Визначення МАГАТЕ

Захист у глибину: Організаційна філософія

Міжнародне агентство з атомної енергії (МАГАТЕ) визначає захист у глибину як багатошаровий підхід до безпеки, в якому кожен шар діє як резерв для попередніх. Жоден окремий шар не вважається досконалим. Обґрунтування безпеки залежить від наявності кількох незалежних шарів, щоб жодна окрема несправність: і жодна окрема комбінація несправностей від єдиної причини: не могла призвести до шкоди.

Захист у глибину діє на кожному масштабі:

Фізичні бар'єри: матриця палива → оболонка палива → корпус реактора під тиском → захисна оболонка → будівля реактора (4-5 фізичних меж між паливом та середовищем)

Системи безпеки: кожна функція (охолодження, відключення, живлення) виконується щонайменше 3 незалежними лініями

Процедура: письмові процедури регулюють кожну еволюцію; аномальні та екстрені процедури для кожної події базового проєкту

Оператори: ліцензовані, навчені, кваліфіковані, відпочивші; незалежний авторитет для ініціювання відключення

Керівництво: культура ядерної безпеки, регуляторний нагляд, незалежні огляди безпеки

Регулювання: вимоги базового проєкту NRC 10 CFR 50, ліцензована експлуатація, періодичні інспекції

Ключовий принцип: Немає заслуг за невдалі шари. Якщо ви не можете підтвердити, що бар'єр цілий, ви припускаєте, що його немає. Вся система спроєктована так, щоб бути безпечною за будь-якого одного активного компонента, що вийшов з ладу: це називається критерієм одинарної відмови.

Резервування, Різноманітність та Незалежність

Три властивості, які роблять захист реальним

Системи ядерної безпеки повинні задовольняти три різні властивості. Їхнє змішування — це поширена та небезпечна помилка.

Резервування означає мати більше одного однакового. Три дизельні генератори є резервованими. Але якщо вони всі ділять один паливний бак, одну логіку запуску або одну фізичну кімнату, резервування саме по собі не захищає від відмови загальної причини.

Різноманітність означає використання різних фізичних принципів або різного обладнання для виконання однієї функції. Насос високого тиску та акумулятор, під тиском азоту, обидва подають воду до активної зони: але вони працюють на абсолютно різних принципах. Різноманітність перемагає режими відмови, які б перемогли всі резервні копії одного дизайну.

Незалежність означає, що відмова одного каналу не може спричинити або перешкодити роботі іншого. Незалежність вимагає:

- Окремих шин живлення (різні електроживлення)

- Фізичного розділення (бар'єри, різні будівлі, протилежні сторони реактора)

- Окремої логіки спрацьовування (коротке замикання в Каналі A не може вивести з ладу Кінець B)

- Окремої aparatури (датчики Каналу A не живлять спрацьовування Каналу B)

Спільна причина відмови (CCF) — це кошмарний сценарій: одна подія одночасно виводить з ладу кілька резервних каналів. Фукусіма — визначальний приклад: цунамі було не просто втратою зовнішнього живлення. Воно одночасно вивело з ладу всі три аварійні дизельні генератори, тому що вони всі були в одній низинній будівлі. Резервування без незалежності — це ілюзія.

Критерій односправності

Критерій односправності NRC (10 CFR 50, Appendix A, General Design Criterion 17) стверджує, що системи безпеки повинні бути спроектовані таким чином, щоб жодна односправність активного компонента не перешкоджала системі виконувати свою функцію безпеки.

«Активна» несправність — це та, яка вимагає зміни стану: насос не запускається, клапан не відкривається.

«Пасивна» несправність (наприклад, тріщина в трубі) регулюється окремими вимогами до проектування.

Чому три лінії?

Кожна система критична для безпеки: три незалежні лінії

Правило потрійної надмірності — це не просто 'три безпечніші за два'. Це точна інженерна вимога з конкретними властивостями.

Кожна система (поїзд) повинна бути здатна виконувати 100 % функції безпеки незалежно. Якщо Система A забезпечує охолодження, вона забезпечує весь необхідний обсяг охолодження. Системи B і C не є частковими помічниками: вони є повноцінними резервними системами.

Системи повинні бути фізично розділені. Вони мають бути в різних будівлях або, як мінімум, розділені протипожежними бар’єрами. Різні кабельні траси. Різні трубопроводи. Якщо пожежа, затоплення чи вибух уражає одну систему, це не повинно поширюватися на інші.

Системи повинні мати окремі джерела живлення. Різні електричні шини, що живляться від різних джерел. Система A — на шині A, Система B — на шині B, Система C — на шині C: кожна шина має власний аварійний дизель-генератор.

Системи повинні мати окрему логіку спрацювання. Відмова реле в ланцюгу спрацювання Системи A не повинна перешкоджати спрацюванню Системи B. В ідеалі вони використовують різні принципи спрацювання (різноманітність).

Чому три, а не два? З трьома поїздами логіка голосування два-із-трьох означає, що будь-яка одиночна відмова компонента все ще залишає два функціональні поїзди: ви отримуєте як критерій одиночної відмови, ТАК і деякий захист від відмов загальної причини. З двома поїздами одиночна відмова залишає вас з одним поїздом: немає запасу, немає захисту від другої відмови.

Різноманітність проти Резервування

Розгляньте систему аварійного охолодження активної зони PWR. Один підхід: три однакові насоси високого тиску для впорскування, кожен живиться від окремого дизель-генератора та розміщений в окремому приміщенні.

Другий підхід: один насос високого тиску для впорскування, плюс один акумулятор, що перебуває під тиском азоту і не потребує живлення, плюс одна гравітаційна ємність з водою з підвищеного резервуару.

Обидва підходи забезпечують три способи подачі води до активної зони.

ECCS: Остання лінія захисту активної зони

Системи аварійного охолодження активної зони

Проєктною основою аварії для PWR є втрата теплоносія (LOCA): розрив у системі теплоносія реактора, що дозволяє первинному теплоносію витікати. Великий розрив LOCA може оголити активну зону за лічені секунди. Без негайного затоплення температура оболонок твелів перевищує 2 200 °F, циркалой окислюється, і починається пошкодження палива.

ECCS для типового PWR має чотири підсистеми, кожна з яких працює на різних етапах аварії:

Система високого тиску впорскування (HPIS): Активується негайно при низькому тиску охолоджувача реактора або високому тиску оболонки. Впускає борну воду в систему охолоджувача реактора, коли тиск ще високий (понад ~200 psi). Використовує моторні насоси, живлення від аварійних дизелів. Витрата: 500-1,500 gpm залежно від конструкції.

Акумулятори (також називаються Резервуари затоплення активної зони): Пасивні резервуари з азотним тиском, що містять борну воду. Вони впорскують автоматично, коли тиск охолоджувача реактора падає нижче тиску азоту (зазвичай 600-700 psi). Не потрібно живлення: тиск азоту штовхає воду в активну зону. Кожен акумулятор вміщує ~1,000 галонів.

Система низького тиску впорскування (LPIS): Активується при низькому тиску (<200 psi). Забезпечує великі витрати (тисячі gpm) для великої розривної LOCA. Після спорожнення резервуара води для перезарядки (RWST) система переходить на рециркуляцію з трапа: рециркулює воду з трапа оболонки назад через активну зону. Має продовжуватися тижнями (видалення тепла розпаду).

Система видалення залишкового тепла (RHR): Також називається системою видалення тепла розпаду. Основне призначення: видалення тепла розпаду після досягнення реактором холодного відключення. Працює при низькому тиску та низькій температурі, циркулюючи охолоджувач через теплообмінники. Також забезпечує можливість впорскування низького тиску.

Системи розпилювання ядра BWR: Реактори з киплячою водою використовують сопла розпилювання ядра над паливом, які розпилюють воду безпосередньо на паливні касети: інша геометрія, ніж затоплення PWR.

Крива теплоти розпаду

Крива теплоти розпаду є одним з найважливіших чисел у ядерній безпеці. Після вимкнення реактора:

- t = 0 секунд: ~7% від номінальної потужності (240 МВт для реактора 3 400 МВт)

- t = 1 хвилина: ~3,5%

- t = 1 година: ~1% (~34 МВт)

- t = 1 день: ~0,3% (~10 МВт)

- t = 1 тиждень: ~0.1%

- t = 1 рік: паливо все ще генерує вимірюване тепло від довго-lived ізотопів

Десять мегават тепла, що підтримується безкінечно, без живлення для роботи насосів охолодження. Це була точна ситуація на Fukushima Daiichi 11 березня 2011 року.

Пасивні ECCS: Проєкт AP1000

Наступне покоління: Пасивна безпека

Westinghouse AP1000 (Advanced Passive 1000 MWe) засвоює уроки активних ECCS та перевертає філософію проєктування: замість трьох ліній насосів, що потребують живлення, усі функції безпеки покладаються на гравітацію, природну циркуляцію, стиснений газ та випаровування.

Резервуари для поповнення активної зони (CMT): Два великі резервуари з холодною борованою водою, встановлені над реактором. Зазвичай ізольовані. При спрацьовуванні вони спускаються гравітацією в систему реакторного контуру. Кожен резервуар містить достатньо води, щоб тримати активну зону покритою протягом годин.

Акумулятори: Такі ж, як у конвенційних реакторах: азотом під тиском, пасивне впорскування.

Резервуар для води для дозаправки в гермоблоці (IRWST): Великий басейн з водою всередині гермоблоку, над реактором. Живлення самопливом. Забезпечує довготривале охолодження після спорожнення CMT. Без насосів. Без живлення.

Пасивні теплообмінники для видалення залишкового тепла (PRHR HX): Занурені в IRWST. Природна циркуляція переносить тепло розпаду з реактора у воду IRWST, яка нагрівається, кипить та виводиться в атмосферу через димар. Без насосів. Повністю пасивні.

72-годинне вікно: Аналіз безпеки AP1000 демонструє 72 години охолодження активної зони без дій оператора та без живлення. Після 72 годин оператори можуть наповнити IRWST водою з будь-якого джерела.

Ця різноманітність конструкцій: пасивна проти активної: це причина, чому різноманітність важлива. Системи безпеки AP1000 не можна перемогти режимом відмови, який знищив Фукусіму.

[TITLE containment/]

Остання Фізична Бар'єра

Контеймент: Останній Кордон

Якщо всі інші системи безпеки вийдуть з ладу & паливо буде пошкоджене, контеймент є останньою бар'єрою між радіоактивними матеріалами & громадськістю. Він повинен витримувати: внутрішній тиск від пари, горіння водню, удари снарядів від несправного обладнання, & стільки часу, скільки необхідно.

Сухий контеймент PWR: Сталева обшивка в армованобетонній конструкції, типово 140 футів в діаметрі & 200 футів заввишки. Розрахований на утримання тиску пари від повного подвійного гільйотинного розриву найбільшої труби первинного контуру охолодження (тиск проектування ~60 psi). Сталева обшивка є тисковим кордоном; бетон забезпечує структурну міцність & біологічний захист.

Контеймент з льодовим конденсатором: Менший, низько тисковий контеймент PWR (використовується в деяких заводах Westinghouse), що використовує сотні тонн льоду для поглинання енергії пари та утримання низького тиску в контейменті під час LOCA. Дозволяє меншу, дешевшу конструкцію, але вимагає періодичного обслуговування льоду.

Подвійний контеймент: Деякі конструкції розміщують внутрішній сталевий контеймент всередині зовнішньої бетонної вторинної будівлі контейменту. Простір між ними підтримується при трохи негативному тиску, тому будь-яке витікання з внутрішнього контейменту збирається та фільтрується перед випуском.

Контеймент BWR: Mark I, II, III: Контейменти BWR від General Electric менші, тому що вони використовують басейн придушення тиску (торус або wetwell) для швидкого конденсування пари. Mark I (конструкція Фукусіми) — це схема сухого колодязя-торуса: торус — це великий пончиковидний басейн води під сухим колодязем. Слабкість: торус прикріплений до низу сухого колодязя. Якщо торус виходить з ладу, контеймент виходить з ладу. Саме це сталося на блоці 1 Фукусіми.

Пасивні автокаталітичні рекомбінатори (PAR): Після Фукусіми більшість контейментів тепер включають PAR: пристрої, що містять каталитичний матеріал (паладій або платина), який реагує водень з киснем для утворення води без запалювання при низьких концентраціях. Це запобігає накопиченню водню, що могло б спричинити дефлаграцію або детонацію.

Фільтрована вентиляція containment: Вимога після Фукусіми в Європі та дедалі частіше в США: укріплений шлях вентиляції з багатоступеневою системою фільтрів (вентурі-скрубер + металевий волокнистий фільтр), що дозволяє операторам навмисно вентилювати containment, зберігаючи >99.9% частинкової радіоактивності. Це запобігає неконтрольованому руйнуванню containment через надмірний тиск.

Базовий проєкт та понад базовий проєкт

Для чого призначений containment

Аварії базового проєкту (DBA): NRC вимагає, щоб containment витримував будь-яку з цих одночасно:

- Великий розрив LOCA: повне розривання найбільшої труби первинного контуру охолодження, максимальний випуск охолоджувача

- Втрата зовнішнього живлення (LOOP) разом з LOCA: відсутність енергії з мережі саме тоді, коли вона найбільше потрібна

- Розрив магістралі пари: викид високоенергетичної пари всередині контейнмента

- Аварія з паливом: упущена паливна збірка, викид продуктів поділу з пошкодженого палива

Події за межами розрахункової основи (BDBA): Після 9/11 та Фукусіми, електростанції також повинні враховувати:

- Відключення станції (SBO): тривала втрата всього змінного струму (вимога після TMI, посилена після Фукусіми)

- Повінь за межами розрахункової основи: Фукусіма показала, що висоти повені за розрахунковою основою були занадто низькими

- Удар літака: NRC вимагає після 9/11 аналізу навмисного удару літака; нові електростанції повинні продемонструвати структурну стійкість

- Втрата охолодження басейну витраченого палива: басейн витраченого палива блоку 4 Фукусіми ледь не википів досуха; після Фукусіми додані вимоги щодо спеціальних з'єднань для поповнення SFP

Вразливість Mark I

Усі одиниці Fukushima Daiichi 1, 2 та 3 мали containment General Electric Mark I. Mark I використовує drywell (судину з легкої сталі у формі лампочки навколо реактора), з'єднаний з тороїдальним басейном придушення (торус) через downcomers. Пар з drywell спрямовується в воду тора для конденсації.

Під час аварії вважається, що торус на одиниці 2 був пошкоджений, що дозволило продуктам поділу безпосередньо вийти в reactor building, а потім в атмосферу, не проходячи через повний бар'єр containment.

Системи відключення

Керування реактивністю: Три незалежні шляхи до відключення

Реактор повинен мати змогу відключатися та залишатися відключеним за будь-яких умов. Не допускається, щоб будь-яка одинарна відмова перешкоджала відключенню. Загальний критерій проектування (GDC 26) вимагає двох незалежних систем керування реактивністю, кожна з яких здатна утримувати реактор субкритичним.

Механізми приводу регулювальних стрижнів (CRDM):

- Магнітно-джекові CRDM реакторів PWR: Регулювальні стрижні утримуються вгорі електромагнітами. При знеструмленні (сигнал SCRAM або втрата живлення) електромагніти знеструмлюються, і стрижні падають у активну зону під дією сили тяжіння. Система «fail-safe»: для утримання стрижнів ВИВЕДЕНИМИ потрібна електроенергія. Втрата живлення = автоматичне введення.

- Гідравлічні CRDM реакторів BWR: Стрижні вводяться знизу за допомогою води високого тиску. Для аварійного введення використовується азот високого тиску, який швидко заганяє стрижні в активну зону. У деяких конструкціях BWR також передбачено електричний резервний привід для введення стрижнів.

Альтернативне введення стрижнів (ARI): Окремий, незалежний електричний сигнальний канал, який може вводити регулювальні стрижні незалежно від звичайної логіки SCRAM. Використовується, якщо нормальна схема SCRAM не спрацьовує.

Передбачувана перехідна без SCRAM (ATWS): Регуляторний сценарій, за якого регулювальні стрижні не вводяться за вимогою. Системи пом’якшення ATWS (ATWS-MF) забезпечують введення бору незалежно від звичайного SCRAM: зазвичай автоматичне введення бору високого тиску, що запускається окремим набором датчиків.

Аварійне борування:

- Високонапірне введення бору з окремого стояка (окремо від нормального підживлення)

- Аварійне борування через лінії борного впорскування системи аварійного охолодження активної зони (ECCS)

- Ручне борування з баків зберігання борної кислоти

Пасивні проєкти: реактор CANDU: CANDU має дві повністю незалежні системи аварійного зупину: (1) механічні стрижні аварійного зупину, що падають під дією сили тяжіння, та (2) високонапірне введення розчину нітрату гадолінію в сповільнювач: окремий фізичний контур. Ці системи незалежні в усіх аспектах: різна логіка спрацювання, різні фізичні системи, різні принципи.

Аналіз ATWS

Під час тестування 1979 року на Три Майл Айленд Юніт 2 помилка в обслуговуванні спричинила невдачу реакторного трипу (SCRAM) під час тесту. Подію швидко виявили. Але це спонукало NRC вимагати системи пом'якшення ATWS на всіх заводах: тому що системи, які вважалися 'неможливими для відмови', насправді відмовили.

Подія ATWS на PWR: потужність реактора різко зростає. Стержні керування не вставляються. Аварійне борирування — це остання лінія оборони.

Тришарова архітектура живлення

Електричне живлення атомної електростанції: три незалежні шари

Атомна електростанція повинна підтримувати живлення своїх систем безпеки незалежно від того, що відбувається з мережею чи власним генераторним обладнанням. Архітектура живлення має три шари:

Шар 1: Нормальна робота: Електростанція генерує власне живлення з головного турбогенератора. Допоміжні навантаження (насоси, вентилятори, керування) живляться від власного виходу електростанції через допоміжні трансформатори блоку.

Рівень 2: Зовнішнє живлення (переважне джерело змінного струму): Якщо головний генератор відключається, станція підключається до мережі через пускові/резервні трансформатори. NRC вимагає наявності щонайменше двох незалежних ліній електропередачі від різних підстанцій, щоб одна пошкодження лінії не призвело до повної втрати зовнішнього живлення.

Рівень 3: Аварійні дизель-генератори (EDG): Якщо зовнішнє живлення втрачено, EDG запускаються автоматично і підключають шини безпеки протягом 10 секунд. Вимоги NRC:

- Кожен EDG повинен досягти номінальної напруги та частоти протягом 10 секунд після отримання сигналу запуску

- Запас палива: мінімум 7 днів при повному навантаженні (NRC Regulatory Guide 1.9)

- Випробування: щомісячне випробування під навантаженням + 24-годинне випробування на витривалість кожні 24 місяці

- Послідовність підключення навантаження: безпечні навантаження підключаються послідовно, щоб уникнути перевантаження дизеля під час запуску

Акумуляторні батареї станції: живлення постійного струму для приладів, панелей керування в головному щиті, аварійного освітлення, ланцюгів спрацювання SCRAM, ланцюгів ATWS та зв’язку. Повинні забезпечувати навантаження щонайменше 2 години (Class 1E); на більшості АЕС розраховано на 4–8 годин. Зарядні пристрої відновлюють заряд батарей після відновлення живлення змінним струмом.

Стратегія FLEX після Фукусіми: Наказ NRC EA-12-049 вимагає, щоб усі АЕС мали портативні насоси та генератори, які можна розгорнути у визначені терміни незалежно від умов на майданчику. Обладнання FLEX розміщується в кількох місцях (деяке — у захищених спорудах, деяке — за межами майданчика) і може підключатися до захищених зовнішніх точок підключення систем охолодження реактора та басейнів витримки.

Вимоги до дизель-генераторів

Три-Майл-Айленд, блок 2, 1979: послідовність аварії включала відключення турбіни, потім втрату живлення живильних насосів, а потім складну послідовність подій, що призвела до пошкодження активної зони. Аварійні дизель-генератори запустилися та працювали справно протягом усього інциденту.

Фукусіма-Дайіті, 2011: землетрус спричинив SCRAM реакторів. Усі шість дизелів запустилися та працювали. Потім прийшла цунамі. Дизелі блоків 1–3 знаходилися в підвальних приміщеннях, які затопило. Дизель блоку 6 був розташований вище та вцілів. Блоки 5 та 6 не зазнали пошкодження активної зони.

Система захисту реактора

Система захисту реактора (RPS)

Система захисту реактора — це автоматична система, яка ініціює SCRAM реактора (швидке відключення), коли моніторні параметри перевищують безпечні межі. Вона є першим автоматичним захистом від транзієнтів.

Моніторні параметри, що можуть ініціювати SCRAM:

- Високий нейтронний потік (висока потужність)

- Висока температура теплоносія реактора

- Низький тиск теплоносія реактора (потенційна LOCA)

- Високий тиск у контейнменті

- Низький потік теплоносія реактора

- Високий рівень теплоносія (BWR)

- Низько-низький рівень води (BWR)

- Втрата зовнішнього живлення

- Ручне спрацьовування (ініційоване оператором)

Логіка голосування: Кожен параметр вимірюється чотирма незалежними датчиками, кожен у окремому каналі захисту. Для SCRAM потрібно, щоб 2 з 4 каналів перевищили уставку. Це означає:

- Один несправний датчик (хибне високе показання) не може спричинити помилкове спрацьовування

- Будь-які два канали, що перевищують уставку, ініціюють спрацювання

- Один несправний канал (хибне занижене значення) залишає три канали, які все ще здатні працювати за схемою 2-із-3

Різноманітна та виділена система приведення в дію (DDAS): Сучасні цифрові системи РЗС мають аналогове резервування: DDAS, яке може ініціювати функції безпеки незалежно від цифрової системи КВП. Це забезпечує різноманітність: цифрова та аналогова системи можуть відмовляти з абсолютно різних причин, і одна відмова не заважає іншій виконувати свої функції.

Логіка 2-із-4 проти 2-із-3

РЗС використовує голосування 2-із-4 для ініціювання SCRAM (чотири датчики, два з яких мають збігатися для спрацювання). Проте окремі датчики передають сигнали до системи приведення в дію з використанням голосування 2-із-3 у межах кожного каналу (три виміри, два з яких мають збігатися для приведення в дію конкретної функції безпеки, наприклад ECCS).

Це не те саме, і розуміння різниці має значення.

Мінімальний штат

Людський нагляд: Шар, що думає

Операції на атомній електростанції вимагають наявності ліцензованого персоналу на зміні постійно. NRC 10 CFR 50.54(m) встановлює мінімальні вимоги до штату. При мінімумі оперативні екіпажі включають:

Оператор реактора (RO): ліцензований NRC (10 CFR 55). Безпосередньо керує елементами керування реактора, основною контрольною панеллю та системами безпеки. Повинен постійно перебувати за елементами керування під час операцій на потужності.

Старший оператор реактора (SRO): Вища ліцензія NRC. Керує роботою RO. Має незалежне право ініціювати зупинку. Перевіряє та затверджує дії RO під час аномальних подій. Не може бути тією самою особою, що й RO на зміні.

Начальник зміни (SS): Старший SRO з ліцензією. Відповідає за загальний хід операцій та безпеку електростанції під час зміни. Остаточна авторитетна особа на майданчику щодо операцій електростанції.

Технічний радник зміни (STA): Вимога після TMI (NUREG-0737). Ліцензований інженер, призначений на кожну зміну спеціально для надання незалежної технічної підтримки під час аномальних подій: не відволікається на керування контролями, повністю зосереджений на діагностиці події.

Чому кілька людей? Захист у глибину на людському рівні. RO під стресом, зосереджений на виконанні процедур, може пропустити загальну картину. SRO забезпечує незалежний нагляд. STA надає незалежний технічний аналіз. Начальник зміни підтримує ситуаційну обізнаність. Жодна окрема когнітивна помилка людини не може перешкодити безпечному керуванню електростанцією.

Інструменти людської продуктивності

Зменшення людських помилок: Систематичні інструменти

Ядерна промисловість кількісно оцінила частоту людських помилок для різних типів завдань. Частота помилок для складного прийняття рішень під стресом може перевищувати 1 на 10. Промисловість прагне до частоти помилок 1 на 1 000 або краще для критичних завдань: і досягає цього за допомогою систематичних інструментів людської продуктивності.

Попередній брифінг перед роботою: Перед будь-яким значущим завданням проводиться брифінг, який охоплює: мету завдання, небезпеки, очікувані умови, кроки для перевірки завершення, умови зупинки (якщо X станеться, зупинитися та викликати керівника). Триває 5-15 хвилин. Значно зменшує помилки під час виконання завдання.

STAR (Stop, Think, Act, Review): Техніка самоперевірки для кожної критичної дії. Stop: пауза перед дією. Think: що я збираюся зробити, та чи правильно це? Act: виконати дію. Review: чи був результат таким, як я очікував? Двохсекундна пауза виявляє помилки перестановки, вибір неправильного клапана та когнітивні скорочення.

Трибічний зв’язок: Для всіх усних наказів, значущих для безпеки: (1) Ініціатор оголошує наказ: 'Вирівняти клапан HV-233 у відкрите положення.' (2) Отримувач точно повторює: 'Вирівняти клапан HV-233 у відкрите положення.' (3) Ініціатор підтверджує: 'Це правильно.' Помилка зв’язку, яка не виявлена в цьому обміні, є незвичайною: для цього обидві сторони повинні неправильно почути або неправильно запам’ятати.

Двохособова перевірка: Для певних операцій із високими наслідками (пов’язаних із безпекою, поводженням із джерелами) мають бути присутні двоє ліцензованих осіб і взаємно перевіряти дії одна одної. Жодна особа не може виконати чутливу дію самостійно: друга особа повинна бути фізично присутня і підтвердити кожен крок.

Керування втомою: NRC 10 CFR 26 встановлює обмеження: максимум 16-годинний робочий день, мінімум 8 годин відпочинку перед поверненням до служби, максимум 54 години на тиждень, максимум 72 години на тиждень під час понаднормових. Втома погіршує прийняття рішень так само сильно, як сп’яніння: ці обмеження — не рекомендації щодо продуктивності, а вимоги безпеки.

Аварійні режими роботи

До Трі-Майл-Айленд (1979) ядерні електростанції використовували подієво-орієнтовані аварійні процедури: якщо відбувається подія X, виконувати процедуру X. Оператори мали правильно ідентифікувати подію перед початком дій.

На ТМІ оператори отримали суперечливі показники. Клапан скидання тиску застряг у відкритому положенні: це був малий прорив LOCA: але оператори неправильно ідентифікували подію та дотримувалися неправильної процедури. До моменту постановки правильного діагнозу значне пошкодження активної зони вже відбулося.

Після ТМІ галузь розробила симптомно-орієнтовані аварійні процедури експлуатації (EOP). Замість «ідентифікувати подію, обрати процедуру» оператори дотримуються: «спостерігати симптоми, вживати захисних дій для цих симптомів, незалежно від того, що ви думаєте про подію».

Ключова умовa входу на основі симптомів: будь-яка несподівана зміна рівня, тиску або температури теплоносія реактора, незалежно від причини, запускає одну й ту саму послідовність перевірки охолодження активної зони.

ALARA: As Low As Reasonably Achievable

Інженерія радіаційного захисту

ALARA: As Low As Reasonably Achievable: це не просто ліміт дози. Це філософія: дозу слід знижувати настільки низько, наскільки це практично, а не просто утримувати нижче юридичних лімітів. NRC вимагає ALARA як регуляторну вимогу (10 CFR 20.1101), а не просто хорошу практику.

Керування зовнішньою дозою: три класичні засоби контролю:

- Час: Скорочення часу перебування в полі випромінювання вдвічі зменшує дозу вдвічі. Попередньо сплановані послідовності робіт мінімізують непотрібний час у зонах високих доз.

- Відстань: Потужність дози підпорядковується закону обернених квадратів. Збільшення відстані від точкового джерела вдвічі зменшує потужність дози вчетверо. Робота на відстані шести футів замість трьох зменшує дозу на 75 %.

- Захист: Свинець, бетон, вода та поліетилен послаблюють різні типи випромінювання. Товщина шару половинного послаблення (HVL) — це товщина, яка зменшує інтенсивність удвічі. HVL свинцю для типового гамма-випромінювання: ~1 см. HVL бетону: ~6 см. Після десяти HVL (10 TVL = шар десяткового послаблення) інтенсивність зменшується до 1/1000 початкової.

Управління внутрішнім опроміненням:

- Радіоактивна речовина всередині тіла продовжує опромінювати органи, доки не розпадеться або не буде виведена

- Шляхи надходження: інгаляція (аерозолі, гази), ковтання (забруднена їжа/вода), всмоктування через шкіру (рідко)

- Похідна концентрація в повітрі (DAC): об’ємна активність радіонукліда в повітрі, за якої вдихання протягом 2000 годин на рік призводить до граничної дози для персоналу. Респіратори та герметичні огородження з розрідженням запобігають інгаляційному опроміненню.

- Річний ліміт надходження (ALI): загальне надходження (інгаляційне + інгестивне), що забезпечує дотримання межі професійної дози

Межі професійної дози (10 CFR 20):

- 5 rem (50 mSv) на рік — загальна ефективна еквівалентна доза

- 3 rem (30 mSv) за квартал

- 15 rem (150 mSv) на рік — кришталик ока

- 50 rem (500 mSv) на рік — шкіра або кінцівки

- Обмеження дози для планування ALARA: 2 rem/рік (адміністративні межі на підприємстві часто нижчі)

Контроль забруднення:

- Радіологічно контрольовані зони (RCA) мають контрольований доступ, перевірку на забруднення при виході

- Килимки для зняття взуття: паперові або пластикові біля виходів з RCA; тут змінюють бахіли, щоб уникнути поширення забруднення

- Вимірювання активності всього тіла: після роботи в зонах з потенційним внутрішнім забрудненням проводять гамма-сканування всього тіла для виявлення внутрішнього надходження

- Програми біоаналізу: аналіз сечі та калу для кількісної оцінки внутрішньої дози від конкретних ізотопів

ALARA на практиці

Працівник радіаційного контролю повинен замінити клапан у зоні високого випромінювання. Потужність дози на місці клапана становить 500 мберт/год. Робота потребує 30 хвилин для виконання. Річна доза працівника на даний момент становить 1200 мберт при адміністративній межі підприємства 2000 мберт/рік.

Використовуючи принципи ALARA та три методи контролю, оцініть, чи можна виконувати цю роботу, та визначте принаймні дві конкретні дії для зменшення дози.

Три-Майл-Айленд (1979)

Блок 2 АЕС Три-Майл-Айленд: 28 березня 1979 року

Аварія на TMI не була наслідком помилки проєктування: це був провал «захисту в глибину» на рівні персоналу та процедур.

Що сталося:

- Відключення турбіни спричинило SCRAM реактора (автоматично: спрацювало коректно)

- Клапан скидання тиску (PORV) відкрився (правильно), але залишився відкритим (відмова обладнання)

- Індикатор у пультовій показував лише, що на клапан надійшов сигнал закриття, а не те, що він справді закрився

- Теплоносій витікав через відкритий PORV. Тиск і температура в реакторі знижувалися

- Оператори неправильно інтерпретували симптоми як надлишок теплоносія і зменшили аварійне підживлення: протилежне тому, що було потрібно

- Понад дві години активна зона реактора була частково оголеною

- Приблизно половина активної зони розплавилася

Що зробила гермооболонка: Вона утримала. Незважаючи на серйозне пошкодження активної зони та накопичення водню всередині гермооболонки, конструкція гермооболонки утримала практично всі продукти поділу. Дози опромінення за межами майданчика були незначними: негативного впливу на здоров’я населення від радіації не було.

Покращення після TMI (NUREG-0737):

- EOP на основі симптомів (замість на основі подій)

- Технічні радники зміни на кожній зміні

- Симулятори повного спектру, сертифіковані NRC, для тренування екіпажу

- Приладдя для моніторингу після аварії (PAM): прямі індикатори охолодження активної зони, кваліфікована панель дисплея на живленні, незалежному від АС

- Переглянуті стандарти дизайну кімнати керування (NUREG-0700)

- Покращені вимоги до іспитів для ліцензування операторів

Чорнобиль (1986)

Чорнобиль, блок 4: 26 квітня 1986

Чорнобиль відрізнявся за характером від ТМІ: це була переважно недоліки конструкції в поєднанні з навмисним обходом систем безпеки.

Що сталося:

- Тест стабільності напруги вимагав роботи реактора на низькій потужності (~200 МВт проти номінальних 3 200 МВт)

- На низькій потужності реактор РБМК мав позитивний коефіцієнт voids: парові бульбашки в охолоджувачі збільшували реактивність

- Стержні керування мали конструктивний дефект: графітові наконечники витісняли воду при першому введенні, спричиняючи початкове збільшення реактивності перед тим, як нейтронопоглинаюча частина увійшла в активну зону

- Тест було відкладено; нічна зміна не була навчена для його проведення

- Кілька систем безпеки були навмисно вимкнені для проведення тесту

- При натисканні кнопки аварійного захисту (АЗ-5) графітові наконечники стрижнів спричинили стрибок реактивності замість запланованого SCRAM

- Потужність зросла до 30 000 МВт за лічені секунди: приблизно в 10 разів перевищивши номінальну

- Паливо та теплоносій миттєво перетворилися на пару, що спричинило паровий вибух і зруйнувало реактор

- Графітова пожежа горіла 10 днів, розсіюючи продукти поділу по всій Європі

Відсутність герметичної оболонки: RBMK не мав повноцінної захисної оболонки. Реактор знаходився у великій промисловій будівлі без здатності утримувати тиск. Коли реактор було зруйновано, не залишилося останнього бар’єру.

Зміни після Чорнобиля:

- Модифікації конструкції РБМК: усунуто позитивний коефіцієнт порожнечі на низькій потужності, перероблено наконечники стержнів, додано додаткові поглиначі нейтронів

- Посилено міжнародні конвенції з ядерної безпеки

- Концепцію культури ядерної безпеки формалізовано МАГАТЕ (INSAG-7)

- Західний регуляторний акцент на containment як на незаперечну вимогу

Три аварії, три уроки

Тепер ви знаєте про три основні цивільні ядерні аварії: TMI (1979), Чорнобиль (1986) та Фукусіма (2011). Кожна з них виявила різний тип порушення захисту в глибину.

Квантифікація ризику

PRA: Перехід від «Достатньо безпечно» до «Наскільки безпечно?»

Детермінований аналіз безпеки стверджує: спроектуйте завод так, щоб він витримав ці конкретні аварії. Ймовірнісна оцінка ризику (PRA) ставить інше питання: з урахуванням усіх можливих способів, якими все може піти не так, яка ймовірність того, що це дійсно станеться?

Частота пошкодження активної зони (CDF): Ймовірність того, що активна зона реактора буде суттєво пошкоджена в будь-який даний рік. Мета безпеки NRC: CDF < 1×10⁻⁴ на реактор-рік (один раз на 10 000 реактор-ріків). Сучасні заводи зазвичай досягають CDF < 1×10⁻⁵ (один раз на 100 000 реактор-ріків).

Частота великого раннього викиду (LERF): Ймовірність великого раннього викиду радіоактивності в довкілля (до завершення евакуації). Мета безпеки NRC: LERF < 1×10⁻⁵ на реактор-рік.

Дерева відмов: Графічні логічні діаграми, що показують комбінації відмов компонентів, які призводять до визначеної верхньої події (наприклад, 'ECCS не доставляє воду до активної зони'). Використовують ВІЙ-ворота (всі повинні відмовити) та АБО-ворота (будь-яка одна відмова достатня). ВІЙ-ворота зменшують ймовірність (вимагають кількох одночасних відмов). АБО-ворота збільшують ймовірність.

Дерева подій: Графічні діаграми, що починаються з ініціюючої події (наприклад, 'відбувається LOCA з великим розривом') та відстежують наслідки залежно від успіху чи відмови систем безпеки. Кожна гілка представляє успіх або відмову функції безпеки. Кінцеві вузли — це послідовності аварій: безпечне відключення, пошкодження активної зони, великий викид.

Міри важливості: PRA визначає, які компоненти та системи найбільше сприяють ризику.

- Важливість Фуссела-Везелі (FV): частка CDF, внесена відмовами компонента. Висока FV = цей компонент дуже важливий.

- Цінність досягнення ризику (RAW): на скільки збільшується CDF, якщо припустити, що цей компонент відмовив. Висока RAW = цей компонент не повинен довго бути поза службою.

RAW визначає планування технічного обслуговування та тестування: компоненти з високою RAW отримують часті тести та короткі дозволені часи простою.

PRA та планування технічного обслуговування

На ядерній електростанції є три аварійні дизель-генератори (A, B, C). Аналіз PRA показує:

- Частота пошкодження активної зони при роботі всіх трьох: 2×10⁻⁵ на рік

- Частота пошкодження активної зони при виведенні дизель-генератора A з експлуатації для технічного обслуговування: 8×10⁻⁵ на рік (зростання в 4 рази)

- Частота пошкодження активної зони при одночасному виведенні дизель-генераторів A та B: 4×10⁻³ на рік (зростання в 200 разів)

Команда технічного обслуговування планує одночасно вивести дизель-генератори A та B з експлуатації для проведення капітального ремонту тривалістю 30 днів.

Відпрацьоване паливо: Довготривале зобов'язання

Відпрацьоване паливо: активне та пасивне управління

Коли паливо вилучають із реактора після 3–5 років експлуатації, воно є сильно радіоактивним і термічно гарячим через тепло розпаду. Застосовується та сама крива тепла розпаду: 7 % номінальної потужності одразу після зупинки, з поступовим зменшенням протягом років.

Басейни для відпрацьованого палива (SFP): Одразу після вилучення відпрацьовані паливні збірки поміщають у басейн для відпрацьованого палива — заповнений водою резервуар глибиною близько 40 футів, розташований поряд із будівлею реактора. Вода виконує дві функції: охолодження та біологічний захист (шар води над паливом поглинає випромінювання, дозволяючи персоналу на майданчику басейну отримувати низькі дози).

Мінімальний час охолодження в басейні перед переміщенням у сухе сховище: приблизно 5 років для палива PWR. Паливо повинно охолонути настільки, щоб пасивне повітряне охолодження в сухому контейнері могло відводити залишкове тепло розпаду без участі води.

Ризик цирконієвої пожежі: Якщо паливні збірки оголюються (втрата води в басейні), цирконієва оболонка може окислюватися в повітрі за високих температур. На відміну від реакції цирконію з парою, яка утворює водень, окислення цирконію повітрям за температури розжарення може призвести до цирконієвої пожежі — самопідтримувальної екзотермічної реакції. Басейн відпрацьованого палива блоку 4 АЕС «Фукусіма» за лічені дні міг досягти температур, за яких така пожежа стала б можливою.

Вимоги до басейну витримки після Фукусіми (Наказ NRC EA-12-051):

- Надійні прилади для рівня та температури води в басейні витримки

- Можливість додавати поповнюючу воду до басейну витримки з різноманітних джерел

- Стратегії для підтримки або відновлення охолодження басейну витримки за сценаріїв тривалої втрати живлення

Сухе зберігання в контейнерах: Після 5+ років у басейні паливо переміщують до сухих контейнерів: зварених сталевих циліндрів, оточених бетоном або екрануванням з високоплотного поліетилену. Охолодження повністю пасивне: природна конвекція повітря через вентиляційні отвори у зовнішній конструкції. Живлення не потрібно. Термін служби: 100+ років. Наразі понад 90 000 метричних тонн важких металів у сухому зберіганні в контейнерах лише в США.

Високорівневі відходи: Відпрацьоване ядерне паливо класифікується як високорівневі ядерні відходи. Закон США (Nuclear Waste Policy Act) визначає гору Юкка в Неваді як постійне сховище, але воно не відкрите через політичну опозицію. NRC вимагає, щоб сховище забезпечувало 10 000 років ізоляції (стандарт EPA: 1 мільйон років для доз після 10 000 років). Глибинне геологічне захоронення використовує саму породу як основний бар’єр, а інженерні бар’єри (вітрифікація склом, металеві контейнери, бентонітова глина) — як додаткові шари.

Низькорівневі відходи (LLW): Забруднений одяг, інструменти, фільтри, смоли. Три класи NRC:

- Клас A: найнижча активність, найкоротшоживучі ізотопи. Поверхневе поховання, вимога ізоляції 100 років

- Клас B: помірна активність. Поверхневе поховання з ізоляцією 300 років

- Клас C: вища активність, довгоживучі ізотопи. Вимагає ізоляції 500 років; приповерхневе захоронення з посиленими інженерними бар’єрами

Методи зменшення об’єму (спалювання, ущільнення, плавлення) є обов’язковими для мінімізації місця захоронення

Безпека сухого контейнера

Критик стверджує, що зберігання у сухих контейнерах небезпечне, оскільки контейнери не мають активного охолодження, не підключені до електромережі та стоять просто неба на бетонних майданчиках. Ядерний інженер відповідає, що сухі контейнери насправді можуть бути безпечнішими за басейн для відпрацьованого палива.

Захист у глибину: повна картина

Інженерія ядерної безпеки: системна дисципліна

Ви вже вивчили кожен шар інженерії ядерної безпеки. Відступіть і подивіться на систему:

Фізичні бар’єри (паливна матриця, оболонка твелів, корпус реактора, захисна оболонка) є пасивними: для їхньої роботи не потрібні жодні дії. Вони є основою.

Системи безпеки (ECCS, RPS, EDG, DDAS) є активними з пасивним резервом (акумулятори, гравітаційні баки, акумуляторні батареї). Кожна функція має три незалежні канали. Кожен канал є 100 % працездатним. Активні та пасивні підходи є різноманітними.

Приладове забезпечення (RPS, спрацювання ECCS, PAM) контролює десятки параметрів за логікою голосування 2-із-4: стійке до хибних спрацювань і до відмов датчиків, які могли б перешкодити спрацюванню.

Процедури (симптомно-орієнтовані EOP) спрямовують операторів до захисних дій без необхідності правильного діагнозу. Після TMI. Необхідні.

Людський фактор (штат, навчання, інструменти підвищення надійності людини, обмеження втоми) зменшує ймовірність відмови людського рівня захисту. Вимога STA після TMI. Тренування на тренажерах. Передзмінні інструктажі. STAR. Триланковий зв’язок.

Управління та культура безпеки гарантують, що безпека не приноситься в жертву ефективності. Після Чорнобиля INSAG-7. Урок Чорнобиля полягає в тому, що системи безпеки, відключені керівництвом, — це системи безпеки, яких не існує.

Регулювання (NRC 10 CFR 50, стандарти МАГАТЕ, періодичні інспекції) забезпечує незалежний нагляд на найвищому рівні. Регулятор, який не проводить інспекцій, — це регулятор, якого не існує.

Три великі аварії показали, що захист у глибину руйнується не через одну драматичну відмову, а через поєднання дрібних відмов, неправильних припущень і недостатніх запасів у кількох шарах одночасно. Обґрунтування безпеки є настільки сильним, наскільки сильна його найслабша одночасна комбінація.

Фінальна інтеграція

Фінальне запитання: Найскладніше

Новий запропонований дизайн реактора стверджує, що він настільки безпечний, що потребує лише одного потягу ECCS (замість трьох), відсутності аварійних дизелів (лише пасивне охолодження) та спрощеної моделі штату — два оператори на зміну замість чотирьох.

Дизайнер стверджує: «Пасивне охолодження означає, що електроенергія не потрібна, тому дизелі непотрібні. Реактор не може розплавитися за законами фізики, тому спрощений штат обґрунтований».