IAEA Tanımı

Derinlemesine Savunma: Temel Felsefe

Uluslararası Atom Enerjisi Ajansı (IAEA), derinlemesine savunmayı, her katmanın öncekilere yedek olarak işlev gördüğü çok katmanlı bir güvenlik yaklaşımı olarak tanımlar. Hiçbir katmanın mükemmel olduğu varsayılmaz. Güvenlik durumu, birden fazla bağımsız katmana dayanır; böylece tek bir arıza: ve tek bir kök nedenden kaynaklanan arıza kombinasyonları: zarara yol açamaz.

Derinlemesine savunma her ölçekte işler:

Fiziksel bariyerler: yakıt matrisi → yakıt kaplaması → reaktör basınç kabı → muhafaza binası → reaktör binası (yakıt & çevre arasında 4-5 fiziksel sınır)

Güvenlik sistemleri: her işlev (soğutma, kapatma, güç) en az 3 bağımsız tren tarafından gerçekleştirilir

Prosedürler: her evrim yazılı prosedürlerle yönetilir; her tasarım temelli olay için anormal ve acil prosedürler

Operatörler: lisanslı, eğitimli, nitelikli, dinlenmiş; kapatmeyi başlatma için bağımsız yetki

Yönetim: nükleer güvenlik kültürü, düzenleyici denetim, bağımsız güvenlik incelemeleri

Düzenleme: NRC 10 CFR 50 tasarım temelli gereklilikler, lisanslı işletim, periyodik denetimler

Ana ilke: Başarısız katmanlara puan yok. Bir bariyerin sağlam olduğunu doğrulayamıyorsanız, sağlam olmadığını varsayarsınız. Tüm sistem, herhangi bir aktif bileşenin arızalı olması durumunda güvenli olacak şekilde tasarlanmıştır: buna tek arıza kriteri denir.

Yedeklilik, Çeşitlilik ve Bağımsızlık

Savunmayı Gerçek Kılan Üç Özellik

Nükleer güvenlik sistemleri üç farklı özelliği karşılamalıdır. Bunları karıştırmak yaygın ve tehlikeli bir hatadır.

Yedeklilik aynı şeyden birden fazla having anlamına gelir. Üç dizel jeneratör yedeklidir. Ama hepsi aynı yakıt tankını, aynı başlatma mantığını veya aynı fiziksel odayı paylaşıyorsa, yedeklilik tek başına ortak neden arızasına karşı koruma sağlamaz.

Çeşitlilik aynı işlevi yerine getirmek için farklı fiziksel prensipler veya farklı ekipman kullanmak anlamına gelir. Yüksek basınçlı enjeksiyon pompası ve azot basınçlı akümülatör her ikisi de çekirdeğe su iletir: ama tamamen farklı prensiplerle çalışırlar. Çeşitlilik, bir tasarımın tüm yedek kopyalarını yenecek arıza modlarını yener.

Bağımsızlık, bir trenin arızasının diğerinin çalışmasını neden olamaması veya engelleyememesi anlamına gelir. Bağımsızlık şunları gerektirir:

- Ayrı güç hatları (farklı elektrik beslemeleri)

- Fiziksel ayrılık (bariyerler, farklı binalar, reaktörün zıt tarafları)

- Ayrı çalıştırma mantığı (Tren A'daki kısa devre Tren B'yi devre dışı bırakamaz)

- Ayrı enstrümantasyon (Tren A sensörleri Tren B çalıştırmasına besleme yapmaz)

Ortak neden arızası (CCF), kabus senaryosudur: tek bir olay birden fazla yedek treni aynı anda devre dışı bırakır. Fukushima tanımlayıcı örnektir: tsunami sadece harici güç kaybı değildi. Aynı alçak binada oldukları için üç acil dizel jeneratörü aynı anda devre dışı bıraktı. Bağımsızlık olmadan yedeklilik bir yanılsamadır.

Tek Arıza Kriteri

NRC'nin tek arıza kriteri (10 CFR 50, Ek A, Genel Tasarım Kriteri 17), güvenlik sistemlerinin tek bir aktif bileşen arızasının sistemin güvenlik işlevini yerine getirmesini engellemeyecek şekilde tasarlanması gerektiğini belirtir.

'Aktif' bir arıza, bir şeyin durum değiştirmesini gerektirendir: bir pompanın çalışmaya başlamaması, bir valfin açılmaması.

'Pasif' bir arıza (örneğin, boru çatlakı) ayrı tasarım gereklilikleriyle ele alınır.

Neden Üç Tren?

Her Güvenlik-Kritik Sistem: Üç Bağımsız Tren

Üçlü yedeklilik kuralı basitçe 'üç ikiden daha güvenli' demek değildir. Belirli özelliklere sahip kesin bir mühendislik gereksinimidir.

Her tren, güvenlik fonksiyonunun %100'ünü bağımsız olarak yerine getirebilmelidir. Eğer Tren A soğutmayı yönetiyorsa, gerekli tüm soğutmayı yönetir. Tren B ve C kısmi katkıda bulunanlar değildir: onlar tam yedeklerdir.

Trenler fiziksel olarak ayrılmış olmalıdır. Farklı binalar veya en azından yangın bariyerleriyle ayrılmış. Farklı kablo yolları. Farklı boru hatları. Bir yangın, sel veya patlama bir treni etkilerse, diğerlerine ulaşmamalıdır.

Trenlerin ayrı güç kaynakları olmalıdır. Farklı kaynaklardan beslenen farklı elektrik baraları. Tren A Otobüs A'da, Tren B Otobüs B'de, Tren C Otobüs C'de: her otobüs kendi acil durum dizeliyle.

Trenlerin ayrı aktüasyon mantığı olmalıdır. Tren A'nın aktüasyon devresindeki bir röle arızası, Tren B'nin aktüasyonunu engelleyemez. İdeal olarak, tamamen farklı aktüasyon prensipleri kullanırlar (çeşitlilik).

Neden iki değil de üç? Üç tren ile, iki-üç oylama mantığı herhangi bir tek bileşen arızasında hala iki işlevsel tren bırakır: tek arıza kriterini ALIRSINIZ VE aynı zamanda ortak neden arızalarına karşı bazı koruma sağlarsınız. İki tren ile, tek arıza sizi bir trenle bırakır: marj yok, ikinci arızaya karşı savunma yok.

Çeşitlilik vs. Yedeklilik

Bir PWR'nin acil durum çekirdek soğutma sistemini düşünün. Bir yaklaşım: üç adet aynı yüksek basınçlı enjeksiyon pompası, her biri ayrı dizel jeneratörle çalışan, ayrı odalarda.

İkinci bir yaklaşım: bir yüksek basınçlı enjeksiyon pompası, artı güç gerektirmeyen nitrojen basınçlı bir akümülatör, artı yükseltilmiş bir rezervuardan yerçekimiyle beslenen bir su tankı.

Her ikisi de çekirdeğe su ulaştırmak için üç yöntem sağlar.

ECCS: Çekirdeğin Son Savunma Hattı

Acil Durum Reaktör Çekirdek Soğutma Sistemleri

PWR için tasarım temelli kaza, soğutucu kaybı kazası (LOCA)dır: reaktör soğutucu sisteminde bir kırılma olup birincil soğutucunun kaçmasına izin verir. Büyük kırılmalı LOCA, çekirdeği saniyeler içinde açığa çıkarabilir. Anında su basma olmazsa, yakıt kılıfı sıcaklıkları 2.200°F'nin üzerine çıkar, zircaloy oksitlenir ve yakıt hasarı başlar.

Tipik bir PWR için ECCS, kazanın farklı evrelerinde çalışan dört alt sistemden oluşur:

Yüksek Basınçlı Enjeksiyon Sistemi (HPIS): Reaktör soğutucu basıncı düşük veya muhafaza basıncı yüksek olduğunda hemen devreye girer. Basınç hala yüksekken (~200 psi üzeri) borlu suyun reaktör soğutucu sistemine enjekte edilmesini sağlar. Acil durum dizel motorlarıyla çalışan motor tahrikli pompalar kullanır. Akış hızı: tasarıma bağlı olarak 500-1.500 gpm.

Akümülatörler (Ayrıca Çekirdek Sel Tankları olarak adlandırılır): Pasif nitrojen basınçlı, borlu su içeren tanklar. Reaktör soğutucu basıncı nitrojen basıncının altına düştüğünde (tipik olarak 600-700 psi) otomatik olarak enjekte ederler. Güç gerektirmez: nitrojen basıncı suyu çekirdeğe iter. Her akümülatör ~1.000 galon kapasitelidir.

Düşük Basınçlı Enjeksiyon Sistemi (LPIS): Düşük basınçta (<200 psi) devreye girer. Büyük kırık LOCA için büyük akış hızları (binlerce gpm) sağlar. Yeniden yakıtleme su depolama tankı (RWST) boşaldıktan sonra sistem sumptan yeniden dolaşım moduna geçer: muhafaza sumpundan suyu çekirdekten geçirerek yeniden dolaştırır. Haftalarca devam etmelidir (bozunma ısısı uzaklaştırma).

Kalan Isı Uzaklaştırma (RHR): Bozunma Isısı Uzaklaştırma sistemi olarak da adlandırılır. Birincil amaç: reaktör soğuk kapanmaya ulaştıktan sonra bozunma ısısını uzaklaştırmak. Düşük basınç ve düşük sıcaklıkta çalışır, soğutucuyu ısı değiştiricilerden geçirerek dolaştırır. Ayrıca düşük basınçlı enjeksiyon yeteneği sağlar.

BWR Çekirdek Püskürtme Sistemleri: Kaynar su reaktörleri, yakıt demetlerine doğrudan su püskürten yakıtın üzerindeki çekirdek püskürtme nozullarını kullanır: PWR sel basmasından farklı bir geometri.

Çürüme Isısı Eğrisi

Çürüme ısı eğrisi, nükleer güvenlikteki en önemli sayılardan biridir. Reaktör kapatıldıktan sonra:

- t = 0 saniye: ~%7 nominal güç (3.400 MW reaktör için 240 MW)

- t = 1 dakika: ~%3,5

- t = 1 saat: ~%1 (~34 MW)

- t = 1 gün: ~%0,3 (~10 MW)

- t = 1 week: ~0.1%

- t = 1 year: yakıt hâlâ uzun ömürlü izotoplardan ölçülebilir ısı üretmeye devam ediyor

Süresiz olarak devam eden on megawatt ısı, soğutma pompalarını çalıştırmak için güç yok. 11 Mart 2011’de Fukushima Daiichi’de yaşanan durum tam olarak buydu.

Pasif ECCS: AP1000 Tasarımı

Yeni Nesil: Pasif Güvenlik

Westinghouse AP1000 (Gelişmiş Pasif 1000 MWe), aktif ECCS derslerini alır ve tasarım felsefesini tersine çevirir: güç gerektiren üç pompa hattı yerine, tüm güvenlik fonksiyonları yerçekimi, doğal sirkülasyon, sıkıştırılmış gaz ve buharlaşmaya dayanır.

Çekirdek Tamamlama Tankları (CMT): Reaktörün üstünde monte edilmiş iki büyük soğuk boralı su tankı. Normalde izole edilmiş. Aktivasyonla, yerçekimiyle reaktör soğutma sistemine boşalır. Her tank, çekirdeği saatlerce örtülü tutacak kadar su tutar.

Akümülatörler: Konvansiyonel santrallerle aynı: azot basınçlı, pasif enjeksiyon.

Kapsama Alanı İçi Yakıt Yenileme Su Depolama Tankı (IRWST): Kapsama binası içinde, reaktörün üzerinde büyük bir su havuzu. Yerçekimi beslemeli. CMT'ler boşaldıktan sonra uzun süreli soğutma sağlar. Pompa yok. Güç yok.

Pasif Kalıntı Isı Giderme Isı Değiştiricileri (PRHR HX): IRWST içinde gömülü. Doğal sirkülasyon, reaktörden bozunma ısısını IRWST suyuna taşır; su ısınır, kaynar ve baca yoluyla atmosfere havalandırılır. Pompa yok. Tamamen pasif.

72 saatlik pencere: AP1000 güvenlik senaryosu, operatör müdahalesi ve güç olmadan 72 saat reaktör soğutma gösterir. 72 saatten sonra, operatörler IRWST'yi herhangi bir kaynaktan suyla doldurabilir.

Bu tasarım çeşitliliği: pasif vs. aktif: çeşitliliğin neden önemli olduğunu gösterir. AP1000'in güvenlik sistemleri, Fukushima'yı yok eden arıza modu tarafından yenilemez.

[TITLE containment/]

Son Fiziksel Engel

Havalandırma: Son Sınır

Eğer her diğer güvenlik sistemi başarısız olursa & yakıt hasar görürse, havalandırma radyoaktif malzeme ile halk arasındaki son engeldir. Tutmalıdır: buharın iç basıncına karşı, hidrojen yanmasına karşı, arızalı ekipmandan gelen füze darbelerine karşı & gerektiği kadar süre.

PWR kuru havalandırma: Çelik kaplı takviyeli beton yapı, tipik olarak 140 fit çapında & 200 fit yüksekliğinde. En büyük birincil soğutma borunun tam çift uçlu guillotine kırılmasından gelen buhar basıncını tutacak şekilde tasarlanmıştır (tasarım basıncı ~60 psi). Çelik astar basınç sınırını oluşturur; beton yapısal dayanıklılık & biyolojik koruma sağlar.

Buz kondenserli containment: Bazı Westinghouse santrallerinde kullanılan, daha küçük ve düşük basınçlı PWR containment tasarımıdır. LOCA durumunda buhar enerjisini emmek ve containment basıncını düşük tutmak için yüzlerce ton buz kullanır. Daha küçük ve ucuz bir yapıya izin verir, ancak periyodik buz bakımı gerektirir.

Çift containment: Bazı tasarımlarda içteki çelik containment, dıştaki beton ikincil containment binasının içine yerleştirilir. İki yapı arasındaki boşluk hafif negatif basınçta tutulur; böylece iç containment’ten olası bir sızıntı toplanır ve atmosfere salınmadan önce filtrelenir.

BWR containment: Mark I, II, III: General Electric BWR containment’leri, buharı hızla yoğunlaştırmak için basınç bastırma havuzu (torus veya wetwell) kullandığından daha küçüktür. Mark I (Fukushima tasarımı), drywell-torus düzenlemesidir: torus, drywell’in altında büyük, halka şeklinde bir su havuzudur. Zayıf nokta: torus, drywell’in altına bağlıdır. Torus arızalanırsa containment de arızalanır. Bu, tam olarak Fukushima Ünite 1’de yaşanan durumdur.

Pasif otokatalitik rekombinerler (PAR): Fukushima sonrası çoğu containment’e PAR’lar eklenmiştir. Bu cihazlar, paladyum veya platin gibi katalitik malzemeler içerir ve hidrojen ile oksijeni tutuşma olmadan düşük konsantrasyonlarda su oluşturacak şekilde reaksiyona sokar. Böylece hidrojen birikiminin deflagrasyon veya detonasyona yol açması önlenir.

Filtrelenmiş kontenman havalandırması: Fukushima sonrası Avrupa'da zorunlu ve giderek ABD'de de artan gereklilik: Operatörlerin kontenmanı kasıtlı olarak havalandırmasına izin veren, partikül radyoaktivitesinin >%99,9'unu tutan çok aşamalı filtre sistemi (venturi scrubber + metal fiber filtre) içeren sertleştirilmiş bir havalandırma yolu. Bu, aşırı basınçtan kontenmanın kontrolsüz arızasını önler.

Tasarım Temeli ve Tasarım Temelinin Ötesinde

Kontenman Ne İçin Tasarlanmıştır

Tasarım temelli kazalar (DBA): NRC, kontenmanın bunlardan herhangi birini aynı anda atlatmasını gerektirir:

- Büyük kırılma LOCA: en büyük birincil soğutma borusunun tam kesilmesi, maksimum soğutucu salınımı

- Şebeke dışı güç kaybı (LOOP) LOCA ile eş zamanlı: en çok ihtiyacınız olduğunda şebeke gücü yok

- Ana buhar hattı kırılması: iç containment'ta yüksek enerjili buhar salınımı

- Yakıt elleçleme kazası: düşürülen yakıt demeti, hasarlı yakıttan fisyon ürünlerinin salınımı

Tasarım ötesi olaylar (BDBA): 11 Eylül sonrası & Fukushima sonrası, santraller ayrıca ele almalıdır:

- İstasyon kararması (SBO): tüm AC gücünün uzun süreli kaybı (TMI sonrası gereklilik, Fukushima sonrası güçlendirildi)

- Tasarım ötesi sel: Fukushima, tasarım temelli sel yükseklerinin çok düşük olduğunu gösterdi

- Uçak çarpması: NRC, 11 Eylül sonrası kasıtlı uçak çarpması analizini gerektirir; yeni santraller yapısal hayatta kalma yeteneğini göstermelidir

- Harcanmış yakıt havuzu soğutma kaybı: Fukushima 4. Ünite harcanmış yakıt havuzu neredeyse tamamen buharlaştı; Fukushima sonrası gereklilikler özel SFP takviye bağlantıları ekledi

Mark I Hassasiyeti

Fukushima Daiichi 1, 2 ve 3 numaralı ünitelerin hepsinde General Electric Mark I muhafazaları bulunuyordu. Mark I, reaktörün etrafındaki ampul şeklinde çelik bir kap (kuru kuyu) ve aşağı inen borularla toroidal bastırma havuzuna (torus) bağlıdır. Kuru kuyudan gelen buhar, yoğuşma için torus suyuna yönlendirilir.

Kaza sırasında, 2 numaralı ünitedeki torusun hasar gördüğü ve fisyon ürünlerinin tam muhafaza sınırından geçmeden reaktör binasına ve ardından atmosfere doğrudan kaçmasına izin verdiği düşünülmektedir.

Kapatma Sistemleri

Reaktivite Kontrolü: Kapatmaya Üç Bağımsız Yol

Bir reaktör, her koşulda kapanabilmeli ve kapalı kalmalıdır. Kapatmayı engelleyecek tek bir arıza kabul edilemez. Genel tasarım kriteri (GDC 26), reaktörü subkritik tutabilen iki bağımsız reaktivite kontrol sistemi gerektirir.

Kontrol çubuğu tahrik mekanizmaları (CRDM'ler):

- PWR manyetik jak CRDM'leri: Kontrol çubukları elektromıknatıslar tarafından yukarıda tutulur. Güç kaybında (SCRAM sinyali veya güç kaybı), mıknatıslar enerjilerini keser & çubuklar yerçekimiyle reaktör çekirdeğine düşer. Arıza güvenli: çubukları DIŞARIDA tutmak için güç gereklidir. Güç kaybı = otomatik插入.

- BWR hidrolik CRDM'leri: Çubuklar alttan yüksek basınçlı suyla sürülür. Acil插入 yüksek basınçlı azot kullanılarak çubuklar hızla içeri sürülür. Bazı BWR tasarımlarında çubuk插入i için elektrikli yedek sistem de vardır.

Alternatif Çubuk İnserasyonu (ARI): Normal SCRAM mantığından bağımsız olarak kontrol çubuklarını插入 edebilen ayrı, çeşitli bir elektrik sinyal yolu. Normal SCRAM devresi arızalandığında kullanılır.

SCRAM Olmadan Beklenen Geçiş (ATWS): Kontrol çubuklarının talep üzerine插入 edemediği düzenleyici senaryo. ATWS hafifletme sistemleri (ATWS-MF), normal SCRAM'dan bağımsız bor enjeksiyonu sağlar: genellikle ayrı sensör seti tarafından tetiklenen otomatik yüksek basınçlı bor enjeksiyonu.

Acil boration:

- Ayrı bir emniyet borusundan (normal şarjdan ayrı) yüksek basınçlı bor enjeksiyonu

- ECCS bor enjeksiyon hatları aracılığıyla acil boration

- Borik asit depolama tanklarından manuel boration

Pasif tasarımlar: CANDU reaktörü: CANDU'nun iki tamamen bağımsız kapatma sistemi vardır: (1) yerçekimiyle düşen mekanik kapatma çubukları ve (2) moderatöre gadolinyum nitrat çözeltisinin yüksek basınçlı enjeksiyonu: ayrı bir fiziksel devre. Bunlar her anlamda bağımsızdır: farklı aktüasyon mantığı, farklı fiziksel sistemler, farklı prensipler.

ATWS Analizi

1979'da Three Mile Island Ünitesi 2'de yapılan testler sırasında, bir bakım hatası bir test sırasında reaktör trip'inin (SCRAM) gerçekleşmemesine neden oldu. Olay hızla fark edildi. Ancak bu, NRC'nin tüm santrallerde ATWS hafifletme sistemlerini zorunlu kılmasına yol açtı: çünkü 'arınamaz' sistemler, gerçekte arınmıştı.

Bir PWR'de ATWS olayı: reaktör gücü ani yükselir. Kontrol çubukları yerleştirilemez. Acil borasyon son savunma hattıdır.

Üç Katmanlı Güç Mimarisi

Nükleer Santral Elektrik Gücü: Üç Bağımsız Katman

Bir nükleer santral, şebekede veya kendi üretim ekipmanında ne olursa olsun güvenlik sistemlerine güç sağlamalıdır. Güç mimarisi üç katmandan oluşur:

Katman 1: Normal çalışma: Santral, ana türbin jeneratöründen kendi gücünü üretir. Yardımcı yükler (pompa, fan, kontroller) santralin kendi çıktısından birim yardımcı transformatörler aracılığıyla beslenir.

Katman 2: Saha dışı güç (tercih edilen AC kaynağı): Ana jeneratör devre dışı kalırsa, santral startup/rezerv transformatörleri aracılığıyla şebekeye bağlanır. NRC, farklı trafo merkezlerinden en az iki bağımsız iletim hattı gerektirir: böylece tek bir iletim hatası arızası toplam saha dışı güç kaybına neden olamaz.

Katman 3: Acil durum dizel jeneratörleri (EDG'ler): Saha dışı güç kaybolursa, EDG'ler otomatik olarak çalışmaya başlar ve güvenlik panolarını 10 saniye içinde yükler. NRC gereklilikleri:

- Her EDG, başlatma sinyalini aldıktan sonraki 10 saniye içinde nominal gerilim ve frekansa ulaşmalıdır

- Yakıt depolama: tam yükte minimum 7 gün (NRC Düzenleme Kılavuzu 1.9)

- Test: aylık yük testi + her 24 ayda bir 24 saat dayanıklılık testi

- Yük sıralama: dizelin başlangıçta aşırı yüklenmesini önlemek için güvenlik yükleri sırayla bağlanır

Santral bataryaları: Enstrümantasyon, kontrol odası panelleri, acil aydınlatma, SCRAM tetikleme devreleri, ATWS tetikleme ve iletişim için DC gücü. Yükleri en az 2 saat beslemelidir (Class 1E); çoğu santral 4-8 saat için tasarlanmıştır. AC geri döndüğünde batarya şarj cihazları bataryaları yeniden şarj eder.

Fukushima Sonrası FLEX Stratejisi: NRC Emri EA-12-049, tüm santrallerin site koşullarından bağımsız olarak tanımlı süreler içinde konuşlandırılabilecek taşınabilir pompalar ve jeneratörlere sahip olmasını gerektirir. FLEX ekipmanları birden fazla konumda depolanır (bazıları sağlam yapılarda, bazıları saha dışında) ve reaktör soğutma ile harcanmış yakıt havuzu sistemlerindeki sertleştirilmiş harici bağlantı noktalarına bağlanabilir.

Dizel Jeneratör Gereksinimleri

Three Mile Island Ünitesi 2, 1979: Kaza dizisi, türbin gezisiyle başladı, ardından besleme suyu kaybı ve çekirdek hasarına yol açan karmaşık bir olaylar serisi izledi. Acil dizel jeneratörler olay boyunca doğru şekilde çalıştı ve çalıştı.

Fukushima Daiichi, 2011: Deprem reaktör SCRAM'ına neden oldu. Altı dizel jeneratörün hepsi çalıştı ve çalıştı. Sonra tsunami geldi. 1-3 Üniteleri'nin dizelleri bodrum katlarındaki odalarda su baskınına uğradı. 6. Ünite'nin dizeli daha yüksek bir konumdaydı ve hayatta kaldı. 5 ve 6. Üniteler çekirdek hasarı yaşamadı.

Reaktör Koruma Sistemi

Reaktör Koruma Sistemi (RPS)

Reaktör Koruma Sistemi, izlenen parametreler güvenli sınırları aştığında reaktör SCRAM'ını (hızlı kapatma) başlatan otomatik sistemdir. Geçici durumlara karşı ilk otomatik savunma hattıdır.

SCRAM başlatabilecek izlenen parametreler:

- Yüksek nötron akışı (yüksek güç)

- Yüksek reaktör soğutucu sıcaklığı

- Düşük reaktör soğutucu basıncı (potansiyel LOCA)

- Yüksek muhafaza basıncı

- Düşük reaktör soğutucu akışı

- Yüksek soğutucu seviyesi (BWR)

- Çok düşük su seviyesi (BWR)

- Şebeke elektriğinin kesilmesi

- Manuel trip (operatör tarafından başlatılan)

Oylama mantığı: Her parametre, ayrı koruma kanallarında bulunan dört bağımsız sensör tarafından ölçülür. Bir SCRAM için 4 kanaldan 2'sinin eşik değerini aşması gerekir. Bu şu anlama gelir:

- Tek bir arızalı sensör (yanlış yüksek okuma) yanlış bir tripe neden olamaz

- Eşik değerini aşan herhangi iki kanal devreyi tetikler

- Tek bir başarısız kanal (yanlış düşük okuma yapan), üç kanal bırakır, hala 2-of-3 yetenekli

Çeşitli ve Özel Aktüasyon Sistemi (DDAS): Modern dijital RPS sistemleri, dijital I&C'den bağımsız olarak güvenlik fonksiyonlarını başlatabilen analog bir yedeğe sahiptir: DDAS. Bu çeşitlilik sağlar: dijital ve analog sistemler tamamen farklı nedenlerle arızalanabilir ve bir arıza diğerinin çalışmasını engellemez.

2-of-4 vs 2-of-3 Mantığı

RPS, SCRAM başlatmak için 2-of-4 oylama kullanır (dört sensör, ikisi trip için anlaşmalıdır). Ancak bireysel sensörler, her trende 2-of-3 oylama kullanarak aktüasyon sistemine rapor verir (üç ölçüm, ikisi belirli bir güvenlik fonksiyonunu aktive etmek için anlaşmalıdır, örneğin ECCS).

Bunlar aynı şey değil, & farkı anlamak önemli.

Minimum Staffing

İnsan Denetimi: Düşünen Katman

Nükleer santral operasyonları, vardiya boyunca lisanslı personel gerektirir. NRC 10 CFR 50.54(m), minimum personel gereksinimlerini belirler. Minimum olarak, işletme ekipleri şunları içerir:

Reaktör Operatörü (RO): NRC lisanslı (10 CFR 55). Reaktör kontrollerini, ana kontrol panelini ve güvenlik sistemlerini doğrudan işletir. Güç operasyonları sırasında kontrollerde sürekli bulunmalıdır.

Kıdemli Reaktör Operatörü (SRO): Daha yüksek NRC lisansı. RO'yu denetler. Kapatma başlatma konusunda bağımsız yetkiye sahiptir. Anormal olaylar sırasında RO'nun eylemlerini inceler ve onaylar. Vardiyadaki RO ile aynı kişi olamaz.

Vardiya Denetçisi (SS): Kıdemli SRO lisanslı. Vardiya sırasında operasyonların genel yürütülmesinden ve tesis güvenliğinden sorumludur. Tesis operasyonları için sahada nihai otoritedir.

Vardiya Teknik Danışmanı (STA): TMI sonrası gereklilik (NUREG-0737). Her vardiyaya anormal olaylar sırasında bağımsız teknik destek sağlamak üzere atanan lisanslı bir mühendis: işletme kontrolleriyle meşgul olmaz, olayı teşhis etmeye tamamen odaklanır.

Neden birden fazla kişi? İnsan katmanında derin savunma. Stres altındaki bir RO, prosedürleri yürütmeye odaklanırken büyük resmi kaçırabilir. SRO bağımsız denetim sağlar. STA bağımsız teknik analiz sağlar. Vardiya denetçisi durumsal farkındalığı korur. Tek bir insan bilişsel hatası tesisin güvenli bir şekilde kontrol edilmesini engelleyemez.

İnsan Performansı Araçları

İnsan Hatasını Azaltma: Sistematik Araçlar

Nükleer sanayi, farklı görev türleri için insan hata oranlarını nicelendirmiştir. Stres altındaki karmaşık karar verme için hata oranları 10'da 1'i aşabilir. Sanayi, kritik görevler için 1.000'de 1 veya daha iyi hata oranlarını hedefler: ve bunları sistematik insan performansı araçları aracılığıyla başarır.

Görev öncesi brifing: Herhangi bir önemli görevden önce, bir brifing şu konuları kapsar: görev hedefi, tehlikeler, beklenen koşullar, tamamlanmayı doğrulama adımları, durma koşulları (eğer X olursa, dur & supervisörü ara). 5-15 dakika sürer. Görev yürütme hatalarını dramatik şekilde azaltır.

STAR (Dur, Düşün, Uygula, Gözden Geçir): Her kritik eylem için kendi kendine kontrol tekniği. Dur: eylemden önce durakla. Düşün: ne yapacağım ve bu doğru mu? Uygula: eylemi gerçekleştir. Gözden Geçir: sonuç beklediğim gibi miydi? İki saniyelik duraklama, yer değiştirme hatalarını, yanlış vana seçimlerini ve bilişsel kestirmeleri yakalar.

Üç yönlü iletişim: Tüm güvenlik açısından önemli sözlü emirler için: (1) Başlatıcı emri belirtir: 'Vana HV-233'ü açık pozisyona hizala.' (2) Alıcı tam olarak tekrar eder: 'Vana HV-233'ü açık pozisyona hizala.' (3) Başlatıcı onaylar: 'Bu doğru.' Bu alışverişte yakalanmayan bir iletişim hatası nadirdir: her iki tarafın da yanlış duyma veya yanlış hatırlama gerektirir.

İki kişilik bütünlük: Belirli yüksek sonuçlu operasyonlar için (güvenlik ile ilgili, kaynak elleçleme), iki lisanslı bireyin hazır bulunması ve birbirlerinin eylemlerini karşılıklı olarak doğrulaması gerekir. Hiçbir kişi hassas eylemi yalnız başına gerçekleştiremez: ikinci kişinin fiziksel olarak hazır bulunması ve her adımı onaylaması zorunludur.

Yorgunluk yönetimi: NRC 10 CFR 26 sınırlar koyar: maksimum 16 saat çalışma günü, göreve dönmeden önce minimum 8 saat dinlenme, haftada maksimum 54 saat, fazla mesai altında haftada maksimum 72 saat. Yorgunluk, karar verme yeteneğini sarhoşluk kadar ciddi şekilde bozar: bu sınırlar verimlilik önerileri değil, güvenlik gereklilikleridir.

Acil Durum İşletme Prosedürleri

Three Mile Island (1979) öncesinde, nükleer santraller olay tabanlı acil prosedürler kullanıyordu: X olayı gerçekleşirse, prosedür X'i uygula. Operatörler harekete geçmeden önce olayı doğru tanımlamak zorundaydı.

TMI’de operatörler çelişkili göstergeler aldı. Bir basınç tahliye vanası açık kalmıştı: bu küçük kırılmalı bir LOCA idi; ancak operatörler olayı yanlış tanımladı ve yanlış prosedürü uyguladı. Doğru tanı konduğunda, yakıt hasarı önemli ölçüde gerçekleşmişti.

TMI sonrası sektör, semptom temelli acil durum işletme prosedürleri (EOP’ler) geliştirdi. “Olayı tanımla, prosedürü seç” yaklaşımı yerine operatörler şu yöntemi izler: “Semptomları gözlemle, olayın ne olduğunu düşündüğünden bağımsız olarak bu semptomlara karşı koruyucu eylemleri uygula.”

Temel semptom temelli giriş koşulu: reaktör soğutma suyu seviyesi, basıncı veya sıcaklığında beklenmeyen herhangi bir değişiklik, nedeni ne olursa olsun, aynı çekirdek soğutma doğrulama dizisini tetikler.

ALARA: Makul Şekilde Mümkün Olduğu Kadar Düşük

Radyasyon Koruması Mühendisliği

ALARA: Makul Şekilde Mümkün Olduğu Kadar Düşük: sadece bir doz sınırı değildir. Bir felsefedir: doz, pratik olduğu kadar düşük tutulmalı, sadece yasal sınırların altında tutulmamalıdır. NRC, ALARA'yı düzenleyici bir gereklilik olarak zorunlu kılar (10 CFR 20.1101), sadece iyi bir uygulama değil.

Dış doz yönetimi: üç klasik kontrol:

- Zaman: Radyasyon alanında geçirilen süreyi yarıya indirin, dozu yarıya indirin. Önceden planlanmış çalışma sıraları, yüksek dozlu alanlarda gereksiz zamanı en aza indirir.

- Mesafe: Doz oranı ters kare yasasına uyar. Nokta kaynağından uzaklığınızı iki katına çıkarın, doz oranınızı dörtte bire indirin. Üç feet yerine altı feette çalışmak dozu %75 azaltır.

- Kalkanlama: Kurşun, beton, su ve polietilen farklı radyasyon türlerini zayıflatır. Yarı Değer Katmanı (HVL), yoğunluğu yarıya indiren kalınlıktır. Tipik gama için kurşun HVL: ~1 cm. Beton HVL: ~6 cm. On HVL'den sonra (10 TVL = On'da Bir Değer Katmanı), yoğunluk orijinalin 1/1.000'ine iner.

İç doz yönetimi:

- Vücut içindeki radyoaktif madde, çürüene veya atılana kadar organları ışınlamaya devam eder

- Yolaklar: solunum (aerosoller, gazlar), yutma (kontamine gıda/su), cilt üzerinden emilim (nadir)

- Türemiş Hava Konsantrasyonu (DAC): Bir radyonüklidin havadaki konsantrasyonu ki, yılda 2.000 saat solunduğunda mesleki doz limitini verir. Solunum cihazları ve negatif basınçlı muhafazalar solunum dozunu önler.

- Annual Limit on Intake (ALI): mesleki doz sınırını sağlayan toplam alım (inhalasyon + yutma)

Mesleki doz sınırları (10 CFR 20):

- Yıllık toplam efektif doz eşdeğeri: 5 rem (50 mSv)

- Çeyrek dönem: 3 rem (30 mSv)

- Göz merceğine yıllık: 15 rem (150 mSv)

- Cilt veya ekstremitelere yıllık: 50 rem (500 mSv)

- ALARA planlaması için doz kısıtı: 2 rem/yıl (tesise özgü idari sınırlar genellikle daha düşüktür)

Kontaminasyon kontrolü:

- Radyolojik Kontrollü Alanlar (RCA'lar) kontrollü erişime sahiptir, çıkışta frisking yapılır

- Step-off pedleri: RCA çıkışlarında kağıt veya plastik; kontaminasyonun izini önlemek için burada ayakkabı örtüleri değiştirilir

- Tüm vücut sayımı: Potansiyel iç kontaminasyonlu alanlarda çalıştıktan sonra, tüm vücut gama sayımları iç alımı tespit eder

- Biyolojik örnekleme programları: idrar ve dışkı analizi, belirli izotoplardan iç dozu niceliklendirir

ALARA Uygulamada

Bir radyasyon işçisi, yüksek radyasyonlu bir alanda bir vanayı değiştirmelidir. Vana konumundaki doz oranı 500 mrem/saat'tir. İşin tamamlanması 30 dakika gerektirir. İşçinin bugüne kadarki yıllık dozu, tesis idari limitine karşı 1.200 mrem'dir: 2.000 mrem/yıl.

ALARA prensiplerini ve üç kontrolü kullanarak, bu işin devam edip edemeyeceğini değerlendirin ve dozu azaltmak için en az iki spesifik eylem belirleyin.

Three Mile Island (1979)

Three Mile Island Ünite 2: 28 Mart 1979

TMI bir tasarım hatası değildi: insan ve prosedür katmanlarındaki savunma derinliği hatasıydı.

Ne oldu:

- Bir türbin trip’i reaktör SCRAM’ine neden oldu (otomatik: doğru çalıştı)

- Bir basınç tahliye vanası (PORV) açıldı (doğru) ancak açık kaldı (ekipman arızası)

- Kontrol odası göstergesi sadece vanaya kapat sinyalinin gönderildiğini gösterdi: vananın aslında kapalı olduğu değil

- Soğutucu, açık kalan PORV'den kaçtı. Reaktördeki basınç ve sıcaklık düştü

- Operatörler belirtileri aşırı soğutucu olarak yanlış okudu ve acil soğutma enjeksiyonunu azalttı: tam tersi gereken şeydi

- İki saatten fazla süre boyunca reaktör çekirdeği kısmen açığa çıktı

- Çekirdeğin yaklaşık yarısı eridi

Havalandırmanın yaptığı: Dayandı. Şiddetli çekirdek hasarı ve havalandırma içindeki hidrojen birikmesine rağmen, havalandırma yapısı neredeyse tüm fisyon ürünlerini tuttu. Saha dışı doz sonuçları önemsizdi: radyasyondan halk sağlığına etkisi yoktu.

TMI Sonrası İyileştirmeler (NUREG-0737):

- Semptom temelli EOP'ler (olay temelli yerine)

- Her vardiyada Vardiya Teknik Danışmanları

- Ekip eğitimi için NRC onaylı tam kapsamlı simülatörler

- Kaza sonrası izleme enstrümantasyonu (PAM): doğrudan çekirdek soğutma göstergeleri, AC bağımsız güçte nitelikli ekran paneli

- Yeniden tasarlanmış kontrol odası tasarım standartları (NUREG-0700)

- Geliştirilmiş operatör lisanslama sınavı gereklilikleri

Chernobyl (1986)

Chernobyl Ünite 4: 26 Nisan 1986

Chernobyl, TMI’den farklı bir karaktere sahipti: temel olarak tasarım kusuru ile kasıtlı güvenlik sistemi bypass’larının birleşimiydi.

Ne oldu:

- Bir voltaj kararlılığı testi, reaktörün düşük güçte (~200 MW, nominal 3.200 MW yerine) çalıştırılmasını gerektiriyordu

- Düşük güçte RBMK reaktörü pozitif void katsayısına sahipti: soğutucudaki buhar kabarcıkları reaktiviteyi artırıyordu

- Kontrol çubuklarının tasarım kusuru vardı: grafit uçları ilk takıldığında suyu yerinden çıkarıyor, nötron emici kısım çekirdeğe girmeden önce reaktivitede ilk artışa neden oluyordu

- Test geciktirildi; gece vardiyası bunun için eğitilmemişti

- Testi çalıştırmak için birden fazla güvenlik sistemi kasıtlı olarak devre dışı bırakıldı

- Acil kapatma düğmesine (AZ-5) basıldığında, grafit çubuk uçları amaçlanan SCRAM yerine reaktivite artışına neden oldu

- Güç saniyeler içinde 30.000 MW’a yükseldi: nominal gücün yaklaşık 10 katı

- Yakıt ve soğutucu buhara dönüşerek reaktörü yok eden bir buhar patlamasına yol açtı

- Grafit yangını 10 gün sürdü ve fisyon ürünleri Avrupa’ya yayıldı

Kapsama yok: RBMK’de tam bir koruma binası bulunmuyordu. Reaktör, basıncı tutma yeteneği olmayan büyük bir endüstriyel binanın içinde yer alıyordu. Reaktör yok edildiğinde son bir bariyer yoktu.

Çernobil Sonrası Değişiklikler:

- RBMK tasarım değişiklikleri: düşük güçte pozitif boşluk katsayısını kaldırıldı, çubuk uçları yeniden tasarlandı, ek nötron emiciler eklendi

- Uluslararası nükleer güvenlik sözleşmeleri güçlendirildi

- Nükleer güvenlik kültürü kavramı IAEA tarafından resmileştirildi (INSAG-7)

- Batı düzenlemelerinde koruma kabuğunun tartışılmaz bir gereklilik olarak vurgulanması

Üç Kaza, Üç Ders

Artık üç büyük sivil nükleer kazayı biliyorsunuz: TMI (1979), Çernobil (1986) ve Fukuşima (2011). Her biri savunma derinliği açısından farklı bir tür başarısızlığı ortaya çıkardı.

Riski Nicelleştirme

PRA: 'Yeterince Güvenli'den 'Ne Kadar Güvenli?'ye Geçiş

Determinisitik güvenlik analizi der ki: santrali bu belirli kazalardan sağ çıkacak şekilde tasarlayın. Olasılıksal Risk Değerlendirmesi (PRA) farklı bir soru sorar: her şeyin ters gitme olasılıkları göz önüne alındığında, bunların gerçekten gerçekleşme olasılığı nedir?

Çekirdek hasar frekansı (CDF): Reaktör çekirdeğinin herhangi bir verilen yılda önemli ölçüde hasar görme olasılığı. NRC'nin güvenlik hedefi: CDF < 1×10⁻⁴ reaktör-yılı başına (10.000 reaktör-yılında bir). Modern santraller tipik olarak CDF < 1×10⁻⁵'e ulaşır (100.000 reaktör-yılında bir).

Büyük erken salım frekansı (LERF): Çevrede büyük, erken bir radyoaktivite salınımı olasılığı (tahliye tamamlanmadan önce). NRC güvenlik hedefi: LERF < 1×10⁻⁵ reaktör-yılı başına.

Hata ağaçları: Belirlenmiş bir üst olayına (ör. 'ECCS reaktör çekirdeğine su teslim edemez') yol açan bileşen arızalarının kombinasyonlarını gösteren grafik mantık diyagramları. TÜMÜ (hepsinin arızalanması gerekir) kapıları & VEYA (tek bir arıza yeterli) kapıları kullanır. TÜMÜ kapıları olasılığı azaltır (birden fazla eşzamanlı arıza gerektirir). VEYA kapıları olasılığı artırır.

Olay ağaçları: Bir başlatıcı olayla (ör. 'büyük kırılma LOCA meydana gelir') başlayan & güvenlik sistemlerinin başarıya ulaşması veya arızalanmasına bağlı olarak sonuçları izleyen grafik diyagramlar. Her dal, bir güvenlik fonksiyonunun başarısını veya arızasını temsil eder. Uç düğümler kaza dizileridir: güvenli kapatma, çekirdek hasarı, büyük salım.

Önem ölçüleri: PRA, riske en çok katkıda bulunan bileşenleri & sistemleri belirler.

- Fussel-Vesely (FV) önemi: bir bileşenin arızalarının CDF'ye katkısının kesri. Yüksek FV = bu bileşen çok önemlidir.

- Risk Başarı Değeri (RAW): bu bileşenin arızalı varsayılması durumunda CDF'nin ne kadar arttığı. Yüksek RAW = bu bileşen uzun süre devre dışı bırakılmamalıdır.

RAW, bakım & test programlamasını yönlendirir: yüksek-RAW bileşenler sık test edilir & kısa izin verilen devre dışı sürelerine sahiptir.

PRA ve Bakım Zamanlaması

Bir nükleer santralde üç acil durum dizel jeneratörü (A, B, C) bulunmaktadır. PRA analizi şunları gösterir:

- Üçü de çalışır durumda olduğunda CDF: yılda 2×10⁻⁵

- Dizel A bakım için hizmet dışı olduğunda CDF: yılda 8×10⁻⁵ (4 kat artış)

- Dizel A ve B aynı anda hizmet dışı olduğunda CDF: yılda 4×10⁻³ (200 kat artış)

Bakım ekibi, dizel A ve B'yi 30 gün sürecek büyük bir revizyon için aynı anda hizmet dışı almak istiyor.

Kullanılmış Yakıt: Uzun Süreli Yükümlülük

Harcanmış Yakıt: Aktif & Pasif Yönetim

Yakıt reaktörden 3-5 yıllık işletme sonrası çıkarıldığında, bozunma ısısından dolayı yoğun radyoaktif ve termal olarak sıcaktır. Aynı bozunma ısı eğrisi geçerlidir: anında nominal gücün %7’si, yıllar içinde azalır.

Harcanmış yakıt havuzları (SFP): Çıkarıldıktan hemen sonra, harcanmış yakıt demetleri reaktör binasına bitişik, tipik olarak 40 feet derinliğinde su dolu bir havuza yerleştirilir. Su iki amaçla kullanılır: soğutma ve koruma (yakıtın üzerindeki su radyasyonu emer, havuz güvertesindeki çalışanların düşük doz almasını sağlar).

Kuru kaba aktarmadan önce minimum havuz soğutma süresi: PWR yakıtı için yaklaşık 5 yıl. Yakıt, kalan bozunma ısısını su olmadan pasif hava soğutmasının kaldırabileceği seviyeye inene kadar soğutulmalıdır.

Zirkaloy yangın riski: Harcanmış yakıt demetleri su altında kalmazsa (havuz suyu kaybedilirse), zirkaloy kaplama yüksek sıcaklıklarda havada oksitlenebilir. Hidrojen üreten buhar-zirkaloy reaksiyonunun aksine, kızıl-sıcak sıcaklıklarda hava-zirkaloy oksidasyonu kendi kendini sürdüren ekzotermik bir reaksiyon olan zirkaloy yangınını başlatabilir. Fukushima Ünite 4’ün harcanmış yakıt havuzu, bu durumun oluşabileceği sıcaklıklara ulaşmaya günler kalmıştı.

Fukushima Sonrası SFP Gereklilikleri (NRC Order EA-12-051):

- SFP su seviyesi ve sıcaklığı için güvenilir enstrümantasyon

- SFP'ye çeşitli kaynaklardan makyaj suyu ekleme yeteneği

- Uzun süreli güç kaybı senaryolarında SFP soğutmasını sürdürme veya geri getirme stratejileri

Kuru kask depolama: Yakıt, havuzda 5+ yıl kaldıktan sonra kuru kasklara aktarılır: kaynaklı çelik kovanlar, beton veya yüksek yoğunluklu polietilen kalkanla çevrelenir. Soğutma tamamen pasiftir: dış yapının havalandırmalarından doğal hava konveksiyonu. Güç gerektirmez. Tasarım ömrü: 100+ yıl. Şu anda yalnızca ABD'de kuru kask depolamada 90.000 metrik tondan fazla ağır metal bulunmaktadır.

Yüksek seviyeli atık bertarafı: Kullanılmış yakıt, yüksek seviyeli nükleer atık olarak sınıflandırılır. ABD yasası (Nükleer Atık Politikası Yasası), Yucca Mountain, Nevada’yı kalıcı depo olarak belirler; ancak siyasi muhalefet nedeniyle açılmamıştır. NRC, bir deponun 10.000 yıl boyunca muhafaza sağlamasını şart koşar (EPA standardı: 10.000 yıldan sonraki dozlar için 1 milyon yıl). Derin jeolojik bertaraf, birincil bariyer olarak kaya oluşumunu kullanırken, mühendislik bariyerleri (cam vitrifikasyon, metal kovanlar, bentonit kil) ek katmanlar olarak hizmet eder.

Düşük seviyeli atık (LLW): Kirlenmiş giysiler, aletler, filtreler, reçineler. NRC’nin üç sınıfı:

- Sınıf A: en düşük aktivite, en kısa ömürlü izotoplar. Sığ arazi gömüsü, 100 yıllık izolasyon gerekliliği

- Sınıf B: orta aktivite. 300 yıllık izolasyon ile sığ gömü

- Sınıf C: daha yüksek aktivite, daha uzun ömürlü izotoplar. 500 yıllık izolasyon gerektirir; daha fazla mühendislik bariyeri ile yüzeye yakın bertaraf

Hacim azaltma teknikleri (yakma, sıkıştırma, eritme) bertaraf alanını en aza indirmek için zorunludur

Kuru Fıçılama Güvenlik Durumu

Bir eleştirmen, kuru fıçılama depolamasının güvensiz olduğunu savunuyor çünkü fıçılarda aktif soğutma yok, güç bağlantısı yok ve beton platformlarda dışarıda duruyorlar. Bir nükleer mühendis ise kuru fıçılama depolamasının harcanmış yakıt havuzundan aslında daha güvenli olabileceğini belirtiyor.

Savunmada Derinlik: Tam Resim

Nükleer Güvenlik Mühendisliği: Bir Sistem Disiplini

Artık nükleer güvenlik mühendisliğinin her katmanını incelediniz. Bir adım geri atın ve sistemi görün:

Fiziksel bariyerler (yakıt matrisi, kaplama, basınç kabı, koruma yapısı) pasiftir: çalışmak için herhangi bir eyleme ihtiyaç duymazlar. Temeli oluştururlar.

Güvenlik sistemleri (ECCS, RPS, EDG’ler, DDAS) aktif olup pasif yedeklere (akümülatörler, yerçekimi tankları, bataryalar) sahiptir. Her fonksiyon üç bağımsız trene sahiptir. Her tren %100 kapasitelidir. Aktif ve pasif yaklaşımlar çeşitlidir.

Enstrümantasyon (RPS, ECCS tetikleme, PAM) düzinelerce parametreyi 2-of-4 oylama mantığıyla izler: yanlış tetiklemelere ve tetiklemeyi engelleyebilecek sensör arızalarına karşı dayanıklıdır.

Prosedürler (semptom temelli EOP’ler) operatörleri doğru tanı koymadan koruyucu eylemlere yönlendirir. TMI sonrası. Kritiktir.

İnsan faktörleri (personel sayısı, eğitim, insan performansı araçları, yorgunluk sınırları) insan katmanının başarısız olma olasılığını azaltır. TMI sonrası STA zorunluluğu. Simülatör eğitimi. İş öncesi brifingler. STAR. Üç yönlü iletişim.

Yönetim ve güvenlik kültürü güvenliğin verimlilik uğruna feda edilmemesini sağlar. Çernobil sonrası INSAG-7. Çernobil’in dersi şudur: yönetim tarafından devre dışı bırakılan güvenlik sistemleri, var olmayan güvenlik sistemleridir.

Regülasyon (NRC 10 CFR 50, IAEA standartları, periyodik denetimler) en üst katmanda bağımsız denetim sağlar. Denetim yapmayan bir regülatör, var olmayan bir regülatördür.

Üç büyük kaza, savunma derinliğinin tek bir dramatik arızadan değil, birden fazla katmanda eşzamanlı olarak küçük arızaların, yanlış varsayımların ve yetersiz güvenlik paylarının birleşiminden dolayı başarısız olduğunu ortaya koymuştur. Güvenlik gerekçesi, en zayıf eşzamanlı kombinasyonu kadar güçlüdür.

Son Entegrasyon

Son Soru: En Zor Olanı

Yeni önerilen bir reaktör tasarımı, yalnızca tek bir ECCS treni (üç yerine), acil durum dizel jeneratörleri olmadan (yalnızca pasif soğutma) ve vardiyada dört yerine iki operatörle basitleştirilmiş bir personel modeliyle o kadar güvenli olduğunu iddia ediyor.

Tasarımcı şöyle savunuyor: 'Pasif soğutma, güç gerektirmediği anlamına gelir, dolayısıyla dizel jeneratörler gereksizdir. Reaktör fizik kuralları gereği erimez, bu nedenle basitleştirilmiş personel istihdamı haklıdır.'