Zdefiniuj swoją misję

Sekcja 1: Definicja misji

Każdy projekt reaktora zaczyna się od misji. Misja determinuje wszystkie kolejne decyzje.

Moc wyjściowa określa wielkość reaktora, zapas paliwa oraz wymagania dotyczące przepływu chłodziwa. Mały reaktor modułowy (SMR) o mocy 100 MWe ma zupełnie inne ograniczenia inżynieryjne niż reaktor wodny ciśnieniowy o mocy 1200 MWe.

Lokalizacja decyduje o kryteriach lokalizacyjnych, źródle chłodziwa, integracji z siecią, planowaniu awaryjnym oraz podstawie projektowej sejsmicznej. Miejsca nad rzekami śródlądowymi wykorzystują wodę rzeczną do chłodzenia i muszą uwzględniać ryzyko powodzi. Miejsca nadmorskie korzystają z wody morskiej, ale muszą uwzględniać tsunami i wezbrania sztormowe. Odległe wyspy lub lokalizacje poza siecią mogą w ogóle nie być podłączone do krajowej sieci elektroenergetycznej.

Integracja z siecią vs. izolowana mikrosieć zmienia sposób obsługi wymagań dotyczących pracy regulacyjnej oraz postępowanie w przypadku awarii sieci (ryzyko całkowitej utraty zasilania).

Okres eksploatacji wpływa na granice zmęczenia materiałów, częstotliwość przeglądów, wymagania dotyczące przedłużenia licencji oraz rezerwy kosztów likwidacji. NRC obecnie wydaje zezwolenia na 40 lat z możliwością przedłużenia o 20 lat. Niektóre projekty zakładają 80-letni okres eksploatacji.

Typowe profile misji:

- SMR 300 MWe, odległa wyspa, sieć izolowana, 60 lat eksploatacji

- PWR 1 100 MWe, lokalizacja śródlądowa nad rzeką, sieć krajowa, 60 lat eksploatacji

- EPR 1 600 MWe, lokalizacja nadmorska, sieć krajowa, 60 lat eksploatacji

- Zespół 2 × 77 MWe NuScale SMR, lokalizacja śródlądowa, sieć regionalna, 40 lat eksploatacji

Twoje oświadczenie misji

Zdefiniuj misję swojego reaktora. Stanowi ona fundament każdej kolejnej decyzji projektowej.

Analiza kompromisów typów reaktorów

Sekcja 2: Wybór typu reaktora

Pięć głównych typów reaktorów komercyjnych jest obecnie poważnie rozważanych. Każdy z nich ma inną podstawę fizyczną, cykl paliwowy, profil bezpieczeństwa i poziom dojrzałości. Musisz wybrać jeden i go uzasadnić.

Reaktor wodny ciśnieniowy (PWR)

Najpopularniejszy typ reaktora na świecie (ok. 70% działających elektrowni). Lekka woda (H₂O) pełni funkcję zarówno chłodziwa, jak i moderatora. Obieg pierwotny pracuje przy ciśnieniu ~155 bar i temperaturze 325°C – wysokie ciśnienie utrzymuje wodę w stanie ciekłym. Generator pary przekazuje ciepło do obiegu wtórnego, który napędza turbinę. Woda radioaktywna pozostaje w obiegu pierwotnym.

Zalety: Dziesięciolecia doświadczenia operacyjnego, silny ujemny współczynnik pustki (utrata wody powoduje spadek reaktywności), potwierdzony rekord bezpieczeństwa, rozbudowany łańcuch dostaw przemysłowych.

Wady: Wysokie ciśnienie robocze (wymaga grubościennych zbiorników ciśnieniowych i ciężkich pomp), złożoność dwuobwodowa, w razie awarii utraty chłodziwa (LOCA) wymagana jest aktywna reakcja ECCS.

Reaktor wodny wrzący (BWR)

Woda wrze wewnątrz zbiornika reaktora. Para trafia bezpośrednio do turbiny. Prostszy niż PWR: nie wymaga wytwornicy pary.

Zalety: Niższe ciśnienie robocze niż w PWR, prostsza konstrukcja jednopętlowa, obieg bezpośredni jest bardziej efektywny.

Wady: Radioaktywna para trafia do turbiny (budynki turbinowe są strefą radiacyjną), złożony system ECCS z wieloma układami wtrysku, lekko dodatni współczynnik pustki przy niektórych poziomach mocy wymaga starannego projektowania.

CANDU (Canada Deuterium Uranium)

Wykorzystuje ciężką wodę (D₂O) jako moderator i chłodziwo. Może używać naturalnego uranu jako paliwa (nie wymaga wzbogacania). Unikalna cecha: możliwość wymiany paliwa podczas pracy reaktora – kanały paliwowe można wymieniać bez wyłączania reaktora.

Zalety: Brak konieczności wzbogacania (korzyść kosztowa), możliwość wymiany paliwa podczas pracy zapewnia bardzo wysoki współczynnik wykorzystania mocy, moderator z ciężkiej wody umożliwia elastyczny cykl paliwowy.

Wady: Ciężka woda jest droga w produkcji (~1000 $/kg), niektóre konfiguracje mają lekko dodatni współczynnik pustki w określonych warunkach, co wymaga starannego projektowania zabezpieczeń, duża powierzchnia zabudowy.

Reaktor ze stopioną solą (MSR)

Paliwo jest rozpuszczone w stopionej soli fluorkowej lub chlorkowej. Brak stałego paliwa, które mogłoby się stopić: w razie awarii chłodzenia sól zamarza lub spływa do pasywnego korka topiącego się. Może wykorzystywać torowy cykl paliwowy.

Zalety: Bezpieczeństwo „walk-away” (pasywny odpływ sprawia, że stopienie rdzenia jest fizycznie niemożliwe), praca przy ciśnieniu atmosferycznym (brak ryzyka LOCA), możliwość wymiany paliwa podczas pracy, torowy cykl paliwowy generuje znacznie mniej długożyciowych odpadów.

Wady: Wyzwania materiałowe (materiały konstrukcyjne muszą wytrzymać gorącą, korozyjną, radioaktywną sól przez dziesięciolecia), technologia przedkomercyjna: żaden MSR nie działał komercyjnie, produkcja trytu w solach fluorkowych stanowi wyzwanie regulacyjne.

Mały Reaktor Modułowy (SMR): typ NuScale/Rolls-Royce

Fabrycznie produkowane moduły PWR lub integralnych PWR, zazwyczaj o mocy 50–300 MWe każdy. Bezpieczeństwo pasywne opiera się na naturalnej cyrkulacji, bez potrzeby stosowania pomp. Możliwość łączenia wielu modułów w celu skalowania mocy.

Zalety: Kontrola jakości w warunkach fabrycznych, systemy bezpieczeństwa pasywnego (bez pomp, bez potrzeby zasilania AC do chłodzenia), skalowalna moc, krótszy czas budowy.

Wady: Wyższy koszt kapitałowy na kWe niż w dużych elektrowniach, większość projektów jest przedkomercyjna lub dopiero wchodzi do eksploatacji (NuScale VOYGR certyfikowany w 2022 r., ale projekty anulowane w 2023 r.), łańcuch dostaw nie jest jeszcze rozwinięty na dużą skalę.

Kluczowe pytanie z zakresu fizyki bezpieczeństwa dla każdego typu reaktora:

Co się dzieje, gdy temperatura chłodziwa wzrasta lub chłodziwo zostaje utracone? Reaktor z ujemnym współczynnikiem temperaturowym i ujemnym współczynnikiem pustkowym automatycznie zmniejszy moc: samokorygująca, inherentnie bezpieczna reakcja. Reaktor z dodatnim współczynnikiem pustkowym (moc rośnie wraz z utratą chłodziwa) wymaga aktywnych systemów do bezpiecznego wyłączenia. To właśnie czyniło reaktor RBMK z Czarnobyla tak niebezpiecznym.

Wybierz typ reaktora

Przejrzyj powyższy diagram porównawczy typów reaktorów przed podjęciem decyzji.

Parametry projektu paliwa

Sekcja 3: Projekt paliwa

Projekt paliwa decyduje o tym, ile energii uzyskasz, jak długo paliwo wytrzyma i co się stanie w razie awarii. Każdy parametr oddziałuje na wszystkie pozostałe.

[BLOCK_TYPE fuel_design/fuel_content]

Typ paliwa: [BLOCK_TYPE fuel_design/fuel_content]

- UO₂ (dwutlenek uranu): Światowy standard. Ceramiczne pastylki, wysoka temperatura topnienia (~2850°C), stabilny chemicznie, dobrze zbadany. Niewielka wada: niska przewodność cieplna – ciepło gromadzi się w środku pastylki. [BLOCK_TYPE fuel_design/fuel_content]

- MOX (mieszany tlenek): Mieszanka UO₂ i PuO₂. Spala pluton pochodzący z broni lub z przerobu wypalonego paliwa. Nieco niższa temperatura topnienia niż UO₂, wymaga licencjonowanego zakładu produkcji MOX. [BLOCK_TYPE fuel_design/fuel_content]

- TRISO (trójwarstwowy izotropowy): Mikrosfery paliwa (UO₂ lub UCO) pokryte wieloma warstwami ceramicznymi. Każda cząstka jest własnym, miniaturowym pojemnikiem. Stosowany w wysokotemperaturowych reaktorach gazowych i niektórych konstrukcjach zaawansowanych. Bardzo odporny: testowany w bardzo wysokich temperaturach bez uwalniania substancji. [BLOCK_TYPE fuel_design/fuel_content]

[BLOCK_TYPE fuel_design/fuel_content]

Wzbogacenie: [BLOCK_TYPE fuel_design/fuel_content]

- Uran naturalny (0,7% U-235): Stosowany w reaktorach CANDU. Brak kosztów wzbogacania, wymaga jednak moderatora z ciężkiej wody.

- LEU 3-5% (nisko wzbogacony uran): Standard dla paliwa PWR i BWR. Wzbogacony do 3-5% U-235.

- HALEU 5-20% (wysoko wzbogacony nisko wzbogacony uran): Stosowany w wielu projektach SMR i reaktorów zaawansowanych. Wyższe wzbogacenie pozwala na mniejsze, bardziej kompaktowe rdzenie i dłuższe cykle paliwowe. Wymaga dodatkowych zabezpieczeń ze względu na wyższe wzbogacenie.

- HEU >20%: Zakazany w komercyjnych reaktorach energetycznych.

Materiał koszulki:

- Zircaloy-4: Standardowa koszulka na całym świecie. Niska absorpcja neutronów, dobre właściwości mechaniczne do ok. 400°C. Krytyczna słabość: powyżej ok. 1200°C reaguje z parą wodną, wytwarzając wodór (Zr + 2H₂O → ZrO₂ + 2H₂). Było to źródło wodoru w Fukushimie.

- M5 (stop Zr-Nb): Lepsza odporność na korozję niż Zircaloy-4 przy wysokim wypaleniu paliwa.

- Kompozyt SiC/SiC: Zaawansowana koszulka tolerancyjna na awarie (ATF). Znacznie wyższa odporność temperaturowa, nie wytwarza wodoru w parze. W fazie aktywnego rozwoju, ale jeszcze nie w powszechnym użytkowaniu komercyjnym.

Cel spalania:

Standardowe paliwo LWR osiąga ~45-50 GWd/tHM (gigawatodni na tonę metryczną metalu ciężkiego) przed wyładowaniem. Wysokowydajne paliwo może osiągnąć 65-70 GWd/tHM. Niektóre zaawansowane projekty celują w ponad 100 GWd/tHM dla wydłużonych cykli. Wyższy wypal oznacza mniej przestojów paliwowych, ale wymaga lepszej pracy okładziny oraz większego wzbogacenia.

Absorbery wypalalne:

Świeże paliwo jest silnie reaktywne: zbyt reaktywne przy załadowaniu pełnego rdzenia. Absorbery wypalalne (tlenek gadolinu zmieszany z pastylkami paliwowymi lub IFBA: integralny absorber wypalalny, cienka powłoka ZrB₂) pochłaniają nadmiar neutronów na początku cyklu i wypalają się wraz z wypalaniem paliwa, wyrównując rozkład mocy w trakcie cyklu.

Schemat załadunku rdzenia:

- Ładowanie in-out: Świeże paliwo ładowane w centrum, przesuwane na zewnątrz w miarę wypalania. Proste, ale powoduje wysokie piki mocy w centrum.

- Ładowanie low-leakage: Świeże paliwo umieszczane na zewnątrz rdzenia, wypalone paliwo w centrum. Zmniejsza wyciek neutronów (lepsza ekonomia paliwowa) i redukuje fluencję na zbiorniku ciśnieniowym reaktora. Standardowa praktyka w nowoczesnych PWR.

Określ swój projekt paliwa

Rozważ, jak Twój wybór paliwa współgra z typem reaktora i misją. Projektant CANDU nie potrzebuje wzbogacania. Projektant SMR może wybrać HALEU dla zwartego rdzenia. Projektant PWR musi uwzględnić osłonę i ryzyko produkcji wodoru.

Projekt chłodziwa i moderatora

Sekcja 4: Zgodność chłodziwa i moderatora

Twoje chłodziwo, moderator, paliwo i koszulka muszą być chemicznie i fizycznie zgodne. Niedopasowanie prowadzi do problemu bezpieczeństwa lub niemożliwego projektu.

Woda lekka (H₂O): PWR, BWR, SMR:

Najlepszy moderator na jednostkę objętości. Jednocześnie doskonały czynnik chłodzący. Pracuje pod wysokim ciśnieniem (PWR: ~155 bar, BWR: ~70 bar). Główne zagrożenie: w wysokiej temperaturze gwałtownie przechodzi w parę (jednoczesna utrata moderacji i chłodzenia – scenariusz LOCA). Kontrola chemiczna jest kluczowa: pH, rozpuszczony tlen, dodatek cynku wpływają na szybkość korozji materiałów konstrukcyjnych. Oplot cyrkonowy (Zircaloy) jest kompatybilny do ok. 400°C w warunkach normalnej pracy.

Woda ciężka (D₂O): CANDU:

Doskonały moderator o znacznie niższym pochłanianiu neutronów niż H₂O – dlatego reaktory CANDU mogą pracować na uranie naturalnym. Pracuje pod ciśnieniem ok. 100 bar w rurach ciśnieniowych. Koszt produkcji wody ciężkiej wynosi ok. 1000 USD/kg (proces Girdler-Sulfide lub inna separacja izotopowa). Produkcja trytu w reakcji D + n → T stanowi wyzwanie operacyjne: tryt jest emiterem beta i musi być skutecznie zarządzany. Chemia: podobna do wody lekkiej, ale z uwzględnieniem innych izotopów tlenu.

Grafit: RBMK, HTGR:

W reaktorze RBMK grafit pełnił funkcję moderatora, a woda funkcję chłodziwa – niebezpieczne połączenie ze względu na dodatni współczynnik pustkowy. W reaktorze HTGR (wysokotemperaturowy reaktor gazowy) grafit jest moderatorem, a hel chłodziwem – bezpieczne połączenie, ponieważ grafit nie powoduje dodatniego współczynnika pustkowego przy chłodziwie gazowym. Grafit może również stanowić zagrożenie pożarowe, jeśli osiągnie bardzo wysokie temperatury w obecności powietrza – było to jednym z czynników pożaru w Windscale w 1957 r.

Sól stopiona: MSR:

Sól pełni jednocześnie rolę nośnika paliwa i chłodziwa. Nie wymaga oddzielnego moderatora (z wyjątkiem termicznych MSR, które mogą zawierać grafit). Pracuje przy ciśnieniu atmosferycznym: brak ryzyka LOCA związanego z wysokim ciśnieniem. Główne wyzwania: fluorki są silnie korozyjne wobec metali konstrukcyjnych, chlorki mogą ulegać aktywacji pod wpływem neutronów. Materiały muszą wytrzymać dziesięciolecia ekspozycji. Korek zamrażający: zamrożony korek soli chłodzony przez mały wentylator – topnieje przy utracie zasilania, umożliwiając spłynięcie paliwa do geometrii podkrytycznej. Jest to pasywne zabezpieczenie.

Sód: Reaktor na neutronach prędkich (SFR):

Ciekły sód jest doskonałym chłodziwem dla reaktorów prędkich. Bardzo wysoka przewodność cieplna, pracuje przy ciśnieniu atmosferycznym, skuteczna cyrkulacja naturalna. Poważne zagrożenie: sód gwałtownie pali się w kontakcie z powietrzem i reaguje wybuchowo z wodą. Wszystkie układy sodowe wymagają wymienników ciepła z podwójną ścianką oraz atmosfery obojętnej. Pożar sodu był poważnym incydentem w Monju (Japonia) i Superphénix (Francja).

Macierz kompatybilności (wszystko musi ze sobą współpracować):

- Chemia chłodziwa nie może powodować korozji koszulek pod wpływem promieniowania

- Moderator musi być kompatybilny z chłodziwem (ciężka woda i lekka woda są kompatybilne; grafit i woda powodują problem dodatniego współczynnika pustego RBMK)

- Paliwo musi być chemicznie stabilne w chłodziwie (UO₂ w wodzie: OK. UF₄ w stopionej soli fluorkowej: OK. UO₂ w sodzie: OK. Natomiast metaliczny uran w wodzie ulega korozji.)

- Temperatura i ciśnienie pracy muszą mieścić się w granicach kwalifikacji materiałów

Uzasadnij wybór chłodziwa i moderatora

Typ reaktora określa Twój główny chłodziwo. Teraz uzasadnij kompatybilność całego systemu: chłodziwa, moderatora, paliwa i koszulki oraz zidentyfikuj główne zagrożenie chemiczne lub termiczne.

Trzy niezależne pętle chłodzenia

Sekcja 5a: Potrójnie Zabezpieczone Systemy Chłodzenia

Dlaczego trzy pętle chłodzenia?

Fukushima miała awaryjne chłodzenie. Zawiodło, ponieważ wszystkie systemy awaryjne miały wspólną słabość: wymagały zasilania z sieci AC, a to samo tsunami, które zniszczyło zasilanie z sieci, zniszczyło również generatory diesla. Pojedyncze awarie doprowadziły do całkowitej utraty chłodzenia.

Potrójna redundancja to nie tylko trzy kopie tego samego systemu. Prawdziwa redundancja wymaga niezależności w trzech wymiarach:

- Rozdzielenie fizyczne: Różne budynki, różne kwadranty, różne wysokości. Zalanie jednego kwadrantu nie może wyłączyć innego.

- Różne źródła zasilania: Różne szyny elektryczne, różne zasilanie awaryjne. Awaria jednej szyny nie może wyłączyć innego obiegu chłodzenia.

- Różna logika aktywacji: Jeden obieg uruchamia się przy wysokiej temperaturze, drugi przy niskim ciśnieniu, trzeci przy całkowitym braku zasilania. Różne tryby awarii uruchamiają różne obiegi.

Trzy standardowe obiegi chłodzenia w nowoczesnym reaktorze PWR:

Obieg 1: Normalne chłodzenie po wyłączeniu (SCS / Residual Heat Removal, RHR):

System aktywny. Pompy wymuszają obieg chłodziwa przez wymienniki ciepła w celu odprowadzenia ciepła rozpadu po wyłączeniu reaktora. Zasilany z normalnej sieci AC lub awaryjnej sieci AC. Pracuje przy niskim ciśnieniu po obniżeniu ciśnienia w układzie. Typowy próg aktywacji: gdy temperatura RCS spadnie poniżej ok. 177°C (350°F) i ciśnienie poniżej ok. 28 bar (400 psi). Jest to podstawowy system odprowadzania ciepła rozpadu podczas planowych wyłączeń.

Pętla 2: Awaryjny system chłodzenia rdzenia (ECCS): wysokociśnieniowe i niskociśnieniowe wtryskiwanie:

System aktywny. Reaguje na awarie z utratą chłodziwa. Wtrysk wysokociśnieniowy (HPI) uruchamia się przy małych nieszczelnościach: utrzymuje ciśnienie w układzie chłodzenia reaktora (RCS), wtryskuje wodę borowaną. Wtrysk z akumulatorów: duże zbiorniki wody borowanej pod ciśnieniem azotu (~40 bar): rozładowują się pasywnie, gdy ciśnienie w RCS spadnie poniżej ciśnienia w akumulatorze (bez pomp, bez zasilania na tym etapie). Wtrysk niskociśnieniowy (LPI) przejmuje działanie po całkowitym obniżeniu ciśnienia w RCS. Stężenie boru jest kluczowe: musi wystarczyć do osiągnięcia i utrzymania stanu zimnego wyłączenia bez prętów regulacyjnych.

Pętla 3: Pasywne chłodzenie rdzenia (grawitacyjne lub naturalna cyrkulacja):

System pasywny: bez pomp, bez zasilania AC, bez konieczności działania personelu. Dwa podejścia:

- Styl AP1000 (Westinghouse): Duży zbiornik wody nad reaktorem (zbiorniki uzupełniania rdzenia, pasywne wymienniki ciepła usuwania ciepła resztkowego). Zasilanie grawitacyjne. W warunkach awaryjnych naturalna cyrkulacja usuwa ciepło rozpadu z obwodu pierwotnego do wody w zbiorniku, która wrze i odprowadza parę: para skrapla się na stalowej obudowie kontenera, chłodzonej z zewnątrz powietrzem. Całkowicie pasywny.

- Styl NuScale: Moduł reaktora znajduje się wewnątrz basenu wodnego. Naturalna cyrkulacja w układzie pierwotnym przenosi ciepło do basenu. Brak pomp w układzie pierwotnym i systemach bezpieczeństwa.

- PRHR HX (Pasywny wymiennik ciepła usuwania ciepła resztkowego): Zanurzony w dużym zbiorniku wypełnionym wodą (wewnątrzobudzeniowy zbiornik wody do przeładunku paliwa, IRWST). Naturalna cyrkulacja przez PRHR HX usuwa ciepło rozpadu bez użycia pomp. Działa przez 72 godziny bez żadnej interwencji personelu.

Weryfikacja niezależności: co musi być spełnione:

- Pętle 1, 2 i 3 muszą być zasilane z różnych szyn elektrycznych (1A, 1B, 1C lub Div I, II, III)

- Pętla 3 musi działać przy całkowitej utracie zasilania AC

- Każda pętla musi znajdować się w innej fizycznej sekcji (oddzielonej barierami lub odległością)

- Wspólne przyczyny awarii: jak tsunami w Fukushimie – muszą być przeanalizowane i zapobiegane

Analiza wspólnych przyczyn awarii:

Jakie pojedyncze uszkodzenie mogłoby wyłączyć wszystkie trzy pętle? Musisz je zidentyfikować i pokazać, w jaki sposób Twój projekt temu zapobiega.

- Wspólna przyczyna sejsmiczna: wszystkie trzy pętle muszą znajdować się w konstrukcjach kategorii sejsmicznej I, zaprojektowanych na SSE dla danej lokalizacji

- Wspólna przyczyna zalania: pętle na różnych wysokościach lub w przedziałach chronionych przed zalaniem

- Wspólna przyczyna pożarowa: bariery ogniowe (o odporności 3-godzinnej), oddzielne trasy kablowe, separacja redundantna

- Wspólna przyczyna utraty źródła chłodu: jeśli wszystkie trzy pętle odprowadzają ciepło do tego samego ostatecznego źródła chłodu (rzeka, ocean), należy przeanalizować skutki utraty tego źródła

Projekt pętli 1: Normalne chłodzenie po wyłączeniu

Zaprojektuj pierwszą pętlę chłodzenia: normalny system chłodzenia po wyłączeniu / RHR.

Zaprojektuj Loop 2: Wysokociśnieniowy wtrysk ECCS

Loop 2 to awaryjne chłodzenie rdzenia: aktywowane w sytuacjach awaryjnych, a nie podczas normalnej pracy.

Zaprojektuj Pętlę 3: Pasywne chłodzenie rdzenia

Pętla 3 musi działać bez zasilania AC i bez działania operatora. Jest to ostatnia linia obrony: system, który zapobiega scenariuszowi z Fukushimy.

Analiza wspólnych przyczyn awarii

Masz trzy pętle chłodzenia. Udowodnij teraz, że są naprawdę niezależne.

Trzy niezależne sposoby zatrzymania reakcji

Sekcja 5b: Potrójne redundantne systemy awaryjnego wyłączenia

Zatrzymanie reakcji łańcuchowej wymaga czegoś więcej niż prętów kontrolnych. Współczesny bezpieczny reaktor posiada trzy całkowicie niezależne mechanizmy awaryjnego wyłączenia, z których każdy jest wystarczający do osiągnięcia i utrzymania zimnego wyłączenia.

Dlaczego nie wystarczy użyć samych prętów kontrolnych?

Pręty kontrolne nie zdołały wyłączyć reaktora czarnobylskiego wystarczająco szybko: RBMK miał dodatni współczynnik scramu – wprowadzenie prętów z końcówkami grafitowymi powodowało początkowo krótki skok mocy przed wyłączeniem. W TMI pręty kontrolne weszły prawidłowo, ale dezorientacja operatorów co do poziomu chłodziwa doprowadziła do odsłonięcia rdzenia. Wniosek: żaden pojedynczy system nie powinien być jedynym środkiem wyłączenia.

System wyłączenia 1: Pręty kontrolne:

Podstawowy system wyłączenia. Pręty zawierające materiał pochłaniający neutrony (węglik boru B₄C, hafn lub stop Ag-In-Cd) są wprowadzane do rdzenia. Pręty są opuszczane grawitacyjnie lub sprężynowo (SCRAM): przy zaniku zasilania lub sygnale bezpieczeństwa elektromagnesy trzymające pręty w górze tracą zasilanie i pręty wpadają do rdzenia. Czas SCRAM: zazwyczaj pełne wprowadzenie prętów następuje w ciągu 2–4 sekund.

Wymagania projektowe: (1) Wartość prętów: wszystkie pręty razem muszą być w stanie wyłączyć reaktor z dowolnego stanu pracy, nawet gdy pręt o największej wartości pozostaje wycofany. Jest to „kryterium zablokowanego pręta”. (2) Czas SCRAM: mierzony i weryfikowany podczas testów rozruchowych. (3) Częstotliwość testów: pręty kontrolne muszą być regularnie ćwiczone (częściowo wycofywane i ponownie wprowadzane), aby potwierdzić ich sprawność.

System wyłączenia 2: Awaryjne borowanie:

Wstrzyknięcie wody borowanej do układu chłodzenia reaktora. Bor-10 jest doskonałym absorbentem neutronów. Wystarczająca ilość boru pozwala osiągnąć zimne wyłączenie nawet przy wszystkich prętach kontrolnych zablokowanych w pozycji wycofanej. Dwa mechanizmy: (1) Wstrzyknięcie ze zbiornika: zbiornik kwasu bornego połączony z RCS za pomocą pomp i zaworów odcinających. (2) Wstrzyknięcie boru przez ECCS: woda w akumulatorach ECCS jest już zaborowana; uruchomienie ECCS automatycznie dostarcza bor. Wymagane stężenie boru dla zimnego wyłączenia przy zablokowanych prętach jest określane w analizie bezpieczeństwa i wynosi zazwyczaj 2000–2500 ppm (w postaci kwasu bornego H₃BO₃).

System wyłączenia 3: Pasywne opróżnianie absorbera (oparte na fizyce, bez zasilania):

Zróżnicowany, pasywny mechanizm wyłączenia wykorzystujący inną zasadę fizyczną. Przykłady:

- Wstrzykiwanie kulek boru (styl CANDU): Kulki materiału pochłaniającego spadają pod wpływem grawitacji do oddzielnych komór moderatora przy zaniku zasilania.

- Pasywne wstrzykiwanie boru z podwyższonego zbiornika: Podwyższony zbiornik stężonego kwasu borowego opróżnia się grawitacyjnie do układu chłodzenia reaktora (RCS), gdy zawór fail-open otwiera się przy zaniku zasilania. Nie wymaga pomp ani sygnału.

- Odpływ stopionej soli do geometrii podkrytycznej: W reaktorach MSR korek zamrażający topnieje przy zaniku zasilania chłodzenia, powodując odpływ paliwa do geometrii fizycznie niezdolnej do podtrzymania reakcji łańcuchowej (geometria podkrytyczna zaprojektowana w zbiorniku odpływowym).

- Pręty wypalającego się absorbera z wyrzutem sprężynowym: W niektórych konstrukcjach dodatkowe pręty wyłączeniowe mogą być wyrzucane sprężynowo do rdzenia przy zaniku mechanizmu trzymającego.

Wymagania dotyczące testów i nadzoru: [BLOCK_TYPE SECTION/STEP]

Każdy system wyłączania musi być testowany niezależnie według regularnego harmonogramu, a wyniki muszą być rejestrowane i zgłaszane do NRC. Ustalenia inspekcji NRC dotyczące niesprawnych systemów wyłączania są zdarzeniami podlegającymi zgłoszeniu. Testy muszą wykazać, że każdy system z osobna jest w stanie osiągnąć stan zimnego wyłączenia. [BLOCK_TYPE SECTION/STEP]

Zaprojektuj trzy systemy wyłączania [BLOCK_TYPE SECTION/STEP]

Zaprojektuj wszystkie trzy systemy wyłączania dla swojego reaktora. [BLOCK_TYPE SECTION/STEP]

Trzy niezależne źródła zasilania

Sekcja 5c: Potrójnie nadmiarowe źródła zasilania

Lekcja z Fukushimy: utrata zasilania stacyjnego (station blackout): całkowita utrata zasilania AC: nie może prowadzić do uszkodzenia rdzenia. Wymagania NRC po Fukushimie (FLEX) nakazują, aby elektrownie wykazały zdolność do radzenia sobie z przedłużoną utratą zasilania stacyjnego przy użyciu zróżnicowanych i niezależnych źródeł zasilania.

Źródło zasilania 1: Sieć zewnętrzna:

Normalne źródło zasilania. Dwie lub więcej niezależnych linii przesyłowych z niezależnych podstacji (różne obwody sieci). Ochrona transformatora: przekaźnik nagłego wzrostu ciśnienia, przekaźnik różnicowy, przekaźnik blokujący: zapobiega przenoszeniu awarii transformatora na inne szyny. Jeśli główny generator elektrowni wyłączy się, zasilanie z sieci zewnętrznej przejmuje automatycznie w ciągu kilku sekund poprzez transformator pomocniczy.

Słabość: wszystko, co uszkadza sieć (gwałtowne warunki pogodowe, zdarzenie sejsmiczne, niestabilność sieci) może odciąć zasilanie zewnętrzne. Zasilanie z sieci zewnętrznej jest najbardziej niezawodnym źródłem normalnym, ale najmniej niezawodnym źródłem awaryjnym.

Źródło zasilania 2: Awaryjne generatory diesla (EDG):

Główne awaryjne źródło zasilania prądem przemiennym. Wymaganie NRC: 2 agregaty prądotwórcze (EDG) na jednostkę, z których każdy jest w stanie zasilać pełne obciążenia awaryjne jednej dywizji bezpieczeństwa. Wymaganie rozruchu: agregat musi osiągnąć znamionowe napięcie i częstotliwość w ciągu 10 sekund od sygnału rozruchu (wymaganie NRC). Zapas paliwa: minimalny zapas NRC wynosi 7 dni przy pełnym obciążeniu. Najlepsza praktyka po Fukushimie: projekt na 14-dniowy zapas z umowami na dostawy paliwa zapewniającymi uzupełnianie.

Testowanie: miesięczny test obciążeniowy (rozruch bez obciążenia przy pełnej prędkości), kwartalny test obciążeniowy (przy znamionowym obciążeniu), 18-miesięczny test wytrzymałościowy (praca przy pełnym obciążeniu przez cały czas trwania testu).

Typowy reaktor PWR o mocy 1100 MWe posiada 2–4 agregaty EDG, każdy o mocy znamionowej ok. 7000–9000 kW.

Źródło zasilania 3: Akumulatory stacyjne (zasilanie DC, Class 1E):

Ostateczne zapasowe źródło zasilania dla przyrządów, sterowania, oświetlenia awaryjnego, napędu zaworów i łączności. Szyny DC zasilane z akumulatorów, które w warunkach normalnych są ładowane z szyn AC. W przypadku utraty wszystkich źródeł AC: akumulatory zapewniają zasilanie DC niezależnie.

Dobór pojemności: każda szyna DC musi być dobrana tak, aby zasilać swoją listę odbiorników przez minimum 2 godziny bez ładowania z AC. Nowoczesne projekty przewidują 4–8 godzin. Lista odbiorników obejmuje: monitory napędów prętów regulacyjnych, przyrządy bezpieczeństwa, oświetlenie awaryjne, łączność awaryjną oraz siłowniki krytycznych zaworów.

Wymiana akumulatorów: zgodnie z harmonogramem producenta, zazwyczaj co 10–20 lat. Testowanie akumulatorów: test pojemności co roku, test rozładowania co 18 miesięcy.

Strategia FLEX: Przenośny sprzęt po Fukushimie:

Przenośne agregaty prądotwórcze, pompy przenośne i węże rozmieszczone w wielu lokalizacjach z różnorodnymi drogami dostępu (nie wszystkie dostępne przez tę samą powódź lub pożar). Punkty przyłączeniowe do szyn bezpieczeństwa i układów chłodzenia są wstępnie zainstalowane i testowane. Sprzęt FLEX może być uruchomiony przez operatorów bez zasilania AC. NRC wymaga strategii FLEX obejmujących: blackout stacji, utratę ostatecznego źródła ciepła oraz ich kombinacje.

Zaprojektuj trzy źródła zasilania

Zaprojektuj kompletną architekturę zasilania.

Trzy niezależne kanały monitorowania

Sekcja 5d: Potrójne nadmiarowe monitorowanie i oprzyrządowanie

Awarie oprzyrządowania i sterowania (I&C) spowodowały lub pogorszyły każdy poważny wypadek jądrowy. W TMI operatorzy zostali wprowadzeni w błąd przez pojedynczy wskaźnik (lampkę sygnalizującą, czy zawór upustowy sterowany pilotem otrzymał polecenie otwarcia, a nie czy był rzeczywiście otwarty) i podjęli decyzje, które doprowadziły do opróżnienia rdzenia. W Czarnobylu kluczowe przyrządy były wyłączone lub wprowadzały w błąd podczas fatalnego testu.

Trzy niezależne kanały pomiarowe:

Współczesne reaktory dzielą oprzyrządowanie bezpieczeństwa na trzy (lub cztery) niezależne kanały: A, B i C (lub I, II, III, IV). Każdy kanał wykorzystuje różne czujniki, prowadzone oddzielnymi trasami kablowymi w oddzielnych kanałach, zasilane z oddzielnych szyn bezpieczeństwa.

Dlaczego różne technologie?

Wspólna przyczyna awarii czujników: jeśli wszystkie trzy kanały korzystają z tego samego modelu czujnika, systematyczna wada tego modelu może spowodować jednoczesną awarię wszystkich trzech lub podanie identycznego błędnego odczytu. Stosowanie różnych producentów lub różnych zasad pomiaru zmniejsza to ryzyko.

Logika głosowania 2 z 3:

Trzy kanały, z których każdy generuje sygnał tak/nie dla funkcji bezpieczeństwa (np. „wysokie ciśnienie, zainicjuj SCRAM”). Działanie bezpieczeństwa uruchamia się, gdy co najmniej 2 z 3 kanałów są zgodne. Dlaczego nie 1 z 3? Ponieważ pojedynczy uszkodzony kanał powodowałby fałszywe SCRAM-y (zbyt wiele fałszywych alarmów: instalacja byłaby zawodna). Dlaczego nie 3 z 3? Ponieważ pojedynczy uszkodzony kanał uniemożliwiłby wystąpienie SCRAM-u (zbyt mało prawdziwych alarmów: instalacja byłaby niebezpieczna). 2 z 3 to optimum matematyczne: odporne zarówno na pojedynczy fałszywy trip, jak i na pojedynczą awarię uniemożliwiającą trip.

Monitorowanie poawaryjne: zmienne kategorii 1 wg NUREG-0696:

Następujące zmienne muszą być monitorowane po awarii niezależnie od normalnego cyfrowego systemu sterowania (DCS), aby operatorzy mieli wiarygodne dane nawet wtedy, gdy DCS jest uszkodzony lub niewiarygodny:

- Ciśnienie w układzie chłodzenia reaktora

- Temperatura w układzie chłodzenia reaktora (odcinek gorący, odcinek zimny)

- Poziom wody w układzie chłodzenia reaktora (poziom wewnątrz zbiornika)

- Ciśnienie w osłonie reaktora

- Poziom promieniowania w osłonie reaktora

- Monitory promieniowania w ściekach (chłodziwo, para, atmosfera osłony reaktora)

Kwalifikacja środowiskowa i sejsmiczna:

Wszystkie istotne dla bezpieczeństwa przyrządy i sterowanie muszą być kwalifikowane do warunków środowiskowych, które wystąpiłyby w razie awarii: temperatura do 150°C, wilgotność do 100%, promieniowanie do 10⁷ rad (100 kGy) skumulowane, przez cały czas trwania awarii (miesiące). Nazywamy to kwalifikacją środowiskową zgodnie z 10 CFR 50 Appendix B / IEEE 323. Kwalifikacja sejsmiczna (IEEE 344): musi działać podczas i po trzęsieniu ziemi o natężeniu SSE dla danej lokalizacji.

Zaprojektuj architekturę monitorowania

Zaprojektuj architekturę bezpieczeństwa układów pomiarowo-sterujących.

Bezpieczeństwo działające bez zasilania i bez udziału operatora

Sekcja 6: Pasywne systemy bezpieczeństwa

Pasywne systemy bezpieczeństwa działają wyłącznie na zasadzie praw fizyki: bez pomp, bez zasilania, bez udziału operatora. Są zawsze włączone, zawsze działają i nie można ich wyłączyć podczas awarii zasilania stacji.

Ujemny współczynnik Dopplera (zawsze obecny w paliwie uranowym):

Wraz ze wzrostem temperatury paliwa piki rezonansowej absorpcji U-238 poszerzają się (poszerzenie Dopplera). Więcej neutronów jest wychwytywanych przez U-238 bez wywołania rozszczepienia. Automatycznie zmniejsza to tempo rozszczepienia w miarę nagrzewania się paliwa: samolimitujący, zawsze obecny mechanizm sprzężenia zwrotnego. Działa we wszystkich typach reaktorów wykorzystujących paliwo uranowe. Dlatego reaktor uranowy nie może „wysadzić się” jak niekontrolowana eksplozja chemiczna – fizyka sama przeciwdziała.

Ujemny współczynnik temperaturowy moderatora (dla LWR):

W reaktorach wodnych lekkich (LWR) wraz ze wzrostem temperatury chłodziwa/moderatora gęstość wody maleje. Mniej gęsta woda moderuje mniej neutronów, więc mniej z nich osiąga energie termiczne potrzebne do rozszczepienia. Reaktywność spada automatycznie. Wyjaśnia to, dlaczego PWR i BWR są inherentnie samoregulujące się w szerokim zakresie poziomów mocy.

Ujemny współczynnik pustkowy (dla większości LWR przy mocy):

Jeśli w chłodziwie powstają pęcherzyki lub chłodziwo zostaje utracone, moderacja maleje. W LWR zmniejsza to reaktywność. Jest to cecha bezpieczeństwa, której brakowało w Czarnobylskim RBMK: jego duży dodatni współczynnik pustkowy oznaczał, że utrata chłodziwa zwiększała moc, tworząc samonapędzającą się pętlę dodatniego sprzężenia.

Pasywne odprowadzanie ciepła rozpadu: naturalna cyrkulacja:

Gorąca woda jest mniej gęsta niż zimna. W obiegu pierwotnym gorący chłodziwo z rdzenia unosi się naturalnie. W konstrukcjach takich jak AP1000 ta naturalna cyrkulacja napędza przepływ chłodziwa przez PRHR HX bez użycia pomp. Ciepło rozpadu jest odprowadzane wyłącznie przez prawa fizyki.

Zatrzymanie stopionego rdzenia wewnątrz zbiornika (IVR): podejście AP1000:

Jeśli poważny wypadek doprowadzi do uszkodzenia rdzenia, stopiona masa korium musi pozostać wewnątrz zbiornika reaktora. W konstrukcji AP1000 wnęka reaktora jest zalewana wodą (grawitacyjnie z IRWST). Woda na zewnątrz zbiornika odbiera ciepło od ścianki, utrzymując stalowy zbiornik w całości i zapobiegając przedostaniu się stopionego korium na podłogę kontenera. Było to istotne innowacyjne rozwiązanie: wcześniejsze reaktory wodne nie posiadały tej funkcji.

Zewnątrz-zbiornikowy łapacz rdzenia: podejście EPR:

Alternatywa dla IVR: jeśli korium wydostanie się ze zbiornika, spada do komory rozprzestrzeniania (łapacza rdzenia), zaprojektowanej tak, aby rozprowadzić stopioną masę cienką warstwą i chłodzić ją zarówno od dołu, jak i od góry. Reaktor EPR (European Pressurized Reactor) stosuje to rozwiązanie. Zarówno IVR, jak i łapacz rdzenia rozwiązują ten sam scenariusz: postęp poważnego wypadku po przebiciu zbiornika.

Zarządzanie wodorem: Pasywne rekombinatory autokatalityczne (PAR):

Reakcje cyrkaloju z parą wodną wytwarzają wodór. Wodór gromadzi się w obudowie bezpieczeństwa. Przy stężeniu wodoru w powietrzu 4–75% jest łatwopalny; przy 13–59% ulega detonacji. Wybuchy wodoru w Fukushimie zniszczyły budynki reaktorów jednostek 1, 3 i 4. Nowoczesne obudowy bezpieczeństwa wymagają zarządzania wodorem: PAR-y (pasywne rekombinatory autokatalityczne) to urządzenia zawierające katalizator platynowy lub palladowy. Wodór i tlen łączą się na powierzchni katalizatora w temperaturze pokojowej, bez zapłonu, tworząc parę wodną. Bez zasilania, bez wentylatorów, bez działań operatora. PAR-y są rozmieszczone w całej obudowie bezpieczeństwa, aby zapobiec lokalnemu gromadzeniu się wodoru. Wymagana ilość i rozmieszczenie są obliczane na podstawie najgorszego scenariusza źródła wodoru.

Cztery bariery fizyczne: obrona w głąb:

Powyższy schemat przedstawia cztery bariery fizyczne między paliwem a środowiskiem:

1. Matryca paliwowa (ceramika UO₂): zatrzymuje ok. 95% produktów rozszczepienia w warunkach normalnych

2. Oplot paliwowy (cyrkaloj lub SiC): metalowa bariera, pierwsze zamknięcie wszelkich uwolnionych produktów rozszczepienia

3. Granica ciśnienia chłodziwa reaktora: grubościenne stalowe zbiorniki i rurociągi

4. Konstrukcja hermetyczna: żelbeton, zazwyczaj o grubości 1–1,5 metra, zaprojektowana na ciśnienie i temperaturę maksymalnej awarii typu LOCA oraz na uderzenie samolotu

Zaprojektuj pasywne systemy bezpieczeństwa

Funkcje pasywne są wbudowane w fizykę i geometrię projektu: nie można ich wyłączyć.

Warstwa bezpieczeństwa ludzkiego

Sekcja 7: Projektowanie nadzoru ludzkiego

Każdy poważny wypadek jądrowy miał czynnik ludzki: nie dlatego, że ludzie są zawodni, ale dlatego, że system nadzoru ludzkiego został źle zaprojektowany. Dobry projekt ułatwia robienie właściwych rzeczy i utrudnia popełnianie błędów.

Minimum trzech wykwalifikowanych pracowników na miejscu przez cały czas (24/7):

- Operator Reaktora (RO): Posiada licencję NRC (10 CFR Part 55). Obsługuje sterowanie reaktorem. Musi zdać egzamin pisemny i test praktyczny na symulatorze specyficznym dla danej elektrowni. Licencja dotyczy wyłącznie tej konkretnej elektrowni i nie podlega przeniesieniu.

- Starszy Operator Reaktora (SRO) – Kierownik Zmiany: Posiada licencję NRC. Nadzoruje RO. Posiada niezależne uprawnienie do SCRAM: może zarządzić awaryjne wyłączenie reaktora niezależnie od poleceń jakiejkolwiek innej osoby, w tym kierownictwa.

- Technik Ochrony Radiologicznej / Oficer Fizyki Zdrowia: Monitoruje poziomy promieniowania, zarządza dozymetrią osobistą, autoryzuje dostęp do stref kontrolowanych i śledzi skumulowane dawki.

Niezależne uprawnienie do SCRAM:

Kierownik zmiany ma prawne uprawnienie do zainicjowania awaryjnego wyłączenia reaktora w dowolnym momencie, na podstawie swojej oceny zawodowej, bez konieczności uzyskania zgody kierownictwa. Jest to wymóg regulacyjny zgodnie z 10 CFR 50.54(x). Lekcja z TMI: operatorzy powinni mieć przeszkolenie i uprawnienia do szybkiego rozpoznania nietypowego scenariusza utraty chłodziwa i pewnego wykonania SCRAM. Zamiast tego byli zdezorientowani sprzecznymi wskazaniami i próbowali „naprawić” objawy, zamiast rozpoznać rzeczywisty stan.

Zasada dwóch osób (Two-Person Integrity – TPI):

Określone operacje: szczególnie przeładunek paliwa, manipulacja prętami regulacyjnymi podczas niektórych testów oraz dostęp do niektórych obszarów kluczowych – wymagają obecności dwóch wykwalifikowanych osób, które wzajemnie się obserwują. Żadna z osób nie może wykonać operacji samodzielnie. Kontrole fizyczne (przełączniki kluczykowe wymagające jednoczesnego użycia dwóch kluczy, blokady) wymuszają tę zasadę zamiast polegać wyłącznie na przestrzeganiu procedur. TPI zapobiega błędom indywidualnym oraz sabotażowi.

Ograniczenia zmianowe: zarządzanie zmęczeniem:

Zgodnie z 10 CFR 26 (Fitness for Duty): maksymalna długość zmiany wynosi 12 godzin. Minimalny okres odpoczynku między zmianami to 8 godzin. Maksymalna liczba godzin tygodniowo wynosi 54 godziny (72 godziny w sytuacjach awaryjnych za zgodą kierownictwa). Ograniczenia te istnieją, ponieważ brak snu znacząco upośledza zdolność podejmowania decyzji – w podobnym stopniu jak alkohol – a praca w energetyce jądrowej wymaga stałej czujności.

Wymagania szkoleniowe:

- Certyfikowany przez NRC program szkoleniowy na symulatorze pełnoskalowym specyficznym dla danej elektrowni

- Uzyskanie licencji: egzamin pisemny (zaliczony/niezaliczony, pytania wielokrotnego wyboru i eseje) + test praktyczny (ocena praktyczna przeprowadzona przez egzaminatora posiadającego licencję NRC)

- Rekwalifikacja: coroczny egzamin pisemny, dwuletni egzamin praktyczny na symulatorze

- Ćwiczenia awaryjne pod oceną: kwartalne ćwiczenia na zmianie, coroczne ćwiczenie pełnoskalowej reakcji awaryjnej z udziałem władz stanowych i powiatowych

Procedury eksploatacji awaryjnej (EOP):

Procedury oparte na objawach, zatwierdzone przez NRC. Zamiast „jeśli widzisz zdarzenie X, zrób Y”, nowoczesne EOP-y mówią: „jeśli obserwujesz te objawy (wysokie ciśnienie + niski poziom + rosnąca temperatura), wejdź w tę procedurę”. Takie podejście: opracowane po TMI: jest bardziej odporne, ponieważ operatorzy reagują na to, co obserwują, a nie na to, co ich zdaniem spowodowało zdarzenie. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Projekt sterowni: niezależne monitorowanie poawaryjne od DCS: [BLOCK_TYPE SECTION/STEP]

Przyrządy monitorowania poawaryjnego muszą być czytelne z pomieszczenia sterowni nawet wtedy, gdy cyfrowy system sterowania elektrowni (DCS) całkowicie zawiedzie. Są to dedykowane, przewodowe wyświetlacze: analogowe wskaźniki lub kwalifikowane wyświetlacze cyfrowe z oddzielnymi torami zasilania i sygnału.

Zaprojektuj swój system nadzoru ludzkiego

Nadzór ludzki to system bezpieczeństwa. Projektuj go z taką samą starannością jak pętle chłodzenia.

Wybór lokalizacji i projekt pod kątem zagrożeń zewnętrznych

Sekcja 8: Lokalizacja i projektowanie cywilne

Lokalizacja określa zewnętrzne zagrożenia, którym musi sprostać Twoja elektrownia. NRC wymaga kompleksowej analizy zagrożeń zewnętrznych jako części FSAR (Final Safety Analysis Report).

Projektowanie sejsmiczne: Bezpieczne trzęsienie ziemi wyłączeniowe (SSE):

Każda lokalizacja elektrowni ma Bezpieczne trzęsienie ziemi wyłączeniowe (SSE): maksymalne trzęsienie ziemi, które elektrownia jest zaprojektowana przetrwać, osiągając i utrzymując bezpieczne wyłączenie. Konstrukcje związane z bezpieczeństwem (budynek reaktora, budynek sterowni, budynki ECCS, budynki EDG) muszą być kategorii sejsmicznej I: zaprojektowane tak, aby wytrzymać SSE i pozostać funkcjonalne. SSE jest określane na podstawie probabilistycznej analizy zagrożeń sejsmicznych (PSHA) z docelowym prawdopodobieństwem przekroczenia 10⁻⁴ rocznie: zdarzenie o okresie zwrotu 10 000 lat. Projektowe trzęsienie ziemi w Fukushimie miało magnitudę 6,1; rzeczywiste trzęsienie miało magnitudę 9,0. Nigdy nie niedoceniaj SSE.

Powodzie: Prawdopodobna maksymalna powódź (PMF):

PMF to maksymalna powódź, która może wystąpić w danym miejscu na podstawie analizy meteorologicznej i hydrologicznej. Poziom terenu elektrowni musi być ustalony powyżej poziomu PMF lub elektrownia musi posiadać bariery przeciwpowodziowe (ściany, drzwi, włazy) odporne na PMF. Kluczowa lekcja z Fukushimy: falochron zaprojektowano na 5,7 metra, podczas gdy rzeczywiste tsunami miało wysokość 15 metrów. Obliczenie PMF musi być konserwatywne.

Zagrożenia zewnętrzne: uderzenie samolotu, ekstremalny wiatr, wybuchy zewnętrzne:

- Uderzenie samolotu: po 11 września NRC wymaga, aby duże elektrownie komercyjne przeprowadzały ocenę (niekoniecznie projektowały pod kątem) uderzenia samolotu. Nowe projekty, takie jak AP1000 i EPR, uwzględniają odporność na uderzenie samolotu w konstrukcji obudowy i pomieszczenia sterowni.

- Ekstremalny wiatr / tornado: tornado projektowe dla każdego regionu lokalizacji zgodnie z Regulatory Guide 1.76. Ochrona przed pociskami: pociski tornada (słupy energetyczne, samochody) nie mogą penetrować konstrukcji związanych z bezpieczeństwem.

- Wybuchy zewnętrzne: należy ocenić bliskość zakładów chemicznych, terminali LNG, rurociągów lub linii kolejowych z ładunkami niebezpiecznymi.

Granica Obszaru Wyłączonego (EAB): 10 CFR 100:

EAB to minimalny promień wokół elektrowni, w obrębie którego operator ma kontrolę nad terenem. W ciągu dwóch godzin po awarii o najpoważniejszych skutkach dawka promieniowania na granicy EAB nie może przekroczyć 25 rem dla całego ciała (TEDE). Ten limit determinuje konstrukcję obudowy bezpieczeństwa oraz odległość od granicy terenu. Większa elektrownia o większym źródle promieniowania wymaga większej strefy EAB.

Strefy planowania awaryjnego (EPZ):

Dwie strefy wokół każdej elektrowni jądrowej:

- Strefa narażenia na chmurę promieniotwórczą (plume exposure pathway EPZ): promień około 10 mil. Działania ochronne: ewakuacja, pozostanie w pomieszczeniach, dystrybucja jodku potasu, plany kontroli ruchu.

- Strefa narażenia drogą pokarmową (ingestion pathway EPZ): promień około 50 mil. Działania ochronne: ograniczenia spożycia żywności i wody, monitoring upraw i produktów mleczarskich.

Rozmiar EPZ nie jest określany wyłącznie przez wielkość elektrowni: jest ustalony przez regulacje NRC dla wszystkich reaktorów komercyjnych (z pewną elastycznością dla bardzo małych SMR-ów). Plany awaryjne muszą być opracowane i ćwiczone we współpracy z władzami stanowymi i lokalnymi.

Obrona Lokalizacji

Teraz uzasadnij swój wybór lokalizacji oraz rozwiązania projektowe części budowlanej.

Proces licencjonowania NRC

Sekcja 9: Ścieżka licencjonowania

Budowa reaktora bez zezwolenia jest nielegalna w Stanach Zjednoczonych. Proces licencjonowania NRC zgodnie z 10 CFR Part 52 ma na celu wychwycenie problemów bezpieczeństwa na etapie dokumentacji — zanim zostanie wylany beton. Jest to również mechanizm, dzięki któremu społeczeństwo, interwenienci oraz personel techniczny NRC mogą kwestionować i ulepszać projekt.

10 CFR Part 52: Połączone zezwolenie (Combined License – COL):

Główna współczesna ścieżka licencjonowania. COL łączy pozwolenie na budowę i licencję eksploatacyjną w jednym postępowaniu. Wnioskodawca wykazuje, że projekt spełnia wymagania NRC oraz że lokalizacja jest akceptowalna. NRC wydaje COL przed rozpoczęciem budowy. Podczas budowy kryteria ITAAC (Inspections, Tests, Analyses, & Acceptance Criteria) weryfikują, czy to, co zbudowano, odpowiada zatwierdzonemu projektowi.

Certyfikacja projektu (DC):

Projekt reaktora może zostać certyfikowany przez NRC niezależnie od konkretnej lokalizacji. Certyfikacja projektu trwa 15 lat. Po uzyskaniu certyfikacji przedsiębiorstwo energetyczne budujące elektrownię w ramach COL może powołać się na DC i nie musi ponownie rozpatrywać standardowego projektu. AP1000 i ABWR to przykłady certyfikowanych projektów. Projektanci SMR (NuScale, GEH BWRX-300, Kairos, TerraPower) ubiegają się o certyfikację swoich technologii.

Final Safety Analysis Report (FSAR): 17 rozdziałów:

FSAR to dokument techniczny stanowiący rdzeń każdego wniosku licencyjnego. Opisuje elektrownię i wykazuje, że spełnia wszystkie wymagania NRC. Kluczowe rozdziały:

- Rozdział 1: Wprowadzenie i ogólny opis

- Rozdział 2: Charakterystyka lokalizacji (sejsmika, zalewanie, meteorologia, populacja)

- Rozdział 4: Reaktor (konstrukcja paliwa, fizyka rdzenia, termohydraulika)

- Rozdział 5: Układ chłodzenia reaktora (obieg pierwotny, granica ciśnienia, ECCS)

- Rozdział 6: Inżynieryjne systemy bezpieczeństwa (obudowa bezpieczeństwa, ECCS, kontrola wodoru)

- Rozdział 7: Aparatura kontrolno-pomiarowa i automatyka

- Rozdział 8: Zasilanie elektryczne (zewnętrzne, wewnętrzne, akumulatory, FLEX)

- Rozdział 9: Systemy pomocnicze

- Rozdział 13: Prowadzenie eksploatacji (organizacja, szkolenia, EOP)

- Rozdział 15: Analiza awarii (projektowe awarie bazowe: LOCA, przerwanie głównej linii parowej, wyrzucenie pręta regulacyjnego itp.)

- Rozdział 16: Specyfikacje techniczne (limity operacyjne i wymagania dotyczące nadzoru)

Probabilistyczna ocena ryzyka (PRA):

Ilościowa analiza bezpieczeństwa, która oblicza prawdopodobieństwo uszkodzenia rdzenia i dużego wczesnego uwolnienia. Dwa kluczowe wskaźniki:

- Częstość uszkodzenia rdzenia (CDF): prawdopodobieństwo na reaktororok wystąpienia uszkodzenia rdzenia. Cel NRC: < 1×10⁻⁴/reaktororok. Cele reaktorów zaawansowanych: < 1×10⁻⁵/reaktororok.

- Częstość dużego wczesnego uwolnienia (LERF): prawdopodobieństwo na reaktororok dużego, wczesnego uwolnienia substancji promieniotwórczych przed podjęciem działań ochronnych. Cel NRC: < 1×10⁻⁵/reaktororok.

PRA identyfikuje również najważniejsze sekwencje awaryjne (główne czynniki wpływające na CDF) oraz najważniejsze systemy i komponenty (miary ważności): pozwala to ukierunkować zasoby na konserwację, badania i ulepszenia konstrukcji.

ITAAC: Inspekcje, Testy, Analizy i Kryteria Akceptacji:

Dla każdego systemu i konstrukcji związanej z bezpieczeństwem, COL określa ITAAC: co musi zostać poddane inspekcji, testom lub analizie oraz jakie jest kryterium akceptacji. Przed wydaniem przez NRC zezwolenia na załadunek paliwa wszystkie ITAAC muszą zostać ukończone i zgłoszone. Jeśli ITAAC nie zostanie spełnione, elektrownia nie może rozpocząć pracy, dopóki nie zostanie poprawione i ITAAC nie przejdzie pomyślnie.

Budowa i testy przedeksploatacyjne:

Po wydaniu COL rozpoczyna się budowa. NRC nadzoruje budowę zgodnie z kryteriami ITAAC (Inspekcje, Testy, Analizy i Kryteria Akceptacji). Testy przedeksploatacyjne weryfikują, czy każdy system spełnia swoją specyfikację projektową przed załadunkiem paliwa. Zezwolenie na załadunek paliwa wymaga potwierdzenia przez personel NRC, że wszystkie ITAAC zostały spełnione.

Wybierz swoją ścieżkę licencjonowania

Przeanalizuj ścieżkę licencjonowania dla konkretnego projektu reaktora.

Przedstaw swój kompletny projekt

Sekcja 10: Przegląd końcowego projektu

Zaprojektowałeś każdy główny system elektrowni jądrowej. Teraz przedstaw swój kompletny projekt w taki sposób, w jaki Chief Nuclear Officer prezentowałby go Komitetowi ds. Bezpieczeństwa NRC.

Twój projekt musi wykazać:

Pełna potrójna redundancja dla wszystkich czterech funkcji bezpieczeństwa:

1. Chłodzenie: trzy pętle (aktywny RHR, aktywny ECCS z pasywnymi akumulatorami, pasywny PRHR lub basen)

2. Wyłączenie: trzy systemy (pręty regulacyjne, awaryjne borowanie, pasywne spuszczenie absorbera)

3. Zasilanie: trzy źródła (sieć zewnętrzna, awaryjne agregaty diesla, akumulatory stacyjne) plus FLEX

4. Monitorowanie: trzy niezależne kanały (A/B/C) z głosowaniem 2-z-3, monitorowanie poawaryjne

Pasywne cechy bezpieczeństwa:

- Ujemny współczynnik Dopplera (zawsze obecny w paliwie uranowym)

- Ujemny współczynnik moderatora/pustki dla danego typu reaktora

- Pasywne odprowadzanie ciepła rozpadu (naturalna cyrkulacja lub basen)

- Zarządzanie awariami ciężkimi (IVR, łapacz rdzenia lub spływ MSR do stanu podkrytycznego)

- Zarządzanie wodorem (rekombinatory PAR rozmieszczone w obudowie bezpieczeństwa)

Nadzór ludzki:

- Trzy wykwalifikowane role na miejscu 24/7

- Zasada dwóch osób z fizycznym wymuszaniem

- Zgodne limity zmian

- Szkolenie na symulatorze specyficznym dla elektrowni

- EOP-y oparte na objawach

Lokalizacja:

- Podstawa projektowa sejsmiczna (SSE, konstrukcje kategorii sejsmicznej I)

- Ochrona przed powodzią (PMF lub bariery)

- Limit dawki na EAB (25 rem TEDE)

- EPZ (10-milowa strefa awaryjna, 50-milowa strefa spożywcza)

Test historyczny:

Twój projekt musi pokazać, w jaki sposób zapobiega on konkretnym trybom awarii TMI, Czarnobyla i Fukushimy.

- TMI: Lepsze monitorowanie po awarii (bezpośredni pomiar poziomu RCS), symptomowe procedury awaryjne (EOP), wyszkoleni operatorzy

- Czarnobyl: Ujemny współczynnik pustki (brak dodatniego efektu scramu), niezależne uprawnienie do SCRAM, zakaz wyłączania systemów bezpieczeństwa przez operatorów

- Fukushima: Chłodzenie pasywne (nie wymaga zasilania AC), wyniesiony sprzęt FLEX, 14-dniowy zapas paliwa do diesli, lokalizacja powyżej PMF

Kompletny przegląd projektu

To jest Twoja obrona projektu. Odpowiedz w pełni: każda pominięta część zostanie zakwestionowana.

Jak Twój projekt zapobiega TMI, Czarnobylu i Fukushimie

Sekcja 11: Zapobieganie przeszłości

Trzy największe wypadki jądrowe zdefiniowały współczesne wymagania bezpieczeństwa reaktorów. Każdy system redundancji, który zaprojektowałeś, ma konkretnego przodka w jednym z tych wypadków.

Three Mile Island (TMI), 1979: Pensylwania, USA:

Zawór upustowy sterowany pilotem (PORV), który pozostał otwarty, pozwolił przez wiele godzin odpływać chłodziwu pierwotnemu. Lampka sygnalizacyjna wskazywała, że zawór otrzymał POLECENIE zamknięcia, a nie to, że rzeczywiście był zamknięty. Operatorzy, zdezorientowani sprzecznymi wskazaniami, zmniejszyli przepływ wtrysku ECCS, sądząc, że układ jest przepełniany. Rdzeń odsłonił się, uległ przegrzaniu i częściowemu stopieniu.

Wnioski: (1) Bezpośredni monitoring po awarii: operatorzy muszą widzieć rzeczywistą pozycję zaworów, rzeczywisty poziom chłodziwa i rzeczywistą temperaturę rdzenia. (2) Procedury awaryjne oparte na objawach: operatorzy reagują na to, co obserwują, a nie na to, co ich zdaniem spowodowało zdarzenie. (3) Lepsze szkolenie operatorów w zakresie rozpoznawania i reagowania na awarie.

Czarnobyl, 1986: Ukraińska SRR, ZSRR:

Test bezpieczeństwa przeprowadzono przy niskiej mocy reaktora (obszar niestabilny) oraz przy wyłączonych lub obejściowych wielu systemach bezpieczeństwa. Reaktor RBMK miał duży dodatni współczynnik pustki: w miarę wrzenia chłodziwa reaktywność rosła. Gdy operatorzy próbowali wyłączyć reaktor, grafitowe końcówki prętów sterujących spowodowały krótkotrwały skok mocy (dodatni efekt scramu). Wzrost mocy do około 30 000 MW zniszczył reaktor w wyniku eksplozji parowej i pożaru grafitu.

Wnioski: (1) Brak dodatniego współczynnika pustki w reaktorach energetycznych. (2) Systemy bezpieczeństwa nie mogą być obejściowe podczas normalnej eksploatacji. (3) Niezależne uprawnienie do SCRAM: żaden kierownik testu nie może unieważnić decyzji o bezpieczeństwie podjętej przez kierownika zmiany. (4) Szkolenie operatorów z fizyki reaktorów, a nie tylko z wykonywania procedur.

Fukushima Daiichi, 2011: Japonia:

Trzęsienie ziemi o magnitudzie 9,0 wywołało 15-metrowe tsunami, które zalało i zniszczyło awaryjne generatory diesla w elektrowni Fukushima Daiichi. Bez zasilania AC i z uszkodzonymi generatorami diesla, ciepło rozpadu spowodowało wrzenie chłodziwa w jednostkach 1, 2 i 3. Wodór powstały w reakcji Zircaloy z parą spowodował eksplozje w budynkach reaktorów. Trzy rdzenie uległy stopieniu w ciągu 72 godzin. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

Lekcje: (1) Chłodzenie pasywne, które nie wymaga zasilania. (2) Generatory diesla i akumulatory umieszczone powyżej poziomu zalewowego lub zabezpieczone przed zalaniem. (3) Przenośne urządzenia FLEX rozmieszczone w różnych, dostępnych lokalizacjach. (4) Projektowa podstawa PMF musi być konserwatywna. (5) Przedłużony zanik zasilania stacji musi być zaprojektowany, a nie tylko analizowany. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

[BLOCK_TYPE TITLE historical_lessons/history_question]

Połącz swój projekt z historią [BLOCK_TYPE CONTENT historical_lessons/history_question]

To jest ostatnie pytanie w ramach pracy końcowej. [BLOCK_TYPE QUESTION historical_lessons/history_question]