Definisi IAEA

Pertahanan dalam Kealamahan: Filosofi Pengorganisasian

Agen Energi Atom Internasional (IAEA) mendefinisikan pertahanan dalam tingkat sebagai pendekatan keamanan bertingkat, di mana setiap lapisan berfungsi sebagai cadangan untuk yang sebelumnya. Tidak ada lapisan yang dianggap sempurna. Kasus keamanan bergantung pada adanya lapisan independen yang banyak, sehingga tidak ada kegagalan tunggal: dan tidak ada kombinasi kegagalan dari satu penyebab akar: yang dapat menyebabkan kerugian.

Pertahanan dalam tingkat beroperasi di setiap skala:

Pembatas fisik: matriks bahan bakar → pelindung bahan bakar → tangki tekanan reaktor → bangunan pengandaran → bangunan reaktor (4-5 batas fisik antara bahan bakar & lingkungan)

Sistem keamanan: setiap fungsi (pendingin, shutdown, power) dilakukan oleh setidaknya 3 unit independen

Prosedur: prosedur tertulis mengatur setiap evolusi; prosedur abnormal & darurat untuk setiap peristiwa dasar desain

Operator: lisensi, pelatihan, kualifikasi, istirahat; otoritas independen untuk menginisialisasi shutdown

Manajemen: budaya keamanan nuklir, pengawasan regulator, ulasan keamanan independen

Regulasi: NRC 10 CFR 50 persyaratan dasar desain, operasi lisensi, pemeriksaan berkala

Prinsip kunci: Tidak ada kredit untuk lapisan yang gagal. Jika Anda tidak dapat mengonfirmasi bahwa pembatas utuh, Anda asumsikan tidak. Sistem keseluruhan dirancang untuk aman dengan komponen aktif gagal: ini disebut kriteria kegagalan tunggal.

Redundansi, Keberagaman, dan Ketergantungan

Tiga Sifat Ini Yang Membuat Pertahanan Nyata

Sistem keamanan nuklir harus memenuhi tiga sifat yang berbeda. Mengacaukannya adalah kesalahan umum & berbahaya.

Redundansi berarti memiliki lebih dari satu hal yang sama. Tiga generator diesel adalah redundan. Tapi jika mereka semua membagi tangki bahan bakar yang sama, logika start yang sama, atau ruangan fisik yang sama, redundansi sendiri tidak melindungi terhadap kegagalan penyebab umum.

Keberagaman berarti menggunakan prinsip fisika yang berbeda atau peralatan yang berbeda untuk melakukan fungsi yang sama. Pompa injeksi tekanan tinggi dan akumulator tekan nitrogen yang ditekan sama-sama menyuplai air ke inti: tapi mereka bekerja pada prinsip yang sangat berbeda. Keberagaman mengalahkan mode kegagalan yang akan mengalahkan semua salinan redundan dari satu desain.

Ketergantungan berarti bahwa kegagalan dari satu unit tidak dapat menyebabkan atau mencegah operasi unit lain. Ketergantungan membutuhkan:

- Bus daya terpisah (menggunakan pemasok listrik yang berbeda)

- Pemisahan fisik (pembatas, bangunan yang berbeda, sisi berlawanan dari reaktor)

- Logika pengaktifan yang berbeda (short circuit di Train A tidak dapat mematikan Train B)

- Memisahkan instrumen (Sensor Train A tidak mengalirkan aktuator Train B)

Kerusakan sebab umum (CCF) adalah skenario yang menakutkan: sebuah acara mengaktifkan beberapa kereta merah seluruhnya secara simultan. Fukushima adalah contoh yang menentukan: tsunami tidak hanya kehilangan tenaga luar. Ini secara simultan mengaktifkan semua tiga generator diesel darurat karena mereka semua berada di bangunan yang sama rendah. Redundansi tanpa kemandirian adalah ilusi.

Kriteria Gagal Seorang

Komisi Nuklir Amerika Serikat (kriteria gagal seorang) (10 CFR 50, Lampiran A, Kriteria Desain Umum 17) menyatakan bahwa sistem keamanan harus dirancang sehingga kegagalan komponen aktif tunggal tidak menghalangi sistem dari melakukan fungsi keamanannya.

Sebuah 'kegagalan aktif' adalah satu yang memerlukan sesuatu untuk berubah: pompa gagal untuk memulai, katup gagal terbuka.

Sebuah 'kegagalan pasif' (mis., retakan pipa) diatasi oleh persyaratan desain yang berbeda.

Mengapa Tiga Kereta?

Setiap Sistem Kritis Keamanan: Tiga Kereta Independen

Aturan tri redundansi bukan hanya 'tiga lebih aman dari dua.' Ini adalah persyaratan rekayasa yang spesifik dengan sifat yang spesifik.

Setiap kereta harus mampu 100% fungsi keamanan secara independen. Jika Train A mengatur pendinginan, itu mengatur pendinginan yang diperlukan semua. Train B dan C bukan kontributor sebagian: mereka adalah cadangan penuh.

Truk harus terpisah secara fisik. Bangunan yang berbeda, atau setidaknya terpisah oleh penghalang kebakaran. Rute kabel yang berbeda. Aliran pipa yang berbeda. Jika kebakaran, banjir, atau ledakan mempengaruhi satu truk, itu tidak boleh mencapai yang lain.

Truk harus memiliki suplai daya yang terpisah. Bus listrik yang berbeda yang diberi daya dari sumber yang berbeda. Truk A pada Bus A, Truk B pada Bus B, Truk C pada Bus C: setiap bus dengan diesel darurat sendiri.

Truk harus memiliki logika aktuator yang terpisah. Kegagalan relay pada sirkuit aktuator Truk A tidak dapat mencegah Truk B dari aktuator. Secara ideal, mereka menggunakan prinsip aktuator yang berbeda secara keseluruhan (diversitas).

Mengapa tiga dan tidak dua? Dengan tiga truk, logika suara dua dari tiga berarti kegagalan komponen tunggal masih meninggalkan dua truk yang berfungsi: Anda mendapatkan kriteria kegagalan tunggal DAN beberapa perlindungan terhadap kegagalan penyebab umum. Dengan dua truk, kegagalan tunggal meninggalkan Anda dengan satu truk: tidak ada margin, tidak ada pertahanan terhadap kegagalan kedua.

Diversitas vs. Redundansi

Pertimbangkan sistem pendingin darurat reaktor PWR. Pendekatan pertama: tiga pompa injeksi tekanan tinggi yang sama, masing-masing ditenagai oleh generator diesel yang berbeda, di ruangan yang berbeda.

Pendekatan kedua: satu pompa injeksi tekanan tinggi, plus satu tabung nitrogen yang ditekan yang tidak membutuhkan daya, plus satu tangki air yang ditarik gravitasi dari reservoir yang dinaikkan.

Keduanya menyediakan tiga cara untuk mengirimkan air ke inti.

ECCS: Garis Terakhir Inti

Sistem Pendingin Inti Darurat

Dasar kecelakaan desain untuk PWR adalah kehilangan kecelakaan pendingin (LOCA): retakan pada sistem pendingin reaktor yang memungkinkan pendingin primer keluar. LOCA besar dapat mengungkap inti dalam detik. Tanpa penggenangan segera, suhu pelat bahan bakar inti naik di atas 2.200°F, zircaloy oksidasi, dan kerusakan bahan bakar dimulai.

ECCS untuk PWR biasa memiliki empat subsystem, masing-masing beroperasi dalam fase kecelakaan yang berbeda:

Sistem Injectasi Tekanan Tinggi (HPIS): Aktif segera pada tekanan pendingin reaktor rendah atau tekanan ruang terkandung tinggi. Menyuntikkan air yang dibor ke dalam sistem pendingin reaktor sambil tekanan masih tinggi (di atas ~200 psi). Menggunakan pompa tangan yang ditarik oleh diesel darurat. Aliran: 500-1.500 gpm tergantung desain.

Tabung Akumulator (juga disebut Tabung Banjir Inti): Tabung nitrogen-tekanan pasif yang mengandung air yang dibor. Mereka menyuntik secara otomatis saat tekanan pendingin reaktor turun di bawah tekanan nitrogen (biasanya 600-700 psi). Tidak diperlukan daya: tekanan nitrogen menggerakkan air ke inti. Setiap tabung menampung ~1.000 galon.

Sistem Injectasi Tekanan Rendah (LPIS): Aktif pada tekanan rendah (<200 psi). Memberikan aliran yang besar (ribuan gpm) untuk LOCA besar. Setelah tangki penyimpanan air pengisi ulang (RWST) kosong, sistem beralih ke recirculation sumur: mengalirkan air dari sumur di ruang terkandung kembali ke inti. Harus terus untuk minggu (penghapusan panas peluruhan).

Penghapusan Panas Residu (RHR): Juga disebut sistem Penghapusan Panas Peluruhan. Tujuan utama: menghapus panas peluruhan setelah reaktor mencapai penghenti dingin. Beroperasi pada tekanan rendah & suhu rendah, mengalirkan pendingin melalui penukar panas. Juga mampu menyuntikkan pendingin pada tekanan rendah.

Sistem Banjir Inti BWR: Reaktor air yang mendidih menggunakan nozel banjir inti di atas bahan bakar yang menyemprotkan air secara langsung ke palet bahan bakar: geometri yang berbeda dari penggenangan PWR.

Grafik Panas Peluruhan

Grafik panas peluruhan adalah salah satu angka terpenting dalam keamanan nuklir. Setelah penutupan reaktor:

- t = 0 detik: ~7% dari daya yang diukur (240 MW untuk reaktor 3.400 MW)

- t = 1 menit: ~3,5%

- t = 1 jam: ~1% (~34 MW)

- t = 1 hari: ~0,3% (~10 MW)

- t = 1 minggu: ~0,1%

- t = 1 tahun: bahan bakar masih menghasilkan panas yang dapat diukur dari isotop yang bertahan lama

Sepuluh megawatt panas, yang dapat bertahan secara tidak terbatas, tanpa kebutuhan daya untuk menjalankan pompa pendinginan. Situasi ini persis terjadi di Fukushima Daiichi pada tanggal 11 Maret 2011.

ECCS Pasif: Desain AP1000

Generasi Berikutnya: Keamanan Pasif

Reaktor Westinghouse AP1000 (Advanced Passive 1000 MWe) mengambil pelajaran dari ECCS aktif dan mengubah filosofi desain: bukan tiga rangkaian pompa yang membutuhkan daya, semua fungsi keamanan bergantung pada gravitasi, aliran natural, gas tekan, dan penguapan.

Tangki Pembuatan Inti (CMT): Dua tangki besar air beryodium dingin yang terpasang di atas reaktor. Biasanya terisolasi. Setelah diaktifkan, mereka mengalir ke bawah ke sistem pendinginan reaktor. Setiap tangki memiliki air yang cukup untuk menutupi inti selama jam-jam.

Akumulator: Sama seperti pabrik konvensional: injeksi yang ditekan nitrogen.

Tangki Penyimpanan Air Pengganti untuk Penanganan Kembali di Dalam Kontainmen (IRWST): Kolam air yang besar di dalam bangunan pengandung, di atas reaktor. Mengalir secara gravitasi. Menyediakan pendinginan jangka panjang setelah CMTs kosong. Tidak ada pompa. Tidak ada daya.

Penukar Kalor Penghilang Panas Residu Pasif (PRHR HX): Terendam di dalam IRWST. Aliran natural mengangkut panas peluruhan dari reaktor ke air IRWST yang hangat, mendidih, dan bocor ke atmosfer melalui cerobong. Tidak ada pompa. Semua pasif.

Jendela 72 jam: Keselamatan AP1000 menunjukkan 72 jam pendinginan inti tanpa tindakan operator dan tanpa daya. Setelah 72 jam, operator dapat mengisi kembali IRWST dengan air dari sumber apa pun.

Diversifikasi desain ini: pasif vs. aktif: adalah mengapa diversifikasi penting. Sistem keamanan AP1000 tidak dapat dihindari oleh mode kegagalan yang menghancurkan Fukushima.

Batasi Fisik Terakhir

Containment: Batas Terakhir

Jika semua sistem keamanan lain gagal & bahan bakar rusak, containment adalah batas terakhir antara bahan radioaktif & publik. Ini harus menahan: terhadap tekanan internal dari uap, terhadap pembakaran hidrogen, terhadap dampak peluru dari peralatan yang gagal, & selama waktu yang diperlukan.

PWR dry containment: Struktur beton bertulang dinding baja, biasanya 140 kaki dalam diameter & 200 kaki tinggi. Dirancang untuk menahan tekanan uap dari patah ganda sepanjang terbesar pipa pendingin primer (tekanan desain ~60 psi). Lining baja adalah batas tekan; konkrit memberikan kekuatan struktural & pelindung biologis.

Ice condenser containment: Desain containment PWR kecil, tekanan rendah (digunakan dalam beberapa pabrik Westinghouse) yang menggunakan ratusan ton es untuk menyerap energi uap & menjaga tekanan containment rendah dalam LOCA. Memungkinkan struktur yang lebih kecil, lebih murah tetapi membutuhkan perawatan es berkala.

Double containment: Beberapa desain menempatkan containment baja dalam struktur sekunder beton luar. Ruang antara mereka dijaga pada tekanan sedikit negatif sehingga kebocoran dari containment dalam mengumpul & difilter sebelum dilepaskan.

BWR containment: Mark I, II, III: Containmen GE BWR lebih kecil karena menggunakan kolam pengepresan tekanan (torus atau wetwell) untuk condens uap cepat. Mark I (desain Fukushima) adalah pengaturan drywell-torus: torus adalah kolam donat yang besar di bawah drywell. Kelemahan: torus terhubung ke bagian bawah drywell. Jika torus gagal, containment gagal. Ini persis yang terjadi di Fukushima Unit 1.

Passive autocatalytic recombiners (PAR): Setelah Fukushima, sebagian besar containmen sekarang termasuk PAR: perangkat yang mengandung bahan katalitik (paladium atau platinum) yang bereaksi hidrogen dengan oksigen untuk membentuk air, tanpa pembakaran, pada konsentrasi rendah. Ini mencegah akumulasi hidrogen yang bisa menyebabkan deflagrasi atau detonasi.

Filtered containment venting: Persyaratan setelah Fukushima di Eropa & semakin banyak di AS: jalur pembuangan keras dengan sistem filter berstadium (scrubber venturi + filter serat logam) yang memungkinkan operator untuk sengaja mengeluarkan containment sambil menahan >99,9% dari partikel radioaktivitas. Ini mencegah kegagalan tidak terkendali dari containment dari overpressure.

Dasar Desain dan Di Luar Dasar Desain

Apa yang Penahanan Dirancang Untuk

Insiden dasar desain (DBA): Komisi Energi Nuklir Amerika Serika (NRC) membutuhkan penahanan untuk bertahan melawan hal-hal berikut secara bersamaan:

- LOCA besar: pemutusan total pipa pendingin primer terbesar, rilis pendingin maksimum

- Kehilangan daya luar (LOOP): tidak ada daya jaringan saat Anda membutuhkannya terutama

- Pemutusan pipa utama uap: rilis uap energi tinggi di dalam penahanan

- Insiden penanganan bahan bakar: assembly bahan bakar jatuh, rilis produk fisi dari bahan bakar yang rusak

Insiden di luar dasar desain (BDBA): Setelah 9/11 & setelah Fukushima, pabrik juga harus mengalamatkan:

- Mati listrik stasiun (SBO): kehilangan daya AC yang lama (ketentuan pasca-TMI, diperkuat setelah Fukushima)

- Banjir di luar dasar desain: Fukushima menunjukkan bahwa ketinggian banjir dasar desain terlalu rendah

- Dampak pesawat: NRC membutuhkan analisis pasca-9/11 tentang dampak pesawat secara sengaja; pabrik baru harus menunjukkan kehandalan struktural yang bertahan

- Kehilangan pendinginan kolam bahan bakar spent: Kolam bahan bakar spent Unit 4 Fukushima hampir kering; ketentuan pasca-Fukushima menambahkan koneksi makeup kolam SFP yang khusus

Kerusakan Mark I

Unit 1, 2, & 3 Fukushima Daiichi semuanya memiliki penahanan Mark I General Electric. Mark I menggunakan drywell (tabung baja bulat sekitar reaktor) yang terhubung ke kolam pengendapan toroidal (torus) melalui downcomers. Uap dari drywell diarahkan ke torus air untuk pengembunan.

Selama insiden, torus di Unit 2 diyakini telah rusak, memungkinkan produk fisi melewati penahanan secara langsung ke gedung reaktor & kemudian ke atmosfir tanpa melewati batas penuh penahanan.

Sistem Shutdown

Kontrol Reaktivitas: Tiga Jalur Independen untuk Shutdown

Reaktor harus dapat di-shutdown & tetap di-shutdown di bawah kondisi apa pun. Tidak ada kegagalan tunggal yang diizinkan untuk mencegah shutdown. Kriteria desain umum (GDC 26) membutuhkan dua sistem kontrol reaktivitas independen, masing-masing dapat menahan reaktor di bawah kritis.

Mechanism Penggerak Roda Kontrol (CRDMs):

- PWR magnetic jack CRDMs: Roda kontrol ditahan oleh electromagnet. Pada kehilangan daya (SCRAM signal atau kehilangan daya), magnet melepaskan energi & batang jatuh oleh gravitasi ke dalam inti. Fail-safe: daya diperlukan untuk menjaga batang LUAR. Kehilangan daya = pengisian otomatis.

- BWR hydraulic CRDMs: Roda ditarik dari bawah oleh air tekanan tinggi. Pengisian darurat menggunakan nitrogen tekanan tinggi untuk mendorong batang masuk cepat. Beberapa desain BWR juga memiliki cadangan listrik untuk pengisian batang.

Pengisian Roda Alternatif (ARI): Sistem sinyal listrik yang berbeda dan berdiversifikasi yang dapat mengisi rod kontrol independen dari logika SCRAM normal. Digunakan jika jalur SCRAM normal gagal.

Transien Diharapkan Tanpa Scram (ATWS): Skenario regulasi di mana batang kontrol gagal dimasukkan sesuai permintaan. Sistem penanggulangan ATWS (ATWS-MF) menyediakan injeksi boron independen dari SCRAM normal: biasanya injeksi boron tekanan tinggi otomatis yang diaktifkan oleh set sensor terpisah.

Pengisian boron darurat:

- Injeksi boron tekanan tinggi dari tangki berdiri terpisah (terpisah dari pengisian normal)

- Pengisian boron darurat melalui saluran injeksi ECCS boron

- Pengisian boron manual dari tangki penyimpanan asam borat

Desain pasif: reaktor CANDU: CANDU memiliki dua sistem shutdown yang sepenuhnya independen: (1) batang pengendali mekanis yang jatuh karena gravitasi, dan (2) injeksi tekanan tinggi dari larutan gadolinium nitrat ke moderator: suatu sirkuit fisik yang terpisah. Mereka independen dalam setiap hal: logika aktuator yang berbeda, sistem fisik yang berbeda, prinsip yang berbeda.

Analisis ATWS

Pada saat tes di Unit 2 Three Mile Island tahun 1979, kesalahan perawatan menyebabkan trip reaktor (SCRAM) gagal terjadi selama tes. Kejadian ini segera ditangani. Namun, hal ini memicu Komisi Energi Nuklir (NRC) untuk meminta sistem mitigasi ATWS di semua pabrik: karena sistem yang 'must fail' telah, sebenarnya, gagal.

Sebuah kejadian ATWS di PWR: tenaga reaktor meledak. Roda kendali gagal menginsersi. Borasi darurat adalah garis terakhir pertahanan.

Arsitektur Daya Tiga-Lapis

Daya Listrik Pabrik Nuklir: Tiga Lapis Independen

Pabrik nuklir harus mempertahankan daya ke sistem keamanannya meskipun terjadi kerusakan pada grid atau peralatan penghasil daya sendiri. Arsitektur daya memiliki tiga lapisan:

Lapisan 1: Operasi normal: Pabrik menghasilkan daya sendiri dari turbin utama generator. Beban auxiliari (pompa, kipas, kontrol) diberi daya dari output pabrik sendiri melalui unit auxiliary transformers.

Lapisan 2: Daya luar (sumber AC yang diinginkan): Jika generator utama mati, pabrik terhubung ke grid melalui startup/reserve transformers. NRC memerlukan setidaknya dua jalur transmisi independen dari substation yang berbeda: sehingga kerusakan tunggal pada transmisi tidak dapat menyebabkan kehilangan daya total luar.

Lapisan 3: Generator diesel darurat (EDGs): Jika daya luar hilang, EDGs mulai secara otomatis dan memuat bus keamanan dalam 10 detik. Persyaratan NRC:

- Setiap EDG harus mencapai tegangan dan frekuensi yang diberikan dalam 10 detik setelah menerima sinyal start

- Penyimpanan bahan bakar: minimal 7 hari penuh pada beban penuh (Petunjuk Regulasi NRC 1.9)

- Pengujian: tes beban bulanan + tes daya tahan 24 jam setiap 24 bulan

- Urutan beban: beban keamanan terhubung secara berurutan untuk mencegah overloading diesel pada start

Baterai stasiun: Daya DC untuk instrumen, panel kontrol kamar kontrol, penerangan darurat, sirkuit aktuator SCRAM, aktuator ATWS, dan komunikasi. Harus menyuplai beban untuk minimal 2 jam (Class 1E); sebagian besar pabrik merancang untuk 4-8 jam. Pengisap daya memulihkan baterai saat AC kembali.

Strategi FLEX setelah Fukushima: Pesanan NRC EA-12-049 meminta semua pabrik untuk memiliki pompa dan generator portable yang dapat diatur dalam waktu yang ditentukan tanpa mempertimbangkan kondisi situs. Perangkat FLEX disusun di berbagai lokasi (beberapa di struktur yang tahan lama, beberapa di luar situs) dan dapat terhubung ke titik koneksitas keras pada sistem pendinginan reaktor dan sistem kolam bahan bakar sisa.

Reqirement Diesel Generator

Unit 2 Three Mile Island, 1979: Seri kejadian kecelakaan melibatkan turbin turun yang diikuti oleh kehilangan air pendingin, yang kemudian diikuti oleh serangkaian peristiwa kompleks yang mengakibatkan kerusakan inti. Diesel darurat mulai dan berjalan dengan benar selama acara tersebut.

Fukushima Daiichi, 2011: Gempa bumi menyebabkan SCRAM reaktor. Semua enam diesel mulai dan berjalan. Kemudian datang tsunami. Diesel untuk Unit 1-3 berada di ruangan bawah tanah yang terendam. Diesel untuk Unit 6 berada di lokasi yang lebih tinggi dan bertahan. Unit 5 dan 6 tidak mengalami kerusakan inti.

Sistem Pelindung Reaktor

Sistem Pelindung Reaktor (RPS)

Sistem otomatis Reactor Protection adalah sistem yang menginisiasikan SCRAM (penutupan cepat) ketika parameter yang diawasi melebihi batas aman. Ini adalah pertahanan otomatis pertama melawan transient.

Parameter yang diawasi yang dapat menginisiasikan SCRAM:

- Fluks neutron tinggi (daya tinggi)

- Suhu pendingin reaktor tinggi

- Tekanan rendah koolan reaktor (potensial LOCA)

- Tekanan tinggi pengandar

- Aliran koolan reaktor rendah

- Tingkat koolan tinggi (BWR)

- Tingkat air rendah-terendah (BWR)

- Kehilangan daya luar

- Trip manual (diinisiasikan operator)

Logika pemungutan suara: Setiap parameter diukur oleh empat sensor independen, masing-masing dalam saluran proteksi terpisah. Trip SCRAM membutuhkan 2-of-4 saluran melebihi setpoint. Ini berarti:

- Sebuah sensor yang gagal (baca tinggi palsu) tidak dapat menyebabkan trip palsu

- Dua saluran apa pun melebihi setpoint menginisiasikan trip

- Sebuah saluran yang gagal (baca rendah secara palsu) meninggalkan tiga saluran, tetap 2-of-3 mampu

Sistem Aktuasi Diversifikasi dan Dedikasi (DDAS): Sistem RPS digital modern memiliki cadangan analog: DDAS: yang dapat memulai fungsi keamanan independen dari I&C digital. Ini memberikan diversifikasi: sistem digital dan analog dapat gagal karena alasan yang sangat berbeda, dan satu kegagalan tidak mencegah yang lain dari berfungsi.

2-of-4 vs 2-of-3 Logic

RPS menggunakan pemungutan suara 2-of-4 untuk menginisiasikan SCRAM (empat sensor, dua harus setuju untuk trip). Namun, sensor individu melaporkan ke sistem aktuator menggunakan pemungutan suara 2-of-3 dalam setiap rangkaian (tiga pengukuran, dua harus setuju untuk mengaktifkan fungsi keamanan tertentu seperti ECCS).

Ini bukanlah hal yang sama, & memahami perbedaannya penting.

Minimum Staffing

Pengawasan Manusia: Lapisan yang Berpikir

Operasi pabrik nuklir membutuhkan personel yang memiliki lisensi di shift selama waktu tertentu. NRC 10 CFR 50.54(m) menetapkan persyaratan staf minimum. Setidaknya, kru operasional termasuk:

Operator Reaktor (RO): Terlisensi oleh NRC (10 CFR 55). Langsung mengoperasikan pengendali reaktor, papan kendali utama, & sistem keamanan. Harus ada di kendali secara terus-menerus selama operasi tenaga.

Operator Reaktor Senior (SRO): Lisensi NRC yang lebih tinggi. Mengawasi RO. Memiliki otoritas independen untuk menginisialisasi shutdown. Meninjau & menyetujui tindakan RO selama kejadian abnormal. Tidak bisa menjadi orang yang sama dengan RO di shift.

Pengawas Shift (SS): Senior SRO terlisensi. Bertanggung jawab atas kegiatan operasional & keamanan pabrik selama shift. Otoritas terakhir di lokasi untuk operasi pabrik.

Konsultan Teknis Shift (STA): Ketentuan setelah kejadian TMI (NUREG-0737). Seorang insinyur terlisensi yang ditugaskan pada setiap shift secara khusus untuk memberikan dukungan teknis independen selama kejadian abnormal: tidak terganggu oleh kendali operasional, fokus sepenuhnya pada diagnosis kejadian.

Mengapa banyak orang? Pelindung dalam lapisan di lapisan manusia. Seorang RO yang stres, fokus pada eksekusi prosedur, mungkin melewatkan gambaran besar. SRO memberikan pengawasan independen. STA memberikan analisis teknis independen. Pengawas shift menjaga kesadaran situasional. Tidak ada kegagalan kognitif manusia yang dapat mencegah pabrik dioperasikan dengan aman.

Alat Kinerja Manusia

Mengurangi Kesalahan Manusia: Alat Sistematis

Industri nuklir telah mengukur tingkat kesalahan manusia untuk berbagai jenis tugas. Tingkat kesalahan untuk keputusan kompleks di bawah tekanan dapat melebihi 1 dari 10. Industri ini target tingkat kesalahan 1 dari 1.000 atau lebih baik untuk tugas kritis: dan mencapai mereka melalui alat kinerja manusia sistematis.

Pengingat sebelum tugas: Sebelum tugas signifikan, briefing yang mencakup: tujuan tugas, bahaya, kondisi yang diharapkan, langkah-langkah untuk mengverifikasi penyelesaian, kondisi berhenti (jika X terjadi, berhenti & hubungi pengawas). Memakan waktu 5-15 menit. Banyak mengurangi kesalahan pelaksanaan tugas.

STAR (Berhenti, Berpikir, Bertindak, Kaji Lagi): Teknik self-check untuk setiap tindakan kritis. Berhenti: berhenti sebelum tindakan. Berpikir: apa saya akan melakukan, & apakah ini benar? Bertindak: melakukan tindakan. Kaji Lagi: apakah hasilnya sesuai dengan yang diharapkan? Jeda dua detik menangkap kesalahan transposisi, pemilihan katup yang salah, & singkat pikir kognitif.

Tiga Kominikasi: Untuk semua perintah verbal yang signifikan untuk keamanan: (1) Inisiatif menyatakan perintah: 'Align valve HV-233 to the open position.' (2) Penerima mengulang kembali dengan tepat: 'Align valve HV-233 to the open position.' (3) Inisiatif mengonfirmasi: 'That is correct.' Salah komunikasi yang tidak terdeteksi dalam pertukaran ini adalah aneh: itu membutuhkan kedua pihak untuk tidak mendengar atau tidak mengingat dengan benar.

Integritas Dua Orang: Untuk operasi konsekuensi tinggi tertentu (kaitan dengan keamanan, penanganan sumber), dua individu yang berlisensi harus hadir dan saling memverifikasi tindakan satu sama lain. Tidak ada orang yang dapat melakukan tindakan yang sensitif sendirian: orang kedua harus hadir secara fisik dan mengonfirmasi setiap langkah.

Pengelolaan Kelelahan: NRC 10 CFR 26 menetapkan batas: 16 jam kerja maksimum per hari, istirahat minimal 8 jam sebelum kembali bertugas, 54 jam maksimum per minggu, 72 jam maksimum per minggu dalam keadaan darurat. Kelelahan menurunkan keputusan sebadar seperti mabuk: batasan ini bukan rekomendasi produktivitas, tetapi persyaratan keamanan.

Prosedur Operasional Darurat

Sebelum Three Mile Island (1979), pabrik nuklir menggunakan prosedur darurat berdasarkan acara: jika X acara terjadi, jalankan prosedur X. Operator harus benar dalam mengidentifikasi acara sebelum melakukan tindakan.

Di TMI, operator menerima indikasi yang saling bertentangan. Bola-selang pembebasan tekanan terbuka: ini adalah LOCA kecil: tapi operator salah mengidentifikasi acara dan mengikuti prosedur yang salah. Hingga diagnosis yang benar dibuat, kerusakan inti yang signifikan telah terjadi.

Setelah TMI, industri mengembangkan prosedur operasional darurat berdasarkan gejala (EOPs). Bukan 'identifikasi acara, pilih prosedur,' operator mengikuti: 'amati gejala, ambil tindakan perlindungan untuk gejala tersebut, terlepas dari apa yang Anda pikirkan acara itu.'

Syarat masuk kunci prosedur berdasarkan gejala: segala perubahan yang tidak diharapkan pada level pendingin reaktor, tekanan, atau suhu, terlepas dari penyebabnya, memicu sama sekali urutan verifikasi pendinginan inti.

ALARA: As Low As Reasonably Achievable

Teknik Pengendalian Radiasi

ALARA: As Low As Reasonably Achievable: bukan hanya batas dosis. Ini adalah filosofi: dosis harus diturunkan sejauh mungkin, tidak hanya di atas batas hukum. NRC menetapkan ALARA sebagai ketentuan regulasi (10 CFR 20.1101), tidak hanya kebiasaan yang baik.

Pengelolaan dosis eksternal: tiga kontrol klasik:

- Waktu: Potong waktu di lapangan setengah, potong dosis setengah. Urutan kerja yang direncanakan sebelumnya mengurangi waktu yang tidak perlu di area dosis tinggi.

- Jarak: Dosis rate mengikuti hukum sebanding dua. Doblum jarak Anda dari sumber titik, seperempat dosis rate Anda. Bekerja dari enam kaki daripada tiga kaki mengurangi dosis 75%.

- Penghalang: Timbal, beton, air, dan polietilena menurunkan intensitas sinar. Nilai Setengah (Half Value Layer / HVL) adalah ketebalan yang mengurangi intensitas setengah. Timbal HVL untuk gamma tipikal: ~ 1 cm. HVL beton: ~ 6 cm. Setelah sepuluh HVL (10 TVL = Tenth Value Layer), intensitas menjadi berkurang menjadi 1/1.000 dari aslinya.

Pengelolaan dosis internal:

- Bahan radioaktif di dalam tubuh terus mengiradiasi organ sampai mengalami decai atau di ekskresikan

- Jalur: inhalasi (aerosol, gas), ingestion (makanan / air terkontaminasi), absorbsi melalui kulit (jarang)

- Konsentrasi Udara Diperoleh (Derived Air Concentration / DAC): konsentrasi udara yang mengandung radionuclide yang, jika dihirup selama 2.000 jam/tahun, mengirimkan batas dosis kerja. Pelindung pernapasan dan ruang tertutup tekanan negatif mencegah dosis pernapasan.

- Batas Tahunan Pemasukan (Annual Limit on Intake / ALI): total pemasukan (pemakanan + penghirupan) yang mengirimkan batas dosis kerja

Batas dosis kerja (10 CFR 20):

- 5 rem (50 mSv) per tahun total dosis efek efisien

- 3 rem (30 mSv) per kuartal

- 15 rem (150 mSv) per tahun ke lensa mata

- 50 rem (500 mSv) per tahun ke kulit atau anggota tubuh

- Batasan dosis untuk perencanaan ALARA: 2 rem/tahun (batas administratif pabrik sering kali lebih rendah)

Pengendalian Kontaminasi:

- Area Radiasi Terkontrol (ART) memiliki akses terkontrol, pemeriksaan celah keluar

- Lembaran turun: kertas atau plastik di ujung keluar ART; ganti tutup sepatu di sini untuk mencegah kontaminasi

- Penghitungan tubuh penuh: setelah bekerja di area dengan potensi kontaminasi internal, penghitungan gamma tubuh mendeteksi penyerapan internal

- Program bioassay: analisis urine & tinja mengukur dosis internal dari isotop spesifik

ALARA dalam Praktek

Seorang pekerja radiasi harus mengganti katup di area dengan radiasi tinggi. Dosis sekitar katup adalah 500 mrem per jam. Pekerjaan membutuhkan 30 menit untuk diselesaikan. Dosis tahunan pekerja hingga saat ini adalah 1.200 mrem terhadap batas administratif pabrik sebesar 2.000 mrem/tahun.

Menggunakan prinsip-prinsip ALARA & tiga kontrol, evaluasi apakah pekerjaan ini dapat dilanjutkan & identifikasi setidaknya dua tindakan spesifik untuk mengurangi dosis.

Three Mile Island (1979)

Three Mile Island Unit 2: 28 Maret 1979

TMI bukanlah kegagalan desain: itu adalah kegagalan lapisan pertahanan pada manusia dan prosedur.

Apa yang terjadi:

- Turbin mati (trip) menyebabkan SCRAM reaktor (otomatis: berfungsi dengan benar)

- Relief valve tekanan (PORV) terbuka (benar) tetapi terbuka secara permanen (kegagalan peralatan)

- Indikator ruang kontrol menunjukkan hanya bahwa valve telah menerima sinyal tutup: tidak bahwa itu benar-benar tertutup

- Pendinginan melalui PORV yang terbuka secara permanen. Tekanan & suhu di reaktor menurun

- Operator menginterpretasikan gejala sebagai pendinginan yang berlebihan dan mengurangi injeksi pendingin darurat: sebaliknya yang diperlukan

- Selama lebih dari dua jam, inti reaktor terbuka sebagian

- Sekitar setengah inti meleleh

Apa yang dilakukan penutupan: Ini bertahan. Meskipun kerusakan inti parah dan akumulasi hidrogen di dalam penutupan, struktur penutupan tetap menahan hampir semua produk fisi. Konsekuensi dosis di luar lokasi sangat kecil: tidak ada efek kesehatan masyarakat dari radiasi.

Perbaikan pasca-TMI (NUREG-0737):

- EOP berdasarkan gejala (menggantikan berdasarkan acara)

- Penasihat Teknis Shift pada setiap shift

- Simulator lengkap yang disertifikasi NRC untuk latihan tim

- Instrumen pengawasan pasca-kecelakaan (PAM): indikator pendingin inti langsung, panel tampilan yang dijamin pada daya independen arus

- Standar desain ruang kontrol yang diperbarui (NUREG-0700)

- Persyaratan revisi pengujian lisensi operator

Chernobyl (1986)

Chernobyl Unit 4: April 26, 1986

Chernobyl berbeda dalam karakter dari TMI: itu adalah kekurangan desain yang dikombinasikan dengan pengabaian sistem keamanan sengaja.

Apa yang terjadi:

- Uji stabilitas tegangan membutuhkan menjalankan reaktor pada tenaga rendah (~ 200 MW, vs. 3.200 MW yang terdaftar)

- Pada tenaga rendah, reaktor RBMK memiliki koefisien ruang hampa positif: gelembung uap di pendingin meningkatkan reaktivitas

- Roda kendali memiliki kelemahan desain: batang karbon menyingkirkan air saat pertama kali dimasukkan, menyebabkan peningkatan reaktivitas sebelum bagian menyerap neutron memasuki inti

- Ujian ditunda; shift malam tidak dilatih untuknya

- Banyak sistem keamanan dimatikan sengaja untuk menjalankan ujian

- Saat menekan tombol shutdown darurat (AZ-5), batang karbon menimbulkan lonjakan reaktivitas daripada SCRAM yang diinginkan

- Daya meledak menjadi 30.000 MW dalam detik-detik: sekitar 10x daya terdaftar

- Bahan bakar & pendingin berubah menjadi uap, menyebabkan ledakan uap yang menghancurkan reaktor

- Api karbon terbakar selama 10 hari, menyebarluaskan produk fisi di seluruh Eropa

Tidak ada penutupan: RBMK tidak memiliki bangunan penutupan penuh. Reaktor berada di dalam bangunan industri besar tanpa kemampuan menahan tekanan. Ketika reaktor hancur, tidak ada barrier terakhir.

Perubahan pasca-Chernobyl:

- Modifikasi desain RBMK: menghapus koefisien ruang hampa positif pada tenaga rendah, merancang kembali ujung batang, menambahkan absorber neutron tambahan

- Konvensi keamanan nuklir internasional diperkuat

- Konsep kebudayaan keamanan nuklir diformalkan oleh IAEA (INSAG-7)

- Penekanan regulator Barat pada containment sebagai persyaratan yang tidak dapat ditawar-tawar

Tiga Kecelakaan, Tiga Pelajaran

Kamu sekarang tahu tiga kecelakaan sipil nuklir utama: TMI (1979), Chernobyl (1986), & Fukushima (2011). Setiap kecelakaan mengungkap kegagalan lapisan keamanan dalam kedalaman yang berbeda.

Kuantifikasi Risiko

PRA: Dari 'Aman Cukup' ke 'Betapa Aman?'

Analisis keamanan deterministik berkata: desain pabrik untuk bertahan dari kecelakaan-kecelakaan ini yang spesifik. Evaluasi Risiko Probabilistik (PRA) bertanya pertanyaan yang berbeda: dengan semua cara yang mungkin gagal, berapa kemungkinan bahwa mereka benar-benar melakukannya?

Frekuensi kerusakan inti (CDF): Probabilitas bahwa inti reaktor akan rusak secara signifikan dalam setahun tertentu. Tujuan keamanan NRC: CDF < 1×10⁻⁴ per reaktor-tahun (satu kali dalam 10.000 reaktor-tahun). Pabrik modern biasanya mencapai CDF < 1×10⁻⁵ (satu kali dalam 100.000 reaktor-tahun).

Frekuensi rilis besar dini (LERF): Probabilitas terjadinya rilis radioaktivitas besar dan dini ke lingkungan (sebelum evakuasi dapat selesai). Tujuan keamanan NRC: LERF < 1×10⁻⁵ per reaktor-tahun.

Pohon Kesalahan: Diagram logika grafis yang menunjukkan kombinasi kegagalan komponen yang mengakibatkan peristiwa atas (mis., 'ECCS gagal menyuplai air ke inti'). Menggunakan gate AND (semua harus gagal) & gate OR (satu kegagalan cukup). Gate AND mengurangi probabilitas (memerlukan kegagalan simultan). Gate OR meningkatkan probabilitas.

Pohon Kejadian: Diagram grafis yang dimulai dengan peristiwa inisial (mis., 'terjadi LOCA besar') & mengikuti konsekuensi tergantung pada kesuksesan atau kegagalan sistem keamanan. Setiap cabang mewakili keberhasilan atau kegagalan fungsi keamanan. Node akhir adalah urutan kejadian kecelakaan: shutdown aman, kerusakan inti, rilis besar.

Indikator Keterlibatan: PRA mengidentifikasi komponen & sistem yang paling banyak berkontribusi terhadap risiko.

- Keterlibatan Fussel-Vesely (FV): bagian dari CDF yang dikontribusikan oleh kegagalan komponen. Tinggi FV = komponen ini sangat berpengaruh.

- Nilai Penghasil Risiko (RAW): seberapa banyak CDF yang meningkat jika komponen ini dianggap gagal. Tinggi RAW = komponen ini tidak boleh mati lama dalam layanan.

RAW mengendalikan jadwal pemeliharaan & pengujian: komponen RAW tinggi mendapatkan pengujian sering & waktu pemeliharaan yang pendek.

PRA dan Jadwal Pemeliharaan

Pembangkit listrik nuklir memiliki tiga generator darurat (A, B, C). Analisis PRA menunjukkan:

- CDF dengan semua tiga yang operasional: 2×10⁻⁵ per tahun

- CDF dengan diesel A tidak tersedia untuk pemeliharaan: 8×10⁻⁵ per tahun (4x peningkatan)

- CDF dengan diesel A & B sekaligus out: 4×10⁻³ per tahun (200x peningkatan)

Tim pemeliharaan ingin mengeluarkan diesel A & B dari layanan secara bersamaan untuk meremajakan besar yang berlangsung 30 hari.

Bahan Bakar Sisa: Kewajiban Panjang

Bahan Bakar Sisa: Pengelolaan Aktif & Pasif

Setelah bahan bakar diangkat dari reaktor setelah 3-5 tahun operasi, itu sangat radioaktif & panas secara termal dari panas peluruhan. Kurva panas peluruhan yang sama berlaku: 7% daya terbangkit segera, menurun selama beberapa tahun.

Kolam bahan bakar sisa (SFP): Setelah diangkat, palet bahan bakar yang telah mengalami pembakaran segera ditempatkan di kolam bahan bakar sisa: sebuah waduk yang diisi air, biasanya 40 kaki dalam, berdekatan dengan gedung reaktor. Air berfungsi sebagai pendingin dan pelindung (air di atas bahan bakar menyerap radiasi, memungkinkan pekerja di atas dek kolam untuk menerima dosis rendah).

Waktu pendinginan kolam sebelum kemasan kering: Sekitar 5 tahun untuk bahan bakar PWR. Bahan bakar harus pendingin sampai titik di mana pendinginan udara pasif dalam kemasan kering dapat mengatasi panas peluruhan yang tersisa tanpa air apa pun.

Resiko kebakaran Zircaloy: Jika palet bahan bakar yang telah mengalami pembakaran terbuka (air kolam hilang), pelapis Zircaloy dapat oksidasi di udara pada suhu tinggi. Berbeda dengan reaksi uap-Zircaloy yang menghasilkan hidrogen, oksidasi Zircaloy di udara pada suhu merah panas dapat mempertahankan kebakaran Zircaloy: sebuah reaksi eksoterm yang dapat berlangsung sendiri. Kolam bahan bakar sisa Unit 4 Fukushima berada dalam beberapa hari untuk mencapai suhu di mana ini dapat terjadi.

Persyaratan kolam bahan bakar sisa pasca-Fukushima (Surat Perintah NRC EA-12-051):

- Instrumen yang andal untuk tingkat air & suhu SFP

- Kemampuan untuk menambahkan air tambahan ke SFP dari sumber yang berbeda

- Strategi untuk mempertahankan atau mengembalikan pendinginan SFP di bawah skenario kehilangan daya yang diperpanjang

Penyimpanan kemasan kering: Setelah 5+ tahun di kolam, bahan bakar diangkut ke kemasan kering: tabung baja yang dilas yang dilapisi dengan beton atau pelindung kepadatan tinggi polietilena. Pendinginan sepenuhnya pasif: konveksi udara alami melalui lubang di luar struktur. Tidak diperlukan daya. Masa pakai: 100+ tahun. Saat ini, lebih dari 90.000 metrik ton logam berat dalam penyimpanan kemasan kering di Amerika Serikat sendiri.

Pengelolaan limbah tingkat tinggi: Bahan bakar yang telah digunakan diklasifikasikan sebagai limbah nuklir tingkat tinggi. Undang-Undang AS (Nuclear Waste Policy Act) menetapkan Yucca Mountain, Nevada sebagai tempat penyimpanan permanen: tetapi belum dibuka karena oposisi politik. NRC memerintahkan bahwa sebuah tempat penyimpanan harus menyediakan isolasi selama 10.000 tahun (standar EPA: 1 juta tahun untuk dosis di luar 10.000 tahun). Penyimpanan geologis dalam kedalaman menggunakan formasi batuan itu sendiri sebagai barrier utama, dengan barrier yang dirancang (vitrifikasi kaca, tabung logam, lempung bentonit) sebagai lapisan tambahan.

Limbah tingkat rendah (LLW): Pakaian terkontaminasi, alat, filter, resin. Tiga kelas NRC:

- Kelas A: aktivitas terendah, isotop yang paling pendek umur. Penguburan tanah dangkal, persyaratan isolasi 100 tahun

- Kelas B: aktivitas sedang. Penguburan dangkal dengan isolasi 300 tahun

- Kelas C: aktivitas lebih tinggi, isotop dengan umur panjang. Membutuhkan isolasi 500 tahun; penyimpanan dekat permukaan dengan barrier yang lebih besar

Teknik pengurangan volume (pembakaran, pemadatan, meleleh) wajib untuk meminimalkan ruang penyimpanan

Kas Keamanan Penyimpanan Kering

Seorang kritikus berargumen bahwa penyimpanan kering tidak aman karena tidak ada pendinginan aktif, tidak ada koneksi listrik, & berada di luar ruangan di atas pelat beton. Seorang insinyur nuklir menjawab bahwa penyimpanan kering mungkin justru lebih aman daripada kolam bahan bakar sisa.

Pertahanan Dalam Kedalaman: Gambaran Keseluruhan

Keamanan Reaktor Nuklir: Disiplin Sistem

Anda telah mempelajari setiap lapisan keamanan reaktor nuklir. Langkah mundur & lihat sistemnya:

Pembatas fisik (matrix bahan bakar, pelapis, tabung tekanan, pengendalian) pasif: mereka tidak memerlukan tindakan untuk bekerja. Mereka adalah fondasi.

Sistem keamanan (ECCS, RPS, EDGs, DDAS) aktif dengan cadangan pasif (akumulator, tangki gravitasi, baterai). Setiap fungsi memiliki tiga kereta independen. Setiap kereta 100% mampu. Pendekatan aktif & pasif beragam.

Instrumen (RPS, ECCS aktuator, PAM) memantau puluhan parameter dengan logika suara 2-of-4: tahanan terhadap perjalanan palsu dan terhadap kegagalan sensor yang akan mencegah perjalanan.

Prosedur (EOP berdasar gejala) memandu operator untuk tindakan perlindungan tanpa memerlukan diagnosis yang benar. Setelah TMI. Penting.

Faktor manusia (penatahan, pelatihan, alat bantu kinerja manusia, batas kelelahan) mengurangi kemungkinan lapisan manusia gagal. Persyaratan STA pasca-TMI. Pelatihan simulator. Briefing sebelum pekerjaan. STAR. Komunikasi tiga arah.

Manajemen & budaya keamanan menjamin bahwa keamanan tidak ditukar dengan efisiensi. Pasca-Chernobyl INSAG-7. Pelajaran Chernobyl adalah bahwa sistem keamanan yang dimatikan oleh manajemen adalah sistem keamanan yang tidak ada.

Regulasi (NRC 10 CFR 50, standar IAEA, pemeriksaan berkala) memberikan pengawasan independen pada lapisan tertinggi. Sebuah regulator yang tidak melakukan pemeriksaan adalah regulator yang tidak ada.

Tiga kecelakaan utama menunjukkan bahwa pertahanan dalam kedalaman gagal bukan dari kegagalan dramatis tunggal, tetapi dari kombinasi kegagalan kecil, asumsi yang salah, & margin yang tidak cukup dalam beberapa lapisan secara bersamaan. Kasus keamanan hanya kuat sejauh kombinasi simultan terlemahnya.

Integrasi Akhir

Pertanyaan Akhir: Yang Paling Sulit

Reaktor desain baru yang diajukan mengklaim aman hingga tingkat yang sangat tinggi sehingga hanya membutuhkan satu kereta ECCS (bukan tiga), tidak ada diesel darurat (pendinginan pasif hanya), & model penatahan yang sederhana dengan dua operator pada shift alih-alih empat.

Desainer berargumen: 'Pendinginan pasif berarti daya tidak diperlukan, jadi diesel tidak diperlukan. Reaktor tidak bisa meleleh karena fisika, jadi penatahan yang disederhanakan layak.'