IAEA Definitie

Verdediging in Diepte: De Organiserende Filosofie

Het Internationaal Atoomenergieagentschap (IAEA) definieert verdediging in diepte als een gelaagde benadering van veiligheid, waarbij elke laag fungeert als back-up voor de voorgaande lagen. Geen enkele laag wordt als perfect beschouwd. Het veiligheidsgeval berust op meerdere onafhankelijke lagen, zodat geen enkele storing: en geen enkele combinatie van storingen vanuit een enkele oorzaak: kan leiden tot schade.

Verdediging in diepte werkt op elke schaal:

Fysieke barrières: brandstofmatrix → brandstofmantel → reactor drukvat → containmentsgebouw → reactor gebouw (4-5 fysieke grenzen tussen brandstof & omgeving)

Veiligheidssystemen: elke functie (koeling, afsluiting, stroom) wordt uitgevoerd door minstens 3 onafhankelijke lijnen

Procedures: schriftelijke procedures regelen elke evolutie; abnormale & noodprocedures voor elk ontwerpbasisgebeurtenis

Bedieners: gelicentieerd, getraind, gekwalificeerd, uitgerust; onafhankelijke bevoegdheid om afsluiting te initiëren

Management: nucleaire veiligheids-cultuur, regelgevend toezicht, onafhankelijke veiligheidsbeoordelingen

Regelgeving: NRC 10 CFR 50 ontwerpbasisvereisten, gelicentieerde bediening, periodieke inspecties

Kernprincipe: Geen krediet voor falende lagen. Als je niet kunt bevestigen dat een barrière intact is, ga je ervan uit dat dit niet het geval is. Het gehele systeem is ontworpen om veilig te zijn met elk één actieve component die faalt: dit wordt de single failure criterion genoemd.

Redundantie, Diversiteit en Onafhankelijkheid

Drie Eigenschappen Die Verdediging Echt Maken

Kernveiligheidssystemen moeten aan drie verschillende eigenschappen voldoen. Ze verwarren is een veelvoorkomende & gevaarlijke fout.

Redundantie betekent meer dan één van hetzelfde hebben. Drie dieselmotoren zijn redundant. Maar als ze allemaal dezelfde brandstoftank, dezelfde startlogica of dezelfde fysieke ruimte delen, beschermt redundantie alleen niet tegen een gemeenschappelijke oorzaakfalen.

Diversiteit betekent het gebruik van verschillende fysieke principes of verschillende apparatuur om dezelfde functie uit te voeren. Een hogedrukinjectiepomp en een met stikstof onder druk staande accumulator leveren beide water naar de kern: maar ze werken op volledig verschillende principes. Diversiteit verslaat faalmodi die alle redundante kopieën van één ontwerp zouden verslaan.

Onafhankelijkheid betekent dat het falen van één trein niet kan veroorzaken of verhinderen dat een andere opereert. Onafhankelijkheid vereist:

- Aparte voedingsbussen (verschillende elektrische toevoeren)

- Fysieke scheiding (barrières, verschillende gebouwen, tegenovergestelde kanten van de reactor)

- Aparte activeringslogica (een kortsluiting in Trein A kan Trein B niet uitschakelen)

- Aparte instrumentatie (sensoren van Trein A voeden niet de activering van Trein B)

Gemeenschappelijke oorzaakkans (CCF) is het nachtmerriescenario: een enkel evenement schakelt meerdere redundante treinen tegelijkertijd uit. Fukushima is het sprekende voorbeeld: de tsunami was niet alleen een verlies van externe stroom. Het schakelde tegelijkertijd alle drie de nooddieselmotoren uit omdat ze allemaal in hetzelfde laaggelegen gebouw stonden. Redundantie zonder onafhankelijkheid is een illusie.

Single Failure Criterion

Het single failure criterion van de NRC (10 CFR 50, Appendix A, General Design Criterion 17) stelt dat veiligheidssystemen zo moeten worden ontworpen dat geen enkele actieve componentstoring het systeem verhindert zijn veiligheidsfunctie uit te voeren.

Een 'actieve' storing is er een die een verandering van toestand vereist: een pomp die niet start, een klep die niet opent.

Een 'passieve' storing (bijv. een scheur in een leiding) wordt behandeld door afzonderlijke ontwerpeisen.

Waarom Drie Treinen?

Elke Veiligheidskritische Systeem: Drie Onafhankelijke Treinen

De regel van drievoudige redundantie is niet simpelweg 'drie is veiliger dan twee.' Het is een precieze technische eis met specifieke eigenschappen.

Elke trein moet onafhankelijk 100% van de veiligheidsfunctie kunnen uitvoeren. Als Trein A de koeling verzorgt, verzorgt deze alle benodigde koeling. Treinen B en C zijn geen gedeeltelijke bijdragers: ze zijn volledige back-ups.

Treinen moeten fysiek gescheiden zijn. Verschillende gebouwen, of minimaal gescheiden door brandmuren. Verschillende kabelroutes. Verschillende leidingtrajecten. Als een brand, overstroming of explosie één trein treft, mag deze de anderen niet bereiken.

Treinen moeten aparte voedingsbronnen hebben. Verschillende elektrische bussen gevoed vanuit verschillende bronnen. Trein A op Bus A, Trein B op Bus B, Trein C op Bus C: elke bus met zijn eigen nooddieselmotor.

Treinen moeten aparte activeringslogica hebben. Een relaisstoring in de activeringskring van Trein A mag Trein B niet verhinderen te activeren. Ideaal gezien gebruiken ze volledig verschillende activeringsprincipes (diversiteit).

Waarom drie en niet twee? Met drie treinen betekent twee-van-de-drie stemlogica dat bij een enkelvoudige componentstoring nog twee functionele treinen overblijven: je voldoet aan het criterium van enkelvoudige storing EN je hebt enige bescherming tegen gemeenschappelijke oorzaakstoringen. Met twee treinen laat een enkelvoudige storing je met één trein achter: geen marge, geen verdediging tegen een tweede storing.

Diversiteit vs. Redundantie

Beschouw het noodkernkoelsysteem van een PWR. Eén benadering: drie identieke hogedruk-injectiepompen, elk aangedreven door een aparte dieselmotor, in aparte ruimtes.

Een tweede benadering: één hogedruk-injectiepomp, plus één met stikstof onder druk gezette accumulator die geen stroom nodig heeft, plus één zwaartekrachtgevoede watertank vanuit een verhoogd reservoir.

Beide bieden drie manieren om water naar de kern te leveren.

ECCS: De Laatste Linie van de Kern

Noodkernkoelsystemen

Het ontwerpbasisongeval voor een PWR is het verlies van koelmiddelongeval (LOCA): een breuk in het reactor-koelsysteem waardoor het primaire koelmiddel kan ontsnappen. Een groot-breuk LOCA kan de kern in seconden blootleggen. Zonder onmiddellijke inundatie stijgen de brandstofmantel-temperaturen boven 2.200°F, zirkaloy oxideert en brandstofschade begint.

Het ECCS voor een typische PWR heeft vier subsystemen, elk werkend in een andere fase van het ongeval:

Hogedruk Injectiesysteem (HPIS): Activeert onmiddellijk bij lage reactor koelmiddel druk of hoge containment druk. Spuit geboorde water in het reactor koelsysteem terwijl de druk nog hoog is (boven ~200 psi). Gebruikt motor-aangedreven pompen aangedreven door nooddiesels. Debiet: 500-1.500 gpm afhankelijk van ontwerp.

Accumulatoren (ook wel Core Flood Tanks genoemd): Passieve met stikstof onder druk gebrachte tanks met geboord water. Ze spuiten automatisch wanneer de reactor koelmiddel druk daalt onder de stikstofdruk (typisch 600-700 psi). Geen stroom vereist: de stikstofdruk drijft het water naar de kern. Elke accumulator bevat ~1.000 gallons.

Lagedruk Injectiesysteem (LPIS): Activeert bij lage druk (<200 psi). Biedt grote debieten (duizenden gpm) voor large-break LOCA. Na lediging van de refueling water storage tank (RWST) schakelt het systeem over naar sump recirculatie: recirculeren van water uit de containment sump terug door de kern. Moet wekenlang doorgaan (verwijdering van vervalwarmte).

Residuele Warmte Verwijdering (RHR): Ook wel Decay Heat Removal systeem genoemd. Primaire doel: verwijderen van vervalwarmte nadat de reactor koude shutdown heeft bereikt. Werkt bij lage druk & lage temperatuur, circuleert koelmiddel door warmtewisselaars. Biedt ook lagedruk injectie capaciteit.

BWR Core Spray Systemen: Kokendwaterreactors gebruiken core spray nozzles boven de brandstof die water direct op de brandstofbundels spuiten: een andere geometrie dan PWR-overstroming.

Afklingswarmtecurve

De afklingwarmtecurve is een van de belangrijkste waarden in kernveiligheid. Na reactorafschakeling:

- t = 0 seconden: ~7% van nominaal vermogen (240 MW voor een 3.400 MW reactor)

- t = 1 minuut: ~3,5%

- t = 1 uur: ~1% (~34 MW)

- t = 1 dag: ~0,3% (~10 MW)

- t = 1 week: ~0,1%

- t = 1 jaar: brandstof genereert nog steeds meetbare warmte van langlevende isotopen

Tien megawatt aan warmte, onbepaald lang volgehouden, zonder stroom om de koelpompen te laten draaien. Dit was precies de situatie bij Fukushima Daiichi op 11 maart 2011.

Passieve ECCS: AP1000 Ontwerp

Volgende Generatie: Passieve Veiligheid

De Westinghouse AP1000 (Advanced Passive 1000 MWe) neemt de lessen van actieve ECCS & keert de ontwerpfilosofie om: in plaats van drie pomptrains die stroom nodig hebben, vertrouwen alle veiligheidsfuncties op zwaartekracht, natuurlijke circulatie, samengeperst gas & verdamping.

Core Makeup Tanks (CMT): Twee grote tanks met koud geboord water, gemonteerd boven de reactor. Normaal geïsoleerd. Bij activering lopen ze door zwaartekracht leeg in het reactor-koelsysteem. Elke tank bevat genoeg water om de kern urenlang bedekt te houden.

Accumulatoren: Zelfde als conventionele centrales: stikstof onder druk, passieve inspuiting.

In-Containment Refueling Water Storage Tank (IRWST): Een groot waterbassin binnen het containergebouw, boven de reactor. Zwaartekracht gevoed. Biedt langdurige koeling na lediging van CMTs. Geen pompen. Geen stroom.

Passive Residual Heat Removal Heat Exchangers (PRHR HX): Onderdompeld in de IRWST. Natuurlijke circulatie voert vervalwarmte van de reactor naar het IRWST-water, dat opwarmt, kookt en via een schoorsteen naar de atmosfeer ventileert. Geen pompen. Volledig passief.

72-uursvenster: De AP1000-veiligheidsanalyse toont 72 uur kernkoeling aan zonder operatorinterventie & zonder stroom. Na 72 uur kunnen operators de IRWST bijvullen met water uit enige bron.

Deze ontwerpmatige diversiteit: passief vs. actief: is waarom diversiteit ertoe doet. De veiligheidssystemen van de AP1000 kunnen niet worden verslagen door de storingmodus die Fukushima heeft vernietigd.

[TITLE containment/]

Laatste Fysieke Barrière

Bevatting: De Finale Grens

Als elk ander veiligheidssysteem faalt & de brandstof beschadigd raakt, is de bevatting de laatste barrière tussen radioactief materiaal & het publiek. Het moet standhouden: tegen interne druk van stoom, tegen waterstofverbranding, tegen projectielimpacten van defecte apparatuur, & zolang als noodzakelijk.

PWR droge bevatting: Een met staal beklede gewapend betontstructuur, typisch 140 voet in diameter & 200 voet hoog. Ontworpen om de stoomdruk te weerstaan van een complete dubbelzijdige guillotinebreuk van de grootste primaire koelwaterleiding (ontwerpdruk ~60 psi). De stalen liner is de drukgrens; het beton biedt structurele sterkte & biologische afscherming.

IJscondensorbehuizing: Een kleinere, lagere-druk PWR-behuizing (gebruikt in sommige Westinghouse-centrales) die honderden tonnen ijs gebruikt om stoomenergie te absorberen en de behuizingdruk laag te houden bij een LOCA. Maakt een kleinere, goedkopere structuur mogelijk maar vereist periodiek ijs-onderhoud.

Dubbele behuizing: Sommige ontwerpen plaatsen een binnenste stalen behuizing binnen een buitenste betonnen secundaire behuizing. De ruimte tussen hen wordt op lichte negatieve druk gehouden zodat eventuele lekkage uit de binnenste behuizing wordt opgevangen en gefilterd voordat deze wordt vrijgegeven.

BWR-behuizing: Mark I, II, III: General Electric BWR-behuizingen zijn kleiner omdat ze een drukonderdrukkingsbad (torus of natte put) gebruiken om stoom snel te condenseren. De Mark I (het ontwerp van Fukushima) is een droogput-torus-opstelling: de torus is een groot donutvormig waterbad onder de droogput. Een zwakte: de torus is bevestigd aan de onderkant van de droogput. Als de torus faalt, faalt de behuizing. Dit is precies wat er gebeurde bij Fukushima Unit 1.

Passieve autocatalytische recombiners (PAR): Na Fukushima bevatten de meeste behuizingen nu PAR's: apparaten met katalytisch materiaal (palladium of platina) dat waterstof reageert met zuurstof om water te vormen, zonder ontbranding, bij lage concentraties. Dit voorkomt waterstofophoping die deflagratie of detonatie kan veroorzaken.

Gefilterde containment-ontluchting: Post-Fukushima eis in Europa & steeds meer in de VS: een geharde ontluchtingspad met een meertraps filtersysteem (venturi-scrubber + metaalvezelfilter) dat operators toestaat om containment bewust te ontluchten terwijl >99,9% van deeltjesradioactiviteit wordt vastgehouden. Dit voorkomt ongecontroleerd falen van containment door overdruk.

Ontwerp basis en voorbij ontwerp basis

Waarvoor Containment is Ontworpen

Ontwerp basis ongevallen (DBA): De NRC vereist dat containment elk van deze tegelijkertijd overleeft:

- Grote-brek LOCA: volledige doorsnijding van de grootste primaire koelwaterleiding, maximale koelvloeistoftuitstoot

- Verlies van externe stroom (LOOP) gelijktijdig met LOCA: geen netstroom wanneer je het het meest nodig hebt

- Hoofd stoomleidingbreuk: hoogenergiestoomafgifte binnen de containment

- Brandstofbehandelingongeluk: gevallen brandstofelement, afgifte van splijtingsproducten uit beschadigde brandstof

Beyond design basis events (BDBA): Post-9/11 & post-Fukushima moeten centrales ook rekening houden met:

- Station blackout (SBO): langdurig verlies van alle wisselstroom (post-TMI eis, versterkt post-Fukushima)

- Overstroming beyond design basis: Fukushima toonde aan dat ontwerpbasis-overstromingshoogtes te laag waren

- Vliegtuiginslag: NRC vereist post-9/11 analyse van opzettelijke vliegtuiginslag; nieuwe centrales moeten structurele overlevingsvatbaarheid aantonen

- Verlies van koeling in spent fuel pool: Fukushima Unit 4 spent fuel pool drooggekookt bijna; post-Fukushima eisen voegden dedicated SFP make-up verbindingen toe

Mark I Kwetsbaarheid

Fukushima Daiichi Eenheden 1, 2 en 3 hadden allemaal General Electric Mark I containments. De Mark I gebruikt een drywell (een peervormige stalen behuizing rond de reactor) verbonden met een toroïdale suppressiepool (de torus) door downcomers. Stoom uit de drywell wordt gericht naar het toruswater voor condensatie.

Tijdens het ongeluk wordt believed dat de torus bij Unit 2 beschadigd raakte, waardoor fission products direct naar de reactor building en vervolgens naar de atmosfeer konden ontsnappen zonder door de volledige containment boundary te gaan.

Af shutdownsystemen

Reactiviteitscontrole: Drie Onafhankelijke Wegen naar Afsluiting

Een reactor moet in staat zijn om af te sluiten & afgesloten te blijven onder alle omstandigheden. Geen enkele storing mag shutdown voorkomen. De algemene ontwerpcriterium (GDC 26) vereist twee onafhankelijke reactiviteitscontrolesystemen, elk in staat de reactor subkritisch te houden.

Sturingstang aandrijfmechanismen (CRDM's):

- PWR magnetische jack CRDM's: Sturingstangen worden omhoog gehouden door elektromagneten. Bij verlies van stroom (SCRAM-signaal of verlies van stroom) ontladen de magneten zich & vallen de stangen door zwaartekracht in de kern. Fail-safe: stroom vereist om stangen BUITEN te houden. Verlies van stroom = automatische insertie.

- BWR hydraulische CRDM's: Stangen worden van onderen aangedreven door hogedrukwater. Noodinsertie gebruikt hogedrukstikstof om stangen snel in te drijven. Sommige BWR-ontwerpen hebben ook een elektrische back-up voor stanginsertie.

Alternatieve Stanginsertie (ARI): Een aparte, diverse elektrische signaalweg die sturingstangen kan inserteren onafhankelijk van de normale SCRAM-logica. Gebruikt als de normale SCRAM-circuit faalt.

Anticiperende Transient Zonder SCRAM (ATWS): Het regelgevende scenario waarin de sturingstangen niet inserteren op verzoek. ATWS-mitigatiesystemen (ATWS-MF) voorzien in boorinjectie onafhankelijk van de normale SCRAM: typisch automatische hogedruk boorinjectie geactiveerd door een aparte sensorset.

Noodboratie:

- Injectie van boor onder hoge druk vanuit een aparte standpijp (apart van normale oplaad)

- Noodboratie via de ECCS-boorinjectielijnen

- Handmatige boratie vanuit de opslagtanks voor boorzuur

Passieve ontwerpen: CANDU-reactor: De CANDU heeft twee volledig onafhankelijke uitschakelsystemen: (1) mechanische afschakelstaven die door zwaartekracht vallen, en (2) injectie onder hoge druk van gadoliniumnitraatoplossing in de moderator: een apart fysiek circuit. Deze zijn onafhankelijk in elke zin: verschillende activeringslogica, verschillende fysieke systemen, verschillende principes.

ATWS-analyse

Tijdens tests in 1979 bij Three Mile Island Unit 2 veroorzaakte een onderhoudsfout dat een reactor trip (SCRAM) uitbleef tijdens een test. Het voorval werd snel opgemerkt. Maar het leidde ertoe dat de NRC ATWS-mitigatiesystemen vereiste bij alle centrales: omdat 'onmogelijk falende' systemen in feite hadden gefaald.

Een ATWS-gebeurtenis in een PWR: de reactorvermogen schiet omhoog. Stangregelaars falen om in te voegen. Noodboratie is de laatste verdedigingslinie.

Drie-Laags Voedingsarchitectuur

Elektrische Voeding Kerncentrale: Drie Onafhankelijke Lagen

Een kerncentrale moet stroom blijven leveren aan haar veiligheidssystemen ongeacht wat er gebeurt met het net of haar eigen opwekeenheden. De voedingsarchitectuur heeft drie lagen:

Laag 1: Normale werking: De centrale wekt haar eigen stroom op via de hoofdturbinagenerator. Hulpbelastingen (pompen, ventilatoren, besturingen) worden gevoed vanuit de eigen opbrengst van de centrale via unit-hulptranformatoren.

Laag 2: Externe stroomvoorziening (voorkeurs AC-bron): Als de hoofdgenerator uitvalt, sluit de centrale zich aan op het net via opstart-/reserve-transformatoren. NRC vereist ten minste twee onafhankelijke transmissielijnen vanuit verschillende substations: zodat een enkele transmissiefout geen totale externe stroomuitval kan veroorzaken.

Laag 3: Nooddieselgeneratoren (EDGs): Als externe stroomvoorziening uitvalt, starten EDGs automatisch en voeden ze de veiligheidsbussen binnen 10 seconden. NRC-vereisten:

- Elke EDG moet nominale spanning & frequentie bereiken binnen 10 seconden na ontvangst van het startsein

- Brandstofopslag: minimum 7 dagen bij volle belasting (NRC Regulatory Guide 1.9)

- Testen: maandelijkse belastingsproef + 24-uurs uithoudingsproef elke 24 maanden

- Belastingsvolgorde: veiligheidsbelastingen worden sequentieel aangesloten om overbelasting van de diesel bij start te voorkomen

Stationsbatterijen: DC-stroom voor instrumentatie, bedieningsruimtepanelen, noodverlichting, SCRAM-activeringscircuits, ATWS-activering & communicatie. Moeten belastingen minimaal 2 uur voeden (Class 1E); meeste centrales ontworpen voor 4-8 uur. Batterijladers herstellen batterijen wanneer AC terugkeert.

Post-Fukushima FLEX-strategie: NRC-order EA-12-049 vereist dat alle centrales draagbare pompen & generatoren hebben die binnen gedefinieerde tijdframes inzetbaar zijn ongeacht site-omstandigheden. FLEX-apparatuur is opgeslagen op meerdere locaties (sommige in robuuste structuren, sommige offsite) & kan aansluiten op geharde externe aansluitpunten op reactor koelsystemen & spent fuel pool systemen.

Dieselmotor Eisen

Three Mile Island Unit 2, 1979: De ongevallenreeks omvatte een turbine-uitval gevolgd door verlies van voedingswater, gevolgd door een complexe reeks gebeurtenissen die leidde tot kernschade. De nooddieselmotoren startten & liepen correct gedurende het hele incident.

Fukushima Daiichi, 2011: De aardbeving veroorzaakte reactor SCRAM. Alle zes diesels startten & liepen. Toen arriveerde de tsunami. De diesels voor Units 1-3 stonden in kelderkamers die overstroomden. De diesel voor Unit 6 stond op een hogere locatie & overleefde. Units 5 & 6 leden geen kernschade.

Reactor Bescherming Systeem

Reactor Beschermingssysteem (RPS)

Het Reactor Beschermingssysteem is het automatische systeem dat een reactor SCRAM (snelle afsluiting) initieert wanneer bewaakte parameters veilige limieten overschrijden. Het is de eerste automatische verdediging tegen transienten.

Bewaakte parameters die een SCRAM kunnen initiëren:

- Hoge neutronenflux (hoge vermogens)

- Hoge reactorkoeltemperatuur

- Lage reactorkoelstofdruk (mogelijke LOCA)

- Hoge containmentsdruk

- Lage reactor koelwaterstroom

- Hoog koelwaterniveau (BWR)

- Laag-laag waterniveau (BWR)

- Verlies van externe stroomvoorziening

- Handmatige trip (door operator geïnitieerd)

Stemlogica: Elke parameter wordt gemeten door vier onafhankelijke sensoren, elk in een apart beschermingskanaal. Een SCRAM vereist dat 2-van-4 kanalen de setpoint overschrijden. Dit betekent:

- Een enkele defecte sensor (vals hoge aflezing) kan geen onterechte trip veroorzaken

- Als twee kanalen de setpoint overschrijden, wordt de trip geactiveerd

- Een enkel falend kanaal (vals laag aflezen) laat drie kanalen over, nog steeds 2-van-3 capabel

Diverse and Dedicated Actuation System (DDAS): Moderne digitale RPS-systemen hebben een analoge back-up: DDAS: die veiligheidsfuncties onafhankelijk van de digitale I&C kan activeren. Dit biedt diversiteit: de digitale en analoge systemen kunnen om volledig verschillende redenen falen, en één falen voorkomt niet dat de ander functioneert.

2-van-4 vs 2-van-3 Logica

De RPS gebruikt 2-van-4 stemming voor het initiëren van SCRAM (vier sensoren, twee moeten het eens zijn om te trippen). Maar de individuele sensoren rapporteren aan het actuatiesysteem met behulp van 2-van-3 stemming binnen elke trein (drie metingen, twee moeten het eens zijn om een specifieke veiligheidsfunctie zoals ECCS te activeren).

Dit zijn niet hetzelfde, & het begrijpen van het verschil doet ertoe.

Minimale Bezetting

Menselijke Toezicht: De Laag Die Denkt

Kerncentrale-operaties vereisen gelicentieerd personeel op alle shifts. NRC 10 CFR 50.54(m) stelt minimale bezettingsvereisten vast. Op zijn minst omvatten operationele crews:

Reactor Operator (RO): NRC-gelicentieerd (10 CFR 55). Bedient direct de reactorbedieningen, hoofdcontrolepaneel & veiligheidssystemen. Moet continu aan de bedieningen aanwezig zijn tijdens vermogensoperaties.

Senior Reactor Operator (SRO): Hogere NRC-licentie. Superviseert de RO. Heeft onafhankelijke bevoegdheid om afsluiting te initiëren. Beoordeelt en keurt de acties van de RO goed tijdens abnormale gebeurtenissen. Kan niet dezelfde persoon zijn als de RO op de dienst.

Shift Supervisor (SS): Senior SRO-gelicenseerd. Verantwoordelijk voor de algehele uitvoering van operaties en de veiligheid van de centrale tijdens de dienst. Finale autoriteit ter plaatse voor centrale-operaties.

Shift Technical Advisor (STA): Vereiste na TMI (NUREG-0737). Een gelicenseerde ingenieur toegewezen aan elke dienst specifiek om onafhankelijke technische ondersteuning te bieden tijdens abnormale gebeurtenissen: niet afgeleid door bedieningsorganen, volledig gericht op het diagnosticeren van het incident.

Waarom meerdere mensen? Verdediging in diepte in de menselijke laag. Een RO onder stress, gericht op het uitvoeren van procedures, kan het grote geheel missen. De SRO biedt onafhankelijke toezicht. De STA biedt onafhankelijke technische analyse. De shift supervisor behoudt situationeel bewustzijn. Geen enkele menselijke cognitieve fout kan voorkomen dat de centrale veilig wordt bestuurd.

Human Performance Tools

Menselijke Fouten Verminderen: Systematische Tools

De nucleaire industrie heeft foutpercentages voor menselijke fouten gekwantificeerd voor verschillende taaktypen. Foutpercentages voor complexe besluitvorming onder stress kunnen meer dan 1 op de 10 bedragen. De industrie streeft naar foutpercentages van 1 op de 1.000 of beter voor kritieke taken: en bereikt deze door middel van systematische human performance tools.

Pre-job briefing: Voor elke significante taak bespreekt een briefing: taakdoelstelling, gevaren, verwachte omstandigheden, stappen om voltooiing te verifiëren, stopvoorwaarden (als X gebeurt, stop & bel supervisor). Duurt 5-15 minuten. Vermindert taakeuiteringsfouten dramatisch.

STAR (Stop, Think, Act, Review): Zelfcontroletechniek voor elke kritieke actie. Stop: pauzeer voor de actie. Think: wat ga ik doen, & is dit correct? Act: voer de actie uit. Review: was het resultaat wat ik verwachtte? De tweesekundenpauze vangt transpositiefouten, verkeerde klepaanselecties, & cognitieve snelkoppelingen op.

Driewegscommunicatie: Voor alle veiligheidsrelevante verbale bevelen: (1) Initiator stelt het bevel: 'Stel klep HV-233 in op de open positie.' (2) Ontvanger herhaalt exact: 'Stel klep HV-233 in op de open positie.' (3) Initiator bevestigt: 'Dat is correct.' Een communicatie-fout die niet wordt opgemerkt in deze uitwisseling is ongebruikelijk: het vereist dat beide partijen verkeerd horen of verkeerd onthouden.

Two-person integrity: Voor bepaalde operaties met hoge gevolgen (veiligheidsgerelateerd, bronbehandeling) moeten twee gelicentieerde personen aanwezig zijn en elkaars acties wederzijds verifiëren. Geen van beiden kan de gevoelige actie alleen uitvoeren: de tweede persoon moet fysiek aanwezig zijn en elke stap bevestigen.

Vermoeidheidsbeheer: NRC 10 CFR 26 stelt limieten vast: maximum 16 uur werkdag, minimum 8 uur rust vóór terugkeer naar dienst, maximum 54 uur per week, maximum 72 uur per week onder overwerk. Vermoeidheid verslechtert besluitvorming even ernstig als intoxicatie: deze limieten zijn geen productiviteitsaanbevelingen, ze zijn veiligheidsvereisten.

Noodoperationele Procedures

Voor Three Mile Island (1979) gebruikten kerncentrales gebeurtenisgebaseerde noodprocedures: als gebeurtenis X plaatsvindt, voer procedure X uit. Operators moesten de gebeurtenis correct identificeren voordat ze actie ondernamen.

Bij TMI ontvingen de operatoren tegenstrijdige indicaties. Een drukontlastklep bleef opensteken: dit was een small-break LOCA: maar de operatoren identificeerden het incident verkeerd en volgden de verkeerde procedure. Tegen de tijd dat de juiste diagnose werd gesteld, had significante kernschade plaatsgevonden.

Na TMI ontwikkelde de industrie symptoomgebaseerde noodoperationele procedures (EOP's). In plaats van 'identificeer incident, selecteer procedure', volgen operatoren: 'observeer symptomen, neem beschermende acties voor die symptomen, ongeacht wat je denkt dat het incident is.'

De sleutel symptoomgebaseerde intredeconditie: elke onverwachte verandering in reactor koelmiddelpeil, druk of temperatuur, ongeacht de oorzaak, activeert dezelfde kernkoelingsverificatiereeks.

ALARA: As Low As Reasonably Achievable

Stralingsbescherming Engineering

ALARA: As Low As Reasonably Achievable: is niet zomaar een dosislimiet. Het is een filosofie: de dosis moet zo laag mogelijk worden gedreven als praktisch haalbaar, niet alleen onder de wettelijke limieten gehouden. De NRC verplicht ALARA als een regelgevende eis (10 CFR 20.1101), niet slechts als goede praktijk.

Externe dosisbeheer: de drie klassieke controles:

- Tijd: Halveer de tijd in het stralingsveld, halveer de dosis. Voorgeplande werkvolgordes minimaliseren onnodige tijd in hoogdosisgebieden.

- Afstand: Dosisgraad volgt de inverse kwadratenwet. Verdubbel je afstand tot een puntbron, kwadranteer je dosisgraad. Werken vanaf zes voet in plaats van drie voet vermindert de dosis met 75%.

- Afscherming: Lood, beton, water en polyethyleen dempen verschillende stralingstypes. De Half Value Layer (HVL) is de dikte die de intensiteit halveert. Lood HVL voor typische gamma: ~1 cm. Beton HVL: ~6 cm. Na tien HVL's (10 TVL = Tenth Value Layer) is de intensiteit gereduceerd tot 1/1.000 van het oorspronkelijke.

Interne dosisbeheer:

- Radioactief materiaal in het lichaam blijft organen bestralen totdat het vervalt of wordt uitgescheiden

- Wegingen: inademing (aerosolen, gassen), opname (vervuild voedsel/water), absorptie door de huid (zeldzaam)

- Derived Air Concentration (DAC): de luchtconcentratie van een radionucleïde die, als deze 2.000 uur/jaar wordt ingeademd, de beroepsmatige dosislimiet levert. Ademhalingsbescherming & negativedrukomkastingen voorkomen inademingsdosis.

- Jaarlijkse Limiet op Inname (ALI): totale inname (inhalatie + ingenestie) die de beroepsmatige dosislimiet levert

Beroepsmatige dosislimieten (10 CFR 20):

- 5 rem (50 mSv) per jaar totale effectieve dosis-equivalent

- 3 rem (30 mSv) per kwartaal

- 15 rem (150 mSv) per jaar aan lens van het oog

- 50 rem (500 mSv) per jaar aan huid of extremiteiten

- Dosisbeperking voor ALARA-planning: 2 rem/jaar (plantspecifieke administratieve limieten vaak lager)

Contaminatiebeheersing:

- Radiologisch Gecontroleerde Gebieden (RCAs) hebben gecontroleerde toegang, fouillering bij exit

- Step-off pads: papier of plastic bij RCA-uitgangen; wissel hier schoendoeken om tracking van contaminatie te voorkomen

- Whole-body counting: na werk in gebieden met potentieel interne contaminatie, detecteren whole-body gamma-tellingen interne opname

- Bioassay-programma's: urine- & fecesanalyse kwantificeren interne dosis van specifieke isotopen

ALARA in de Praktijk

Een stralingswerker moet een ventiel vervangen in een gebied met hoge straling. De dosisgraad op de locatie van het ventiel is 500 mrem/uur. De klus duurt 30 minuten. De jaarlijkse dosis van de werker tot nu toe is 1.200 mrem tegen een administratieve limiet van de fabriek van 2.000 mrem/jaar.

Gebruik de ALARA-principes & de drie controles, beoordeel of deze klus kan doorgaan & identificeer ten minste twee specifieke acties om de dosis te verminderen.

Three Mile Island (1979)

Three Mile Island Unit 2: 28 maart 1979

TMI was geen ontwerpfout: het was een falen van defense in depth op de menselijke en procedurele lagen.

Wat er gebeurde:

- Een turbine trip veroorzaakte een reactor SCRAM (automatisch: werkte correct)

- Een drukontlastklep (PORV) ging open (correct) maar bleef open hangen (apparatuurstoring)

- Een indicator in de controlekamer toonde alleen aan dat de klep een sluitsein had ontvangen: niet dat deze daadwerkelijk gesloten was

- Koelvloeistof ontsnapte door de openhangende PORV. De druk & temperatuur in de reactor daalden

- Bedieners interpreteerden de symptomen verkeerd als te veel koelvloeistof en verminderden de noodingespoten koeling: het tegenovergestelde van wat nodig was

- Meer dan twee uur lang was de reactorkern gedeeltelijk ontbloot

- Ongeveer de helft van de kern smolt

Wat de containment deed: Het hield stand. Ondanks ernstige kernschade en ophoping van waterstof binnen de containment, behield de containmentstructuur vrijwel alle splijtingsproducten. De stralingsdosisgevolgen buiten de locatie waren gering: geen effecten op de publieke gezondheid door straling.

Post-TMI verbeteringen (NUREG-0737):

- Symptoomgebaseerde EOP's (ter vervanging van gebeurtenisgebaseerde)

- Shift Technical Advisors op elke shift

- NRC-gecertificeerde full-scope simulators voor crew-training

- Post-ongevallen monitoring instrumentatie (PAM): directe kernkoelingsindicatoren, gekwalificeerd displaypaneel op AC-onafhankelijke stroom

- Herziene controlekamerontwerpstandaarden (NUREG-0700)

- Verbeterde eisen voor operatorlicentietoetsen

Tsjernobyl (1986)

Tsjernobyl Eenheid 4: 26 april 1986

Tsjernobyl verschilde in karakter van TMI: het was voornamelijk een ontwerpfout gecombineerd met opzettelijke omzeiling van veiligheidssystemen.

Wat er gebeurde:

- Een spanningsstabiliteitstest vereiste het draaien van de reactor op laag vermogen (~200 MW, vs. nominaal 3.200 MW)

- Bij laag vermogen had de RBMK-reactor een positieve voidcoëfficiënt: stoom bubbels in de koelvloeistof verhoogden de reactiviteit

- Stuurstaven hadden een ontwerpfout: de grafietpunten verplaatsten water bij eerste insertie, wat een initiële toename van reactiviteit veroorzaakte voordat het neutron-absorberende deel de kern binnenging

- De test werd uitgesteld; het nachtpersoneel was niet getraind voor de test

- Meerdere veiligheidssystemen werden opzettelijk uitgeschakeld om de test uit te voeren

- Bij het indrukken van de noodstopknop (AZ-5) veroorzaakten de grafietstangpunten een reactiviteitspiek in plaats van de bedoelde SCRAM

- Vermogen schoot in seconden op naar 30.000 MW: ongeveer 10x het nominale vermogen

- Brandstof & koelmiddel flitsten naar stoom, wat een stoomsploding veroorzaakte die de reactor vernietigde

- Grafietvuur brandde 10 dagen, waardoor splijtingsproducten over Europa werden verspreid

Geen containment: De RBMK had geen volledige containmentgebouwen. De reactor stond in een groot industrieel gebouw zonder drukvasthoudend vermogen. Toen de reactor werd vernietigd, was er geen laatste barrière.

Veranderingen na Tsjernobyl:

- Ontwerpwijzigingen RBMK: positieve void-coëfficiënt bij lage vermogens verwijderd, rod-tips herontworpen, extra neutronabsorbeerders toegevoegd

- Internationale nucleaire veiligheidsconventies versterkt

- Nucleaire veiligheids-cultuur concept geformaliseerd door IAEA (INSAG-7)

- Westerse regelgevende nadruk op containment als een niet-onderhandelbare eis

Drie Ongelukken, Drie Lessen

Je kent nu de drie grote civiele kernongevallen: TMI (1979), Tsjernobyl (1986) & Fukushima (2011). Elk onthulde een ander soort falen in de defense in depth.

Risico kwantificeren

PRA: Van 'Veilig genoeg' naar 'Hoe veilig?'

Deterministische veiligheidsanalyse zegt: ontwerp de centrale om deze specifieke ongevallen te overleven. Probabilistische Risicoanalyse (PRA) stelt een andere vraag: gegeven alle manieren waarop het mis kan gaan, wat is de kans dat het daadwerkelijk gebeurt?

Kernschade frequentie (CDF): De kans dat de reactorkern significant beschadigd raakt in een willekeurig gegeven jaar. Veiligheidsdoel van de NRC: CDF < 1×10⁻⁴ per reactorjaar (eenmaal per 10.000 reactorjaren). Moderne centrales behalen doorgaans CDF < 1×10⁻⁵ (eenmaal per 100.000 reactorjaren).

Frequentie van grote vroege vrijlating (LERF): De kans op een grote, vroege vrijlating van radioactiviteit in het milieu (voordat evacuatie voltooid kan zijn). Veiligheidsdoel van de NRC: LERF < 1×10⁻⁵ per reactorjaar.

Foutbomen: Grafische logische diagrammen die de combinaties van componentuitval tonen die leiden tot een gedefinieerd topgebeurtenis (bijv. 'ECCS levert geen water aan de kern'). Gebruikt AND-poorten (alle moeten falen) & OR-poorten (één enkele uitval is voldoende). AND-poorten verlagen de waarschijnlijkheid (vereisen meerdere gelijktijdige uitval). OR-poorten verhogen de waarschijnlijkheid.

Gebeurtenisboom: Grafische diagrammen die beginnen met een initiërende gebeurtenis (bijv. 'grote-brek LOCA vindt plaats') & de gevolgen traceren afhankelijk van het succes of falen van veiligheidssystemen. Elke tak vertegenwoordigt het succes of falen van een veiligheidsfunctie. Eindknooppunten zijn ongevalssequenties: veilige afsluiting, kernschade, grote uitstoot.

Belangrijkheidsmaatregelen: PRA identificeert welke componenten & systemen het meest bijdragen aan het risico.

- Fussel-Vesely (FV) importantie: het aandeel van de CDF dat wordt bijgedragen door de uitval van een component. Hoge FV = dit component is zeer belangrijk.

- Risk Achievement Worth (RAW): hoeveel de CDF toeneemt als wordt aangenomen dat dit component faalt. Hoge RAW = dit component mag niet lang buiten dienst zijn.

RAW stuurt de planning van onderhoud & testen: componenten met hoge RAW krijgen frequente tests & korte toegestane uitvaltimes.

PRA en Onderhoudsschema's

Een kerncentrale heeft drie nooddiesels (A, B, C). PRA-analyse toont aan:

- CDF met alle drie operationeel: 2×10⁻⁵ per jaar

- CDF met diesel A buiten dienst voor onderhoud: 8×10⁻⁵ per jaar (4x toename)

- CDF met diesels A & B tegelijkertijd buiten dienst: 4×10⁻³ per jaar (200x toename)

Het onderhoudsteam wil diesels A & B tegelijkertijd buiten dienst nemen voor een grote revisie van 30 dagen.

Kernbrandstof: De Lange Verplichting

Bestaande Brandstof: Actieve & Passieve Beheer

Wanneer brandstof na 3-5 jaar gebruik uit een reactor wordt verwijderd, is deze intens radioactief & thermisch heet door vervalwarmte. Dezelfde vervalwarmtecurve geldt: 7% van het nominale vermogen onmiddellijk, afnemend over jaren.

Bestaande-brandstofbassins (SFP): Direct na verwijdering worden bestaande-brandstofbundels in een bestaand-brandstofbassin geplaatst: een met water gevuld bassin, typisch 40 voet diep, naast het reactorgebouw. Water dient een dubbel doel: koeling en afscherming (water boven de brandstof absorbeert straling, waardoor werknemers op het bassinplatform lage doses ontvangen).

Minimale koeltijd in bassin voor droogvat: Ongeveer 5 jaar voor PWR-brandstof. De brandstof moet afkoelen tot het punt waarop passieve luchtkoeling in een droogvat de resterende vervalwarmte kan hanteren zonder water.

Zirkalloy-brandrisico: Als bestaande-brandstofbundels ontbloot raken (bassinwater verloren), kan zirkalloy-bekleding bij hoge temperaturen oxideren in lucht. In tegenstelling tot de stoom-zirkalloy-reactie die waterstof produceert, kan lucht-zirkalloy-oxidatie bij roodgloeiende temperaturen een zirkalloy-brand in stand houden: een zelfonderhoudende exotherme reactie. Het bestaande-brandstofbassin van Fukushima Unit 4 stond op enkele dagen van temperaturen waarbij dit had kunnen gebeuren.

Post-Fukushima SFP-vereisten (NRC Order EA-12-051):

- Betrouwbare instrumentatie voor SFP-waterniveau & -temperatuur

- Mogelijkheid om make-upwater toe te voegen aan SFP vanuit diverse bronnen

- Strategieën om SFP-koeling te handhaven of te herstellen onder scenario's met langdurig verlies van stroom

Droge ketelopslag: Na 5+ jaar in het bassin wordt de brandstof overgebracht naar droge ketels: gelaste stalen behouders omringd door beton- of hogedichtheid polyethyleenafscherming. Koeling is volledig passief: natuurlijke luchtconvectie door ventilatieopeningen in de buitenstructuur. Geen stroom vereist. Ontwerplevensduur: 100+ jaar. Momenteel meer dan 90.000 metrische ton zware metalen in droge ketelopslag in de VS alleen.

Berging van hoogradioactief afval: Gebruikte splijtstof wordt geclassificeerd als hoogradioactief nucleair afval. De Amerikaanse wet (Nuclear Waste Policy Act) wijst Yucca Mountain, Nevada aan als de permanente opslagplaats: maar deze is nog niet geopend vanwege politieke tegenstand. De NRC vereist dat een opslagplaats 10.000 jaar containment biedt (EPA-norm: 1 miljoen jaar voor doses na 10.000 jaar). Diepe geologische berging gebruikt de rotsformatie zelf als primaire barrière, met geëngineerde barrières (glasvervitrificatie, metalen kannen, bentonietklei) als extra lagen.

Laagradioactief afval (LLW): Verontreinigde kleding, gereedschappen, filters, harsen. Drie NRC-klassen:

- Klasse A: laagste activiteit, kortlevende isotopen. Ondiepe landberging, eis van 100 jaar isolatie

- Klasse B: matige activiteit. Ondiepe berging met 300 jaar isolatie

- Klasse C: hogere activiteit, langerlevende isotopen. Vereist 500 jaar isolatie; nabijoppervlakteberging met grotere geëngineerde barrières

Volumereductietechnieken (verbranding, persen, smelten) zijn verplicht om de benodigde bergingsruimte te minimaliseren

Droge Ton Veiligheidsargument

Een criticus betoogt dat droge ton opslag onveilig is omdat de tonnen geen actieve koeling hebben, geen stroomaansluitingen en buiten op betonnen plateaus staan. Een kerningenieur reageert dat droge tonnen eigenlijk veiliger kunnen zijn dan de spent fuel pool.

Defense in Depth: Het Volledige Beeld

Kernveiligheidsengineering: Een Systemendiscpline

Je hebt nu elke laag van kernveiligheidsengineering bestudeerd. Neem een stap terug & bekijk het systeem:

Fysieke barrières (brandstofmatrix, bekleding, drukvat, containment) zijn passief: ze vereisen geen actie om te werken. Ze vormen de basis.

Veiligheidssystemen (ECCS, RPS, EDGs, DDAS) zijn actief met passieve back-ups (accumulators, zwaartekracht tanks, batterijen). Elke functie heeft drie onafhankelijke lijnen. Elke lijn is 100% capabel. Actieve & passieve benaderingen zijn divers.

Instrumentatie (RPS, ECCS-activering, PAM) bewaakt tientallen parameters met 2-van-4 stemlogica: bestand tegen valse trips en sensorstoringen die een trip zouden verhinderen.

Procedures (symptoombasede EOP's) leiden operatoren naar beschermende acties zonder dat een juiste diagnose vereist is. Na TMI. Essentieel.

Human factors (bezetting, training, human performance tools, vermoeidheidslimieten) verminderen de kans dat de menselijke laag faalt. Na TMI STA-vereiste. Simulator training. Pre-job briefings. STAR. Driewegcommunicatie.

Management & veiligheids-cultuur zorgen ervoor dat veiligheid niet wordt ingeruild voor efficiëntie. Na Tsjernobyl INSAG-7. De les van Tsjernobyl is dat veiligheidssystemen die door management worden uitgeschakeld, veiligheidssystemen zijn die niet bestaan.

Regulering (NRC 10 CFR 50, IAEA-normen, periodieke inspecties) biedt onafhankelijke controle op het hoogste niveau. Een regulator die niet inspecteert, is een regulator die niet bestaat.

De drie grote ongevallen toonden aan dat defense in depth niet faalt door één dramatische fout, maar door een combinatie van kleine fouten, onjuiste aannames en ontoereikende marges in meerdere lagen tegelijkertijd. De safety case is alleen zo sterk als de zwakste gelijktijdige combinatie.

Eindintegratie

Eindvraag: De Moeilijkste

Een nieuw voorgesteld reactordesign claimt zo veilig te zijn dat het slechts één ECCS-trein nodig heeft (niet drie), geen nooddiesels (alleen passieve koeling) en een vereenvoudigd personeelsmodel met twee operatoren per dienst in plaats van vier.

De ontwerper betoogt: 'Passieve koeling betekent dat er geen stroom nodig is, dus diesels zijn overbodig. De reactor kan niet smelten door de fysica, dus vereenvoudigde bemanning is gerechtvaardigd.'