Instrumenterte sikkerhetssystemer i atomkraftverk - Barrierefilosofi i kjernekraft Michael Knochenhauer VD Scandpower AB IFEA Sikkerhetssystemkonferansen / 3-4 november 2011, Gardermoen
Översikt över föredraget Introduktion till kärnkraft Grundläggande säkerhetsprinciper Hur analyseras och övervakas säkerheten? Slutsatser och några paralleller till olja och gas
Introduktion till kärnkraft Kärnkraft i världen Beskrivning av ett kärnkraftverk Säkerhetsfunktioner Uppbyggnad av säkerhetssystem
Kärnkraft i världen Omkring 435 kommersiella kärnreaktorer i 30 länder och 284 forskningsreaktorer i 56 länder Ett 30-tal reaktorer under konstruktion, främst i Asien Över 60 ytterligare reaktorer planerade (ökande )
Kärnkraft i Sverige c:a 50% av genererad elkraft Forsmark Tre kokvattenreaktorer nettoeffekt 3159 MW Ägare: Vattenfall, Mellansvensk Kraftgrupp och E.ON Oskarshamn Tre kokvattenreaktorer nettoeffekt 2222 MW Ägare: E.ON och Fortum Ringhals En kokvattenreaktor och tre tryckvattenreaktorer nettoeffekt 3660 MW Ägare: Vattenfall och E.ON Barsebäck Två efter regeringsbeslut avställda kokvattenreaktorer (B1 1999, B2 2005) Ägare: Ringhals AB
Tryckvattenreaktorn Vanligaste reaktortypen i världen (3 av 10 i Sverige) Primärcykel radioaktiv / sekundärcykel ej radioaktiv Färre kontrollerade områden än kokvattenreaktorn lättare att utföra underhållsarbeten Fler komponenter som behöver underhållas än i kokvattenreaktorn, bl.a. ånggeneratorer och tryckhållare C:a 15-17 MPa, 315 o C
Kokvattenreaktorn Vanligaste reaktortypen i Sverige (7 av 10 i drift) En cykel (radioaktiv) Mindre tekniskt komplicerad än tryckvattenreaktorn, t.ex. inga ånggeneratorer Fler kontrollerade områden än tryckvattenreaktorn, t.ex. turbinanläggningen C:a 7-8 MPa, 285 o C
Bränslet i en kärnkraftsreaktor En kärnkrafthärd innehåller omkring 15 miljoner kutsar staplade i långa rör som sätts samman till bränsleelement Varje bränslekuts avger energi motsvarande 800 liter dieselolja 3-4 kutsar = årsbehovet av energi för en normalvilla
Konventionella parametrar och deras säkerhetsbetydelse Högt tryck 7 MPa för kokvattenreaktorn och 17 MPa för tryckvattenreaktorn Materialkrav Rörbrott / konsekvenser vid rörbrott Hög temperatur omkring 300 C Materialpåverkan Miljötålighet Risk för temperaturtransienter Medium ånga, vatten Miljötålighet Översvämning vid rörbrott / okontrollerat utflöde
Specifika parametrar för den nukleära processen och deras säkerhetsbetydelse Radioaktiva material Strålning / giftiga Materialpåverkan Måste inneslutas Hög energitäthet - reglering Styrstavar Flöde huvudcirkulationspumpar Absorbatorer, t ex bor Resteffekt Energiproduktionen fortsätter efter det att reaktorn stoppats Krav på kylning under lång tid Reaktor, bränslebassäng, mellan- och slutförvar
Utmaningar vid konstruktionen av en säker reaktor Fissionsprocessen måste stoppas Styrstavar skjuts, faller eller manövreras in Reaktivitetsgift kan tillföras (bor) Reaktortanken måste tryckavsäkras Om isolering sker mot turbin måste reaktortanken tryckavsäkras Härden måste hållas kyld Kylmedium måste pumpas in Resteffekt måste föras bort Om turbin och kondensor kopplas bort måste resteffekten tas omhand av andra system Allt detta kräver funktion hos säkerhetssystem!
Säkerhetssystem generell princip 1st line of defence De system som förväntas fungera vid ett normal störning, t.ex. Hydrauliskt snabbstopp i BWR Hjälpmatarvattensystem (högtryckssystem) Situationen betraktas som OK om 1st line of defence fungerar 2nd line of defence System som aktiveras vid fel i 1st line of defence, t.ex. Skruvstopp i BWR Nödkylsystem (lågtryck) Betraktas som incident (eftersom 1st line of defence fallerat) Ibland finns ytterligare system Borsystem för avställning i BWR, etc. etc.
Svenska BWR redundans och separation
Svenska BWR redundans och separation
Barriärer och djupförsvar Barriärer Djupförsvarsnivåer Kategorier av beroenden
Fysiska barriärer inom kärnkraft 1. Bränslet 2. Bränslets kapslingsrör Kan bränsletemperaturen hållas under 1200 oc uppstår ingen härdskada 3. Reaktortanken med anslutande rörsystem Är tanken intakt och en eventuell härdsmälta kan hållas innanför minskar risker för utsläpp 4. Reaktorinneslutningen Används för att innehålla en eventuell härdsmälta och minimera utsläppet till omgivningen 5. Reaktorbyggnaden Kontrollerad ventilation, ev utsläpp är filtrerat
Djupförsvar är ett centralt begrepp! IAEA Levels of defence in depth
Levels of defence in depth (IAEA INSAG 10)
Kontroll av beroenden kritisk för fungerande djupförsvar Environment Information to the component Activation signal Blocking signal Component protection M Component Information from the component Status indication Measurement Operation and maintenance Operating power Activation power Cooling, etc. Power supply Auxiliary systems
CCF Initiator Functional Kategorier av beroenden Category Functional Dependencies Description Dependence on shared mechanical or electrical equipment, such as common support systems, power supply or control signals. Human Action Dependencies Subtle Dependencies Common Cause Initiators Dependence via shared human actions: Failures of consecutive actions to mitigate a transient or accident sequence systematic test or maintenance errors. Dependencies specific to the actual demand conditions and typically not detected in normal operation or by surveillance tests (may also be a physical dependence). Initiating event, which arises from the system or component failures, or from the disturbances in the plant processes (intrinsic events). Area Events External Events Dynamic Effects Common Cause Failures Events occurring within the plant, but outside of plant systems and processes Events occurring outside the plant, and outside of plant systems and processes Failures in connection to dynamic effects occurring together with pipe breaks Failure of identical (or closely similar) components due to common vulnerabilities
System Configuration Defence Failure Probability Systemkonfigurationer och deras effektivitet som skydd mot beroenden Single train system Redundant system N out of m Technical and administrative Fail safe Management system Work preparation DKV (operability readiness control) Work practices Redundancy Separation Functional separation Organisational time-wise separation Stepwise introduction and test & maintenance 10-1 10-2 10-3 Diverse system Functional diversity 10-4 Fully redundant and diversified systems/ functions Redundancy within diverse sections Operational diversity Software diversity 10-5 10-6
Generella konstruktionsprinciper i kärnkraftverk DBA design basis accidents Konstruktionsstyrande Enkelfelstålighet Konstruktion- och analyskriterium Enkelfel, inkl. dess direkta följdfunktioner, ska postuleras på den mest kritiska komponenten kombinerat med yttre nätbortfall Automatiserade säkerhetsfunktioner Skyddar mot mänskligt felhandlande 30-minuters regel vid störningar och haverier 8-timmars regel vid svåra haverier Skydd mot beroenden och CCF Skyddar redundansen mot utslagning
Separationsprinciper för kontrollutrustning Centrala kontrollrummet Apparatrum eller dieselbyggnader Avstånd Skiljevägg Avstånd Skiljevägg Kabelareor (kulvertar) Avstånd Skiljevägg Avstånd Skiljevägg Processutrymmen Sub A Sub C Sub B Sub D
RPS Reactor protection system logic
Separationsprinciper för reaktorbyggnad Sub A Sub B Sub C Sub D
Exempel: Kontroll av vattennivå i reaktortanken normaldrift
Exempel: Kontroll av vattennivå i reaktortanken störd drift
Hur analyseras säkerheten? Deterministisk analys Probabilistisk säkerhetsanalys (PSA) MTO/HRA Human reliability analysis Riskuppföljning och riskmonitorer
Hur analyseras säkerheten i ett kärnkraftverk? Deterministisk säkerhetsanalys Förloppet efter en antagen störning analyseras DBA Design Basis Accident Varje barriär studeras för sig Syftar till att verifiera att tillåtna värden på tillståndsparametrar ej överskrids Anger krav (success criteria) för säkerhetssystemen Probabilistisk säkerhetsanalys (PSA) Syftar till att identifiera onormala händelsesekvenser som kan leda till oönskad konsekvens såsom härdskada Alla barriärer och det sätt de samverkar på vid olika störningar betraktas Komponentfel och mänskligt felhandlande beaktas Värderar (kvantitativt) anläggningens säkerhet MTO/HRA-analys Syftar till att analysera människans och arbetsorganisationens betydelse för anläggningens säkerhet Krav på att analyserna hålls aktuella. Dessutom genomförs PSR med jämna mellanrum (Periodic Safety Review)
PSA Probabilistisk säkerhetsanalys Störning Anläggningen reagerar Sluttillstånd Kvantifiering Inledande händelse Spädmatning 327 314 323 Händelseträd Avställning Tryckavsäkring Resteffektkylning Konsekvens OK Härdskada HS pga utebliven spädmatning Felträd OK OK Härdskada Utebliven funktion 327 Utebliven funktion 323 Härdskada Övertryckning Härdskada Omfattande modeller Ingår i SAR Används löpande för riskinformerade analyser. Levande analyser krav på kontinuerlig uppdatering
HRA Human Reliability Analysis Ingår som del i PSA Syfte att kvantifiera operatörsingrepp och mänskligt felhandlande Typer av mänskligt felhandlande Typ A före störning Typ B felhandlande som initierar störning Typ C felhandlande vid hantering av störning Metodik Detaljerade scenarioanalyser tillsammans med operatörer pfs performance shaping factors; exempel Komplexitet Stressnivå Utbildning Tillgänglig tid
En PSA-modell har många användningsområden Riskoptimering Optimering av barriärerna med avseende på testintervall och hindertider Riskuppföljning Barriärer ur spel Riskmonitorering On-line risk What-if analyser Revisionsplanering Exempel Skärmbild från RiskSpectrum RiskWatcher
Likheter med olja & gas Många av utmaningarna är desamma Hårdvara: pumpar, rör, värmeväxlare, reservkraft, övervakning, kontrollrumsinformation Höga tryck och temperaturer skall hanteras Höga krav på säkerhet Starkt fokus på säkerhet i design och drift Djupförsvar och barriärer viktigt Erfarenhetsåterföring viktig Säkerhet baseras på både deterministiska krav och probabilistisk analys och kriterier
Skillnader mot med olja & gas Safe state statisk Avstängning och tryckavlastning Fokus på konsekvenser inom anläggningen Fokus på att mildra konsekvenser (consequence mitigation) Fokus på analys av design och installation Analyser vid driftstart och större ombyggnader Safe state dynamisk Avställd, vattentäckt och långsiktigt kyld härd. Fokus på konsekvenser utanför anläggningen Fokus på att undvika olyckor (accident prevention) Fokus på analys av driftfas och underhåll Kontinuerliga analyser under verkets livstid Strängare krav på barriärer, redundans, oberoende och fysisk separation Krav på kontinuerlig analys och uppföljning av säkerhet
Olikheterna till trots utmaningen är i grunden till stor del densamma
Tack för uppmärksamheten! Allow me to introduce myself, I'm the statistical probability! Nice to meet you, I'm the residual risk!
For more information, please contact: Michael Knochenhauer President Scandpower AB T +46 8 4452141 E mkn@scandpower.com W www.scandpower.com w www.lr.org www.riskspectrum.com