Ochrona przed zagrożeniami po awariach w elektrowniach jądrowych

Ochrona przed zagrożeniami po awariach w elektrowniach jądrowych

Artykuł zamieszczony pierwotnie w Biuletynie Miesięcznym PSE, 
wrzesień 2005, s. 10-27, Cykl: Energetyka atomowa 
autor: prof. dr inż. Andrzej Strupczewski

PGE

Skąd bierze się zagrożenie po awarii w elektrowni jądrowej? Czy elektrownia może wybuchnąć jak bomba atomowa? By lepiej móc to osądzić, przyjrzyjmy się skutkom reakcji rozszczepienia uranu – tym pożądanym, zapewniającym generację ciepła, i tym niepożądanym, choć nieodłącznym – powodującym zagrożenie radiacyjne.

1. Źródła zagrożenia w elektrowni jądrowej

W momencie rozszczepienia jądra uranu emitowane są dwa jądra lżejszych pierwiastków, zwanych produktami rozszczepienia – na przykład ksenon i stront, a także dwa lub trzy neutrony i promieniowanie gamma. Łączna energia wydzielana przy rozszczepieniu wynosi około 200 milionów elektronowoltów (200 MeV). Jądra produktów rozszczepienia oddalają się od siebie z ogromną prędkością, a energia ich wynosi łącznie około 160 MeV. Uderzają one o jądra innych pierwiastków znajdujących się w paliwie jądrowym i oddają im swoją energię kinetyczną, pobudzając je do ruchu, czyli powodując grzanie materiału paliwowego. Przy dużych gęstościach rozszczepień typowych dla reaktorów jądrowych w nowoczesnych EJ grzanie to jest bardzo intensywne i wynosi od 300 do 500 W na każdy centymetr długości pręta paliwowego.

Wydzielone przy tym ciepło przewodzone jest przez paliwo, uformowane w pastylki paliwowe, do otaczającej je osłony (koszulki) mającej postać rury (pręta) Stamtąd odbiera je woda chłodząca. Zestawy prętów paliwowych tworzą łącznie rdzeń reaktora, którego moc dla dużych elektrowni sięga 3500 MW cieplnych. Podgrzana w rdzeniu reaktora woda przepływa do wytwornic pary, gdzie oddaje ciepło wodzie obiegu wtórnego, utrzymywanej pod niższym ciśnieniem niż woda w obiegu pierwotnym. Woda obiegu wtórnego zamienia się w parę i płynie do turbiny, napędzającej wał generatora. W ten sposób energia odrzutu produktów rozszczepienia zostaje wykorzystana do wytwarzania prądu elektrycznego.

Jednakże już po oddaniu swej energii kinetycznej jądra owych produktów rozszczepienia w dalszym ciągu emitują energię wskutek rozpadów promieniotwórczych, przy których wydziela się promieniowanie alfa, beta i gamma. Jest to przyczyną tzw. grzania powyłączeniowego, które trwa nadal w paliwie nawet, gdy reaktor zostanie wyłączony i ustanie łańcuchowa reakcja rozszczepienia. Grzanie powyłączeniowe jest dużo mniejsze niż grzanie wskutek energii rozszczepienia, ale nawet ta energia rozpadu musi być odbierana od paliwa, jeśli ma ono być chronione przed przegrzaniem i stopieniem.

Wobec tego, że awarie łączą się zwykle z zakłóceniami w przypływie wody chłodzącej, a więc ze zmniejszonym odbiorem ciepła od paliwa, pierwszym zadaniem w razie awarii jest przerwać reakcję rozszczepienia, by zmniejszyć intensywność generacji energii i ułatwić odbiór ciepła od rdzenia. Zadanie to spełnia układ prętów silnie pochłaniających neutrony, które są wprowadzane do rdzenia reaktora i wychwytują neutrony zapobiegając w ten sposób ich zderzeniom z jądrami uranu i wygaszając reakcję łańcuchową. W reaktorach z moderatorem wodnym istnieje ponadto sprzężenie zwrotne, zapewniające obniżenie mocy reaktora, gdy tylko wystąpi podgrzew wody. Sprzężenia tego nie ma w reaktorach RBMK, które pracowały w kilku elektrowniach jądrowych w dawnym ZSRR, w tym także i w Czarnobylu. Było to zasadniczą przyczyną awarii czarnobylskiej, którą będziemy szczegółowo omawiać w następnym artykule. Tymczasem ograniczymy się do stwierdzenia, że w elektrowniach jądrowych (EJ) z reaktorami wodnymi stosunkowo łatwo można spełnić wymaganie wyłączenia reaktora w razie awarii. Natomiast problemem w reaktorach wszystkich typów jest zapewnienie niezawodnego odbioru ciepła od rdzenia już po wyłączeniu reaktora. Niezawodnego – bo układy bezpieczeństwa reaktora muszą zapewnić, że rdzeń będzie pokryty wodą i chłodzony pomimo wszelkich możliwych awarii, np. mimo braku zasilania elektrycznego z zewnątrz, uszkodzeń pomp, a nawet mimo możliwego rozerwania obiegu pierwotnego i utraty wody chłodzącej z reaktora.

Co stanie się przy braku chłodzenia? Czy nastąpi wybuch jak w bombie atomowej? Nie, do wybuchu jądrowego dojść nie może, ale w razie braku odbioru ciepła paliwo może ulec przegrzaniu i uszkodzeniu, a zawarte w nim produkty rozszczepienia wydzielą się poza koszulki paliwowe do chłodziwa.

Jak omawialiśmy w poprzednim artykule, w EJ istnieje układ kolejnych barier – materiał pastylek paliwowych, koszulki paliwowe, granica ciśnieniowa obiegu pierwotnego, obudowa bezpieczeństwa – powstrzymujących wydzielanie produktów rozszczepienia z rdzenia do środowiska. Awarie powodujące tylko przegrzanie paliwa bez uszkodzenia obiegu pierwotnego – np. na skutek utraty przepływu chłodziwa - powodują zniszczenie pierwszych dwóch barier, ale bariera trzecia i czwarta pozostają nienaruszone.

Najgroźniejsze są awarie z rozerwaniem obiegu pierwotnego, bo oznaczają one natychmiastową utratę trzeciej bariery i gwałtowny wypływ wody z obiegu. Woda pod ciśnieniem 15 MPa i o temperaturze około 330 oC po rozszczelnieniu obiegu gwałtownie rozpręża się do ciśnienia atmosferycznego i ulega odparowaniu. Prowadzi to do szybkiego opróżnienia obiegu pierwotnego a w szczególności do osuszenia rdzenia reaktora, w którym proces odparowywania wody jest najbardziej intensywny. Jeśli nie dostarczymy wody do rdzenia, nastąpi stopienie paliwa i otaczającej je koszulki, a więc utrata dwóch pierwszych barier. Jedyną ochroną pozostaje wówczas obudowa bezpieczeństwa. Dlatego projektanci reaktorów zapewniają wysokie zapasy bezpieczeństwa w projekcie obiegu pierwotnego i wykluczają wszelkie przewidywalne przyczyny jego uszkodzenia, a operatorzy kontrolują, czy nie uległ on w toku eksploatacji osłabieniu. Jednocześnie wyposaża się EJ w układy bezpieczeństwa mające z najwyższą niezawodnością zapewnić dostarczenie wody do rdzenia nawet w mało prawdopodobnym przypadku rozerwania obiegu pierwotnego.

Wymagana niezawodność jest bardzo wysoka – awaria jednocześnie takiej liczby układów bezpieczeństwa, że mogłoby dojść do uszkodzenia rdzenia powinna zdarzać się nie częściej niż raz na 100 tysięcy lat pracy reaktora. Sto tysięcy lat to okres dłuższy od całej historii ludzkości, ze wszystkimi wojnami, zniszczeniami miast i wsi, trzęsieniami ziemi, migracjami ludów ... Jak osiągnąć tak wysoką niezawodność układów bezpieczeństwa reaktora?

 

2. Zasady bezpieczeństwa jądrowego

Już od samego początku istnienia elektrowni jądrowych zdawano sobie sprawę z potencjalnych zagrożeń i podejmowano działania dla ochrony personelu i społeczeństwa przed skutkami możliwych awarii. Jako podstawowe założenie przyjęto, że ryzyko związane z energetyką jądrową powinno być mniejsze niż ryzyko związane z innymi metodami wytwarzania energii elektrycznej. Odstępstwo od tej zasady zdarzyło się, gdy w Związku Radzieckim zbudowano elektrownie jądrowe typu RBMK, bazowane na reaktorach przeznaczonych do celów wojskowych i charakteryzujące się wrodzonymi sprzężeniami zwrotnymi prowadzącymi do wzrostu ich mocy w sytuacjach awaryjnych. Twórcy tych elektrowni przerzucili na operatora odpowiedzialność za ich bezpieczeństwo, ale awaria w Czarnobylu udowodniła, że rozwiązanie takie jest nie do przyjęcia. Jedyną możliwą drogą dalszego rozwoju elektrowni jądrowych jest przyjęcie zasad filozofii bezpieczeństwa jądrowego, zapoczątkowanej w USA przed 50 laty i stale doskonalonej w krajach zachodnich budujących energetykę jądrowa.

 

2.1 Zasady ogólne przyjęte przez MAEA

Międzynarodowa Agencja Energii Atomowej (MAEA) sformułowała trzy zasadnicze cele w dziedzinie bezpieczeństwa jądrowego:

Ogólny cel bezpieczeństwa jądrowego

Chronić ludzi, społeczeństwo i środowisko przed szkodami przez utworzenie i utrzymywanie w instalacjach jądrowych skutecznej obrony przeciw zagrożeniom radiologicznym.

Cel ochrony radiologicznej

Zapewnić, że we wszystkich stanach eksploatacyjnych narażenie radiacyjne wewnątrz instalacji lub powodowane przez planowane uwolnienia materiałów radioaktywnych z instalacji utrzymywane jest poniżej wyznaczonych limitów i jest tak niskie, jak tylko jest to praktycznie rozsądne, oraz zapewnić ograniczanie (minimalizację) skutków radiologicznych wszelkich wypadków.

Cel bezpieczeństwa technicznego

Podjąć wszelkie praktycznie możliwe środki dla zapobiegania wypadkom w instalacjach jądrowych i ograniczania ich następstw, jeśli jednak do awarii dojdzie; zapewnić z wysokim poziomem ufności, że dla wszystkich możliwych awarii branych pod uwagę w projekcie instalacji, łącznie z tymi o bardzo małym prawdopodobieństwie, wszelkie skutki radiologiczne będą niewielkie i poniżej określonych limitów, a także zapewnić, że prawdopodobieństwo awarii z poważnymi skutkami radiologicznymi jest krańcowo małe.

Zasady bezpieczeństwa dla elektrowni jądrowych w części dotyczącej projektowania i budowy można podsumować następująco:

  • Projekt ma zapewnić, że instalacja jądrowa nadaje się do niezawodnej, stałej i łatwej eksploatacji, przy czym nadrzędnym celem jest zapobieganie wypadkom.
  • W projekcie trzeba stosować zasadę głębokiej obrony, z szeregiem poziomów obrony i z wielokrotnymi barierami zabezpieczającymi przed uwalnianiem materiałów radioaktywnych. Trzeba też tak projektować instalację, by prawdopodobieństwo wystąpienia uszkodzeń lub kombinacji uszkodzeń mogących prowadzić do poważnych konsekwencji było bardzo małe.
  • Rozwiązania techniczne stosowane w projekcie winny być uprzednio sprawdzone w pracy innych obiektów lub poprzez doświadczenia.
  • Na wszystkich etapach projektowania i przygotowania eksploatacji trzeba uwzględniać problemy współpracy człowieka z maszyną i możliwość błędu człowieka.
  • Projekt musi zapewnić, że narażenie na promieniowanie personelu instalacji i możliwość uwolnienia materiałów radioaktywnych do otoczenia są tak małe jak jest to rozsądnie osiągalne.
  • Zanim właściciel elektrowni złoży wniosek o dopuszczenie do budowy instalacji, należy przeprowadzić pełną analizę bezpieczeństwa elektrowni i jej niezależną weryfikację by upewnić się, że projekt instalacji spełni wymagania bezpieczeństwa.

Na tej podstawie organy nadzoru w różnych krajach ustanowiły swe kryteria bezpieczeństwa lub zaakceptowały kryteria bezpieczeństwa proponowane przez organizacje starające się o zezwolenie na budowę. Przedstawione powyżej zasady są uznawane za obowiązujące przy analizie bezpieczeństwa elektrowni jądrowych nie tylko w krajach zachodnich, ale także na całym świecie.

 

2.2 Zasada głębokiej obrony

Zasadą głębokiej obrony jest zapewnienie kompensacji możliwych awarii urządzeń i błędów ludzkich. Przy tworzeniu systemu głębokiej obrony uznaje się, że nie można w pełni ufać żadnemu pojedynczemu elementowi wynikającemu z projektu, konserwacji lub eksploatacji elektrowni jądrowej. Głęboka obrona zapewnia rezerwowanie układów z "aktywnymi" systemami bezpieczeństwa, tak by w razie uszkodzenia jednego podukładu istniały inne, mogące wypełnić potrzebne funkcje bezpieczeństwa. Ale głęboka obrona nie ogranicza się do budowy dodatkowych układów wzajemnie się rezerwujących. Obejmuje ona pięć poziomów zabezpieczeń. Są to:

  • Poziom pierwszy: Projekt zapewniający duże zapasy bezpieczeństwa, właściwy dobór materiałów, zapewnienie jakości w fazie projektowania, budowy i eksploatacji, kultura bezpieczeństwa, to jest uznanie przez wszystkich zainteresowanych, że bezpieczeństwo jądrowe jest sprawą nadrzędną, ważniejszą niż wytwarzanie energii elektrycznej.
  • Poziom drugi: Kontrola odchyleń od normalnej eksploatacji i wykrywanie uszkodzeń, zapewnienie środków do opanowania skutków uszkodzeń w układach EJ przez normalne systemy elektrowni, takie jak układ redukcji mocy i normalnego wyłączenia reaktora lub układ uzupełniania wody w obiegu pierwotnym. Automatyka regulująca parametry pracy EJ, instrukcje i procedury eksploatacyjne zapewniające prawidłowe działania operatora w przypadku odchyleń od stanu nominalnego.
  • Poziom trzeci: Systemy zabezpieczeń (np. układ awaryjnego wyłączenia reaktora) i systemy bezpieczeństwa takie jak układ awaryjnego chłodzenia rdzenia z automatyką zapewniającą ich samoczynne zadziałanie w razie awarii, bez potrzeby interwencji operatora. Obudowa bezpieczeństwa chroniąca przed uwolnieniem substancji promieniotwórczych do otoczenia. Procedury postępowania operatora w razie awarii.
  • Poziom czwarty: Układy i działania zmierzające do opanowania awarii i minimalizacji jej skutków, a np. kontrolowane usuwanie gazów z wnętrza obudowy bezpieczeństwa przez układy filtrów, aby uchronić obudowę przed rozerwaniem wskutek nadmiernego ciśnienia gazów. Takie działanie może być podejmowane przez operatora w skrajnie nieprawdopodobnym przypadku całkowitego braku odbioru ciepła z obudowy bezpieczeństwa i ciągłego wzrostu temperatury i ciśnienia gazów nagromadzonych w niej po awarii. Wobec tego, że we wszystkich przypadkach awarii rozpatrywanych w projekcie EJ chłodzenie obudowy bezpieczeństwa jest zapewnione, do takiego działania doszłoby tylko w przypadku nagromadzenia wielu jednoczesnych uszkodzeń układów i błędów człowieka, a więc w razie hipotetycznych awarii wykraczających poza ramy wydarzeń przewidzianych w projekcie, tzw. awarii poza projektowych.
  • Poziom piąty: Działania poza terenem elektrowni dla zmniejszenia narażenia ludności, takie jak podanie pastylek jodu obojętnego, zalecenie pozostania w domach lub czasowe wstrzymanie wypasu bydła w razie skażenia pastwisk. W przypadku awarii czarnobylskiej doszło nawet do ewakuacji dużej liczby mieszkańców okolic elektrowni, ale awaria ta nie jest reprezentatywna dla elektrowni innych typów, i jak wykażemy w następnym artykule nie mogłaby wystąpić w reaktorach wodnych jakie będziemy budować w Polsce.

Naturalne cechy bezpieczeństwa EJ i ich układy bezpieczeństwa przeznaczone do powstrzymania rozwoju awarii są stale doskonalone i reaktory budowane w kolejnych dziesięcioleciach były coraz bezpieczniejsze. Obecnie duży nacisk kładzie się na takie projektowanie reaktorów, by miały one wbudowane cechy bezpieczeństwa oparte na działaniu zjawisk naturalnych, takich jak siła ciężkości czy prawa konwekcji naturalnej. Przykłady takich środków bezpieczeństwa przedstawione są poniżej.

 

3. Konstrukcja EJ zapewniająca bezpieczeństwo jądrowe

3.1 Naturalne cechy bezpieczeństwa i pasywne układy bezpieczeństwa

3.1.1. Naturalne sprzężenie zwrotne regulujące moc reaktora

Zmiany w spowalnianiu neutronów po częściowym odparowaniu wody w reaktorze PWRProjekt elektrowni jądrowej obejmuje szereg cech i układów opartych na wykorzystaniu praw natury, takich jak siła ciężkości, które spełniają funkcje kontroli i zabezpieczeń samorzutnie, bez doprowadzenia energii z zewnątrz. Najważniejszą z nich jest stabilność wewnętrzna reaktorów chłodzonych i moderowanych wodą, do których należą reaktory PWR i BWR dominujące obecnie w energetyce jądrowej na całym świecie. Stabilność tę zawdzięczamy temu, że powstające po rozszczepieniu neutrony poruszają się z ogromnymi prędkościami (neutrony prędkie), a do rozszczepienia uranu potrzebne są neutrony poruszające się powoli, tzw. neutrony termiczne. Do spowolnienia neutronów wykorzystujemy wodę, która w technice reaktorowej nazywana jest „moderatorem”. Zderzając się z jądrami wodoru neutrony prędkie tracą swą energię kinetyczną i po wielu zderzeniach stają się neutronami termicznymi. Im więcej jest wody, tym szybciej neutrony spowalniają się i stają się zdolne do wywołania rozszczepienia jąder uranu. Jednakże z drugiej strony pewna mała część neutronów przy zderzeniu z wodorem ulega pochłanianiu, dlatego wody w reaktorze nie może być za dużo.

Rys. 1. Zmiany w spowalnianiu neutronów po częściowym odparowaniu wody w reaktorze PWR

Dlatego ilości wody i paliwa są starannie obliczane i dobierane tak, by przy normalnej temperaturze pracy zapewniały one najbardziej skuteczne spowalnianie neutronów i najwyższą wydajność reakcji rozszczepienia. Gdy wskutek podgrzania wody lub tym bardziej wskutek jej odparowania ilość wody w rdzeniu zmaleje, neutrony będą gorzej spowalniane i zamiast uderzać w jądra uranu, będą wydostawały się poza rdzeń ulegając pochłanianiu w otaczających go materiałach konstrukcyjnych jak pokazano na rys. 1. Spowoduje to zmniejszenie liczby rozszczepień w rdzeniu i samorzutne wygaszenie reakcji łańcuchowej rozszczepienia. Jest to bardzo ważna cecha zapewniająca stabilność pracy reaktorów PWR. Tej stabilności brakowało reaktorowi w Czarnobylu.

 

3.1.2 Układ wyłączenia reaktora oparty na działaniu siły ciążenia

Przykład wykorzystania sił naturalnych – układ wyłączenia awaryjnego reaktoraNastępnym elementem opartym na działaniu sił naturalnych jest układ zabezpieczeń. Jego elementami wykonawczymi są pręty pochłaniające neutrony. W czasie normalnej pracy reaktora pręty pochłaniające neutrony wiszą nad rdzeniem i są utrzymywane w górnym położeniu przez elektromagnesy, jak widać na rys. 2. Gdy tylko wystąpi zanik zasilania elektrycznego, lub układ zabezpieczeń przekaże sygnał awarii, napięcie w elektromagnesach zniknie i pręty samoczynnie spadną do rdzenia pod działaniem siły ciężkości, wyłączając reaktor.

Rys. 2 Przykład wykorzystania sił naturalnych – układ wyłączenia awaryjnego reaktora. Siła ciężkości powoduje spadek do rdzenia prętów pochłaniających neutrony, gdy tylko zniknie napięcie w cewce elektromagnesu utrzymującego je w położeniu górnym. Każda awaria, która spowoduje utratę zasilania elektrycznego, spowoduje jednocześnie samoczynnie wyłączenie awaryjne reaktora.

A – normalne położenie prętów nad rdzeniem podczas pracy reaktora, B – awaryjny zanik napięcia na cewce elektromagnesu – pręty bezpieczeństwa spadają do rdzenia i gaszą reakcję łańcuchową.

 

 

 

 

 

 

3.1.3 Zalanie rdzenia wodą chłodzącą w razie rozerwania obiegu pierwotnego

W razie awarii rozerwania obiegu pierwotnego woda chłodząca wypływa i rdzeń reaktora odkrywa się. Gdyby pręty paliwowe pozostały bez chłodzenia, temperatura paliwa wzrosłaby i paliwo uległoby stopieniu. Dlatego po wyłączeniu reaktora pierwszym zadaniem układów bezpieczeństwa jest wtryśnięcie do reaktora wody chłodzącej tak by rdzeń pozostał pod powierzchnią wody.

Układ zalewania rdzenia wykorzystujący różnice ciśnieniaW obecnie pracujących reaktorach typowo znajdują się aktywne i pasywne układy awaryjnego chłodzenia rdzenia. Układy aktywne zawierają trzy lub cztery równoległe podukłady ze zbiornikami chłodziwa, pompami, i zaworami, zaprojektowane tak by tylko jeden z kilku równolegle pracujących podukładów wystarczał do zalania rdzenia wodą i skutecznego chłodzenia. Obok nich są układy pasywne, a więc takie, które mogą pracować bez doprowadzenia energii z zewnątrz. Na rys. 3 pokazano przykład takiego układu pasywnego.

Rys. 3. Układ zalewania rdzenia wykorzystujący różnice ciśnienia. Działanie oparte na naturalnych prawach fizyki. Zbiorniki hydroakumulatorów pod ciśnieniem P1 są odcięte od rdzenia zaworem zwrotnym, który jest zamknięty tak długo, jak długo ciśnienie w obiegu pierwotnym Po jest wyższe od ciśnienia P1. Gdy wskutek awarii ciśnienie w obiegu pierwotnym spadnie, zawory zwrotne otworzą się i woda z hydroakumulatorów popłynie do rdzenia. Zalanie rdzenia wodą z hydroakumulatorów nie wymaga żadnych dodatkowych źródeł energii, dlatego układ ten nazywa się pasywnym układem bezpieczeństwa.

 

 

 

3.1.4 Odbiór ciepła od rdzenia w stanach awaryjnych na drodze konwekcji naturalnej

Ciepło powyłączeniowe wytwarza się w rdzeniu, zaś miejscem odbioru ciepła są wytwornice pary, w których po stronie wtórnej znajduje się chłodniejsza woda obiegu wtórnego. Jeśli wskutek awarii nastąpi wyłączenie pomp obiegu pierwotnego, woda w rdzeniu będzie odparowywać, ale przy braku przepływu chłodziwa para mogłaby gromadzić się w zbiorniku reaktora nad rdzeniem i stopniowo wypychać wodę z rdzenia. Mogłoby to spowodować odsłonięcie rdzenia i uszkodzenie paliwa. Aby temu zapobiec, projektanci reaktorów rozmieszczają elementy obiegu pierwotnego tak, by rdzeń reaktora znajdował się znacznie niżej niż wytwornice pary, co zapewnia przepływ chłodziwa z rdzenia do wytwornic w układzie konwekcji naturalnej. Taki układ obiegu pierwotnego pokazano na rys. 4

Schemat konwekcji naturalnej w obiegu pierwotnym chłodzenia rdzenia reaktora WWERRys. 4. Schemat konwekcji naturalnej w obiegu pierwotnym chłodzenia rdzenia reaktora WWER. Dzięki położeniu wytwornicy pary znacznie wyżej niż rdzeń, różnica gęstości wody wystarcza do trzymania cyrkulacji naturalnej po wyłączeniu reaktora.

R – rdzeń reaktora, z dolną komorą mieszania, elementami paliwowymi i wypływem wody do wytwornicy pary przez gorącą gałąź obiegu pierwotnego, WP - wytwornica pary o układzie poziomym z rurami odprowadzania pary, P- pompa obiegu pierwotnego

 

 

 

 

 

 

3.1.5 Układy pasywne działające w razie utraty zasilania elektrycznego.

W przypadku utraty zasilania elektrycznego z sieci energetycznej, elektrownia jądrowa może uzyskać energię elektryczną z własnych awaryjnych generatorów napędzanych silnikami Diesla o wysokiej niezawodności. Gdyby jednak zdarzyło się, że i te generatory zawiodą, i że brak zasilania elektrycznego będzie trwał przez szereg dni, aktywne układy odbioru ciepła byłyby pozbawione zasilania i nie mogłyby spełniać swych funkcji. Przypadek taki jest skrajnie nieprawdopodobny, tym bardziej, że w wielu przypadkach stosuje się bezpośrednie łączenie EJ z pobliską hydroelektrownią, która może zacząć dostarczanie energii elektrycznej po krótkim czasie.

Jednakże w ramach rozpatrywania awarii hipotetycznych uwzględnia się i taką możliwość. Wobec tego, że po utracie zasilania elektrycznego ze wszystkich źródeł mogłoby dojść do stopienia rdzenia, przetopienia zbiornika reaktora i wydostania się stopionych materiałów paliwowych i konstrukcyjnych poza zbiornik do wnętrza obudowy bezpieczeństwa, obecnie budowane elektrowni są wyposażane w układy pozwalające opanować skutki nawet tak mało prawdopodobnej ciężkiej awarii. Jednym z efektów przegrzania rdzenia jest duża generacja wodoru, który w razie gwałtownego połączenia z tlenem grozi nagłym wzrostem ciśnienia w obudowie i rozerwaniem powłoki obudowy bezpieczeństwa. Aby do tego nie dopuścić, wewnątrz obudowy instaluje się urządzenia do katalitycznej rekombinacji wodoru, zapewniające stopniowe łączenie wodoru z tlenem bez skoków ciśnienia. Urządzenia te nie potrzebują dopływu energii z zewnątrz i zapewniają usuwanie wodoru z atmosfery przy stężeniach niższych od stężeń powodujących zagrożenie wybuchem. Stosowane są także pasywne układy odprowadzania ciepła z obudowy bezpieczeństwa. Ogólną tendencją w reaktorach najnowszego typu jest wprowadzanie jak największej liczby układów pasywnych, które nie wymagają ani układu sygnalizacji by zapoczątkować ich działanie, ani dopływu energii z zewnątrz, ani działania operatora.

 

3.2. Zasady projektowania stosowane do układów bezpieczeństwa

3.2.1 Odporność na pojedyncze uszkodzenie

Kiedy nie można zrealizować pewnych funkcji bezpieczeństwa przy pomocy układów pasywnych, stosuje się aktywne układy bezpieczeństwa o wysokiej niezawodności. Układy te projektuje się tak, aby mogły wypełniać swoje funkcje również wtedy, gdy wskutek nieprzewidzianych wydarzeń jeden z ich elementów zostanie uszkodzony. Dlatego elementy ich są z zasady rezerwowane, przy czym w większości elektrowni istnieją trzy, a w nowoczesnych elektrowniach cztery podsystemy równoległe, z których każdy wystarcza do wypełnienia przewidzianych funkcji bezpieczeństwa. Na rys. 5 przedstawiono układ awaryjnego chłodzenia rdzenia UACR w EJ z reaktorem z wodą pod ciśnieniem, w którym pracują równolegle trzy podsystemy, podczas gdy jeden z nich wystarcza do wypełnienia wszystkich zadań systemu.

Ilustracja rezerwowania z nadmiarem układów bezpieczeństwa, pokazana na przykładzie aktywnego układu awaryjnego chłodzenia rdzenia (UACR)
Rys. 5 Ilustracja rezerwowania z nadmiarem układów bezpieczeństwa, pokazana na przykładzie aktywnego układu awaryjnego chłodzenia rdzenia (UACR).

A – obszar wewnątrz obudowy bezpieczeństwa, B – obszar poza obudową bezpieczeństwa, 1 – zbiornik UACR, 2 – pompa niskociśnieniowa UACR, 3 – zawór zwrotny, 4 – miska ściekowa, 5 – wymiennik ciepła, w którym ciepło powyłączeniowe przejmowane przez UACR jest przekazywane do układu wody technicznej, 6 – zbiornik UACR o wysokim stężeniu kwasu borowego, 7 – pompa wysokociśnieniowa UACR, 8 – ściana obudowy bezpieczeństwa.

Pozostałe dwa podsystemy stanowią rezerwę. Oznacza to, że w przypadku awarii np. rozerwania rurociągu obiegu pierwotnego, której towarzyszy pojedyncze uszkodzenie powodujące np. utratę jednej linii zasilania awaryjnego, nawet gdy założymy, że rozerwanie nastąpiło w takim miejscu, że cały wydatek z jednej z pozostałych pomp płynie do miejsca rozerwania i jest w ten sposób tracony, praca pozostałego trzeciego podukładu jest wystarczająca do zapewnienia bezpieczeństwa reaktora. W nowoczesnych reaktorach z czterema podsystemami równoległymi można w czasie pracy reaktora prowadzić prace remontowe w jednym z podukładów, a pozostałe trzy wystarczają zgodnie z przedstawionym powyżej rozumowaniem do zapewnienia bezpieczeństwa reaktora.

Dla zwiększenia bezpieczeństwa, układy bezpieczeństwa projektuje się w miarę możliwości tak, aby w razie awarii przyjmowały położenie bezpieczne (np. utrata zasilania elektrycznego powoduje zrzut prętów bezpieczeństwa do rdzenia reaktora).

 

3.2.2 Różnorodność

Istnienie dwóch lub więcej elementów zapewniających wzajemne rezerwowanie zabezpiecza przed pojedynczą awarią jednego z tych elementów, ale nie daje gwarancji, że cały układ nie zawiedzie z powodu wspólnej przyczyny, nieznanej w chwili projektowania reaktora albo uznanej ze nieprawdopodobną. Aby uchronić się przed utratą funkcji bezpieczeństwa z powodu wspólnej przyczyny, wzajemnie się rezerwujące podukłady systemów bezpieczeństwa są, o ile to możliwe, wykonywane z różnych elementów, tak by jedna przyczyna awarii nie spowodowała jednoczesnej utraty wszystkich podsystemów bezpieczeństwa. Przykład takiego układu służącego do napędu pomp wody zasilającej wytwornice pary po stronie obiegu wtórnego pokazany jest na rys. 6

Przykład różnorodnego napędu pomp awaryjnego układu zasilania wytwornic paryRys. 6 Przykład różnorodnego napędu pomp awaryjnego układu zasilania wytwornic pary. Dwie pompy są napędzane silnikami elektrycznymi, a dwie turbinami parowymi

Innym przykładem jest układ zabezpieczeń reaktora, pokazany na rys. 7. Wyłączenie reaktora następuje, gdy temperatura w obiegu pierwotnym przekroczy wartość dopuszczalną Tmax. Aby nie powodować wyłączenia reaktora przy każdym uszkodzeniu miernika temperatury przyjęto, że mierzy się sygnały z trzech mierników i gdy dwa z nich pokażą przekroczenie, układ zabezpieczeń przekazuje sygnał wyłączenia reaktora. Aby jednak chronić się przed możliwością błędu wskazań temperatury, powodowanego jakąś nieznaną w chwili projektowania przyczyną, równolegle podłączony jest układ pomiarów ciśnienia, również działający na zasadzie „dwa z trzech”. Wskazania przekroczenia temperatury lub ciśnienia wystarczają do wyłączenia reaktora. W ten sposób zapewniona jest różnorodność w układzie. Nawet, jeśli wskutek jakiejś przyczyny wszystkie pomiary temperatury zawiodą, przyczyna ta nie może spowodować jednocześnie błędnych wskazań ciśnienia, opartych na zupełnie innej zasadzie pomiarowej. Zabezpiecza to przed uszkodzeniem kilku układów naraz spowodowanym wspólną przyczyną.

Układ zabezpieczeń reaktora
Rys. 7 Układ zabezpieczeń reaktora jest zbudowany na zasadzie redundancji i głosowania 2/3, oraz różnorodności polegającej na tym, że zarówno sygnały ciśnienia P jak i temperatury T powodują wytworzenie sygnału awaryjnego wyłączenia reaktora.

T1, T2, T3 – temperatury chłodziwa, p1, p2, p3 – ciśnienie w stabilizatorze, Tmax, po wartości progowe, AZ – sygnał awaryjnego wyłączenia reaktora [1]

 

3.2.3 Rozdzielenie przestrzenne

Układy bezpieczeństwa są rozdzielone przestrzennie, tak by np. pożar nie spowodował jednoczesnej utraty dwóch lub więcej podsystemów. W nowoczesnych EJ każdy z czterech podsystemów układów bezpieczeństwa znajduje się w innej części budynku reaktora, oddzielonej przestrzennie od pozostałych. W tej sytuacji nawet uderzenie samolotu nie może spowodować utraty więcej niż jednego z nich. Kable sterowania i kable energetyczne układów bezpieczeństwa prowadzone są oddzielnie od kabli układów nie spełniających funkcji bezpieczeństwa, a ponadto kable sterowania są umieszczone w kanałach oddzielonych od kanałów kabli energetycznych

 

3.2.4 Odporność na pożar, zalanie wodą, wstrząsy sejsmiczne i warunki otoczenia

Jednakże ani rezerwowanie ani różnorodność elementów ważnych dla bezpieczeństwa nie wystarczyłyby, gdyby elementy te nie były odporne na wstrząsy sejsmiczne i przewidywane w czasie ich pracy warunki temperatury, ciśnienia i wilgotności. Szczególne zagrożenie stanowią pożary, mogące spowodować utratę wielu elementów bezpieczeństwa znajdujących się w zasięgu ognia. Dlatego przy projektowaniu układów ważnych dla bezpieczeństwa EJ analizuje się możliwość wystąpienia pożaru w pomieszczeniach gdzie znajdują się te układy i wprowadza się zabezpieczenia wykluczające lub zmniejszające możliwość pożaru, takie jak np. zastąpienie smarowania łożysk pomp olejem przez smarowanie wodą. W przypadkach, gdy ogień jest jednak możliwy, analizuje się jego zasięg i czas trwania i zapewnia środki przeciwdziałające rozprzestrzenianiu pożaru, układy wykrywania i gaszenia ognia. W EJ obowiązuje wykonanie systematycznej analizy pożarowej dla wszystkich pomieszczeń i wprowadzenie wszelkich potrzebnych zabezpieczeń z modyfikacjami budowlanymi projektu włącznie.

Podobne prace wykonuje się dla zagrożenia zalania wodą. Jeśli możliwość zalania urządzeń ważnych dla bezpieczeństwa istnieje, wówczas urządzenia te muszą być wykonane w postaci wodoodpornej. Urządzenia znajdujące się wewnątrz obudowy bezpieczeństwa, gdzie dla obniżania ciśnienia pary po możliwej awarii rozerwania obiegu pierwotnego stosuje się układ zraszania wodą, muszą być odporne na działanie pary i wody pod ciśnieniem odpowiadającym maksymalnym ciśnieniom występującym podczas awarii.

Wszystkie układy ważne dla bezpieczeństwa muszą być odporne na maksymalne wstrząsy sejsmiczne, jakie mogą wystąpić w danej elektrowni. Dla określenia intensywności tych wstrząsów znajduje się najsilniejsze trzęsienie ziemi, jakie historycznie zaobserwowano w danej okolicy, przyjmuje się, że jego epicentrum może znaleźć się pod samą elektrownią, a następnie powiększa się jego wartość o ustalony współczynnik by zapewnić odpowiedni margines bezpieczeństwa. Tak określone trzęsienie ziemi, przy którym musi być zapewniona praca wszystkich układów bezpieczeństwa potrzebnych do wyłączenia reaktora i jego bezpiecznego ochłodzenia, odpowiada w przybliżeniu intensywności wstrząsów sejsmicznych występujących raz na 10 000 lat.

Urządzenia układów ważnych dla bezpieczeństwa muszą być także odporne na wszelkie inne zagrożenia mogące zaistnieć w czasie ich pracy, np. napędy zaworów znajdujących się wewnątrz obudowy bezpieczeństwa muszą być odporne na działanie strumienia pary z rozerwanego rurociągu, o ile taki rurociąg znajduje się w ich sąsiedztwie. Przed zainstalowaniem w EJ urządzeń ważnych dla bezpieczeństwa sprawdza się szczegółowo ich odporność na obciążenia (np. na wstrząsy sejsmiczne) i na parametry otoczenia odpowiadające warunkom awaryjnym, przy czym bada się także wpływ starzenia się urządzeń w toku eksploatacji, z symulacją występujących w toku eksploatacji drgań, zmian temperatury, działania promieniowania i czynników chemicznych itd. Jest to proces tzw. kwalifikacji urządzeń na warunki awaryjne, kosztowny i czasochłonny, ale konieczny by mieć pewność, że układy bezpieczeństwa wypełnią swe funkcje w przypadku awarii.

 

3.3 System barier chroniących przed rozprzestrzenianiem produktów rozszczepienia w razie awarii

Zgodnie z opisem podanym w poprzednim artykule system ten składa się czterech kolejnych barier, a mianowicie materiału paliwowego, koszulki elementu paliwowego, granicy ciśnieniowej obiegu pierwotnego, obudowy bezpieczeństwa. System barier pomyślany jest tak, aby w razie dowolnej awarii jednej z barier układy bezpieczeństwa chroniły pozostałe bariery przed zniszczeniem. W razie maksymalnej awarii projektowej, powodującej rozerwanie obiegu pierwotnego i - w przypadku jednoczesnego uszkodzenia wszystkich układów bezpieczeństwa - uszkodzenie paliwa, elektrownia pozostaje chroniona przez obudowę bezpieczeństwa, stanowiącą czwartą i najpotężniejszą barierę bezpieczeństwa. Obudowy bezpieczeństwa budowano w USA od samego początku rozwoju energetyki jądrowej, to jest od połowy lat 50-tych. Brak obudowy bezpieczeństwa w reaktorach RBMK jest – obok niestabilności ich mocy – podstawową różnicą w stosunku do reaktorów PWR i BWR budowanych na całym świecie. Przykładowy schemat obudowy bezpieczeństwa pokazany jest na rys. 8

Obudowa bezpieczeństwa reaktora PWR
Rys. 8 Obudowa bezpieczeństwa reaktora PWR.

1 - rdzeń, 2- zbiornik ciśnieniowy reaktora, 3 - wytwornica pary, 4 - pompa obiegu pierwotnego, 5 - studzienka ściekowa obudowy bezpieczeństwa, 6 - zbiornik wody awaryjnego układu zasilającego wytwornic pary AUZWP, 7 - pompa AUZWP, 8 - wymiennik ciepła układu zraszania obudowy bezpieczeństwa, 9 - dysze rozpryskowe układu zraszania obudowy bezpieczeństwa, 10 - ściana betonowa obudowy bezpieczeństwa, 11 - wykładzina stalowa obudowy bezpieczeństwa, 12 – odprowadzenie gazu z przestrzeni między powłokami, 13 – filtr, 14 – komin wentylacyjny

W warunkach po awarii w obiegu pierwotnym reaktora z wypływem wody chłodzącej do wnętrza obudowy bezpieczeństwa ciśnienie wewnątrz obudowy rośnie, a w miarę wydzielania ciepła powyłączeniowego rośnie też temperatura. Aby odebrać ciepło powyłączeniowe i obniżyć ciśnienie uruchamiany jest układ zraszania wnętrza obudowy zimną wodą wtryskiwaną przez zestaw dysz rozpryskowych umieszczonych pod kopułą obudowy. Układ ten pobiera początkowo wodę ze zbiorników, ale na dłuższą metę działa na zasadzie recyrkulacji to jest pobiera wodę z miski ściekowej obudowy bezpieczeństwa i wtryskuje ją ponownie pod kopułą obudowy. Układ ten jest układem bezpieczeństwa, to znaczy ma niezawodne zasilanie elektryczne, trzy lub cztery podukłady, z których jeden wystarcza do skutecznej pracy, jest zaprojektowany tak by był odporny na pojedyncze uszkodzenie, wstrząsy sejsmiczne, warunki środowiska itd. W analizach niezawodności układu zraszania uwzględnia się proces starzenia, w szczególności zmiany zachodzące w elementach izolacji obiegów reaktora. Doświadczenie wykazało, że pod wpływem promieniowania i cykli termicznych izolacja cieplna zmienia swe własności, stwarzając zagrożenie zatkania filtrów w liniach recyrkulacji prowadzących do pomp układu zraszania i w następstwie utraty przepływu wody przez układ. Po modyfikacjach układu filtrów na wlocie do rur ssących układu recyrkulacji niebezpieczeństwo to zostało wyeliminowane w pracujących obecnie EJ, a w nowych EJ projekty uwzględniają potrzebne zabezpieczenia od początku opracowywania projektu.

Analizy odporności obudowy bezpieczeństwa w nowoczesnych EJ potwierdziły, że z jednej strony mogą one przetrzymać uderzenie samolotu bez utraty szczelności, a z drugiej strony, nawet w razie poważnej awarii ze stopieniem rdzenia, powstrzymują skutecznie uwolnienia produktów rozszczepienia.

W najnowszej EJ z reaktorem EPR zaprojektowanym wspólnie przez ekspertów francuskich i niemieckich obudowa wykonana jest w postaci dwóch powłok pierścieniowych z betonu zbrojonego o grubości 1,2 m każda. Wytrzymują one ciśnienie 5,1 MPa, to jest ciśnienie większe niż maksymalne ciśnienie występujące po najcięższych awariach reaktora EPR. Przecieki gazów przez tę obudowę przy maksymalnym nadciśnieniu wynoszą 0,5% objętości obudowy na dobę, co zapewnia redukcję uwolnień do wartości tak małych, że nie powodują one konieczności podejmowania działań interwencyjnych poza terenem elektrowni [2].

Pełną odporność na awarie projektowe i hipotetyczne poważne awarie ze stopieniem rdzenia zapewnia także obudowa bezpieczeństwa reaktora AP 1000 firmy Westinghouse. Jest ona wyposażona w pasywny system odbioru ciepła, zapewniający chłodzenie przez dowolnie długi czas po awarii bez potrzeby dostarczania energii elektrycznej z zewnątrz. Obudowy bezpieczeństwa w dawniej budowanych EJ są mniej odporne, ale też wystarczają do ochronienia otoczenia przed skutkami awarii, nawet poważnych awarii ze stopieniem rdzenia. Udowodniły to nie tylko analizy wykonywane przez ekspertów jądrowych i sprawdzane przez urzędy dozoru jądrowego, ale i doświadczenie praktyczne z jedynej awarii ze stopieniem rdzenia, jaka zdarzyła się w reaktorze PWR, mianowicie z awarii w EJ Three Mile Island (TMI) w Harrisburgu (USA) w 1978 roku. W czasie tej awarii wskutek błędu operatorów, którzy wyłączyli awaryjny układ chłodzenia rdzenia, doszło do odparowania wody z reaktora, wypełnienia rdzenia parą i stopienia paliwa. Duże ilości produktów rozszczepienia wydzieliły się ze stopionego paliwa do wnętrza obudowy bezpieczeństwa, ale obudowa wytrzymała wszystkie obciążenia podczas awarii włącznie ze wzrostem ciśnienia po niekontrolowanym spaleniu wodoru. Na zewnątrz elektrowni wydzieliły się tylko nieznaczne ilości radionuklidów, np. frakcja jodu uwolniona poza obudowę bezpieczeństwa wyniosła poniżej jednej milionowej jodu zawartego w rdzeniu, a wydzielenia innych produktów rozszczepienia były także bardzo małe. Dzięki temu, chociaż rdzeń reaktora został wskutek awarii całkowicie zniszczony i reaktor nigdy nie wznowił pracy, średnia dawka efektywna dla krytycznej grupy ludności wyniosła tylko 0,015 mSv, a więc w przybliżeniu tyle, ile otrzymuje się dodatkowo podczas dwutygodniowych wczasów narciarskich w górach. Odpowiednie ryzyko zachorowania na raka było mniejsze niż jedna milionowa w ciągu całego życia, a więc mniejsze niż ryzyko powodowane przez normalne roczne emisje z elektrowni węglowej w owym czasie. Mimo wielokrotnych badań, w okolicy TMI nie wykryto żadnych skutków zdrowotnych tamtej awarii.

 

4. Działania i organizacja pracy zapewniające bezpieczeństwo jądrowe

Poza wbudowanymi cechami bezpieczeństwa i inżynieryjnymi systemami bezpieczeństwa w energetyce jądrowej realizuje się cały system działań różnego typu zapewniających eliminację zagrożeń poprzez odpowiednie działania zapobiegawcze, lub - jeśli mimo wszystko zagrożenia wystąpią – zmniejszanie ich skutków dla człowieka i środowiska. W skład tych przedsięwzięć ukierunkowanych na podniesienie bezpieczeństwa EJ wchodzi kultura bezpieczeństwa, ocena i weryfikacja bezpieczeństwa EJ, działania dozoru jądrowego jako organizacji w pełni niezależnej od operatora elektrowni i mającej władzę wydawania obowiązujących zaleceń i nakładania kar aż do wstrzymania eksploatacji EJ włącznie, szkolenie personelu w warunkach symulujących warunki normalnej eksploatacji i warunki awaryjne, badania doświadczalne i analizy bezpieczeństwa EJ, współpraca międzynarodowa zapewniająca przekazywanie dobrych doświadczeń i eliminowanie błędów. Krótkie charakterystyki tych działań przedstawimy poniżej.

 

4.1. Kultura bezpieczeństwa

Kultura bezpieczeństwa w obiektach jądrowych rządzi działaniami i współpracą wszystkich osób i organizacji podejmujących pracę dla potrzeb energetyki jądrowej, ze szczególnym uwzględnieniem następujących elementów:

  • Problemom bezpieczeństwa poświęca się pełną uwagę, na jaką zasługują, w szczególności stosuje się zasadę, że bezpieczeństwo jest ważniejsze od wytwarzania energii elektrycznej
  • Odpowiedzialność za bezpieczeństwo jest jednoznacznie określona
  • Kierownictwo elektrowni i personel są przeszkoleni tak, by zdawali sobie sprawę z wagi zagadnień bezpieczeństwa
  • Zachęca się personel do uczenia się na własnych błędach i wyciągania wniosków z błędów popełnionych przez innych
  • Popiera się aktywną współpracę między operatorami elektrowni i krajami rozwijającymi energetykę jądrową (np. poprzez wymianę raportów z awarii, misje bezpieczeństwa MAEA itp.)

 

4.2. Ocena i weryfikacja poziomu bezpieczeństwa elektrowni jądrowych

Ocenę bezpieczeństwa wykonuje się przed zbudowaniem i eksploatacją elektrowni jądrowej. Ocena ta jest dobrze udokumentowana w raporcie bezpieczeństwa i weryfikowana przez niezależnych ekspertów pracujących dla dozoru bezpieczeństwa jądrowego. Później jest ona aktualizowana w świetle nowych informacji o bezpieczeństwie jądrowym. Zawiera ona bardzo szczegółowe informacje o rozwiązaniach projektowych i o eksploatacji elektrowni jądrowej. Między innymi raport bezpieczeństwa obejmuje:

  • Szczegółową analizę możliwych sekwencji awaryjnych (awarie projektowe) wraz ze scenariuszami awarii o bardzo małym prawdopodobieństwie i analizę działań koniecznych by im zapobiegać
  • Deterministyczną analizę bezpieczeństwa, w której zakłada się, że dowolny element elektrowni może ulec awarii, a inny element zawiedzie w chwili, gdy będzie potrzebny do opanowania awarii. Przy takich założeniach i przy przyjmowaniu najbardziej pesymistycznych wariantów rozwoju sytuacji trzeba wykazać, że pozostałe układy elektrowni wystarczą do zapewnienia jej bezpieczeństwa.
  • Probabilistyczną analizę bezpieczeństwa (probabilistic safety analysis - PSA), w której zakłada się, że istnieje pewne prawdopodobieństwo awarii dowolnego elementu elektrowni i wszystkie awarie mogą wystąpić jednocześnie. Przy takich założeniach trzeba wykazać, że prawdopodobieństwo awarii prowadzącej do uwolnienia produktów rozszczepienia poza obudowę bezpieczeństwa jest dostatecznie małe.
  • Plany działań awaryjnych na terenie elektrowni i poza elektrownią
  • Programy zapewnienia jakości.

 

4.3 Działania dozoru jądrowego

Dozór jądrowy to organizacja w pełni niezależna od operatora elektrowni i mająca władzę wydawania obowiązujących zaleceń i nakładania kar. Dozór jądrowy analizuje dokumenty przedkładane przez inwestora występującego o lokalizacją elektrowni, ocenia poprawność i kompletność raportu bezpieczeństwa, nadzoruje proces budowy i eksploatacji a potem likwidacji elektrowni i wydaje na każdy etap pracy odpowiednie zezwolenia. Analizy prowadzone przez dozór odznaczają się dużą wnikliwością i zwykle trwają długo, np. na ocenę raportu bezpieczeństwa potrzeba około 2-3 lat. Specjaliści dozoru jądrowego żądają od inwestora wszystkich danych projektowych, a potem eksploatacyjnych, jakie mogą wpływać na bezpieczeństwo elektrowni, mogą żądać dodatkowych analiz lub dowodów doświadczalnych i prowadzą własne niezależne analizy dla sprawdzenia danych z raportów bezpieczeństwa. Dozór wydaje rozporządzenia i wytyczne w zakresie bezpieczeństwa jądrowego, obowiązujące dla EJ, a także wydaje zezwolenia na wszelkie zmiany i prace w EJ mające wpływ na bezpieczeństwo jądrowe. W razie nie wykonania poleceń dozoru lub łamania zasad bezpieczeństwa jądrowego dozór nakłada na EJ odpowiednie kary, aż do wstrzymania eksploatacji EJ włącznie. Niezależność dozoru jądrowego jest ważnym czynnikiem podnoszącym bezpieczeństwo energetyki jądrowej.

 

4.4 Szkolenie personelu

Personel eksploatacyjny i remontowy EJ szkolony jest do pracy w warunkach normalnej eksploatacji i stanów awaryjnych. Szkolenie jest szczególnie intensywne w przypadku operatorów i obejmuje wykorzystanie symulatorów sterowni elektrowni jądrowej, to jest układów komputerowych zainstalowanych w makiecie sterowni i symulujących procesy zachodzące w EJ w stanach przejściowych i awaryjnych. Pozwala to operatorowi opanować umiejętność reagowania na awarie w czasie rzeczywistym. Personel eksploatacyjny jest licencjonowany przez dozór jądrowy na podstawie egzaminów i testów, z testami awarii na symulatorach EJ włącznie.

 

4.5 Badania doświadczalne i analizy bezpieczeństwa jądrowego

Od wielu lat duże zespoły naukowców i inżynierów wysokiej klasy prowadzą badania zmierzające do znalezienia możliwych zagrożeń i środków zaradczych. Mają oni silną motywację do znalezienia problemów bezpieczeństwa, bo od tego zależy uzyskanie finansowania ich prac. Co więcej, ich osobisty awans naukowy i zawodowy zależy od wykrycia nowych zagrożeń i udowodnienia, że są one ważne. Podobne bodźce do pracy mają instytuty badawcze i organy dozoru jądrowego. Wszystko to przyczynia się do rozwoju badań, które w przypadku energetyki jądrowej osiągnęły skalę bez precedensu w dziejach
ludzkości. Wynikiem tego jest:

  • Ciągła wymiana informacji dotyczących wszystkich problemów bezpieczeństwa
  • Intensywne badania w dziedzinie bezpieczeństwa, w których zainteresowane są firmy przemysłowe, urzędy dozoru jądrowego, organizacje społeczne i instytuty badawcze
  • Wprowadzanie wyników prac naukowych i badawczych do nowych rozwiązań
  • Krytyczna analiza wszystkich nowych informacji
  • Gwarancja, że żaden z istotnych problemów bezpieczeństwa nie pozostanie niedostrzeżony.

 

4.6. Współpraca międzynarodowa w podnoszeniu bezpieczeństwa jądrowego.

Ważnym elementem rozwoju bezpieczeństwa jądrowego jest świadomość, że awaria jądrowa w dowolnym kraju wpływa na rozwój energetyki jądrowej we wszystkich krajach. Dlatego międzynarodowa współpraca w podnoszeniu bezpieczeństwa elektrowni jądrowych charakteryzuje się otwartością i gotowością do wzajemnej pomocy. Doświadczenia z awarii w jednym kraju przekazywane są do innych krajów, a osiągnięcia wiodących elektrowni kwalifikowane jako "dobra praktyka" publikowane są tak, aby mogły wykorzystać je inne elektrownie. Taki międzynarodowy proces uczenia się zapewnia szybkie i skuteczne wdrażanie najlepszych rozwiązań w elektrowniach jądrowych, pod warunkiem, że względy polityczne nie hamują dostępu do doświadczeń międzynarodowych i że dany typ reaktora nie jest zasadniczo odmienny od wszystkich innych reaktorów na świecie.

MAEA opracowała obszerne analizy wszystkich słabych punktów konstrukcji reaktorów WWER i RBMK. Dla każdego typu tych reaktorów wydano osobną "zieloną księgę" zawierającą wyjaśnienie potencjalnych zagrożeń i spis przedsięwzięć realizowanych w każdej elektrowni dla ich usunięcia. Te "zielone księgi" MAEA służą jako materiały odniesienia dla misji MAEA oceniających stan istniejących elektrowni i programy podniesienia ich bezpieczeństwa. Są one także wykorzystywane przez urzędy dozoru jądrowego w ich pracy. W ostatniej dekadzie MAEA rozszerzyła program takich analiz na reaktory PWR zbudowane w krajach zachodnich. Równolegle intensywne programy wymiany doświadczeń prowadzi Światowe Stowarzyszenie Operatorów EJ (World Association of Nuclear Operators – WANO), które kładzie nacisk na bezpieczeństwo eksploatacji EJ. Istnieją też programy bezpośredniej współpracy elektrowni podobnych typów w różnych krajach, a także programy dwustronnej współpracy między krajami bardziej i mniej zaawansowanymi technicznie. Zapewnia to szybki przepływ informacji i skuteczne wdrażanie ulepszeń w EJ w różnych krajach.

W tym kontekście należy zauważyć, że budowa elektrowni jądrowych w krajach o niestabilnej strukturze społecznej i politycznej, niezdolnych do wykorzystania nagromadzonego na świecie doświadczenia w dziedzinie bezpieczeństwa reaktorów jądrowych lub decydujących się na rozwijanie swych własnych typów reaktorów, odmiennych od wszystkich innych, wiąże się z ryzykiem większym niż ryzyko typowe dla podstawowych typów reaktorów eksploatowanych obecnie na świecie.

 

4.7 Podnoszenie poziomu bezpieczeństwa w eksploatacji EJ

Stale doskonalone są elementy działań eksploatacyjnych wpływających na poziom bezpieczeństwa jądrowego. Jest ich tak wiele, że nie sposób omówić ich w ramach artykułu przeglądowego. Jako przykład postępu w bezpieczeństwie zapewnianym przez operatora można wymienić instrukcje działania awaryjnego, które zostały zdecydowanie zmienione i ulepszone po awarii w TMI.

Instrukcje działania awaryjnego obejmują akcje dotyczące zarówno awarii projektowych jak i poza projektowych, które mogłyby doprowadzić do stopienia rdzenia reaktora. W pierwszym okresie rozwoju elektrowni jądrowych znajomość procesów awaryjnych nie była wystarczająca by zapewnić operatorowi komplet instrukcji postępowania awaryjnego, które byłyby oparte na symptomach awarii obserwowanych na przyrządach pomiarowych. Operator musiał zgadywać, jaka awaria zaistniała, i podejmować działania na podstawie tych przypuszczeń. W ostatnim dziesięcioleciu wyniki badań i doświadczenie uzyskane w kilkuset elektrowniach pracujących na całym świecie pozwoliły przygotować instrukcje postępowania awaryjnego oparte na symptomach awarii. Operator nie musi już wiedzieć, jakiego rodzaju uszkodzenie wystąpiło w elektrowni, wystarcza by zgodnie z instrukcją reagował na wskazania przyrządów pomiarowych widoczne w sterowni reaktora.

To przejście od instrukcji, opartych na zgadywaniu, co jest przyczyną awarii, do instrukcji opartych na symptomach awarii, jest bliskie zakończenia w większości elektrowni jądrowych i niesie znaczne zmniejszenie zagrożeń związanych z możliwymi poważnymi awariami w obiektach jądrowych.

Dalsze prace w zakresie sterowania procesami awaryjnymi obejmują działania podejmowane dla zapobieżenia stopieniu rdzenia, a jeśli by okazały się one nieskuteczne – akcje dla opanowania awarii po stopieniu rdzenia, z głównym naciskiem położonym na zatrzymanie produktów rozszczepienia wewnątrz obudowy bezpieczeństwa. Zasady sterowania procesami awaryjnymi zostały dobrze opracowane dla reaktorów wodnych i są wprowadzone do elektrowni jądrowych w wielu krajach.

 

5. Zagrożenie po awariach projektowych i hipotetycznych w elektrowniach jądrowych

Zasady bezpieczeństwa przyjęte przy projektowaniu, budowie i eksploatacji elektrowni jądrowych okazały się tak skuteczne, że mimo nagromadzenia doświadczenia ponad dziesięciu tysięcy reaktoro-lat pracy elektrowni jądrowych z reaktorami z moderatorem i chłodzeniem wodnym nie było dotąd ani jednej awarii, przy której straciłby wskutek narażenia radiacyjnego życie lub zdrowie ktokolwiek z personelu lub ludności. Straty zdrowia i życia spowodowała awaria w Czarnobylu, ale jak wykażemy w następnym artykule zdarzyła się ona w reaktorze zasadniczo innym niż reaktory wodne i nie może być ona wliczana do bilansu zdrowotnego energetyki jądrowej.

Najpoważniejsze skutki w reaktorach wodnych miała wspomniana powyżej awaria w EJ Three Mile Island (TMI), podczas której rdzeń reaktora został całkowicie zniszczony, tak że wznowienie pracy elektrowni było niemożliwe. Skutki zdrowotne tej awarii były jednak pomijalnie małe. Podczas innej awarii, w EJ Browns Ferry w 1975 roku, spowodowanej przez technika sprawdzającego szczelność dukt kablowego, pożar zniszczył większość połączeń ważnych dla bezpieczeństwa. Nastąpiła utrata systemów awaryjnego chłodzenia rdzenia, a także wszystkich innych systemów wtrysku wody do rdzenia. Ostatecznie pożar zlikwidowano wtryskując wodę do duktu kablowego, co wiązało się z ryzykiem krótkich spięć w kablach energetycznych i dalszego pogorszenia sytuacji. Mimo bardzo rozległych zniszczeń w samym reaktorze pożar nie spowodował żadnego uszczerbku na zdrowiu ani utraty życia nikogo z personelu lub ludności. Natomiast po przeanalizowaniu wniosków z tego pożaru wprowadzono szereg ulepszeń w systemach wykrywania i zwalczania pożaru we wszystkich EJ, co wiązało się często z wielo miesięcznymi przerwami w ich pracy. Po zakończeniu tej akcji poziom bezpieczeństwa pożarowego istniejących EJ znacznie się polepszył, a nowe EJ budowano uwzględniając od razu w projekcie wnioski z awarii w Browns Ferry.

Inne awarie w elektrowniach jądrowych miały łagodniejszy przebieg, bez poważnych uszkodzeń paliwa i wydzieleń produktów rozszczepienia. Nawet, gdy zdarzały się uszkodzenia podobne do tych, które zapoczątkowały awarię w TMI, operatorzy unikali powtórzenia błędów operatorów z TMI i doprowadzali EJ do stanu bezpiecznego wyłączenia bez uszkodzenia rdzenia. Było to widocznym rezultatem skuteczności wdrażania wniosków z analiz poawaryjnych i szkolenia operatorów EJ obejmującego proces uczenia się na błędach innych.

Według kryteriów przyjętych przez amerykański dozór jądrowy (NRC) w USA obliczona częstotliwość awarii ze stopieniem rdzenia musi być mniejsza niż 10-4/reaktoro-rok, a obliczona częstość wielkich uwolnień produktów rozszczepienia powodujących w odległości 0,8 km od reaktora dawkę na całe ciało większą niż 0,25 Sv winna być mniejsza niż 10-6 na reaktoro-rok [3]. Wymagania towarzystw energetycznych w USA są jeszcze ostrzejsze i stawiają jako cel obniżenie częstości awarii ze stopieniem rdzenia do 10-5 na reaktoro-rok. W krajach Unii Europejskiej opracowano wytyczne towarzystw energetycznych podobne do amerykańskich i przyjęte jako podstawa do projektowania nowych EJ [4].

Wymagania urzędów dozoru jądrowego są różne w różnych krajach, ale nowe elektrownie jądrowe będą spełniały nawet najostrzejsze z nich. Dla przykładu, według wymagań urzędu bezpieczeństwa jądrowego w Finlandii (STUK), maksymalna dawka dla krytycznej grupy ludności wokoło EJ nie może przekroczyć 5 mSv po awarii projektowej, a 100 mSv po awarii hipotetycznej ze stopniem rdzenia. Wydzielenia produktów rozszczepienia w razie awarii projektowej nie powinny prowadzić do ograniczeń w użytkowaniu terenu i żywności. Po awarii hipotetycznej ze stopieniem rdzenia wielkością graniczną dla uwolnień substancji promieniotwórczych jest takie uwolnienie, które nie spowoduje ani ostrych szkód zdrowotnych wśród osób z ogółu ludności w sąsiedztwie EJ ani długotrwałych ograniczeń w wykorzystaniu dużych obszarów gleby i wody [2].

EJ z reaktorem EPR budowana obecnie w Finlandii, która byłaby także oferowana w przetargu na budowę EJ w Polsce, spełnia te wymagania z dużym zapasem. Podobne marginesy bezpieczeństwa zapewniają nowoczesne reaktory innych typów, np. EJ z reaktorem AP1000 opracowana przez zespół międzynarodowy pod kierunkiem firmy Westinghouse [5]. Zestawienie danych liczbowych ilustrujących poziom bezpieczeństwa elektrowni jądrowych na tle innych źródeł energii przedstawimy na następnym artykule.

Po 50 latach doświadczeń z pracy elektrowni jądrowych budowanych i eksploatowanych zgodnie z zasadami filozofii bezpieczeństwa rozwiniętymi w krajach zachodnich i propagowanymi przez organizacje międzynarodowe jak MAEA można stwierdzić, że energetyka jądrowa należy do najbezpieczniejszych gałęzi przemysłu. Z drugiej strony przykład reaktorów RBMK w dawnym ZSRR i awarii w Czarnobylu pokazuje, że odstępstwa od zasad bezpieczeństwa są niedopuszczalne. Jednakże system obrony wgłąb gwarantuje, że EJ pozostanie bezpieczna nawet w razie uszkodzeń urządzeń i błędów człowieka, chyba że zasadnicze przesłanki filozofii bezpieczeństwa nie są spełnione, a względy polityczne mają większe znaczenie niż względy bezpieczeństwa jądrowego. System organizacyjny i kultura bezpieczeństwa w krajach Unii Europejskiej gwarantują, że do takiej sytuacji w Polsce nie dojdzie.

 

 

Literatura:

1. Strupczewski A. Awarie reaktorowe a bezpieczeństwo energetyki jądrowej, WNT, Warszawa, 1990

2. RADIATION AND NUCLEAR SAFETY AUTHORITY (STUK): Statement Issued by the Radiation and Nuclear Safety Authority Concerning the Construction of the Olkiluoto Nuclear Power Plant Unit 3, Annex 1 21.1.2005 Safety Assessment of the Olkiluoto 3 Nuclear Power Plant Unit for the Issuance of Construction License

3. US NUCLEAR REGULATORY COMMISSION, US NRC Policy Statement on Nuclear Power Plant Safety Goals, Atomic Energy Clearing House, 32(26); (23 June 1986)

4. European Utility Requirements for LWR Nuclear power Plants, Volume 1 &2, Rev. C April 2001

5. Wright R.F. P1000 Containment Design and Safety Assessment, ICONE 9516, Proc. of ICONE 9, 9th International Conference on Nuclear Engineering, April 8-12, 2001, Nice, France

Gościmy

Odwiedza nas 1342 gości oraz 0 użytkowników.

Energetyka jądrowa na Facebooku

SARI

Zwiedzanie EJ