Định nghĩa của IAEA

Phòng thủ theo chiều sâu: Triết lý tổ chức

Cơ quan Năng lượng Nguyên tử Quốc tế (IAEA) định nghĩa phòng thủ theo chiều sâu là cách tiếp cận an toàn đa tầng, trong đó mỗi tầng đóng vai trò dự phòng cho các tầng trước. Không có tầng nào được coi là hoàn hảo. Cơ sở an toàn dựa vào việc có nhiều tầng độc lập, sao cho không một lỗi đơn lẻ nào — và không một tổ hợp lỗi nào từ cùng một nguyên nhân gốc — có thể dẫn đến thiệt hại.

Phòng thủ theo chiều sâu hoạt động ở mọi quy mô:

Rào chắn vật lý: ma trận nhiên liệu → vỏ thanh nhiên liệu → bình áp lực lò phản ứng → tòa nhà containment → tòa nhà lò phản ứng (4-5 rào chắn vật lý giữa nhiên liệu và môi trường)

Hệ thống an toàn: mỗi chức năng (làm mát, dừng lò, cấp điện) được thực hiện bởi ít nhất 3 hệ thống độc lập

Quy trình: mọi thao tác đều có quy trình viết sẵn; có quy trình bất thường & khẩn cấp cho mọi sự kiện thiết kế cơ sở

Vận hành viên: được cấp phép, đào tạo, có trình độ, được nghỉ ngơi đầy đủ; có thẩm quyền độc lập để khởi động dừng lò

Quản lý: văn hóa an toàn hạt nhân, giám sát của cơ quan quản lý, các đánh giá an toàn độc lập

Quy định: yêu cầu thiết kế cơ sở theo NRC 10 CFR 50, vận hành có giấy phép, kiểm tra định kỳ

Nguyên tắc chính: Không ghi nhận các lớp đã thất bại. Nếu bạn không thể xác nhận một rào chắn còn nguyên vẹn, hãy giả định nó đã bị phá vỡ. Toàn bộ hệ thống được thiết kế để vẫn an toàn ngay cả khi chỉ còn một thành phần hoạt động: điều này được gọi là tiêu chí lỗi đơn lẻ (single failure criterion).

Dư thừa, Đa dạng và Độc lập

Ba Tính chất Tạo nên Phòng thủ Thực sự

Các hệ thống an toàn hạt nhân phải đáp ứng ba tính chất riêng biệt. Việc nhầm lẫn giữa chúng là một sai lầm phổ biến và nguy hiểm.

Dư thừa nghĩa là có nhiều hơn một thiết bị giống hệt nhau. Ba máy phát điện diesel là dư thừa. Tuy nhiên, nếu chúng cùng chia sẻ một bồn nhiên liệu, cùng một logic khởi động hoặc cùng một phòng, thì chỉ riêng dư thừa không đủ để bảo vệ chống lại lỗi nguyên nhân chung.

Đa dạng nghĩa là sử dụng các nguyên lý vật lý khác nhau hoặc các thiết bị khác nhau để thực hiện cùng một chức năng. Một bơm phun áp suất cao và một bình tích áp nitơ đều cung cấp nước cho lõi: nhưng chúng hoạt động theo các nguyên lý hoàn toàn khác nhau. Đa dạng giúp khắc phục các chế độ lỗi có thể làm hỏng tất cả các bản sao dư thừa của cùng một thiết kế.

Độc lập nghĩa là sự hỏng hỏng của một train không thể gây ra hoặc ngăn cản hoạt động của train khác. Độc lập đòi hỏi:

- Các bus nguồn riêng biệt (các nguồn điện khác nhau)

- Tách biệt vật lý (rào chắn, các tòa nhà khác nhau, các phía đối diện của lò phản ứng)

- Logic kích hoạt riêng biệt (một mạch ngắn trong Train A không thể vô hiệu hóa Train B)

- Thiết bị đo lường riêng biệt (cảm biến Train A không cấp tín hiệu cho Train B)

Lỗi nguyên nhân chung (CCF) là tình huống ác mộng: một sự kiện duy nhất vô hiệu hóa đồng thời nhiều train dự phòng. Fukushima là ví dụ điển hình: sóng thần không chỉ gây mất nguồn điện ngoài mà còn đồng thời vô hiệu hóa cả ba máy phát diesel khẩn cấp vì chúng đều nằm trong cùng một tòa nhà thấp. Dự phòng mà không có độc lập chỉ là ảo tưởng.

Tiêu chí Thất bại Đơn lẻ

Tiêu chí thất bại đơn lẻ của NRC (10 CFR 50, Phụ lục A, Tiêu chí Thiết kế Chung 17) quy định rằng các hệ thống an toàn phải được thiết kế sao cho không có thất bại thành phần hoạt động đơn lẻ nào ngăn cản hệ thống thực hiện chức năng an toàn của nó.

Một thất bại 'hoạt động' là thất bại yêu cầu một thứ gì đó thay đổi trạng thái: bơm không khởi động được, van không mở được.

Một thất bại 'thụ động' (ví dụ, vết nứt trên ống) được xử lý bởi các yêu cầu thiết kế riêng biệt.

Tại Sao Ba Nhóm?

Mọi Hệ Thống Quan Trọng Về An Toàn: Ba Nhóm Độc Lập

Quy tắc ba lớp dự phòng không đơn giản là 'ba an toàn hơn hai.' Đây là một yêu cầu kỹ thuật chính xác với các đặc tính cụ thể.

Mỗi đoàn tàu phải có khả năng thực hiện 100% chức năng an toàn một cách độc lập. Nếu Đoàn tàu A xử lý làm mát, nó xử lý toàn bộ làm mát cần thiết. Đoàn tàu B và C không phải là những người đóng góp một phần: chúng là các bản sao lưu đầy đủ.

Các đoàn tàu phải được tách biệt về mặt vật lý. Các tòa nhà khác nhau, hoặc ít nhất là được ngăn cách bởi các rào cản chống cháy. Các tuyến cáp khác nhau. Các tuyến ống khác nhau. Nếu một đám cháy, lũ lụt hoặc vụ nổ ảnh hưởng đến một đoàn tàu, nó phải không lan đến các đoàn tàu khác.

Các đoàn tàu phải có nguồn cung cấp điện riêng biệt. Các đường dây điện khác nhau được cấp từ các nguồn khác nhau. Đoàn tàu A trên Bus A, Đoàn tàu B trên Bus B, Đoàn tàu C trên Bus C: mỗi bus có diesel khẩn cấp riêng.

Các đoàn tàu phải có logic kích hoạt riêng biệt. Sự cố rơ-le trong mạch kích hoạt của Đoàn tàu A không thể ngăn Đoàn tàu B kích hoạt. Lý tưởng nhất, chúng sử dụng các nguyên tắc kích hoạt hoàn toàn khác nhau (đa dạng hóa).

Tại sao là ba chứ không phải hai? Với ba hệ thống, logic bỏ phiếu hai-trên-ba có nghĩa là bất kỳ hỏng hóc thành phần đơn lẻ nào vẫn để lại hai hệ thống hoạt động: bạn có được tiêu chí hỏng hóc đơn lẻ VÀ một số bảo vệ chống lại các hỏng hóc nguyên nhân chung. Với hai hệ thống, một hỏng hóc đơn lẻ để lại cho bạn một hệ thống: không có biên độ, không có phòng thủ chống lại hỏng hóc thứ hai.

Đa dạng vs. Dự phòng

Hãy xem xét hệ thống làm mát khẩn cấp lõi của lò phản ứng PWR. Một cách tiếp cận: ba bơm phun áp suất cao giống hệt nhau, mỗi bơm được cung cấp bởi một máy phát diesel riêng biệt, trong các phòng riêng biệt.

Cách tiếp cận thứ hai: một bơm phun áp suất cao, cộng với một bình tích áp nitrogen không cần điện, cộng với một bể nước cấp bằng trọng lực từ hồ chứa nâng cao.

Cả hai đều cung cấp ba phương tiện để đưa nước đến lõi.

ECCS: Tuyến Phòng thủ Cuối cùng của Lõi

Hệ thống Làm lạnh Lõi Khẩn cấp

Tai nạn cơ sở thiết kế cho lò phản ứng PWR là tai nạn mất chất làm lạnh (LOCA): một vết nứt trong hệ thống chất làm lạnh lò phản ứng cho phép chất làm lạnh sơ cấp thoát ra. Một LOCA vỡ lớn có thể làm lộ lõi chỉ trong vài giây. Nếu không ngập nước ngay lập tức, nhiệt độ vỏ nhiên liệu tăng vượt quá 2.200°F, zircaloy bị oxy hóa, và hư hỏng nhiên liệu bắt đầu.

ECCS cho một PWR điển hình có bốn hệ con, mỗi hệ hoạt động ở một giai đoạn khác nhau của tai nạn:

Hệ thống Phun Áp Lực Cao (HPIS): Kích hoạt ngay lập tức khi áp suất nước làm lạnh lò phản ứng thấp hoặc áp suất không gian chứa cao. Phun nước borat vào hệ thống nước làm lạnh lò phản ứng trong khi áp suất vẫn còn cao (trên ~200 psi). Sử dụng bơm dẫn động bằng động cơ được cung cấp năng lượng bởi máy phát diesel khẩn cấp. Tốc độ dòng chảy: 500-1,500 gpm tùy thuộc vào thiết kế.

Bình tích áp (Accumulators) (còn gọi là Bể Ngập Lõi): Các bể chứa nước borat được ép áp bằng nitơ thụ động. Chúng phun tự động khi áp suất nước làm lạnh lò phản ứng giảm xuống dưới áp suất nitơ (thường 600-700 psi). Không cần nguồn điện: áp suất nitơ đẩy nước vào lõi. Mỗi bình tích chứa ~1.000 gallon.

Hệ thống Phun Áp Lực Thấp (LPIS): Kích hoạt ở áp suất thấp (<200 psi). Cung cấp tốc độ dòng chảy lớn (hàng nghìn gpm) cho sự cố LOCA vỡ lớn. Sau khi bể chứa nước tiếp liệu (RWST) cạn, hệ thống chuyển sang tái tuần hoàn từ bể chứa: tái tuần hoàn nước từ bể chứa không gian chứa trở lại qua lõi. Phải tiếp tục trong nhiều tuần (loại bỏ nhiệt phân rã).

Hệ thống Loại bỏ Nhiệt Dư (RHR): Cũng gọi là hệ thống Loại bỏ Nhiệt Phân rã. Mục đích chính: loại bỏ nhiệt phân rã sau khi lò phản ứng đạt trạng thái tắt lạnh. Hoạt động ở áp suất thấp & nhiệt độ thấp, tuần hoàn nước làm lạnh qua bộ trao đổi nhiệt. Cũng cung cấp khả năng phun áp suất thấp.

Hệ thống phun lõi BWR: Lò phản ứng nước sôi sử dụng các vòi phun lõi phía trên nhiên liệu để phun nước trực tiếp lên các bó nhiên liệu: một hình dạng hình học khác so với quá trình ngập lụt PWR.

Đường cong nhiệt phân rã

Đường cong nhiệt phân rã là một trong những con số quan trọng nhất trong an toàn hạt nhân. Sau khi lò phản ứng ngừng hoạt động:

- t = 0 giây: ~7% công suất định mức (240 MW đối với lò phản ứng 3.400 MW)

- t = 1 phút: ~3,5%

- t = 1 giờ: ~1% (~34 MW)

- t = 1 ngày: ~0,3% (~10 MW)

- t = 1 tuần: ~0.1%

- t = 1 năm: nhiên liệu vẫn tạo ra nhiệt đáng kể từ các đồng vị sống lâu

Mười megawatt nhiệt, duy trì vô thời hạn, mà không có điện để chạy bơm làm lạnh. Đây chính là tình huống tại Fukushima Daiichi vào ngày 11 tháng 3 năm 2011.

Hệ thống ECCS thụ động: Thiết kế AP1000

Thế hệ tiếp theo: An toàn thụ động

Westinghouse AP1000 (Advanced Passive 1000 MWe) đã rút ra bài học từ hệ thống ECCS chủ động và đảo ngược triết lý thiết kế: thay vì ba đường bơm cần điện, tất cả các chức năng an toàn đều dựa vào trọng lực, tuần hoàn tự nhiên, khí nén và bay hơi.

Bể bù nước lò (CMT): Hai bể lớn chứa nước borat lạnh đặt phía trên lò phản ứng. Bình thường được cô lập. Khi kích hoạt, chúng sẽ xả nước nhờ trọng lực vào hệ thống làm mát lò. Mỗi bể chứa đủ nước để giữ lõi được ngập trong nhiều giờ.

Bộ tích áp: Giống như các nhà máy thông thường: nạp thụ động bằng nitơ ép áp.

Bể chứa nước làm lạnh nhiên liệu trong lòng chứa (IRWST): Một bể nước lớn bên trong tòa nhà lòng chứa, phía trên lò phản ứng. Nạp bằng trọng lực. Cung cấp làm lạnh dài hạn sau khi CMTs cạn. Không bơm. Không điện.

Bộ trao đổi nhiệt loại bỏ nhiệt dư thụ động (PRHR HX): Ngập trong IRWST. Tuần hoàn tự nhiên mang nhiệt phân rã từ lò phản ứng vào nước IRWST, nước nóng lên, sôi & xả ra khí quyển qua ống khói. Không bơm. Hoàn toàn thụ động.

Khoảng thời gian 72 giờ: Trường hợp an toàn AP1000 chứng minh 72 giờ làm lạnh lõi mà không cần hành động của người vận hành & không điện. Sau 72 giờ, người vận hành có thể nạp lại nước vào IRWST từ bất kỳ nguồn nào.

Thiết kế đa dạng: thụ động so với chủ động: chính là lý do tại sao sự đa dạng lại quan trọng. Các hệ thống an toàn của AP1000 không thể bị vô hiệu hóa bởi chế độ hỏng hóc đã phá hủy Fukushima.

[TITLE containment/]

Rào chắn Vật lý Cuối cùng

Bao che: Ranh giới Cuối cùng

Nếu mọi hệ thống an toàn khác đều hỏng và nhiên liệu bị hư hại, bao che là rào chắn cuối cùng giữa vật liệu phóng xạ và công chúng. Nó phải chịu được: áp suất hơi bên trong, phản ứng cháy hydro, va đập của mảnh vỡ từ thiết bị hỏng, và duy trì trong thời gian cần thiết.

Bao che khô PWR: Cấu trúc bê tông cốt thép lót thép, đường kính điển hình 140 feet và cao 200 feet. Được thiết kế để chịu áp suất hơi từ sự đứt gãy kép đầu ống làm mát chính lớn nhất (áp suất thiết kế ~60 psi). Lớp lót thép là ranh giới chịu áp; bê tông cung cấp độ bền kết cấu và che chắn sinh học.

Vỏ chứa kiểu ngưng tụ bằng đá: Một thiết kế vỏ chứa PWR nhỏ hơn, áp suất thấp hơn (sử dụng trong một số nhà máy Westinghouse) sử dụng hàng trăm tấn đá để hấp thụ năng lượng hơi nước & giữ áp suất vỏ chứa thấp trong sự cố LOCA. Cho phép cấu trúc nhỏ hơn, rẻ hơn nhưng yêu cầu bảo dưỡng đá định kỳ.

Vỏ chứa kép: Một số thiết kế đặt vỏ chứa thép bên trong bên trong một tòa nhà vỏ chứa thứ cấp bê tông bên ngoài. Khoảng trống giữa chúng được giữ ở áp suất âm nhẹ để bất kỳ rò rỉ nào từ vỏ chứa bên trong được thu gom & lọc trước khi thải ra.

Vỏ chứa BWR: Mark I, II, III: Vỏ chứa BWR của General Electric nhỏ hơn vì chúng sử dụng bể ức chế áp suất (torus hoặc wetwell) để ngưng tụ hơi nước nhanh chóng. Mark I (thiết kế của Fukushima) là sắp xếp drywell-torus: torus là bể nước hình bánh rán lớn bên dưới drywell. Điểm yếu: torus được gắn vào đáy drywell. Nếu torus hỏng, vỏ chứa hỏng. Đây chính xác là những gì đã xảy ra tại Fukushima Unit 1.

Thiết bị tái hợp tự xúc tác thụ động (PAR): Sau Fukushima, hầu hết các vỏ chứa hiện nay bao gồm PAR: các thiết bị chứa vật liệu xúc tác (palladi hoặc bạch kim) phản ứng hydro với oxy để tạo thành nước, mà không đánh lửa, ở nồng độ thấp. Điều này ngăn chặn sự tích tụ hydro có thể gây cháy nổ hoặc nổ.

Passive autocatalytic recombiners (PAR): Post-Fukushima, most containments now include PARs: devices containing catalytic material (palladium or platinum) that reacts hydrogen with oxygen to form water, without ignition, at low concentrations. This prevents hydrogen accumulation that could cause deflagration or detonation.

Xả áp chứa lọc: Yêu cầu sau Fukushima ở châu Âu & ngày càng phổ biến ở Mỹ: đường xả áp chịu lực với hệ thống lọc đa giai đoạn (bộ lọc venturi + bộ lọc sợi kim loại) cho phép nhân viên vận hành xả áp chứa một cách có chủ đích trong khi giữ lại >99.9% chất phóng xạ dạng hạt. Điều này ngăn chặn sự thất bại không kiểm soát của chứa do quá áp.

Cơ Sở Thiết Kế và Vượt Qua Cơ Sở Thiết Kế

Chứa Được Thiết Kế Để Làm Gì

Tai nạn cơ sở thiết kế (DBA): NRC yêu cầu chứa phải sống sót qua bất kỳ tai nạn nào trong số này đồng thời:

- Vỡ lớn LOCA: đứt hoàn toàn đường ống làm lạnh chính lớn nhất, giải phóng tối đa chất làm lạnh

- Mất điện ngoài lưới (LOOP) trùng hợp với LOCA: không có điện lưới khi cần nhất

- Vỡ đường hơi chính: giải phóng hơi năng lượng cao bên trong containment

- Tai nạn xử lý nhiên liệu: rơi cụm nhiên liệu, giải phóng các sản phẩm phân hạch từ nhiên liệu bị hỏng

Sự kiện vượt quá cơ sở thiết kế (BDBA): Sau 9/11 & sau Fukushima, các nhà máy cũng phải xử lý:

- Mất điện toàn bộ (SBO): mất điện AC kéo dài (yêu cầu sau TMI, được củng cố sau Fukushima)

- Ngập lụt vượt quá cơ sở thiết kế: Fukushima cho thấy mực nước lũ theo thiết kế quá thấp

- Va chạm máy bay: NRC yêu cầu phân tích va chạm máy bay có chủ đích sau 9/11; các nhà máy mới phải chứng minh khả năng chịu đựng cấu trúc

- Mất làm mát bể nhiên liệu đã qua sử dụng: Bể nhiên liệu Fukushima Unit 4 suýt sôi cạn; sau Fukushima yêu cầu bổ sung các đường nối bổ sung nước SFP chuyên dụng

Điểm yếu của Mark I

Các tổ máy 1, 2 và 3 tại Fukushima Daiichi đều sử dụng vỏ chứa Mark I của General Electric. Mark I gồm một buồng khô (vỏ thép hình bóng đèn bao quanh lò phản ứng) nối với bể nén hình xuyến (torus) qua các ống dẫn hơi xuống. Hơi từ buồng khô được dẫn vào nước trong torus để ngưng tụ.

Trong sự cố, torus tại tổ máy 2 được cho là đã bị hỏng, cho phép các sản phẩm phân hạch thoát trực tiếp ra tòa nhà lò phản ứng và sau đó ra khí quyển mà không qua toàn bộ ranh giới vỏ chứa.

Hệ Thống Tắt

Điều Khiển Phản Ứng: Ba Con Đường Độc Lập Để Tắt

Một lò phản ứng phải có khả năng tắt và giữ tắt dưới mọi điều kiện. Không được phép một sự cố đơn lẻ nào ngăn cản việc tắt. Tiêu chí thiết kế chung (GDC 26) yêu cầu hai hệ thống điều khiển phản ứng độc lập, mỗi hệ thống có khả năng giữ lò ở trạng thái dưới tới hạn.

Cơ chế truyền động thanh điều khiển (CRDMs):

- CRDMs nam châm nâng PWR: Thanh điều khiển được giữ lên bởi nam châm điện. Khi mất điện (tín hiệu SCRAM hoặc mất điện), nam châm mất năng lượng & thanh rơi do trọng lực vào lõi. An toàn lỗi: cần điện để giữ thanh RA NGOÀI. Mất điện = chèn tự động.

- CRDMs thủy lực BWR: Thanh được đẩy vào từ dưới bởi nước áp suất cao. Chèn khẩn cấp sử dụng nitơ áp suất cao để đẩy thanh vào nhanh chóng. Một số thiết kế BWR cũng có dự phòng điện cho việc chèn thanh.

Chèn Thanh Thay Thế (ARI): Một đường tín hiệu điện riêng biệt, đa dạng có thể chèn thanh điều khiển độc lập với logic SCRAM thông thường. Sử dụng nếu mạch SCRAM thông thường hỏng.

Sự cố dự kiến không SCRAM (ATWS): Kịch bản quy định nơi thanh điều khiển không chèn theo yêu cầu. Hệ thống giảm thiểu ATWS (ATWS-MF) cung cấp tiêm bo độc lập với SCRAM thông thường: thường là tiêm bo áp suất cao tự động được kích hoạt bởi bộ cảm biến riêng biệt.

Boration khẩn cấp:

- Tiêm boron áp suất cao từ một ống đứng riêng biệt (riêng biệt với hệ thống sạc bình thường)

- Boration khẩn cấp qua các đường ống tiêm boron của ECCS

- Boration thủ công từ các bồn chứa axit boric

Thiết kế thụ động: Lò phản ứng CANDU: CANDU có hai hệ thống tắt hoàn toàn độc lập: (1) các thanh tắt cơ học rơi nhờ trọng lực, và (2) tiêm dung dịch gadolinium nitrate áp suất cao vào chất điều tốc: một mạch vật lý riêng biệt. Chúng độc lập ở mọi mặt: logic kích hoạt khác nhau, hệ thống vật lý khác nhau, nguyên lý khác nhau.

Phân tích ATWS

Trong quá trình thử nghiệm năm 1979 tại Three Mile Island Unit 2, một lỗi bảo trì đã khiến hệ thống SCRAM (trip lò phản ứng) không hoạt động trong quá trình kiểm tra. Sự kiện được phát hiện nhanh chóng, nhưng đã thúc đẩy NRC yêu cầu lắp đặt hệ thống giảm nhẹ ATWS tại tất cả các nhà máy: vì các hệ thống “không thể hỏng” thực tế đã hỏng.

Một sự kiện ATWS trong PWR: công suất lò phản ứng tăng vọt. Các thanh điều khiển không chèn được. Bơ-rat khẩn cấp là tuyến phòng thủ cuối cùng.

Kiến trúc Nguồn Điện Ba Lớp

Nguồn Điện Nhà Máy Điện Hạt Nhân: Ba Lớp Độc Lập

Một nhà máy điện hạt nhân phải duy trì nguồn điện cho các hệ thống an toàn bất kể lưới điện hoặc thiết bị phát điện của chính nhà máy gặp sự cố. Kiến trúc nguồn điện gồm ba lớp:

Lớp 1: Vận hành bình thường: Nhà máy tự cung cấp điện từ máy phát tua-bin chính. Các phụ tải phụ trợ (bơm, quạt, hệ thống điều khiển) được cấp nguồn từ chính đầu ra của nhà máy thông qua các máy biến áp phụ trợ đơn vị.

Lớp 2: Nguồn điện ngoài (nguồn AC ưu tiên): Nếu máy phát chính bị ngắt, nhà máy kết nối với lưới điện thông qua các máy biến áp khởi động/dự phòng. NRC yêu cầu ít nhất hai đường truyền tải độc lập từ các trạm biến áp khác nhau: để một sự cố truyền tải đơn lẻ không thể gây mất toàn bộ nguồn điện ngoài.

Lớp 3: Máy phát điện diesel khẩn cấp (EDGs): Nếu nguồn điện ngoài bị mất, EDGs sẽ tự động khởi động và cấp điện cho các thanh cái an toàn trong vòng 10 giây. Yêu cầu của NRC:

- Mỗi EDG phải đạt điện áp và tần số định mức trong vòng 10 giây sau khi nhận tín hiệu khởi động

- Lưu trữ nhiên liệu: tối thiểu 7 ngày ở mức tải đầy (NRC Regulatory Guide 1.9)

- Kiểm tra: thử nghiệm tải hàng tháng + thử nghiệm chịu tải 24 giờ mỗi 24 tháng

- Trình tự cấp tải: các tải an toàn được kết nối theo trình tự để tránh quá tải máy diesel khi khởi động

Ắc quy trạm: Nguồn DC cho thiết bị đo lường, bảng điều khiển phòng điều khiển, chiếu sáng khẩn cấp, mạch kích hoạt SCRAM, kích hoạt ATWS, & liên lạc. Phải cung cấp tải trong ít nhất 2 giờ (Class 1E); hầu hết các nhà máy thiết kế cho 4-8 giờ. Bộ sạc ắc quy khôi phục ắc quy khi AC trở lại.

Chiến lược FLEX sau Fukushima: Lệnh NRC EA-12-049 yêu cầu tất cả các nhà máy phải có bơm & máy phát di động có thể triển khai trong thời gian quy định bất kể điều kiện địa điểm. Thiết bị FLEX được bố trí ở nhiều vị trí (một số trong cấu trúc chắc chắn, một số ngoài địa điểm) & có thể kết nối với các điểm kết nối bên ngoài được gia cố trên hệ thống làm lạnh lò phản ứng & hồ nhiên liệu đã sử dụng.

Yêu cầu Máy phát Diesel

Three Mile Island Unit 2, 1979: Chuỗi sự cố tai nạn liên quan đến chuyến turbine theo sau là mất nước cấp, theo sau là một loạt sự kiện phức tạp dẫn đến hư hỏng lõi. Các máy phát diesel khẩn cấp khởi động & chạy đúng suốt sự kiện.

Fukushima Daiichi, 2011: Động đất gây SCRAM lò phản ứng. Tất cả sáu máy phát diesel khởi động & chạy. Sau đó sóng thần đến. Các máy phát diesel của Unit 1-3 ở các phòng hầm bị ngập. Máy phát diesel của Unit 6 ở vị trí cao hơn & sống sót. Unit 5 & 6 không bị hư hỏng lõi.

Hệ thống Bảo vệ Lò phản ứng

Hệ thống Bảo vệ Lò phản ứng (RPS)

Hệ thống Bảo vệ Lò phản ứng là hệ thống tự động khởi động SCRAM lò phản ứng (tắt nhanh) khi các thông số được giám sát vượt quá giới hạn an toàn. Đây là tuyến phòng thủ tự động đầu tiên chống lại các sự cố thoáng qua.

Các thông số được giám sát có thể khởi động SCRAM:

- Thông lượng neutron cao (công suất cao)

- Nhiệt độ chất làm lạnh lò phản ứng cao

- Áp suất chất làm lạnh lò phản ứng thấp (tiềm năng LOCA)

- Áp suất không gian chứa cao

- Lưu lượng chất làm lạnh lò phản ứng thấp

- Mực chất làm lạnh cao (BWR)

- Mực nước thấp-thấp (BWR)

- Mất nguồn điện ngoài công trường

- Trip thủ công (do người vận hành khởi xướng)

Logic biểu quyết: Mỗi thông số được đo bởi bốn cảm biến độc lập, mỗi cảm biến trong một kênh bảo vệ riêng biệt. Một SCRAM yêu cầu 2-trong-4 kênh vượt quá điểm đặt. Điều này có nghĩa là:

- Một cảm biến hỏng đơn lẻ (đọc giả cao) không thể gây ra trip giả

- Bất kỳ hai kênh nào vượt quá điểm đặt đều khởi động trip

- Một kênh đơn lẻ bị lỗi (đọc thấp sai) vẫn để lại ba kênh, vẫn duy trì khả năng 2-of-3

Hệ thống Kích hoạt Đa dạng và Độc lập (DDAS): Các hệ thống RPS kỹ thuật số hiện đại có một hệ thống dự phòng analog: DDAS, có thể khởi động các chức năng an toàn độc lập với I&C kỹ thuật số. Điều này cung cấp tính đa dạng: hệ thống kỹ thuật số và analog có thể hỏng vì những lý do hoàn toàn khác nhau, và một lỗi không ngăn cản hệ thống kia hoạt động.

Logic 2-of-4 so với 2-of-3

RPS sử dụng bỏ phiếu 2-of-4 để khởi động SCRAM (bốn cảm biến, hai cảm biến phải đồng ý để trip). Tuy nhiên, các cảm biến riêng lẻ báo cáo đến hệ thống kích hoạt bằng cách sử dụng bỏ phiếu 2-of-3 trong mỗi train (ba phép đo, hai phép đo phải đồng ý để kích hoạt một chức năng an toàn cụ thể như ECCS).

Đây không phải là cùng một thứ, & việc hiểu sự khác biệt là quan trọng.

Yêu cầu Nhân sự Tối thiểu

Giám sát Con người: Lớp Bảo vệ Có Tư duy

Vận hành nhà máy điện hạt nhân yêu cầu nhân viên có giấy phép trực ca liên tục. NRC 10 CFR 50.54(m) quy định yêu cầu nhân sự tối thiểu. Ít nhất, đội vận hành bao gồm:

Reactor Operator (RO): Được cấp phép bởi NRC (10 CFR 55). Vận hành trực tiếp các điều khiển lò phản ứng, bảng điều khiển chính và các hệ thống an toàn. Phải có mặt tại vị trí điều khiển liên tục trong quá trình vận hành ở công suất.

Senior Reactor Operator (SRO): Giấy phép NRC cấp cao hơn. Giám sát RO. Có thẩm quyền độc lập để khởi động shutdown. Xem xét & phê duyệt các hành động của RO trong các sự kiện bất thường. Không thể là cùng một người với RO trong ca trực.

Shift Supervisor (SS): Người có giấy phép SRO cấp cao. Chịu trách nhiệm tổng thể về việc vận hành và an toàn của nhà máy trong ca trực. Thẩm quyền cuối cùng tại chỗ đối với hoạt động của nhà máy.

Shift Technical Advisor (STA): Yêu cầu sau TMI (NUREG-0737). Một kỹ sư được cấp phép được phân công cho mỗi ca trực, chuyên cung cấp hỗ trợ kỹ thuật độc lập trong các sự kiện bất thường: không bị phân tâm bởi việc vận hành điều khiển, tập trung hoàn toàn vào việc chẩn đoán sự kiện.

Tại sao cần nhiều người? Phòng thủ theo chiều sâu ở lớp con người. Một RO dưới áp lực, tập trung vào việc thực hiện quy trình, có thể bỏ lỡ bức tranh tổng thể. SRO cung cấp giám sát độc lập. STA cung cấp phân tích kỹ thuật độc lập. Trưởng ca duy trì nhận thức tình huống. Không một lỗi nhận thức con người đơn lẻ nào có thể ngăn cản việc kiểm soát an toàn nhà máy.

Công cụ Hiệu suất Con người

Giảm Lỗi Con Người: Các Công Cụ Hệ Thống

Ngành công nghiệp hạt nhân đã định lượng tỷ lệ lỗi con người cho các loại nhiệm vụ khác nhau. Tỷ lệ lỗi cho việc ra quyết định phức tạp dưới áp lực có thể vượt quá 1 trên 10. Ngành công nghiệp đặt mục tiêu tỷ lệ lỗi 1 trên 1.000 hoặc tốt hơn cho các nhiệm vụ quan trọng: và đạt được điều này thông qua các công cụ hiệu suất con người có hệ thống.

Pre-job briefing: Trước khi thực hiện bất kỳ nhiệm vụ quan trọng nào, buổi tóm tắt bao gồm: mục tiêu nhiệm vụ, các mối nguy hiểm, điều kiện dự kiến, các bước kiểm tra hoàn thành, điều kiện dừng (nếu X xảy ra, dừng lại & gọi giám sát viên). Mất 5-15 phút. Giảm đáng kể lỗi thực hiện nhiệm vụ.

STAR (Stop, Think, Act, Review): Kỹ thuật tự kiểm tra cho mọi hành động quan trọng. Stop: dừng lại trước khi thực hiện hành động. Think: tôi sắp làm gì, và điều này có đúng không? Act: thực hiện hành động. Review: kết quả có đúng như mong đợi không? Khoảng dừng hai giây giúp bắt các lỗi hoán vị, chọn van sai, và các lối tắt nhận thức.

Three-way communication: Đối với tất cả các lệnh bằng lời quan trọng về an toàn: (1) Người khởi xướng nêu lệnh: 'Align valve HV-233 to the open position.' (2) Người nhận lặp lại chính xác: 'Align valve HV-233 to the open position.' (3) Người khởi xướng xác nhận: 'That is correct.' Một lỗi giao tiếp không bị phát hiện trong trao đổi này là bất thường: nó đòi hỏi cả hai bên đều nghe nhầm hoặc nhớ sai.

Tính toàn vẹn hai người: Đối với một số hoạt động có hậu quả cao (liên quan đến an ninh, xử lý nguồn), phải có hai cá nhân được cấp phép hiện diện và xác minh lẫn nhau các hành động của nhau. Không ai có thể thực hiện hành động nhạy cảm một mình: người thứ hai phải có mặt vật lý và xác nhận từng bước.

Quản lý mệt mỏi: NRC 10 CFR 26 quy định giới hạn: ngày làm việc tối đa 16 giờ, nghỉ tối thiểu 8 giờ trước khi trở lại nhiệm vụ, tối đa 54 giờ/tuần, tối đa 72 giờ/tuần dưới giờ làm thêm. Mệt mỏi làm suy giảm khả năng ra quyết định nghiêm trọng như say rượu: những giới hạn này không phải là khuyến nghị năng suất, chúng là yêu cầu an toàn.

Quy trình Hoạt động Khẩn cấp

Trước Three Mile Island (1979), các nhà máy điện hạt nhân sử dụng quy trình khẩn cấp dựa trên sự kiện: nếu sự kiện X xảy ra, thực hiện quy trình X. Người vận hành phải xác định đúng sự kiện trước khi hành động.

Tại TMI, các nhà điều hành nhận được các chỉ báo mâu thuẫn. Một van xả áp bị kẹt mở: đây là một vụ LOCA nhỏ: nhưng các nhà điều hành nhận diện sai sự cố và thực hiện sai quy trình. Đến khi chẩn đoán đúng được thực hiện, thiệt hại nghiêm trọng cho lõi đã xảy ra.

Sau TMI, ngành công nghiệp đã phát triển các quy trình vận hành khẩn cấp dựa trên triệu chứng (EOPs). Thay vì 'xác định sự cố, chọn quy trình,' các nhà điều hành thực hiện: 'quan sát triệu chứng, thực hiện hành động bảo vệ cho những triệu chứng đó, bất kể bạn nghĩ sự cố là gì.'

Điều kiện kích hoạt dựa trên triệu chứng chính: bất kỳ thay đổi bất ngờ nào về mức nước làm lạnh lò phản ứng, áp suất, hoặc nhiệt độ, bất kể nguyên nhân, sẽ kích hoạt chuỗi xác minh làm lạnh lõi giống nhau.

ALARA: As Low As Reasonably Achievable

Kỹ thuật Bảo vệ Bức xạ

ALARA: As Low As Reasonably Achievable: không chỉ đơn thuần là giới hạn liều. Đây là một triết lý: liều phải được giảm xuống mức thấp nhất có thể thực hiện được, không chỉ giữ dưới giới hạn pháp lý. NRC quy định ALARA là yêu cầu bắt buộc (10 CFR 20.1101), không chỉ là thực hành tốt.

Quản lý liều ngoài: ba biện pháp kiểm soát cổ điển:

- Thời gian: Giảm một nửa thời gian tiếp xúc trong trường bức xạ sẽ giảm một nửa liều lượng. Các trình tự công việc được lập kế hoạch trước giúp giảm thiểu thời gian không cần thiết trong khu vực liều cao.

- Khoảng cách: Tốc độ liều tuân theo định luật nghịch đảo bình phương. Tăng gấp đôi khoảng cách từ nguồn điểm sẽ giảm tốc độ liều xuống còn một phần tư. Làm việc ở khoảng cách sáu feet thay vì ba feet sẽ giảm liều xuống 75%.

- Che chắn: Chì, bê tông, nước và polyethylene làm giảm cường độ các loại bức xạ khác nhau. Nửa lớp giá trị (HVL) là độ dày làm giảm cường độ xuống một nửa. HVL chì cho tia gamma điển hình: ~1 cm. HVL bê tông: ~6 cm. Sau mười HVL (10 TVL = Lớp giá trị phần mười), cường độ giảm xuống còn 1/1.000 so với ban đầu.

Quản lý liều nội bộ:

- Vật liệu phóng xạ bên trong cơ thể tiếp tục chiếu xạ các cơ quan cho đến khi phân rã hoặc được bài tiết

- Đường xâm nhập: hít phải (sol khí, khí), nuốt phải (thực phẩm/nước bị nhiễm), hấp thu qua da (hiếm)

- Nồng độ không khí dẫn xuất (DAC): nồng độ trong không khí của một đồng vị phóng xạ mà nếu hít phải trong 2.000 giờ/năm sẽ đạt giới hạn liều nghề nghiệp. Mặt nạ phòng độc và buồng áp suất âm ngăn ngừa liều do hít phải.

- Annual Limit on Intake (ALI): tổng lượng chất phóng xạ đưa vào cơ thể (hít vào + nuốt phải) sao cho liều tương đương với giới hạn liều nghề nghiệp

Giới hạn liều nghề nghiệp (10 CFR 20):

- 5 rem (50 mSv) mỗi năm cho liều tương đương hiệu dụng toàn thân

- 3 rem (30 mSv) mỗi quý

- 15 rem (150 mSv) mỗi năm cho thủy tinh thể mắt

- 50 rem (500 mSv) mỗi năm cho da hoặc chi

- Mức ràng buộc liều cho kế hoạch ALARA: 2 rem/năm (giới hạn hành chính của nhà máy thường thấp hơn)

Kiểm soát nhiễm bẩn:

- Khu vực Kiểm soát Bức xạ (RCAs) có kiểm soát ra vào, kiểm tra nhiễm bẩn khi ra khỏi khu vực

- Bệ thay giày (step-off pads): giấy hoặc nhựa đặt tại lối ra RCA; thay vỏ giày tại đây để tránh mang nhiễm bẩn ra ngoài

- Đo toàn thân: sau khi làm việc trong khu vực có nguy cơ nhiễm bẩn trong, đo gamma toàn thân để phát hiện lượng chất phóng xạ đã vào cơ thể

- Chương trình phân tích sinh học: phân tích nước tiểu & phân để định lượng liều nội bộ từ các đồng vị cụ thể

ALARA trong Thực tế

Một nhân viên bức xạ phải thay van trong khu vực có bức xạ cao. Tốc độ liều tại vị trí van là 500 mrem/giờ. Công việc đòi hỏi 30 phút để hoàn thành. Liều tích lũy hàng năm của nhân viên đến nay là 1.200 mrem so với giới hạn hành chính của nhà máy là 2.000 mrem/năm. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Sử dụng các nguyên tắc ALARA và ba biện pháp kiểm soát, đánh giá xem công việc này có thể tiến hành hay không và xác định ít nhất hai hành động cụ thể để giảm liều. [BLOCK_TYPE SECTION/STEP]

Three Mile Island (1979)

Three Mile Island Unit 2: Ngày 28 tháng 3, 1979

TMI không phải là thất bại thiết kế: đó là thất bại phòng thủ chiều sâu ở các lớp con người và quy trình.

Những gì đã xảy ra:

- Một chuyến turbine gây ra SCRAM lò phản ứng (tự động: hoạt động đúng)

- Van an xả áp (PORV) đã mở (đúng) nhưng bị kẹt ở vị trí mở (hỏng thiết bị)

- Chỉ báo trong phòng điều khiển chỉ cho thấy van đã nhận tín hiệu đóng: không phải là van đã thực sự đóng

- Chất làm mát thoát ra qua PORV bị kẹt mở. Áp suất & nhiệt độ trong lò phản ứng giảm

- Nhân viên vận hành hiểu sai triệu chứng là dư chất làm mát và giảm lượng bơm làm mát khẩn cấp: ngược hoàn toàn với điều cần làm

- Trong hơn hai giờ, lõi lò phản ứng bị lộ một phần

- Khoảng một nửa lõi lò bị nóng chảy

Những gì containment đã làm: Nó đã giữ được. Dù lõi bị hư hỏng nghiêm trọng và hydro tích tụ bên trong containment, cấu trúc containment vẫn giữ lại gần như toàn bộ các sản phẩm phân hạch. Liều phóng xạ ngoài khu vực là rất nhỏ: không có ảnh hưởng sức khỏe cộng đồng do bức xạ.

Các cải tiến sau TMI (NUREG-0737):

- EOP dựa trên triệu chứng (thay thế dựa trên sự kiện)

- Cố vấn Kỹ thuật Ca làm việc trên mọi ca

- Mô phỏng toàn diện được NRC chứng nhận cho đào tạo tổ vận hành

- Hệ thống đo lường sau tai nạn (PAM): các chỉ báo làm mát lõi trực tiếp, bảng hiển thị đủ điều kiện với nguồn điện độc lập AC

- Tiêu chuẩn thiết kế phòng điều khiển sửa đổi (NUREG-0700)

- Yêu cầu kiểm tra cấp phép vận hành viên được cải thiện

Chernobyl (1986)

Chernobyl Unit 4: April 26, 1986

Chernobyl khác về tính chất so với TMI: chủ yếu là do thiếu sót thiết kế kết hợp với việc cố tình vô hiệu hóa các hệ thống an toàn.

Những gì đã xảy ra:

- Một thử nghiệm ổn định điện áp yêu cầu vận hành lò phản ứng ở công suất thấp (~200 MW, so với công suất định mức 3.200 MW)

- Ở công suất thấp, lò phản ứng RBMK có hệ số rỗng dương: bọt hơi trong chất làm mát làm tăng độ phản ứng

- Thanh điều khiển có khiếm khuyết thiết kế: đầu chóp graphite đẩy nước ra khi mới được đưa vào, gây ra sự tăng độ phản ứng ban đầu trước khi phần hấp thụ neutron đi vào lõi

- Cuộc thử nghiệm bị trì hoãn; đội ca đêm không được đào tạo để thực hiện

- Nhiều hệ thống an toàn bị vô hiệu hóa có chủ đích để chạy thử nghiệm

- Khi nhấn nút dừng khẩn cấp (AZ-5), các đầu thanh graphite gây ra xung phản ứng thay vì SCRAM như dự kiến

- Công suất tăng vọt lên 30.000 MW trong vài giây: khoảng 10 lần công suất định mức

- Nhiên liệu & chất làm mát chuyển sang hơi nước, gây ra vụ nổ hơi nước phá hủy lò phản ứng

- Đám cháy graphite kéo dài 10 ngày, phát tán các sản phẩm phân hạch khắp châu Âu

Không có vỏ chứa: Lò RBMK không có tòa nhà chứa kín hoàn toàn. Lò phản ứng nằm trong một tòa nhà công nghiệp lớn không có khả năng chịu áp suất. Khi lò bị phá hủy, không còn rào chắn cuối cùng.

Những thay đổi sau Chernobyl:

- Sửa đổi thiết kế RBMK: loại bỏ hệ số khoảng trống dương ở công suất thấp, thiết kế lại đầu thanh điều khiển, thêm chất hấp thụ neutron bổ sung

- Các công ước quốc tế về an toàn hạt nhân được củng cố

- Khái niệm văn hóa an toàn hạt nhân được IAEA chính thức hóa (INSAG-7)

- Nhấn mạnh quy định phương Tây về lớp vỏ chứa như yêu cầu không thể thương lượng

Ba Sự cố, Ba Bài học

Bạn giờ đã biết ba vụ tai nạn hạt nhân dân sự lớn: TMI (1979), Chernobyl (1986), & Fukushima (2011). Mỗi vụ đã tiết lộ một loại thất bại khác nhau trong defense in depth.

Định lượng Rủi ro

PRA: Chuyển từ 'Đủ An toàn' sang 'An toàn đến mức nào?'

Phân tích an toàn xác định (deterministic) cho rằng: thiết kế nhà máy để sống sót qua những tai nạn cụ thể này. Đánh giá Rủi ro Xác suất (PRA) đặt ra một câu hỏi khác: với tất cả các cách mà mọi thứ có thể sai sót, xác suất thực tế xảy ra là bao nhiêu?

Tần suất hư hỏng lõi (CDF): Xác suất lõi lò phản ứng bị hư hỏng đáng kể trong bất kỳ năm nào. Mục tiêu an toàn của NRC: CDF < 1×10⁻⁴ mỗi năm-lò phản ứng (một lần trong 10.000 năm-lò phản ứng). Các nhà máy hiện đại thường đạt CDF < 1×10⁻⁵ (một lần trong 100.000 năm-lò phản ứng).

Tần suất phát tán lớn sớm (LERF): Xác suất phát tán lớn, sớm chất phóng xạ ra môi trường (trước khi sơ tán có thể hoàn tất). Mục tiêu an toàn của NRC: LERF < 1×10⁻⁵ mỗi năm-lò phản ứng.

Cây lỗi: Sơ đồ logic đồ họa thể hiện các kết hợp sự cố thành phần dẫn đến một sự kiện đỉnh xác định (ví dụ: 'Hệ thống ECCS không cung cấp nước cho lõi'). Sử dụng cổng AND (tất cả phải hỏng) & cổng OR (một hỏng hóc bất kỳ là đủ). Cổng AND giảm xác suất (yêu cầu nhiều hỏng hóc đồng thời). Cổng OR tăng xác suất.

Cây sự kiện: Sơ đồ đồ họa bắt đầu từ một sự kiện khởi đầu (ví dụ: 'LOCA đứt lớn xảy ra') & theo dõi hậu quả tùy thuộc vào việc các hệ thống an toàn thành công hay thất bại. Mỗi nhánh thể hiện thành công hay thất bại của một chức năng an toàn. Các nút cuối là các chuỗi tai nạn: tắt an toàn, hỏng lõi, phát thải lớn.

Các thước đo quan trọng: PRA xác định các thành phần & hệ thống đóng góp nhiều nhất vào rủi ro.

- Fussel-Vesely (FV) importance: phần CDF do các hỏng hóc của một thành phần đóng góp. FV cao = thành phần này rất quan trọng.

- Risk Achievement Worth (RAW): mức tăng CDF nếu thành phần này được coi là hỏng. RAW cao = thành phần này không được để ngoài dịch vụ lâu.

RAW chi phối lịch bảo dưỡng & thử nghiệm: các thành phần RAW cao được thử nghiệm thường xuyên & có thời gian ngừng hoạt động cho phép ngắn.

PRA và Lập lịch Bảo dưỡng

Một nhà máy điện hạt nhân có ba máy phát diesel khẩn cấp (A, B, C). Phân tích PRA cho thấy:

- CDF khi cả ba máy hoạt động: 2×10⁻⁵ mỗi năm

- CDF khi diesel A ngừng hoạt động để bảo dưỡng: 8×10⁻⁵ mỗi năm (tăng 4 lần)

- CDF khi diesel A & B đồng thời ngừng hoạt động: 4×10⁻³ mỗi năm (tăng 200 lần)

Nhóm bảo dưỡng muốn đưa diesel A & B ra khỏi dịch vụ đồng thời để đại tu trong 30 ngày.

Nhiên liệu Đã Dùng: Nghĩa vụ Dài hạn

Nhiên liệu đã qua sử dụng: Quản lý chủ động & thụ động

Khi nhiên liệu được tháo ra khỏi lò phản ứng sau 3-5 năm hoạt động, nó có tính phóng xạ rất mạnh và nóng do nhiệt phân rã. Đường cong nhiệt phân rã tương tự vẫn áp dụng: 7% công suất danh định ngay lập tức, giảm dần qua nhiều năm.

Bể chứa nhiên liệu đã qua sử dụng (SFP): Ngay sau khi tháo ra, các bó nhiên liệu đã qua sử dụng được đặt vào bể chứa nhiên liệu đã qua sử dụng: một bể chứa nước, thường sâu khoảng 40 feet, nằm liền kề với tòa nhà lò phản ứng. Nước có hai mục đích: làm mát và che chắn (lớp nước phía trên nhiên liệu hấp thụ bức xạ, giúp nhân viên trên sàn bể nhận liều lượng thấp).

Thời gian làm mát tối thiểu trong bể trước khi chuyển sang thùng khô: Khoảng 5 năm đối với nhiên liệu PWR. Nhiên liệu phải nguội đến mức nhiệt phân rã còn lại có thể được xử lý bằng cách làm mát thụ động bằng không khí trong thùng khô mà không cần nước.

Rủi ro cháy Zircaloy: Nếu các bó nhiên liệu đã qua sử dụng bị lộ ra (mất nước trong bể), vỏ bọc Zircaloy có thể bị oxy hóa trong không khí ở nhiệt độ cao. Không giống như phản ứng hơi nước-Zircaloy tạo ra hydro, quá trình oxy hóa Zircaloy-không khí ở nhiệt độ đỏ nóng có thể duy trì một đám cháy Zircaloy: phản ứng tỏa nhiệt tự duy trì. Bể chứa nhiên liệu đã qua sử dụng của Fukushima Unit 4 đã suýt đạt đến nhiệt độ có thể xảy ra hiện tượng này trong vòng vài ngày.

Yêu cầu SFP sau Fukushima (NRC Order EA-12-051):

- Thiết bị đo lường đáng tin cậy cho mực nước và nhiệt độ bể SFP

- Khả năng bổ sung nước vào bể SFP từ nhiều nguồn khác nhau

- Các chiến lược duy trì hoặc khôi phục làm mát bể SFP trong tình huống mất điện kéo dài

Kho khô (Dry cask storage): Sau 5 năm trở lên trong bể, nhiên liệu được chuyển sang các thùng khô: các bình thép hàn kín được bao bọc bởi bê tông hoặc lớp che chắn polyethylene mật độ cao. Làm mát hoàn toàn thụ động: đối lưu không khí tự nhiên qua các khe thông gió của cấu trúc ngoài. Không cần điện. Tuổi thọ thiết kế: hơn 100 năm. Hiện tại có hơn 90.000 tấn kim loại nặng được lưu trữ trong các thùng khô tại Mỹ.

Xử lý chất thải cấp cao: Nhiên liệu đã sử dụng được phân loại là chất thải hạt nhân cấp cao. Luật Mỹ (Đạo luật Chính sách Chất thải Hạt nhân) chỉ định Yucca Mountain, Nevada làm kho lưu trữ vĩnh viễn: nhưng nó chưa mở cửa do sự phản đối chính trị. NRC yêu cầu kho lưu trữ phải cung cấp khả năng chứa đựng trong 10.000 năm (tiêu chuẩn EPA: 1 triệu năm cho liều lượng vượt quá 10.000 năm). Xử lý địa chất sâu sử dụng chính cấu tạo đá làm rào cản chính, với các rào cản kỹ thuật (kính hóa lỏng, thùng kim loại, đất sét bentonite) làm các lớp bổ sung.

Chất thải cấp thấp (LLW): Quần áo, dụng cụ, bộ lọc, nhựa cây bị ô nhiễm. Ba lớp của NRC:

- Lớp A: hoạt độ thấp nhất, đồng vị sống ngắn nhất. Chôn lấp đất nông, yêu cầu cách ly 100 năm

- Lớp B: hoạt độ trung bình. Chôn lấp nông với cách ly 300 năm

- Lớp C: hoạt độ cao hơn, đồng vị sống lâu hơn. Yêu cầu cách ly 500 năm; xử lý bề mặt gần với các rào cản kỹ thuật lớn hơn

Các kỹ thuật giảm thể tích (đốt, nén, nấu chảy) là bắt buộc để giảm thiểu không gian xử lý

Dry Cask Safety Case

Một nhà phê bình cho rằng kho chứa cask khô không an toàn vì các cask không có hệ thống làm mát chủ động, không có kết nối điện và được đặt ngoài trời trên các tấm bê tông. Một kỹ sư hạt nhân phản bác rằng kho chứa cask khô thực tế có thể an toàn hơn bể chứa nhiên liệu đã qua sử dụng.

Phòng thủ theo chiều sâu: Toàn cảnh

Kỹ thuật An toàn Hạt nhân: Một ngành Kỹ thuật Hệ thống

Bạn đã nghiên cứu từng lớp của kỹ thuật an toàn hạt nhân. Hãy lùi lại và nhìn tổng thể hệ thống:

Các rào chắn vật lý (ma trận nhiên liệu, vỏ bọc, bình áp lực, vỏ chứa) là thụ động: chúng không cần bất kỳ hành động nào để hoạt động. Chúng là nền tảng.

Các hệ thống an toàn (ECCS, RPS, EDGs, DDAS) là chủ động với các dự phòng thụ động (bình tích áp, bể trọng lực, ắc quy). Mỗi chức năng có ba kênh độc lập. Mỗi kênh có khả năng 100%. Phương pháp chủ động và thụ động là đa dạng.

Thiết bị đo lường (RPS, ECCS actuation, PAM) giám sát hàng chục thông số với logic bỏ phiếu 2/4: chống nhiễu và chống hỏng cảm biến có thể ngăn chặn tín hiệu trip.

Quy trình (EOP dựa trên triệu chứng) hướng dẫn người vận hành thực hiện các hành động bảo vệ mà không cần chẩn đoán chính xác. Sau TMI. Thiết yếu.

Yếu tố con người (biên chế, đào tạo, công cụ nâng cao hiệu suất con người, giới hạn mệt mỏi) giảm xác suất lớp bảo vệ con người bị lỗi. Yêu cầu STA sau TMI. Đào tạo trên mô phỏng. Tóm tắt công việc trước khi thực hiện. STAR. Giao tiếp ba chiều.

Quản lý & văn hóa an toàn đảm bảo an toàn không bị đánh đổi lấy hiệu suất. Sau Chernobyl INSAG-7. Bài học từ Chernobyl là các hệ thống an toàn bị vô hiệu hóa bởi quản lý thì coi như không tồn tại.

Quy định (NRC 10 CFR 50, tiêu chuẩn IAEA, kiểm tra định kỳ) cung cấp giám sát độc lập ở lớp cao nhất. Một cơ quan quản lý không thực hiện kiểm tra là một cơ quan quản lý không tồn tại.

Ba vụ tai nạn lớn cho thấy defense in depth không thất bại do một lỗi đơn lẻ nghiêm trọng, mà do sự kết hợp của nhiều lỗi nhỏ, các giả định sai lầm và biên an toàn không đủ ở nhiều lớp cùng lúc. Hồ sơ an toàn chỉ mạnh bằng sự kết hợp yếu nhất xảy ra đồng thời.

Tổng hợp cuối cùng

Câu hỏi cuối cùng: Câu hỏi khó nhất

Một thiết kế lò phản ứng mới được đề xuất tuyên bố an toàn đến mức chỉ cần một hệ thống ECCS (thay vì ba), không cần máy phát diesel khẩn cấp (chỉ làm mát thụ động), và mô hình nhân sự đơn giản hóa chỉ với hai người vận hành thay vì bốn.

Nhà thiết kế lập luận: 'Làm mát thụ động nghĩa là không cần điện, do đó không cần máy phát diesel. Lò phản ứng không thể nóng chảy theo quy luật vật lý, nên việc giảm nhân sự vận hành là hợp lý.'