증기는 토러스 수조로 유도되어 응축된다.

사고 당시 2호기 토러스가 손상된 것으로 추정되며, 이에 따라 핵분열 생성물이 완전한 격납용기 경계를 거치지 않고 원자로 건물을 통해 대기로 직접 누출된 것으로 보인다.

정지 시스템

반응도 제어: 정지를 위한 세 가지 독립 경로

원자로는 어떤 조건에서도 정지할 수 있어야 하며, 정지 상태를 유지할 수 있어야 합니다. 단일 고장으로 인해 정지가 방해되어서는 안 됩니다. 일반 설계 기준(GDC 26)은 각각 원자로를 미임계 상태로 유지할 수 있는 두 개의 독립적인 반응도 제어 시스템을 요구합니다.

제어봉 구동장치(CRDM):

- PWR 자기식 잭 CRDM: 제어봉은 전자석에 의해 유지됩니다. 전원 상실(SCRAM 신호 또는 전원 상실) 시 전자석이 소자되어 제어봉이 중력에 의해 노심으로 낙하합니다. Fail-safe: 제어봉을 OUT 상태로 유지하려면 전원이 필요합니다. 전원 상실 = 자동 삽입.

- BWR 유압식 CRDM: 제어봉은 고압수에 의해 아래에서 위로 구동됩니다. 비상 삽입 시 고압 질소를 사용하여 제어봉을 신속하게 삽입합니다. 일부 BWR 설계에서는 전기식 백업 삽입 기능도 있습니다.

대체 제어봉 삽입(ARI): 정상 SCRAM 로직과 독립적으로 제어봉을 삽입할 수 있는 별도의 다중 전기 신호 경로입니다. 정상 SCRAM 회로가 고장난 경우 사용됩니다.

예상 과도상태 SCRAM 미발생(ATWS): 제어봉이 요구 시 삽입되지 않는 규제 시나리오입니다. ATWS 완화 시스템(ATWS-MF)은 정상 SCRAM과 독립적으로 붕소 주입을 제공합니다: 일반적으로 별도의 센서 세트에 의해 자동으로 고압 붕소 주입이 작동됩니다.

비상 붕산 주입:

- 별도의 스탠드파이프를 통한 고압 붕산 주입 (일반 충전 계통과 별도)

- ECCS 붕산 주입 라인을 통한 비상 붕산 주입

- 붕산 저장 탱크로부터의 수동 붕산 주입

피동형 설계: CANDU 원자로: CANDU는 완전히 독립된 두 개의 정지 계통을 갖추고 있습니다: (1) 중력에 의해 낙하하는 기계식 정지봉, (2) 감속재에 가돌리늄 질산염 용액을 고압 주입하는 계통: 별도의 물리적 회로. 이 두 계통은 작동 논리, 물리적 계통, 작동 원리 모두에서 완전히 독립적입니다.

ATWS 분석

1979년 Three Mile Island Unit 2에서 시험 중 유지보수 오류로 인해 원자로 정지(SCRAM)가 발생하지 않았습니다. 사건은 신속히 발견되었으나, NRC는 모든 원전에 ATWS 완화 시스템을 의무화했습니다. ‘고장 불가능’하다고 여겨졌던 시스템도 실제로는 고장 날 수 있음이 드러났기 때문입니다.

PWR에서의 ATWS 사건: 원자로 출력이 급증합니다. 제어봉이 삽입되지 않습니다. 비상 붕산 주입이 최후의 방어선입니다.

3계층 전력 구조

원자력발전소 전력: 3개의 독립 계층

원자력발전소는 전력망이나 자체 발전 설비에 문제가 생기더라도 안전계통에 전력을 공급해야 합니다. 전력 구조는 세 개의 계층으로 구성됩니다:

계층 1: 정상 운전: 발전소는 주 터빈발전기에서 자체 전력을 생산합니다. 보조 부하(펌프, 송풍기, 제어장치)는 단위 보조 변압기를 통해 발전소 자체 출력으로 공급됩니다.

Layer 2: Offsite power (preferred AC source): If the main generator trips, the plant connects to the grid through startup/reserve transformers. NRC requires at least two independent transmission lines from different substations: so a single transmission fault cannot cause total offsite power loss.

Layer 3: Emergency diesel generators (EDGs): If offsite power is lost, EDGs start automatically and load safety buses within 10 seconds. NRC requirements:

- Each EDG must reach rated voltage & frequency within 10 seconds of receiving a start signal

- Fuel storage: minimum 7 days at full load (NRC Regulatory Guide 1.9)

- Testing: monthly load test + 24-hour endurance test every 24 months

- Load sequencing: safety loads are connected in sequence to avoid overloading the diesel on start

스테이션 배터리: 계측기, 제어실 패널, 비상 조명, SCRAM 작동 회로, ATWS 작동, 통신용 DC 전원. 최소 2시간 동안 부하를 공급해야 하며(Class 1E), 대부분의 플랜트는 4~8시간을 설계 목표로 함. 배터리 충전기는 AC 전원이 복구되면 배터리를 재충전함.

후쿠시마 이후 FLEX 전략: NRC 명령 EA-12-049에 따라 모든 플랜트는 현장 조건과 관계없이 정해진 시간 내에 배치할 수 있는 이동식 펌프 및 발전기를 보유해야 함. FLEX 장비는 여러 위치(일부는 견고한 구조물 내, 일부는 부지 외)에 배치되며, 원자로 냉각 및 사용후핵연료 저장조 시스템의 강화된 외부 연결점에 연결할 수 있음.

디젤 발전기 요구사항

1979년 쓰리마일 아일랜드 2호기: 사고는 터빈 트립 후 급수 상실로 이어졌으며, 일련의 복잡한 사건으로 인해 노심 손상이 발생함. 비상 디젤 발전기는 사고 전 과정에서 정상적으로 기동 및 운전됨.

2011년 후쿠시마 다이이치: 지진으로 인해 원자로 SCRAM이 발생함. 6기 모두 디젤이 기동 및 운전됨. 이후 쓰나미가 도달함. 1~3호기의 디젤은 지하실에 위치하여 침수되었으나, 6호기의 디젤은 높은 위치에 있어 생존함. 5호기와 6호기는 노심 손상을 입지 않음.

원자로 보호계통

원자로 보호 계통 (RPS)

원자로 보호 계통은 감시 중인 변수가 안전 한계를 초과할 때 원자로 SCRAM(급속 정지)을 자동으로 개시하는 계통입니다. 이는 과도 현상에 대한 첫 번째 자동 방어 수단입니다.

SCRAM을 개시할 수 있는 감시 변수:

- 고 중성자속 (고 출력)

- 고 원자로 냉각재 온도

- 저 원자로 냉각재 압력 (LOCA 가능성)

- 고 격납용기 압력

- 원자로 냉각재 유량 낮음

- 냉각재 수위 높음 (BWR)

- 수위 극저 (BWR)

- 외부 전원 상실

- 수동 트립 (운전원 조작)

투표 논리: 각 변수는 서로 다른 보호 채널에 설치된 4개의 독립 센서로 측정됩니다. SCRAM은 2-out-of-4 채널이 설정치를 초과할 때 발생합니다. 즉:

- 단일 센서 고장(오판독)으로 인한 불필요한 트립 방지

- Any two channels exceeding the setpoint initiates the trip

- A single failed channel (reading low falsely) leaves three channels, still 2-of-3 capable

Diverse and Dedicated Actuation System (DDAS): Modern digital RPS systems have an analog backup: DDAS: that can initiate safety functions independently of the digital I&C. This provides diversity: the digital and analog systems can fail for completely different reasons, and one failure does not prevent the other from functioning.

2-of-4 vs 2-of-3 Logic

The RPS uses 2-of-4 voting for initiating SCRAM (four sensors, two must agree to trip). But the individual sensors report to the actuation system using 2-of-3 voting within each train (three measurements, two must agree to actuate a specific safety function like ECCS).

이것들은 동일한 것이 아니며, 그 차이를 이해하는 것이 중요합니다.

최소 인력 배치

인간 감독: 생각하는 계층

원자력발전소 운전에는 항상 NRC 면허를 가진 인력이 교대 근무해야 합니다. NRC 10 CFR 50.54(m)은 최소 인력 배치 요건을 규정합니다. 최소한 운전 교대조에는 다음이 포함됩니다:

원자로 운전원(RO): NRC 면허 보유자(10 CFR 55). 원자로 제어, 주제어판 및 안전계통을 직접 운전합니다. 출력 운전 중에는 항상 제어 위치에 있어야 합니다.

Senior Reactor Operator (SRO): 상급 NRC 면허 보유자. RO를 감독하며, 독립적으로 정지(shutdown)를 개시할 권한이 있다. 비정상 상황에서 RO의 조치를 검토하고 승인한다. 교대 근무 시 RO와 동일 인물이 될 수 없다.

Shift Supervisor (SS): SRO 면허를 보유한 최고 책임자. 교대 근무 중 플랜트 운영 전반과 안전에 대한 책임을 지며, 현장에서 플랜트 운영에 대한 최종 권한을 가진다.

Shift Technical Advisor (STA): TMI 사고 이후 요구사항(NUREG-0737). 각 교대마다 배치되는 면허 보유 엔지니어로, 비정상 상황 시 독립적인 기술 지원을 제공한다. 조작 제어에 관여하지 않고, 사건 진단에만 전념한다.

왜 여러 명이 필요한가? 인간 계층에서의 다중 방어 개념이다. RO는 스트레스 속에서 절차 수행에 집중하다가 전체 상황을 놓칠 수 있다. SRO는 독립적인 감독을 제공하고, STA는 독립적인 기술 분석을 수행하며, 교대 감독자는 상황 인식을 유지한다. 단일 인간 인지 오류가 플랜트의 안전한 제어를 방해할 수 없도록 한다.

인간 수행 도구

인간 오류 감소: 체계적 도구

원자력 산업은 다양한 작업 유형에 대한 인간 오류율을 정량화했습니다. 스트레스 상황에서의 복잡한 의사결정 오류율은 10분의 1을 초과할 수 있습니다. 산업계는 중요 작업에서 1,000분의 1 이하의 오류율을 목표로 하며, 체계적인 인간 수행 도구를 통해 이를 달성합니다.

사전 작업 브리핑: 중요한 작업을 수행하기 전에 브리핑을 통해 작업 목표, 위험 요소, 예상 조건, 완료 확인 단계, 정지 조건(만약 X가 발생하면 작업을 중지하고 감독자에게 보고)을 다룹니다. 소요 시간은 5~15분이며, 작업 수행 오류를 크게 줄입니다.

STAR (Stop, Think, Act, Review): 모든 중요 작업에 대한 자기 확인 기법입니다. Stop: 행동 전에 잠시 멈춥니다. Think: 지금 하려는 행동이 무엇이며, 올바른가? Act: 행동을 수행합니다. Review: 결과가 예상과 일치했는가? 2초의 멈춤으로 전치 오류, 잘못된 밸브 선택, 인지적 지름길을 방지합니다.

3-way 통신: 안전에 중요한 구두 지시에는 다음을 적용합니다. (1) 지시자가 명령을 말합니다: '밸브 HV-233을 열림 위치로 정렬하시오.' (2) 수신자가 정확히 반복합니다: '밸브 HV-233을 열림 위치로 정렬하시오.' (3) 지시자가 확인합니다: '그대로입니다.' 이 교환에서 잡히지 않은 통신 오류는 매우 드물며, 양측이 모두 잘못 듣거나 잘못 기억해야 발생합니다.

2인 무결성(Two-person integrity): 특정 고위험 작업(보안 관련, 선원 취급 등)에서는 2명의 면허 보유자가 반드시 함께 있어야 하며, 서로의 행동을 확인해야 합니다. 어느 한 사람도 단독으로 민감한 작업을 수행할 수 없으며, 두 번째 사람은 반드시 현장에 있어 각 단계를 확인해야 합니다.

피로 관리(Fatigue management): NRC 10 CFR 26은 다음과 같은 제한을 규정합니다: 최대 근무 16시간, 복귀 전 최소 8시간 휴식, 주당 최대 54시간, 초과근무 시 주당 최대 72시간. 피로는 판단력을 음주와 비슷한 수준으로 저하시키므로, 이 제한은 생산성 권고가 아니라 안전 필수 요건입니다.

비상운전절차

1979년 쓰리마일섬 사고 이전에, 원전은 사건 기반(event-based) 비상절차를 사용했습니다. X 사건이 발생하면 X 절차를 수행하는 방식으로, 운전원은 조치를 취하기 전에 반드시 사건을 정확히 식별해야 했습니다.

TMI에서 운전원은 모순된 지시를 받았다. 압력방출밸브가 열린 채로 고착되어 있었으며, 이는 소형파단 LOCA였으나 운전원은 사건을 잘못 판단하고 잘못된 절차를 수행하였다. 올바른 진단이 이루어질 때쯤에는 이미 상당한 노심 손상이 발생한 상태였다.

TMI 사고 이후, 원자력산업계는 증상기반 비상운전절차(Symptom-based Emergency Operating Procedures, EOPs)를 개발하였다. ‘사건을 식별하고 절차를 선택’하는 대신, 운전원은 ‘증상을 관찰하고, 사건이 무엇이라고 생각하든 상관없이 해당 증상에 대한 보호 조치를 수행’한다.

증상기반 절차의 주요 진입 조건은 원자로냉각재 수위·압력·온도의 예기치 않은 변화이며, 원인과 관계없이 동일한 노심냉각 확인 절차를 시작하게 한다.

ALARA: As Low As Reasonably Achievable

방사선 방호 공학

ALARA: As Low As Reasonably Achievable는 단순한 선량 한도가 아닙니다. 이는 철학입니다. 선량은 법적 한도 이하로 유지되는 것뿐만 아니라 실질적으로 가능한 한 낮게 관리되어야 합니다. NRC는 ALARA를 단순한 모범 사례가 아니라 규제 요건(10 CFR 20.1101)으로 의무화하고 있습니다.

외부 선량 관리: 세 가지 기본 통제 수단:

- 시간: 방사선 구역 내 체류 시간을 절반으로 줄이면 선량도 절반으로 줄어듭니다. 사전 계획된 작업 순서는 고선량 구역에서의 불필요한 체류를 최소화합니다.

- 거리: 선량률은 역제곱 법칙을 따릅니다. 점선원으로부터 거리를 2배로 늘리면 선량률은 1/4로 줄어듭니다. 3피트 대신 6피트에서 작업하면 선량이 75% 감소합니다.

- 차폐: 납, 콘크리트, 물, 폴리에틸렌은 서로 다른 방사선 종류를 감쇠시킵니다. 반가층(HVL)은 강도를 절반으로 줄이는 두께를 의미합니다. 일반적인 감마선에 대한 납 HVL은 약 1 cm, 콘크리트 HVL은 약 6 cm입니다. 10 HVL(10 TVL = Tenth Value Layer) 이후에는 강도가 원래의 1/1,000로 감소합니다.

내부 피폭 관리:

- 체내에 들어간 방사성 물질은 붕괴되거나 배출될 때까지 장기를 계속 조사합니다.

- 경로: 흡입(에어로졸, 가스), 섭취(오염된 음식/물), 피부 흡수(드묾)

- 유도 공기 농도(DAC): 1년간 2,000시간 흡입 시 직업적 선량 한도를 초래하는 공기 중 방사성 핵종 농도입니다. 호흡보호구와 음압 격리 장치는 흡입 선량을 방지합니다.

- Annual Limit on Intake (ALI): 총 섭취량(흡입 + 섭취)으로 직업적 선량 한도를 초래하는 양

직업적 선량 한도 (10 CFR 20):

- 연간 총 유효 선량 당량 5 rem (50 mSv)

- 분기당 3 rem (30 mSv)

- 눈 수정체에 연간 15 rem (150 mSv)

- 피부 또는 사지에 연간 50 rem (500 mSv)

- ALARA 계획을 위한 선량 제약: 연간 2 rem (시설별 행정 한도는 더 낮은 경우가 많음)

오염 관리:

- 방사선관리구역(RCA)은 출입이 통제되며, 퇴장 시 프리스킹(frisking)을 실시합니다.

- 스텝-오프 패드: RCA 출구에 종이나 플라스틱으로 설치되며, 신발 커버를 여기서 교체하여 오염 물질이 외부로 확산되는 것을 방지합니다.

- 전신계수(Whole-body counting): 내부 오염 가능성이 있는 구역에서 작업한 후, 전신 감마 계측을 통해 체내 섭취 여부를 확인합니다.

- 생체시료분석(Bioassay) 프로그램: 소변 및 분변 분석을 통해 특정 동위원소에 의한 내부 피폭량을 정량화합니다.

ALARA 실제 적용

방사선 작업자는 고방사선 구역에 있는 밸브를 교체해야 합니다. 밸브 위치에서의 선량률은 500 mrem/hour이며, 작업 완료에 30분이 소요됩니다. 작업자의 연간 누적 선량은 1,200 mrem이며, 발전소 행정 제한치는 2,000 mrem/year입니다.

ALARA 원칙과 세 가지 제어 방법을 사용하여 이 작업의 진행 가능 여부를 평가하고, 선량을 줄이기 위한 구체적인 조치 두 가지 이상을 제시하십시오.

스리마일섬 (1979)

스리마일섬 2호기: 1979년 3월 28일

TMI는 설계 실패가 아니었습니다. 인간과 절차 계층에서의 다중 방호 실패였습니다.

무슨 일이 있었나:

- 터빈 트립이 원자로 SCRAM을 유발했습니다 (자동: 정상 작동)

- 압력 릴리프 밸브(PORV)가 열렸으나(정상 동작) 열린 상태로 고착됨(기기 고장)

- 제어실 지시계는 밸브에 닫힘 신호가 전달되었음을 표시할 뿐, 실제로 밸브가 닫혔는지는 보여주지 않음

- 고착된 PORV를 통해 냉각재가 유출되었고, 원자로 내 압력과 온도가 하락함

- 운전원은 증상을 과도한 냉각재 유입으로 오인하여 비상냉각 주입을 줄였으며, 이는 필요한 조치와 정반대였음

- 2시간 이상 동안 원자로 노심이 부분적으로 노출됨

- 노심의 약 절반이 용융됨

격납건물의 역할: 격납건물은 기능을 유지했다. 심각한 노심 손상과 격납건물 내부 수소 축적에도 불구하고, 격납건물 구조물은 거의 모든 핵분열 생성물을 가두었다. 부지 외부 선량 영향은 미미했으며, 방사선으로 인한 공중 보건 영향은 없었다.

TMI 이후 개선 사항 (NUREG-0737):

- 증상 기반 EOP (사건 기반 대체)

- 매 교대마다 배치되는 Shift Technical Advisor

- 승무원 훈련을 위한 NRC 인증 전범위 시뮬레이터

- 사고 후 모니터링 계측기(PAM): 직접 노심 냉각 지표, AC 독립 전원 공급의 자격을 갖춘 표시 패널

- 개정된 제어실 설계 기준(NUREG-0700)

- 강화된 운전원 면허 시험 요건

체르노빌 (1986)

체르노빌 4호기: 1986년 4월 26일

체르노빌 사고는 TMI 사고와는 성격이 달랐습니다. 주로 설계 결함과 의도적인 안전계통 우회 조치가 결합된 사고였습니다.

무슨 일이 있었나:

- 전압 안정성 시험을 위해 원자로를 낮은 출력(~200 MW, 정격 3,200 MW)으로 운전해야 했습니다.

- 낮은 출력에서 RBMK 원자로는 양의 공극 계수(positive void coefficient)를 가졌습니다. 즉, 냉각재 내 증기 기포가 반응도를 증가시켰습니다.

- 제어봉에는 설계 결함이 있었습니다. 흑연 팁이 먼저 삽입되면서 물을 밀어내 반응도가 일시적으로 증가한 후, 중성자 흡수부가 노심에 들어가게 됩니다.

- 시험은 지연되었고, 야간 근무조는 이에 대한 훈련을 받지 못했다

- 시험을 수행하기 위해 여러 안전 시스템이 의도적으로 비활성화되었다

- 비상 정지 버튼(AZ-5)을 누르자 흑연 제어봉 끝부분이 의도한 SCRAM 대신 반응도 급증을 일으켰다

- 출력이 수초 만에 30,000 MW로 급상승했다: 정격 출력의 약 10배

- 핵연료와 냉각재가 증기로 순간 기화되면서 증기 폭발이 발생해 원자로가 파괴되었다

- 흑연 화재가 10일 동안 지속되며 핵분열 생성물이 유럽 전역으로 확산되었다

격납구조 없음: RBMK는 완전한 격납건물이 없었다. 원자로는 압력 유지 기능을 갖추지 않은 대형 산업 건물 안에 위치했다. 원자로가 파괴되었을 때, 최후의 방벽은 존재하지 않았다.

체르노빌 사고 이후의 변화:

- RBMK 설계 변경: 저출력 시 양의 공극 계수 제거, 제어봉 끝단 재설계, 추가 중성자 흡수체 설치

- 국제 핵안전 협약 강화

- IAEA가 핵안전 문화 개념을 공식화 (INSAG-7)

- 서방 규제에서 격납구조를 필수 요건으로 강조

세 가지 사고, 세 가지 교훈

세 가지 주요 민간 원전 사고(TMI(1979), Chernobyl(1986), Fukushima(2011))에 대해 배웠습니다. 각 사고는 방어심층(defense in depth)의 서로 다른 실패 유형을 드러냈습니다.

위험 정량화

PRA: '충분히 안전'에서 '얼마나 안전한가?'로

결정론적 안전해석은 이렇게 말합니다: 특정 사고에 대해 플랜트가 견딜 수 있도록 설계하라. 확률론적 위험평가(PRA)는 다른 질문을 던집니다: 모든 가능한 고장 경로를 고려했을 때, 실제로 사고가 발생할 확률은 얼마인가?

노심 손상 빈도(CDF): 원자로 노심이 1년 동안 심각하게 손상될 확률. NRC 안전 목표: CDF < 1×10⁻⁴/원자로-년 (10,000 원자로-년에 한 번). 현대 플랜트는 일반적으로 CDF < 1×10⁻⁵(100,000 원자로-년에 한 번)을 달성합니다.

대규모 조기 방출 빈도(LERF): 대피가 완료되기 전에 환경으로 대량의 방사성 물질이 조기에 방출될 확률. NRC 안전 목표: LERF < 1×10⁻⁵/원자로-년.

Fault trees: Graphical logic diagrams that show the combinations of component failures that lead to a defined top event (e.g., 'ECCS fails to deliver water to core'). Uses AND gates (all must fail) & OR gates (any one failure sufficient). AND gates reduce probability (require multiple simultaneous failures). OR gates increase probability.

Event trees: Graphical diagrams that start with an initiating event (e.g., 'large-break LOCA occurs') & trace the consequences depending on whether safety systems succeed or fail. Each branch represents the success or failure of a safety function. Terminal nodes are accident sequences: safe shutdown, core damage, large release.

Importance measures: PRA identifies which components & systems contribute most to risk.

- Fussel-Vesely (FV) importance: the fraction of CDF contributed by a component's failures. High FV = this component matters a lot.

- Risk Achievement Worth (RAW): how much CDF increases if this component is assumed failed. High RAW = this component must not be out of service for long.

RAW drives maintenance & testing scheduling: high-RAW components get frequent testing & short allowed outage times.

PRA와 유지보수 일정

원자력발전소에는 세 개의 비상용 디젤발전기(A, B, C)가 있습니다. PRA 분석 결과는 다음과 같습니다:

- 모든 디젤발전기가 작동 가능한 상태의 CDF: 연간 2×10⁻⁵

- 디젤발전기 A가 유지보수로 가동 중단된 상태의 CDF: 연간 8×10⁻⁵ (4배 증가)

- 디젤발전기 A와 B가 동시에 가동 중단된 상태의 CDF: 연간 4×10⁻³ (200배 증가)

정비팀은 A와 B 디젤발전기를 동시에 30일간 대정비하기 위해 가동 중단하려고 합니다.

사용후핵연료: 장기 의무

사용후핵연료: 능동 및 수동 관리

원자로에서 3~5년 운전 후 연료를 꺼내면, 붕괴열로 인해 강한 방사선과 열을 띠게 됩니다. 동일한 붕괴열 곡선이 적용되며, 초기에는 정격 출력의 7%에 해당하고 수년에 걸쳐 감소합니다.

사용후핵연료 저장조(SFP): 제거 직후, 사용후핵연료 집합체는 원자로 건물에 인접한 수심 약 40피트(약 12m)의 물이 채워진 저장조에 보관됩니다. 물은 냉각과 차폐라는 두 가지 역할을 수행합니다. 저장조 수면 위의 물이 방사선을 흡수하여 작업자가 받는 선량을 낮춥니다.

건식저장용기 이동 전 최소 수조 냉각 기간: PWR 연료의 경우 약 5년입니다. 건식저장용기 내 공랭식 수동 냉각만으로 잔여 붕괴열을 처리할 수 있을 때까지 연료를 냉각해야 합니다.

지르코늄(Zircaloy) 화재 위험: 저장조 수위가 낮아져 연료가 노출되면, 고온에서 지르코늄 피복관이 공기 중에서 산화될 수 있습니다. 수증기-지르코늄 반응과 달리, 적열 온도에서 공기-지르코늄 산화는 자체 지속되는 발열 반응으로 지르코늄 화재를 일으킬 수 있습니다. 후쿠시마 4호기 사용후핵연료 저장조는 이러한 상황에 며칠 내로 도달할 뻔했습니다.

후쿠시마 이후 SFP 요구사항 (NRC Order EA-12-051):

- SFP 수위 및 온도를 위한 신뢰성 있는 계측기

- 다양한 공급원으로부터 SFP에 보충수를 추가할 수 있는 능력

- 장기 정전 상황에서 SFP 냉각을 유지하거나 복구하기 위한 전략

건식 캐스크 저장: 사용후핵연료는 사용후연료저장조에서 5년 이상 경과한 후 건식 캐스크로 이송된다. 용접된 강철 캐니스터를 콘크리트 또는 고밀도 폴리에틸렌 차폐체로 둘러싼 형태이다. 냉각은 외부 구조물의 환기구를 통한 자연 공기 대류에 전적으로 의존하며 전력이 필요하지 않다. 설계 수명은 100년 이상이다. 현재 미국에서만 90,000톤 이상의 중금속이 건식 캐스크 저장 중이다.

고준위 폐기물 처분: 사용후핵연료는 고준위 핵폐기물로 분류됩니다. 미국법(Nuclear Waste Policy Act)은 네바다주 유카 마운틴을 영구 저장소로 지정했으나, 정치적 반대로 아직 개설되지 않았습니다. NRC는 저장소가 10,000년 동안 격리를 보장해야 하며(EPA 기준: 10,000년 이후 선량에 대해 100만 년), 심부 지질 처분은 암석 자체를 주 방벽으로 사용하고, 유리화, 금속 용기, 벤토나이트 점토 등 공학적 방벽을 추가로 적용합니다.

저준위 폐기물(LLW): 오염된 의복, 공구, 필터, 수지 등이 해당됩니다. NRC는 세 가지 등급으로 분류합니다:

- Class A: 가장 낮은 방사능, 반감기가 짧은 핵종. 얕은 매립, 100년 격리 요건

- Class B: 중간 수준의 방사능. 300년 격리를 위한 얕은 매립

- Class C: 높은 방사능, 반감기가 긴 핵종. 500년 격리 요건; 더 강화된 공학적 방벽을 갖춘 근표면 처분

폐기물 부피 감축 기술(소각, 압축, 용융)은 처분 공간을 최소화하기 위해 의무적으로 적용됩니다

Dry Cask Safety Case

한 비평가는 건식 캐스크 저장이 안전하지 않다고 주장합니다. 캐스크에는 능동 냉각 장치도 없고, 전원 연결도 없으며, 콘크리트 패드 위에 야외로 설치되어 있다는 이유입니다. 이에 대해 원자력 엔지니어는 건식 캐스크가 사용후핵연료 저장조보다 오히려 더 안전할 수 있다고 반박합니다.

심층 방어: 전체 그림

원자력 안전 공학: 시스템 학문

이제 원자력 안전 공학의 모든 계층을 학습했습니다. 한 걸음 물러서서 시스템 전체를 바라보세요:

물리적 방벽(연료 매트릭스, 피복관, 압력용기, 격납구조)은 수동적입니다. 작동을 위해 별도의 조치가 필요하지 않습니다. 이들이 기초입니다.

안전계통(비상노심냉각계통, 반응도제어계통, 비상디젤발전기, 디지털데이터수집계통)은 능동형이며, 수동형 백업(축압기, 중력식 탱크, 배터리)을 갖추고 있습니다. 각 기능은 3개의 독립된 트레인으로 구성되며, 각 트레인은 100% 성능을 발휘합니다. 능동형과 수동형 접근법은 다양성을 확보합니다.

계측기(RPS, ECCS 작동, PAM)는 2-out-of-4 투표 논리로 수십 개의 변수를 감시합니다. 이는 오작동 신호에 의한 불필요한 정지와 센서 고장으로 인한 정지 실패를 모두 방지합니다.

절차(증상 기반 EOP)는 운전원이 정확한 진단 없이도 보호 조치를 취할 수 있도록 안내합니다. TMI 사고 이후 도입되었으며 필수적입니다.

인간공학(인력 배치, 교육훈련, 인간수행도 도구, 피로 관리)은 인간 계층의 실패 확률을 줄입니다. TMI 사고 이후 STA 의무화, 시뮬레이터 훈련, 작업 전 브리핑, STAR, 3-way 통신이 대표적입니다.

경영 및 안전문화는 안전을 효율성과 맞바꾸지 않도록 보장합니다. 체르노빌 사고 이후 INSAG-7 보고서에서 강조되었습니다. 체르노빌의 교훈은 경영진이 무력화한 안전계통은 존재하지 않는 것과 같다는 것입니다.

규제(NRC 10 CFR 50, IAEA 기준, 정기 검사)는 최상위 계층에서 독립적인 감독을 제공합니다. 검사하지 않는 규제 기관은 존재하지 않는 규제 기관입니다.

세 가지 주요 사고는 방어심층이 단일한 극적인 고장이 아니라, 여러 계층에서 동시에 발생한 작은 고장, 잘못된 가정, 불충분한 여유도의 조합으로 인해 무너진다는 것을 보여주었습니다. 안전 사례는 가장 약한 동시 조합만큼만 강력합니다.

최종 통합

최종 질문: 가장 어려운 문제

새로 제안된 원자로 설계는 단일 ECCS 계통(3개가 아닌)만 필요하고, 비상 디젤발전기가 없으며(수동 냉각만), 교대당 4명이 아닌 2명의 운전원만 배치하는 간소화된 인력 모델을 적용할 정도로 안전하다고 주장합니다.

디자이너는 이렇게 주장한다: '수동 냉각은 전력이 필요 없으므로 디젤 발전기가 불필요하다. 원자로는 물리학적으로 멜트다운이 일어날 수 없으므로, 간소화된 인력 배치가 정당화된다.'