Definizione IAEA

Difesa in Profondità: La Filosofia Organizzativa

L'Agenzia Internazionale per l'Energia Atomica (IAEA) definisce la difesa in profondità come un approccio a più livelli per la sicurezza, in cui ogni livello funge da backup per quelli precedenti. Nessun singolo livello è considerato perfetto. Il caso di sicurezza dipende dall'avere molteplici livelli indipendenti, in modo che nessun singolo guasto: e nessuna singola combinazione di guasti da una singola causa radice: possa portare a danno.

La difesa in profondità opera a ogni scala:

Barriere fisiche: matrice del combustibile → guaina del combustibile → vessel di pressione del reattore → edificio di contenimento → edificio del reattore (4-5 barriere fisiche tra combustibile e ambiente)

Sistemi di sicurezza: ogni funzione (raffreddamento, spegnimento, alimentazione) è performed da almeno 3 treni indipendenti

Procedure: procedure scritte governano ogni evoluzione; procedure anomale ed emergenziali per ogni evento di base di progetto

Operatori: autorizzati, addestrati, qualificati, riposati; autorità indipendente per avviare lo spegnimento

Gestione: cultura della sicurezza nucleare, supervisione regolatoria, revisioni di sicurezza indipendenti

Regolamentazione: requisiti di base di progetto NRC 10 CFR 50, operazione autorizzata, ispezioni periodiche

Principio chiave: Nessun credito per i livelli falliti. Se non è possibile confermare che una barriera è intatta, si assume che non lo sia. L'intero sistema è progettato per essere sicuro con qualsiasi singolo componente attivo fallito: questo è chiamato il criterio del singolo guasto.

Redundanza, Diversità e Indipendenza

Tre Proprietà Che Renderebbero la Difesa Reale

I sistemi di sicurezza nucleare devono soddisfare tre proprietà distinte. Confonderle è un errore comune e pericoloso.

Redundanza significa avere più di una cosa uguale. Tre generatori diesel sono ridondanti. Ma se condividono tutti lo stesso serbatoio di carburante, la stessa logica di avviamento o la stessa stanza fisica, la ridondanza da sola non protegge da un guasto causa comune.

Diversità significa utilizzare principi fisici diversi o attrezzature diverse per eseguire la stessa funzione. Una pompa di iniezione ad alta pressione e un accumulatore pressurizzato con azoto forniscono entrambi acqua al nocciolo: ma funzionano su principi completamente diversi. La diversità sconfigge le modalità di guasto che sconfiggerebbero tutte le copie ridondanti di un unico design.

Indipendenza significa che il guasto di un treno non può causare o impedire il funzionamento di un altro. L'indipendenza richiede:

- Bus di alimentazione separati (alimentazioni elettriche diverse)

- Separazione fisica (barriere, edifici diversi, lati opposti del reattore)

- Logica di attuazione separata (un cortocircuito nel Treno A non può disabilitare il Treno B)

- Strumentazione separata (i sensori del Treno A non alimentano l'attuazione del Treno B)

Guasto comune (CCF) è lo scenario da incubo: un singolo evento disabilita simultaneamente più treni ridondanti. Fukushima è l'esempio definitorio: lo tsunami non è stato solo una perdita di alimentazione esterna. Ha disabilitato simultaneamente tutti e tre i generatori diesel di emergenza perché si trovavano tutti nello stesso edificio basso. La ridondanza senza indipendenza è un'illusione.

Criterio del Guasto Singolo

Il criterio del guasto singolo della NRC (10 CFR 50, Appendix A, General Design Criterion 17) stabilisce che i sistemi di sicurezza devono essere progettati in modo che nessun guasto di un singolo componente attivo impedisca al sistema di svolgere la sua funzione di sicurezza.

Un guasto 'attivo' è uno che richiede un cambiamento di stato: una pompa che non si avvia, una valvola che non si apre.

Un guasto 'passivo' (ad es., una crepa in una tubatura) è affrontato da requisiti di progettazione separati.

Perché Tre Treni?

Ogni Sistema Critico per la Sicurezza: Tre Treni Indipendenti

La regola della ridondanza tripla non è semplicemente "tre è più sicuro di due". È un requisito ingegneristico preciso con proprietà specifiche.

Ogni treno deve essere in grado di svolgere il 100% della funzione di sicurezza in modo indipendente. Se il Treno A gestisce il raffreddamento, gestisce tutto il raffreddamento necessario. I Treni B e C non sono contributori parziali: sono backup completi.

I treni devono essere fisicamente separati. Edifici diversi, o almeno separati da barriere antincendio. Percorsi di cavi diversi. Tratte di tubature diverse. Se un incendio, un'alluvione o un'esplosione colpisce un treno, non deve raggiungere gli altri.

I treni devono avere alimentazioni elettriche separate. Diversi bus elettrici alimentati da fonti diverse. Treno A sul Bus A, Treno B sul Bus B, Treno C sul Bus C: ogni bus con il proprio diesel di emergenza.

I treni devono avere logiche di attuazione separate. Un guasto a relè nel circuito di attuazione del Treno A non può impedire al Treno B di attuare. Idealmente, utilizzano principi di attuazione completamente diversi (diversità).

Perché tre e non due? Con tre treni, la logica di voto a due-su-tre significa che qualsiasi singolo guasto di un componente lascia ancora due treni funzionali: ottieni sia il criterio del singolo guasto AND una protezione contro i guasti a causa comune. Con due treni, un singolo guasto ti lascia con un treno: nessun margine, nessuna difesa contro un secondo guasto.

Diversità vs. Ridondanza

Considera il sistema di raffreddamento di emergenza del nucleo di un PWR. Un approccio: tre pompe di iniezione ad alta pressione identiche, ciascuna alimentata da un generatore diesel separato, in stanze separate.

Un secondo approccio: una pompa di iniezione ad alta pressione, più un accumulatore pressurizzato con azoto che non richiede alimentazione, più un serbatoio d'acqua alimentato per gravità da una riserva elevata.

Entrambi forniscono tre mezzi per consegnare acqua al nucleo.

ECCS: L'Ultima Linea di Difesa del Reattore

Sistemi di Raffreddamento di Emergenza del Reattore

L'incidente di base di progetto per un PWR è la perdita di refrigerante (LOCA): una rottura nel sistema di refrigerazione del reattore che permette al refrigerante primario di fuoriuscire. Una LOCA a grande rottura può scoprire il reattore in pochi secondi. Senza un immediato inondamento, le temperature del rivestimento del combustibile salgono sopra i 2.200°F, lo zircaloy si ossida e inizia il danno al combustibile.

L'ECCS per un PWR tipico ha quattro sottosistemi, ciascuno operante in una fase diversa dell'incidente:

Sistema di Iniezione ad Alta Pressione (HPIS): Si attiva immediatamente con bassa pressione del refrigerante del reattore o alta pressione del contenitore. Inietta acqua borata nel sistema del refrigerante del reattore mentre la pressione è ancora alta (sopra ~200 psi). Utilizza pompe azionate da motori alimentate da diesel di emergenza. Portata: 500-1.500 gpm a seconda del progetto.

Accumulatori (chiamati anche Serbatoi di Inondazione del Core): Serbatoi passivi pressurizzati con azoto contenenti acqua borata. Si attivano automaticamente quando la pressione del refrigerante del reattore scende al di sotto della pressione dell'azoto (tipicamente 600-700 psi). Non richiede alimentazione: la pressione dell'azoto spinge l'acqua nel core. Ogni accumulatore contiene ~1.000 galloni.

Sistema di Iniezione a Bassa Pressione (LPIS): Si attiva a bassa pressione (<200 psi). Fornisce portate elevate (migliaia di gpm) per LOCA con grande rottura. Dopo che il serbatoio di stoccaggio dell'acqua di ricarica (RWST) si svuota, il sistema passa a ricircolo dal sump: ricircola l'acqua dal sump del contenitore attraverso il core. Deve continuare per settimane (rimozione del calore di decadimento).

Rimozione del Calore Residuo (RHR): Chiamato anche sistema di Rimozione del Calore di Decadimento. Scopo principale: rimuovere il calore di decadimento dopo che il reattore raggiunge lo spegnimento a freddo. Opera a bassa pressione e bassa temperatura, circolando refrigerante attraverso scambiatrici di calore. Fornisce anche capacità di iniezione a bassa pressione.

Sistemi di Spruzzatura del Core BWR: I reattori ad acqua bollente utilizzano ugelli di spruzzatura del core sopra il combustibile che spruzzano acqua direttamente sui pacchetti di combustibile: una geometria diversa dall'allagamento PWR.

Curva del Calore di Decadimento

La curva del calore di decadimento è uno dei numeri più importanti nella sicurezza nucleare. Dopo l'arresto del reattore:

- t = 0 secondi: ~7% della potenza nominale (240 MW per un reattore da 3.400 MW)

- t = 1 minuto: ~3,5%

- t = 1 ora: ~1% (~34 MW)

- t = 1 giorno: ~0,3% (~10 MW)

- t = 1 settimana: ~0,1%

- t = 1 anno: il combustibile genera ancora calore misurabile dagli isotopi a lunga vita

Dieci megawatt di calore, sostenuti indefinitamente, senza alimentazione per far funzionare le pompe di raffreddamento. Questa era esattamente la situazione a Fukushima Daiichi l'11 marzo 2011.

ECCS Passivi: Progettazione AP1000

Nuova Generazione: Sicurezza Passiva

Il Westinghouse AP1000 (Advanced Passive 1000 MWe) trae lezione dagli ECCS attivi & inverte la filosofia di progettazione: invece di tre treni di pompe che richiedono energia, tutte le funzioni di sicurezza si basano su gravità, circolazione naturale, gas compresso & evaporazione.

Serbatoi di Ricarica del Nucleo (CMT): Due grandi serbatoi di acqua fredda borata montati sopra il reattore. Normalmente isolati. All'attivazione, scaricano per gravità nel sistema di raffreddamento del reattore. Ogni serbatoio contiene abbastanza acqua per mantenere il nucleo coperto per ore.

Accumulatori: Uguali alle centrali convenzionali: pressurizzati con azoto, iniezione passiva.

Serbatoio di Stoccaggio Acqua di Rifornimento in Contenimento (IRWST): Una grande piscina d'acqua all'interno dell'edificio di contenimento, sopra il reattore. Alimentato dalla gravità. Fornisce raffreddamento a lungo termine dopo che i CMT si sono svuotati. Nessuna pompa. Nessuna alimentazione elettrica.

Scambiatori di Calore per la Rimozione Passiva del Calore Residuo (PRHR HX): Sommersi nell'IRWST. La circolazione naturale trasporta il calore di decadimento dal reattore all'acqua dell'IRWST, che si riscalda, bolle e sfoga in atmosfera attraverso una ciminiera. Nessuna pompa. Completamente passivo.

Finestra di 72 ore: Il caso di sicurezza AP1000 dimostra 72 ore di raffreddamento del nocciolo senza intervento degli operatori e senza alimentazione elettrica. Dopo 72 ore, gli operatori possono riempire l'IRWST con acqua da qualsiasi fonte.

Questa diversità di design: passiva vs. attiva: è il motivo per cui la diversità conta. I sistemi di sicurezza dell'AP1000 non possono essere sconfitti dalla modalità di guasto che ha distrutto Fukushima.

[TITLE containment/]

Ultima Barriera Fisica

Contenimento: L'Ultimo Confine

Se ogni altro sistema di sicurezza fallisce & il combustibile è danneggiato, il contenitore è l'ultima barriera tra il materiale radioattivo & il pubblico. Deve resistere: contro la pressione interna dal vapore, contro la combustione dell'idrogeno, contro impatti di missili da apparecchiature fallite, & per tutto il tempo necessario.

Contenimento secco PWR: Una struttura in cemento armato rivestita internamente in acciaio, tipicamente 140 piedi di diametro & 200 piedi di altezza. Progettata per contenere la pressione del vapore da una rottura a doppio taglio a ghigliottina completa del tubo principale del refrigerante primario più grande (pressione di progetto ~60 psi). Il rivestimento in acciaio è il confine di pressione; il cemento fornisce resistenza strutturale & schermatura biologica.

Contenimento a condensatore di ghiaccio: Un design di contenimento PWR più piccolo e a bassa pressione (utilizzato in alcune centrali Westinghouse) che utilizza centinaia di tonnellate di ghiaccio per assorbire l'energia del vapore e mantenere bassa la pressione di contenimento in un LOCA. Consente una struttura più piccola e economica ma richiede manutenzione periodica del ghiaccio.

Doppio contenimento: Alcuni design posizionano un contenimento interno in acciaio all'interno di un edificio secondario di contenimento esterno in cemento. Lo spazio tra di loro è mantenuto a leggera pressione negativa in modo che qualsiasi fuoriuscita dal contenimento interno venga raccolta e filtrata prima del rilascio.

Contenimento BWR: Mark I, II, III: I contenimenti BWR di General Electric sono più piccoli perché utilizzano una piscina di soppressione della pressione (torus o wetwell) per condensare rapidamente il vapore. Il Mark I (design di Fukushima) è un arrangiamento drywell-torus: il torus è una grande piscina d'acqua a forma di ciambella sotto il drywell. Una debolezza: il torus è attaccato alla base del drywell. Se il torus fallisce, il contenimento fallisce. È esattamente ciò che è accaduto all'Unità 1 di Fukushima.

Ricombinatori autocatalitici passivi (PAR): Post-Fukushima, la maggior parte dei contenimenti include ora PAR: dispositivi contenenti materiale catalitico (palladio o platino) che reagisce idrogeno con ossigeno per formare acqua, senza accensione, a basse concentrazioni. Questo previene l'accumulo di idrogeno che potrebbe causare deflagrazione o detonazione.

Ventilazione filtrata del contenitore: Requisito post-Fukushima in Europa e sempre più negli USA: un percorso di sfiato rinforzato con un sistema di filtri multi-stadio (lavatore Venturi + filtro a fibre metalliche) che permette agli operatori di sfiatare deliberatamente il contenitore mantenendo >99,9% della radioattività particolata. Questo previene il guasto incontrollato del contenitore da sovrapressione.

Design Basis e Beyond Design Basis

Per cosa è progettato il contenitore

Incidenti di base di progetto (DBA): L'NRC richiede che il contenitore sopravviva a uno qualsiasi di questi simultaneamente:

- Rottura estesa LOCA: sezione completa del tubo principale del refrigerante primario più grande, rilascio massimo di refrigerante

- Perdita di alimentazione esterna (LOOP) coincidente con LOCA: nessuna alimentazione dalla rete quando ne hai più bisogno

- Rottura della linea del vapore principale: rilascio di vapore ad alta energia all'interno del contenitore

- Incidente di manipolazione del combustibile: caduta di un'assieme di combustibile, rilascio di prodotti di fissione dal combustibile danneggiato

Eventi oltre la base di progetto (BDBA): Post-9/11 e post-Fukushima, le centrali devono anche affrontare:

- Blackout della stazione (SBO): perdita prolungata di tutta l'alimentazione CA (requisito post-TMI, rafforzato post-Fukushima)

- Inondazione oltre la base di progetto: Fukushima ha mostrato che le altezze di inondazione di progetto erano troppo basse

- Impatto di aeromobile: NRC richiede post-9/11 l'analisi di impatto deliberato di aeromobile; le nuove centrali devono dimostrare sopravvivenza strutturale

- Perdita di raffreddamento della piscina del combustibile esaurito: la piscina del combustibile esaurito dell'Unità 4 di Fukushima è quasi evaporata; i requisiti post-Fukushima hanno aggiunto connessioni dedicate per il reintegro della SFP

Vulnerabilità Mark I

Le Unità 1, 2 e 3 di Fukushima Daiichi erano tutte dotate di contenitori General Electric Mark I. Il Mark I utilizza un drywell (un serbatoio in acciaio a forma di lampadina intorno al reattore) collegato a una piscina di soppressione toroidale (il torus) tramite downcomers. Il vapore dal drywell viene diretto nell'acqua del torus per la condensazione.

Durante l'incidente, si ritiene che il torus dell'Unità 2 sia stato danneggiato, permettendo ai prodotti di fissione di sfuggire direttamente nell'edificio del reattore e poi nell'atmosfera senza passare attraverso l'intero confine di contenimento.

Sistemi di Arresto

Controllo di Reattività: Tre Vie Indipendenti per l'Arresto

Un reattore deve essere in grado di arrestarsi e rimanere arrestato in qualsiasi condizione. Non è ammesso che un singolo guasto impedisca l'arresto. Il criterio generale di progettazione (GDC 26) richiede due sistemi indipendenti di controllo di reattività, ciascuno in grado di mantenere il reattore subcritico.

Meccanismi di azionamento delle barre di controllo (CRDM):

- CRDM a jack magnetico PWR: Le barre di controllo sono mantenute alzate da elettromagneti. In caso di perdita di alimentazione (segnale SCRAM o perdita di potenza), gli elettromagneti si disattivano e le barre cadono per gravità nel nocciolo. Fail-safe: alimentazione richiesta per mantenere le barre ESTERNE. Perdita di alimentazione = inserimento automatico.

- CRDM idraulici BWR: Le barre sono azionate dal basso da acqua ad alta pressione. L'inserimento di emergenza utilizza azoto ad alta pressione per azionare rapidamente le barre. Alcuni progetti BWR hanno anche un backup elettrico per l'inserimento delle barre.

Inserimento Alternativo delle Barre (ARI): Un percorso di segnale elettrico separato e diversificato che può inserire le barre di controllo indipendentemente dalla logica SCRAM normale. Utilizzato se il circuito SCRAM normale fallisce.

Transitorio Anticipato Senza SCRAM (ATWS): Lo scenario regolatorio in cui le barre di controllo non si inseriscono su richiesta. I sistemi di mitigazione ATWS (ATWS-MF) forniscono iniezione di boro indipendente dal SCRAM normale: tipicamente iniezione automatica di boro ad alta pressione attivata da un set di sensori separato.

Boronizzazione di emergenza:

- Iniezione ad alta pressione di boro da un tubo di standpipe separato (separato dalla carica normale)

- Boronizzazione di emergenza tramite le linee di iniezione di boro dell'ECCS

- Boronizzazione manuale dai serbatoi di stoccaggio dell'acido borico

Progettazioni passive: reattore CANDU: Il CANDU ha due sistemi di spegnimento completamente indipendenti: (1) barre di spegnimento meccaniche che cadono per gravità, e (2) iniezione ad alta pressione di soluzione di nitrato di gadolinio nel moderatore: un circuito fisico separato. Sono indipendenti in ogni senso: logica di attuazione diversa, sistemi fisici diversi, principi diversi.

Analisi ATWS

Durante i test nel 1979 presso Three Mile Island Unità 2, un errore di manutenzione ha causato il fallimento di un arresto del reattore (SCRAM) durante un test. L'evento è stato rilevato rapidamente. Ma ha spinto la NRC a richiedere sistemi di mitigazione ATWS in tutte le centrali: perché i sistemi "impossibili da fallire" erano, in effetti, falliti.

Un evento ATWS in un PWR: la potenza del reattore aumenta improvvisamente. Le barre di controllo non si inseriscono. La borazione di emergenza è l'ultima linea di difesa.

Architettura di Alimentazione a Tre Livelli

Alimentazione Elettrica della Centrale Nucleare: Tre Livelli Indipendenti

Una centrale nucleare deve mantenere l'alimentazione ai suoi sistemi di sicurezza indipendentemente da ciò che accade alla rete o alle sue stesse apparecchiature di generazione. L'architettura di alimentazione ha tre livelli:

Livello 1: Operazione normale: La centrale genera la propria energia dal generatore della turbina principale. I carichi ausiliari (pompe, ventilatori, controlli) sono alimentati dall'output della centrale stessa tramite trasformatori ausiliari di unità.

Livello 2: Alimentazione esterna (fonte CA preferita): Se il generatore principale si arresta, l'impianto si collega alla rete attraverso trasformatori di avviamento/riserva. La NRC richiede almeno due linee di trasmissione indipendenti da sottostazioni diverse: così un singolo guasto di trasmissione non può causare la perdita totale dell'alimentazione esterna.

Livello 3: Generatori diesel di emergenza (EDG): Se l'alimentazione esterna viene persa, gli EDG si avviano automaticamente e alimentano i bus di sicurezza entro 10 secondi. Requisiti NRC:

- Ogni EDG deve raggiungere tensione e frequenza nominali entro 10 secondi dal segnale di avviamento

- Stoccaggio carburante: minimo 7 giorni a pieno carico (NRC Regulatory Guide 1.9)

- Test: test di carico mensile + test di resistenza di 24 ore ogni 24 mesi

- Sequenziamento del carico: i carichi di sicurezza vengono collegati in sequenza per evitare il sovraccarico del diesel all'avvio

Batterie di stazione: Alimentazione CC per strumentazione, pannelli della sala di controllo, illuminazione di emergenza, circuiti di attuazione SCRAM, attuazione ATWS e comunicazioni. Devono alimentare i carichi per un minimo di 2 ore (Classe 1E); la maggior parte delle centrali è progettata per 4-8 ore. I caricabatterie ripristinano le batterie quando ritorna l'AC.

Strategia FLEX post-Fukushima: L'Ordine NRC EA-12-049 richiede a tutte le centrali di disporre di pompe e generatori portatili deployabili entro tempi definiti indipendentemente dalle condizioni del sito. L'attrezzatura FLEX è distribuita in più ubicazioni (alcune in strutture robuste, alcune offsite) e può collegarsi a punti di connessione esterni rinforzati sui sistemi di raffreddamento del reattore e della piscina del combustibile esausto.

Requisiti dei Generatori Diesel

Three Mile Island Unità 2, 1979: La sequenza dell'incidente ha coinvolto un arresto della turbina seguito da una perdita di acqua di alimentazione, seguito da una complessa serie di eventi che ha portato al danno del nocciolo. I generatori diesel di emergenza si sono avviati e hanno funzionato correttamente per tutto l'evento.

Fukushima Daiichi, 2011: Il terremoto ha causato lo SCRAM del reattore. Tutti e sei i diesel si sono avviati e hanno funzionato. Poi è arrivato lo tsunami. I diesel delle Unità 1-3 erano in locali seminterrati che si sono allagati. Il diesel dell'Unità 6 era in una posizione più alta e ha sopravvissuto. Le Unità 5 e 6 non hanno subito danni al nocciolo.

Sistema di Protezione del Reattore

Sistema di Protezione del Reattore (RPS)

Il Sistema di Protezione del Reattore è il sistema automatico che avvia un SCRAM del reattore (arresto rapido) quando i parametri monitorati superano i limiti di sicurezza. È la prima difesa automatica contro i transitori.

Parametri monitorati che possono avviare SCRAM:

- Alto flusso neutronico (alta potenza)

- Alta temperatura del refrigerante del reattore

- Bassa pressione del refrigerante del reattore (potenziale LOCA)

- Alta pressione del contenitore

- Basso flusso del refrigerante del reattore

- Alto livello del refrigerante (BWR)

- Basso-basso livello dell'acqua (BWR)

- Perdita di alimentazione esterna

- Scram manuale (iniziato dall'operatore)

Logica di voto: Ogni parametro viene misurato da quattro sensori indipendenti, ciascuno in un canale di protezione separato. Uno SCRAM richiede che 2-su-4 canali superino il setpoint. Questo significa:

- Un singolo sensore guasto (lettura falsamente alta) non può causare un'attivazione spuriosa

- Qualsiasi due canali che superano il setpoint attivano il trip

- Un singolo canale guasto (che legge falsamente un valore basso) lascia tre canali, ancora capaci di 2-su-3

Sistema di Attuazione Diverso e Dedicato (DDAS): I moderni sistemi RPS digitali hanno un backup analogico: DDAS, che può attivare le funzioni di sicurezza in modo indipendente dal I&C digitale. Questo fornisce diversità: i sistemi digitale e analogico possono guastarsi per ragioni completamente diverse, e un guasto non impedisce all'altro di funzionare.

Logica 2-su-4 vs 2-su-3

L'RPS utilizza la votazione 2-su-4 per attivare lo SCRAM (quattro sensori, due devono concordare per il trip). Ma i singoli sensori riportano al sistema di attuazione utilizzando la votazione 2-su-3 all'interno di ogni treno (tre misurazioni, due devono concordare per attuare una specifica funzione di sicurezza come ECCS).

Non sono la stessa cosa, & capire la differenza è importante.

Personale Minimo

Supervisione Umana: Lo Strato Che Pensa

Le operazioni della centrale nucleare richiedono personale con licenza in turno in ogni momento. NRC 10 CFR 50.54(m) stabilisce i requisiti minimi di personale. Al minimo, gli equipaggi operativi includono:

Operatore di Reattore (RO): con licenza NRC (10 CFR 55). Opera direttamente i comandi del reattore, la tavola principale di controllo e i sistemi di sicurezza. Deve essere ai comandi continuamente durante le operazioni a potenza.

Senior Reactor Operator (SRO): Licenza NRC superiore. Supervisiona l'RO. Ha autorità indipendente per avviare l'arresto. Esamina e approva le azioni dell'RO durante eventi anomali. Non può essere la stessa persona dell'RO in turno.

Shift Supervisor (SS): Senior con licenza SRO. Responsabile della conduzione complessiva delle operazioni e della sicurezza della centrale durante il turno. Autorità finale in sito per le operazioni della centrale.

Shift Technical Advisor (STA): Requisito post-TMI (NUREG-0737). Un ingegnere con licenza assegnato a ciascun turno specificamente per fornire supporto tecnico indipendente durante eventi anomali: non distratto dai comandi operativi, focalizzato interamente sulla diagnosi dell'evento.

Perché più persone? Difesa in profondità nel livello umano. Un RO sotto stress, focalizzato sull'esecuzione delle procedure, potrebbe perdere la visione d'insieme. L'SRO fornisce supervisione indipendente. L'STA fornisce analisi tecnica indipendente. Il supervisore di turno mantiene la consapevolezza situazionale. Nessun singolo fallimento cognitivo umano può impedire il controllo sicuro della centrale.

Strumenti di Performance Umana

Ridurre gli Errori Umani: Strumenti Sistematici

L'industria nucleare ha quantificato i tassi di errore umano per diversi tipi di compiti. I tassi di errore per il processo decisionale complesso sotto stress possono superare 1 su 10. L'industria mira a tassi di errore di 1 su 1.000 o meglio per i compiti critici: e li raggiunge attraverso strumenti sistematici di performance umana.

Briefing pre-compito: Prima di qualsiasi compito significativo, un briefing copre: obiettivo del compito, pericoli, condizioni attese, passi per verificare il completamento, condizioni di arresto (se X accade, fermati e chiama il supervisore). Dura 5-15 minuti. Riduce drasticamente gli errori di esecuzione del compito.

STAR (Stop, Think, Act, Review): Tecnica di auto-controllo per ogni azione critica. Stop: pausa prima dell'azione. Think: cosa sto per fare, ed è corretto? Act: esegui l'azione. Review: il risultato è quello che mi aspettavo? La pausa di due secondi cattura errori di trasposizione, selezioni di valvole sbagliate e scorciatoie cognitive.

Comunicazione a tre vie: Per tutti gli ordini verbali significativi per la sicurezza: (1) L'iniziatore enuncia l'ordine: 'Allinea la valvola HV-233 nella posizione aperta.' (2) Il ricevente ripete esattamente: 'Allinea la valvola HV-233 nella posizione aperta.' (3) L'iniziatore conferma: 'È corretto.' Un errore di comunicazione non rilevato in questo scambio è insolito: richiede che entrambe le parti fraintendano o ricordino male.

Integrità a due persone: Per determinate operazioni ad alto rischio (relative alla sicurezza, manipolazione di sorgenti), due individui autorizzati devono essere presenti e verificare reciprocamente le proprie azioni. Nessuna delle due persone può eseguire l’azione sensibile da sola: la seconda persona deve essere fisicamente presente e confermare ogni fase.

Gestione della fatica: Il NRC 10 CFR 26 stabilisce i limiti: massimo 16 ore di lavoro al giorno, minimo 8 ore di riposo prima di tornare in servizio, massimo 54 ore alla settimana, massimo 72 ore alla settimana in regime di straordinario. La fatica compromette il processo decisionale tanto quanto l’intossicazione: questi limiti non sono raccomandazioni di produttività, ma requisiti di sicurezza.

Procedure operative di emergenza

Prima di Three Mile Island (1979), gli impianti nucleari utilizzavano procedure di emergenza basate sugli eventi: se si verifica l’evento X, si esegue la procedura X. Gli operatori dovevano identificare correttamente l’evento prima di intervenire.

A TMI, gli operatori ricevettero indicazioni contraddittorie. Una valvola di sfiato della pressione era rimasta aperta: si trattava di una LOCA a piccola rottura: ma gli operatori identificarono erroneamente l'evento e seguirono la procedura sbagliata. Nel momento in cui fu fatta la diagnosi corretta, si era già verificato un danno significativo al nocciolo.

Dopo TMI, l'industria sviluppò procedure operative di emergenza basate sui sintomi (EOP). Invece di 'identifica evento, seleziona procedura', gli operatori seguono: 'osserva i sintomi, intraprendi azioni protettive per quei sintomi, indipendentemente da ciò che pensi sia l'evento.'

La condizione di ingresso chiave basata sui sintomi: qualsiasi cambiamento imprevisto nel livello, pressione o temperatura del refrigerante del reattore, indipendentemente dalla causa, attiva la stessa sequenza di verifica del raffreddamento del nocciolo.

ALARA: As Low As Reasonably Achievable

Ingegneria della Protezione dalle Radiazioni

ALARA: As Low As Reasonably Achievable: non è semplicemente un limite di dose. È una filosofia: la dose dovrebbe essere ridotta il più possibile in modo pratico, non solo mantenuta al di sotto dei limiti legali. La NRC impone ALARA come requisito regolatorio (10 CFR 20.1101), non solo come buona pratica.

Gestione della dose esterna: i tre controlli classici:

- Tempo: Ridurre a metà il tempo nel campo di radiazione, riduce a metà la dose. Sequenze di lavoro pre-pianificate minimizzano il tempo non necessario in aree ad alta dose.

- Distanza: Il tasso di dose segue la legge dell'inverso del quadrato. Raddoppia la tua distanza da una sorgente puntiforme, riduci a un quarto il tasso di dose. Lavorare a sei piedi invece di tre piedi riduce la dose del 75%.

- Schermatura: Piombo, cemento, acqua e polietilene attenuano diversi tipi di radiazioni. Lo Spessore di Mezzo Valore (HVL) è lo spessore che riduce l'intensità della metà. HVL del piombo per gamma tipiche: ~1 cm. HVL del cemento: ~6 cm. Dopo dieci HVL (10 TVL = Strato di Decimo Valore), l'intensità è ridotta a 1/1.000 dell'originale.

Gestione della dose interna:

- Il materiale radioattivo all'interno del corpo continua a irraggiare gli organi finché non decade o viene escreto

- Vie: inalazione (aerosol, gas), ingestione (cibo/acqua contaminati), assorbimento attraverso la pelle (raro)

- Concentrazione Aerea Derivata (DAC): la concentrazione aerotrasportata di un radionuclide che, se inalata per 2.000 ore/anno, eroga il limite di dose occupazionale. Maschere respiratorie e recinti a pressione negativa prevengono la dose da inalazione.

- Limite Annuale di Assunzione (ALI): totale assunzione (inalazione + ingestione) che eroga il limite di dose occupazionale

Limiti di dose occupazionale (10 CFR 20):

- 5 rem (50 mSv) all'anno equivalente totale di dose efficace

- 3 rem (30 mSv) per trimestre

- 15 rem (150 mSv) all'anno al cristallino dell'occhio

- 50 rem (500 mSv) all'anno alla pelle o agli arti

- Vincolo di dose per la pianificazione ALARA: 2 rem/anno (limiti amministrativi specifici dell'impianto spesso inferiori)

Controllo della contaminazione:

- Le Aree Controllate Radiologicamente (RCA) hanno accesso controllato, perquisizione all'uscita

- Tappeti step-off: carta o plastica alle uscite RCA; cambiare copri scarpe qui per evitare il trasporto della contaminazione

- Conta corporea totale: dopo il lavoro in aree con potenziale contaminazione interna, le conte gamma corporee totali rilevano l'assorbimento interno

- Programmi di bioassay: analisi di urine e feci quantificano la dose interna da isotopi specifici

ALARA in pratica

Un lavoratore addetto alle radiazioni deve sostituire una valvola in un'area ad alta radiazione. Il tasso di dose nel punto della valvola è di 500 mrem/ora. Il lavoro richiede 30 minuti per essere completato. La dose annuale del lavoratore fino ad oggi è di 1.200 mrem contro un limite amministrativo dell'impianto di 2.000 mrem/anno.

Utilizzando i principi ALARA e i tre controlli, valuta se questo lavoro può procedere e identifica almeno due azioni specifiche per ridurre la dose.

Three Mile Island (1979)

Three Mile Island Unità 2: 28 marzo 1979

TMI non è stato un fallimento di design: è stato un fallimento della difesa in profondità ai livelli umano e procedurale.

Cosa è successo:

- Un arresto del turbina ha causato un SCRAM del reattore (automatico: ha funzionato correttamente)

- Una valvola di sfiato di pressione (PORV) si aprì (corretto) ma rimase aperta (guasto dell'attrezzatura)

- Un indicatore della sala di controllo mostrava solo che la valvola aveva ricevuto un segnale di chiusura: non che fosse effettivamente chiusa

- Il refrigerante fuoriuscì attraverso la PORV rimasta aperta. Pressione e temperatura nel reattore diminuirono

- Gli operatori interpretarono erroneamente i sintomi come eccesso di refrigerante e ridussero l'iniezione di raffreddamento di emergenza: l'opposto di ciò che era necessario

- Per oltre due ore, il nucleo del reattore fu parzialmente scoperto

- Circa metà del nucleo si fuse

Cosa fece il contenitore: Resistette. Nonostante gravi danni al nucleo e accumulo di idrogeno all'interno del contenitore, la struttura di contenimento trattenne essenzialmente tutti i prodotti di fissione. Le conseguenze dosimetriche fuori sito furono minime: nessun effetto sulla salute pubblica da radiazioni.

Miglioramenti post-TMI (NUREG-0737):

- EOP basati sui sintomi (in sostituzione di quelli basati sugli eventi)

- Shift Technical Advisors in ogni turno

- Simulatori full-scope certificati NRC per l’addestramento degli equipaggi

- Strumentazione di monitoraggio post-incidente (PAM): indicatori diretti del raffreddamento del nocciolo, pannello di visualizzazione qualificato alimentato indipendentemente da AC

- Standard rivisti per la progettazione della sala controllo (NUREG-0700)

- Requisiti migliorati per l’esame di abilitazione degli operatori

Chernobyl (1986)

Unità 4 di Chernobyl: 26 aprile 1986

Chernobyl era diverso per natura da TMI: era principalmente una carenza di progettazione combinata con bypass deliberati dei sistemi di sicurezza.

Cosa è successo:

- Un test di stabilità di tensione richiedeva di far funzionare il reattore a bassa potenza (~200 MW, contro 3.200 MW nominali)

- A bassa potenza, il reattore RBMK aveva un coefficiente di vuoto positivo: le bolle di vapore nel refrigerante aumentavano la reattività

- Le barre di controllo avevano un difetto di progettazione: le punte in grafite spostavano l'acqua quando venivano inserite per prime, causando un iniziale aumento di reattività prima che la parte assorbente i neutroni entrasse nel nocciolo

- Il test è stato posticipato; l'equipaggio notturno non era addestrato per esso

- Diversi sistemi di sicurezza sono stati intenzionalmente disattivati per eseguire il test

- Premendo il pulsante di arresto di emergenza (AZ-5), le punte delle barre di grafite hanno causato un picco di reattività invece dello SCRAM previsto

- La potenza è schizzata a 30.000 MW in pochi secondi: circa 10 volte la potenza nominale

- Carburante e refrigerante sono evaporati in vapore, causando un'esplosione di vapore che ha distrutto il reattore

- L'incendio di grafite è bruciato per 10 giorni, disperdendo prodotti di fissione in tutta Europa

Nessuna contenzione: L'RBMK non aveva un edificio di contenimento completo. Il reattore si trovava in un grande edificio industriale senza capacità di trattenere la pressione. Quando il reattore è stato distrutto, non c'era nessuna barriera finale.

Modifiche post-Chernobyl:

- Modifiche al design RBMK: rimosso il coefficiente di vuoto positivo a bassa potenza, ridisegnati gli estremi delle barre, aggiunti assorbitori di neutroni aggiuntivi

- Convenzioni internazionali sulla sicurezza nucleare rafforzate

- Concetto di cultura della sicurezza nucleare formalizzato dall'IAEA (INSAG-7)

- Enfasi regolatoria occidentale sul contenimento come requisito non negoziabile

Tre Incidenti, Tre Lezioni

Ora conosci i tre principali incidenti nucleari civili: TMI (1979), Chernobyl (1986) e Fukushima (2011). Ognuno ha rivelato un diverso tipo di fallimento della difesa in profondità.

Quantificazione del Rischio

PRA: Dal concetto di "Abbastanza Sicuro" a "Quanto Sicuro?"

L'analisi deterministica di sicurezza afferma: progetta l'impianto per resistere a questi specifici incidenti. La Valutazione Probabilistica del Rischio (PRA) pone una domanda diversa: considerando tutti i modi in cui le cose potrebbero andare male, qual è la probabilità che ciò accada effettivamente?

Frequenza di danno al nocciolo (CDF): La probabilità che il nocciolo del reattore subisca danni significativi in un dato anno. Obiettivo di sicurezza NRC: CDF < 1×10⁻⁴ per anno-reattore (una volta ogni 10.000 anni-reattore). Gli impianti moderni raggiungono tipicamente CDF < 1×10⁻⁵ (una volta ogni 100.000 anni-reattore).

Frequenza di rilascio precoce e massiccio (LERF): La probabilità di un rilascio grande e precoce di radioattività nell'ambiente (prima che l'evacuazione possa essere completata). Obiettivo di sicurezza NRC: LERF < 1×10⁻⁵ per anno-reattore.

Alberi dei guasti: Diagrammi logici grafici che mostrano le combinazioni di guasti dei componenti che portano a un evento di cima definito (es. 'ECCS non riesce a fornire acqua al nocciolo'). Utilizzano porte AND (tutti devono guastarsi) e porte OR (un solo guasto sufficiente). Le porte AND riducono la probabilità (richiedono molteplici guasti simultanei). Le porte OR aumentano la probabilità.

Alberi degli eventi: Diagrammi grafici che partono da un evento iniziante (es. 'si verifica un LOCA con grande rottura') e tracciano le conseguenze a seconda del successo o del fallimento dei sistemi di sicurezza. Ogni ramo rappresenta il successo o il fallimento di una funzione di sicurezza. I nodi terminali sono sequenze di incidente: arresto sicuro, danno al nocciolo, rilascio elevato.

Misure di importanza: La PRA identifica quali componenti e sistemi contribuiscono maggiormente al rischio.

- Importanza Fussel-Vesely (FV): la frazione di CDF contribuita dai guasti di un componente. Alta FV = questo componente è molto importante.

- Risk Achievement Worth (RAW): quanto aumenta la CDF se si assume che questo componente sia guasto. Alto RAW = questo componente non deve essere fuori servizio per molto tempo.

RAW guida la pianificazione di manutenzione e test: componenti ad alto RAW ricevono test frequenti e tempi di indisponibilità consentiti brevi.

PRA e Programmazione della Manutenzione

Una centrale nucleare ha tre generatori diesel di emergenza (A, B, C). L'analisi PRA mostra:

- CDF con tutti e tre operativi: 2×10⁻⁵ all'anno

- CDF con diesel A fuori servizio per manutenzione: 8×10⁻⁵ all'anno (aumento di 4x)

- CDF con diesels A & B contemporaneamente fuori servizio: 4×10⁻³ all'anno (aumento di 200x)

Il team di manutenzione vuole mettere fuori servizio contemporaneamente i diesels A & B per una revisione maggiore della durata di 30 giorni.

Combustibile esaurito: l’obbligo a lungo termine

Combustibile Spento: Gestione Attiva & Passiva

Quando il combustibile viene rimosso da un reattore dopo 3-5 anni di funzionamento, è intensamente radioattivo e termicamente caldo a causa del calore di decadimento. Si applica la stessa curva del calore di decadimento: 7% della potenza nominale immediatamente, che diminuisce nel corso degli anni.

Piscine per combustibile spento (SFP): Subito dopo la rimozione, gli elementi di combustibile spento vengono collocati in una piscina per combustibile spento: una vasca piena d'acqua, tipicamente profonda 40 piedi, adiacente all'edificio del reattore. L'acqua svolge una duplice funzione: raffreddamento e schermatura (l'acqua sopra il combustibile assorbe la radiazione, permettendo ai lavoratori sul ponte della piscina di ricevere basse dosi).

Tempo minimo di raffreddamento in piscina prima del contenitore secco: Circa 5 anni per il combustibile PWR. Il combustibile deve raffreddarsi fino al punto in cui il raffreddamento passivo ad aria in un contenitore secco può gestire il calore di decadimento residuo senza acqua.

Rischio di incendio al Zircaloy: Se gli elementi di combustibile spento vengono scoperti (perdita dell'acqua della piscina), il rivestimento in zircaloy può ossidarsi in aria ad alte temperature. A differenza della reazione vapore-zircaloy che produce idrogeno, l'ossidazione aria-zircaloy a temperature rosso vivo può sostenere un incendio al zircaloy: una reazione esotermica auto-sostenuta. La piscina per combustibile spento dell'Unità 4 di Fukushima era a pochi giorni dal raggiungere temperature in cui ciò avrebbe potuto verificarsi.

Requisiti SFP post-Fukushima (Ordine NRC EA-12-051):

- Strumentazione affidabile per il livello e la temperatura dell'acqua SFP

- Capacità di aggiungere acqua di compensazione alla SFP da fonti diverse

- Strategie per mantenere o ripristinare il raffreddamento SFP in scenari di perdita di alimentazione prolungata

Stoccaggio in cassette a secco: Dopo 5+ anni in piscina, il combustibile viene trasferito in cassette a secco: canister d'acciaio saldato circondati da schermatura in cemento o polietilene ad alta densità. Il raffreddamento è interamente passivo: convezione naturale dell'aria attraverso le ventole nella struttura esterna. Nessuna alimentazione elettrica richiesta. Durata di vita di progetto: oltre 100 anni. Attualmente oltre 90.000 tonnellate metriche di metallo pesante in stoccaggio in cassette a secco solo negli USA.

Smaltimento dei rifiuti ad alta attività: Il combustibile esaurito è classificato come rifiuto nucleare ad alta attività. La legge statunitense (Nuclear Waste Policy Act) designa Yucca Mountain, Nevada come deposito permanente: tuttavia non è stato aperto a causa dell’opposizione politica. La NRC richiede che un deposito garantisca 10.000 anni di contenimento (standard EPA: 1 milione di anni per le dosi oltre i 10.000 anni). Lo smaltimento geologico profondo utilizza la formazione rocciosa stessa come barriera primaria, con barriere ingegnerizzate (vetrificazione in vetro, contenitori metallici, bentonite) come strati aggiuntivi.

Rifiuti a bassa attività (LLW): Indumenti contaminati, utensili, filtri, resine. Tre classi NRC:

- Classe A: attività più bassa, isotopi a vita più breve. Sepoltura superficiale, requisito di isolamento di 100 anni

- Classe B: attività moderata. Sepoltura superficiale con isolamento di 300 anni

- Classe C: attività più elevata, isotopi a vita più lunga. Richiede isolamento di 500 anni; smaltimento vicino alla superficie con maggiori barriere ingegnerizzate

Le tecniche di riduzione del volume (incenerimento, compattazione, fusione) sono obbligatorie per minimizzare lo spazio di smaltimento

Caso di sicurezza del serbatoio a secco

Un critico sostiene che lo stoccaggio in serbatoi a secco non è sicuro perché i serbatoi non hanno raffreddamento attivo, nessuna connessione elettrica e sono posizionati all'aperto su piattaforme di cemento. Un ingegnere nucleare risponde che i serbatoi a secco potrebbero in realtà essere più sicuri della piscina di combustibile esaurito.

Defense in Depth: Il Quadro Completo

Ingegneria della Sicurezza Nucleare: Una Disciplina dei Sistemi

Hai ora studiato ogni strato dell'ingegneria della sicurezza nucleare. Fai un passo indietro & osserva il sistema:

Barriere fisiche (matrice del combustibile, guaina, vessel di pressione, contenimento) sono passive: non richiedono alcuna azione per funzionare. Sono la fondazione.

Sistemi di sicurezza (ECCS, RPS, EDGs, DDAS) sono attivi con backup passivi (accumulatori, serbatoi a gravità, batterie). Ogni funzione ha tre treni indipendenti. Ogni treno è capace al 100%. Approcci attivi & passivi sono diversificati.

Strumentazione (RPS, ECCS actuation, PAM) monitora decine di parametri con logica di voto 2-of-4: resistente a scatti spuri e a guasti dei sensori che impedirebbero l'intervento.

Procedure (EOP basate sui sintomi) guidano gli operatori verso azioni protettive senza richiedere una diagnosi corretta. Post-TMI. Essenziali.

Fattori umani (staffing, formazione, strumenti di performance umana, limiti di fatica) riducono la probabilità che il livello umano fallisca. Requisito STA post-TMI. Addestramento su simulatore. Briefings pre-job. STAR. Comunicazione a tre vie.

Gestione e cultura della sicurezza assicurano che la sicurezza non venga sacrificata per l'efficienza. Post-Chernobyl INSAG-7. La lezione di Chernobyl è che i sistemi di sicurezza disabilitati dalla gestione sono sistemi di sicurezza che non esistono.

Regolamentazione (NRC 10 CFR 50, standard IAEA, ispezioni periodiche) fornisce una supervisione indipendente al livello più alto. Un regolatore che non ispeziona è un regolatore che non esiste.

I tre grandi incidenti hanno rivelato che la difesa in profondità fallisce non da un singolo fallimento drammatico, ma da una combinazione di piccoli fallimenti, assunzioni errate e margini inadeguati in più livelli contemporaneamente. Il caso di sicurezza è forte solo quanto la sua combinazione simultanea più debole.

Integrazione Finale

Domanda Finale: La Più Difficile

Un nuovo design di reattore proposto dichiara di essere così sicuro da richiedere solo un treno ECCS (non tre), nessun diesel di emergenza (solo raffreddamento passivo) e un modello di personale semplificato con due operatori per turno invece di quattro.

Il progettista sostiene: "Il raffreddamento passivo significa che non serve energia, quindi i diesel sono inutili. Il reattore non può fondere per fisica, quindi un organico semplificato è giustificato."