Definicja IAEA

Obrona w Głębi: Organizująca Filozofia

Międzynarodowa Agencja Energii Atomowej (IAEA) definiuje obronę w głębi jako wielowarstwowe podejście do bezpieczeństwa, w którym każda warstwa działa jako zapasowa dla poprzednich. Nie zakłada się, że żadna pojedyncza warstwa jest idealna. Uzasadnienie bezpieczeństwa opiera się na posiadaniu wielu niezależnych warstw, tak aby żadna pojedyncza awaria: i żadne pojedyncze połączenie awarii z jednego źródła głównego przyczyna: nie mogło prowadzić do szkód.

Obrona w głębi działa na każdej skali:

Fizyczne bariery: matryca paliwa → powłoka paliwa → zbiornik ciśnieniowy reaktora → obudowa bezpieczeństwa → budynek reaktora (4-5 fizycznych granic między paliwem a środowiskiem)

Systemy bezpieczeństwa: każda funkcja (chłodzenie, wyłączenie, zasilanie) jest realizowana przez co najmniej 3 niezależne ciągi

Procedury: pisemne procedury regulują każdą ewolucję; procedury anormalne i awaryjne dla każdego zdarzenia bazowego projektu

Operatorzy: licencjonowani, wyszkoleni, kwalifikowani, wypoczęci; niezależna władza do zainicjowania wyłączenia

Zarządzanie: kultura bezpieczeństwa jądrowego, nadzór regulacyjny, niezależne przeglądy bezpieczeństwa

Regulacje: wymagania bazowe projektu NRC 10 CFR 50, licencjonowana eksploatacja, okresowe inspekcje

Zasada kluczowa: Brak punktów za nieudane warstwy. Jeśli nie możesz potwierdzić, że bariera jest nienaruszona, zakładasz, że nie jest. Cały system jest zaprojektowany tak, aby był bezpieczny przy awarii dowolnego jednego aktywnego komponentu: to nazywa się kryterium pojedynczej awarii.

Redundancja, Różnorodność i Niezależność

Trzy Właściwości, Które Sprawiają, że Obrona Jest Rzeczywista

Systemy bezpieczeństwa jądrowego muszą spełniać trzy odrębne właściwości. Ich mylenie to powszechny i niebezpieczny błąd.

Redundancja oznacza posiadanie więcej niż jednej rzeczy tego samego typu. Trzy agregaty diesla są redundantne. Ale jeśli wszystkie dzielą ten sam zbiornik paliwa, tę samą logikę rozruchu lub ten sam fizyczny pokój, redundancja sama w sobie nie chroni przed awarią spowodowaną wspólną przyczyną.

Różnorodność oznacza używanie różnych zasad fizycznych lub różnych urządzeń do wykonywania tej samej funkcji. Pompa iniekcyjna wysokiego ciśnienia i akumulator azotowy dostarczają wodę do rdzenia: ale działają na całkowicie różnych zasadach. Różnorodność pokonuje tryby awarii, które pokonałyby wszystkie redundantne kopie jednego projektu.

Niezależność oznacza, że awaria jednego toru nie może spowodować lub uniemożliwić działania innego. Niezależność wymaga:

- Oddzielnych magistrali zasilania (różne źródła zasilania elektrycznego)

- Fizycznego rozdzielenia (bariery, różne budynki, przeciwne strony reaktora)

- Oddzielnej logiki aktywacji (zwarcie w Torze A nie może wyłączyć Toru B)

- Oddzielnych przyrządów pomiarowych (czujniki Toru A nie zasilają aktywacji Toru B)

Wspólna przyczyna awarii (CCF) to koszmarny scenariusz: pojedyncze zdarzenie jednocześnie wyłącza wiele redundantnych torów. Fukushima jest definiującym przykładem: tsunami to nie tylko utrata zewnętrznego zasilania. Jednocześnie wyłączyło wszystkie trzy awaryjne generatory diesla, ponieważ wszystkie znajdowały się w tym samym niskim budynku. Redundancja bez niezależności to iluzja.

Kryterium pojedynczej awarii

Kryterium pojedynczej awarii NRC (10 CFR 50, Appendix A, General Design Criterion 17) stwierdza, że systemy bezpieczeństwa muszą być zaprojektowane tak, aby żadna pojedyncza awaria aktywnego komponentu nie uniemożliwiała systemowi wykonywania jego funkcji bezpieczeństwa.

Awaria „aktywna” to taka, która wymaga zmiany stanu: pompa nie uruchamia się, zawór nie otwiera się.

Awaria „pasywna” (np. pęknięcie rury) jest objęta oddzielnymi wymaganiami projektowymi.

Dlaczego Trzy Linie?

Każdy System Krytyczny dla Bezpieczeństwa: Trzy Niezależne Linie

Zasada potrójnej redundancji to nie po prostu „trzy jest bezpieczniejsze niż dwie”. To precyzyjne wymaganie inżynierskie z określonymi właściwościami.

Każdy pociąg musi być w stanie samodzielnie realizować 100% funkcji bezpieczeństwa. Jeśli Pociąg A obsługuje chłodzenie, obsługuje całe potrzebne chłodzenie. Pociągi B i C nie są częściowymi współtwórcami: są pełnymi kopiami zapasowymi.

Pociągi muszą być fizycznie oddzielone. Różne budynki lub co najmniej oddzielone barierami ogniowymi. Różne trasy kabli. Różne trasy rur. Jeśli pożar, powódź lub eksplozja dotknie jeden pociąg, nie może dosięgnąć pozostałych.

Pociągi muszą mieć oddzielne zasilanie. Różne szyny elektryczne zasilane z różnych źródeł. Pociąg A na Szynie A, Pociąg B na Szynie B, Pociąg C na Szynie C: każda szyna z własnym dieselowym agregatem awaryjnym.

Pociągi muszą mieć oddzielną logikę aktywacji. Awaria przekaźnika w obwodzie aktywacji Pociągu A nie może uniemożliwić aktywacji Pociągu B. Idealnie, używają całkowicie różnych zasad aktywacji (różnorodność).

Dlaczego trzy, a nie dwa? Z trzema pociągami logika głosowania dwóch-na-trzech oznacza, że pojedyncza awaria komponentu nadal pozostawia dwa działające pociągi: spełniasz kryterium pojedynczej awarii I zapewniasz ochronę przed awariami o wspólnym przyczynie. Z dwoma pociągami pojedyncza awaria pozostawia jeden pociąg: brak marginesu, brak ochrony przed drugą awarią.

Różnorodność vs. Redundancja

Rozważ system awaryjnego chłodzenia rdzenia w PWR. Jedno podejście: trzy identyczne pompy wysokiego ciśnienia, каждая zasilana przez oddzielny generator diesla, w oddzielnych pomieszczeniach.

Drugie podejście: jedna pompa wysokiego ciśnienia, plus jeden akumulator azotowy pod ciśnieniem, który nie wymaga zasilania, plus jeden zbiornik z wodą zasilaną grawitacyjnie z podwyższonego zbiornika.

Oba zapewniają trzy sposoby dostarczania wody do rdzenia.

ECCS: Ostatnia Linia Obrony Rdzenia

Systemy Awaryjnego Chłodzenia Rdzenia

Założenie projektowe dla reaktora PWR to utrata czynnika chłodzącego (LOCA): pęknięcie w układzie chłodziwa reaktora, które umożliwia ucieczkę chłodziwa pierwotnego. Duże pęknięcie LOCA może odsłonić rdzeń w ciągu sekund. Bez natychmiastowego zalania temperatury powłok paliwowych przekraczają 1200°C, cyrkonol zoksyduje się, a uszkodzenie paliwa się rozpocznie.

ECCS dla typowego PWR ma cztery podsystemy, z których każdy działa w innej fazie wypadku:

System Wtryskiwania Wysokiego Ciśnienia (HPIS): Aktywuje się natychmiast przy niskim ciśnieniu chłodziwa reaktora lub wysokim ciśnieniu otaczadła. Wtryskuje wodę z borem do układu chłodziwa reaktora, gdy ciśnienie jest jeszcze wysokie (powyżej ~200 psi). Używa pomp napędzanych silnikami zasilanymi przez awaryjne diesle. Wydajność: 500-1,500 gpm w zależności od projektu.

Akumulatory (zwane również Zbiornikami Zalewającymi Rdzeń): Pasywne zbiorniki azotem sprężone zawierające wodę z borem. Wtryskują automatycznie, gdy ciśnienie chłodziwa reaktora spadnie poniżej ciśnienia azotu (zazwyczaj 600-700 psi). Nie wymagają zasilania: ciśnienie azotu wpycha wodę do rdzenia. Każdy akumulator mieści ~1,000 galonów.

System Wtryskiwania Niskiego Ciśnienia (LPIS): Aktywuje się przy niskim ciśnieniu (<200 psi). Zapewnia duże wydajności (tysiące gpm) dla dużych awarii LOCA. Po opróżnieniu zbiornika wody do ponownego załadowania (RWST), system przełącza się na recyrkulację z sumy: recyrkulację wody z sumy otaczadła z powrotem przez rdzeń. Musi działać przez tygodnie (usuwanie ciepła rozpadu).

Usuwanie Resztkowego Ciepła (RHR): Nazywany również systemem usuwania ciepła rozpadu. Główne zadanie: usuwanie ciepła rozpadu po osiągnięciu przez reaktor zimnego wyłączenia. Działa przy niskim ciśnieniu i niskiej temperaturze, krążąc chłodziwo przez wymienniki ciepła. Zapewnia również zdolność wtryskiwania niskiego ciśnienia.

Systemy natrysku rdzenia BWR: Reaktory wrzenia wody używają dysz natryskowych rdzenia powyżej paliwa, które natryskują wodę bezpośrednio na wiązki paliwowe: inna geometria niż zalewanie w PWR.

Krzywa ciepła rozpadu

Krzywa ciepła rozpadu to jedna z najważniejszych wartości w bezpieczeństwie jądrowym. Po wyłączeniu reaktora:

- t = 0 sekund: ~7% mocy znamionowej (240 MW dla reaktora 3 400 MW)

- t = 1 minuta: ~3,5%

- t = 1 godzina: ~1% (~34 MW)

- t = 1 dzień: ~0,3% (~10 MW)

- t = 1 tydzień: ~0,1%

- t = 1 rok: paliwo nadal generuje mierzalne ciepło z długożyjących izotopów

Dziesięć megawatów ciepła, utrzymywane bezterminowo, bez prądu do napędzania pomp chłodzących. To była dokładnie sytuacja w Fukushima Daiichi 11 marca 2011 roku.

Pasywne ECCS: Projekt AP1000

Nowe Pokolenie: Pasywne Bezpieczeństwo

Westinghouse AP1000 (Advanced Passive 1000 MWe) wykorzystuje lekcje z aktywnych ECCS i odwraca filozofię projektowania: zamiast trzech ciągów pomp wymagających zasilania, wszystkie funkcje bezpieczeństwa opierają się na grawitacji, naturalnej cyrkulacji, sprężonym gazie i parowaniu.

Zbiorniki Na Dopełnienie Rdzenia (CMT): Dwa duże zbiorniki zimnej wody z borem zamontowane nad reaktorem. Normalnie odizolowane. Po uruchomieniu spływają grawitacyjnie do układu chłodziwa reaktora. Każdy zbiornik zawiera wystarczającą ilość wody, aby utrzymać rdzeń zalany przez godziny.

Akumulatory: Takie same jak w konwencjonalnych elektrowniach: azotowe, pasywna iniekcja.

Zbiornik magazynowania wody do ponownego zaopatrzenia w paliwo w obudowie (IRWST): Duży basen z wodą wewnątrz budynku obudowy, nad reaktorem. Zasila grawitacyjnie. Zapewnia długoterminowe chłodzenie po opróżnieniu CMT. Bez pomp. Bez zasilania.

Cieplne wymienniki pasywnego usuwania resztkowego ciepła (PRHR HX): Zanurzone w IRWST. Naturalna cyrkulacja przenosi ciepło rozpadu z reaktora do wody IRWST, która się nagrzewa, wrze i wentyluje do atmosfery przez komin. Bez pomp. Całkowicie pasywne.

Okno 72-godzinne: Analiza bezpieczeństwa AP1000 demonstruje 72 godziny chłodzenia rdzenia bez działań operatora i bez zasilania. Po 72 godzinach operatorzy mogą uzupełnić IRWST wodą z dowolnego źródła.

Ta różnorodność projektowa: pasywna vs. aktywna: to powód, dla którego różnorodność ma znaczenie. Systemy bezpieczeństwa AP1000 nie mogą zostać pokonane przez tryb awarii, który zniszczył Fukushimę.

[TITLE containment/]

Ostatnia Fizyczna Bariera

Obudowa: Ostateczna Granica

Jeśli wszystkie inne systemy bezpieczeństwa zawiodą i dojdzie do uszkodzenia paliwa, obudowa jest ostatnią barierą między materiałem radioaktywnym a publicznością. Musi wytrzymać: wewnętrzne ciśnienie od pary, spalanie wodoru, uderzenia pocisków z uszkodzonego sprzętu oraz przez tak długo, jak to konieczne.

Sucha obudowa PWR: Stalowo wyłożona konstrukcja z zbrojonego betonu, zazwyczaj o średnicy 140 stóp i wysokości 200 stóp. Zaprojektowana do utrzymania ciśnienia pary z całkowitego dwustronnego przecięcia gilotynowego największej rury układu chłodzenia pierwotnego (ciśnienie projektowe ~60 psi). Stalowa wyściółka stanowi granicę ciśnieniową; beton zapewnia wytrzymałość strukturalną i osłonę biologiczną.

Kondensator lodowy: Mniejszy, niższego ciśnienia projekt obudowy PWR (używany w niektórych elektrowniach Westinghouse), który wykorzystuje setki ton lodu do pochłaniania energii pary & utrzymywania niskiego ciśnienia w obudowie podczas LOCA. Umożliwia mniejszą, tańszą konstrukcję, ale wymaga okresowej konserwacji lodu.

Podwójna obudowa: Niektóre projekty umieszczają wewnętrzną stalową obudowę wewnątrz zewnętrznego betonowego budynku wtórnej obudowy. Przestrzeń między nimi jest utrzymywana pod lekko ujemnym ciśnieniem, dzięki czemu wszelkie wycieki z wewnętrznej obudowy są zbierane & filtrowane przed uwolnieniem.

Obudowa BWR: Mark I, II, III: Obudowy BWR General Electric są mniejsze, ponieważ wykorzystują basen tłumienia ciśnienia (torus lub wetwell) do szybkiego skraplania pary. Mark I (projekt Fukushimy) to układ sucha studnia-torus: torus to duży basen wodny w kształcie pączka poniżej suchej studni. Słabość: torus jest przymocowany do dna suchej studni. Jeśli torus zawiedzie, obudowa zawiedzie. Dokładnie to wydarzyło się w bloku 1 Fukushimy.

Pasywne rekombinatory katalityczne (PAR): Po Fukushimie większość obudów zawiera teraz PAR: urządzenia z materiałem katalitycznym (pallad lub platyna), które reagują wodór z tlenem tworząc wodę, bez zapłonu, przy niskich stężeniach. Zapobiega to akumulacji wodoru, która mogłaby spowodować deflagrację lub detonację.

Filtrowane odpowietrzanie zawartości: Wymóg po Fukushimie w Europie i coraz częściej w USA: utwardzona ścieżka odpowietrzania z wieloetapowym systemem filtrów (skrubber Venturiego + filtr z włókien metalowych), który pozwala operatorom na celowe odpowietrzanie zawartości, zachowując >99,9% radioaktywności cząstek. Zapobiega to niekontrolowanej awarii zawartości z powodu nadciśnienia.

Podstawa projektowa i poza podstawą projektową

Do czego zaprojektowana jest zawartość

Awarie podstawy projektowej (DBA): NRC wymaga, aby zawartość przetrwała jednocześnie jedną z nich:

- Duża awaria LOCA: całkowite przecięcie największej rury chłodziwa pierwotnego, maksymalne uwolnienie chłodziwa

- Utrata zewnętrznego zasilania (LOOP) zbieżna z LOCA: brak zasilania z sieci, gdy jest najbardziej potrzebne

- Awaria linii pary głównej: uwolnienie wysokociśnieniowej pary wewnątrz obudowy

- Wypadek obsługi paliwa: upadek zespołu paliwowego, uwolnienie produktów rozszczepienia z uszkodzonego paliwa

Zdarzenia poza zakresem projektowym (BDBA): Po 9/11 i po Fukushimie elektrownie muszą także uwzględniać:

- Wyłączenie stacji (SBO): przedłużona utrata całej mocy prądu przemiennego (wymóg po TMI, wzmocniony po Fukushimie)

- Powódź poza zakresem projektowym: Fukushima pokazała, że wysokości powodzi projektowej były zbyt niskie

- Uderzenie samolotu: NRC wymaga po 9/11 analizy celowego uderzenia samolotu; nowe elektrownie muszą wykazać zdolność strukturalną do przeżycia

- Utrata chłodzenia w basenie wypalonych elementów paliwowych: basen w bloku 4 Fukushimy prawie całkowicie wyparował; po Fukushimie dodano dedykowane połączenia do uzupełniania SFP

Usterkowość Mark I

Reaktory Fukushima Daiichi Units 1, 2 i 3 miały wszystkie obudowy General Electric Mark I. Mark I wykorzystuje suchą studnię (suchą studnię w kształcie żarówki ze stali wokół reaktora) połączoną z toroidalnym basenem tłumikowym (torusem) przez downcomery. Para z suchej studni jest kierowana do wody torusa w celu kondensacji.

Podczas wypadku torus w Unit 2 został uszkodzony, co pozwoliło produktom rozpadu jądrowego na ucieczkę bezpośrednio do budynku reaktora, a następnie do atmosfery, bez przechodzenia przez pełną granicę obudowy.

Systemy Wyłączenia

Kontrola Reaktywności: Trzy Niezależne Ścieżki do Wyłączenia

Reaktor musi być w stanie wyłączyć się i pozostać wyłączonym w każdych warunkach. Nie można pozwolić, aby pojedyncza awaria uniemożliwiła wyłączenie. Ogólne kryterium projektowe (GDC 26) wymaga dwóch niezależnych systemów kontroli reaktywności, z których każdy jest w stanie utrzymać reaktor w stanie podkrytycznym.

Mechanizmy napędów prętów sterujących (CRDM):

- Magnetyczne CRDM typu PWR: Pręty sterujące są podtrzymywane przez elektromagnesy. W przypadku utraty zasilania (sygnał SCRAM lub utrata zasilania), magnesy tracą energię i pręty opadają grawitacyjnie do rdzenia. Bezpieczeństwo awaryjne: zasilanie wymagane do utrzymania prętów POZA rdzeniem. Utrata zasilania = automatyczne wstawienie.

- Hydrauliczne CRDM typu BWR: Pręty są wpychane od dołu przez wodę wysokiego ciśnienia. Awaryjne wstawienie wykorzystuje azot wysokiego ciśnienia do szybkiego wpychania prętów. Niektóre projekty BWR mają również elektryczne wsparcie zapasowe do wstawiania prętów.

Alternatywne wstawianie prętów (ARI): Oddzielna, zróżnicowana ścieżka sygnału elektrycznego, która może wstawić pręty sterujące niezależnie od normalnej logiki SCRAM. Używane, jeśli normalny obwód SCRAM zawiedzie.

Przewidywany przemijający stan bez SCRAM (ATWS): Scenariusz regulacyjny, w którym pręty sterujące nie wstawiają się na żądanie. Systemy łagodzenia ATWS (ATWS-MF) zapewniają wtrysk boru niezależny od normalnego SCRAM: zazwyczaj automatyczny wtrysk boru wysokiego ciśnienia wyzwalany przez oddzielny zestaw czujników.

Awaryjne borowanie:

- Wstrzykiwanie boru pod wysokim ciśnieniem z oddzielnego rurociągu (oddzielnego od normalnego ładowania)

- Awaryjne borowanie za pośrednictwem linii wstrzykiwania boru ECCS

- Ręczne borowanie z zbiorników magazynowych kwasu borowego

Projekty pasywne: reaktor CANDU: CANDU posiada dwa całkowicie niezależne systemy wyłączenia: (1) mechaniczne pręty wyłączeniowe opadające siłą grawitacji oraz (2) wstrzykiwanie pod wysokim ciśnieniem roztworu azotanu gadolinu do moderatora: oddzielny obwód fizyczny. Są one niezależne pod każdym względem: inna logika wyzwalania, inne systemy fizyczne, inne zasady działania.

Analiza ATWS

Podczas testów w 1979 roku w Three Mile Island Unit 2, błąd konserwacyjny spowodował, że reaktorowy trip (SCRAM) nie nastąpił podczas testu. Zdarzenie zostało szybko wychwycone. Ale skłoniło to NRC do wymagania systemów łagodzenia ATWS we wszystkich elektrowniach: ponieważ systemy „niemożliwe do awarii” faktycznie zawiodły.

Zdarzenie ATWS w PWR: moc reaktora gwałtownie rośnie. Pręty sterujące nie wchodzą. Awaryjne borowanie jest ostatnią linią obrony.

Trójwarstwowa Architektura Zasilania

Elektryczne Zasilanie Elektrowni Jądrowej: Trzy Niezależne Warstwy

Elektrownia jądrowa musi utrzymywać zasilanie swoich systemów bezpieczeństwa niezależnie od tego, co dzieje się z siecią lub własnym sprzętem generującym. Architektura zasilania ma trzy warstwy:

Warstwa 1: Normalna praca: Elektrownia generuje własne zasilanie z głównego generatora turbiny. Obciążenia pomocnicze (pompy, wentylatory, sterowanie) są zasilane z własnego wyjścia elektrowni za pośrednictwem transformatorów pomocniczych jednostki.

Warstwa 2: Zasilanie zewnętrzne (preferowane źródło AC): Jeśli główny generator ulegnie zadziałaniu, elektrownia podłącza się do sieci poprzez transformatory rozruchowe/rezerwowe. NRC wymaga co najmniej dwóch niezależnych linii przesyłowych z różnych podstacji: aby pojedyncza awaria linii przesyłowej nie mogła spowodować całkowitej utraty zasilania zewnętrznego.

Warstwa 3: Awaryjne agregaty prądotwórcze diesla (EDG): Jeśli zasilanie zewnętrzne zostanie utracone, EDG uruchamiają się automatycznie i zasilają magistrali bezpieczeństwa w ciągu 10 sekund. Wymagania NRC:

- Każdy EDG musi osiągnąć znamionowe napięcie i częstotliwość w ciągu 10 sekund od otrzymania sygnału startu

- Magazynowanie paliwa: minimum 7 dni przy pełnym obciążeniu (NRC Regulatory Guide 1.9)

- Testowanie: miesięczny test obciążeniowy + 24-godzinny test wytrzymałościowy co 24 miesiące

- Sekwencjonowanie obciążenia: obciążenia bezpieczeństwa są podłączane sekwencyjnie, aby uniknąć przeciążenia diesla podczas rozruchu

Akumulatory stacji: Zasilanie DC dla instrumentacji, paneli sali kontrolnej, oświetlenia awaryjnego, obwodów aktywacji SCRAM, aktywacji ATWS oraz komunikacji. Muszą zasilać odbiorniki przez minimum 2 godziny (Klasa 1E); większość elektrowni projektuje na 4-8 godzin. Ładowarki akumulatorów ładują baterie po powrocie AC.

Strategia FLEX po Fukushimie: Rozporządzenie NRC EA-12-049 wymaga, aby wszystkie elektrownie miały przenośne pompy i generatory, które można wdrożyć w określonych ramach czasowych niezależnie od warunków na miejscu. Sprzęt FLEX jest przechowywany w wielu lokalizacjach (niektóre w solidnych strukturach, niektóre poza terenem) i może być podłączony do utwardzonych zewnętrznych punktów połączeniowych w systemach chłodzenia reaktora i basenów wypalonego paliwa.

Wymagania dla agregatów prądotwórczych diesla

Three Mile Island Unit 2, 1979: Sekwencja wypadku obejmowała wyłączenie turbiny, następnie utratę wody zasilającej, a potem złożoną serię wydarzeń prowadzącą do uszkodzenia rdzenia. Awaryjne agregaty prądotwórcze diesla uruchomiły się i działały poprawnie przez cały czas zdarzenia.

Fukushima Daiichi, 2011: Trzęsienie ziemi spowodowało SCRAM reaktora. Wszystkie sześć diesli uruchomiło się i działało. Następnie przybyło tsunami. Diesle dla bloków 1-3 były w pomieszczeniach w piwnicach, które zostały zalane. Diesel dla bloku 6 był w wyższym miejscu i przetrwał. Bloki 5 i 6 nie doznały uszkodzenia rdzenia.

Reactor Protection System

System Ochrony Reaktora (RPS)

System Ochrony Reaktora to automatyczny system, który inicjuje SCRAM reaktora (szybkie wyłączenie) w przypadku, gdy monitorowane parametry przekroczą bezpieczne limity. Jest to pierwsza automatyczna obrona przed przemijającymi stanami.

Monitorowane parametry, które mogą zainicjować SCRAM:

- Wysoki strumień neutronów (wysoka moc)

- Wysoka temperatura chłodziwa reaktora

- Niskie ciśnienie chłodziwa reaktora (potencjalna LOCA)

- Wysokie ciśnienie w kontenamencie

- Niski przepływ chłodziwa reaktora

- Wysoki poziom chłodziwa (BWR)

- Niski-niski poziom wody (BWR)

- Utrata zasilania zewnętrznego

- Ręczne wyłączenie (inicjowane przez operatora)

Logika głosowania: Każdy parametr jest mierzony przez cztery niezależne czujniki, każdy w oddzielnym kanale ochronnym. SCRAM wymaga przekroczenia setpointu przez 2 z 4 kanałów. Oznacza to:

- Pojedynczy uszkodzony czujnik (fałszywie wysokie wskazanie) nie może spowodować fałszywego wyłączenia

- Dowolne dwa kanały przekraczające setpoint inicjują zadziałanie

- Pojedynczy uszkodzony kanał (fałszywie wskazujący nisko) pozostawia trzy kanały, nadal zdolne do 2-z-3

Zróżnicowany i Dedykowany System Aktuacji (DDAS): Nowoczesne cyfrowe systemy RPS mają analogową kopię zapasową: DDAS, która może inicjować funkcje bezpieczeństwa niezależnie od cyfrowego I&C. Zapewnia to różnorodność: systemy cyfrowe i analogowe mogą zawieść z zupełnie różnych powodów, a awaria jednego nie uniemożliwia działania drugiego.

Logika 2-z-4 vs 2-z-3

RPS używa głosowania 2-z-4 do inicjowania SCRAM (cztery sensory, dwa muszą się zgodzić, aby zadziałać). Ale poszczególne sensory raportują do systemu actuacji za pomocą głosowania 2-z-3 w obrębie każdego toru (trzy pomiary, dwa muszą się zgodzić, aby aktywować konkretną funkcję bezpieczeństwa, taką jak ECCS).

To nie jest to samo, & zrozumienie różnicy ma znaczenie.

Minimalna obsada

Nadzór ludzki: Warstwa, która myśli

Operacje elektrowni jądrowej wymagają licencjonowanego personelu na zmianie przez cały czas. NRC 10 CFR 50.54(m) ustala minimalne wymagania dotyczące obsady. Na minimum, załogi operacyjne obejmują:

Operator Reaktora (RO): Z licencją NRC (10 CFR 55). Bezpośrednio obsługuje sterowanie reaktorem, główny panel kontrolny i systemy bezpieczeństwa. Musi być przy sterach nieprzerwanie podczas operacji na mocy.

Starszy Operator Reaktora (SRO): Wyższa licencja NRC. Nadzoruje RO. Posiada niezależne uprawnienia do zainicjowania wyłączenia. Przegląda i zatwierdza działania RO podczas zdarzeń nienormalnych. Nie może być tą samą osobą co RO na zmianie.

Nadzorca Zmiany (SS): Starszy licencjonowany SRO. Odpowiada za ogólne prowadzenie operacji i bezpieczeństwo elektrowni podczas zmiany. Ostateczna osoba decyzyjna na terenie dla operacji elektrowni.

Doradca Techniczny Zmiany (STA): Wymóg po TMI (NUREG-0737). Licencjonowany inżynier przydzielony do każdej zmiany specjalnie w celu zapewnienia niezależnego wsparcia technicznego podczas zdarzeń nienormalnych: nie rozproszony przez obsługę sterowania, skupiony wyłącznie na diagnozowaniu zdarzenia.

Dlaczego wiele osób? Obrona w głębi na poziomie ludzkim. RO pod stresem, skupiony na wykonywaniu procedur, może przeoczyć ogólny obraz. SRO zapewnia niezależny nadzór. STA zapewnia niezależną analizę techniczną. Nadzorca zmiany utrzymuje świadomość sytuacyjną. Żadna pojedyncza ludzka porażka poznawcza nie może uniemożliwić bezpiecznego sterowania elektrownią.

Narzędzia Wydajności Człowieka

Redukcja błędów ludzkich: narzędzia systemowe

Przemysł jądrowy określił ilościowo wskaźniki błędów ludzkich dla różnych typów zadań. Wskaźniki błędów przy złożonym podejmowaniu decyzji pod wpływem stresu mogą przekraczać 1 na 10. Przemysł dąży do osiągnięcia wskaźników błędów na poziomie 1 na 1000 lub lepszych dla zadań krytycznych i realizuje je poprzez systematyczne narzędzia poprawy wydajności człowieka.

Odprawa przedzadaniowa: Przed każdym istotnym zadaniem odprawa obejmuje: cel zadania, zagrożenia, oczekiwane warunki, kroki weryfikacji wykonania, warunki zatrzymania (jeśli wydarzy się X, zatrzymaj się i wezwij przełożonego). Trwa 5–15 minut. Znacznie zmniejsza błędy podczas wykonywania zadań.

STAR (Stop, Think, Act, Review): Technika samokontroli przy każdej krytycznej czynności. Stop: zatrzymaj się przed wykonaniem czynności. Think: co zamierzam zrobić i czy to jest poprawne? Act: wykonaj czynność. Review: czy wynik był zgodny z oczekiwaniami? Dwusekundowa pauza pozwala wychwycić błędy przestawienia, wybór niewłaściwego zaworu oraz skróty poznawcze.

Komunikacja trójstronna: Przy wszystkich istotnych dla bezpieczeństwa poleceniach ustnych: (1) Inicjator podaje polecenie: „Ustaw zawór HV-233 w pozycji otwartej.” (2) Odbiorca powtarza dokładnie: „Ustaw zawór HV-233 w pozycji otwartej.” (3) Inicjator potwierdza: „To jest poprawne.” Błąd komunikacyjny, który nie zostanie wychwycony w tej wymianie, jest nietypowy: wymaga, aby obie strony źle usłyszały lub źle zapamiętały.

[BLOCK_TYPE SECTION/STEP]

Zasada dwóch osób: W przypadku niektórych operacji o wysokich konsekwencjach (związanych z bezpieczeństwem, obsługą źródeł) dwie uprawnione osoby muszą być obecne i wzajemnie weryfikować swoje działania. Żadna z osób nie może wykonać wrażliwej czynności samodzielnie: druga osoba musi być fizycznie obecna i potwierdzać każdy krok. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Zarządzanie zmęczeniem: NRC 10 CFR 26 ustanawia limity: maksymalnie 16-godzinny dzień pracy, minimum 8 godzin odpoczynku przed powrotem do służby, maksymalnie 54 godziny tygodniowo, maksymalnie 72 godziny tygodniowo przy nadgodzinach. Zmęczenie pogarsza podejmowanie decyzji w stopniu porównywalnym z upojeniem alkoholowym: limity te nie są zaleceniami dotyczącymi produktywności, lecz wymaganiami bezpieczeństwa. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Procedury Eksploatacji Awaryjnej [BLOCK_TYPE SECTION/STEP]

Przed awarią w Three Mile Island (1979) elektrownie jądrowe stosowały procedury oparte na zdarzeniach: jeśli wystąpi zdarzenie X, wykonaj procedurę X. Operatorzy musieli najpierw prawidłowo zidentyfikować zdarzenie, zanim mogli podjąć działania. [BLOCK_TYPE SECTION/STEP]

W TMI operatorzy otrzymali sprzeczne wskazania. Zawór upustowy ciśnienia był zablokowany w pozycji otwartej: był to mały wyciek LOCA: ale operatorzy błędnie zidentyfikowali zdarzenie i zastosowali niewłaściwą procedurę. Do czasu postawienia prawidłowej diagnozy doszło do znacznego uszkodzenia rdzenia.

Po TMI branża opracowała procedury awaryjne oparte na objawach (EOP). Zamiast „zidentyfikuj zdarzenie, wybierz procedurę”, operatorzy postępują zgodnie z zasadą: „obserwuj objawy, podejmuj działania ochronne dla tych objawów, niezależnie od tego, co uważasz, że jest zdarzeniem”.

Kluczowy warunek wejścia oparty na objawach: każda nieoczekiwana zmiana poziomu, ciśnienia lub temperatury chłodziwa reaktora, niezależnie od przyczyny, uruchamia tę samą sekwencję weryfikacji chłodzenia rdzenia.

ALARA: As Low As Reasonably Achievable

Inżynieria ochrony radiacyjnej

ALARA: As Low As Reasonably Achievable: to nie po prostu limit dawki. To filozofia: dawka powinna być zredukowana do jak najniższego poziomu, jaki jest praktycznie możliwy, nie tylko utrzymywana poniżej limitów prawnych. NRC nakazuje ALARA jako wymóg regulacyjny (10 CFR 20.1101), nie tylko dobrą praktykę.

Zarządzanie dawką zewnętrzną: trzy klasyczne kontrole:

- Czas: Skrócenie czasu przebywania w polu promieniowania o połowę zmniejsza dawkę o połowę. Wstępnie zaplanowane sekwencje pracy minimalizują niepotrzebny czas spędzony w obszarach o wysokiej dawce.

- Odległość: Dawka promieniowania podlega prawu odwrotności kwadratu odległości. Podwojenie odległości od źródła punktowego zmniejsza dawkę do jednej czwartej. Praca z odległości sześciu stóp zamiast trzech zmniejsza dawkę o 75%.

- Osłona: Ołów, beton, woda i polietylen osłabiają różne rodzaje promieniowania. Warstwa połowicznego osłabienia (HVL) to grubość, która zmniejsza natężenie promieniowania o połowę. HVL ołowiu dla typowego promieniowania gamma: ~1 cm. HVL betonu: ~6 cm. Po dziesięciu warstwach HVL (10 TVL = warstwa dziesięciokrotnego osłabienia) natężenie promieniowania spada do 1/1000 wartości początkowej.

Kontrola dawki wewnętrznej:

- Materiał promieniotwórczy wewnątrz ciała nadal napromienia narządy aż do jego rozpadu lub wydalenia

- Drogi wnikania: inhalacja (aerozole, gazy), spożycie (skażona żywność/woda), wchłanianie przez skórę (rzadko)

- Dopuszczalne stężenie w powietrzu (DAC): stężenie radionuklidu w powietrzu, które przy wdychaniu przez 2000 godzin rocznie dostarcza dopuszczalną dawkę zawodową. Respiratory i obudowy podciśnieniowe zapobiegają dawce inhalacyjnej.

- Roczny Limit Spożycia (ALI): całkowite spożycie (wdychanie + połknięcie), które dostarcza limit dawki zawodowej

Limity dawek zawodowych (10 CFR 20):

- 5 rem (50 mSv) rocznie całkowity równoważnik dawki efektywnej

- 3 rem (30 mSv) na kwartał

- 15 rem (150 mSv) rocznie do soczewki oka

- 50 rem (500 mSv) rocznie do skóry lub kończyn

- Ograniczenie dawki dla planowania ALARA: 2 rem/rok (wewnętrzne limity administracyjne specyficzne dla zakładu często niższe)

Kontrola skażenia:

- Strefy kontrolowane radiologicznie (RCAs) mają kontrolowany dostęp, przeszukiwanie przy wyjściu

- Maty step-off: papier lub plastik przy wyjściach z RCA; tu zmienia się ochraniacze na buty, aby uniknąć przenoszenia skażenia

- Liczenie całego ciała: po pracy w obszarach z potencjalnym skażeniem wewnętrznym, liczniki gamma całego ciała wykrywają wchłonięcie wewnętrzne

- Programy bioanalizy: analiza moczu i kału określa dawkę wewnętrzną z konkretnych izotopów

ALARA w praktyce

Pracownik narażony na promieniowanie musi wymienić zawór w obszarze o wysokim natężeniu promieniowania. Natężenie dawki w miejscu zaworu wynosi 500 mrem/godzinę. Praca wymaga 30 minut do wykonania. Roczna dawka pracownika do tej pory wynosi 1200 mrem przy administracyjnym limicie zakładu 2000 mrem/rok.

Korzystając z zasad ALARA oraz trzech środków kontroli, oceń, czy ta praca może być wykonana, i wskaż co najmniej dwie konkretne działania zmniejszające dawkę.

Three Mile Island (1979)

Three Mile Island Unit 2: 28 marca 1979 r.

TMI nie było awarią projektową: to była awaria obrony w głąb na warstwach ludzkiej i proceduralnej.

Co się stało:

- Wyłączenie turbiny spowodowało SCRAM reaktora (automatyczne: zadziałało poprawnie)

- Zawór bezpieczeństwa (PORV) otworzył się (poprawnie), ale utknął w pozycji otwartej (awaria sprzętu)

- Wskazanie w sali kontrolnej pokazywało tylko, że zawór otrzymał sygnał zamknięcia: nie to, że był faktycznie zamknięty

- Chłodnica uciekała przez utknięty w pozycji otwartej PORV. Ciśnienie i temperatura w reaktorze spadły

- Operatorzy błędnie zinterpretowali objawy jako nadmiar chłodnicy i zmniejszyli wtrysk awaryjnego chłodzenia: dokładnie odwrotnie niż było potrzebne

- Przez ponad dwie godziny rdzeń reaktora był częściowo odsłonięty

- Około połowa rdzenia stopiła się

Co zrobiła kontenerka: Wytrzymała. Pomimo poważnego uszkodzenia rdzenia i nagromadzenia wodoru wewnątrz kontenerki, struktura kontenerki zatrzymała praktycznie wszystkie produkty rozszczepienia. Konsekwencje dawki poza terenem były niewielkie: brak efektów zdrowotnych dla publiczności z powodu promieniowania.

Ulepszenia po TMI (NUREG-0737):

- EOP oparte na objawach (zastępujące oparte na zdarzeniach)

- Doradcy Techniczni Zmiany na każdej zmianie

- Symulatory pełnego zakresu certyfikowane przez NRC do szkolenia załóg

- Instrumentacja monitoringu poawaryjnego (PAM): bezpośrednie wskaźniki chłodzenia rdzenia, kwalifikowany panel wyświetlania na zasilaniu niezależnym od AC

- Zmienione standardy projektowania sali kontrolnej (NUREG-0700)

- Ulepszone wymagania dotyczące egzaminów licencyjnych operatorów

Czarnobyl (1986)

Czarnobyl, blok 4: 26 kwietnia 1986

Czarnobyl różnił się charakterem od TMI: był głównie wynikiem niedoskonałości konstrukcyjnej połączonej z celowym ominięciem systemów bezpieczeństwa.

Co się stało:

- Test stabilności napięcia wymagał pracy reaktora na niskiej mocy (~200 MW w porównaniu do znamionowych 3 200 MW)

- Przy niskiej mocy reaktor RBMK miał dodatni współczynnik pustki: pęcherzyki pary w chłodziwie zwiększały reaktywność

- Pręty sterujące miały wadę konstrukcyjną: grafitowe końcówki wypierały wodę przy pierwszym wkładaniu, powodując początkowy wzrost reaktywności, zanim neutronochłaniająca część weszła do rdzenia

- Test został opóźniony; załoga nocna nie była przeszkolona do jego przeprowadzenia

- Wiele systemów bezpieczeństwa zostało celowo wyłączonych, aby przeprowadzić test

- Po naciśnięciu przycisku awaryjnego wyłączenia (AZ-5) końcówki prętów grafitowych spowodowały skok reaktywności zamiast zamierzonego SCRAM

- Moc wzrosła do 30 000 MW w ciągu sekund: około 10x mocy znamionowej

- Paliwo i chłodziwo błyskawicznie przeszły w parę, powodując eksplozję pary, która zniszczyła reaktor

- Pożar grafitu trwał 10 dni, rozpraszając produkty rozszczepienia po Europie

Brak obudowy bezpieczeństwa: RBMK nie posiadał pełnej obudowy bezpieczeństwa. Reaktor znajdował się w dużym budynku przemysłowym bez zdolności utrzymania ciśnienia. Gdy reaktor został zniszczony, nie było ostatniej bariery.

Zmiany po Czarnobylu:

- Modyfikacje konstrukcji RBMK: usunięto dodatni współczynnik pustki przy niskiej mocy, przeprojektowano końcówki prętów, dodano dodatkowe absorbery neutronów

- Wzmocniono międzynarodowe konwencje bezpieczeństwa jądrowego

- Koncepcja kultury bezpieczeństwa jądrowego sformalizowana przez IAEA (INSAG-7)

- Zachodni nacisk regulacyjny na obudowę jako niepodważalny wymóg

Trzy wypadki, trzy lekcje

Teraz znasz trzy główne cywilne wypadki jądrowe: TMI (1979), Czarnobyl (1986) & Fukushima (2011). Każdy ujawnił inny rodzaj awarii obrony w głąb.

Ilościowe określanie ryzyka

PRA: Przejście od „wystarczająco bezpieczne” do „jak bezpieczne?”

Deterministyczna analiza bezpieczeństwa mówi: zaprojektuj elektrownię, aby przetrwała te konkretne wypadki. Probabilistic Risk Assessment (PRA) zadaje inne pytanie: biorąc pod uwagę wszystkie sposoby, w jakie rzeczy mogą pójść nie tak, jakie jest prawdopodobieństwo, że faktycznie tak się stanie?

Częstotliwość uszkodzenia rdzenia (CDF): Prawdopodobieństwo, że rdzeń reaktora zostanie znacząco uszkodzony w dowolnym danym roku. Cel bezpieczeństwa NRC: CDF < 1×10⁻⁴ na rok-reaktor (raz na 10 000 lat-reaktorów). Nowoczesne elektrownie zazwyczaj osiągają CDF < 1×10⁻⁵ (raz na 100 000 lat-reaktorów).

Częstotliwość dużego wczesnego uwolnienia (LERF): Prawdopodobieństwo dużego, wczesnego uwolnienia radioaktywności do środowiska (przed zakończeniem ewakuacji). Cel bezpieczeństwa NRC: LERF < 1×10⁻⁵ na rok-reaktor.

Drzewa błędów: Graficzne diagramy logiczne pokazujące kombinacje uszkodzeń komponentów prowadzących do zdefiniowanego zdarzenia szczytowego (np. „ECCS nie dostarcza wody do rdzenia”). Wykorzystują bramki AND (wszystkie muszą zawieść) i bramki OR (wystarczy jedna awaria). Bramki AND zmniejszają prawdopodobieństwo (wymagają wielu jednoczesnych awarii). Bramki OR zwiększają prawdopodobieństwo.

Drzewa zdarzeń: Graficzne diagramy rozpoczynające się od zdarzenia inicjującego (np. „występuje LOCA z dużą nieszczelnością”) i śledzące skutki w zależności od powodzenia lub niepowodzenia systemów bezpieczeństwa. Każda gałąź reprezentuje powodzenie lub niepowodzenie funkcji bezpieczeństwa. Węzły końcowe to sekwencje awaryjne: bezpieczne wyłączenie, uszkodzenie rdzenia, duży uwolnienie.

Miary ważności: PRA identyfikuje, które komponenty i systemy wnoszą największy wkład w ryzyko.

- Fussel-Vesely (FV) importance: ułamek CDF wnoszony przez awarie komponentu. Wysoki FV = ten komponent ma duże znaczenie.

- Risk Achievement Worth (RAW): o ile wzrasta CDF, jeśli ten komponent jest uznany za uszkodzony. Wysoki RAW = ten komponent nie może być długo wyłączony z eksploatacji.

RAW wpływa na harmonogramy konserwacji i testów: komponenty o wysokim RAW są często testowane i mają krótkie dopuszczalne czasy przestoju.

PRA i harmonogramowanie konserwacji

Elektrownia jądrowa posiada trzy awaryjne agregaty prądotwórcze (A, B, C). Analiza PRA pokazuje:

- CDF przy wszystkich trzech sprawnych: 2×10⁻⁵ na rok

- CDF przy agregacie A wyłączonym z powodu konserwacji: 8×10⁻⁵ na rok (4-krotny wzrost)

- CDF przy jednoczesnym wyłączeniu agregatów A i B: 4×10⁻³ na rok (200-krotny wzrost)

Zespół konserwacyjny chce jednocześnie wyłączyć z eksploatacji agregaty A i B na dużą modernizację trwającą 30 dni.

Wypalone paliwo: długoterminowe zobowiązanie

Wyparte Paliwo: Zarządzanie Aktywne i Pasywne

Gdy paliwo jest usuwane z reaktora po 3-5 latach pracy, jest intensywnie radioaktywne i termicznie gorące z powodu ciepła rozpadu. Ta sama krzywa ciepła rozpadu ma zastosowanie: 7% mocy znamionowej natychmiast, malejąca przez lata.

Baseny na wypalone paliwo (SFP): Natychmiast po usunięciu, zespoły wypalonego paliwa są umieszczane w basenie na wypalone paliwo: wypełnionym wodą zbiorniku, zazwyczaj o głębokości 40 stóp, przylegającym do budynku reaktora. Woda pełni podwójną rolę: chłodzenia i osłony (woda nad paliwem pochłania promieniowanie, umożliwiając pracownikom na pokładzie basenu otrzymywanie niskich dawek).

Minimalny czas chłodzenia basenu przed suchym kontenerem: Około 5 lat dla paliwa PWR. Paliwo musi ostygnąć do punktu, w którym pasywne chłodzenie powietrzem w suchym kontenerze może obsłużyć pozostałe ciepło rozpadu bez jakiejkolwiek wody.

Ryzyko pożaru cyrkonu: Jeśli zespoły wypalonego paliwa zostaną odkryte (utrata wody w basenie), powłoka zircaloy może utleniać się w powietrzu w wysokich temperaturach. W przeciwieństwie do reakcji para-zircaloy, która produkuje wodór, utlenianie zircaloy-powietrze w temperaturach czerwonożółtych może podtrzymywać pożar zircaloy: samopodtrzymującą się egzotermiczną reakcję. Basen na wypalone paliwo w bloku 4 Fukushimy był w ciągu dni od osiągnięcia temperatur, w których mogło to nastąpić.

Wymagania dla SFP po Fukushimie (Zlecenie NRC EA-12-051):

- Niezawodne oprzyrządowanie do pomiaru poziomu i temperatury wody w SFP

- Możliwość dodawania wody uzupełniającej do SFP z różnorodnych źródeł

- Strategie utrzymania lub przywrócenia chłodzenia SFP w scenariuszach przedłużonej utraty zasilania

Przechowywanie w suchych zasobnikach: Po 5+ latach w basenie paliwo jest przenoszone do suchych zasobników: spawanych stalowych kanistrów otoczonych betonem lub osłonami z polietylenu o wysokiej gęstości. Chłodzenie jest całkowicie pasywne: naturalna konwekcja powietrza przez otwory wentylacyjne w zewnętrznej strukturze. Nie wymaga zasilania. Żywotność projektowa: ponad 100 lat. Obecnie ponad 90 000 ton metrycznych ciężkich metali w suchych zasobnikach tylko w USA.

Utylizacja odpadów wysokiego poziomu: Zużyty paliwo jest klasyfikowane jako odpady nuklearne wysokiego poziomu. Prawo USA (Nuclear Waste Policy Act) wyznacza Yucca Mountain w Nevadzie jako stałe repozytorium: ale nie zostało otwarte z powodu opozycji politycznej. NRC wymaga, aby repozytorium zapewniało 10 000 lat izolacji (standard EPA: 1 milion lat dla dawek poza 10 000 lat). Głęboka utylizacja geologiczna wykorzystuje samo formation skalne jako główną barierę, z inżynieryjnymi barierami (witrifikacja szklana, metalowe pojemniki, bentonitowa glina) jako dodatkowe warstwy.

Odpady niskiego poziomu (LLW): Zanieczyszczona odzież, narzędzia, filtry, żywice. Trzy klasy NRC:

- Klasa A: najniższa aktywność, najkrótsze żywotne izotopy. Płytkie zakopanie, wymaganie 100-letniej izolacji

- Klasa B: umiarkowana aktywność. Płytkie zakopanie z 300-letnią izolacją

- Klasa C: wyższa aktywność, dłuższe żywotne izotopy. Wymaga 500-letniej izolacji; utylizacja blisko powierzchni z większymi inżynieryjnymi barierami

Techniki redukcji objętości (spalanie, kompaktowanie, topienie) są obowiązkowe w celu minimalizacji miejsca składowania

Przypadek bezpieczeństwa suchego pojemnika

Krytyk twierdzi, że składowanie w suchych pojemnikach jest niebezpieczne, ponieważ pojemniki nie mają aktywnego chłodzenia, nie mają połączeń z energią i stoją na zewnątrz na betonowych podkładach. Inżynier nuklearny odpowiada, że suche pojemniki mogą być w rzeczywistości bezpieczniejsze niż basen z wypalonym paliwem.

Obrona w Głębi: Pełny Obraz

Inżynieria Bezpieczeństwa Jądrowego: Dyscyplina Systemowa

Zapoznałeś się teraz z każdą warstwą inżynierii bezpieczeństwa jądrowego. Cofnij się o krok i spójrz na system:

Bariery fizyczne (matryca paliwa, powłoka, zbiornik ciśnieniowy, obudowa) są pasywne: nie wymagają żadnej akcji, aby działać. Stanowią fundament.

Systemy bezpieczeństwa (ECCS, RPS, EDGs, DDAS) są aktywne z pasywnymi zapasowymi (akumulatory, zbiorniki grawitacyjne, baterie). Każda funkcja ma trzy niezależne linie. Każda linia jest w 100% zdolna. Podejścia aktywne i pasywne są zróżnicowane.

Instrumentacja (RPS, ECCS actuation, PAM) monitoruje dziesiątki parametrów z logiką głosowania 2-z-4: odporna na fałszywe wyłączenia i na awarie czujników, które uniemożliwiłyby wyłączenie.

Procedury (objawowe EOP) kierują operatorów do działań ochronnych bez konieczności prawidłowej diagnozy. Po TMI. Niezbędne.

Czynniki ludzkie (obsada, szkolenie, narzędzia wydajności ludzkiej, limity zmęczenia) zmniejszają prawdopodobieństwo, że warstwa ludzka zawiedzie. Wymóg STA po TMI. Szkolenie na symulatorze. Briefingi przedzadaniowe. STAR. Trójstronna komunikacja.

Zarządzanie i kultura bezpieczeństwa zapewniają, że bezpieczeństwo nie jest poświęcane na rzecz efektywności. INSAG-7 po Czarnobylu. Lekcja Czarnobyla: systemy bezpieczeństwa wyłączone przez zarządzanie to systemy bezpieczeństwa, które nie istnieją.

Regulacje (NRC 10 CFR 50, standardy IAEA, okresowe inspekcje) zapewniają niezależny nadzór na najwyższym poziomie. Regulator, który nie przeprowadza inspekcji, to regulator, który nie istnieje.

Trzy główne wypadki pokazały, że obrona w głąb zawodzi nie z powodu pojedynczej dramatycznej awarii, ale z kombinacji małych awarii, błędnych założeń oraz niewystarczających marginesów bezpieczeństwa w wielu warstwach jednocześnie. Uzasadnienie bezpieczeństwa jest tylko tak mocne, jak jego najsłabsza jednoczesna kombinacja.

Ostateczna Integracja

Ostateczne Pytanie: Najtrudniejsze

Nowo proponowany projekt reaktora twierdzi, że jest tak bezpieczny, iż potrzebuje tylko jednego ciągu ECCS (nie trzech), bez awaryjnych diesli (tylko pasywne chłodzenie) oraz uproszczonego modelu obsady z dwoma operatorami na zmianie zamiast czterech.

Projektant twierdzi: „Pasywne chłodzenie oznacza, że nie jest potrzebna energia, więc diesle są zbędne. Reaktor nie może stopić się na mocy fizyki, więc uproszczona obsada jest uzasadniona.”