Определение МАГАТЭ

Глубокая защита: Организующая философия

Международное агентство по атомной энергии (МАГАТЭ) определяет глубокую защиту как многоуровневый подход к безопасности, в котором каждый уровень служит резервом для предыдущих. Ни один уровень не считается идеальным. Обоснование безопасности основано на наличии нескольких независимых уровней, так что ни один одиночный отказ — и ни одно одиночное сочетание отказов от одной корневой причины — не может привести к вреду.

Глубокая защита действует на каждом масштабе:

Физические барьеры: матрица топлива → оболочка топлива → корпус реактора под давлением → защитная оболочка → здание реактора (4-5 физических границ между топливом и окружающей средой)

Системы безопасности: каждая функция (охлаждение, отключение, питание) выполняется как минимум 3 независимыми контурами

Процедуры: письменные процедуры регулируют каждое изменение; процедуры для аномальных и чрезвычайных ситуаций для каждого события расчетной базы

Операторы: лицензированные, обученные, квалифицированные, отдохнувшие; независимое право инициировать отключение

Руководство: культура ядерной безопасности, надзор регулирующих органов, независимые проверки безопасности

Регулирование: требования расчетной базы NRC 10 CFR 50, лицензированная эксплуатация, периодические инспекции

Ключевой принцип: Нет зачёта за неисправные слои. Если вы не можете подтвердить, что барьер цел, вы предполагаете, что он не цел. Вся система спроектирована так, чтобы быть безопасной при отказе любого одного активного компонента: это называется критерием единственного отказа.

Избыточность, разнообразие и независимость

Три свойства, которые делают защиту реальной

Системы ядерной безопасности должны удовлетворять трём различным свойствам. Их путаница — распространённая и опасная ошибка.

Избыточность означает наличие более одного экземпляра одного и того же. Три дизельных генератора — это избыточность. Но если они все используют один и тот же топливный бак, одну и ту же логику запуска или одно и то же помещение, избыточность сама по себе не защищает от отказа по общей причине.

Разнообразие означает использование разных физических принципов или разного оборудования для выполнения одной и той же функции. Насос высокого давления и аккумулятор с азотным давлением оба подают воду в активную зону: но они работают на совершенно разных принципах. Разнообразие побеждает режимы отказа, которые победили бы все избыточные копии одного дизайна.

Независимость означает, что отказ одной линии не может вызвать или предотвратить работу другой. Независимость требует:

- Отдельных шин питания (разные электрические источники)

- Физической разделённости (барьеры, разные здания, противоположные стороны реактора)

- Отдельной логики срабатывания (короткое замыкание в Линии A не может вывести из строя Линию B)

- Отдельных измерительных приборов (датчики Линии A не питают срабатывание Линии B)

Общий отказ (CCF) — это кошмарный сценарий: одно событие одновременно выводит из строя несколько избыточных линий. Фукусима — яркий пример: цунами было не просто потерей внешнего питания. Оно одновременно вывело из строя все три аварийных дизель-генератора, потому что они все находились в одном низкорасположенном здании. Избыточность без независимости — это иллюзия.

Критерий единственного отказа

Критерий единственного отказа NRC (10 CFR 50, Appendix A, General Design Criterion 17) гласит, что системы безопасности должны быть спроектированы таким образом, чтобы ни один одиночный отказ активного компонента не препятствовал выполнению системой своей функции безопасности.

«Активный» отказ — это отказ, требующий изменения состояния: насос не запускается, клапан не открывается.

«Пассивный» отказ (например, трещина в трубе) регулируется отдельными требованиями к проектированию.

Почему три канала?

Каждая система, критическая для безопасности: три независимых канала

Правило тройной избыточности — это не просто «три надежнее двух». Это точное инженерное требование с конкретными свойствами.

Каждый поезд должен быть способен выполнять 100% функции безопасности независимо. Если Поезд A отвечает за охлаждение, он обеспечивает всё необходимое охлаждение. Поезда B и C не являются частичными участниками: они являются полными резервными копиями.

Поезда должны быть физически разделены. Разные здания или, как минимум, разделены огнестойкими барьерами. Разные трассы кабелей. Разные трассы трубопроводов. Если пожар, наводнение или взрыв затронет один поезд, он не должен затронуть другие.

Поезда должны иметь отдельные источники питания. Разные электрические шины, питаемые из разных источников. Поезд A на Шине A, Поезд B на Шине B, Поезд C на Шине C: каждая шина со своим аварийным дизелем.

Поезда должны иметь отдельную логику срабатывания. Отказ реле в цепи срабатывания Поезда A не должен препятствовать срабатыванию Поезда B. Идеально, если они используют совершенно разные принципы срабатывания (диверсификация).

Почему три, а не два? С тремя поездами логика голосования два из трёх означает, что при отказе одного компонента остаются два рабочих поезда: вы получаете как критерий одиночного отказа, так и некоторую защиту от отказов общего причины. С двумя поездами одиночный отказ оставляет вас с одним поездом: нет запаса, нет защиты от второго отказа.

Разнообразие против избыточности

Рассмотрим систему аварийного охлаждения активной зоны PWR. Один подход: три идентичных насоса высокого давления, каждый питается от отдельного дизельного генератора, расположенные в отдельных помещениях.

Второй подход: один насос высокого давления, плюс один азотом заряженный аккумулятор под давлением, не требующий питания, плюс один гравитационный бак с водой из возвышенного резервуара.

Оба подхода обеспечивают три способа подачи воды к активной зоне.

ECCS: Последняя линия защиты активной зоны

Системы аварийного охлаждения активной зоны

Базовая авария для PWR — авария с потерей теплоносителя (LOCA): разрыв в системе теплоносителя реактора, который позволяет основному теплоносителю вытечь. LOCA с большим разрывом может оголить активную зону за секунды. Без немедленного затопления температура оболочек топлива поднимается выше 1200°C, цирконий окисляется, и начинается повреждение топлива.

ECCS для типичного PWR имеет четыре подсистемы, каждая из которых работает в不同 фазе аварии:

Система впрыска высокого давления (HPIS): Активируется немедленно при низком давлении теплоносителя реактора или высоком давлении в оболочке. Впрыскивает борную воду в систему теплоносителя реактора, пока давление еще высокое (выше ~200 psi). Использует моторные насосы, питаемые от аварийных дизелей. Расход: 500-1,500 gpm в зависимости от конструкции.

Аккумуляторы (также называемые баками затопления активной зоны): Пассивные баки с азотом под давлением, содержащие борную воду. Впрыскивают автоматически, когда давление теплоносителя реактора падает ниже давления азота (обычно 600-700 psi). Не требуется питание: давление азота выталкивает воду в активную зону. Каждый аккумулятор вмещает ~1,000 галлонов.

Система впрыска низкого давления (LPIS): Активируется при низком давлении (<200 psi). Обеспечивает большие расходы (тысячи gpm) для крупной аварии с потерей теплоносителя (LOCA). После опустошения бака хранения воды для перезагрузки (RWST) система переключается на рециркуляцию из сумпы: рециркуляция воды из сумпы оболочки обратно через активную зону. Должна продолжаться неделями (удаление остаточного тепла).

Система удаления остаточного тепла (RHR): Также называется системой удаления энергии распада. Основное назначение: удаление энергии распада после достижения реактором холодного состояния. Работает при низком давлении и низкой температуре, циркулируя теплоноситель через теплообменники. Также обеспечивает возможность впрыска низкого давления.

Системы распыления в активную зону BWR: Реакторы с кипящей водой используют форсунки распыления над топливом, которые распыляют воду непосредственно на топливные сборки: другая геометрия по сравнению с затоплением в PWR.

Кривая теплоты распада

Кривая теплоты распада — одно из самых важных значений в ядерной безопасности. После останова реактора:

- t = 0 секунд: ~7% от номинальной мощности (240 МВт для реактора 3400 МВт)

- t = 1 минута: ~3,5%

- t = 1 час: ~1% (~34 МВт)

- t = 1 день: ~0,3% (~10 МВт)

- t = 1 неделя: ~0,1%

- t = 1 год: топливо всё ещё выделяет измеримое тепло от долгоживущих изотопов

Десять мегаватт тепла, поддерживаемых неопределённо долго, без питания для работы насосов охлаждения. Именно такая ситуация сложилась на АЭС Фукусима Дайити 11 марта 2011 года.

Пассивные ECCS: Конструкция AP1000

Следующее поколение: Пассивная безопасность

Westinghouse AP1000 (Advanced Passive 1000 MWe) усваивает уроки активных ECCS & переворачивает философию конструкции: вместо трёх линий насосов, требующих питания, все функции безопасности полагаются на гравитацию, естественную циркуляцию, сжатый газ & испарение.

Баки подпитки активной зоны (CMT): Два больших бака с холодной борной водой, установленных над реактором. Обычно изолированы. При срабатывании они сливаются самотёком в систему охлаждения реактора. Каждый бак содержит достаточно воды, чтобы покрывать активную зону в течение часов.

Аккумуляторы: Такие же, как в обычных реакторах: азотом под давлением, пассивная инжекция.

Резервуар хранения воды для дозаправки в контейнменте (IRWST): Большой бассейн с водой внутри контурного здания, над реактором. Подача самотеком. Обеспечивает долгосрочное охлаждение после опустошения CMT. Без насосов. Без питания.

Пассивные теплообменники для отвода остаточного тепла (PRHR HX): Погружены в IRWST. Естественная циркуляция переносит тепло распада из реактора в воду IRWST, которая нагревается, кипит и отводится в атмосферу через дымоход. Без насосов. Полностью пассивные.

72-часовое окно: Обоснование безопасности AP1000 демонстрирует 72 часа охлаждения активной зоны без действий оператора и без питания. После 72 часов операторы могут пополнить IRWST водой из любого источника.

Эта разнообразие конструкции: пассивная vs. активная: показывает, почему разнообразие имеет значение. Системы безопасности AP1000 не могут быть выведены из строя режимом отказа, который уничтожил Фукусиму.

[TITLE containment/]

Последний Физический Барьер

Контейнмент: Финальная Граница

Если все остальные системы безопасности выйдут из строя & топливо будет повреждено, контейнмент — это последний барьер между радиоактивными материалами & общественностью. Он должен выдерживать: внутреннее давление от пара, горение водорода, удары обломков от вышедшего из строя оборудования & столько времени, сколько необходимо.

Сухой контейнмент PWR: Стальная облицовка в железобетонной конструкции, обычно 140 футов в диаметре & 200 футов высотой. Рассчитан на удержание давления пара от полного двойного гильотинного разрыва самой большой трубы контура охлаждения (давление проектирования ~60 psi). Стальная облицовка — это граница давления; бетон обеспечивает структурную прочность & биологическую защиту.

Конденсатор льда: Меньший по размеру, низкого давления дизайн PWR-контейнмента (используется на некоторых заводах Westinghouse), который использует сотни тонн льда для поглощения энергии пара и поддержания низкого давления в контейнменте при LOCA. Позволяет создать меньшую, более дешевую конструкцию, но требует периодического обслуживания льда.

Двойной контейнмент: В некоторых конструкциях внутренний стальной контейнмент размещается внутри внешнего бетонного вторичного здания контейнмента. Пространство между ними поддерживается при слегка отрицательном давлении, чтобы любая утечка из внутреннего контейнмента собиралась и фильтровалась перед выпуском.

Контейнмент BWR: Mark I, II, III: Контейнменты BWR от General Electric меньше по размеру, поскольку используют бассейн подавления давления (тор или мокрый колодец) для быстрого конденсирования пара. Mark I (конструкция Фукусимы) — это устройство сухого колодца с тором: тор представляет собой большой бубликообразный водный бассейн под сухим колодцем. Слабость: тор прикреплен к нижней части сухого колодца. Если тор выходит из строя, контейнмент выходит из строя. Именно это произошло на блоке 1 Фукусимы.

Пассивные автокаталитические рекомбинаторы (PAR): После Фукусимы большинство контейнментов теперь оснащены PAR: устройствами, содержащими каталитический материал (палладий или платина), который реагирует водород с кислородом с образованием воды без воспламенения при низких концентрациях. Это предотвращает накопление водорода, которое может вызвать дефлаграцию или детонацию.

Фильтруемая вентиляция оболочки: Требование после Фукусимы в Европе и все чаще в США: укрепленный путь вентиляции с многоступенчатой системой фильтров (скруббер Вентури + металлический волоконный фильтр), которая позволяет операторам намеренно вентилировать оболочку, удерживая >99.9% частичной радиоактивности. Это предотвращает неконтролируемый отказ оболочки из-за избыточного давления.

Проектная основа и за пределами проектной основы

Для чего предназначена оболочка

Аварии проектной основы (DBA): NRC требует, чтобы оболочка выдерживала любую из них одновременно:

- Большой разрыв LOCA: полный разрыв самой большой трубы основного контура охлаждения, максимальный выпуск теплоносителя

- Потеря внешнего питания (LOOP) одновременно с LOCA: отсутствие энергии от сети именно тогда, когда она больше всего нужна

- Разрыв главной паропроводной линии: выброс высокоинерционной пара внутри контейнмента

- Авария при обращении с топливом: падение сборки топлива, выброс продуктов деления из поврежденного топлива

События за пределами расчетной базы (BDBA): После 11 сентября и Фукусимы АЭС также должны учитывать:

- Полная потеря электропитания (SBO): длительная потеря всего переменного тока (требование после ТМИ, усилено после Фукусимы)

- Наводнение за пределами расчетной базы: Фукусима показала, что высоты наводнения по расчетной базе были слишком низкими

- Столкновение с самолетом: NRC требует после 11 сентября анализ преднамеренного удара самолета; новые АЭС должны демонстрировать структурную выживаемость

- Потеря охлаждения пула отработанного топлива: пул отработанного топлива блока 4 Фукусимы почти полностью выкипел; после Фукусимы добавлены требования по выделенным соединениям для подпитки SFP

Уязвимость Mark I

На АЭС Фукусима Дайити энергоблоки 1, 2 и 3 имели контейменты General Electric Mark I. Mark I использует сухой колодец (сосуд из стали в форме лампочки вокруг реактора), соединённый с тороидальным подавляющим бассейном (торусом) через внизходящие трубопроводы. Пар из сухого колодца направляется в воду тора для конденсации.

Во время аварии считается, что торус на энергоблоке 2 был повреждён, что позволило продуктам деления выйти напрямую в здание реактора, а затем в атмосферу, не пройдя через полную границу контеймента.

Системы останова

Контроль реактивности: Три независимых пути к останову

Реактор должен быть способен остановиться и оставаться остановленным в любых условиях. Никакой одиночный отказ не должен препятствовать останову. Общий критерий конструкции (GDC 26) требует двух независимых систем контроля реактивности, каждая из которых способна удерживать реактор субкритическим.

Механизмы привода стержней управления (CRDM):

- Магнитные талрепные CRDM PWR: Стержни управления удерживаются электромагнитами. При потере питания (сигнал SCRAM или потеря питания) магниты обесточиваются, и стержни падают под действием силы тяжести в активную зону. Система с отказобезопасностью: питание требуется для удержания стержней ВЫТЯНУТЫМИ. Потеря питания = автоматическое введение.

- Гидравлические CRDM BWR: Стержни вводятся снизу под давлением высокой воды. Для аварийного введения используется азот высокого давления для быстрого введения стержней. Некоторые конструкции BWR также имеют электрический резервный механизм для введения стержней.

Альтернативное введение стержней (ARI): Отдельный, разнообразный электрический сигнальный путь, который может ввести стержни управления независимо от обычной логики SCRAM. Используется в случае отказа обычной цепи SCRAM.

Предвосхищаемый транзитент без SCRAM (ATWS): Регуляторный сценарий, при котором стержни управления не вводятся по требованию. Системы смягчения ATWS (ATWS-MF) обеспечивают введение бора независимо от обычного SCRAM: обычно автоматическое введение бора высокого давления, активируемое отдельным набором датчиков.

Аварийное борение:

- Высоконапорная инъекция бора из отдельного стояка (отдельного от нормальной зарядки)

- Аварийное борение через линии инъекции бора ECCS

- Ручное борение из резервуаров хранения борной кислоты

Пассивные конструкции: реактор CANDU: CANDU имеет две полностью независимые системы отключения: (1) механические стержни отключения, падающие под действием гравитации, и (2) высоконапорная инъекция раствора нитрата гадолиния в замедлитель: отдельная физическая цепь. Они независимы во всех смыслах: разная логика срабатывания, разные физические системы, разные принципы.

Анализ ATWS

Во время испытаний в 1979 году на блоке 2 станции Three Mile Island ошибка в обслуживании привела к тому, что реакторный трип (SCRAM) не сработал во время теста. Событие было быстро обнаружено. Но это побудило NRC потребовать системы смягчения ATWS на всех станциях: потому что системы, которые считались «невозможными для отказа», на самом деле отказали.

Событие ATWS на PWR: мощность реактора резко возрастает. Стержни управления не вставляются. Аварийное борирование — последняя линия обороны.

Трёхслойная архитектура питания

Электрическое питание АЭС: три независимых слоя

Атомная электростанция должна поддерживать питание своих систем безопасности независимо от того, что происходит с сетью или собственным генерирующим оборудованием. Архитектура питания имеет три слоя:

Слой 1: Нормальная работа: Станция генерирует своё собственное питание от главного турбогенератора. Вспомогательные нагрузки (насосы, вентиляторы, управление) питаются от собственной выработки станции через трансформаторы собственных нужд блока.

Уровень 2: Внешнее питание (предпочтительный источник переменного тока): Если основной генератор отключается, электростанция подключается к сети через пусковые/резервные трансформаторы. NRC требует минимум две независимые линии передачи от разных подстанций: чтобы одиночная неисправность линии передачи не могла вызвать полную потерю внешнего питания.

Уровень 3: Аварийные дизельные генераторы (EDG): Если внешнее питание потеряно, EDG запускаются автоматически и нагружают шины безопасности в течение 10 секунд. Требования NRC:

- Каждый EDG должен достичь номинального напряжения и частоты в течение 10 секунд после получения сигнала запуска

- Хранение топлива: минимум 7 дней на полной нагрузке (NRC Regulatory Guide 1.9)

- Тестирование: ежемесячный тест с нагрузкой + 24-часовой тест выносливости каждые 24 месяца

- Последовательность подключения нагрузки: безопасные нагрузки подключаются последовательно, чтобы избежать перегрузки дизеля при запуске

Аккумуляторные батареи станции: постоянный ток для приборов, панелей зала управления, аварийного освещения, цепей срабатывания SCRAM, срабатывания ATWS и связи. Должны обеспечивать питание нагрузок минимум 2 часа (Class 1E); большинство АЭС проектируют на 4-8 часов. Зарядные устройства аккумуляторов восстанавливают заряд при возвращении переменного тока.

Стратегия FLEX после Фукусимы: Приказ NRC EA-12-049 требует от всех АЭС иметь портативные насосы и генераторы, которые можно развернуть в установленные сроки независимо от условий на площадке. Оборудование FLEX размещено в нескольких местах (часть в прочных сооружениях, часть за пределами площадки) и может подключаться к укрепленным внешним точкам подключения систем охлаждения реактора и бассейнов отработанного топлива.

Требования к дизельным генераторам

Three Mile Island Unit 2, 1979: Последовательность аварии включала остановку турбины, за которой последовала потеря питательной воды, а затем сложная серия событий, приведших к повреждению активной зоны. Аварийные дизельные генераторы запустились и работали корректно на протяжении всего события.

Fukushima Daiichi, 2011: Землетрясение вызвало SCRAM реакторов. Все шесть дизелей запустились и работали. Затем прибыло цунами. Дизели блоков 1-3 находились в подвальных помещениях, которые затопило. Дизель блока 6 был расположен выше и уцелел. Блоки 5 и 6 не пострадали от повреждения активной зоны.

Система защиты реактора

Система защиты реактора (RPS)

Система защиты реактора — это автоматическая система, которая инициирует SCRAM реактора (быстрое отключение) при превышении мониторируемых параметров безопасных пределов. Это первая автоматическая защита от транзиентов.

Мониторируемые параметры, которые могут инициировать SCRAM:

- Высокий нейтронный поток (высокая мощность)

- Высокая температура теплоносителя реактора

- Низкое давление теплоносителя реактора (потенциальная LOCA)

- Высокое давление в оболочке безопасности

- Низкий расход теплоносителя реактора

- Высокий уровень теплоносителя (BWR)

- Низко-низкий уровень воды (BWR)

- Потеря внешнего питания

- Ручная аварийная защита (инициированная оператором)

Логика голосования: Каждый параметр измеряется четырьмя независимыми датчиками, каждый в отдельном канале защиты. Для SCRAM требуется превышение уставки в 2 из 4 каналов. Это означает:

- Один неисправный датчик (ложное высокое показание) не может вызвать ложную сработку

- Превышение установки любыми двумя каналами инициирует срабатывание

- Один вышедший из строя канал (ложно показывающий низкое значение) оставляет три канала, сохраняя возможность 2-out-of-3

Разнородная и выделенная система срабатывания (DDAS): Современные цифровые системы RPS имеют аналоговую резервную систему: DDAS, которая может инициировать функции безопасности независимо от цифровой I&C. Это обеспечивает разнообразие: цифровая и аналоговая системы могут выйти из строя по совершенно разным причинам, и отказ одной не препятствует работе другой.

Логика 2-out-of-4 против 2-out-of-3

RPS использует логику 2-out-of-4 для инициирования SCRAM (четыре датчика, два должны согласиться для срабатывания). Но отдельные датчики сообщают в систему срабатывания с использованием логики 2-out-of-3 внутри каждого поезда (три измерения, два должны согласиться для срабатывания конкретной функции безопасности, такой как ECCS).

Это не одно и то же, & понимание разницы имеет значение.

Минимальный штат

Человеческий контроль: Слой, который думает

Работа ядерной электростанции требует наличия лицензированного персонала на смене в любое время. NRC 10 CFR 50.54(m) устанавливает минимальные требования к штату. Как минимум, операторские бригады включают:

Оператор реактора (RO): Лицензирован NRC (10 CFR 55). Непосредственно управляет контролями реактора, главной контрольной панелью и системами безопасности. Должен находиться у пультов управления непрерывно во время работы на мощности.

Старший оператор реактора (SRO): Высшая лицензия NRC. Надзирает за RO. Обладает независимым правом на инициацию отключения. Проверяет и одобряет действия RO во время ненормальных событий. Не может быть тем же лицом, что и RO на смене.

Супервизор смены (SS): Старший с лицензией SRO. Отвечает за общее проведение операций и безопасность завода во время смены. Имеет окончательный авторитет на площадке по эксплуатации завода.

Технический советник смены (STA): Требование после TMI (NUREG-0737). Лицензированный инженер, назначенный на каждую смену специально для предоставления независимой технической поддержки во время ненормальных событий: не отвлекается на управление контролями, полностью сосредоточен на диагностике события.

Почему несколько человек? Защита в глубину на человеческом уровне. RO под стрессом, сосредоточенный на выполнении процедур, может упустить общую картину. SRO обеспечивает независимый надзор. STA предоставляет независимый технический анализ. Супервизор смены поддерживает ситуационную осведомленность. Ни один единичный сбой человеческого познания не может помешать безопасному управлению заводом.

Инструменты человеческой производительности

Снижение человеческой ошибки: систематические инструменты

Ядерная промышленность количественно оценила частоту человеческих ошибок для различных типов задач. Частота ошибок для сложного принятия решений в стрессовых условиях может превышать 1 из 10. Промышленность стремится к частоте ошибок 1 из 1000 или лучше для критических задач и достигает этого с помощью систематических инструментов человеческой производительности.

Предварительный инструктаж перед работой: Перед любой значимой задачей проводится инструктаж, охватывающий: цель задачи, опасности, ожидаемые условия, шаги для проверки завершения, условия остановки (если происходит X, остановиться и вызвать руководителя). Занимает 5–15 минут. Значительно снижает ошибки при выполнении задачи.

STAR (Stop, Think, Act, Review): Техника самопроверки для каждого критического действия. Stop: пауза перед действием. Think: что я собираюсь сделать, и правильно ли это? Act: выполнить действие. Review: был ли результат тем, что я ожидал? Пауза в две секунды предотвращает ошибки перестановки, выбор неправильного клапана и когнитивные сокращения.

Трехсторонняя коммуникация: Для всех словесных приказов, значимых для безопасности: (1) Инициатор объявляет приказ: «Перевести клапан HV-233 в открытое положение.» (2) Получатель точно повторяет: «Перевести клапан HV-233 в открытое положение.» (3) Инициатор подтверждает: «Верно.» Коммуникационная ошибка, не выявленная в этом обмене, необычна: для этого обе стороны должны неверно услышать или запомнить.

Двухчеловековая проверка: Для определённых операций с высокими последствиями (связанных с безопасностью, обращением с источниками) должны присутствовать два лицензированных специалиста и взаимно проверять действия друг друга. Ни один человек не может выполнить чувствительное действие в одиночку: второй человек должен быть физически присутствующим и подтверждать каждый шаг.

Управление усталостью: NRC 10 CFR 26 устанавливает ограничения: максимум 16 часов рабочего дня, минимум 8 часов отдыха перед возвращением к службе, максимум 54 часа в неделю, максимум 72 часа в неделю при сверхурочных. Усталость ухудшает принятие решений так же сильно, как опьянение: эти ограничения — не рекомендации по производительности, а требования безопасности.

Аварийные процедуры эксплуатации

До Три-Майл-Айленда (1979) на атомных электростанциях использовались ориентированные на событие аварийные процедуры: если происходит событие X, выполнять процедуру X. Операторы должны были правильно идентифицировать событие перед принятием действий.

На TMI операторы получили противоречивые показания. Предохранительный клапан был заклинен в открытом положении: это был малый разрыв LOCA: но операторы неверно определили событие и следовали неправильной процедуре. К моменту постановки правильного диагноза значительное повреждение активной зоны уже произошло.

После TMI отрасль разработала симптомно-ориентированные аварийные процедуры управления (EOP). Вместо «определить событие, выбрать процедуру» операторы следуют: «наблюдать симптомы, принимать защитные действия для этих симптомов, независимо от того, что вы думаете о событии».

Ключевое условие входа на основе симптомов: любое неожиданное изменение уровня, давления или температуры теплоносителя реактора, независимо от причины, запускает одну и ту же последовательность проверки охлаждения активной зоны.

ALARA: As Low As Reasonably Achievable

Инженерия радиационной защиты

ALARA: As Low As Reasonably Achievable: это не просто предел дозы. Это философия: доза должна быть снижена настолько низко, насколько это практически возможно, а не просто удержана ниже юридических пределов. NRC предписывает ALARA как обязательное требование (10 CFR 20.1101), а не просто хорошую практику.

Управление внешней дозой: три классических контроля:

- Время: Уменьшите время в радиационном поле вдвое — доза уменьшится вдвое. Предварительно спланированные последовательности работ минимизируют ненужное время в зонах высокой дозы.

- Расстояние: Мощность дозы подчиняется закону обратных квадратов. Удвойте расстояние от точечного источника — мощность дозы уменьшится в четыре раза. Работа с шести футов вместо трех футов снижает дозу на 75%.

- Экранирование: Свинец, бетон, вода и полиэтилен ослабляют разные типы излучения. Слой полувырожденности (HVL) — это толщина, которая уменьшает интенсивность вдвое. HVL свинца для типичного гамма-излучения: ~1 см. HVL бетона: ~6 см. После десяти HVL (10 TVL = Слой десятой доли, Tenth Value Layer) интенсивность снижается до 1/1000 от исходной.

Управление внутренней дозой:

- Радиоактивный материал внутри тела продолжает облучать органы, пока не распадется или не будет выведен

- Пути: ингаляция (аэрозоли, газы), ингестция (загрязненная еда/вода), абсорбция через кожу (редко)

- Производная концентрация в воздухе (DAC): концентрация радионуклида в воздухе, которая при вдыхании в течение 2000 часов/год дает предел профессиональной дозы. Респираторы и камеры с пониженным давлением предотвращают дозу от ингаляции.

- Годовой предел поступления (ALI): общее поступление (ингаляция + ингестция), которое обеспечивает предел occupational дозы

Пределы occupational дозы (10 CFR 20):

- 5 рем (50 мЗв) в год общий эквивалент эффективной дозы

- 3 рем (30 мЗв) за квартал

- 15 рем (150 мЗв) в год для хрусталика глаза

- 50 рем (500 мЗв) в год для кожи или конечностей

- Ограничение дозы для планирования ALARA: 2 рем/год (административные пределы, специфичные для завода, часто ниже)

Контроль загрязнения:

- Зоны радиологического контроля (RCAs) имеют контролируемый доступ, досмотр при выходе

- Подставки для снятия обуви: бумага или пластик у выходов из RCA; здесь меняют чехлы на обувь, чтобы избежать переноса загрязнения

- Полнотелесный подсчет: после работы в зонах с потенциальным внутренним загрязнением гамма-подсчет полнотелесного характера выявляет внутреннее поглощение

- Программы биоанализа: анализ мочи и кала количественно определяет внутреннюю дозу от конкретных изотопов

ALARA на практике

Работник по радиационной защите должен заменить клапан в зоне с высоким уровнем радиации. Мощность дозы в месте клапана составляет 500 мрем/час. На выполнение работы требуется 30 минут. Годовая доза работника на данный момент составляет 1200 мрем при административном лимите завода 2000 мрем/год.

Используя принципы ALARA и три контроля, оцените, может ли эта работа быть выполнена, и укажите как минимум два конкретных действия для снижения дозы.

Остров Три Майл (1979)

Остров Три Майл, энергоблок 2: 28 марта 1979 г.

TMI не была неудачей конструкции: это была неудача защиты в глубину на уровнях человека и процедур.

Что произошло:

- Сброс турбины вызвал SCRAM реактора (автоматический: сработал правильно)

- Сбросной клапан высокого давления (PORV) открылся (правильно), но застрял в открытом положении (отказ оборудования)

- Индикатор в контрольной комнате показывал только то, что клапан получил сигнал на закрытие: не то, что он действительно закрылся

- Охлаждающая жидкость уходила через застрявший в открытом положении PORV. Давление и температура в реакторе упали

- Операторы неверно интерпретировали симптомы как избыток охлаждающей жидкости и уменьшили подачу аварийного охлаждения: противоположно тому, что было нужно

- Более двух часов активная зона реактора была частично открыта

- Примерно половина активной зоны расплавилась

Что сделала оболочка: Она выдержала. Несмотря на серьезное повреждение активной зоны и накопление водорода внутри оболочки, конструкция оболочки удержала практически все продукты деления. Последствия для дозы вне площадки были незначительными: никаких эффектов для общественного здоровья от радиации.

Улучшения после TMI (NUREG-0737):

- EOP на основе симптомов (вместо на основе событий)

- Инженеры-технические советники на каждой смене

- Полнофункциональные симуляторы с сертификацией NRC для обучения экипажа

- Инструментарий постационного мониторинга (PAM): прямые индикаторы охлаждения активной зоны, квалифицированная панель отображения на питании, независимом от сети постоянного тока

- Пересмотренные стандарты проектирования пульта управления (NUREG-0700)

- Усовершенствованные требования к экзаменам на лицензирование операторов

Чернобыль (1986)

Чернобыль, блок 4: 26 апреля 1986 г.

Чернобыль отличался по характеру от TMI: это была в первую очередь конструктивная неисправность в сочетании с преднамеренным обходом систем безопасности.

Что произошло:

- Тест стабильности напряжения требовал работы реактора на низкой мощности (~200 МВт против номинальных 3200 МВт)

- На низкой мощности реактор РБМК имел положительный коэффициент пустотности: паровые пузырьки в теплоносителе увеличивали реактивность

- Стержни управления имели конструктивный дефект: графитовые наконечники вытесняли воду при первом введении, вызывая первоначальное увеличение реактивности до того, как войдет часть, поглощающая нейтроны

- Тест был отложен; ночная смена не была обучена для него

- Несколько систем безопасности были намеренно отключены для проведения теста

- При нажатии кнопки аварийного отключения (АЗ-5) наконечники графитовых стержней вызвали всплеск реактивности вместо запланированного SCRAM

- Мощность взлетела до 30 000 МВт за секунды: примерно в 10 раз больше номинальной мощности

- Топливо и теплоноситель мгновенно испарились в пар, вызвав паровой взрыв, который разрушил реактор

- Пожар графита горел 10 дней, распространяя продукты деления по Европе

Отсутствие контейнмента: РБМК не имел полноценной защитной оболочки. Реактор находился в большом промышленном здании без способности удерживать давление. Когда реактор был разрушен, не осталось последнего барьера.

Изменения после Чернобыля:

- Модификации конструкции РБМК: устранён положительный паровой коэффициент реактивности на низкой мощности, перепроектированы наконечники стержней, добавлены дополнительные поглотители нейтронов

- Усилены международные конвенции по ядерной безопасности

- Концепция культуры ядерной безопасности формализована МАГАТЭ (INSAG-7)

- Западный регуляторный акцент на оболочке как на обязательном требовании

Три аварии, три урока

Теперь вы знаете о трех крупных гражданских ядерных авариях: TMI (1979), Чернобыль (1986) и Фукусима (2011). Каждая из них выявила сбой разного уровня защиты в глубину.

Оценка риска в количественном выражении

PRA: Переход от «достаточно безопасно» к «насколько безопасно?»

Детерминированный анализ безопасности утверждает: проектируйте установку так, чтобы она пережила эти конкретные аварии. Вероятностная оценка риска (PRA) задаёт другой вопрос: учитывая все возможные способы, которыми всё может пойти не так, какова вероятность того, что это действительно произойдёт?

Частота повреждения активной зоны (CDF): Вероятность значительного повреждения активной зоны реактора в любой данный год. Цель безопасности NRC: CDF < 1×10⁻⁴ на реактор-год (один раз за 10 000 реактор-лет). Современные установки обычно достигают CDF < 1×10⁻⁵ (один раз за 100 000 реактор-лет).

Частота крупного раннего выброса (LERF): Вероятность крупного раннего выброса радиоактивности в окружающую среду (до завершения эвакуации). Цель безопасности NRC: LERF < 1×10⁻⁵ на реактор-год.

Деревья отказов: Графические логические диаграммы, показывающие комбинации отказов компонентов, приводящие к определённому верхнему событию (например, «ECCS не подаёт воду в активную зону»). Используются вентили И (все отказы должны произойти) и ИЛИ (достаточно любого одного отказа). Вентили И снижают вероятность (требуют нескольких одновременных отказов). Вентили ИЛИ повышают вероятность.

Деревья событий: Графические диаграммы, начинающиеся с инициирующего события (например, «происходит LOCA с большим разрывом») и прослеживающие последствия в зависимости от успеха или отказа систем безопасности. Каждая ветвь представляет успех или отказ функции безопасности. Конечные узлы — это последовательности аварий: безопасный останов, повреждение активной зоны, большой выброс.

Меры значимости: PRA выявляет, какие компоненты и системы вносят наибольший вклад в риск.

- Значимость Фуссела-Весели (FV): доля CDF, обусловленная отказами компонента. Высокое значение FV = этот компонент сильно влияет на риск.

- Risk Achievement Worth (RAW): насколько увеличивается CDF, если компонент считается отказавшим. Высокое RAW = компонент не должен долго находиться в неработоспособном состоянии.

RAW определяет планирование технического обслуживания и испытаний: компоненты с высоким RAW проходят частые испытания и имеют короткие допустимые сроки вывода в ремонт.

PRA и планирование обслуживания

На атомной электростанции есть три аварийных дизель-генератора (A, B, C). Анализ PRA показывает:

- CDF при работоспособности всех трех: 2×10⁻⁵ в год

- CDF при выводе дизеля A в обслуживание: 8×10⁻⁵ в год (увеличение в 4 раза)

- CDF при одновременном выводе дизелей A и B: 4×10⁻³ в год (увеличение в 200 раз)

Бригада обслуживания хочет одновременно вывести дизели A и B в обслуживание на капитальный ремонт продолжительностью 30 дней.

Отработанное топливо: Долгосрочное обязательство

Отработанное топливо: активное и пассивное управление

Когда топливо извлекается из реактора после 3–5 лет работы, оно интенсивно радиоактивно и термически горячее из-за тепла распада. Кривую тепла распада та же: 7% от номинальной мощности сразу, снижающаяся в течение лет.

Пулы отработанного топлива (SFP): Сразу после извлечения сборки отработанного топлива помещаются в бассейн отработанного топлива: заполненный водой резервуар, обычно глубиной 40 футов, примыкающий к зданию реактора. Вода выполняет двойную функцию: охлаждение и защиту (вода над топливом поглощает излучение, позволяя работникам на палубе бассейна получать низкие дозы).

Минимальное время охлаждения в бассейне перед сухим кеги: Примерно 5 лет для топлива PWR. Топливо должно остыть до точки, когда пассивное воздушное охлаждение в сухом кеге сможет справиться с оставшимся теплом распада без воды.

Риск пожара циркония: Если сборки отработанного топлива оголяются (вода в бассейне потеряна), циркаллоевая оболочка может окисляться в воздухе при высоких температурах. В отличие от реакции пар-цирканий, производящей водород, окисление циркания воздухом при раскалённых температурах может поддерживать пожар циркания: самоподдерживающуюся экзотермическую реакцию. Бассейн отработанного топлива энергоблока 4 Фукусимы был в днях от достижения температур, при которых это могло произойти.

Требования NRC к СХОТ после Фукусимы (Приказ EA-12-051):

- Надёжная измерительная аппаратура для контроля уровня и температуры воды в СХОТ

- Возможность подачи подпиточной воды в СХОТ из различных источников

- Стратегии поддержания или восстановления охлаждения СХОТ при длительном обесточивании

Хранение в сухих контейнерах: После 5+ лет выдержки в бассейне топливо перемещается в сухие контейнеры: сварные стальные канистры, окружённые бетонной или полиэтиленовой (высокой плотности) биологической защитой. Охлаждение полностью пассивное: естественная конвекция воздуха через вентиляционные отверстия наружной конструкции. Электропитание не требуется. Срок службы: 100+ лет. В настоящее время в США в сухих контейнерах хранится более 90 000 метрических тонн тяжёлого металла.

Высокорадиоактивные отходы: Отработавшее ядерное топливо классифицируется как высокорадиоактивные отходы. Согласно законодательству США (Nuclear Waste Policy Act) постоянным хранилищем назначена гора Юкка-Маунтин в штате Невада, однако оно не открыто из-за политического противодействия. NRC требует, чтобы хранилище обеспечивало 10 000 лет изоляции (стандарт EPA: 1 миллион лет для доз после 10 000 лет). При глубинном геологическом захоронении основным барьером служит сама горная порода, а дополнительными уровнями защиты выступают инженерные барьеры (витрификация в стекло, металлические контейнеры, бентонитовая глина).

Низкоактивные отходы (LLW): Загрязнённая одежда, инструменты, фильтры, ионообменные смолы. Три класса NRC:

- Класс A: наименьшая активность, короткоживущие изотопы. Захоронение в неглубоких траншеях, требование изоляции на 100 лет

- Класс B: умеренная активность. Неглубокое захоронение с изоляцией на 300 лет

- Класс C: более высокая активность, долгоживущие изотопы. Требуется изоляция на 500 лет; приповерхностное захоронение с усиленными инженерными барьерами

Методы уменьшения объёма (сжигание, прессование, плавление) обязательны для минимизации места захоронения

Случай безопасности сухих кессонов

Критик утверждает, что хранение в сухих кессонах небезопасно, потому что кессоны не имеют активного охлаждения, нет подключений к питанию, & они стоят на открытом воздухе на бетонных площадках. Инженер-ядерщик отвечает, что сухие кессоны на самом деле могут быть безопаснее, чем бассейн отработанного топлива.

Защита в глубину: Полная картина

Ядерная безопасность: Дисциплина системного подхода

Теперь вы изучили каждый слой ядерной безопасности. Отступите назад и посмотрите на систему:

Физические барьеры (топливная матрица, оболочка топлива, корпус реактора, оболочка containment) пассивны: они не требуют никаких действий для работы. Они являются основой.

Системы безопасности (ECCS, RPS, EDGs, DDAS) активны с пассивными резервными системами (аккумуляторы, гравитационные баки, батареи). Каждая функция имеет три независимых канала. Каждый канал способен на 100%. Активные и пассивные подходы разнообразны.

Измерительные приборы (RPS, срабатывание ECCS, PAM) отслеживают десятки параметров с логикой голосования 2 из 4: устойчивы к ложным срабатываниям и к отказам датчиков, которые могли бы предотвратить срабатывание.

Процедуры (симптомно-ориентированные EOP) направляют операторов к защитным действиям без необходимости правильной диагностики. После ТМИ. Необходимы.

Человеческие факторы (штат, обучение, инструменты человеческой деятельности, ограничения по усталости) снижают вероятность отказа человеческого звена. После ТМИ требование STA. Обучение на симуляторе. Предварительные инструктажи. STAR. Трехсторонняя коммуникация.

Управление и культура безопасности гарантируют, что безопасность не жертвуется ради эффективности. После Чернобыля INSAG-7. Урок Чернобыля: системы безопасности, отключенные управлением, — это системы безопасности, которых не существует.

Регулирование (NRC 10 CFR 50, стандарты МАГАТЭ, периодические инспекции) обеспечивает независимый надзор на высшем уровне. Регулятор, который не проводит инспекции, — это регулятор, который не существует.

Три крупные аварии показали, что защита в глубину даёт сбой не из-за одного драматического отказа, а из-за сочетания мелких сбоев, неверных предположений и недостаточных запасов в нескольких слоях одновременно. Обоснование безопасности настолько прочно, насколько прочно его самое слабое одновременное сочетание.

Финальная интеграция

Финальный вопрос: самый сложный

Новый проект реактора утверждает, что он настолько безопасен, что требует только одного поезда системы аварийного охлаждения активной зоны (а не трёх), не нуждается в аварийных дизель-генераторах (только пассивный отвод тепла) и упрощённой модели штатного расписания — два оператора в смене вместо четырёх.

Дизайнер утверждает: «Пассивное охлаждение означает, что энергия не требуется, поэтому дизели не нужны. Реактор не может расплавиться по законам физики, поэтому упрощенный штат персонала оправдан».