Definição da IAEA

Defesa em Profundidade: A Filosofia Organizadora

A Agência Internacional de Energia Atômica (IAEA) define defesa em profundidade como uma abordagem de segurança em múltiplas camadas, na qual cada camada atua como backup das anteriores. Nenhuma camada única é considerada perfeita. O caso de segurança depende de ter múltiplas camadas independentes, de modo que nenhuma falha única: e nenhuma combinação única de falhas de uma causa raiz única: possa levar a danos.

A defesa em profundidade opera em todas as escalas:

Barreiras físicas: matriz do combustível → revestimento do combustível → vaso de pressão do reator → edifício de contenção → edifício do reator (4-5 barreiras físicas entre o combustível e o ambiente)

Sistemas de segurança: cada função (resfriamento, desligamento, energia) é realizada por pelo menos 3 trens independentes

Procedimentos: procedimentos escritos governam cada evolução; procedimentos anormais e de emergência para cada evento de base de projeto

Operadores: licenciados, treinados, qualificados, descansados; autoridade independente para iniciar o desligamento

Gerenciamento: cultura de segurança nuclear, supervisão regulatória, revisões de segurança independentes

Regulamentação: requisitos de base de projeto da NRC 10 CFR 50, operação licenciada, inspeções periódicas

Princípio chave: Sem crédito para camadas falhadas. Se você não pode confirmar que uma barreira está intacta, assume-se que não está. Todo o sistema é projetado para ser seguro com qualquer um dos componentes ativos falhado: isso é chamado de critério de falha única.

Redundância, Diversidade e Independência

Três Propriedades Que Tornam a Defesa Real

Sistemas de segurança nuclear devem satisfazer três propriedades distintas. Confundi-las é um erro comum e perigoso.

Redundância significa ter mais de uma coisa igual. Três geradores a diesel são redundantes. Mas se todos compartilharem o mesmo tanque de combustível, a mesma lógica de partida ou o mesmo cômodo físico, a redundância sozinha não protege contra uma falha de causa comum.

Diversidade significa usar princípios físicos diferentes ou equipamentos diferentes para realizar a mesma função. Uma bomba de injeção de alta pressão e um acumulador pressurizado com nitrogênio ambos entregam água ao núcleo: mas eles funcionam com princípios totalmente diferentes. A diversidade derrota modos de falha que derrotariam todas as cópias redundantes de um design.

Independência significa que a falha de um trem não pode causar ou impedir o funcionamento de outro. A independência requer:

- Barramentos de energia separados (fontes elétricas diferentes)

- Separação física (barreiras, edifícios diferentes, lados opostos do reator)

- Lógica de atuação separada (um curto-circuito no Trem A não pode desativar o Trem B)

- Instrumentação separada (sensores do Trem A não alimentam a atuação do Trem B)

Falha de causa comum (CCF) é o cenário de pesadelo: um único evento desativa múltiplos trens redundantes simultaneamente. Fukushima é o exemplo definidor: o tsunami não foi apenas uma perda de energia externa. Ele desativou simultaneamente todos os três geradores a diesel de emergência porque todos estavam no mesmo prédio baixo. Redundância sem independência é uma ilusão.

Critério de Falha Única

O critério de falha única da NRC (10 CFR 50, Apêndice A, Critério Geral de Projeto 17) estabelece que os sistemas de segurança devem ser projetados de modo que nenhuma falha ativa de um único componente impeça o sistema de realizar sua função de segurança.

Uma falha 'ativa' é aquela que requer que algo mude de estado: uma bomba falhando ao iniciar, uma válvula falhando ao abrir.

Uma falha 'passiva' (por exemplo, uma rachadura em um tubo) é tratada por requisitos de projeto separados.

Por que Três Trens?

Todo Sistema Crítico de Segurança: Três Trens Independentes

A regra da redundância tripla não é simplesmente 'três é mais seguro que dois'. É um requisito de engenharia preciso com propriedades específicas.

Cada trem deve ser capaz de 100% da função de segurança de forma independente. Se o Trem A cuida do resfriamento, ele cuida de todo o resfriamento necessário. Os Trens B e C não são contribuintes parciais: eles são backups completos.

Os trens devem estar fisicamente separados. Edifícios diferentes, ou no mínimo separados por barreiras contra incêndio. Rotas de cabos diferentes. Trajetos de tubulações diferentes. Se um incêndio, inundação ou explosão afetar um trem, não deve alcançar os outros.

Os trens devem ter fontes de alimentação separadas. Barramentos elétricos diferentes alimentados por fontes diferentes. Trem A no Barramento A, Trem B no Barramento B, Trem C no Barramento C: cada barramento com seu próprio diesel de emergência.

Os trens devem ter lógica de atuação separada. Uma falha de relé no circuito de atuação do Trem A não pode impedir o Trem B de atuar. Idealmente, eles usam princípios de atuação completamente diferentes (diversidade).

Por que três e não dois? Com três trens, a lógica de votação dois-de-três significa que qualquer falha de um único componente ainda deixa dois trens funcionais: você obtém tanto o critério de falha única QUANTO alguma proteção contra falhas de causa comum. Com dois trens, uma falha única deixa você com um trem: sem margem, sem defesa contra uma segunda falha.

Diversidade vs. Redundância

Considere o sistema de resfriamento de emergência do núcleo de um PWR. Uma abordagem: três bombas de injeção de alta pressão idênticas, cada uma alimentada por um gerador a diesel separado, em salas separadas.

Uma segunda abordagem: uma bomba de injeção de alta pressão, mais um acumulador pressurizado com nitrogênio que não requer energia, mais um tanque de água alimentado por gravidade de um reservatório elevado.

Ambas fornecem três meios de entregar água ao núcleo.

ECCS: A Última Linha de Defesa do Núcleo

Sistemas de Resfriamento de Emergência do Núcleo

O acidente de base de projeto para um PWR é o acidente de perda de refrigerante (LOCA): uma ruptura no sistema de refrigerante do reator que permite que o refrigerante primário escape. Um LOCA de grande ruptura pode descobrir o núcleo em segundos. Sem inundação imediata, as temperaturas do revestimento do combustível sobem acima de 2.200°F, o zircaloy oxida e o dano ao combustível começa.

O ECCS para um PWR típico tem quatro subsistemas, cada um operando em uma fase diferente do acidente:

Sistema de Injeção de Alta Pressão (HPIS): Ativa imediatamente em baixa pressão do refrigerante do reator ou alta pressão da contenção. Injeta água borada no sistema de refrigerante do reator enquanto a pressão ainda está alta (acima de ~200 psi). Usa bombas motorizadas alimentadas por diésel de emergência. Taxa de fluxo: 500-1.500 gpm dependendo do projeto.

Acumuladores (também chamados de Tanques de Inundação do Núcleo): Tanques passivos pressurizados com nitrogênio contendo água borada. Eles injetam automaticamente quando a pressão do refrigerante do reator cai abaixo da pressão do nitrogênio (tipicamente 600-700 psi). Não requer energia: a pressão do nitrogênio impulsiona a água para o núcleo. Cada acumulador contém ~1.000 galões.

Sistema de Injeção de Baixa Pressão (LPIS): Ativa em baixa pressão (<200 psi). Fornece altas taxas de fluxo (milhares de gpm) para ruptura grande de LOCA. Após o tanque de armazenamento de água de reabastecimento (RWST) esvaziar, o sistema muda para recirculação do sumidouro: recirculando água do sumidouro da contenção de volta através do núcleo. Deve continuar por semanas (remoção de calor de decaimento).

Remoção de Calor Residual (RHR): Também chamado de sistema de Remoção de Calor de Decaimento. Propósito principal: remover calor de decaimento após o reator atingir o desligamento a frio. Opera em baixa pressão e baixa temperatura, circulando refrigerante através de trocadores de calor. Também fornece capacidade de injeção de baixa pressão.

Sistemas de Pulverização do Núcleo BWR: Reatores de água em ebulição utilizam bicos de pulverização do núcleo acima do combustível que pulverizam água diretamente sobre os feixes de combustível: uma geometria diferente da inundação PWR.

Curva de Calor de Decaimento

A curva de calor de decaimento é um dos números mais importantes na segurança nuclear. Após o desligamento do reator:

- t = 0 segundos: ~7% da potência nominal (240 MW para um reator de 3.400 MW)

- t = 1 minuto: ~3,5%

- t = 1 hora: ~1% (~34 MW)

- t = 1 dia: ~0,3% (~10 MW)

- t = 1 semana: ~0,1%

- t = 1 ano: o combustível ainda gerando calor mensurável de isótopos de longa vida

Dez megawatts de calor, sustentados indefinidamente, sem energia para acionar as bombas de resfriamento. Esta foi a situação exata em Fukushima Daiichi em 11 de março de 2011.

ECCS Passivo: Projeto AP1000

Próxima Geração: Segurança Passiva

O Westinghouse AP1000 (Advanced Passive 1000 MWe) aplica as lições do ECCS ativo & inverte a filosofia de design: em vez de três trens de bombas precisando de energia, todas as funções de segurança dependem de gravidade, circulação natural, gás comprimido & evaporação.

Tanques de Reposição do Núcleo (CMT): Dois grandes tanques de água fria boratada montados acima do reator. Normalmente isolados. Ao serem ativados, eles escoam por gravidade para o sistema de refrigerante do reator. Cada tanque contém água suficiente para manter o núcleo coberto por horas.

Acumuladores: Mesmos das usinas convencionais: pressurizados com nitrogênio, injeção passiva.

Tanque de Armazenamento de Água para Recarga no Contenção (IRWST): Uma grande piscina de água dentro do edifício do contenção, acima do reator. Alimentado por gravidade. Fornece resfriamento de longo prazo após o esvaziamento dos CMTs. Sem bombas. Sem energia.

Trocadores de Calor Passivos de Remoção de Calor Residual (PRHR HX): Submersos no IRWST. Circulação natural transporta o calor de decaimento do reator para a água do IRWST, que aquece, ferve e ventila para a atmosfera através de uma chaminé. Sem bombas. Totalmente passivo.

Janela de 72 horas: O caso de segurança do AP1000 demonstra 72 horas de resfriamento do núcleo sem ação do operador e sem energia. Após 72 horas, os operadores podem reabastecer o IRWST com água de qualquer fonte.

Esta diversidade de design: passivo vs. ativo: é o motivo pelo qual a diversidade importa. Os sistemas de segurança do AP1000 não podem ser derrotados pelo modo de falha que destruiu Fukushima.

[TITLE containment/]

Última Barreira Física

Contenção: A Fronteira Final

Se todos os outros sistemas de segurança falharem & o combustível for danificado, a contenção é a última barreira entre o material radioativo & o público. Ela deve resistir: à pressão interna do vapor, à combustão de hidrogênio, a impactos de mísseis de equipamentos falhados, & pelo tempo necessário.

Contenção seca PWR: Uma estrutura de concreto reforçado forrada de aço, tipicamente com 140 pés de diâmetro & 200 pés de altura. Projetada para conter a pressão de vapor de uma ruptura completa de guilhotina dupla no maior tubo de refrigerante primário (pressão de projeto ~60 psi). O forro de aço é a barreira de pressão; o concreto fornece resistência estrutural & blindagem biológica.

Confinamento com condensador de gelo: Um projeto de confinamento PWR menor e de baixa pressão (usado em algumas usinas Westinghouse) que utiliza centenas de toneladas de gelo para absorver a energia do vapor e manter a pressão do confinamento baixa em um LOCA. Permite uma estrutura menor e mais barata, mas requer manutenção periódica do gelo.

Duplo confinamento: Alguns projetos colocam um confinamento de aço interno dentro de um edifício de confinamento secundário externo de concreto. O espaço entre eles é mantido em pressão ligeiramente negativa para que qualquer vazamento do confinamento interno seja coletado e filtrado antes da liberação.

Confinamento BWR: Mark I, II, III: Os confinamentos BWR da General Electric são menores porque utilizam uma piscina de supressão de pressão (toróide ou poço úmido) para condensar o vapor rapidamente. O Mark I (projeto de Fukushima) é um arranjo drywell-toróide: o toróide é uma grande piscina de água em forma de donut abaixo do drywell. Uma fraqueza: o toróide está preso à parte inferior do drywell. Se o toróide falhar, o confinamento falha. Isso é exatamente o que aconteceu na Unidade 1 de Fukushima.

Recombinadores autocatalíticos passivos (PAR): Pós-Fukushima, a maioria dos confinamentos agora inclui PARs: dispositivos contendo material catalítico (paládio ou platina) que reage hidrogênio com oxigênio para formar água, sem ignição, em baixas concentrações. Isso previne o acúmulo de hidrogênio que poderia causar deflagração ou detonação.

Ventilação filtrada de contenção: Requisito pós-Fukushima na Europa e cada vez mais nos EUA: um caminho de ventilação endurecido com um sistema de filtro multiestágio (lavador venturi + filtro de fibra metálica) que permite aos operadores ventilar deliberadamente a contenção enquanto retém >99,9% da radioatividade particulada. Isso previne a falha descontrolada da contenção por sobrepressão.

Base de Projeto e Além da Base de Projeto

Para o que a Contenção é Projetada

Acidentes de base de projeto (DBA): A NRC exige que a contenção sobreviva a qualquer um destes simultaneamente:

- Ruptura grande de LOCA: seccionamento completo do maior tubo de refrigerante primário, liberação máxima de refrigerante

- Perda de energia externa (LOOP) coincidente com LOCA: sem energia da rede quando mais se precisa

- Ruptura na linha de vapor principal: liberação de vapor de alta energia dentro da contenção

- Acidente de manuseio de combustível: montagem de combustível caída, liberação de produtos de fissão de combustível danificado

Eventos além da base de projeto (BDBA): Pós-11/9 e pós-Fukushima, as usinas também devem abordar:

- Apagão da estação (SBO): perda prolongada de toda a energia CA (requisito pós-TMI, fortalecido pós-Fukushima)

- Inundação além da base de projeto: Fukushima mostrou que as alturas de inundação da base de projeto eram muito baixas

- Impacto de aeronave: NRC exige análise pós-11/9 de impacto deliberado de aeronave; novas usinas devem demonstrar sobrevivência estrutural

- Perda de resfriamento da piscina de combustível gasto: piscina de combustível gasto da Unidade 4 de Fukushima quase ferveu a seco; requisitos pós-Fukushima adicionaram conexões dedicadas de reposição para SFP

Vulnerabilidade do Mark I

As Unidades 1, 2 e 3 de Fukushima Daiichi possuíam contenções General Electric Mark I. O Mark I utiliza um drywell (um vaso de aço em forma de lâmpada ao redor do reator) conectado a um pool de supressão toroidal (o torus) por downcomers. O vapor do drywell é direcionado para a água do torus para condensação.

Durante o acidente, acredita-se que o torus da Unidade 2 tenha sido danificado, permitindo que produtos de fissão escapassem diretamente para o prédio do reator e, em seguida, para a atmosfera, sem passar pela barreira completa de contenção.

Sistemas de Desligamento

Controle de Reatividade: Três Caminhos Independentes para Desligamento

Um reator deve ser capaz de desligar & permanecer desligado sob qualquer condição. Nenhuma falha única pode ser permitida para impedir o desligamento. O critério geral de design (GDC 26) exige dois sistemas independentes de controle de reatividade, cada um capaz de manter o reator subcrítico.

Mecanismos de acionamento de hastes de controle (CRDMs):

- CRDMs magnéticos de elevador PWR: As hastes de controle são mantidas levantadas por eletroímãs. Em caso de perda de energia (sinal de SCRAM ou perda de energia), os ímãs desenergizam e as hastes caem por gravidade para dentro do núcleo. Fail-safe: energia necessária para manter as hastes FORA. Perda de energia = inserção automática.

- CRDMs hidráulicos BWR: As hastes são acionadas de baixo para cima por água de alta pressão. A inserção de emergência usa nitrogênio de alta pressão para impulsionar as hastes rapidamente para dentro. Alguns projetos de BWR também têm um backup elétrico para inserção das hastes.

Inserção Alternativa de Hastes (ARI): Um caminho de sinal elétrico separado e diversificado que pode inserir hastes de controle independentemente da lógica normal de SCRAM. Usado se o circuito normal de SCRAM falhar.

Transiente Anticipado Sem SCRAM (ATWS): O cenário regulatório em que as hastes de controle falham em se inserir sob demanda. Sistemas de mitigação de ATWS (ATWS-MF) fornecem injeção de boro independente do SCRAM normal: tipicamente injeção automática de boro de alta pressão acionada por um conjunto separado de sensores.

Borição de emergência:

- Injeção de boro de alta pressão a partir de um tubo de alimentação separado (separado da carga normal)

- Borição de emergência via linhas de injeção de boro do ECCS

- Borição manual a partir dos tanques de armazenamento de ácido bórico

Projetos passivos: Reator CANDU: O CANDU possui dois sistemas de desligamento completamente independentes: (1) hastes de desligamento mecânicas que caem por gravidade, e (2) injeção de alta pressão de solução de nitrato de gadolínio no moderador: um circuito físico separado. Eles são independentes em todos os sentidos: lógica de atuação diferente, sistemas físicos diferentes, princípios diferentes.

Análise de ATWS

Durante testes em 1979 na Unidade 2 de Three Mile Island, um erro de manutenção causou a falha de um disparo do reator (SCRAM) durante um teste. O evento foi detectado rapidamente. Mas isso levou a NRC a exigir sistemas de mitigação de ATWS em todas as usinas: porque sistemas 'impossíveis de falhar' haviam, de fato, falhado.

Um evento ATWS em um PWR: a potência do reator aumenta repentinamente. As barras de controle falham em inserir. A boração de emergência é a última linha de defesa.

Arquitetura de Energia em Três Camadas

Energia Elétrica de Usina Nuclear: Três Camadas Independentes

Uma usina nuclear deve manter energia para seus sistemas de segurança independentemente do que acontecer com a rede ou seu próprio equipamento gerador. A arquitetura de energia tem três camadas:

Camada 1: Operação normal: A usina gera sua própria energia a partir do gerador da turbina principal. Cargas auxiliares (bombas, ventiladores, controles) são alimentadas a partir da própria saída da usina via transformadores auxiliares de unidade.

Camada 2: Energia externa (fonte CA preferencial): Se o gerador principal desarma, a usina se conecta à rede por meio de transformadores de partida/reserva. A NRC exige pelo menos duas linhas de transmissão independentes de subestações diferentes: para que uma única falha de transmissão não cause perda total de energia externa.

Camada 3: Geradores a diesel de emergência (EDGs): Se a energia externa for perdida, os EDGs iniciam automaticamente e alimentam os barramentos de segurança em 10 segundos. Requisitos da NRC:

- Cada EDG deve atingir tensão e frequência nominal em 10 segundos após receber o sinal de partida

- Armazenamento de combustível: mínimo de 7 dias em carga total (Guia Regulatório da NRC 1.9)

- Testes: teste de carga mensal + teste de resistência de 24 horas a cada 24 meses

- Sequenciamento de carga: cargas de segurança são conectadas em sequência para evitar sobrecarga do diesel no início

Baterias da estação: Energia CC para instrumentação, painéis da sala de controle, iluminação de emergência, circuitos de atuação SCRAM, atuação ATWS e comunicação. Devem fornecer cargas por no mínimo 2 horas (Classe 1E); a maioria das usinas projeta para 4-8 horas. Carregadores de bateria restauram as baterias quando a CA retorna.

Estratégia FLEX pós-Fukushima: Ordem NRC EA-12-049 exige que todas as usinas tenham bombas e geradores portáteis implantáveis em prazos definidos, independentemente das condições do local. O equipamento FLEX é posicionado em múltiplos locais (alguns em estruturas robustas, alguns fora do local) e pode se conectar a pontos de conexão externos endurecidos nos sistemas de resfriamento do reator e da piscina de combustível gasto.

Requisitos do Gerador a Diesel

Three Mile Island Unidade 2, 1979: A sequência do acidente envolveu uma parada da turbina seguida por perda de água de alimentação, seguida por uma série complexa de eventos que levou ao dano do núcleo. Os geradores diesel de emergência ligaram e funcionaram corretamente durante todo o evento.

Fukushima Daiichi, 2011: O terremoto causou SCRAM do reator. Todos os seis diesels ligaram e funcionaram. Então o tsunami chegou. Os diesels das Unidades 1-3 estavam em salas no porão que inundaram. O diesel da Unidade 6 estava em uma localização mais alta e sobreviveu. As Unidades 5 e 6 não sofreram dano no núcleo.

Sistema de Proteção do Reator

Sistema de Proteção do Reator (RPS)

O Sistema de Proteção do Reator é o sistema automático que inicia um SCRAM do reator (desligamento rápido) quando parâmetros monitorados excedem limites seguros. É a primeira defesa automática contra transientes.

Parâmetros monitorados que podem iniciar SCRAM:

- Alto fluxo de nêutrons (alta potência)

- Alta temperatura do refrigerante do reator

- Baixa pressão do refrigerante do reator (potencial LOCA)

- Alta pressão de contenção

- Baixo fluxo de refrigerante do reator

- Alto nível de refrigerante (BWR)

- Baixo-baixo nível de água (BWR)

- Perda de energia externa

- Ativação manual (iniciada pelo operador)

Lógica de votação: Cada parâmetro é medido por quatro sensores independentes, cada um em um canal de proteção separado. Um SCRAM requer que 2-de-4 canais excedam o setpoint. Isso significa:

- Um único sensor com falha (leitura falsamente alta) não pode causar uma ativação espúria

- Qualquer dois canais excedendo o setpoint inicia a viagem

- Um único canal falhado (lendo baixo falsamente) deixa três canais, ainda capaz de 2-de-3

Sistema de Atuação Diverso e Dedicado (DDAS): Sistemas RPS digitais modernos têm um backup analógico: DDAS: que pode iniciar funções de segurança independentemente do I&C digital. Isso fornece diversidade: os sistemas digital e analógico podem falhar por razões completamente diferentes, e uma falha não impede o outro de funcionar.

Lógica 2-de-4 vs 2-de-3

O RPS usa votação 2-de-4 para iniciar SCRAM (quatro sensores, dois devem concordar para disparar). Mas os sensores individuais reportam ao sistema de atuação usando votação 2-de-3 dentro de cada trem (três medições, dois devem concordar para atuar uma função de segurança específica como ECCS).

Estas não são a mesma coisa, & entender a diferença importa.

Pessoal Mínimo

Supervisão Humana: A Camada Que Pensa

As operações de usinas nucleares exigem pessoal licenciado em turno o tempo todo. A NRC 10 CFR 50.54(m) estabelece os requisitos mínimos de pessoal. No mínimo, as equipes operacionais incluem:

Operador de Reator (RO): Licenciado pela NRC (10 CFR 55). Opera diretamente os controles do reator, o painel principal de controle e os sistemas de segurança. Deve estar nos controles continuamente durante as operações em potência.

Operador Sênior de Reator (SRO): Licença superior da NRC. Supervisiona o RO. Tem autoridade independente para iniciar o desligamento. Revisa e aprova as ações do RO durante eventos anormais. Não pode ser a mesma pessoa que o RO no turno.

Supervisor de Turno (SS): SRO licenciado sênior. Responsável pela condução geral das operações e pela segurança da planta durante o turno. Autoridade final no local para operações da planta.

Consultor Técnico de Turno (STA): Requisito pós-TMI (NUREG-0737). Um engenheiro licenciado designado para cada turno especificamente para fornecer suporte técnico independente durante eventos anormais: não distraído pelos controles de operação, focado inteiramente no diagnóstico do evento.

Por que várias pessoas? Defesa em profundidade na camada humana. Um RO sob estresse, focado na execução de procedimentos, pode perder a visão geral. O SRO fornece supervisão independente. O STA fornece análise técnica independente. O supervisor de turno mantém a conscientização situacional. Nenhuma falha cognitiva humana única pode impedir que a planta seja controlada com segurança.

Ferramentas de Desempenho Humano

Reduzindo Erros Humanos: Ferramentas Sistemáticas

A indústria nuclear quantificou as taxas de erro humano para diferentes tipos de tarefas. As taxas de erro para tomada de decisões complexas sob estresse podem exceder 1 em 10. A indústria visa taxas de erro de 1 em 1.000 ou melhor para tarefas críticas: e as alcança por meio de ferramentas sistemáticas de desempenho humano.

Briefing pré-tarefa: Antes de qualquer tarefa significativa, um briefing cobre: objetivo da tarefa, perigos, condições esperadas, etapas para verificar a conclusão, condições de parada (se X acontecer, pare e chame o supervisor). Leva 5-15 minutos. Reduz dramaticamente os erros na execução da tarefa.

STAR (Parar, Pensar, Agir, Revisar): Técnica de auto-verificação para toda ação crítica. Parar: pausar antes da ação. Pensar: o que estou prestes a fazer, e isso está correto? Agir: executar a ação. Revisar: o resultado foi o que eu esperava? A pausa de dois segundos captura erros de transposição, seleções de válvulas erradas e atalhos cognitivos.

Comunicação de três vias: Para todas as ordens verbais de importância para a segurança: (1) Iniciador declara a ordem: 'Alinhe a válvula HV-233 na posição aberta.' (2) Receptor repete exatamente: 'Alinhe a válvula HV-233 na posição aberta.' (3) Iniciador confirma: 'Isso está correto.' Um erro de comunicação que não é capturado nessa troca é incomum: requer que ambas as partes ouçam errado ou se lembrem errado.

Integridade de duas pessoas: Para certas operações de alto risco (relacionadas à segurança, manuseio de fontes), duas pessoas licenciadas devem estar presentes e verificar mutuamente as ações uma da outra. Nenhuma pessoa pode realizar a ação sensível sozinha: a segunda pessoa deve estar fisicamente presente e confirmar cada etapa.

Gerenciamento de fadiga: NRC 10 CFR 26 estabelece limites: máximo de 16 horas de trabalho por dia, mínimo de 8 horas de descanso antes de retornar ao serviço, máximo de 54 horas por semana, máximo de 72 horas por semana com horas extras. A fadiga degrada a tomada de decisões tão severamente quanto a intoxicação: esses limites não são recomendações de produtividade, são requisitos de segurança.

Procedimentos de Operação de Emergência

Antes de Three Mile Island (1979), usinas nucleares usavam procedimentos de emergência baseados em eventos: se o evento X ocorrer, execute o procedimento X. Os operadores tinham que identificar corretamente o evento antes de tomar ação.

No TMI, os operadores receberam indicações contraditórias. Uma válvula de alívio de pressão estava travada aberta: isso era uma LOCA de pequena ruptura: mas os operadores identificaram mal o evento e seguiram o procedimento errado. Quando o diagnóstico correto foi feito, danos significativos no núcleo já haviam ocorrido.

Pós-TMI, a indústria desenvolveu procedimentos operacionais de emergência baseados em sintomas (EOPs). Em vez de 'identificar evento, selecionar procedimento', os operadores seguem: 'observar sintomas, tomar ações protetoras para esses sintomas, independentemente do que você acha que o evento é.'

A condição de entrada baseada em sintomas chave: qualquer mudança inesperada no nível, pressão ou temperatura do refrigerante do reator, independentemente da causa, aciona a mesma sequência de verificação de resfriamento do núcleo.

ALARA: As Low As Reasonably Achievable

Engenharia de Proteção contra Radiação

ALARA: As Low As Reasonably Achievable: não é simplesmente um limite de dose. É uma filosofia: a dose deve ser reduzida ao mínimo prático, não apenas mantida abaixo dos limites legais. A NRC exige ALARA como requisito regulatório (10 CFR 20.1101), não apenas uma boa prática.

Gerenciamento de dose externa: os três controles clássicos:

- Tempo: Reduza o tempo no campo de radiação pela metade, reduza a dose pela metade. Sequências de trabalho pré-planejadas minimizam o tempo desnecessário em áreas de alta dose.

- Distância: A taxa de dose segue a lei do inverso do quadrado. Dobre sua distância de uma fonte pontual, reduza sua taxa de dose a um quarto. Trabalhar a seis pés em vez de três pés reduz a dose em 75%.

- Blindagem: Chumbo, concreto, água e polietileno atenuam diferentes tipos de radiação. A Camada de Meia Vida (HVL) é a espessura que reduz a intensidade pela metade. HVL do chumbo para gama típica: ~1 cm. HVL do concreto: ~6 cm. Após dez HVLs (10 TVL = Camada de Décimo Valor), a intensidade é reduzida a 1/1.000 da original.

Gerenciamento de dose interna:

- Material radioativo dentro do corpo continua a irradiar órgãos até que decaia ou seja excretado

- Vias: inalação (aerossóis, gases), ingestão (alimentos/água contaminados), absorção pela pele (rara)

- Concentração Derivada no Ar (DAC): a concentração aérea de um radionucleotídeo que, se inalada por 2.000 horas/ano, entrega o limite de dose ocupacional. Respiradores e recintos de pressão negativa previnem a dose por inalação.

- Limite Anual de Ingestão (ALI): ingestão total (inalação + ingestão) que entrega o limite de dose ocupacional

Limites de dose ocupacional (10 CFR 20):

- 5 rem (50 mSv) por ano de dose equivalente efetiva total

- 3 rem (30 mSv) por trimestre

- 15 rem (150 mSv) por ano para a lente do olho

- 50 rem (500 mSv) por ano para a pele ou extremidades

- Restrição de dose para planejamento ALARA: 2 rem/ano (limites administrativos específicos da planta frequentemente mais baixos)

Controle de contaminação:

- Áreas Controladas Radiologicamente (RCAs) têm acesso controlado, revista na saída

- Tapetes de passo: papel ou plástico nas saídas de RCA; troque as capas de sapato aqui para evitar rastrear contaminação

- Contagem corporal total: após trabalho em áreas com potencial contaminação interna, contagens gama corporais totais detectam captação interna

- Programas de bioensaio: análise de urina e fezes quantificam dose interna de isótopos específicos

ALARA na Prática

Um trabalhador de radiação deve substituir uma válvula em uma área de alta radiação. A taxa de dose no local da válvula é 500 mrem/hora. O trabalho requer 30 minutos para ser concluído. A dose anual do trabalhador até o momento é 1.200 mrem contra um limite administrativo da planta de 2.000 mrem/ano.

Usando os princípios ALARA e os três controles, avalie se este trabalho pode prosseguir e identifique pelo menos duas ações específicas para reduzir a dose.

Three Mile Island (1979)

Three Mile Island Unidade 2: 28 de março de 1979

O TMI não foi uma falha de projeto: foi uma falha de defesa em profundidade nas camadas humana e de procedimentos.

O que aconteceu:

- Uma parada da turbina causou um SCRAM do reator (automático: funcionou corretamente)

- Uma válvula de alívio de pressão (PORV) abriu (correto) mas ficou presa aberta (falha de equipamento)

- Um indicador da sala de controle mostrou apenas que a válvula recebeu um sinal de fechamento: não que estava realmente fechada

- Refrigerante escapou pela PORV presa aberta. Pressão e temperatura no reator caíram

- Os operadores interpretaram mal os sintomas como excesso de refrigerante e reduziram a injeção de refrigeração de emergência: o oposto do que era necessário

- Por mais de duas horas, o núcleo do reator ficou parcialmente descoberto

- Aproximadamente metade do núcleo derreteu

O que a contenção fez: Ela resistiu. Apesar de danos graves no núcleo e acúmulo de hidrogênio dentro da contenção, a estrutura de contenção reteve essencialmente todos os produtos de fissão. As consequências de dose fora do local foram mínimas: nenhum efeito na saúde pública por radiação.

Melhorias pós-TMI (NUREG-0737):

- PCOEs baseadas em sintomas (substituindo baseadas em eventos)

- Assessores Técnicos de Turno em todos os turnos

- Simuladores de escopo completo certificados pela NRC para treinamento de equipe

- Instrumentação de monitoramento pós-acidente (PAM): indicadores diretos de resfriamento do núcleo, painel de exibição qualificado com alimentação independente de CA

- Padrões revisados de design da sala de controle (NUREG-0700)

- Requisitos aprimorados de exame de licenciamento de operadores

Chernobyl (1986)

Unidade 4 de Chernobyl: 26 de abril de 1986

Chernobyl foi diferente em caráter do TMI: foi principalmente uma deficiência de design combinada com bypasses deliberados do sistema de segurança.

O que aconteceu:

- Um teste de estabilidade de tensão requeria operar o reator em baixa potência (~200 MW, vs. potência nominal 3.200 MW)

- Em baixa potência, o reator RBMK tinha um coeficiente de vazio positivo: bolhas de vapor no refrigerante aumentavam a reatividade

- As barras de controle tinham um defeito de design: as pontas de grafite deslocavam a água quando inseridas pela primeira vez, causando um aumento inicial de reatividade antes que a parte absorvedora de nêutrons entrasse no núcleo

- O teste foi adiado; a equipe noturna não estava treinada para ele

- Múltiplos sistemas de segurança foram desativados intencionalmente para realizar o teste

- Ao pressionar o botão de desligamento de emergência (AZ-5), as pontas das hastes de grafite causaram um surto de reatividade em vez do SCRAM pretendido

- A potência disparou para 30.000 MW em segundos: cerca de 10x a potência nominal

- Combustível e refrigerante vaporizaram instantaneamente, causando uma explosão de vapor que destruiu o reator

- O incêndio de grafite queimou por 10 dias, dispersando produtos de fissão pela Europa

Sem contenção: O RBMK não tinha edifício de contenção completo. O reator ficava em um grande prédio industrial sem capacidade de retenção de pressão. Quando o reator foi destruído, não havia barreira final.

Mudanças pós-Tchernóbil:

- Modificações no projeto RBMK: removido o coeficiente de vazio positivo em baixa potência, redesenho das pontas das hastes, adicionados absorvedores de nêutrons adicionais

- Convenções internacionais de segurança nuclear fortalecidas

- Conceito de cultura de segurança nuclear formalizado pela IAEA (INSAG-7)

- Ênfase regulatória ocidental na contenção como requisito inegociável

Três Acidentes, Três Lições

Você agora conhece os três principais acidentes nucleares civis: TMI (1979), Chernobyl (1986) e Fukushima (2011). Cada um revelou um tipo diferente de falha na defesa em profundidade.

Quantificando o Risco

APR: Passando de 'Suficientemente Seguro' para 'Quão Seguro?'

A análise de segurança determinística diz: projete a usina para sobreviver a esses acidentes específicos. A Avaliação Probabilística de Risco (APR) faz uma pergunta diferente: dado todas as maneiras pelas quais as coisas podem dar errado, qual é a probabilidade de que elas realmente aconteçam?

Frequência de dano ao núcleo (CDF): A probabilidade de que o núcleo do reator seja significativamente danificado em qualquer ano dado. Meta de segurança da NRC: CDF < 1×10⁻⁴ por reator-ano (uma vez a cada 10.000 anos de reator). Usinas modernas tipicamente alcançam CDF < 1×10⁻⁵ (uma vez a cada 100.000 anos de reator).

Frequência de liberação precoce em grande escala (LERF): A probabilidade de uma liberação precoce em grande escala de radioatividade para o ambiente (antes que a evacuação pudesse ser concluída). Meta de segurança da NRC: LERF < 1×10⁻⁵ por reator-ano.

Árvores de falhas: Diagramas lógicos gráficos que mostram as combinações de falhas de componentes que levam a um evento superior definido (ex.: 'ECCS falha em entregar água ao núcleo'). Usa portões AND (todos devem falhar) & portões OR (qualquer uma falha é suficiente). Portões AND reduzem a probabilidade (exigem múltiplas falhas simultâneas). Portões OR aumentam a probabilidade.

Árvores de eventos: Diagramas gráficos que começam com um evento iniciador (ex.: 'LOCA de grande ruptura ocorre') & rastreiam as consequências dependendo de o sistema de segurança ter sucesso ou falhar. Cada ramo representa o sucesso ou falha de uma função de segurança. Nós terminais são sequências de acidentes: desligamento seguro, dano ao núcleo, liberação grande.

Medidas de importância: A PRA identifica quais componentes & sistemas contribuem mais para o risco.

- Importância Fussel-Vesely (FV): a fração da FDP contribuída pelas falhas de um componente. Alta FV = este componente importa muito.

- Valor de Realização de Risco (RAW): quanto a FDP aumenta se este componente for assumido como falhado. Alto RAW = este componente não deve ficar fora de serviço por muito tempo.

RAW direciona o agendamento de manutenção & testes: componentes de alto RAW recebem testes frequentes & tempos de interrupção permitidos curtos.

PRA e Agendamento de Manutenção

Uma usina nuclear possui três geradores diesel de emergência (A, B, C). A análise PRA mostra:

- CDF com todos os três operacionais: 2×10⁻⁵ por ano

- CDF com o diesel A fora de serviço para manutenção: 8×10⁻⁵ por ano (aumento de 4x)

- CDF com os diesels A e B simultaneamente fora de serviço: 4×10⁻³ por ano (aumento de 200x)

A equipe de manutenção deseja retirar os diesels A e B de serviço simultaneamente para uma grande revisão que durará 30 dias.

Combustível Irradiado: A Obrigação de Longo Prazo

Combustível Gastado: Gerenciamento Ativo & Passivo

Quando o combustível é removido de um reator após 3-5 anos de operação, ele é intensamente radioativo & termicamente quente devido ao calor de decaimento. A mesma curva de calor de decaimento se aplica: 7% da potência nominal imediatamente, declinando ao longo dos anos.

Piscinas de combustível gasto (SFP): Imediatamente após a remoção, os conjuntos de combustível gasto são colocados em uma piscina de combustível gasto: uma bacia cheia de água, tipicamente com 40 pés de profundidade, adjacente ao prédio do reator. A água serve para dois propósitos: resfriamento e blindagem (a água acima do combustível absorve a radiação, permitindo que os trabalhadores no deque da piscina recebam doses baixas).

Tempo mínimo de resfriamento na piscina antes do barril seco: Aproximadamente 5 anos para combustível PWR. O combustível deve resfriar até o ponto em que o resfriamento passivo por ar em um barril seco possa lidar com o calor de decaimento restante sem qualquer água.

Risco de incêndio de zircaloy: Se os conjuntos de combustível gasto ficarem descobertos (água da piscina perdida), o revestimento de zircaloy pode oxidar no ar em altas temperaturas. Diferente da reação vapor-zircaloy que produz hidrogênio, a oxidação zircaloy-ar em temperaturas vermelhas pode sustentar um incêndio de zircaloy: uma reação exotérmica auto-sustentável. A piscina de combustível gasto da Unidade 4 de Fukushima estava a dias de atingir temperaturas onde isso poderia ter ocorrido.

Requisitos de SFP pós-Fukushima (Ordem NRC EA-12-051):

- Instrumentação confiável para nível e temperatura da água do SFP

- Capacidade de adicionar água de reposição ao SFP de fontes diversificadas

- Estratégias para manter ou restaurar o resfriamento do SFP em cenários de perda prolongada de energia

Armazenamento em barris secos: Após 5+ anos na piscina, o combustível é transferido para barris secos: recipientes de aço soldados cercados por blindagem de concreto ou polietileno de alta densidade. O resfriamento é inteiramente passivo: convecção natural de ar através de aberturas na estrutura externa. Não requer energia. Vida útil de projeto: 100+ anos. Atualmente, mais de 90.000 toneladas métricas de metal pesado em armazenamento em barris secos apenas nos EUA.

Descarga de resíduos de alto nível: O combustível gasto é classificado como resíduo nuclear de alto nível. A lei dos EUA (Nuclear Waste Policy Act) designa Yucca Mountain, Nevada, como o repositório permanente: mas ele não foi aberto devido à oposição política. A NRC exige que um repositório forneça contenção por 10.000 anos (padrão da EPA: 1 milhão de anos para doses além de 10.000 anos). A descarga geológica profunda usa a própria formação rochosa como barreira primária, com barreiras projetadas (vitrificação em vidro, recipientes metálicos, argila bentonita) como camadas adicionais.

Resíduos de baixo nível (LLW): Roupas, ferramentas, filtros e resinas contaminadas. Três classes da NRC:

- Classe A: menor atividade, isótopos de meia-vida mais curta. Enterro em aterro superficial, exigência de isolamento de 100 anos

- Classe B: atividade moderada. Enterro superficial com isolamento de 300 anos

- Classe C: maior atividade, isótopos de meia-vida mais longa. Exige isolamento de 500 anos; descarga em superfície com maiores barreiras projetadas

Técnicas de redução de volume (incineração, compactação, fusão) são obrigatórias para minimizar o espaço de descarga

Caso de Segurança de Tonéis Secos

Um crítico argumenta que o armazenamento em tonéis secos é inseguro porque os tonéis não têm resfriamento ativo, não têm conexões de energia e ficam ao ar livre sobre plataformas de concreto. Um engenheiro nuclear responde que os tonéis secos podem ser na verdade mais seguros que a piscina de combustível irradiado.

Defesa em Profundidade: O Quadro Completo

Engenharia de Segurança Nuclear: Uma Disciplina de Sistemas

Você agora estudou cada camada da engenharia de segurança nuclear. Dê um passo atrás & veja o sistema:

Barreiras físicas (matriz de combustível, revestimento, vaso de pressão, contenção) são passivas: não requerem nenhuma ação para funcionar. Elas são a base.

Sistemas de segurança (ECCS, RPS, EDGs, DDAS) são ativos com backups passivos (acumuladores, tanques por gravidade, baterias). Cada função tem três trens independentes. Cada trem é 100% capaz. Abordagens ativas & passivas são diversas.

Instrumentação (RPS, ECCS actuation, PAM) monitora dezenas de parâmetros com lógica de votação 2-de-4: resistente a trips espúrios e a falhas de sensores que impediriam o trip.

Procedimentos (EOPs baseados em sintomas) orientam os operadores a ações de proteção sem exigir um diagnóstico correto. Pós-TMI. Essencial.

Fatores humanos (dimensionamento de pessoal, treinamento, ferramentas de desempenho humano, limites de fadiga) reduzem a probabilidade de falha da camada humana. Requisito de STA pós-TMI. Treinamento em simulador. Briefings pré-tarefa. STAR. Comunicação em três vias.

Gestão e cultura de segurança garantem que a segurança não seja sacrificada em favor da eficiência. Pós-Chernobyl INSAG-7. A lição de Chernobyl é que sistemas de segurança desativados pela gestão são sistemas de segurança que não existem.

Regulamentação (NRC 10 CFR 50, padrões da IAEA, inspeções periódicas) fornece supervisão independente na camada mais alta. Um regulador que não inspeciona é um regulador que não existe.

Os três grandes acidentes revelaram que a defesa em profundidade falha não por uma única falha dramática, mas por uma combinação de pequenas falhas, suposições incorretas e margens inadequadas em múltiplas camadas simultaneamente. O caso de segurança é apenas tão forte quanto sua combinação simultânea mais fraca.

Integração Final

Pergunta Final: A Mais Difícil

Um novo projeto de reator proposto alega ser tão seguro que precisa apenas de um trem de ECCS (não três), sem diésel de emergência (resfriamento passivo apenas) e um modelo de equipe simplificado com dois operadores no turno em vez de quatro.

O designer argumenta: 'Resfriamento passivo significa que energia não é necessária, então diesels são desnecessários. O reator não pode derreter por física, então equipe simplificada é justificada.'