Defina Sua Missão

Seção 1: Definição da Missão

Todo projeto de reator começa com uma missão. A missão orienta todas as decisões subsequentes.

Potência elétrica determina o tamanho do reator, o inventário de combustível e os requisitos de fluxo de refrigerante. Um reator modular pequeno (SMR) de 100 MWe tem restrições de engenharia muito diferentes de um reator de água pressurizada de 1.200 MWe.

Localização determina os critérios de implantação, a fonte de refrigerante, a integração à rede, o planejamento de emergência e a base de projeto sísmico. Locais em rios interiores usam água do rio para resfriamento e devem considerar o risco de inundação. Locais costeiros usam água do mar, mas devem considerar tsunamis e maré de tempestade. Locais remotos em ilhas ou fora da rede podem não se conectar a uma rede nacional.

Integração à rede versus microrrede isolada altera a forma como os requisitos de acompanhamento de carga são tratados e o que acontece se a rede falhar (risco de perda total de energia da usina).

Vida útil de projeto afeta os limites de fadiga dos materiais, os intervalos de inspeção, os requisitos de renovação de licença e as reservas de custo de descomissionamento. Atualmente, a NRC licencia usinas por 40 anos com extensões de renovação de 20 anos. Alguns projetos visam uma vida útil de 80 anos.

Perfis de missão típicos:

- SMR de 300 MWe, ilha remota, rede isolada, vida útil de 60 anos

- PWR de 1.100 MWe, local em rio interior, rede nacional, vida útil de 60 anos

- EPR de 1.600 MWe, local costeiro, rede nacional, vida útil de 60 anos

- Arranjo de 2 × 77 MWe NuScale SMR, local interior, rede regional, vida útil de 40 anos

Sua Declaração de Missão

Defina a missão do seu reator. Isso se tornará a base de todas as decisões de projeto que virão a seguir.

Análise de Trade-Off de Tipos de Reator

Seção 2: Seleção do Tipo de Reator

Cinco principais tipos de reatores comerciais estão em séria consideração atualmente. Cada um possui uma base física, ciclo de combustível, perfil de segurança e nível de maturidade diferentes. Você deve escolher um e defendê-lo.

Reator de Água Pressurizada (PWR)

O tipo de reator mais comum no mundo (cerca de 70% das usinas em operação). A água leve (H₂O) serve tanto como refrigerante quanto como moderador. O circuito primário opera a ~155 bar / 325°C: a alta pressão mantém a água no estado líquido. Um gerador de vapor transfere calor para o circuito secundário, que aciona a turbina. A água radioativa permanece no circuito primário.

Prós: Décadas de experiência operacional, forte coeficiente de vazio negativo (a perda de água causa diminuição da reatividade), histórico comprovado de segurança, grande cadeia de suprimentos industrial.

Contras: Alta pressão operacional (exige vasos de pressão de paredes espessas e bombas de alta capacidade), complexidade de dois circuitos, acidente de perda de refrigerante (LOCA) requer resposta ativa do ECCS.

Reator de Água Fervente (BWR)

A água ferve dentro do vaso do reator. O vapor vai diretamente para a turbina. Mais simples que o PWR: não é necessário gerador de vapor.

Prós: Menor pressão operacional que o PWR, projeto de circuito único mais simples, ciclo direto mais eficiente.

Contras: Vapor radioativo vai para a turbina (o prédio da turbina é uma área de radiação), ECCS complexo com múltiplos sistemas de injeção, coeficiente de vazio ligeiramente positivo em alguns níveis de potência exige projeto cuidadoso.

CANDU (Canada Deuterium Uranium)

Usa água pesada (D₂O) como moderador e refrigerante. Pode utilizar urânio natural como combustível (sem necessidade de enriquecimento). Característica única: recarregamento em operação: os canais de combustível podem ser substituídos sem desligar o reator.

Vantagens: Não requer enriquecimento (vantagem de custo do combustível), recarregamento em operação resulta em fator de capacidade muito alto, o moderador de água pesada permite ciclo de combustível flexível.

Desvantagens: Água pesada é cara de produzir (~$1000/kg), algumas configurações apresentam coeficiente de vazio ligeiramente positivo sob certas condições, exigindo projeto de segurança cuidadoso, grande área física.

Reator de Sal Fundido (MSR)

O combustível é dissolvido em sal fundido de fluoreto ou cloreto. Não há combustível sólido para derreter: se o resfriamento falhar, o sal solidifica ou drena para um tampão de congelamento passivo. Pode utilizar o ciclo de combustível de tório.

Vantagens: Seguro sem intervenção (drenagem passiva torna o derretimento fisicamente impossível), opera à pressão atmosférica (sem risco de LOCA), recarregamento em operação, ciclo de combustível de tório produz muito menos resíduos de longa duração.

Contras: Desafios de materiais (materiais estruturais precisam resistir a sal quente, corrosivo e radioativo por décadas), tecnologia pré-comercial: nenhum MSR operou comercialmente, produção de trítio em sais de fluoreto é um desafio regulatório.

Reator Modular Pequeno (SMR): tipo NuScale/Rolls-Royce

Módulos PWR ou PWR integral fabricados em fábrica, tipicamente de 50-300 MWe cada. Segurança passiva baseada em circulação natural, sem necessidade de bombas. Múltiplos módulos podem ser combinados para escalabilidade.

Prós: Controle de qualidade em fábrica, sistemas de segurança passiva (sem bombas, sem necessidade de energia CA para resfriamento), capacidade escalável, tempo de construção mais curto.

Contras: Custo de capital por kWe mais alto que usinas grandes, a maioria dos projetos é pré-comercial ou está apenas entrando em operação (NuScale VOYGR certificado em 2022, mas projetos cancelados em 2023), cadeia de suprimentos ainda não desenvolvida em escala.

A questão-chave de física de segurança para qualquer tipo de reator:

O que acontece se a temperatura do refrigerante subir ou se o refrigerante for perdido? Um reator com um coeficiente de temperatura negativo e um coeficiente de vazio negativo reduzirá automaticamente a potência: uma resposta autocorretiva e inerentemente segura. Um reator com um coeficiente de vazio positivo (a potência aumenta à medida que o refrigerante é perdido) requer sistemas ativos para desligar com segurança. Foi isso que tornou o RBMK de Chernobyl tão perigoso.

Escolha o Tipo de Reator

Revise o diagrama de comparação de tipos de reator acima antes de decidir.

Parâmetros de Projeto do Combustível

Seção 3: Projeto do Combustível

O projeto do combustível determina quanta energia você obtém, quanto tempo o combustível dura e o que acontece em um acidente. Cada parâmetro interage com todos os outros parâmetros.

Tipo de combustível:

- UO₂ (dióxido de urânio): O padrão global. Pastilhas cerâmicas, alto ponto de fusão (~2850°C), quimicamente estável, bem caracterizado. Pequena desvantagem: baixa condutividade térmica: o calor se acumula no centro da pastilha.

- MOX (óxido misto): Mistura de UO₂ e PuO₂. Queima plutônio de armas ou de combustível gasto reprocessado. Ponto de fusão ligeiramente inferior ao do UO₂, requer instalação licenciada de fabricação de MOX.

- TRISO (tri-estrutural isotrópico): Microesferas de combustível (UO₂ ou UCO) revestidas com múltiplas camadas cerâmicas. Cada partícula é seu próprio minúsculo recipiente de contenção. Usado em reatores a gás de alta temperatura e alguns projetos avançados. Extremamente robusto: testado em temperaturas muito altas sem liberação.

Enriquecimento:

- Urânio natural (0,7% U-235): Usado em CANDU. Sem custo de enriquecimento, mas requer moderador de água pesada.

- LEU 3-5% (urânio pouco enriquecido): Padrão para combustível de PWR e BWR. Enriquecido a 3-5% de U-235.

- HALEU 5-20% (urânio pouco enriquecido de alto teor): Usado em muitos projetos de SMR e reatores avançados. O maior enriquecimento permite núcleos menores e mais compactos e ciclos de combustível mais longos. Requer salvaguardas adicionais devido ao maior enriquecimento.

- HEU >20%: Proibido em reatores de potência comerciais.

Material de revestimento:

- Zircaloy-4: Revestimento padrão mundial. Baixa absorção de nêutrons, boas propriedades mecânicas até ~400°C. Ponto crítico: acima de ~1200°C reage com vapor produzindo gás hidrogênio (Zr + 2H₂O → ZrO₂ + 2H₂). Esta foi a fonte de hidrogênio em Fukushima.

- M5 (liga Zr-Nb): Melhor resistência à corrosão que o Zircaloy-4 para combustível de alto burnup.

- Composto SiC/SiC: Revestimento de combustível tolerante a acidentes (ATF) avançado. Muito maior tolerância à temperatura, não produz hidrogênio em contato com vapor. Em desenvolvimento ativo, mas ainda não em uso comercial generalizado.

Meta de queima:

O combustível padrão de LWR alcança cerca de 45-50 GWd/tHM (gigawatt-dias por tonelada métrica de metal pesado) antes da remoção. Combustíveis de alto desempenho podem atingir 65-70 GWd/tHM. Alguns projetos avançados visam mais de 100 GWd/tHM para ciclos estendidos. Maior queima significa menos paradas para recarga, mas exige melhor desempenho do revestimento e maior enriquecimento.

Absorvedores queimáveis:

O combustível novo é altamente reativo: excessivamente reativo se carregar um núcleo completo. Os absorvedores queimáveis (óxido de gadolínio misturado aos pastilhos de combustível, ou IFBA: absorvedor queimável integral de combustível, um revestimento fino de ZrB₂) absorvem o excesso de nêutrons no início da vida e se queimam à medida que o combustível se esgota, nivelando a distribuição de potência ao longo do ciclo.

Padrão de carregamento do núcleo:

- Carregamento in-out: Combustível fresco carregado no centro, movido para fora à medida que se esgota. Simples, mas cria picos de potência elevados no centro.

- Carregamento de baixo vazamento: Combustível fresco colocado na periferia do núcleo, combustível esgotado no centro. Reduz o vazamento de nêutrons (melhor economia de combustível) e reduz a fluência no vaso de pressão do reator. Prática padrão para PWRs modernos.

Especifique o Seu Projeto de Combustível

Considere como as escolhas de combustível interagem com o tipo de reator e a missão. Um projetista de CANDU não precisa de enriquecimento. Um projetista de SMR pode escolher HALEU para um núcleo compacto. Um projetista de PWR deve abordar o revestimento e o risco de produção de hidrogênio.

Projeto de Refrigerante e Moderador

Seção 4: Compatibilidade de Refrigerante e Moderador

Seu refrigerante, moderador, combustível e revestimento devem ser química e fisicamente compatíveis. Uma incompatibilidade cria um problema de segurança ou um projeto impossível.

Água Leve (H₂O): PWR, BWR, SMR:

O melhor moderador por unidade de volume. Também excelente refrigerante. Opera em alta pressão (PWR: ~155 bar, BWR: ~70 bar). Risco principal: em alta temperatura vaporiza rapidamente (perda simultânea de moderação e refrigeração: cenário LOCA). O controle químico é crítico: pH, oxigênio dissolvido, injeção de zinco afetam as taxas de corrosão dos materiais estruturais. Revestimento de Zircaloy compatível até ~400°C em operação normal.

Água Pesada (D₂O): CANDU:

Excelente moderador com absorção de nêutrons muito menor que H₂O: por isso o CANDU pode operar com urânio natural. Opera a ~100 bar em tubos de pressão. Água pesada custa ~US$ 1000/kg para produzir (via processo Girdler-Sulfide ou outra separação isotópica). Produção de trítio por D + n → T é um desafio operacional: trítio é emissor beta e deve ser gerenciado. Química: semelhante à água leve, mas com considerações diferentes sobre isótopos de oxigênio.

Grafite: RBMK, HTGR:

O RBMK usava grafite como moderador com refrigerante de água: combinação perigosa devido ao coeficiente de vazio positivo. O HTGR (reator de alta temperatura refrigerado a gás) usa grafite como moderador com refrigerante de hélio: combinação segura porque o grafite não contribui para coeficiente de vazio positivo com refrigerante gasoso. Grafite também pode ser risco de incêndio se atingir temperaturas muito altas no ar: fator relevante no incêndio de Windscale em 1957.

Sal Fundido: MSR:

O sal atua tanto como transportador de combustível quanto como refrigerante. Não é necessário um moderador separado (exceto em MSRs térmicos que podem incluir grafite). Opera à pressão atmosférica: sem risco de LOCA por alta pressão. Principais desafios: os sais de fluoreto são altamente corrosivos para metais estruturais, sais de cloreto podem ativar-se sob fluxo de nêutrons. Os materiais devem resistir a décadas de exposição. O tampão de congelamento: um tampão congelado de sal resfriado por um pequeno ventilador: derrete se houver perda de energia, drenando o combustível para uma geometria subcrítica. Este é um recurso de segurança passiva.

Sódio: Reator Rápido (SFR):

O sódio líquido é um excelente refrigerante para reatores rápidos. Muito alta condutividade térmica, opera à pressão atmosférica, a circulação natural é eficaz. Risco grave: o sódio queima violentamente quando exposto ao ar e reage explosivamente com água. Todos os sistemas de sódio exigem trocadores de calor de parede dupla e atmosfera inerte. Um incêndio de sódio foi um incidente grave em Monju (Japão) e Superphénix (França).

Matriz de compatibilidade (o que deve funcionar em conjunto):

- A química do refrigerante não deve corroer o revestimento sob irradiação

- O moderador deve ser compatível com o refrigerante (água pesada e água leve são compatíveis; grafite e água criam o problema de coeficiente de vazio positivo do RBMK)

- O combustível deve ser quimicamente estável no refrigerante (UO₂ em água: adequado. UF₄ em sal fundido de fluoreto: adequado. UO₂ em sódio: adequado. Porém urânio metálico em água sofre corrosão.)

- A temperatura e pressão de operação devem estar dentro dos limites de qualificação dos materiais

Justifique Seu Refrigerante e Moderador

O tipo de reator determina o refrigerante primário. Agora justifique a compatibilidade do seu sistema completo: refrigerante, moderador, combustível e revestimento, e identifique o principal risco químico ou térmico.

Três Circuitos de Refrigeração Independentes

Seção 5a: Sistemas de Refrigeração Triplamente Redundantes

Por que três circuitos de refrigeração?

Fukushima tinha refrigeração de reserva. Ela falhou porque todas as reservas compartilhavam uma vulnerabilidade comum: precisavam de energia CA, e o mesmo tsunami que derrubou a rede elétrica também destruiu os geradores a diesel. Falhas isoladas se propagaram até a perda total de refrigeração.

A redundância tripla não é apenas três cópias do mesmo sistema. A verdadeira redundância exige independência em três dimensões:

- Separação física: Edifícios diferentes, quadrantes diferentes, elevações diferentes. Uma inundação em um quadrante não pode desativar outro.

- Diferentes fontes de energia: Diferentes barramentos elétricos, diferentes fontes de energia de backup. Uma falha em um barramento não pode desativar outro circuito de resfriamento.

- Lógicas de ativação diferentes: Um circuito ativa por alta temperatura, outro por baixa pressão, outro por falta total de energia. Modos de falha diferentes ativam circuitos diferentes.

Os três circuitos de resfriamento padrão de um PWR moderno:

Circuito 1: Resfriamento Normal de Parada (SCS / Residual Heat Removal, RHR):

Sistema ativo. Bombas circulam o refrigerante através de trocadores de calor para remover o calor de decaimento após o desligamento. Alimentado por CA normal ou CA de emergência. Opera em baixa pressão após a despressurização. Setpoint de ativação: tipicamente quando a temperatura do RCS cai abaixo de ~177°C (350°F) e a pressão abaixo de ~28 bar (400 psi). Este é o principal sistema de remoção de calor de decaimento durante paradas planejadas.

Loop 2: Sistema de Resfriamento de Emergência do Núcleo (ECCS): Injeção de Alta Pressão e Baixa Pressão:

Sistema ativo. Atua em caso de acidentes de perda de refrigerante. A injeção de alta pressão (HPI) é acionada em pequenas rupturas: mantém a pressão do sistema de refrigeração do reator (RCS) e injeta água borada. Injeção por acumuladores: grandes tanques de água borada pressurizados com nitrogênio (~40 bar) que descarregam passivamente quando a pressão do RCS cai abaixo da pressão dos acumuladores (sem bombas ou energia elétrica). A injeção de baixa pressão (LPI) assume após a despressurização completa do RCS. A concentração de boro é crítica: suficiente para alcançar e manter o desligamento a frio sem barras de controle.

Loop 3: Resfriamento Passivo do Núcleo (alimentado por gravidade ou circulação natural):

Sistema passivo: sem bombas, sem energia CA e sem ação do operador. Duas abordagens:

- Estilo AP1000 (Westinghouse): Grande tanque de água acima do reator (tanques de compensação do núcleo, trocadores de calor passivos de remoção de calor residual). Alimentado por gravidade. Em condições de acidente, a circulação natural remove o calor de decaimento do primário para a água do tanque, que ferve e é ventilada: condensada na carcaça de aço da contenção, resfriada por ar externo. Totalmente passivo.

- Estilo NuScale: O módulo do reator fica dentro de uma piscina de água. A circulação natural no sistema primário transfere calor para a piscina. Sem bombas no sistema primário ou nos sistemas de segurança.

- PRHR HX (Trocador de Calor Passivo de Remoção de Calor Residual): Imerso em um grande tanque cheio de água (tanque de armazenamento de água de reabastecimento dentro da contenção, IRWST). A circulação natural através do PRHR HX remove o calor de decaimento sem bombas. Opera por 72 horas sem ação do operador.

Verificação de independência: o que deve ser verdadeiro:

- Os Loops 1, 2 e 3 devem ser alimentados por barramentos elétricos diferentes (1A, 1B, 1C ou Div I, II, III)

- O Loop 3 deve funcionar com perda total de energia CA

- Cada loop deve estar em uma divisão física diferente (separada por barreiras ou distância)

- Falhas de causa comum: como o tsunami de Fukushima: devem ser analisadas e evitadas

Análise de falhas de causa comum:

Que falha única poderia desativar todos os três loops? Você deve identificá-la e mostrar como o seu projeto a previne.

- Causa comum sísmica: todos os três loops devem estar em estruturas de Categoria Sísmica I projetadas para o SSE do local

- Causa comum por inundação: loops em elevações diferentes ou compartimentos protegidos contra inundação

- Causa comum por incêndio: barreiras contra fogo (classificação de 3 horas), rotas de cabos separadas, separação redundante

- Causa comum por perda do dissipador de calor: se todos os três loops rejeitarem calor para o mesmo dissipador de calor final (rio, oceano), a perda desse dissipador deve ser analisada

Projeto do Loop 1: Resfriamento Normal de Parada

Projete seu primeiro loop de resfriamento: o sistema normal de resfriamento de parada / RHR.

Projete a Loop 2: Injeção de Alta Pressão do ECCS

A Loop 2 é o seu sistema de resfriamento de emergência do núcleo: ativado por acidentes, não por operações normais.

Projete o Loop 3: Resfriamento Passivo do Núcleo

O Loop 3 deve funcionar sem energia CA e sem ação do operador. É a última linha de defesa: o sistema que evita o cenário de Fukushima.

Análise de Falha de Causa Comum

Você tem três loops de resfriamento. Agora prove que eles são verdadeiramente independentes.

Três Formas Independentes de Parar a Reação

Section 5b: Sistemas de Desligamento Triplamente Redundantes

Parar uma reação em cadeia exige mais do que barras de controle. Um reator seguro moderno possui três mecanismos de desligamento completamente independentes, qualquer um dos quais é suficiente para alcançar e manter o desligamento frio.

Por que não apenas barras de controle?

As barras de controle não conseguiram desligar o reator de Chernobyl rápido o suficiente: o RBMK tinha um coeficiente de scram positivo — a inserção de barras com ponta de grafite causou inicialmente um breve aumento de potência antes do desligamento. Em TMI, as barras de controle se inseriram corretamente, mas a confusão do operador sobre o nível de refrigerante levou ao descobrimento do núcleo mesmo assim. A lição: nenhum sistema único deve ser o único meio de desligamento.

Sistema de Desligamento 1: Barras de Controle:

O sistema primário de desligamento. Barras contendo material absorvedor de nêutrons (carbeto de boro B₄C, háfnio ou liga Ag-In-Cd) são inseridas no núcleo. As barras são inseridas por gravidade ou por mola (SCRAM): em caso de perda de energia ou sinal de segurança, os eletroímãs que mantêm as barras suspensas são desenergizados e as barras caem no núcleo. Tempo de SCRAM: normalmente as barras são totalmente inseridas em 2-4 segundos.

Requisitos de projeto: (1) Valor das barras: todas as barras juntas devem ser capazes de desligar o reator a partir de qualquer condição operacional, com a barra de maior valor presa na posição retirada. Este é o “critério da barra presa”. (2) Tempo de SCRAM: medido e verificado durante os testes de partida. (3) Frequência de teste: as barras de controle devem ser exercitadas (parcialmente retiradas e reinseridas) em um cronograma regular para verificar a operabilidade.

Sistema de Desligamento 2: Boração de Emergência:

Injetar água borada no sistema de refrigeração do reator. O Boro-10 é um excelente absorvedor de nêutrons. A injeção suficiente de boro permite o desligamento a frio mesmo que todas as barras de controle fiquem presas na posição retirada. Dois mecanismos: (1) Injeção por coluna: tanque de ácido bórico conectado ao RCS por bombas e válvulas de isolamento. (2) Injeção de boro pelo ECCS: a água dos acumuladores do ECCS já está borada; a injeção do ECCS fornece automaticamente boro. A concentração de boro necessária para o desligamento a frio com todas as barras presas é calculada na análise de segurança e é tipicamente 2000-2500 ppm (como ácido bórico, H₃BO₃).

Sistema de Desligamento 3: Drenagem por Absorvedor Passivo (baseado em física, sem energia):

Um mecanismo de desligamento passivo e diversificado que utiliza um princípio físico diferente. Exemplos:

- Injeção de esferas de boro (estilo CANDU): Esferas de material absorvedor caem por gravidade em compartimentos separados do moderador quando há perda de energia.

- Injeção passiva de boro a partir de tanque elevado: Um tanque elevado de ácido bórico concentrado drena por gravidade para o RCS quando uma válvula fail-open se abre devido à perda de energia. Sem bombas, sem necessidade de sinal.

- Drenagem de sal fundido para geometria subcrítica: Para MSRs, o tampão de congelamento derrete com a perda de energia de resfriamento, drenando o combustível para uma geometria fisicamente incapaz de sustentar uma reação em cadeia (geometria subcrítica projetada no tanque de drenagem).

- Barras de veneno consumível com ejeção por mola: Em alguns projetos, barras secundárias de desligamento podem ser ejetadas para cima por mola no núcleo quando há perda do mecanismo de retenção.

Requisitos de teste e vigilância: [BLOCK_TYPE SECTION/STEP]

Cada sistema de desligamento deve ser testado independentemente em um cronograma regular, com os resultados registrados e reportados à NRC. Achados de inspeção da NRC sobre sistemas de desligamento inoperantes são eventos reportáveis. Os testes devem demonstrar que cada sistema, isoladamente, consegue alcançar o desligamento frio.

Projete Seus Três Sistemas de Desligamento [BLOCK_TYPE SECTION/STEP]

Projete todos os três sistemas de desligamento para o seu reator.

Três Fontes de Energia Independentes

Seção 5c: Fontes de Energia Triplamente Redundantes

Lição principal de Fukushima: perda total de energia CA (station blackout) não deve levar a danos no núcleo. Os requisitos da NRC pós-Fukushima (FLEX) exigem que as usinas demonstrem capacidade de enfrentar um station blackout prolongado usando fontes de energia diversas e independentes.

Fonte de Energia 1: Rede Externa:

A fonte normal de alimentação. Duas ou mais linhas de transmissão independentes provenientes de subestações independentes (circuitos de rede diferentes). Proteção do transformador: relé de pressão súbita, relé diferencial, relé de bloqueio: impede que uma falha no transformador se propague para outras barras. Se o gerador principal da usina desarmar, a energia externa assume automaticamente em segundos via transformador auxiliar.

Ponto fraco: qualquer evento que danifique a rede (clima severo, evento sísmico, instabilidade da rede) pode cortar a energia externa. A energia externa é a fonte normal mais confiável, mas a fonte de emergência menos confiável.

Fonte de Energia 2: Geradores Diesel de Emergência (EDGs):

A fonte primária de energia CA de emergência. Mínimo NRC: 2 EDGs por unidade, cada um capaz de alimentar as cargas completas de emergência de uma divisão de segurança. Requisito de partida: o EDG deve atingir tensão e frequência nominais em até 10 segundos após o sinal de partida (requisito NRC). Suprimento de combustível: mínimo NRC é de 7 dias em plena carga. Melhor prática pós-Fukushima: projetar para 14 dias de suprimento, com contratos de entrega de combustível garantindo reposição.

Testes: teste mensal de carga (partida sem carga em velocidade nominal), teste trimestral de carga (em carga nominal), teste de resistência de 18 meses (funcionamento em plena carga durante toda a duração do teste).

Um PWR típico de 1100 MWe possui 2-4 EDGs, cada um com potência nominal entre ~7.000 e 9.000 kW.

Fonte de Energia 3: Baterias da Estação (energia CC, Classe 1E):

A fonte de energia de backup final para instrumentação, controle, iluminação de emergência, operação de válvulas e comunicação. Barramentos CC alimentados por baterias, que são carregadas a partir dos barramentos CA durante a operação normal. Na perda total de CA: as baterias fornecem energia CC de forma independente.

Dimensionamento: cada barramento CC deve ser dimensionado para alimentar sua lista de cargas por no mínimo 2 horas sem recarga por CA. Projetos modernos dimensionam para 4-8 horas. A lista de cargas inclui: monitores de acionamento de barras de controle, instrumentação de segurança, iluminação de emergência, comunicação de emergência e atuadores críticos de válvulas.

Substituição de baterias: conforme cronograma do fabricante, tipicamente 10-20 anos. Testes de baterias: teste de capacidade anualmente, teste de descarga a cada 18 meses.

Estratégia FLEX: Equipamentos Portáteis Pós-Fukushima:

Geradores a diesel portáteis, bombas portáteis e mangueiras pré-posicionados em múltiplos locais com rotas de acesso diversificadas (nem todas acessíveis pelo mesmo alagamento ou incêndio). Pontos de conexão para barramentos de segurança e sistemas de resfriamento são pré-instalados e testados. Equipamentos FLEX podem ser implantados por operadores sem energia CA. A NRC exige estratégias FLEX para tratar: perda total de energia CA, perda do sumidouro de calor final e combinações.

Projete Suas Três Fontes de Energia

Projete sua arquitetura completa de energia.

Três Canais de Monitoramento Independentes

Seção 5d: Monitoramento e Instrumentação Triplamente Redundantes

Falhas de instrumentação e controle (I&C) causaram ou agravaram todos os grandes acidentes nucleares. Em TMI, os operadores foram confundidos por um único indicador (uma luz que mostrava se uma válvula de alívio operada por piloto havia recebido comando para abrir, e não se ela estava realmente aberta) e tomaram decisões que drenaram o núcleo. Em Chernobyl, instrumentos-chave foram desativados ou forneceram leituras enganosas durante o teste fatal.

Três canais de medição independentes:

Os reatores modernos dividem a instrumentação de segurança em três (ou quatro) canais independentes: A, B e C (ou I, II, III, IV). Cada canal utiliza sensores diferentes, roteados por percursos de cabos separados em eletrocalhas distintas, alimentados por barramentos de segurança separados.

Por que tecnologias diferentes?

Falha de causa comum em sensores: se todos os três canais utilizarem o mesmo modelo de sensor, um defeito sistemático nesse modelo poderá fazer com que todos os três falhem ou forneçam a mesma leitura incorreta simultaneamente. O uso de fabricantes diferentes ou princípios de medição distintos reduz esse risco.

Lógica de votação 2-de-3:

Três canais, cada um fornecendo um sinal sim/não para uma função de segurança (ex.: 'pressão alta, iniciar SCRAM'). A ação de segurança é ativada se pelo menos 2 dos 3 canais concordarem. Por que não 1-de-3? Porque um único canal defeituoso causaria SCRAMs espúrios (muitos falsos positivos: a usina seria pouco confiável). Por que não 3-de-3? Porque um único canal falho impediria a ocorrência do SCRAM (poucos verdadeiros positivos: a usina seria insegura). 2-de-3 é o ótimo matemático: resistente a um único disparo espúrio E a uma única falha de disparo.

Monitoramento pós-acidente: variáveis Categoria 1 do NUREG-0696:

As seguintes variáveis devem ser monitoradas após um acidente, independentemente do sistema de controle digital normal (DCS), especificamente para fornecer aos operadores a verdade absoluta mesmo que o DCS esteja danificado ou não confiável:

- Pressão do sistema de refrigeração do reator

- Temperatura do sistema de refrigeração do reator (perna quente, perna fria)

- Nível de água do sistema de refrigeração do reator (nível dentro do vaso)

- Pressão da contenção

- Nível de radiação na contenção

- Monitores de radiação de efluentes (refrigerante, vapor, atmosfera da contenção)

Qualificação ambiental e sísmica:

Todos os I&C relacionados à segurança devem ser qualificados para as condições ambientais que experimentariam em um acidente: temperatura até 150°C, umidade até 100%, radiação até 10⁷ rad (100 kGy) cumulativos, durante a duração do acidente (meses). Chamamos isso de qualificação ambiental 10 CFR 50 Appendix B / IEEE 323. Qualificação sísmica (IEEE 344): deve funcionar durante e após o SSE do sítio.

Projete Sua Arquitetura de Monitoramento

Projete sua arquitetura de instrumentação e controle de segurança.

Segurança que Funciona Sem Energia ou Operadores

Seção 6: Recursos de Segurança Passiva

Os recursos de segurança passiva funcionam apenas por meio da física: sem bombas, sem energia, sem ação do operador. Eles estão sempre ativos, sempre funcionando e não podem ser desativados por uma falta total de energia na usina.

Coeficiente Doppler Negativo (sempre presente no combustível de urânio):

À medida que a temperatura do combustível aumenta, os picos de absorção de ressonância do U-238 se alargam (alargamento Doppler). Mais nêutrons são capturados pelo U-238 sem causar fissão. Isso reduz automaticamente a taxa de fissão à medida que o combustível esquenta: um mecanismo de realimentação autolimitante e sempre presente. Funciona em todos os tipos de reator que usam combustível de urânio. É por isso que um reator de urânio não pode escapar do controle como uma explosão química descontrolada: a física reage.

Coeficiente de Temperatura do Moderador Negativo (para LWRs):

Nos reatores de água leve, à medida que a temperatura do refrigerante/moderador aumenta, a densidade da água diminui. Água menos densa modera menos nêutrons, portanto menos nêutrons atingem as energias térmicas necessárias para a fissão. A reatividade diminui automaticamente. Isso explica por que os PWRs e BWRs são inerentemente autorreguláveis em uma ampla faixa de níveis de potência.

Coeficiente de Vazio Negativo (para a maioria dos LWRs em potência):

Se bolhas se formarem no refrigerante ou o refrigerante for perdido, a moderação diminui. Nos LWRs, isso reduz a reatividade. Este é o recurso de segurança que o RBMK de Chernobyl não possuía: seu grande coeficiente de vazio positivo significava que a perda de refrigerante aumentava a potência, criando um ciclo de realimentação descontrolado.

Remoção Passiva de Calor Residual: Circulação Natural:

A água quente é menos densa que a água fria. No circuito primário, o refrigerante quente do núcleo sobe naturalmente. Em projetos como o AP1000, essa circulação natural impulsiona o refrigerante através do trocador de calor PRHR sem necessidade de bombas. O calor residual é removido apenas pela física.

Retenção Intra-Vaso (IVR): abordagem do AP1000:

Se um acidente grave progredir para dano ao núcleo, o corium fundido deve ser mantido dentro do vaso do reator. O projeto AP1000 inunda a cavidade do reator com água (alimentada por gravidade do IRWST). A água fora do vaso remove calor da parede do vaso, mantendo o vaso de aço intacto e impedindo que o corium fundido escape para o piso da contenção. Esta foi uma grande inovação de projeto: os LWRs anteriores não possuíam esse recurso.

Coletor de Núcleo Ex-Vaso: abordagem do EPR:

Uma alternativa à IVR: se o corium escapar do vaso, ele cai em um compartimento de espalhamento (coletor de núcleo) projetado para espalhar o material fundido em camada fina e resfriá-lo por baixo e por cima. O EPR (Reator Pressurizado Europeu) utiliza essa abordagem. Tanto a IVR quanto o coletor de núcleo tratam do mesmo cenário: progressão de acidente grave após ruptura do vaso.

Gestão de Hidrogênio: Recombinadores Autocatalíticos Passivos (PARs):

Reações entre zircaloy e vapor produzem hidrogênio. O hidrogênio se acumula no interior da contenção. Com concentração de 4-75% de hidrogênio no ar, ele é inflamável; entre 13-59%, detona. As explosões de hidrogênio em Fukushima destruíram os edifícios dos reatores das Unidades 1, 3 e 4. As contenções modernas exigem gestão de hidrogênio: os PARs (recombinadores autocatalíticos passivos) são dispositivos que contêm um catalisador de platina ou paládio. O hidrogênio e o oxigênio se combinam na superfície do catalisador em temperatura ambiente, sem ignição, produzindo vapor d’água. Não requerem energia, ventiladores nem ação do operador. Os PARs são distribuídos por toda a contenção para evitar acumulação local. A quantidade e a localização necessárias são calculadas com base no pior cenário de fonte de hidrogênio.

Quatro Barreiras Físicas: Defesa em Profundidade:

O diagrama acima mostra as quatro barreiras físicas entre o combustível e o meio ambiente:

1. Matriz do combustível (cerâmica UO₂): retém cerca de 95% dos produtos de fissão em condições normais

2. Revestimento do combustível (Zircaloy ou SiC): barreira metálica, primeira contenção de quaisquer produtos de fissão que escapem

3. Limite de pressão do refrigerante do reator: vaso e tubulações de aço de parede espessa

4. Estrutura de contenção: concreto armado, tipicamente com 1–1,5 metros de espessura, projetado para a pressão e temperatura de um LOCA de pior caso e para impacto de aeronaves

Projete Seus Recursos de Segurança Passiva

Os recursos passivos são incorporados à física e à geometria do seu projeto: eles não podem ser desligados.

Camada de Segurança Humana

Seção 7: Projeto de Supervisão Humana

Todo grande acidente nuclear envolveu um fator humano: não porque os humanos sejam inconfiáveis, mas porque o sistema de supervisão humana foi mal projetado. Um bom projeto facilita fazer a coisa certa e dificulta fazer a coisa errada.

Três funcionários qualificados mínimos no local o tempo todo (24/7):

- Operador de Reator (RO): Licenciado pela NRC (10 CFR Part 55). Opera os controles do reator. Deve passar por exame escrito e teste prático no simulador específico da usina. Licença válida apenas para aquela usina: não é transferível.

- Operador de Reator Sênior (SRO) – Supervisor de Turno: Licenciado pela NRC. Supervisiona o RO. Tem autoridade independente para SCRAM: pode ordenar um desligamento de emergência independentemente de instruções de qualquer outra pessoa, inclusive da gerência.

- Técnico de Proteção Radiológica / Oficial de Física da Saúde: Monitora níveis de radiação, gerencia dosimetria pessoal, autoriza acesso a áreas controladas e controla doses acumuladas.

Autoridade Independente de SCRAM:

O supervisor de turno possui autoridade legal para iniciar um desligamento de emergência a qualquer momento, com base em seu julgamento profissional, sem necessidade de aprovação da gerência. Isso é um requisito regulatório conforme 10 CFR 50.54(x). A lição de TMI: os operadores deveriam ter recebido treinamento e autoridade para reconhecer rapidamente um cenário anormal de perda de refrigerante e realizar o SCRAM com confiança. Em vez disso, ficaram confusos com indicadores conflitantes e tentaram “corrigir” sintomas em vez de reconhecer a condição subjacente.

Integridade de Dupla Pessoa (TPI):

Operações especificadas: especialmente manuseio de combustível, manipulação de barras de controle durante certos testes e acesso a determinadas áreas vitais: exigem a presença de duas pessoas qualificadas observando uma à outra. Nenhuma pessoa pode concluir a operação sozinha. Controles físicos (chaves que exigem duas chaves simultâneas, intertravamentos) reforçam isso em vez de depender apenas do cumprimento de procedimentos. A TPI previne erros individuais e sabotagem.

Limites de turno: gerenciamento de fadiga:

Conforme 10 CFR 26 (Aptidão para o Serviço): a duração máxima do turno é de 12 horas. O período mínimo de descanso entre turnos é de 8 horas. O máximo de horas por semana é 54 horas (72 em emergências com autorização da gerência). Esses limites existem porque a privação de sono prejudica significativamente a tomada de decisão: da mesma forma que o álcool: e as operações nucleares exigem atenção sustentada.

Requisitos de treinamento:

- Programa de treinamento certificado pela NRC em um simulador de escopo completo específico da usina

- Licença inicial: exame escrito (aprovado/reprovado, múltipla escolha e dissertativo) + teste operacional (avaliação prática por examinador licenciado pela NRC)

- Requalificação: exame escrito anual, exame operacional bienal no simulador

- Simulados de emergência avaliados: simulados trimestrais em turno, exercício anual de resposta a emergências em grande escala com participação estadual e municipal

Procedimentos Operacionais de Emergência (EOPs):

Procedimentos baseados em sintomas, aprovados pela NRC. Em vez de "se você vir o Evento X, faça Y", as EOPs modernas dizem "se você observar estes sintomas (alta pressão + nível baixo + temperatura em aumento), entre neste procedimento". Essa abordagem: desenvolvida após TMI: é mais robusta porque os operadores respondem ao que observam, em vez do que acham que causou o evento.

Projeto da sala de controle: monitoramento pós-acidente independente do DCS:

Os instrumentos de monitoramento pós-acidente devem ser legíveis da sala de controle mesmo que o sistema digital de controle da usina (DCS) tenha falhado completamente. São displays dedicados com fiação rígida: medidores analógicos ou displays digitais qualificados com caminhos de energia e sinal separados.

Projete Seu Sistema de Supervisão Humana

A supervisão humana é um sistema de segurança. Projete-o com o mesmo rigor que seus circuitos de resfriamento.

Seleção do Sítio e Projeto para Riscos Externos

Seção 8: Localização e Projeto Civil

O local determina os perigos externos que sua usina deve sobreviver. A NRC exige uma análise abrangente de perigos externos como parte do FSAR (Final Safety Analysis Report).

Projeto sísmico: Terremoto de Parada Segura (SSE):

Todo local de usina possui um Terremoto de Parada Segura (SSE): o terremoto máximo para o qual a usina foi projetada para sobreviver, alcançando e mantendo a parada segura. Estruturas relacionadas à segurança (edifício do reator, edifício de controle, edifícios do ECCS, edifícios do EDG) devem ser Categoria Sísmica I: projetadas para resistir ao SSE e permanecer funcionais. O SSE é determinado a partir de uma análise probabilística de perigo sísmico (PSHA) com um alvo de probabilidade anual de excedência de 10⁻⁴: um evento com período de retorno de 10.000 anos. O terremoto de projeto de Fukushima foi de magnitude 6,1; o terremoto real foi de 9,0. Nunca subestime o SSE.

Inundação: Inundação Máxima Provável (PMF):

A PMF é a enchente máxima que poderia ocorrer no local com base na análise meteorológica e hidrológica. A elevação do nível da planta deve ser definida acima do nível da PMF, ou a planta deve ter barreiras contra enchentes (paredes, portas, escotilhas) dimensionadas para a PMF. Lição crítica de Fukushima: o quebra-mar foi projetado para 5,7 metros; o tsunami real foi de 15 metros. O cálculo da PMF deve ser conservador.

Riscos externos: impacto de aeronaves, vento extremo, explosões externas:

- Impacto de aeronaves: após o 9/11, a NRC exige que as grandes usinas comerciais avaliem (não necessariamente projetem para) o impacto de aeronaves. Novos projetos como o AP1000 e o EPR incluem resistência ao impacto de aeronaves no projeto do contenção e da sala de controle.

- Vento extremo / tornado: tornado de projeto base para cada região do sítio conforme Regulatory Guide 1.76. Proteção contra projéteis: projéteis de tornado (postes de utilidade, carros) não devem ser capazes de penetrar estruturas relacionadas à segurança.

- Explosões externas: a proximidade de plantas químicas, terminais de GNL, dutos ou linhas ferroviárias com carga perigosa deve ser avaliada.

Limite da Área de Exclusão (EAB): 10 CFR 100:

O EAB é o raio mínimo ao redor da usina dentro do qual o operador tem controle da terra. Durante as duas horas seguintes a um acidente de pior caso, a dose de radiação no EAB não deve exceder 25 rem no corpo inteiro (TEDE). Esse limite determina o projeto do contêiner e o recuo do limite do sítio. Uma usina maior com um termo fonte maior requer um EAB maior.

Zonas de Planejamento de Emergência (EPZ):

Duas zonas ao redor de cada usina nuclear:

- EPZ de caminho de exposição à pluma: raio aproximado de 10 milhas. Ações de proteção: evacuação, abrigo no local, distribuição de iodeto de potássio, planos de controle de tráfego.

- EPZ de caminho de ingestão: raio aproximado de 50 milhas. Ações de proteção: restrições ao consumo de alimentos e água, monitoramento de culturas e produtos lácteos.

O tamanho da EPZ não é determinado apenas pelo tamanho da usina: é fixado por regulamentação da NRC para todos os reatores comerciais (com alguma flexibilidade para SMRs muito pequenos). Planos de emergência devem ser desenvolvidos e exercitados com governos estaduais e locais.

Defenda Seu Sítio

Agora justifique suas escolhas de projeto de sítio e civil.

Processo de Licenciamento da NRC

Seção 9: Caminho de Licenciamento

Construir um reator sem licença é ilegal nos Estados Unidos. O processo de licenciamento da NRC sob 10 CFR Parte 52 é projetado para identificar problemas de segurança no papel: antes de o concreto ser derramado. É também o mecanismo pelo qual o público, intervenientes e a equipe técnica da NRC questionam e aprimoram o projeto.

10 CFR Parte 52: Licença Combinada (COL):

A principal via moderna de licenciamento. Uma COL combina a autorização de construção e a licença de operação em um único processo. O requerente demonstra que o projeto atende aos requisitos da NRC e que o local é aceitável. A NRC emite a COL antes da construção. Durante a construção, Inspections, Tests, Analyses, & Acceptance Criteria (ITAAC) verificam que o que foi construído corresponde ao projeto licenciado.

Certificação de Projeto (DC):

Um projeto de reator pode ser certificado pela NRC independentemente de qualquer local específico. Uma Certificação de Projeto tem validade de 15 anos. Uma vez certificado, uma concessionária que construa uma usina com COL pode referenciar a DC e não precisa rediscutir o projeto padrão. O AP1000 e o ABWR são projetos certificados. Os projetistas de SMR (NuScale, GEH BWRX-300, Kairos, TerraPower) estão buscando certificações de projeto para suas tecnologias.

Relatório Final de Análise de Segurança (FSAR): 17 Capítulos:

O FSAR é o documento técnico central de todo pedido de licença. Ele descreve a usina e demonstra que atende a todos os requisitos da NRC. Capítulos principais:

- Capítulo 1: Introdução e descrição geral

- Capítulo 2: Características do sítio (sísmicas, inundação, meteorologia, população)

- Capítulo 4: Reator (projeto do combustível, física do núcleo, termohidráulica)

- Capítulo 5: Sistema de refrigeração do reator (circuito primário, fronteira de pressão, ECCS)

- Capítulo 6: Sistemas de segurança projetados (contenção, ECCS, controle de hidrogênio)

- Capítulo 7: Instrumentação e controle

- Capítulo 8: Alimentação elétrica (externa, interna, baterias, FLEX)

- Capítulo 9: Sistemas auxiliares

- Capítulo 13: Conduta das operações (organização, treinamento, EOPs)

- Capítulo 15: Análise de acidentes (acidentes de base de projeto: LOCA, ruptura da linha principal de vapor, ejeção de barra de controle, etc.)

- Capítulo 16: Especificações técnicas (limites operacionais e requisitos de vigilância)

Avaliação de Risco Probabilístico (PRA):

Uma análise quantitativa de segurança que calcula a probabilidade de dano ao núcleo e liberação precoce e grande. Duas métricas principais:

- Frequência de Dano ao Núcleo (CDF): probabilidade por reator-ano de dano ao núcleo. Meta da NRC: < 1×10⁻⁴/reator-ano. Metas de reatores avançados: < 1×10⁻⁵/reator-ano.

- Frequência de Liberação Precoce e Grande (LERF): probabilidade por reator-ano de uma liberação grande e precoce de radioatividade antes que ações de proteção possam ser tomadas. Meta da NRC: < 1×10⁻⁵/reator-ano.

A PRA também identifica as sequências de acidente mais importantes (contribuintes dominantes para a CDF) e os sistemas e componentes mais importantes (medidas de importância): isso direciona os recursos de manutenção, testes e melhorias de projeto.

ITAAC: Inspeções, Testes, Análises e Critérios de Aceitação:

Para cada sistema e estrutura relacionados à segurança, a COL especifica os ITAAC: o que deve ser inspecionado, testado ou analisado, e qual é o critério de aceitação. Antes que a NRC autorize o carregamento de combustível, todos os ITAAC devem ser concluídos e relatados. Se um ITAAC falhar, a usina não poderá iniciar a operação até que seja corrigido e o ITAAC seja aprovado.

Construção e Testes Pré-Operacionais:

Após a emissão da COL, a construção começa. A NRC inspeciona a construção conforme os Inspection, Testing, Analysis, & Acceptance Criteria (ITAAC). Os testes pré-operacionais verificam se cada sistema atende às especificações de projeto antes do carregamento do combustível. A autorização para carregamento de combustível requer que a equipe da NRC determine que todos os ITAAC foram atendidos.

Trace Seu Caminho de Licenciamento

Percorra o caminho de licenciamento para o seu projeto específico de reator.

Apresente Seu Projeto Completo

Seção 10: Revisão Final do Projeto

Você projetou todos os principais sistemas de uma usina nuclear. Agora apresente seu projeto completo: da forma como um Diretor de Operações Nucleares apresentaria ao Comitê de Revisão de Segurança da NRC.

Seu projeto deve demonstrar:

Redundância tripla completa para todas as quatro funções de segurança:

1. Resfriamento: três loops (RHR ativo, ECCS ativo com acumuladores passivos, PRHR ou piscina passiva)

2. Parada: três sistemas (barras de controle, boração de emergência, drenagem passiva de absorvedor)

3. Energia: três fontes (rede externa, geradores a diesel de emergência, baterias da estação) mais FLEX

4. Monitoramento: três canais independentes (A/B/C) com votação 2-de-3, monitoramento pós-acidente

Características de segurança passiva:

- Coeficiente Doppler negativo (sempre presente no combustível de urânio)

- Coeficiente moderador/void negativo para o tipo de reator

- Remoção passiva do calor de decaimento (circulação natural ou piscina)

- Gestão de acidentes severos (IVR, coletor de núcleo ou drenagem MSR para subcrítico)

- Gestão de hidrogênio (PARs distribuídos na contenção)

Supervisão humana:

- Três funções qualificadas no local 24/7

- Integridade de duas pessoas com aplicação física

- Limites de turnos em conformidade

- Treinamento em simulador específico da usina

- POEs baseados em sintomas

Localização:

- Base de projeto sísmico (SSE, estruturas Categoria Sísmica I)

- Proteção contra inundações (PMF ou barreiras)

- Limite de dose na EAB (25 rem TEDE)

- EPZ (pluma de 10 milhas, ingestão de 50 milhas)

O teste histórico:

Seu projeto deve mostrar como ele evita os modos específicos de falha de TMI, Chernobyl e Fukushima.

- TMI: Melhor monitoramento pós-acidente (nível RCS direto), EOPs baseados em sintomas, operadores treinados

- Chernobyl: Coeficiente de vazio negativo (sem efeito de scram positivo), autoridade SCRAM independente, desativação de sistemas de segurança por operadores não permitida

- Fukushima: Resfriamento passivo (sem necessidade de energia CA), equipamento FLEX elevado, combustível diesel para 14 dias, local acima do PMF

Revisão Completa do Projeto

Esta é sua defesa de projeto. Responda completamente: toda omissão será questionada.

Como Seu Projeto Evita TMI, Chernobyl e Fukushima

Seção 11: Evitando o Passado

Os três principais acidentes nucleares definiram os requisitos modernos de segurança de reatores. Cada sistema de redundância que você projetou tem um ancestral específico em um desses acidentes.

Three Mile Island (TMI), 1979: Pensilvânia, EUA:

Uma válvula de alívio operada por piloto (PORV) que ficou aberta permitiu que o refrigerante primário escoasse por horas. A luz indicadora mostrava que a válvula havia sido COMANDADA a fechar, e não que ela estava realmente fechada. Os operadores, confusos por indicadores conflitantes, reduziram a injeção do ECCS porque pensaram que o sistema estava sendo superabastecido. O núcleo ficou descoberto, superaqueceu e fundiu parcialmente.

Lições: (1) Monitoramento direto pós-acidente: os operadores devem poder ver a posição real da válvula, o nível real do refrigerante e a temperatura real do núcleo. (2) EOPs baseados em sintomas: os operadores respondem ao que observam, não ao que acham que causou o problema. (3) Melhor treinamento dos operadores no reconhecimento e resposta a acidentes.

Chernobyl, 1986: RSS da Ucrânia, URSS:

Um teste de segurança foi realizado com o reator em baixa potência (região instável) e com múltiplos sistemas de segurança desativados ou contornados. O reator RBMK tinha um grande coeficiente de vazio positivo: à medida que o refrigerante fervia, a reatividade aumentava. Quando os operadores tentaram desligar o reator, as barras de controle com ponta de grafite causaram um breve pico de potência (efeito scram positivo). Uma excursão de potência de aproximadamente 30.000 MW destruiu o reator em uma explosão de vapor e incêndio de grafite.

Lições: (1) Ausência de coeficiente de vazio positivo em reatores comerciais. (2) Sistemas de segurança não devem poder ser contornados durante operações normais. (3) Autoridade independente de SCRAM: nenhum diretor de teste pode anular o julgamento de segurança do supervisor de turno. (4) Treinamento dos operadores em física de reatores, não apenas em seguir procedimentos.

Fukushima Daiichi, 2011: Japão:

Um terremoto de magnitude 9,0 desencadeou um tsunami de 15 metros que inundou e destruiu os geradores a diesel de emergência em Fukushima Daiichi. Sem energia CA e com os diesels destruídos, o calor de decaimento vaporizou o refrigerante nas Unidades 1, 2 e 3. Hidrogênio produzido pela reação Zircaloy-vapor explodiu nos edifícios dos reatores. Três núcleos fundiram ao longo de 72 horas.

Lições: (1) Resfriamento passivo que não requer energia. (2) Diesels e baterias localizados acima do nível de inundação ou protegidos contra inundações. (3) Equipamentos portáteis FLEX posicionados em locais diversos e acessíveis. (4) A base de projeto PMF deve ser conservadora. (5) Apagão prolongado da estação deve ser projetado para: não apenas analisado.

Conecte Seu Projeto à História

Esta é a questão final do projeto integrador.