Xác định Nhiệm vụ của Bạn

Phần 1: Xác định Nhiệm vụ

Mỗi thiết kế lò phản ứng đều bắt đầu từ một nhiệm vụ. Nhiệm vụ này chi phối mọi quyết định tiếp theo.

Công suất phát điện quyết định kích thước lò phản ứng, lượng nhiên liệu, và yêu cầu lưu lượng chất làm mát. Một lò phản ứng mô-đun nhỏ (SMR) 100 MWe có các ràng buộc kỹ thuật rất khác so với lò nước áp lực 1.200 MWe.

Vị trí quyết định các tiêu chí chọn địa điểm, nguồn chất làm mát, tích hợp lưới điện, kế hoạch ứng phó khẩn cấp, và cơ sở thiết kế địa chấn. Các vị trí ven sông nội địa sử dụng nước sông để làm mát và phải xử lý rủi ro lũ lụt. Các vị trí ven biển sử dụng nước biển nhưng phải xử lý sóng thần và bão dâng. Các vị trí đảo xa hoặc ngoài lưới có thể không kết nối với lưới điện quốc gia.

Tích hợp lưới điện so với microgrid cô lập thay đổi cách xử lý yêu cầu theo tải và hậu quả khi lưới điện gặp sự cố (rủi ro mất điện toàn nhà máy).

Tuổi thọ thiết kế ảnh hưởng đến giới hạn mỏi vật liệu, chu kỳ kiểm tra, yêu cầu gia hạn giấy phép, và dự trữ chi phí tháo dỡ. NRC hiện cấp phép nhà máy trong 40 năm và có thể gia hạn thêm 20 năm. Một số thiết kế đang hướng tới tuổi thọ 80 năm.

Các hồ sơ nhiệm vụ điển hình:

- Lò SMR 300 MWe, đảo xa, lưới điện cô lập, tuổi thọ 60 năm

- Lò PWR 1.100 MWe, vị trí sông nội địa, lưới điện quốc gia, tuổi thọ 60 năm

- Lò EPR 1.600 MWe, vị trí ven biển, lưới điện quốc gia, tuổi thọ 60 năm

- Mảng 2 × 77 MWe NuScale SMR, vị trí nội địa, lưới điện khu vực, tuổi thọ 40 năm

Tuyên bố Nhiệm vụ của Bạn

Xác định sứ mệnh của lò phản ứng. Đây sẽ là nền tảng cho mọi quyết định thiết kế tiếp theo. [BLOCK_TYPE SECTION/STEP]

Phân tích đánh đổi loại lò phản ứng [BLOCK_TYPE reactor_type/reactor_type_content]

Phần 2: Lựa chọn loại lò phản ứng

[BLOCK_TYPE reactor_type/reactor_type_content]

[BLOCK_TYPE reactor_type/reactor_type_content]

Hiện nay có năm loại lò phản ứng thương mại chính đang được xem xét nghiêm túc. Mỗi loại có cơ sở vật lý, chu trình nhiên liệu, hồ sơ an toàn và mức độ trưởng thành khác nhau. Bạn phải chọn một loại và bảo vệ lựa chọn của mình. [BLOCK_TYPE reactor_type/reactor_type_content]

[BLOCK_TYPE reactor_type/reactor_type_content]

Lò phản ứng nước áp lực (PWR) [BLOCK_TYPE reactor_type/reactor_type_content]

Loại lò phổ biến nhất trên thế giới (khoảng 70% số nhà máy đang vận hành). Nước nhẹ (H₂O) đóng vai trò vừa là chất làm mát vừa là chất làm chậm. Vòng lặp sơ cấp hoạt động ở áp suất ~155 bar / 325°C: áp suất cao giữ cho nước ở trạng thái lỏng. Máy phát hơi chuyển nhiệt sang vòng lặp thứ cấp, từ đó dẫn động tuabin. Nước có tính phóng xạ được giữ trong vòng lặp sơ cấp.

Ưu điểm: Hàng thập kỷ kinh nghiệm vận hành, hệ số rỗng âm mạnh (mất nước làm giảm độ phản ứng), hồ sơ an toàn đã được chứng minh, chuỗi cung ứng công nghiệp lớn.

Nhược điểm: Áp suất vận hành cao (cần bình chịu áp lực thành dày & bơm công suất lớn), hệ thống hai vòng phức tạp, tai nạn mất chất làm mát (LOCA) đòi hỏi hệ thống ECCS chủ động.

Lò phản ứng nước sôi (BWR)

Nước sôi ngay trong bình lò. Hơi nước đi trực tiếp đến tuabin. Đơn giản hơn PWR: không cần máy phát hơi.

Ưu điểm: Áp suất vận hành thấp hơn PWR, thiết kế một vòng đơn giản hơn, chu trình trực tiếp hiệu suất cao hơn.

Nhược điểm: Hơi nước phóng xạ đi đến tuabin (tòa nhà tuabin là khu vực bức xạ), hệ thống ECCS phức tạp với nhiều hệ thống bơm nước, hệ số rỗng dương nhẹ ở một số mức công suất đòi hỏi thiết kế cẩn thận.

CANDU (Canada Deuterium Uranium)

Sử dụng nước nặng (D₂O) làm chất làm chậm và chất làm mát. Có thể dùng nhiên liệu urani tự nhiên (không cần làm giàu). Đặc điểm độc đáo: nạp nhiên liệu trực tuyến: các kênh nhiên liệu có thể được thay thế mà không cần dừng lò.

Ưu điểm: Không cần làm giàu nhiên liệu (lợi thế chi phí nhiên liệu), nạp nhiên liệu trực tuyến giúp hệ số công suất rất cao, chất làm chậm nước nặng cho phép chu trình nhiên liệu linh hoạt.

Nhược điểm: Nước nặng đắt để sản xuất (~1000 USD/kg), một số cấu hình có hệ số rỗng hơi dương nhẹ trong một số điều kiện nhất định, đòi hỏi thiết kế an toàn cẩn thận, diện tích vật lý lớn.

Lò phản ứng muối nóng chảy (MSR)

Nhiên liệu được hòa tan trong muối florua hoặc clorua nóng chảy. Không có nhiên liệu rắn để nóng chảy: nếu làm mát thất bại, muối sẽ đông đặc hoặc thoát qua nút đông lạnh thụ động. Có thể sử dụng chu trình nhiên liệu thori.

Ưu điểm: An toàn “walk-away” (hệ thống thoát thụ động khiến sự cố nóng chảy trở nên không thể xảy ra về mặt vật lý), hoạt động ở áp suất khí quyển (không có nguy cơ LOCA), nạp nhiên liệu trực tuyến, chu trình nhiên liệu thori tạo ra ít chất thải tồn lưu dài hạn hơn.

Nhược điểm: Thách thức về vật liệu (vật liệu kết cấu phải chịu được muối nóng, ăn mòn, phóng xạ trong nhiều thập kỷ), công nghệ chưa thương mại: chưa có MSR nào vận hành thương mại, sản xuất tritium trong muối fluoride là thách thức về quy định.

Lò phản ứng mô-đun nhỏ (SMR): Loại NuScale/Rolls-Royce

Các mô-đun PWR hoặc PWR tích hợp được chế tạo tại nhà máy, thường có công suất 50-300 MWe mỗi mô-đun. An toàn thụ động dựa vào tuần hoàn tự nhiên, không cần bơm. Nhiều mô-đun có thể kết hợp để mở rộng quy mô.

Ưu điểm: Kiểm soát chất lượng tại nhà máy, hệ thống an toàn thụ động (không cần bơm, không cần nguồn điện AC để làm mát), khả năng mở rộng công suất, thời gian xây dựng ngắn hơn.

Nhược điểm: Chi phí vốn trên kWe cao hơn so với nhà máy lớn, hầu hết các thiết kế chưa thương mại hoặc mới bắt đầu vận hành (NuScale VOYGR được chứng nhận năm 2022 nhưng các dự án bị hủy năm 2023), chuỗi cung ứng chưa phát triển ở quy mô lớn.

Câu hỏi vật lý an toàn chính cho bất kỳ loại lò phản ứng nào:

Nếu nhiệt độ chất làm mát tăng hoặc chất làm mát bị mất, lò phản ứng có hệ số nhiệt độ âm (negative temperature coefficient) và hệ số rỗng âm (negative void coefficient) sẽ tự động giảm công suất: đây là phản ứng tự điều chỉnh, vốn an toàn. Ngược lại, lò phản ứng có hệ số rỗng dương (positive void coefficient) (công suất tăng khi mất chất làm mát) cần các hệ thống chủ động để tắt an toàn. Đây chính là yếu tố khiến RBMK tại Chernobyl trở nên nguy hiểm.

Chọn Loại Lò Phản Ứng Của Bạn

Hãy xem xét sơ đồ so sánh các loại lò phản ứng ở trên trước khi quyết định.

Các Thông số Thiết kế Nhiên liệu

Phần 3: Thiết kế Nhiên liệu

Thiết kế nhiên liệu quyết định bạn thu được bao nhiêu năng lượng, nhiên liệu tồn tại được bao lâu, và điều gì xảy ra khi có sự cố. Mọi thông số đều tương tác với nhau.

Loại nhiên liệu:

- UO₂ (uranium dioxide): Tiêu chuẩn toàn cầu. Viên gốm, điểm nóng chảy cao (~2850°C), ổn định hóa học, đã được nghiên cứu kỹ. Nhược điểm nhỏ: độ dẫn nhiệt thấp, nhiệt tích tụ ở trung tâm viên nhiên liệu.

- MOX (mixed oxide): Hỗn hợp UO₂ & PuO₂. Đốt cháy plutonium từ vũ khí hoặc nhiên liệu đã qua sử dụng được tái xử lý. Điểm nóng chảy hơi thấp hơn UO₂, cần cơ sở sản xuất MOX được cấp phép.

- TRISO (tri-structural isotropic): Vi cầu nhiên liệu (UO₂ hoặc UCO) được phủ nhiều lớp gốm. Mỗi hạt là một bình chứa nhỏ độc lập. Dùng trong lò phản ứng khí nhiệt độ cao và một số thiết kế tiên tiến. Rất bền: đã được thử nghiệm ở nhiệt độ rất cao mà không phát thải.

Độ giàu:

- Urani tự nhiên (0,7% U-235): Dùng trong lò CANDU. Không tốn chi phí làm giàu, nhưng cần chất điều hòa nước nặng.

- LEU 3-5% (uranium làm giàu thấp): Tiêu chuẩn cho nhiên liệu PWR & BWR. Được làm giàu đến 3-5% U-235.

- HALEU 5-20% (uranium làm giàu thấp cao cấp): Được sử dụng trong nhiều thiết kế SMR & lò phản ứng tiên tiến. Độ làm giàu cao hơn cho phép lõi nhỏ hơn, gọn hơn và chu trình nhiên liệu dài hơn. Yêu cầu các biện pháp bảo vệ bổ sung do độ làm giàu cao hơn.

- HEU >20%: Bị cấm trong các lò phản ứng điện lực thương mại.

Vật liệu vỏ bọc:

- Zircaloy-4: Vật liệu vỏ bọc tiêu chuẩn trên toàn thế giới. Hấp thụ neutron thấp, tính chất cơ học tốt đến ~400°C. Điểm yếu nghiêm trọng: trên ~1200°C phản ứng với hơi nước tạo ra khí hydro (Zr + 2H₂O → ZrO₂ + 2H₂). Đây là nguồn hydro tại Fukushima.

- M5 (hợp kim Zr-Nb): Khả năng chống ăn mòn tốt hơn Zircaloy-4 cho nhiên liệu đốt cháy cao.

- Vật liệu composite SiC/SiC: Vỏ bọc nhiên liệu chịu tai nạn tiên tiến (ATF). Khả năng chịu nhiệt độ cao hơn nhiều, không sinh hydro khi gặp hơi nước. Đang được phát triển tích cực nhưng chưa được sử dụng rộng rãi trong thương mại.

Mục tiêu burnup:

Nhiên liệu LWR tiêu chuẩn đạt ~45-50 GWd/tHM (gigawatt-ngày trên tấn kim loại nặng) trước khi được tháo ra. Nhiên liệu hiệu suất cao có thể đạt 65-70 GWd/tHM. Một số thiết kế tiên tiến nhắm tới hơn 100 GWd/tHM để kéo dài chu kỳ. Burnup cao hơn nghĩa là giảm số lần ngừng nạp nhiên liệu nhưng đòi hỏi lớp vỏ chịu lực tốt hơn và độ giàu uranium cao hơn.

Chất hấp thụ cháy được:

Nhiên liệu mới có độ phản ứng rất cao: quá phản ứng nếu nạp đầy lõi. Chất hấp thụ cháy được (gadolinium oxide trộn vào viên nhiên liệu, hoặc IFBA: integral fuel burnable absorber – lớp phủ ZrB₂ mỏng) hấp thụ neutron dư thừa ở giai đoạn đầu và cháy dần khi nhiên liệu suy giảm, giúp làm phẳng phân bố công suất trong suốt chu kỳ.

Sơ đồ nạp lõi:

- Nạp trong-ngoài: Nhiên liệu mới được nạp ở trung tâm, sau đó di chuyển ra ngoài khi bị tiêu hao. Đơn giản nhưng tạo đỉnh công suất cao ở trung tâm.

- Nạp rò rỉ thấp: Nhiên liệu mới đặt ở vùng ngoài của lõi, nhiên liệu đã cháy đặt ở trung tâm. Giảm rò rỉ neutron (tiết kiệm nhiên liệu tốt hơn) và giảm fluence lên vỏ áp lực lò phản ứng. Đây là thông lệ tiêu chuẩn cho PWR hiện đại.

Chỉ định Thiết kế Nhiên liệu

Hãy xem xét cách các lựa chọn nhiên liệu của bạn tương tác với loại lò phản ứng và nhiệm vụ. Nhà thiết kế CANDU không cần làm giàu. Nhà thiết kế SMR có thể chọn HALEU để có lõi nhỏ gọn. Nhà thiết kế PWR phải xử lý lớp vỏ và rủi ro sinh hydro.

Thiết kế Chất làm mát và Chất điều hòa

Phần 4: Tương thích giữa Chất làm mát & Chất điều hòa

Chất làm mát, chất điều hòa, nhiên liệu và lớp vỏ phải tương thích về mặt hóa học và vật lý. Sự không phù hợp sẽ tạo ra vấn đề an toàn hoặc thiết kế không khả thi.

Nước nhẹ (H₂O): PWR, BWR, SMR:

Chất làm chậm neutron tốt nhất trên đơn vị thể tích. Đồng thời là chất làm mát tuyệt vời. Hoạt động ở áp suất cao (PWR: ~155 bar, BWR: ~70 bar). Rủi ro chính: ở nhiệt độ cao nước nhanh chóng chuyển sang hơi (mất đồng thời khả năng làm chậm và làm mát: tình huống LOCA). Kiểm soát hóa học rất quan trọng: pH, oxy hòa tan, bơm kẽm đều ảnh hưởng đến tốc độ ăn mòn của vật liệu kết cấu. Vỏ bọc Zircaloy tương thích đến ~400°C trong vận hành bình thường.

Nước nặng (D₂O): CANDU:

Chất làm chậm neutron xuất sắc với khả năng hấp thụ neutron thấp hơn nhiều so với H₂O: đây là lý do CANDU có thể vận hành bằng urani tự nhiên. Hoạt động ở ~100 bar trong các ống áp lực. Nước nặng có giá ~1000 USD/kg để sản xuất (qua quy trình Girdler-Sulfide hoặc các quy trình tách đồng vị khác). Việc tạo ra tritium từ D + n → T là thách thức vận hành: tritium là chất phát beta và cần được kiểm soát. Hóa học: tương tự nước nhẹ nhưng có các cân nhắc khác về đồng vị oxy.

Graphite: RBMK, HTGR:

RBMK sử dụng graphite làm chất làm chậm với nước làm mát: sự kết hợp nguy hiểm vì hệ số rỗng dương. HTGR (lò phản ứng khí nhiệt độ cao) sử dụng graphite làm chất làm chậm với heli làm mát: sự kết hợp an toàn vì graphite không góp phần tạo hệ số rỗng dương khi dùng khí làm mát. Graphite cũng có thể là nguy cơ cháy nếu đạt nhiệt độ rất cao trong không khí: đây là yếu tố trong vụ cháy Windscale năm 1957.

Muối nóng chảy: MSR:

Muối đóng vai trò vừa là chất mang nhiên liệu vừa là chất làm mát. Không cần chất điều hòa riêng (trừ MSR nhiệt có thể sử dụng than chì). Hoạt động ở áp suất khí quyển: không có rủi ro LOCA do áp suất cao. Thách thức chính: muối fluoride rất ăn mòn kim loại kết cấu, muối chloride có thể bị kích hoạt dưới dòng neutron. Vật liệu phải chịu được tiếp xúc trong nhiều thập kỷ. Nút đóng băng: một nút muối đông lạnh được làm mát bằng quạt nhỏ sẽ tan chảy nếu mất điện, dẫn nhiên liệu vào hình dạng dưới tới hạn. Đây là tính năng an toàn thụ động.

Natri: Lò phản ứng nhanh (SFR):

Natri lỏng là chất làm mát tuyệt vời cho lò phản ứng nhanh. Độ dẫn nhiệt rất cao, hoạt động ở áp suất khí quyển, tuần hoàn tự nhiên hiệu quả. Rủi ro nghiêm trọng: natri cháy dữ dội khi tiếp xúc với không khí và phản ứng nổ với nước. Tất cả hệ thống natri cần bộ trao đổi nhiệt hai lớp và khí quyển trơ. Một vụ cháy natri là sự cố lớn tại Monju (Nhật Bản) và Superphénix (Pháp).

Ma trận tương thích (những gì phải hoạt động cùng nhau):

- Hóa học của chất làm mát không được ăn mòn lớp vỏ dưới bức xạ

- Chất điều hòa phải tương thích với chất làm mát (nước nặng & nước nhẹ tương thích; than chì & nước gây ra vấn đề khoảng trống dương của RBMK)

- Nhiên liệu phải ổn định về mặt hóa học trong chất làm mát (UO₂ trong nước: ổn. UF₄ trong muối florua: ổn. UO₂ trong natri: ổn. Nhưng urani kim loại trong nước bị ăn mòn.)

- Nhiệt độ & áp suất vận hành phải nằm trong giới hạn định mức vật liệu

Biện minh cho Chất làm mát và Chất điều hòa của bạn

Loại lò phản ứng của bạn xác định chất làm mát chính. Bây giờ hãy biện minh cho sự tương thích của toàn bộ hệ thống: chất làm mát, chất điều hòa, nhiên liệu và lớp vỏ, đồng thời xác định mối nguy hóa học hoặc nhiệt chính.

Ba Vòng Làm mát Độc lập

Section 5a: Hệ thống Làm mát Dự phòng Ba Lần

Tại sao cần ba vòng làm mát?

Fukushima có hệ thống làm mát dự phòng. Nó đã thất bại vì tất cả các hệ thống dự phòng đều chia sẻ một điểm yếu chung: chúng cần nguồn điện AC, và chính trận sóng thần đã phá hủy nguồn điện lưới cũng phá hủy các máy phát diesel. Một lỗi đơn lẻ đã lan truyền thành mất hoàn toàn khả năng làm mát.

Dự phòng ba lần không chỉ là ba bản sao của cùng một hệ thống. Dự phòng thực sự đòi hỏi độc lập trên ba chiều:

- Phân tách vật lý: Các tòa nhà khác nhau, các góc phần tư khác nhau, các cao độ khác nhau. Một trận lũ ở một góc phần tư không thể vô hiệu hóa góc phần tư khác.

- Nguồn điện khác nhau: Các bus điện khác nhau, nguồn dự phòng khác nhau. Sự cố một bus không thể vô hiệu hóa toàn bộ vòng làm mát.

- Logic kích hoạt khác nhau: Một vòng kích hoạt theo nhiệt độ cao, một vòng theo áp suất thấp, một vòng khi mất điện hoàn toàn. Các chế độ sự cố khác nhau sẽ kích hoạt các vòng làm mát khác nhau.

Ba vòng làm mát tiêu chuẩn của lò PWR hiện đại:

Vòng 1: Làm mát tắt nguồn thông thường (SCS / Residual Heat Removal, RHR):

Hệ thống chủ động. Bơm tuần hoàn chất làm mát qua các bộ trao đổi nhiệt để loại bỏ nhiệt phân rã sau khi tắt nguồn. Được cấp điện bởi nguồn AC thông thường hoặc AC khẩn cấp. Hoạt động ở áp suất thấp sau khi giảm áp. Ngưỡng kích hoạt: thường khi nhiệt độ RCS giảm xuống dưới ~177°C (350°F) và áp suất dưới ~28 bar (400 psi). Đây là hệ thống loại bỏ nhiệt phân rã chính trong quá trình tắt nguồn theo kế hoạch.

Vòng lặp 2: Hệ thống Làm mát Lõi Khẩn cấp (ECCS): Bơm Cao Áp và Bơm Thấp Áp:

Hệ thống chủ động. Kích hoạt khi xảy ra tai nạn mất chất làm mát. Bơm cao áp (HPI) hoạt động với các vết nứt nhỏ: duy trì áp suất hệ thống làm mát lò phản ứng (RCS), bơm nước có chứa boron. Bình tích áp: các bình chứa nước borated lớn dưới áp suất nitơ (~40 bar) sẽ tự động xả khi áp suất RCS giảm xuống dưới áp suất bình tích áp (không cần bơm, không cần nguồn điện cho giai đoạn này). Bơm thấp áp (LPI) tiếp quản sau khi RCS đã giảm áp hoàn toàn. Nồng độ boron rất quan trọng: đủ để đạt và duy trì trạng thái tắt nguội mà không cần thanh kiểm soát.

Vòng lặp 3: Làm mát Lõi Thụ động (dòng chảy trọng lực hoặc tuần hoàn tự nhiên):

Hệ thống thụ động: không cần bơm, không cần nguồn điện AC, không cần thao tác của người vận hành. Có hai cách tiếp cận:

- Kiểu AP1000 (Westinghouse): Bể nước lớn đặt phía trên lò phản ứng (bể bổ sung lõi, bộ trao đổi nhiệt loại nhiệt dư thụ động). Dòng chảy trọng lực. Trong điều kiện tai nạn, tuần hoàn tự nhiên đưa nhiệt phân rã từ mạch chính sang nước trong bể, nước sôi và bay hơi: ngưng tụ trên vỏ thép containment, được làm mát bằng không khí bên ngoài. Hoàn toàn thụ động.

- Kiểu NuScale: Module lò phản ứng nằm trong bể nước. Tuần hoàn tự nhiên trong hệ thống chính chuyển nhiệt sang bể nước. Không có bơm nào trong hệ thống chính hoặc hệ thống an toàn.

- PRHR HX (Bộ trao đổi nhiệt loại nhiệt dư thụ động): Ngâm trong bể nước lớn (bể chứa nước làm mát và nạp nhiên liệu trong containment, IRWST). Tuần hoàn tự nhiên qua PRHR HX loại bỏ nhiệt phân rã mà không cần bơm. Hoạt động trong 72 giờ mà không cần thao tác của người vận hành.

Xác minh tính độc lập: những điều phải đúng:

- Vòng lặp 1, 2 & 3 phải lấy nguồn điện từ các bus điện khác nhau (1A, 1B, 1C hoặc Div I, II, III)

- Vòng lặp 3 phải hoạt động được khi mất hoàn toàn nguồn AC

- Mỗi vòng lặp phải nằm ở phân khu vật lý khác nhau (được ngăn cách bằng rào chắn hoặc khoảng cách)

- Các lỗi nguyên nhân chung: như sóng thần Fukushima: phải được phân tích và ngăn ngừa

Phân tích lỗi nguyên nhân chung:

Một lỗi đơn lẻ nào có thể vô hiệu hóa cả ba vòng? Bạn phải xác định lỗi đó và chỉ ra cách thiết kế của bạn ngăn chặn nó.

- Nguyên nhân chung do động đất: cả ba vòng phải nằm trong các công trình Seismic Category I được thiết kế cho SSE của địa điểm

- Nguyên nhân chung do ngập lụt: các vòng ở các cao độ khác nhau hoặc các khoang được bảo vệ chống ngập

- Nguyên nhân chung do cháy: rào chắn cháy (đánh giá 3 giờ), tuyến cáp riêng biệt, phân tách dự phòng

- Nguyên nhân chung do mất bể nhiệt: nếu cả ba vòng thải nhiệt vào cùng một bể nhiệt cuối cùng (sông, đại dương), phải phân tích trường hợp mất bể nhiệt đó

Thiết kế Vòng 1: Hệ thống Làm mát Ngưng hoạt động Bình thường

Thiết kế vòng làm mát đầu tiên của bạn: hệ thống làm mát ngưng hoạt động bình thường / RHR.

Thiết kế Loop 2: Hệ thống phun cao áp ECCS

Loop 2 là hệ thống làm mát lõi khẩn cấp: được kích hoạt bởi các sự cố, không phải vận hành bình thường.

Thiết kế Loop 3: Làm mát lõi thụ động [BLOCK_TYPE SECTION/STEP]

Loop 3 phải hoạt động mà không cần nguồn điện AC và không cần thao tác của người vận hành. Đây là tuyến phòng thủ cuối cùng: hệ thống ngăn chặn kịch bản Fukushima.

Phân tích Lỗi Nguyên nhân Chung

Bạn có ba vòng làm mát. Bây giờ hãy chứng minh chúng thực sự độc lập.

Ba Cách Độc Lập Để Dừng Phản Ứng

Section 5b: Hệ thống Ngắt Kín Ba Lớp Độc Lập

Dừng phản ứng dây chuyền đòi hỏi nhiều hơn là chỉ cần các thanh kiểm soát. Một lò phản ứng an toàn hiện đại có ba cơ chế ngắt độc lập hoàn toàn, bất kỳ cơ chế nào cũng đủ để đạt và duy trì trạng thái tắt nguội.

Tại sao không chỉ dùng thanh kiểm soát?

Các thanh điều khiển không thể tắt lò phản ứng Chernobyl đủ nhanh: lò RBMK có hệ số scram dương, nên khi chèn các thanh có đầu graphite vào sẽ gây ra một xung công suất ngắn trước khi tắt lò. Tại TMI, các thanh điều khiển đã chèn đúng cách, nhưng sự nhầm lẫn của người vận hành về mức chất làm mát đã khiến lõi bị lộ ra. Bài học: không một hệ thống đơn lẻ nào được phép là phương tiện duy nhất để tắt lò. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Hệ thống tắt lò 1: Thanh điều khiển: [BLOCK_TYPE SECTION/STEP]

Hệ thống tắt lò chính. Các thanh chứa vật liệu hấp thụ neutron (boron carbide B₄C, hafnium, hoặc hợp kim Ag-In-Cd) được chèn vào lõi. Các thanh được thả bằng trọng lực hoặc lò xo (SCRAM): khi mất điện hoặc nhận tín hiệu an toàn, các nam châm điện giữ thanh sẽ mất từ tính và thanh rơi vào lõi. Thời gian SCRAM: thường các thanh được chèn hoàn toàn trong vòng 2–4 giây. [BLOCK_TYPE SECTION/STEP]

Yêu cầu thiết kế: (1) Giá trị thanh (rod worth): tổng các thanh phải đủ để tắt lò từ mọi điều kiện vận hành, ngay cả khi thanh có giá trị cao nhất bị kẹt rút ra. Đây là “tiêu chí thanh kẹt”. (2) Thời gian SCRAM: được đo và xác minh trong quá trình thử nghiệm khởi động. (3) Tần suất kiểm tra: các thanh điều khiển phải được vận hành định kỳ (rút một phần rồi chèn lại) để xác minh khả năng hoạt động. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Hệ thống tắt lò 2: Bơm boron khẩn cấp: [BLOCK_TYPE SECTION/STEP]

Bơm nước có chứa boron vào hệ thống làm mát lò phản ứng. Boron-10 là chất hấp thụ neutron rất tốt. Lượng boron đủ lớn sẽ đạt được trạng thái tắt nguội ngay cả khi tất cả các thanh điều khiển bị kẹt rút ra. Hai cơ chế: (1) Bơm từ bồn chứa: bồn axit boric nối với RCS qua bơm và van cách ly. (2) Bơm boron từ hệ thống ECCS: nước trong bình tích áp ECCS đã được pha boron sẵn; khi ECCS hoạt động sẽ tự động cung cấp boron. Nồng độ boron cần thiết để đạt tắt nguội khi tất cả thanh kẹt được tính trong phân tích an toàn, thường là 2000–2500 ppm (dạng axit boric H₃BO₃).

Hệ thống Dừng 3: Thoát chất hấp thụ thụ động (dựa trên vật lý, không cần điện):

Một cơ chế dừng thụ động, đa dạng sử dụng nguyên lý vật lý khác. Ví dụ:

- Bơm bi boron (kiểu CANDU): Các viên bi chất hấp thụ rơi theo trọng lực vào các ngăn chất điều hòa riêng biệt khi mất điện.

- Bơm boron thụ động từ bể cao: Một bể cao chứa axit boric đậm đặc sẽ thoát theo trọng lực vào RCS khi van mở khi mất điện. Không cần bơm, không cần tín hiệu.

- Thoát muối nóng chảy sang hình dạng dưới tới hạn: Đối với MSR, nút đông lạnh sẽ tan khi mất nguồn làm mát, cho nhiên liệu chảy vào một hình dạng vật lý không thể duy trì phản ứng dây chuyền (hình dạng dưới tới hạn được thiết kế sẵn trong bể thoát).

- Thanh chất độc cháy được với cơ chế bắn lò xo: Trong một số thiết kế, các thanh dừng phụ có thể được bắn lên lò xo vào lõi khi mất cơ chế giữ.

Yêu cầu kiểm tra & giám sát:

Mỗi hệ thống dừng khẩn cấp phải được kiểm tra độc lập theo lịch trình định kỳ, kết quả được ghi chép và báo cáo cho NRC. Các phát hiện của NRC về hệ thống dừng khẩn cấp không hoạt động là các sự kiện phải báo cáo. Việc kiểm tra phải chứng minh rằng mỗi hệ thống riêng lẻ có thể đạt được trạng thái nguội tắt lò.

Thiết kế Ba Hệ Thống Dừng Khẩn Cấp Của Bạn

Thiết kế cả ba hệ thống dừng khẩn cấp cho lò phản ứng của bạn.

Ba nguồn điện độc lập

Mục 5c: Ba nguồn điện dự phòng độc lập

Bài học cốt lõi từ Fukushima: mất điện toàn bộ trạm (station blackout): mất hoàn toàn nguồn điện AC: không được dẫn đến hư hỏng lõi lò. Các yêu cầu của NRC sau Fukushima (FLEX) yêu cầu các nhà máy phải chứng minh khả năng ứng phó với tình huống mất điện kéo dài bằng các nguồn điện đa dạng và độc lập.

Nguồn điện 1: Lưới điện ngoài:

Nguồn điện bình thường. Hai hoặc nhiều đường dây truyền tải độc lập từ các trạm biến áp độc lập (các mạch lưới khác nhau). Bảo vệ máy biến áp: rơ-le áp suất đột ngột, rơ-le vi sai, rơ-le khóa: ngăn ngừa máy biến áp hỏng lan sang các thanh cái khác. Nếu máy phát chính của nhà máy ngắt, nguồn điện ngoài sẽ tự động tiếp quản trong vài giây qua máy biến áp phụ.

Điểm yếu: mọi sự cố làm hỏng lưới điện (thời tiết khắc nghiệt, động đất, mất ổn định lưới) đều có thể cắt nguồn điện ngoài. Nguồn điện ngoài là nguồn bình thường đáng tin cậy nhất nhưng là nguồn khẩn cấp kém tin cậy nhất.

Nguồn điện 2: Máy phát điện diesel khẩn cấp (EDGs):

Nguồn điện xoay chiều khẩn cấp chính. Yêu cầu tối thiểu của NRC: 2 máy phát điện diesel (EDG) cho mỗi đơn vị, mỗi máy có khả năng mang toàn bộ phụ tải khẩn cấp cho một phân đoạn an toàn. Yêu cầu khởi động: EDG phải đạt điện áp và tần số định mức trong vòng 10 giây sau tín hiệu khởi động (yêu cầu của NRC). Nguồn nhiên liệu: yêu cầu tối thiểu của NRC là nguồn cung cấp 7 ngày ở mức tải đầy. Thực tiễn tốt nhất sau Fukushima: thiết kế cho nguồn cung cấp 14 ngày, kèm theo hợp đồng giao nhiên liệu đảm bảo bổ sung.

Kiểm tra: thử nghiệm tải hàng tháng (khởi động không tải ở tốc độ đầy), thử nghiệm tải hàng quý (ở tải định mức), thử nghiệm bền 18 tháng (chạy ở tải đầy trong toàn bộ thời gian thử nghiệm).

Một PWR điển hình 1100 MWe có 2-4 EDG, mỗi máy có công suất ~7.000 đến 9.000 kW.

Nguồn điện 3: Ắc quy trạm (nguồn DC, Class 1E):

Nguồn dự phòng cuối cùng cho thiết bị đo lường, điều khiển, đèn khẩn cấp, vận hành van và liên lạc. Các thanh cái DC được cấp từ ắc quy, được sạc từ thanh cái AC trong vận hành bình thường. Khi mất toàn bộ nguồn AC: ắc quy cung cấp nguồn DC độc lập.

Kích thước: mỗi thanh cái DC phải được thiết kế để cung cấp danh sách phụ tải tối thiểu 2 giờ mà không cần sạc lại từ AC. Thiết kế hiện đại thường có kích thước cho 4-8 giờ. Danh sách phụ tải bao gồm: giám sát cơ cấu truyền động thanh điều khiển, thiết bị đo lường an toàn, đèn khẩn cấp, liên lạc khẩn cấp và cơ cấu chấp hành van quan trọng.

Thay ắc quy: theo lịch của nhà sản xuất, thường là 10-20 năm. Kiểm tra ắc quy: thử nghiệm dung lượng hàng năm, thử nghiệm phóng điện mỗi 18 tháng.

Chiến lược FLEX: Thiết bị di động sau Fukushima:

Máy phát diesel di động, bơm di động và ống mềm được dự trữ sẵn tại nhiều vị trí với các tuyến tiếp cận đa dạng (không phải tất cả đều bị ảnh hưởng bởi cùng một trận lũ hoặc hỏa hoạn). Các điểm kết nối với các thanh cái an toàn và hệ thống làm mát được lắp đặt và kiểm tra trước. Thiết bị FLEX có thể được triển khai bởi nhân viên vận hành mà không cần nguồn điện AC. NRC yêu cầu các chiến lược FLEX phải giải quyết: mất điện toàn nhà máy, mất nguồn nhiệt cuối cùng, và các kết hợp của chúng.

Thiết kế Ba Nguồn Điện Của Bạn

Thiết kế kiến trúc nguồn điện hoàn chỉnh của bạn.

Ba Kênh Giám sát Độc lập

Mục 5d: Giám sát & Thiết bị đo lường Độc lập Ba lần

[BLOCK_TYPE SECTION/STEP]

Các lỗi về thiết bị đo lường và điều khiển (I&C) đã gây ra hoặc làm trầm trọng thêm mọi tai nạn hạt nhân lớn. Tại TMI, các vận hành viên bị nhầm lẫn bởi một chỉ báo duy nhất (đèn báo van xả áp được điều khiển mở, chứ không phải đèn báo van thực sự đã mở) và đưa ra các quyết định dẫn đến mất nước lõi. Tại Chernobyl, các thiết bị đo chính đã bị vô hiệu hóa hoặc cho kết quả sai lệch trong quá trình thử nghiệm chết người. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Ba kênh đo lường độc lập: [BLOCK_TYPE SECTION/STEP]

Các lò phản ứng hiện đại chia hệ thống đo lường an toàn thành ba (hoặc bốn) kênh độc lập: A, B, và C (hoặc I, II, III, IV). Mỗi kênh sử dụng các cảm biến khác nhau, được định tuyến qua các đường cáp riêng biệt trong các ống dẫn riêng biệt, được cấp nguồn từ các bus an toàn riêng biệt. [BLOCK_TYPE SECTION/STEP]

[BLOCK_TYPE SECTION/STEP]

Tại sao sử dụng các công nghệ khác nhau? [BLOCK_TYPE SECTION/STEP]

Lỗi nguyên nhân chung ở cảm biến: nếu cả ba kênh sử dụng cùng một mẫu cảm biến, một lỗi hệ thống trong mẫu đó có thể khiến cả ba kênh cùng lúc bị hỏng hoặc đưa ra cùng một kết quả sai. Việc sử dụng các nhà sản xuất khác nhau hoặc các nguyên lý đo lường khác nhau giúp giảm thiểu rủi ro này.

Logic bỏ phiếu 2-of-3:

Ba kênh, mỗi kênh đưa ra tín hiệu có/không cho một chức năng an toàn (ví dụ: 'áp suất cao, khởi động SCRAM'). Hành động an toàn được kích hoạt nếu ít nhất 2 trong 3 kênh đồng ý. Tại sao không dùng 1-of-3? Vì một kênh lỗi duy nhất sẽ gây ra các SCRAM giả (quá nhiều dương tính giả: nhà máy sẽ không đáng tin cậy). Tại sao không dùng 3-of-3? Vì một kênh hỏng duy nhất sẽ ngăn SCRAM xảy ra (quá ít dương tính thật: nhà máy sẽ không an toàn). 2-of-3 là tối ưu về mặt toán học: chống lại cả lỗi nhiễu đơn lẻ VÀ lỗi không kích hoạt đơn lẻ.

Giám sát sau tai nạn: Các biến Category 1 theo NUREG-0696:

Các biến sau phải được giám sát sau tai nạn, độc lập với hệ thống điều khiển số (DCS) thông thường, nhằm cung cấp thông tin thực tế cho người vận hành ngay cả khi DCS bị hỏng hoặc không đáng tin cậy:

- Áp suất hệ thống làm mát lò phản ứng

- Nhiệt độ hệ thống làm mát lò phản ứng (chân nóng, chân lạnh)

- Mực nước hệ thống làm mát lò phản ứng (mực nước trong bình)

- Áp suất vỏ chứa

- Mức độ bức xạ vỏ chứa

- Máy đo bức xạ nước thải (nước làm mát, hơi, khí quyển vỏ chứa)

Định chuẩn môi trường & địa chấn:

Tất cả I&C liên quan đến an toàn phải được định chuẩn cho các điều kiện môi trường mà chúng có thể gặp trong sự cố: nhiệt độ lên đến 150°C, độ ẩm lên đến 100%, bức xạ tích lũy lên đến 10⁷ rad (100 kGy), trong suốt thời gian xảy ra sự cố (các tháng). Chúng ta gọi đây là định chuẩn môi trường theo 10 CFR 50 Phụ lục B / IEEE 323. Định chuẩn địa chấn (IEEE 344): phải hoạt động trong & sau trận động đất SSE tại địa điểm.

Thiết kế Kiến trúc Giám sát Của Bạn

Thiết kế kiến trúc an toàn cho hệ thống đo lường & điều khiển của bạn.

An Toàn Hoạt Động Không Cần Điện Hay Nhân Viên

Section 6: Passive Safety Features

Các tính năng an toàn thụ động hoạt động hoàn toàn dựa trên các quy luật vật lý: không cần bơm, không cần điện, không cần thao tác của nhân viên vận hành. Chúng luôn hoạt động, không thể bị vô hiệu hóa khi mất điện toàn nhà máy.

Hệ số Doppler âm (luôn có trong nhiên liệu uranium):

Khi nhiệt độ nhiên liệu tăng, các đỉnh hấp thụ cộng hưởng của U-238 mở rộng (hiệu ứng Doppler broadening). Nhiều neutron hơn bị U-238 bắt giữ mà không gây phân hạch. Điều này tự động làm giảm tốc độ phân hạch khi nhiên liệu nóng lên: một cơ chế phản hồi tự giới hạn, luôn hiện hữu. Nó hoạt động ở tất cả các loại lò phản ứng sử dụng nhiên liệu uranium. Đây là lý do một lò phản ứng uranium không thể chạy quá tốc độ như một vụ nổ hóa học không kiểm soát: chính vật lý sẽ chống lại.

Hệ số nhiệt độ chất làm chậm âm (đối với LWR):

Trong các lò phản ứng nước nhẹ, khi nhiệt độ chất làm mát/chất làm chậm tăng, mật độ nước giảm. Nước có mật độ thấp hơn làm chậm ít neutron hơn, do đó ít neutron đạt được năng lượng nhiệt cần thiết cho phân hạch. Độ phản ứng tự động giảm. Điều này giải thích tại sao PWR và BWR vốn đã tự điều chỉnh trong phạm vi công suất rộng.

Hệ số rỗng âm (đối với hầu hết LWR khi hoạt động):

Nếu bọt khí hình thành trong chất làm mát hoặc chất làm mát bị mất, quá trình làm chậm neutron giảm. Trong LWR, điều này làm giảm độ phản ứng. Đây là tính năng an toàn mà lò RBMK của Chernobyl thiếu: hệ số rỗng dương lớn của nó có nghĩa là mất chất làm mát sẽ làm tăng công suất, tạo ra vòng phản hồi chạy quá tốc độ.

Loại bỏ nhiệt phân rã thụ động: Tuần hoàn tự nhiên:

Nước nóng có mật độ thấp hơn nước lạnh. Trong vòng tuần hoàn chính, chất làm mát nóng từ lõi lò phản ứng tự nhiên dâng lên. Trong các thiết kế như AP1000, sự tuần hoàn tự nhiên này dẫn chất làm mát qua bộ trao đổi nhiệt PRHR mà không cần bơm. Nhiệt phân rã được loại bỏ chỉ nhờ các quy luật vật lý.

Giữ lại trong bình áp lực (IVR): Phương pháp của AP1000:

Nếu tai nạn nghiêm trọng tiến triển đến mức hư hỏng lõi, corium nóng chảy phải được giữ lại bên trong bình lò phản ứng. Thiết kế AP1000 làm ngập khoang lò bằng nước (cấp bằng trọng lực từ IRWST). Nước bên ngoài bình lò lấy nhiệt từ thành bình, giữ cho bình thép nguyên vẹn và ngăn corium nóng chảy thoát ra sàn containment. Đây là một đổi mới thiết kế quan trọng: các LWR trước đây không có tính năng này.

Bẫy lõi ngoài bình: Phương pháp của EPR:

Một giải pháp thay thế cho IVR: nếu corium thoát ra khỏi bình, nó sẽ rơi vào khoang phân tán (bẫy lõi) được thiết kế để trải mỏng lớp nóng chảy và làm nguội từ dưới và trên. EPR (European Pressurized Reactor) sử dụng phương pháp này. Cả IVR và bẫy lõi đều giải quyết cùng một tình huống: tai nạn nghiêm trọng tiến triển vượt quá sự phá hủy bình lò.

Quản lý Hydro: Thiết bị tái kết hợp xúc tác thụ động (PARs):

Phản ứng giữa Zircaloy và hơi nước sinh ra hydro. Hydro tích tụ trong vỏ chứa. Ở nồng độ 4-75% hydro trong không khí, hỗn hợp dễ cháy; ở 13-59%, hỗn hợp có thể nổ. Các vụ nổ hydro tại Fukushima đã phá hủy các tòa nhà lò phản ứng của Unit 1, 3 và 4. Các vỏ chứa hiện đại yêu cầu quản lý hydro: PARs (thiết bị tái kết hợp xúc tác thụ động) là các thiết bị chứa chất xúc tác platin hoặc paladi. Hydro và oxy kết hợp trên bề mặt xúc tác ở nhiệt độ phòng, không cần đánh lửa, tạo ra hơi nước. Không cần điện, không cần quạt, không cần thao tác của người vận hành. PARs được đặt khắp vỏ chứa để ngăn tích tụ cục bộ. Số lượng và vị trí cần thiết được tính toán dựa trên nguồn hydro xấu nhất có thể xảy ra.

Bốn rào chắn vật lý: Phòng thủ theo chiều sâu:

Sơ đồ trên cho thấy bốn rào chắn vật lý giữa nhiên liệu và môi trường:

1. Ma trận nhiên liệu (gốm UO₂): giữ lại khoảng 95% sản phẩm phân hạch trong điều kiện vận hành bình thường

2. Vỏ bọc nhiên liệu (Zircaloy hoặc SiC): rào chắn kim loại, lớp chứa đầu tiên của bất kỳ sản phẩm phân hạch nào thoát ra

3. Ranh giới áp suất chất làm mát lò phản ứng: bình chứa thép & hệ thống đường ống có thành dày

4. Cấu trúc containment: bê tông cốt thép, thường dày 1–1,5 mét, được thiết kế chịu được áp suất & nhiệt độ trong trường hợp LOCA nghiêm trọng nhất, đồng thời chịu được va chạm máy bay

Thiết kế các tính năng an toàn thụ động của bạn

Các tính năng thụ động được tích hợp sẵn vào vật lý và hình học của thiết kế: chúng không thể bị tắt.

Lớp An toàn Con người

Phần 7: Thiết kế Giám sát Con người

Mọi tai nạn hạt nhân lớn đều có yếu tố con người: không phải vì con người không đáng tin cậy, mà vì hệ thống giám sát con người được thiết kế kém. Thiết kế tốt giúp dễ làm đúng và khó làm sai.

Ít nhất ba nhân viên đủ trình độ có mặt tại chỗ mọi lúc (24/7):

- Vận hành lò phản ứng (RO): Được cấp phép NRC (10 CFR Part 55). Vận hành các điều khiển lò phản ứng. Phải vượt qua bài thi viết và bài kiểm tra vận hành trên mô phỏng đặc thù của nhà máy. Giấy phép chỉ có giá trị cho nhà máy cụ thể đó: không thể chuyển nhượng.

- Vận hành lò phản ứng cao cấp (SRO) – Giám sát ca: Được cấp phép NRC. Giám sát RO. Có quyền SCRAM độc lập: có thể ra lệnh dừng khẩn cấp bất kể chỉ thị của bất kỳ ai khác, kể cả ban lãnh đạo.

- Kỹ thuật viên Bảo vệ bức xạ (RP) / Cán bộ Vật lý sức khỏe: Giám sát mức bức xạ, quản lý liều kế cá nhân, cấp phép ra vào khu vực kiểm soát, theo dõi liều tích lũy.

Thẩm quyền SCRAM độc lập:

Trưởng ca có thẩm quyền pháp lý để khởi động shutdown khẩn cấp bất cứ lúc nào, dựa trên phán đoán chuyên môn của họ, mà không cần phê duyệt từ quản lý. Đây là yêu cầu quy định theo 10 CFR 50.54(x). Bài học từ TMI: các operator lẽ ra phải được đào tạo & có thẩm quyền để nhanh chóng nhận diện tình huống mất chất làm mát bất thường & thực hiện SCRAM một cách tự tin. Thay vào đó, họ bị nhầm lẫn bởi các chỉ thị xung đột & cố gắng “sửa” triệu chứng thay vì nhận diện tình trạng gốc rễ.

Tính toàn vẹn hai người (TPI):

Các thao tác được chỉ định: đặc biệt là xử lý nhiên liệu, thao tác thanh điều khiển trong một số thử nghiệm nhất định, và truy cập vào một số khu vực quan trọng: yêu cầu hai người có đủ năng lực hiện diện và giám sát lẫn nhau. Không ai được phép hoàn thành thao tác một mình. Các biện pháp kiểm soát vật lý (công tắc chìa khóa yêu cầu hai chìa khóa đồng thời, khóa liên động) thực thi điều này thay vì chỉ dựa vào việc tuân thủ quy trình. TPI ngăn ngừa lỗi cá nhân và phá hoại.

Giới hạn ca làm việc: quản lý mệt mỏi:

Theo 10 CFR 26 (Fitness for Duty): thời gian ca làm việc tối đa là 12 giờ. Thời gian nghỉ tối thiểu giữa các ca là 8 giờ. Số giờ tối đa mỗi tuần là 54 giờ (72 giờ trong tình huống khẩn cấp có sự cho phép của quản lý). Các giới hạn này tồn tại vì thiếu ngủ làm suy giảm đáng kể khả năng ra quyết định: giống như rượu vậy: và hoạt động hạt nhân đòi hỏi sự tỉnh táo liên tục.

Yêu cầu đào tạo:

- Chương trình đào tạo được NRC chứng nhận trên mô phỏng toàn phạm vi dành riêng cho nhà máy

- Cấp phép ban đầu: bài kiểm tra viết (đạt/không đạt, trắc nghiệm & tự luận) + bài kiểm tra vận hành (đánh giá thực hành bởi giám khảo được NRC cấp phép)

- Đào tạo lại: bài kiểm tra viết hàng năm, bài kiểm tra vận hành hai năm một lần trên mô phỏng

- Các cuộc diễn tập khẩn cấp được đánh giá: diễn tập hàng quý khi đang trực, diễn tập phản ứng khẩn cấp quy mô đầy đủ hàng năm có sự tham gia của bang & huyện

Quy trình vận hành khẩn cấp (EOPs):

Các quy trình dựa trên triệu chứng, được NRC phê duyệt. Thay vì “nếu thấy Sự kiện X, làm Y”, EOP hiện đại quy định “nếu quan sát thấy các triệu chứng này (áp suất cao + mức thấp + nhiệt độ tăng), hãy vào quy trình này.” Phương pháp này: được phát triển sau TMI: mạnh mẽ hơn vì người vận hành phản ứng với những gì họ quan sát được thay vì những gì họ nghĩ là nguyên nhân.

Thiết kế phòng điều khiển: giám sát sau tai nạn độc lập với DCS:

Các thiết bị giám sát sau tai nạn phải có thể đọc được từ phòng điều khiển ngay cả khi hệ thống điều khiển số (DCS) của nhà máy đã hoàn toàn hỏng. Đây là các màn hình cứng chuyên dụng: đồng hồ analog hoặc màn hình số đạt chuẩn với nguồn điện và đường tín hiệu riêng biệt.

Thiết kế Hệ thống Giám sát Con người của Bạn

Giám sát con người là một hệ thống an toàn. Thiết kế nó với cùng mức độ nghiêm ngặt như các vòng làm mát.

Lựa chọn vị trí và Thiết kế cho các mối nguy ngoại vi

Phần 8: Thiết kế Địa điểm & Dân dụng

Địa điểm xác định các mối nguy hiểm bên ngoài mà nhà máy của bạn phải chịu đựng. NRC yêu cầu phân tích toàn diện các mối nguy hiểm bên ngoài như một phần của FSAR (Báo cáo Phân tích An toàn Cuối cùng).

Thiết kế địa chấn: Động đất Tắt an toàn (SSE):

Mỗi địa điểm nhà máy đều có một Động đất Tắt an toàn (SSE): trận động đất lớn nhất mà nhà máy được thiết kế để chịu đựng trong khi đạt được và duy trì trạng thái tắt an toàn. Các công trình liên quan đến an toàn (tòa nhà lò phản ứng, tòa nhà điều khiển, các tòa nhà ECCS, các tòa nhà EDG) phải thuộc Loại địa chấn I: được thiết kế để chịu được SSE và vẫn hoạt động bình thường. SSE được xác định từ phân tích nguy cơ địa chấn xác suất (PSHA) với mục tiêu xác suất vượt quá hàng năm là 10⁻⁴: một sự kiện có chu kỳ lặp lại 10.000 năm. Động đất thiết kế Fukushima có cường độ 6,1; trận động đất thực tế là 9,0. Không bao giờ đánh giá thấp SSE.

Ngập lụt: Lũ cực đại có thể xảy ra (PMF):

PMF là lũ cực đại có thể xảy ra tại địa điểm dựa trên phân tích khí tượng & thủy văn. Cao độ nền nhà máy phải đặt cao hơn mức PMF, hoặc nhà máy phải có các rào chắn chống lũ (tường, cửa, nắp) được thiết kế chịu được PMF. Bài học quan trọng từ Fukushima: tường biển được thiết kế cho 5,7 mét; sóng thần thực tế cao 15 mét. Tính toán PMF phải mang tính bảo thủ.

Rủi ro bên ngoài: va chạm máy bay, gió cực đoan, nổ ngoài:

- Va chạm máy bay: sau 9/11, NRC yêu cầu các nhà máy thương mại lớn phải đánh giá (không nhất thiết phải thiết kế) va chạm máy bay. Các thiết kế mới như AP1000 & EPR đã tích hợp khả năng chịu va chạm máy bay vào thiết kế containment & phòng điều khiển.

- Gió cực đoan / lốc xoáy: lốc xoáy thiết kế cơ sở cho từng vùng địa điểm theo Regulatory Guide 1.76. Bảo vệ mảnh vỡ: mảnh vỡ do lốc xoáy (cột điện, ô tô) không được phép xuyên thủng các công trình liên quan đến an toàn.

- Nổ ngoài: phải đánh giá khoảng cách đến các nhà máy hóa chất, kho LNG, đường ống hoặc tuyến đường sắt chở hàng nguy hiểm.

Ranh giới Khu vực Loại trừ (EAB): 10 CFR 100:

EAB là bán kính tối thiểu xung quanh nhà máy mà trong đó người vận hành có quyền kiểm soát đất đai. Trong hai giờ sau tai nạn nghiêm trọng nhất, liều bức xạ tại EAB không được vượt quá 25 rem toàn thân (TEDE). Giới hạn này chi phối thiết kế của vỏ chứa và khoảng cách lùi ranh giới khu vực. Nhà máy lớn hơn với nguồn phóng xạ lớn hơn đòi hỏi EAB lớn hơn.

Vùng Quy hoạch Khẩn cấp (EPZ):

Hai vùng xung quanh mỗi nhà máy điện hạt nhân:

- Vùng EPZ đường phơi nhiễm đám mây: bán kính khoảng 10 dặm. Các biện pháp bảo vệ: sơ tán, trú ẩn tại chỗ, phân phối kali iodua, kế hoạch kiểm soát giao thông.

- Vùng EPZ đường nuốt phải: bán kính khoảng 50 dặm. Các biện pháp bảo vệ: hạn chế tiêu thụ thực phẩm & nước, giám sát cây trồng & sản phẩm từ sữa.

Kích thước EPZ không chỉ do quy mô nhà máy quyết định: nó được NRC quy định cố định cho tất cả lò phản ứng thương mại (có một số linh hoạt cho SMR rất nhỏ). Kế hoạch khẩn cấp phải được xây dựng và diễn tập cùng chính quyền bang và địa phương.

Bảo Vệ Địa Điểm Của Bạn

Bây giờ hãy biện minh cho các lựa chọn thiết kế địa điểm và dân dụng của bạn.

Quy trình Cấp phép NRC

Phần 9: Quy trình Cấp phép

Xây dựng lò phản ứng mà không có giấy phép là bất hợp pháp tại Hoa Kỳ. Quy trình cấp phép của NRC theo 10 CFR Phần 52 được thiết kế để phát hiện các vấn đề an toàn trên giấy tờ: trước khi đổ bê tông. Đây cũng là cơ chế để công chúng, các bên can thiệp và nhân viên kỹ thuật của NRC thách thức và cải thiện thiết kế.

10 CFR Phần 52: Giấy phép Kết hợp (COL):

Con đường cấp phép hiện đại chính. Một COL kết hợp giấy phép xây dựng và giấy phép vận hành thành một quy trình duy nhất. Người nộp đơn phải chứng minh thiết kế đáp ứng các yêu cầu của NRC và địa điểm phù hợp. NRC cấp COL trước khi xây dựng. Trong quá trình xây dựng, Inspections, Tests, Analyses, & Acceptance Criteria (ITAAC) được sử dụng để xác minh những gì đã xây dựng phù hợp với thiết kế đã được cấp phép.

Chứng nhận thiết kế (DC):

Một thiết kế lò phản ứng có thể được NRC chứng nhận độc lập với bất kỳ địa điểm cụ thể nào. Chứng nhận thiết kế có hiệu lực trong 15 năm. Sau khi được chứng nhận, một công ty điện lực xây dựng nhà máy theo COL có thể tham chiếu DC và không cần phải tranh luận lại về thiết kế tiêu chuẩn. Các thiết kế đã được chứng nhận bao gồm AP1000 và ABWR. Các nhà thiết kế SMR (NuScale, GEH BWRX-300, Kairos, TerraPower) đang theo đuổi chứng nhận thiết kế cho công nghệ của họ.

Báo cáo phân tích an toàn cuối cùng (FSAR): 17 Chương:

FSAR là tài liệu kỹ thuật cốt lõi trong mọi hồ sơ xin cấp phép. Tài liệu mô tả nhà máy và chứng minh rằng nhà máy đáp ứng tất cả các yêu cầu của NRC. Các chương chính:

- Chương 1: Giới thiệu và mô tả chung

- Chương 2: Đặc điểm địa điểm (địa chấn, ngập lụt, khí tượng, dân số)

- Chương 4: Lò phản ứng (thiết kế nhiên liệu, vật lý lõi, nhiệt-thủy lực)

- Chương 5: Hệ thống làm mát lò phản ứng (vòng lặp chính, ranh giới áp suất, ECCS)

- Chương 6: Các tính năng an toàn kỹ thuật (vỏ chứa, ECCS, kiểm soát hydro)

- Chương 7: Thiết bị đo lường & điều khiển

- Chương 8: Nguồn điện (ngoài nhà máy, trong nhà máy, ắc quy, FLEX)

- Chương 9: Hệ thống phụ trợ

- Chương 13: Vận hành (tổ chức, đào tạo, EOPs)

- Chương 15: Phân tích tai nạn (các tai nạn cơ sở thiết kế: LOCA, vỡ đường hơi chính, bắn thanh điều khiển, v.v.)

- Chương 16: Thông số kỹ thuật (giới hạn vận hành & yêu cầu giám sát)

Đánh giá Rủi ro Xác suất (PRA):

Một phân tích an toàn định lượng tính xác suất hư hỏng lõi và phát thải sớm lớn. Hai chỉ số chính:

- Tần suất Hư hỏng Lõi (CDF): xác suất hư hỏng lõi trên mỗi năm lò phản ứng. Mục tiêu NRC: < 1×10⁻⁴/năm-lò. Mục tiêu lò phản ứng tiên tiến: < 1×10⁻⁵/năm-lò.

- Tần suất Phát thải Sớm Lớn (LERF): xác suất phát thải phóng xạ lớn và sớm trên mỗi năm lò phản ứng trước khi có thể thực hiện các biện pháp bảo vệ. Mục tiêu NRC: < 1×10⁻⁵/năm-lò.

PRA cũng xác định các chuỗi tai nạn quan trọng nhất (các yếu tố đóng góp chủ yếu vào CDF) và các hệ thống, thành phần quan trọng nhất (các chỉ số quan trọng): điều này định hướng nguồn lực bảo trì, thử nghiệm và cải tiến thiết kế.

ITAAC: Kiểm tra, Thử nghiệm, Phân tích và Tiêu chí Chấp nhận:

Đối với mỗi hệ thống và cấu trúc liên quan đến an toàn, COL quy định ITAAC: những gì phải được kiểm tra, thử nghiệm hoặc phân tích, và tiêu chí chấp nhận là gì. Trước khi NRC cho phép nạp nhiên liệu, tất cả ITAAC phải được hoàn thành và báo cáo. Nếu một ITAAC không đạt, nhà máy không thể khởi động cho đến khi được khắc phục và ITAAC đạt yêu cầu.

Thử nghiệm Xây dựng & Trước Vận hành:

Sau khi COL được cấp, quá trình xây dựng bắt đầu. NRC giám sát việc xây dựng theo Kiểm tra, Thử nghiệm, Phân tích và Tiêu chí Chấp nhận (ITAAC). Thử nghiệm trước vận hành xác minh mỗi hệ thống đáp ứng thông số thiết kế trước khi nạp nhiên liệu. Việc cấp phép nạp nhiên liệu yêu cầu NRC xác nhận rằng tất cả ITAAC đã được đáp ứng.

Lập Biểu đồ Đường đi Cấp phép

Walk through the licensing pathway for your specific reactor design.

Trình bày Thiết kế Hoàn chỉnh

Section 10: Final Design Review

Bạn đã thiết kế mọi hệ thống chính của nhà máy điện hạt nhân. Giờ hãy trình bày thiết kế hoàn chỉnh của bạn: theo cách mà một Giám đốc Hạt nhân (Chief Nuclear Officer) sẽ trình bày trước Ủy ban An toàn NRC.

Thiết kế của bạn phải chứng minh:

Hoàn thiện dự phòng ba lần cho cả bốn chức năng an toàn:

1. Làm mát: ba vòng (RHR chủ động, ECCS chủ động kèm bộ tích áp thụ động, PRHR thụ động hoặc bể làm mát)

2. Dừng lò: ba hệ thống (thanh điều khiển, bơm bor khẩn cấp, xả chất hấp thụ thụ động)

3. Nguồn điện: ba nguồn (lưới ngoài, máy phát diesel khẩn cấp, ắc quy nhà máy) kèm FLEX

4. Giám sát: ba kênh độc lập (A/B/C) với bỏ phiếu 2/3, giám sát sau tai nạn

Các tính năng an toàn thụ động:

- Hệ số Doppler âm (luôn có trong nhiên liệu uranium)

- Hệ số phản ứng âm / hệ số rỗng âm cho loại lò phản ứng của bạn

- Loại nhiệt phân rã thụ động (tuần hoàn tự nhiên hoặc bể chứa)

- Quản lý tai nạn nghiêm trọng (IVR, bẫy lõi hoặc hệ thống xả MSR về trạng thái dưới tới hạn)

- Quản lý hydro (PARs phân bố trong vỏ chứa)

Giám sát con người:

- Ba vai trò đủ điều kiện trực 24/7 tại chỗ

- Nguyên tắc hai người với cơ chế thực thi vật lý

- Giới hạn thay đổi tuân thủ

- Đào tạo mô phỏng dành riêng cho nhà máy

- EOP dựa trên triệu chứng

Vị trí xây dựng:

- Cơ sở thiết kế địa chấn (SSE, công trình Seismic Category I)

- Bảo vệ chống ngập lụt (PMF hoặc rào chắn)

- Giới hạn liều tại EAB (25 rem TEDE)

- EPZ (vùng khói 10 dặm, vùng nuốt 50 dặm)

Thử nghiệm lịch sử:

Thiết kế của bạn phải thể hiện cách nó ngăn chặn các chế độ hỏng hóc cụ thể của TMI, Chernobyl và Fukushima.

- TMI: Giám sát sau tai nạn tốt hơn (mức RCS trực tiếp), EOP dựa trên triệu chứng, vận hành viên được đào tạo

- Chernobyl: Hệ số rỗng âm (không có hiệu ứng scram dương), quyền SCRAM độc lập, không cho phép vận hành viên vô hiệu hóa hệ thống an toàn

- Fukushima: Làm mát thụ động (không cần nguồn điện AC), thiết bị FLEX đặt cao, nhiên liệu diesel 14 ngày, vị trí nhà máy trên PMF

Đánh Giá Thiết Kế Hoàn Chỉnh

Đây là buổi bảo vệ thiết kế của bạn. Trả lời đầy đủ: mọi thiếu sót sẽ bị chất vấn.

Thiết kế của bạn ngăn ngừa TMI, Chernobyl và Fukushima như thế nào

Phần 11: Ngăn ngừa quá khứ

Ba tai nạn hạt nhân lớn đã xác định các yêu cầu an toàn lò phản ứng hiện đại. Mỗi hệ thống dự phòng bạn thiết kế đều có nguồn gốc cụ thể từ một trong những tai nạn này.

Three Mile Island (TMI), 1979: Pennsylvania, Hoa Kỳ:

Một van xả áp được điều khiển bằng pilot (PORV) bị kẹt ở vị trí mở đã cho phép chất làm mát chính thoát ra trong nhiều giờ. Đèn chỉ báo chỉ cho thấy van đã được RA LỆNH đóng, chứ không phải là van thực sự đã đóng. Các vận hành viên, bị nhầm lẫn bởi các chỉ báo mâu thuẫn, đã giảm lưu lượng bơm ECCS vì họ nghĩ hệ thống đang bị bơm quá mức. Lõi bị lộ, quá nhiệt và bị nóng chảy một phần.

Bài học: (1) Giám sát trực tiếp sau tai nạn: vận hành viên phải có khả năng quan sát vị trí van thực tế, mức chất làm mát thực tế, nhiệt độ lõi thực tế. (2) EOP dựa trên triệu chứng: vận hành viên phản ứng với những gì họ quan sát được, không phải những gì họ nghĩ là nguyên nhân. (3) Đào tạo vận hành viên tốt hơn về nhận diện và ứng phó tai nạn.

Chernobyl, 1986: Cộng hòa Xã hội chủ nghĩa Xô viết Ukraine, Liên Xô:

Một thí nghiệm an toàn được thực hiện khi lò phản ứng ở công suất thấp (vùng không ổn định) và nhiều hệ thống an toàn bị vô hiệu hóa hoặc bỏ qua. Lò RBMK có hệ số rỗng dương lớn: khi chất làm mát sôi, độ phản ứng tăng lên. Khi vận hành viên cố gắng dừng lò, các thanh kiểm soát có đầu graphite gây ra một xung công suất ngắn (hiệu ứng scram dương). Một xung công suất khoảng 30.000 MW đã phá hủy lò trong một vụ nổ hơi nước và cháy graphite.

Bài học: (1) Không được có hệ số rỗng dương trong lò phản ứng thương mại. (2) Hệ thống an toàn không được phép bỏ qua trong quá trình vận hành bình thường. (3) Quyền SCRAM độc lập: không ai, kể cả giám đốc thí nghiệm, được phép ghi đè phán đoán an toàn của trưởng ca. (4) Đào tạo vận hành viên về vật lý lò phản ứng, không chỉ tuân thủ quy trình.

Fukushima Daiichi, 2011: Nhật Bản:

Một trận động đất cường độ 9.0 đã kích hoạt sóng thần cao 15 mét, tràn ngập và phá hủy các máy phát điện diesel dự phòng tại Fukushima Daiichi. Không có nguồn điện AC và các máy phát diesel bị phá hủy, nhiệt phân rã đã làm sôi hết chất làm mát trong các tổ máy 1, 2 và 3. Hydro sinh ra từ phản ứng Zircaloy-hơi nước đã gây nổ trong các tòa nhà lò phản ứng. Ba lõi lò đã nóng chảy trong 72 giờ. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

Bài học: (1) Làm mát thụ động không cần nguồn điện. (2) Máy phát diesel và ắc quy đặt cao hơn mực nước lũ hoặc được bảo vệ chống ngập. (3) Thiết bị di động FLEX được bố trí ở nhiều vị trí đa dạng, dễ tiếp cận. (4) Cơ sở thiết kế PMF phải mang tính bảo thủ. (5) Phải thiết kế cho tình huống mất điện toàn nhà máy kéo dài: không chỉ phân tích. [BLOCK_TYPE CONTENT historical_lessons/history_intro]

[BLOCK_TYPE TITLE historical_lessons/history_question]

Connect Your Design to History [BLOCK_TYPE CONTENT historical_lessons/history_question]

Đây là câu hỏi cuối cùng của bài capstone. [BLOCK_TYPE QUESTION historical_lessons/history_question]