3.2.2 Różnorodność.Istnienie dwóch lub więcej elementów zapewniających wzajemne rezerwowanie zabezpiecza przed pojedynczą awarią jednego z tych elementów, ale nie daje gwarancji, że cały układ nie zawiedzie z powodu wspólnej przyczyny, nieznanej w chwili projektowania reaktora albo uznanej ze nieprawdopodobną. Aby uchronić się przed utratą funkcji bezpieczeństwa z powodu wspólnej przyczyny, wzajemnie się rezerwujące podukłady systemów
bezpieczeństwa są, o ile to możliwe, wykonywane z różnych elementów, tak by jedna przyczyna awarii nie spowodowała jednoczesnej utraty wszystkich podsystemów bezpieczeństwa. Przykład takiego układu służącego do napędu pomp wody zasilającej wytwornice pary po stronie obiegu wtórnego pokazany jest na rys. 6
Rys. 6 Przykład różnorodnego napędu pomp awaryjnego układu zasilania wytwornic pary.
Dwie pompy są napędzane silnikami elektrycznymi, a dwie turbinami parowymiInnym przykładem jest układ zabezpieczeń reaktora, pokazany na rys. 7. Wyłączenie reaktora następuje, gdy temperatura w obiegu pierwotnym przekroczy wartość dopuszczalną Tmax. Aby nie powodować wyłączenia reaktora przy każdym uszkodzeniu miernika temperatury przyjęto, że mierzy się sygnały z trzech mierników i gdy dwa z nich pokażą przekroczenie, układ zabezpieczeń przekazuje sygnał wyłączenia reaktora. Aby jednak chronić się przed możliwością błędu wskazań temperatury, powodowanego jakąś nieznaną w chwili projektowania przyczyną, równolegle podłączony jest układ pomiarów ciśnienia, również działający na zasadzie .dwa z trzech.. Wskazania przekroczenia temperatury lub ciśnienia wystarczają do wyłączenia reaktora. W ten sposób zapewniona jest różnorodność w układzie. Nawet, jeśli wskutek jakiejś przyczyny wszystkie pomiary temperatury zawiodą, przyczyna ta nie może spowodować jednocześnie błędnych wskazań ciśnienia, opartych na zupełnie innej zasadzie pomiarowej. Zabezpiecza to przed uszkodzeniem kilku układów naraz spowodowanym wspólną przyczyną.
Rys. 7 Układ zabezpieczeń reaktora
jest zbudowany na zasadzie redundancji i głosowania 2/3, oraz różnorodności polegającej na tym, że zarówno sygnały ciśnienia P jak i temperatury T powodują wytworzenie sygnału awaryjnego wyłączenia reaktora.
T1, T2, T3 . temperatury chłodziwa, p1, p2, p3 . ciśnienie w stabilizatorze, Tmax, po wartości progowe, AZ . sygnał awaryjnego wyłączenia reaktora [1]3.2.3 Rozdzielenie przestrzenneUkłady bezpieczeństwa są rozdzielone przestrzennie, tak by np. pożar nie spowodował jednoczesnej utraty dwóch lub więcej podsystemów. W nowoczesnych EJ każdy z czterech podsystemów układów bezpieczeństwa znajduje się w innej części budynku reaktora, oddzielonej przestrzennie od pozostałych. W tej sytuacji nawet uderzenie samolotu nie może spowodować utraty więcej niż jednego z nich. Kable sterowania i kable energetyczne układów bezpieczeństwa prowadzone są oddzielnie od kabli układów nie spełniających funkcji bezpieczeństwa, a ponadto kable sterowania są umieszczone w kanałach oddzielonych od kanałów kabli energetycznych,
3.2.4 Odporność na pożar, zalanie wodą, wstrząsy sejsmiczne i warunki otoczeniaJednakże ani rezerwowanie ani różnorodność elementów ważnych dla bezpieczeństwa nie wystarczyłyby, gdyby elementy te nie były odporne na wstrząsy sejsmiczne i przewidywane w czasie ich pracy warunki temperatury, ciśnienia i wilgotności. Szczególne zagrożenie stanowią pożary, mogące spowodować utratę wielu elementów bezpieczeństwa znajdujących się w zasięgu ognia. Dlatego przy projektowaniu układów ważnych dla bezpieczeństwa EJ analizuje się możliwość wystąpienia pożaru w pomieszczeniach gdzie znajdują się te układy i wprowadza się zabezpieczenia wykluczające lub zmniejszające możliwość pożaru, takie jak np. zastąpienie smarowania łożysk pomp olejem przez smarowanie wodą. W przypadkach, gdy ogień jest jednak możliwy, analizuje się jego zasięg i czas trwania i zapewnia środki przeciwdziałające rozprzestrzenianiu pożaru, układy wykrywania i gaszenia ognia. W EJ obowiązuje wykonanie systematycznej analizy pożarowej dla wszystkich pomieszczeń i wprowadzenie wszelkich potrzebnych zabezpieczeń z modyfikacjami budowlanymi projektu włącznie.
Podobne prace wykonuje się dla zagrożenia zalania wodą. Jeśli możliwość zalania urządzeń ważnych dla bezpieczeństwa istnieje, wówczas urządzenia te muszą być wykonane w postaci wodoodpornej. Urządzenia znajdujące się wewnątrz obudowy bezpieczeństwa, gdzie dla obniżania ciśnienia pary po możliwej awarii rozerwania obiegu pierwotnego stosuje się układ zraszania wodą, muszą być odporne na działanie pary i wody pod ciśnieniem odpowiadającym maksymalnym ciśnieniom występującym podczas awarii.
Wszystkie układy ważne dla bezpieczeństwa muszą być odporne na maksymalne wstrząsy sejsmiczne, jakie mogą wystąpić w danej elektrowni. Dla określenia intensywności tych wstrząsów znajduje się najsilniejsze trzęsienie ziemi, jakie historycznie zaobserwowano w danej okolicy, przyjmuje się, że jego epicentrum może znaleźć się pod samą elektrownią, a następnie powiększa się jego wartość o ustalony współczynnik by zapewnić odpowiedni margines bezpieczeństwa. Tak określone trzęsienie ziemi, przy którym musi być zapewniona praca wszystkich układów bezpieczeństwa potrzebnych do wyłączenia reaktora i jego bezpiecznego ochłodzenia, odpowiada w przybliżeniu intensywności wstrząsów sejsmicznych występujących raz na 10 000 lat.
Urządzenia układów ważnych dla bezpieczeństwa muszą być także odporne na wszelkie inne zagrożenia mogące zaistnieć w czasie ich pracy, np. napędy zaworów znajdujących się wewnątrz obudowy bezpieczeństwa muszą być odporne na działanie strumienia pary z rozerwanego rurociągu, o ile taki rurociąg znajduje się w ich sąsiedztwie. Przed zainstalowaniem w EJ urządzeń ważnych dla bezpieczeństwa sprawdza się szczegółowo ich odporność na obciążenia (np. na wstrząsy sejsmiczne) i na parametry otoczenia odpowiadające warunkom awaryjnym, przy czym bada się także wpływ starzenia się urządzeń w toku eksploatacji, z symulacją występujących w toku eksploatacji drgań, zmian temperatury, działania promieniowania i czynników chemicznych itd. Jest to proces tzw. kwalifikacji urządzeń na warunki awaryjne, kosztowny i czasochłonny, ale konieczny by mieć pewność, że układy bezpieczeństwa wypełnią swe funkcje w przypadku awarii.
3.3 System barier chroniących przed rozprzestrzenianiem produktów rozszczepienia w razie awariiZgodnie z opisem podanym w poprzednim artykule system ten składa się czterech kolejnych barier, a mianowicie materiału paliwowego, koszulki elementu paliwowego, granicy ciśnieniowej obiegu pierwotnego, obudowy bezpieczeństwa. System barier pomyślany jest tak, aby w razie dowolnej awarii jednej z barier układy bezpieczeństwa chroniły pozostałe bariery przed zniszczeniem. W razie maksymalnej awarii projektowej, powodującej rozerwanie obiegu pierwotnego i - w przypadku jednoczesnego uszkodzenia wszystkich układów bezpieczeństwa - uszkodzenie paliwa, elektrownia pozostaje chroniona przez obudowę bezpieczeństwa, stanowiącą czwartą i najpotężniejszą barierę bezpieczeństwa. Obudowy bezpieczeństwa budowano w USA od samego początku rozwoju energetyki jądrowej, to jest od połowy lat 50-tych. Brak obudowy bezpieczeństwa w reaktorach RBMK jest . obok niestabilności ich mocy . podstawową różnicą w stosunku do reaktorów PWR i BWR budowanych na całym świecie. Przykładowy schemat obudowy bezpieczeństwa pokazany jest na rys. 8
Rys. 8 Obudowa bezpieczeństwa reaktora PWR.
1- rdzeń, 2- zbiornik ciśnieniowy reaktora, 3 - wytwornica pary, 4 - pompa obiegu pierwotnego, 5- studzienka ściekowa obudowy bezpieczeństwa, 6- zbiornik wody awaryjnego układu zasilającego wytwornic pary AUZWP, 7- pompa AUZWP, 8-wymiennik ciepła układu zraszania obudowy bezpieczeństwa, 9- dysze rozpryskowe układu zraszania obudowy bezpieczeństwa., 10.- ściana betonowa obudowy bezpieczeństwa, 11 –wykładzina stalowa obudowy bezpieczeństwa. 12. . odprowadzenie gazu z przestrzeni między powłokami, 13 . filtr, 14 . komin wentylacyjnyW warunkach po awarii w obiegu pierwotnym reaktora z wypływem wody chłodzącej do wnętrza obudowy bezpieczeństwa ciśnienie wewnątrz obudowy rośnie, a w miarę wydzielania ciepła powyłączeniowego rośnie też temperatura. Aby odebrać ciepło powyłączeniowe i obniżyć ciśnienie uruchamiany jest układ zraszania wnętrza obudowy zimną wodą wtryskiwaną przez zestaw dysz rozpryskowych umieszczonych pod kopułą obudowy. Układ ten pobiera początkowo wodę ze zbiorników, ale na dłuższą metę działa na zasadzie recyrkulacji to jest pobiera wodę z miski ściekowej obudowy bezpieczeństwa i wtryskuje ją ponownie pod kopułą obudowy. Układ ten jest układem bezpieczeństwa, to znaczy ma niezawodne zasilanie elektryczne, trzy lub cztery podukłady, z których jeden wystarcza do skutecznej pracy, jest zaprojektowany tak by był odporny na pojedyncze uszkodzenie, wstrząsy sejsmiczne, warunki środowiska itd. W analizach niezawodności układu zraszania uwzględnia się proces starzenia, w szczególności zmiany zachodzące w elementach izolacji obiegów reaktora. Doświadczenie wykazało, że pod wpływem promieniowania i cykli termicznych izolacja cieplna zmienia swe własności, stwarzając zagrożenie zatkania filtrów prowadzących liniach recyrkulacji prowadzących do pomp układu zraszania i w następstwie utraty przepływu wody przez układ. Po modyfikacjach układu filtrów na wlocie do rur ssących układu recyrkulacji niebezpieczeństwo to zostało wyeliminowane w pracujących obecnie EJ, a w nowych EJ projekty uwzględniają potrzebne zabezpieczenia od początku opracowywania projektu.
Analizy odporności obudowy bezpieczeństwa w nowoczesnych EJ potwierdziły, że z jednej strony mogą one przetrzymać uderzenie samolotu bez utraty szczelności, a z drugiej strony, nawet w razie poważnej awarii ze stopieniem rdzenia, powstrzymują skutecznie uwolnienia produktów rozszczepienia.
W najnowszej EJ z reaktorem EPR zaprojektowanym wspólnie przez ekspertów francuskich i niemieckich obudowa wykonana jest w postaci dwóch powłok pierścieniowych z betonu zbrojonego o grubości 1,2 m każda. Wytrzymują one ciśnienie 5,1 MPa, to jest ciśnienie większe niż maksymalne ciśnienie występujące po najcięższych awariach reaktora EPR. Przecieki gazów przez tę obudowę przy maksymalnym nadciśnieniu wynoszą 0,5% objętości obudowy na dobę, co zapewnia redukcję uwolnień do wartości tak małych, że nie powodują one konieczności podejmowania działań interwencyjnych poza terenem elektrowni [2].
Pełną odporność na awarie projektowe i hipotetyczne poważne awarie ze stopieniem rdzenia zapewnia także obudowa bezpieczeństwa reaktora AP 1000 firmy Westinghouse. Jest ona wyposażona w pasywny system odbioru ciepła, zapewniający chłodzenie przez dowolnie długi czas po awarii bez potrzeby dostarczania energii elektrycznej z zewnątrz. Obudowy bezpieczeństwa w dawniej budowanych EJ są mniej odporne, ale też wystarczają do ochronienia otoczenia przed skutkami awarii, nawet poważnych awarii ze stopieniem rdzenia. Udowodniły to nie tylko analizy wykonywane przez ekspertów jądrowych i sprawdzane przez urzędy dozoru jądrowego, ale i doświadczenie praktyczne z jedynej awarii ze stopieniem rdzenia, jaka zdarzyła się w reaktorze PWR, mianowicie z awarii w EJ Three Mile Island (TMI) w Harrisburgu (USA) w 1978 roku. W czasie tej awarii wskutek błędu operatorów, którzy wyłączyli awaryjny układ chłodzenia rdzenia, doszło do odparowania wody z reaktora, wypełnienia rdzenia parą i stopienia paliwa. Duże ilości produktów rozszczepienia wydzieliły się ze stopionego paliwa do wnętrza obudowy bezpieczeństwa, ale obudowa wytrzymała wszystkie obciążenia podczas awarii włącznie ze wzrostem ciśnienia po niekontrolowanym spaleniu wodoru. Na zewnątrz elektrowni wydzieliły się tylko nieznaczne ilości radionuklidów, np. frakcja jodu uwolniona poza obudowę bezpieczeństwa wyniosła poniżej jednej milionowej jodu zawartego w rdzeniu, a wydzielenia innych produktów rozszczepienia były także bardzo małe. Dzięki temu, chociaż rdzeń reaktora został wskutek awarii całkowicie zniszczony i reaktor nigdy nie wznowił pracy, średnia dawka efektywna dla krytycznej grupy ludności wyniosła tylko 0,015 mSv, a więc w przybliżeniu tyle, ile otrzymuje się dodatkowo podczas dwutygodniowych wczasów narciarskich w górach. Odpowiednie ryzyko zachorowania na raka było mniejsze niż jedna milionowa w ciągu całego życia, a więc mniejsze niż ryzyko powodowane przez normalne roczne emisje z elektrowni węglowej w owym czasie. Mimo wielokrotnych badań, w okolicy TMI nie wykryto żadnych skutków zdrowotnych tamtej awarii.