AWARIE REAKTOROWE A BEZPIECZEŃSTWO ELEKTROWNI JĄDROWYCH

Podobne dokumenty
Podstawy bezpieczeństwa energetyki jądrowej, Czarnobyl jak doszło do awarii

PROJEKT MALY WIELKI ATOM

Reakcje rozszczepienia i energetyka jądrowa

INSTYTUT FIZYKI JĄDROWEJ im. Henryka Niewodniczańskiego Polskiej Akademii Nauk

Podstawy bezpieczeństwa energetyki jądrowej, Incydenty na poziomie INES 2 i 3 Paks, Forsmark, Davis Besse

Energetyka Jądrowa. źródło: Wszystko o energetyce jądrowej, AREVA

Elektrownie Atomowe. Łukasz Osiński i Aleksandra Prażuch

UKŁAD ROZRUCHU TYPU ETR 1200 DO SILNIKA PIERŚCIENIOWEGO O MOCY 1200 KW. Opis techniczny

8. TYPY REAKTORÓW JĄDROWYCH

Największe katastrofy jądrowe w historii

Warszawa, dnia 27 lutego 2013 r. Poz. 270 ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 11 lutego 2013 r.

Energetyka Jądrowa. Wykład 10 5 maja Zygmunt Szefliński Środowiskowe Laboratorium Ciężkich Jonów szef@fuw.edu.pl

1. Logika połączeń energetycznych.

Dokumentacja układu automatyki SZR PA1001-KM


Dr inż. Andrzej Tatarek. Siłownie cieplne

EPPL 1-1. KOMUNIKACJA - Interfejs komunikacyjny RS Sieciowa Karta Zarządzająca SNMP/HTTP

Ocena środków zapobiegania niespodziewanemu uruchomieniu. Identyfikator maszyny XXX-XXX

» Podstawa prawna stosowania oraz wymagania dla zasilaczy systemu kontroli rozprzestrzeniania dymu i ciepła zgodnie z normą PN EN «

Reaktory Wodne Wrzące (BWR)

Tłumaczenie oryginalnej instrukcji obsługi, instalacji i serwisowania TEC-44. Zawór kulowy z napędem 02/14

Kompensacja mocy biernej maszyny wyciągowej

I. Wykonywanie przeglądów okresowych i konserwacji oraz dokonanie prób ruchowych agregatu prądotwórczego:

INSTRUKCJA OBSŁUGI ZASILACZ PWS-150RB-xx SPBZ

Budowa EJ dźwignią rozwoju polskiego przemysłu

Instrukcja postępowania w przypadku awarii produkcyjnych (wycieku substancji chemicznych, wystąpienia awarii elektrycznych i mechanicznych, itp.

INSTRUKCJA OBSŁUGI ZASILACZ PWS-500B

Rozwój energetyki jądrowej a poparcie społeczne

Dr inż. Andrzej Tatarek. Siłownie cieplne

MODERNIZACJA NAPĘDU ELEKTRYCZNEGO WIRÓWKI DO TWAROGU TYPU DSC/1. Zbigniew Krzemiński, MMB Drives sp. z o.o.

Energetyka Jądrowa. Wykład 11 maj Zygmunt Szefliński Środowiskowe Laboratorium Ciężkich Jonów

PRZETWORNICA NAPIĘCIA DC NA AC MOC: 100W 150W 300W 350W 400W 600W. Instrukcja obsługi

PRZYKŁADOWE ZADANIE. Do wykonania zadania wykorzystaj: 1. Schemat elektryczny nagrzewnicy - Załącznik 1 2. Układ sterowania silnika - Załącznik 2

Trójfazowy wymuszalnik Wysokiego Napięcia " EMEX 2,5 kv " Instrukcja obsługi

Instrukcja obsługi. Model

Gospodarka wypalonym paliwem jądrowym analiza opcji dla energetyki jądrowej w Polsce

Ochrona przed zagrożeniami po awariach w EJ. Biuletyn Miesięczny PSE, wrzesień 2005, s , Cykl: Energetyka atomowa

WIĘCEJ INFORMACJI NA INSTRUKCJA OBSŁUGI. PRZETWORNICA ELEKTRONICZNA 12V DC na 230V AC 24V DC na 230V AC

INSTRUKCJA OBSŁUGI ZASILACZ PWS-100RB-2

Urządzenie samo ratownicze (ARD) Dla windy. Instrukcja obsługi. (Seria ORV-HD)

Meraserw-5 s.c Szczecin, ul.gen.j.bema 5, tel.(91) , fax (91) ,

4" Pompy Zatapialne GS

Doniesienia z katastrofy w elektrowni Fukushima I (Dai-ichi Japonia)

Jak i z kim obniżać koszty sprężonego powietrza w przemyśle. Optymalizacja systemów sprężonego powietrza

Borealis AB Serwis Techniczny i Rozwój Rynku Reinhold Gard SE Stenungsund Szwecja

INSTRUKCJA INSTALACJI

Zasilanie obiektów telekomunikacyjnych, wymagania

Do dyskusji. Bezpieczeństwo transportu odpadów radioaktywnych. Prof. dr inż. A. Strupczewski Narodowe Centrum Badań Jądrowych

WIĘCEJ NA TEMAT NASZYCH PRODUKTÓW ZNAJDZIESZ NA INSTRUKCJA OBSŁUGI. PRZETWORNICE ELEKTRONICZNE 12V DC na 230V AC

2. Charakterystyka Niezawodny, napędzany turbiną wodną Pozbawiony jakiegokolwiek osprzętu elektrycznego Wysokowydajny do 816 m 3 piany na minutę Certy

LAURA 20/20 LAURA 20/20 F LAURA 20/20 T. Kocioł gazowy wiszący Instrukcja obsługi dla użytkownika

INSTRUKCJA OBSŁUGI ZASILACZ PWS-201B, PWS-201RB

Instrukcja obsługi zasilaczy awaryjnych serii AT-UPS

INSTRUKCJA OBSŁUGI. Kompresor powietrza HP Autozubehör Produkt nr Strona 1 z 8

ROZDZIAŁ VIII. BEZPIECZEŃSTWO ELEKTROWNI JĄDROWYCH 1

Energetyka Jądrowa. źródło: Wszystko o energetyce jądrowej, AREVA

SYSTEM E G S CENTRALKA, SYGNALIZATOR INSTRUKCJA UŻYTKOWANIA

Skorzęcin Fukushima. Reminiscencje ze spotkania International Nuclear Workers' Unions' Network. Skorzęcin 2014 r. Grzegorz Jezierski

GRAWITACYJNE SYSTEMY ODDYMIANIA SYSTEMY ELEKTRYCZNE I PNEUMATYCZNE PORÓWNANIE

Więcej na temat Naszych produktów na INSTRUKCJA OBSŁUGI. PRZETWORNICA ELEKTRONICZNA 12V DC na 230V AC 24V DC na 230V AC SINUS PLUS

Zestaw filtracyjny MINI Saturn Instrukcja obsługi i instalacji

Pompka kalibracyjna HCHP

Optymalizacja inwestycji remontowych związanych z bezpieczeństwem pożarowym dzięki wykorzystaniu technik komputerowych CFD

INSTRUKCJA OBSŁUGI ZASILACZ PWS-150RB

Specyfika elektroenergetycznej automatyki zabezpieczeniowej tową regulacją

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

Wymiennik do kominków. INOTEC Sp. z o.o. ul. Radziecka Nowy Sącz tel./fax. (48 18)

TA 7 Instrukcja instalacji i obsługi Programator sterowania odmulaniem TA 7

Jakie sytuacje mogą nas zaskoczyć?

INSTRUKCJA OBSŁUGI DETEKTOR WIELOFUNKCYJNY METEK

Ocena kosztów zakłóceń dostaw energii elektrycznej i ich wpływ na system elektroenergetyczny, gospodarkę oraz społeczeństwo w Polsce.

ELEKTROWNIE. Czyste energie Energetyka jądrowa. Damazy Laudyn Maciej Pawlik Franciszek Strzelczyk

4. SPRZĘGŁA HYDRAULICZNE

REGULATORY TRÓJFAZOWE PRĘDKOŚCI OBROTOWEJ Z SERII FCS FIRMYY CAREL

LOKALIZATOR PRZENOŚNY KDZ-3C.

Optymalizacja rezerw w układach wentylatorowych spełnia bardzo ważną rolę w praktycznym podejściu do zagadnienia efektywności energetycznej.

Energetyka Jądrowa. źródło: Wszystko o energetyce jądrowej, AREVA

Poprawa efektywności energetycznej w przemyśle: zadanie dla Herkulesa czy praca Syzyfa?

MAŁA PRZYDOMOWA ELEKTROWNIA WIATROWA SWIND 3200

P O L I T E C H N I K A Ł Ó D Z K A INSTYTUT ELEKTROENERGETYKI ZAKŁAD ELEKTROWNI LABORATORIUM POMIARÓW I AUTOMATYKI W ELEKTROWNIACH

Klasyfikacja i kwalifikacja konstrukcji, systemów i elementów ważnych dla bezpieczeństwa elektrowni jądrowej,

Tylna strona Vibstand a 2 zawiera panele zawierające przyłącza komunikacyjne, zasilające oraz bezpieczniki.

PRZEŁĄCZENIE MAGISTRALI DN600, R.

UKŁAD SAMOCZYNNEGO ZAŁĄCZANIA REZERWY ZASILANIA (SZR) z MODUŁEM AUTOMATYKI typu MA-0B DOKUMENTACJA TECHNICZNO-RUCHOWA

Tłumaczenie oryginalnej Instrukcji instalacji

ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 3 grudnia 2002 r.

Ładowanie akumulatorów kwasowo- ołowiowych

ELEKTRONICZNY UKŁAD ZABEZPIECZAJĄCY UZE Instrukcja obs³ugi

Informacja o występujących zagrożeniach w WARTER Spółka z o. o. oddział Kędzierzyn-Koźle

Skrócona instrukcja obsługi

ZASUWY NOŻOWE. LECHAR Art.170TH, 172TH. Przeznaczenie i zastosowanie

INSTRUKCJA OBSŁUGI GK

EPPL , 15-31, 20-31

6" Zatapialne Pompy Elektryczne Z6-ZN6

NAGRZEWNICA ELEKTRYCZNA (400V) Instrukcja obsługi

LUZS-12 LISTWOWY UNIWERSALNY ZASILACZ SIECIOWY DOKUMENTACJA TECHNICZNO-RUCHOWA. Wrocław, kwiecień 1999 r.

INSTRUKCJA OBSŁUGI. Automatyczny Stabilizator Napięcia AVR-1000, AVR-2000, AVR-3000, AVR-5000

Kompresor śrubowy GD-VSI7 7,5/13, 400V, GUDEPOL

Warszawa, kwiecień 2013 BS/51/2013 POLACY O ENERGETYCE JĄDROWEJ I GAZIE ŁUPKOWYM

Transkrypt:

1. Wstęp AWARIE REAKTOROWE A BEZPIECZEŃSTWO ELEKTROWNI JĄDROWYCH Andrzej Strupczewski Instytut Energii Atomowej, POLATOM, 05-400 Świerk k. Otwocka Przeciwnicy energetyki ementu jesteśmy o krok od katastrofy, a eksperci energetyki jądrowej zatajają fakty lub wręcz kłamią. W rzeczywistości to nie łut szczęścia, jak twierdzą przeciwnicy, lecz doskonalony przez 50 lat system obrony w głąb i wysoko rozwinięta kultura bezpieczeństwa zapewniają, że nawet w przypadku uszkodzeń elementów i błędów ludzi nie ma zagrożenia dla mieszkańców w okolicy elektrowni ani dla środowiska. System obrony w głąb, w którym w razie uszkodzenia jednego elementu zawsze istnieje drugi a potem dalsze elementy mogące zastąpić element uszkodzony, został opisany w referatach przedstawionych w ramach III Szkoły Energetyki Jądrowej. W tym referacie dokonamy przeglądu awarii, jakie nastąpiły w ostatnim 25 leciu, które przeciwnicy ogłaszali jako powodujące zagrożenie gorsze od Czarnobyla. Były to wydarzenia w EJ Davis Besse, EJ Forsmark i w EJ Paks. Opisy wcześniejszych awarii znajdują się w mojej książce Awarie reaktorowe a bezpieczeństwo energetyki jądrowej 1 Jest ona zresztą dobrą ilustracją przejrzystości stosowanej w energetyce jądrowej awarie reaktorowe, o których Greenpeace twierdził, że są utajnione przez atomistów, są w tej książce opisane bardzo szczegółowo. Użyłem powyżej słowa wydarzenia a nie awarie, bo charakterystyki tych wydarzeń były różne. W jednym przypadku przepalenia paliwa w czasie czyszczenia go poza reaktorem EJ Paks - doszło do wydzielenia niewielkiej ilości produktów rozszczepienia, w EJ Forsmark wystąpił zanik zasilania elektrycznego, który nie spowodował żadnych szkód w rdzeniu ani w innych układach zawierających radionuklidy, a w EJ Davis Besse elektrownia została wyłączona, a korozyjne osłabienie zbiornika znaleziono i naprawiono zanim doszło do awarii. We wszystkich przypadkach istotą rolę odegrały błędy ludzkie i we wszystkich system głębokiej obrony okazał się wystarczająco sprawny, by uchronić ludność od jakiegokolwiek zagrożenia. Analizę tych trzech wydarzeń zaczniemy od osłabienia korozyjnego pokrywy zbiornika reaktora w EJ Davis Besse, potem omówimy zanik zasilania elektrycznego w EJ Forsmark, a zakończymy analizą jedynej awarii z uwolnieniami produktów rozszczepiania w EJ Paks. 2. Osłabienie korozyjne pokrywy zbiornika reaktora w EJ Davis Besse. 2.1. Ogólny opis sytuacji w EJ Davis Besse W połowie 2001 roku amerykańska Komisja Dozoru Jądrowego NRC wydała firmom prowadzącym eksploatację elektrowni jądrowych polecenie, aby dokonały inspekcji pokryw zbiorników reaktora dla wykrycia możliwych wżerów korozyjnych powodowanych przez przecieki chłodziwa, w którym było znaczące stężenie kwasu borowego. Źródłami przecieków mogą być nieszczelności w króćcach przymocowanych do górnej pokrywy zbiornika ciśnieniowego reaktora, przez które przechodzą napędy prętów regulacyjnych. Przy normalnych pracach konserwacyjnych i remontach pokrywa reaktora była trudno dostępna i ewentualnie istniejące wżery były niewidoczne. Sprawdzenie stanu pokryw wymagało więc specjalnego działania. Wg polecenia NRC, inspekcje w reaktorach potencjalnie bardziej narażonych na te przecieki miały być wykonane do końca grudnia 2001 roku. Firma prowadząca eksploatację EJ Davis Besse (1 blok z reaktorem PWR, o mocy netto 873 MWe, w Oak Harbor, stan Ohio) wystąpiła z prośbą o zezwolenie na odłożenie inspekcji do chwili, gdy elektrownia zakończy kolejną roczną kampanię paliwową i zostanie odstawiona na przeładunek paliwa w kwietniu 2002 roku. Po dyskusjach i przeprowadzeniu analiz ryzyka, NRC ustaliła ostatecznie termin odstawienia elektrowni na 16 lutego 2002. Gdy inspekcję przeprowadzono, w dniu 5 marca 2002 roku w pokrywie zbiornika reaktora EJ Davis Besse znaleziono wżer korozyjny o powierzchni około 100 cm 2 2 [1]. Wżer ten przechodził na wskroś przez warstwę stali węglowej o grubości 16,8 cm i sięgał wewnętrznej wykładziny ze stali kwasoodpornej. Wykładzina ta wytrzymała ciśnienie obiegu pierwotnego podczas eksploatacji elektrowni, ale nie była ona zaprojektowana do spełniania takiej roli. Gdyby uszkodzenia nie znaleziono podczas nakazanej przez NRC inspekcji, to dalsze eksploatacja reaktora mogła doprowadzić do rozerwania wykładziny i awarii prowadzącej do utraty chłodziwa w rdzeniu reaktora. Powstanie wżeru było wywołane pękaniem króćca, przez który przechodził drążek napędu prętów regulacyjnych, osadzonego w górnej pokrywie zbiornika reaktora. Przez pęknięcia wyciekało chłodziwo, zawierające kwas borowy o znacznym stężeniu. Działanie roztworu tego kwasu z zewnątrz na stal węglową w pokrywie zbiornika spowodowało korozję. Ogólny widok pokrywy z napędami prętów regulacyjnych pokazany jest na Rys. 2.1, a położenie głębokiego wżeru w pokrywie oraz zdjęcie przedstawiające widok po usunięciu sąsiedniego króćca i mechanizmu napędu prętów regulacyjnych na Rys. 2.2.

Rys. 2.1. Rejon pokrywy zbiornika reaktora EJ Davis Besse, w którym wystąpiła korozja stali węglowej pod działaniem roztworu kwasu borowego. Control Rod Drive Mechnism - mechanizm napędu prętów regulacyjnych, Reactor Vessel Head (RVH) Carbon Steel Portion - część pokrywy zbiornika wykonana ze stali węglowej, Area of Davis Besse RVH Degradation - obszar skorodowany, RVH Insulation - izolacja cieplna pokrywy zbiornika, Reactor Vessel Head - pokrywa zbiornika reaktora. Rys. 2.2. Położenie jamy wżerowej w pokrywie reaktora EJ Davis Besse i widok wżeru po usunięciu sąsiedniej dyszy i mechanizmu napędu prętów regulacyjnych. 2.2. Przebieg wydarzeń przed zatrzymaniem EJ Davis Besse NRC już na początku lat 90-tych wydała polecenie, by organizacje eksploatujące elektrownie jądrowe sprawdziły, gdzie znajdują się ślady przecieków chłodziwa na pokrywę zbiornika reaktora i starannie usunęły nacieki kwasu borowego, by przygotować pokrywę zbiornika do inspekcji. Jednakże nie wszystkie elektrownie wykonały to polecenie. Między innymi nie wykonała go EJ Davis Besse. 2

Pokrywa reaktora jest trudno dostępna, zazwyczaj w czasie prac remontowych jest ogrodzona by powstrzymać pracowników przed przypadkowym wchodzeniem na pokrywę, bo grozi to otrzymaniem pewnych, choć niewielkich dawek promieniowania. Praca przy usuwaniu nacieków kwasu borowego jest żmudna, a że jest wykonywana w warunkach ograniczonej dostępności, jest ona długotrwała i wiąże się ze znacznie większymi dawkami promieniowania niż przejściowe przebywanie na pokrywie. Wobec tego, że elektrownie jądrowe starają się wszelkimi metodami redukować napromieniowanie pracowników, zalecenia NRC wiążące się z dodatkowym napromieniowaniem personelu były niechętnie widziane. Oczywiście nikt w elektrowni nie spodziewał się, że sytuacja jest tak zła, jak okazało się po inspekcji. NRC zaś, po wydaniu zalecenia, nie podjęła akcji kontrolnych by sprawdzić, jak to polecenie jest wykonywane. Wobec tego, że organizacja eksploatująca EJ Davis Besse składała do NRC meldunki mówiące, że stan pokrywy jest normalny, NRC nie spodziewała się, że korozja może być daleko zaawansowana. W lutym 2001r. NRC dowiedziała się z inspekcji w EJ Oconee o obwodowym pękaniu króćców, przez które przechodzą napędy prętów regulacyjnych i zareagowała prawidłowo, wydając ponownie polecenie wszystkim operatorom elektrowni jądrowych by sprawdzili, czy w ich reaktorach występują podobne problemy. NRC nie wymagała, by wszystkie elektrownie zostały natychmiast wyłączone. Z drugiej jednak strony, NRC nie pozwoliła odłożyć inspekcji do następnego planowego wyłączenia elektrowni, bo to oznaczałoby niedopuszczalny wzrost ryzyka ze strony tych reaktorów, które były najbardziej podatne na korozję. Dlatego NRC w biuletynie 2001-01 z sierpnia 2001r. zobowiązała operatorów elektrowni najbardziej narażonych na korozję do przeprowadzenia inspekcji w grudniu 2001 roku i pozostawiła innym czas do następnego planowanego wyłączenia reaktora. Eksploatatorzy dwóch reaktorów o znanej, wysokiej podatności na korozję zastosowanych w nich materiałów w obiegu pierwotnym nie wykonali polecenia (Davis Besse i D.C. Cook 2). NRC zastosowała procedurę podejmowania decyzji w oparciu o ocenę ryzyka i zezwoliła elektrowni Cook na pracę do 18 stycznia 2002 roku. Firma First Energy eksploatująca EJ Davis Besse wystąpiła o zezwolenie na utrzymanie elektrowni w ruchu do końca marca 2002 roku, tak by mogła ona przepracować pełną kampanię paliwową. Jednakże w przypadku Davis Besse eksperci NRC uznali, że brak jest podstaw do zezwolenia na przedłużenie jej okresu pracy poza 31 grudnia i przedstawili komisarzom NRC propozycję polecenia odstawienia elektrowni (do czego NRC jest uprawniona). Komisarze nie zdecydowali się na wydanie tego polecenia decydując, że można zezwolić na pracę do 16 lutego, jeśli First Energy przedstawi wystarczające, dodatkowe środki ostrożności, które umożliwią przedłużenie eksploatacji po dniu 31 grudnia. Firma First Energy zaproponowała takie środki, Komisarze uznali je za wystarczające i termin wyłączenia elektrowni ustalono na 16 lutego 2002 3. Należy dodać, że awaria z rozszczelnieniem pokrywy zbiornika, chociaż poważna, nie oznacza jeszcze uszkodzenia rdzenia. W raporcie bezpieczeństwa rozpatruje się nieco większą awarię, bo obejmującą rozerwanie pokrywy zbiornika z jednoczesnym wypływem wody i wyrzuceniem zestawu prętów regulacyjnych z rdzenia. Środki bezpieczeństwa w elektrowni jądrowej są tak dobierane, aby zapewnić bezpieczeństwo nawet w przypadku tak potencjalnie groźnej awarii. Elektrownia Davis Besse miała wymagane systemy bezpieczeństwa, a jej obudowa była obliczona na przypadek awarii ze stopieniem rdzenia. Systemy bezpieczeństwa elektrowni mogą być w czasie pracy elektrowni poddawane przeglądom i zabiegom konserwacyjno-remontowym, co oznacza, że jeden z trzech równoległych podsystemów bezpieczeństwa może być na kilka godzin wyłączony z użytkowania. Oczywiście obniża to nieco bezpieczeństwo elektrowni. Jednym z zobowiązań, jakie podjęła EJ Davis Besse starając się o odroczenie terminu wyłączenia reaktora, było utrzymanie układu awaryjnego chłodzenia rdzenia w pełnej gotowości, bez wyłączenia żadnego z podsystemów dla celów remontowych, aż do chwili planowanego wyłączenia reaktora 4. NRC uwzględniła to zobowiązanie podejmując decyzję o terminie wyłączenia elektrowni. Twierdzenie, że rozerwanie pokrywy oznaczałoby katastrofę jądrową jest bezpodstawne. Jednakże dopuszczanie do sytuacji grożącej rozerwaniem pokrywy było błędem NRC. 2.3. Wyniki analizy wykonanej przez grupę roboczą NRC po wykryciu wżeru korozyjnego Powołana do analizy korozji w pokrywie zbiornika EJ Davis Besse grupa robocza NRC zbadała sprawę i stwierdziła, że można było tej sytuacji uniknąć. Przeciek i uszkodzenie pokrywy zbiornika zdarzyły się, bo: Dozór jądrowy (NRC), właściciel elektrowni i przemysł jądrowy nie przeprowadzili wystarczająco dokładnie przeglądu i analizy istniejącego doświadczenia eksploatacyjnego i nie wyciągnęli zeń wniosków. Właściciel nie przykładał do spraw bezpieczeństwa takiej wagi, na jaką zasługiwały. 3

NRC nie przeprowadziła integracji znanych informacji w celu dokonania oceny bezpieczeństwa reaktora w Davis Besse 5. Odkrycie korozji w pokrywie zbiornika reaktora w Davis Besse spowodowanej przez kwas borowy zaskoczyło i NRC i przemysł jądrowy. Poprzednio zdarzyły się tylko dwa przypadki tego typu, a żaden z nich nie dotyczył stopu Alloy 600 stosowanego w Davis Besse. Ale pękanie króćców, w których znajdowały się napędy prętów regulacyjnych, zdarzało się często i było dużo doświadczenia eksploatacyjnego dotyczącego korozji powodowanej przez kwas borowy w innych elementach. Grupa robocza stwierdziła, że już o 10 lat wcześniej wiadomo było, że istnieje potencjalna możliwość wypadków takich, jaki zaszedł w Davis Besse. Pomimo bogactwa informacji obejmujących eksploatację reaktorów w USA i w innych krajach, włączając także analizy i badania inżynieryjne, doszło jednak do osłabienia wytrzymałości zbiornika w Davis Besse. Przypadki osłabienia elementów urządzeń jądrowych wskutek korozji wywołanej przeciekami z obiegu pierwotnego były znane od ponad 30 lat. Przez ponad 15 lat wiadomo było, że w króćcach ze stopu Alloy 600 występują pęknięcia i przecieki. W 1993 roku NRC i przemysł jądrowy rozpatrywały możliwości głębokiej korozji pokrywy zbiornika reaktora wywołanej nie wykrytym wyciekiem z dyszy zawierającej napędy prętów regulacyjnych. Przemysł doszedł wówczas do wniosku, że prawdopodobieństwo takiego zjawiska jest małe, ponieważ przeciek byłby wykryty zanim mogłaby nastąpić znacząca korozja pokrywy reaktora. NRC zaakceptowała ten wniosek. Wobec tego, że zarówno przemysł jądrowy jak i NRC uznały, że pękanie króćców nie stanowi bezpośredniego zagrożenia, dalsze starania NRC o wyjaśnienie związanych z tym procesów przebiegały wolniej niż powinny. O ile przemysł podjął działania dla ulepszenia możliwości kontroli poza wizualnej, o tyle wymagania dozoru dotyczące inspekcji pozostały niezmienione. Grupa robocza NRC sformułowała 51 zaleceń. Wiele z nich odnosi się do konkretnych problemów technicznych związanych z pękaniem i korozją elementów reaktorowych, ale są i takie, które dotyczą procesu rozwiązywania problemów bezpieczeństwa i wykorzystania doświadczenia przemysłu jądrowego. Grupa robocza stwierdziła, że NRC nie uwzględniła w swym programie badań sprawy pękania króćców, wycieku kwasu borowego i korozji stali węglowej. 2.4. Zarzuty przeciwników energetyki jądrowej Przeciwnicy energetyki jądrowej zarzucili NRC, że ugięła się wobec sprzeciwów firmy First Energy prowadzącej eksploatację reaktora i zgodziła się na przesunięcie terminu inspekcji z pierwotnie proponowanej daty 31 grudnia 2001 do 16 lutego 2002 roku, a więc o półtora miesiąca 6. NRC przyznaje, że była to błędna decyzja. Podjęto ją po długich rozważaniach i dyskusjach wewnątrz NRC, i to dopiero po otrzymaniu od właściciela elektrowni wykazu dodatkowych środków ostrożności, do których zobowiązał się 20 października 2001 roku dla skompensowania opóźnienia w inspekcji. Prezes NRC zaprosił NIRS i UCS do współpracy 7 przy rozwiązaniu problemów, które pozostały nierozwiązane w raporcie grupy specjalnej NRC. Z kolei NIRS zgodził się, że personel NRC poprawnie zastosował metodę podejmowania decyzji w oparciu o kryterium zintegrowanego ryzyka, i że metoda ta stanowi właściwe podejście do problemów bezpieczeństwa 8. Po 14 miesiącach napraw firma First Energy otrzymała zezwolenie na dalszą eksploatację elektrowni EJ Davis Besse. Ostatecznie kontrowersje zakończyły się w 2004 roku, gdy NRC opublikowała wyniki pełnych badań wszystkich aspektów korozji zaobserwowanej w EJ Davis Besse. 2.5. Stan bezpieczeństwa EJ Davis Besse w chwili jej wyłączenia w lutym 2002 roku. Dochodzenia po wykryciu wżeru korozyjnego przeprowadzone przez specjalny zespół ekspertów NRC wykazały, że już przed 2001 rokiem występowały w EJ Davis Bese objawy wskazujące na poważną korozję pokrywy zbiornika 9. W listopadzie 1988 roku wystąpiło zatykanie filtrów gazów promieniotwórczych, a w marcu 1999 zatykanie chłodnicy powietrza w obudowie bezpieczeństwa. Analiza substancji powodujących zatykanie wykazała, że były to duże ilości kryształków kwasu borowego razem z czarnymi, brązowymi i czerwonymi tlenkami żelaza, stanowiącymi produkty korozji. Jednakże operator elektrowni uważał, że substancje te pochodzą z kołnierzy obsad napędów prętów regulacyjnych, których przecieki były znane, a nie z korozji samej pokrywy zbiornika 10. W tym okresie i wcześniej (1996-2002) operator nie mógł dokonać inspekcji wizualnej stanu pokrywy w pobliżu króćców napędów prętów regulacyjnych, ponieważ duże osady niezmywalnego kwasu borowego uniemożliwiały obserwację kamerami wideo stosowanymi w inspekcji tych obszarów 11 4

Podobnie jak w przypadku zatykania filtrów, firma First Energy prowadząca eksploatację elektrowni uważała, że osady na pokrywie zbiornika pochodzą z kołnierzy króćców napędów prętów regulacyjnych, a nie z pęknięć w samych króćcach. Firma First Energy utrzymywała, że inspekcja wizualna środkowych króćców nie jest ważna, ponieważ króćce te charakteryzują się niższym poziomem naprężeń resztkowych i w związku z tym są one mniej podatne na pękanie powodowane przez korozję naprężeniową. Jednakże inspektorzy NRC w oparciu o analizy bezpieczeństwa zażądali, by EJ Davis Besse została odstawiona 16 lutego 2002r. w celu przeprowadzenia 100% inspekcji króćców. W wyniku inspekcji znaleziono cztery pęknięcia osiowe w jednym z króćców, przy czym dwa z nich przechodziły na wylot. Jedno pęknięcie, o długości 2,8 cm, dochodziło do wżeru i było zapewne źródłem wypływu chłodziwa zawierającego kwas borowy. Drugie pęknięcie leżało po stronie przeciwnej i nie było wokoło niego żadnych śladów korozji 12. Po przyjęciu szeregu założeń, które albo odpowiadały ściśle wartościom rzeczywistym, albo były dobrane pesymistycznie okazało się, że ciśnienie potrzebne do rozerwania wykładziny byłoby dużo większe niż ciśnienie eksploatacyjne. Na tej podstawie NRC określiła prawdopodobieństwo rozerwania pokrywy w tym stanie jako skrajnie małe 13 Prezes NRC w kwietniu 2003 roku oświadczył, że EJ Davis Besse nie była tak wielką groźbą dla społeczeństwa jak się teraz przedstawia 14. W ocenie NRC ze stycznia 2003 roku zwrócono uwagę na drobne pęknięcia w wykładzinie stalowej, wpływające ujemnie na wytrzymałość tej wykładziny. Obejmowały one obszar o długości około 5 cm, przy czym najdłuższe z pęknięć miało długość 1,5 cm. Rys.2.3. Drobne pęknięcia w wykładzinie ze stali nierdzewnej. Badania laboratoryjne wykazały, że przy ciśnieniu eksploatacyjnym 14,6 MPa pęknięcia te nie miały tendencji do powiększania się. Po przeprowadzeniu obszernych prac doświadczalnych i analitycznych, w których przyjmowano założenia pesymizujące, oraz po uzyskaniu opinii niezależnych ekspertów, NRC stwierdziła, że dla pęknięć o długości 5 cm ciśnienie powodujące rozerwanie wykładziny wynosiłoby od 18,2 MPa do 22,3 MPa, ze średnią wartością równą 20,3 MPa. Dla pęknięć krótszych o długości 1,5 cm średnia wartość ciśnienia powodującego rozerwanie wynosi 35,5 MPa. 5

Są to wartości większe od ciśnienia eksploatacyjnego wynoszącego 14,6 MPa. Przy najbardziej pesymistycznym modelu, w którym założono, że równoważna długość pęknięć wynosi 5 cm, zapas bezpieczeństwa wyniósł od 1,2 do 1,5, z wartością średnią równą 1,4 15. Do awarii nie doszło i wydarzenie to nie spowodowało żadnych skutków radiacyjnych, a według analiz przeprowadzonych przez NRC, zapas bezpieczeństwa był jeszcze ciągle duży mimo powstania wżeru korozyjnego. Ciśnienie, przy którym mogłoby nastąpić rozerwanie wykładziny ze stali nierdzewnej, było większe od ciśnienia eksploatacyjnego przynajmniej o 25%. Według oceny ekspertów, elektrownia mogła pracować bezpiecznie przez szereg miesięcy, a w każdym razie do końca planowanego pierwotnie cyklu paliwowego. NRC oświadczyła, że zagrożenie było znikomo małe. Jednakże sytuacja, w której elektrownia pracowała ze znacznie osłabionym zbiornikiem była oczywistym naruszeniem zasad bezpiecznej pracy obiektu jądrowego. Firma eksploatująca elektrownię zlekceważyła potencjalne zagrożenie, które - z uwagi na niekontrolowany przez tę firmę proces korozji chemicznej - mogło doprowadzić do poważnej awarii.. 2.6. Ocena decyzji NRC Organizacje antynuklearne w USA krytykowały ostro nie tylko firmę, ale i NRC, zarzucając Komisji, że wyraziła zgodę na odłożenie inspekcji o 6 tygodni później niż NRC zaleciła pierwotnie. W ramach Ustawy o wolności informacji organizacja NIRS otrzymała od NRC wszystkie materiały dotyczące sprawy EJ Davis Besse, łącznie z dosłownymi zapisami na taśmach wszystkich wywiadów przeprowadzonych z dziesiątkami pracowników NRC na temat procesu kształtowania stanowiska o potrzebie inspekcji w EJ Davis Bessse i okoliczności, w jakich doszło do ustalenia ostatecznego terminu. Okazało się, że w samej NRC zdania były podzielone. Ostatecznie uznano wtedy, że środki dodatkowe mające podnieść gotowość elektrowni do opanowania ewentualnej awarii są wystarczające, by ustalić kompromisowy termin zakończenie pracy elektrowni (późniejszy niż pierwotnie proponowany przez NRC, a wcześniejszy niż normalny termin zatrzymania bloku na przeładunek paliwa i remont). Kontrola wewnętrzna i organizacje antynuklearne nie wykryły żadnych śladów interwencji z zewnątrz oraz prób wpływania na pracowników NRC przez firmę energetyczną lub inne osoby z zewnątrz. NRC przyznała, że w tej sprawie popełniono błędy, wynikające ze zbyt małej znajomości procesów korozyjnych w materiałach stosowanych w EJ Davis Besse. Ślady produktów korozji, które zauważano w filtrach powietrza w obudowie bezpieczeństwa interpretowano mylnie jako oznaki korozji kołnierzy, a nie samego materiału pokrywy reaktora. Wobec trudności technicznych w dostępie do pokrywy, rzeczywistego jej stanu nie sprawdzano przez 8 lat. To zaniedbanie spowodowało wysokie straty finansowe, jak zwykle dzieje się, gdy eksploatator elektrowni jądrowej nie zwraca dostatecznej uwagi na utrzymanie wysokiego poziomu bezpieczeństwa. Firma prowadząca eksploatację elektrowni została ukarana wysoką grzywną, a prace naprawcze trwały 14 miesięcy. Koszty zakupu energii dla pokrycia zapotrzebowania, którego nie mogła zaspokoić w tym czasie EJ Davis Besse, wraz z kosztami napraw wyniosły 400 mln USD. NRC podjęła energiczne działania dla wykluczenia podobnych sytuacji w przyszłości i na jej zlecenie przeprowadzono szereg prac studialnych w laboratoriach USA. 2.7. Wnioski z wydarzenia w Davis Besse Warto zauważyć, że mimo trudności w prowadzeniu inspekcji, wykryto jednak głęboką korozję pokrywy reaktora przed grożącą elektrowni awarią. Obecnie wiemy o mechanizmach korozji w pokrywach zbiorników reaktorów znacznie więcej, a system inspekcji jest ulepszony, Dla nowych reaktorów, a takie będą instalowane w Polsce, wymagamy 100% inspekcji i pełnego dostępu do wszystkich elementów obiegu pierwotnego według zaplanowanego w projekcie elektrowni harmonogramu. W reaktorze EPR możliwość przeprowadzania inspekcji i skutecznego wykrywania wszelkich osłabień materiałów jest jednym z zasadniczych wymagań bezpieczeństwa. Gdy w toku produkcji rur obiegu pierwotnego dla EJ Olkiluoto 3 okazało się, że ziarnistość stali w rurociągach jest zbyt duża i może powodować trudności w interpretacji pomiarów ultradźwiękowych, rurociągi odrzucono jako niezdatne do pracy w EJ. Trzeba było wykonywać je po raz drugi. Prowadząca budowę firma AREVA i dozór fiński udowodniły w praktyce, że lekcje z Davis Besse nie poszły na marne i zapewnienie dobrej informacji o stanie obiegu pierwotnego przez cały czas pracy EJ jest ważniejsze niż dodatkowe koszty i opóźnienia podczas budowy. Poza tym zgodnie ze stale aktualizowanymi zasadami i filozofią bezpieczeństwa dla obiektów jądrowych zakłada się obecnie, że rzeczywiście mogą wystąpić nowe zjawiska związane z zagrożeniami, których nie znaliśmy wcześniej. Obecnie definicja awarii projektowej (design basis accident - DBA) to uszkodzenie jednego elementu z nieznanego powodu i do tego dodatkowo uszkodzenie jednego układu bezpieczeństwa, też z nieznanego powodu. W Davis Besse takie nieoczekiwane uszkodzenie wystąpiło w postaci korozji stali węglowej pokrywy zbiornika reaktora. Jednakże 6

system obrony w głąb zdał egzamin - do utraty chłodziwa z obiegu pierwotnego nie doszło, paliwo nie było zagrożone. Co więcej, w analizach bezpieczeństwa reaktora PWR przewidziano przypadek rozerwania w pokrywie reaktora, połączonego dodatkowo z wyrzuceniem pręta regulacyjnego z rdzenia, a więc przypadek groźniejszy od możliwej utraty wody przez otwór w pokrywie w Davis Besse. Układy bezpieczeństwa reaktora PWR są wystarczające by opanować taką awarię. A dla reaktorów III generacji, chociaż są one wyposażone we wszystkie systemy potrzebne do opanowania awarii i zapewniają możliwość łatwej inspekcji, w analizach zakładamy, że nastąpiła ciężka awaria ze stopieniem rdzenia. I po takiej ciężkiej awarii, chociaż reaktor ulegnie rozległemu uszkodzeniu, ludność pozostaje bezpieczna. W EJ Davis Besse zlekceważono zasady bezpieczeństwa eksploatacyjnego, co mogło doprowadzić lecz nie doprowadziło do awarii w zbiorniku reaktora. Firma eksploatująca elektrownię została ukarana przez NRC, a dodatkowo poniosła duże straty z powodu konieczności długotrwałego wyłączenia elektrowni i kosztów napraw. Działania podjęte po awarii przez NRC zapewniły zdecydowane zwiększenie naszej wiedzy o procesach korozyjnych w układach jądrowych elektrowni a także pozwoliły zaostrzyć wymagania dotyczące inspekcji, której jest poddawany każdy obiekt jądrowy. Koszty zaniedbań poniesione przez właściciela elektrowni były wysokie, ale jak stwierdził prezes NRC Nils Diaz, sytuacja w elektrowni Davis Besse stanowiła dużo mniejsze zagrożenie niż twierdzą organizacje antynuklearne. Do awarii w EJ Davis Besse nie doszło, a gdyby taka awaria nastąpiła, produkty rozszczepienia pozostałyby zlokalizowane wewnątrz obudowy bezpieczeństwa. 3. Zanik zasilania elektrycznego w EJ Forsmark 3.1. Oceny awarii w EJ Forsmark podawane przez przeciwników energetyki jądrowej Wypadek w bloku Forsmark-1 w Szwecji w lecie 2006 mógł zakończyć się jak Czarnobyl, twierdzą przeciwnicy energetyki jądrowej. Gdyby zawiodły dalsze generatory awaryjne, rdzeń wybuchnąłby jak Czarnobyl, dodają. By uwiarygodnić wielkość zagrożenia, niemiecka gazeta Welt Am Sonntag 16 przypisuje premierowi heroiczną decyzję, która uratowała elektrownię, pisząc: premier Szwecji Goran Person dał kierownictwu elektrowni zezwolenie na otwarcie specjalnego zaworu, chroniącego przed eksplozją i rozerwaniem obudowy bezpieczeństwa. Elektrownie jądrowe szybko wychodzą spod kontroli i rdzeń ich się topi, jeśli zdarzą się zwarcia lub nawet tylko szybkie zmiany napięcia w sieci, twierdzi Henrik Paulitz z niemieckiej grupy International Physicians for the Prevention of Nuclear War 17. Organizacja Greenpeace zażądała, by natychmiast zamknąć wszystkie szwedzkie elektrownie jądrowe 18. Inni wojownicy antynuklearni przyłączyli się do chóru krytyków. Tymczasem szwedzki urząd dozoru jądrowego zaklasyfikował incydent w Forsmark jako wydarzenie na poziomie 2 w skali MAEA obejmującej 7 poziomów (siódmy poziom najwyższy odpowiada awarii w Czarnobylu) [4], informacje niemieckie nazwał kompletnie fałszywymi, a premier Goran Person jest absolutnie pewny, że nie interweniował w żaden sposób w sprawie incydentu w Forsmark 19. Jak groźny był więc incydent w Forsmark? 3.2. Ogólna charakterystyka wydarzeń w EJ Frosmark W lipcu 2006r. po zwarciu wywołanym pracami prowadzonymi poza elektrownią, nastąpił w bloku Forsmark 1 chwilowy zanik napięcia, wskutek czego zostały uruchomione rezerwowe generatory z silnikami diesla, zapewniające zasilanie układów bezpieczeństwa. W bloku Forsmark 1, podobnie jak w innych elektrowniach jądrowych, znajdują się cztery generatory zasilania rezerwowego, przy czym dwa z nich wystarczają do niezawodnego wyłączenia reaktora i utrzymania pracy układów bezpieczeństwa zapewniających odbiór ciepła powyłączeniowego. Dwa pozostałe stanowią rezerwę rezerwy. W czasie opisywanego stanu przejściowego dwa z czterech generatorów nie dostarczały prądu. Nie spowodowało to utraty funkcji systemów bezpieczeństwa, reaktor wyłączył się i był chłodzony zgodnie z wymaganiami, ale nastąpiło pogorszenie warunków pracy - w nastawni blokowej zgasło oświetlenie i część wskazań pomiarowych nie została zapisana w pamięci komputera 20. Wyłączenie to było skutkiem zwarcia w rozdzielni elektrycznej 400 kv poza terenem elektrowni, powstałego w wyniku błędu popełnionego podczas prac wykonywanych przez szwedzką firmę zarządzającą siecią elektroenergetyczną, Svenska Kraftnod. Następujące po tym zdarzeniu wahania napięcia i częstotliwości sieci wraz z dodatkowymi uszkodzeniami elementów sieci, w szczególności prostowników i falowników stanowiących część systemu zasilania bezprzerwowego UPS sieci prądu zmiennego 230 V zasilanej akumulatorami, spowodowały wyłączenie awaryjnych generatorów z napędem diesla w podsystemach A i B Elektrowni. Nastąpił więc zanik napięcia 7

przez 22 minuty w dwóch z czterech równoległych i wzajemnie rezerwujących się sekcji w kilku systemach bezpieczeństwa. Ten stan przejściowy nie spowodował żadnych zaburzeń w podsystemach C i D. Po 22 minutach operatorom udało się ręcznie podłączyć ponownie listwy zasilania podsystemów A i B do zwykłej sieci 6 kv, która pracowała bez zakłóceń przez cały czas poprzez połączenie z siecią zewnętrzną poza EJ o napięciu 70 kv. Po 45 minutach operatorzy mogli sprawdzić, że reaktor jest bezpiecznie wyłączony 21. Wyłączenie reaktora, chłodzenie rdzenia i odbiór powyłączeniowego ciepła były przez cały czas zapewnione dzięki działaniu automatycznych funkcji bezpieczeństwa w reaktorze. Nie doszło do żadnych uwolnień produktów radioaktywnych. W nastawni incydent ten spowodował napływ wielkiej ilości informacji, które trudno było zinterpretować na bieżąco. Wskutek utraty zasilania w podsystemach A i B, pracujących na napięciu 230 V, doszło do częściowej utraty zapisu informacji o przebiegu stanu przejściowego. Wydarzenie to przy okazji pokazało, że zachowanie bloku energetycznego po zaniku napięcia nie było w pełni zgodne z analizą przedstawioną w raporcie bezpieczeństwa. Wydarzenie to sklasyfikowano w międzynarodowej skali klasyfikacji zakłóceń i awarii jądrowych INES jako poziom 2. Szwedzki Dozór Jądrowy SKI musiał dać formalne zezwolenie przed powtórnym uruchomieniem bloku 22. Wśród informacji, które nie zostały zapisane w pamięci komputerów w czasie stanu przejściowego zagubiono m.in. Pręty bezpieczeństwa w pełni wprowadzone do rdzenia oraz zapis pomiarów poziomu i ciśnienia w zbiorniku ciśnieniowym reaktora. Nie działały również komputery operatora, a niektóre panele kontrolne dawały fałszywe informacje o stanie podsystemów zasilanych z ciągów A i B. Przypadek ten był technicznie skomplikowany, a jego ostateczna analiza została utajniona przez dozór jądrowy Szwecji (SKI) - ze względu na wymogi bezpieczeństwa fizycznego wprowadzone po atakach terrorystycznych w USA z 11 września 2001r. Przeprowadzone niezwłocznie po awarii dochodzenie SKI wykazało, że operatorzy w nastawni w ciągu całego przebiegu awarii działali metodycznie stosując się do nawyków nabytych w czasie treningu na symulatorze EJ i zgodnie z procedurami postępowania awaryjnego. Organizacja eksploatująca EJ Forsmark, to jest Kraftgrupp AB (FKA), zawiadomiła SKI o incydencie niezwłocznie po wyłączeniu reaktora. Niezależnie od czasowego wyłączenia reaktorów EJ Forsmark, FKA szybko ustaliła, że przyczyny awarii mogą dotyczyć także innych EJ i poinformowała o tym inne organizacje eksploatujące EJ w Szwecji i Finlandii. SKI powiadomiła również MAEA. W 3 dni później SKI zażądała od wszystkich eksploatatorów w Szwecji by przedstawili informacje potwierdzające, że ich elektrownie jądrowe nie mają podobnych niedoskonałości w swych systemach bezpieczeństwa takich jak blok EJ Forsmark 1. Wydarzenie z 25 lipca 2006r. wyjawiło słabości w zarządzaniu modyfikacjami i naprawami w elektrowni, włącznie z inspekcją i badaniem zainstalowanego wyposażenia i możliwości eksploatacji. Awaria w Forsmark rozpoczęła szeroką debatę publiczną w Szwecji na temat bezpieczeństwa elektrowni jądrowych. W toku tej debaty i analiz prowadzonych przez ekspertów jądrowych ustalono, że rdzeń reaktora był wystarczająco dobrze chłodzony przez cały czas, a zbiornik ciśnieniowy reaktora nie był poddany żadnym nadmiernym obciążeniom temperaturowym lub ciśnieniowym. Incydent w Forsmark potraktowano bardzo poważnie, ponieważ zaprojektowana dla tej elektrowni obrona w głąb nie pracowała zadowalająco. Kilka podsystemów bezpieczeństwa, które zaplanowano tak, aby pracowały niezależnie nawzajem od siebie, zawiodły jednocześnie wskutek jednego zewnętrznego uszkodzenia. Ważna zasada bezpieczeństwa reaktorowego polegająca na tym, że systemy bezpieczeństwa są projektowane w sposób zapewniający zmniejszenie do minimum ryzyko jednoczesnej niesprawności różnych podsystemów z jednej wspólnej przyczyny, nie była w tym przypadku zachowana. Tym nie mniej, różnorodność automatycznie działających systemów bezpieczeństwa oraz ich zwielokrotnienie (redundancja) były wystarczające, by wyłączyć automatycznie reaktor niezależnie od operatorów (i o to właśnie chodzi w takim przypadku) oraz zapewnić wystarczające chłodzenie rdzenia przez cały czas trwania incydentu. Ponadto, dzięki postępowaniu zgodnie z procedurami postępowania awaryjnego, personel w nastawni mógł działać racjonalnie i utrzymać przez cały czas sytuację pod kontrolą. Dla zorientowania się w jakim stopniu obrona w głąb została osłabiona podczas incydentu w EJ Forsmark przyjrzyjmy się zasadom bezpieczeństwa w reaktorach jądrowych. 3.3. Zasady bezpieczeństwa reaktorowego. Trzy najważniejsze zasady bezpieczeństwa związane z pracą reaktora energetycznego są następujące: Reakcja łańcuchowa rozszczepienia musi być kontrolowana, a razie potrzeby szybko zatrzymana. 8

Ciepło generowane przez rozszczepienia w paliwie musi być odbierane od paliwa. Ciepło powyłączeniowe generowane w paliwie w rdzeniu musi być odbierane od rdzenia przez znaczny okres czasu po wyłączeniu reaktora. Ponadto, jeżeli mimo wszystko dojdzie do stopienia rdzenia, produkty radioaktywne trzeba zatrzymać w obudowie bezpieczeństwa elektrowni. 3.3.1. Kontrola reakcji łańcuchowej rozszczepienia Reakcja łańcuchowa w pracującym reaktorze musi przebiegać w stanie równowagi między liczbą neutronów emitowanych w wyniku rozszczepienia jądra uranu, a liczbą neutronów pochłanianych przez materiały konstrukcyjne w rdzeniu, przez wodę chłodzącą i przez uran, oraz uciekających poza rdzeń. Gdy chcemy zatrzymać pracę reaktora, wprowadzamy odpowiedni materiał pochłaniający neutrony, np. bor lub kadm. W reaktorze z wodą wrzącą - takim jaki pracował w EJ Forsmark - reakcja łańcuchowa może być zatrzymana trzema sposobami: Awaryjne wyłączenie reaktora, co oznacza że duża liczba prętów bezpieczeństwa zawierających bor wprowadzana jest do rdzenia od dołu przez system hydrauliczny, co wygasza reakcję rozszczepienia w ciągu kilku sekund, Wolniejsza procedura wyłączenia reaktora, w której wprowadza się do rdzenia pręty regulacyjne przy pomocy silników elektrycznych, wówczas pełne wprowadzenie prętów bezpieczeństwa do rdzenia zajmuje kilka minut, Wpompowanie do rdzenia reaktora dużej ilości wody zawierającej dużo boru. W czasie incydentu w EJ Forsmark, pierwsze dwie metody działały bez zarzutu. Trzecia metoda jest używana w reaktorach BWR tylko w wyjątkowych sytuacjach. 3.3.2. Chłodzenie paliwa Rozszczepienie jąder uranu powoduje wydzielenie energii, co podnosi temperaturę materiału paliwowego i otaczającej go wody. Ciepło to jest odprowadzane w postaci pary do turbiny. Para napędza wirnik turbiny, po czym jest chłodzona wodą morską i powraca w postaci skroplin i wody zasilającej do reaktora. Gdy zatrzymamy reakcję łańcuchową rozszczepienia, ciepło wydzielane przy rozszczepieniach przestaje powstawać, generowane jest natomiast tzw. ciepło powyłączeniowe. 3.3.3. Ciepło powyłączeniowe Również po wyłączeniu reaktora trzeba nadal odbierać ciepło powyłączeniowe, powstające z opóźnieniem po reakcji rozszczepienia. Ogromna większość energii powstającej w wyniku rozszczepienia ma postać ciepła, ale niewielka frakcja jest przechowywana w postaci radioaktywnych produktów rozszczepienia. Energia tych produktów jest wydzielana stopniowo przy ich rozpadach i przekształca się w ciepło wydzielane, podobnie jak poprzednio, w paliwie. Generacja ciepła powyłączeniowego szybko maleje, tak że w godzinę po wyłączeniu reaktora jego moc wynosi tylko 1% mocy podczas normalnej eksploatacji. 3.3.4. Obudowa bezpieczeństwa z kontrolowanym usuwaniem gazów przez układ filtrujący. Szczelna obudowa bezpieczeństwa stanowi zasadnicze zabezpieczenie przed uwolnieniem do otoczenia produktów radioaktywnych. Właśnie obudowa bezpieczeństwa zapewniła skuteczną ochronę podczas awarii stopienia rdzenia w EJ Three Mile Island, i właśnie obudowy zabrakło w czasie awarii w Czarnobylu. Ponadto, w ciągu ostatnich 15 lat, obudowy bezpieczeństwa w reaktorach szwedzkich były wyposażane w filtracyjne systemy usuwania gazów. Systemy te zatrzymują przynajmniej 99,9% radioizotopów uwolnionych z rdzenia, nie pozwalając im wydostać się do otoczenia elektrowni. 3.3.5. Bezpieczeństwo reaktora w praktyce. Bezpieczeństwo wymaga systemów wybaczających błędy. Podstawowym wymaganiem wobec projektu systemów bezpieczeństwa jest uwzględnienie, że systemy i elementy techniczne mogą pracować nieprawidłowo, albo nie pracować wcale, a ludzie nie zawsze działają racjonalnie. Dlatego rozwiązania techniczne i administracyjne są tak ukształtowane, że wybaczają różne błędy. Ważne elementy i systemy projektuje się z dużymi zapasami bezpieczeństwa, a w razie uszkodzenia przyjmują one położenie bezpieczne. Oznacza to, że jakiekolwiek uszkodzenie zakłócające pracę reaktora musi automatycznie prowadzić do przyjęcia przez reaktor stanu bezpiecznego, w tym (jeżeli potrzeba) do wyłączenia awaryjnego reaktora. 9

Rozbudowane systemy zapewnienia jakości mają pomagać projektantom, producentom, montażystom i personelowi eksploatacyjnemu. Wśród tych wymagań jest stwierdzenie, że przeglądy bezpieczeństwa wszelkich ważnych modyfikacji elektrowni muszą być dublowane. 3.3.6. Reguła 30 minut Ważne funkcje bezpieczeństwa są automatyzowane, aby zmniejszyć ryzyko popełnienia błędu przez człowieka. Dlatego szwedzkie elektrownie jądrowe zostały zaprojektowane z uwzględnieniem tzw. reguły 30 minut, która oznacza, że wszelkie akcje wymagane w ciągu 30 minut w odpowiedzi na incydent muszą być dokonywane automatycznie. Operator może działać, ale nie musi. Ta reguła ma na celu odciążenie operatora od stresu związanego z koniecznością działania bez rozpoznania pełnego obrazu całej sytuacji awaryjnej. 3.3.7. Zasilanie energetyczne Zasilanie energetyczne ważnych pomp, zaworów, wyposażenia pomiarowego i nastawni musi być utrzymywane przez cały czas. Dlatego w elektrowni jest cały szereg źródeł zapewniających dopływ energii do wyposażenia ważnego dla bezpieczeństwa, a mianowicie: Sieć zewnętrzna 400 kv (zasilanie podstawowe potrzeb własnych bloku, z odczepu za generatorem). Sieć zewnętrzna regionalna o napięciu 70 kv (zasilanie rezerwowe potrzeb własnych). Układ zasilania potrzeb własnych ogólnych elektrowni. Szereg niezależnych układów rozprowadzania energii elektrycznej, zasilanych z generatorów napędzanych silnikami Diesla, które są uruchamiane automatycznie w przypadku zaniku zasilania elektrycznego, wspomagane akumulatorami, które gwarantują, że dopływ prądu zmiennego do ważnych elementów bezpieczeństwa nie zostanie przerwany. Tak więc obrona w głąb wymaga, by energia elektryczna dopływała z różnych źródeł. Zachodzi także konieczność zapewnienia różnorodnych i równoległych źródeł zasilania,, stąd mowa o tzw. rezerwowaniu. W Forsmark przykładem takiego rezerwowania było istnienie czterech pracujących równolegle generatorów z napędem silnikami diesla, dostarczających energię do różnych systemów bezpieczeństwa. W stanach awaryjnych wystarczało działanie dwóch generatorów by zapewnić niezbędną moc do elektrowni. Systemy te oznaczone są skrótowo jako podsystemy A, B, C i D. 3.4. Co stało się w Forsmark Nieprawidłowa czynność w rozdzielni wysokiego napięcia 400 kv poza elektrownią Forsmark spowodowała otwarcie wyłącznika, ale powstanie łuku elektrycznego na wyłączniku i zwarcie dwufazowe w sieci 400 kv doprowadziły do zaniku napięcia na szynach wyprowadzenia mocy. Zwarcie spowodowało automatyczne wyłączenie obu turbozespołów, co z kolei spowodowało krótki, ale silny wzrost napięcia w wewnętrznej sieci elektrycznej (zasilającej potrzeby własne) w elektrowni. Moc wyjściowa reaktora została wtedy automatycznie obniżona do 25% wskutek redukcji napływu wody do rdzenia i z powodu wprowadzenia do rdzenia kilku prętów regulacyjnych. Elektrownia przeszła na tryb zasilania potrzeb własnych. Silne wahania napięcia wystąpiły na transformatorach, które zasilały miejscowe systemy energetyczne i niektóre systemy bezpieczeństwa w elektrowni. Każdy z czterech podsystemów był wyposażony w układ bezprzerwowego zasilania (Uninterruptable Power Supply UPS). Systemy te wykorzystują akumulatory by zapewnić, że prąd zmienny dostarczany będzie do ważnych systemów bezpieczeństwa bez przerwy. 10

Rys. 3.1. Przebieg zmian napięcia w sieci po zwarciu w rozdzielni zewnętrznej i zadziałaniu wyłączników blokowych 23 W dwóch podsystemach, A i B, skokowy wzrost napięcia spowodował wyłączenie generatorów i utratę zasilania sieci 230 V. Podsystemy C i D wytrzymały zmiany napięcia i pracowały nadal, co oznaczało, że wyposażenie zasilane z tych podsystemów działało zgodnie z wymaganiami. Różne scalone elementy ochrony systemów zawarte w prostownikach i falownikach spowodowały odłączenie dwóch z czterech systemów zasilania bezprzerwowego UPS. W przypadku zaburzeń, sygnały startu przesyłane są automatycznie do czterech generatorów z napędem diesla (po jednym w każdym podukładzie), które dostarczają rezerwową energię elektryczną. Wszystkie silniki diesla zostały uruchomione automatycznie. Jednakże wobec tego, że podłączenie ich wyjść elektrycznych do podsystemów zależy od dostępności energii elektrycznej z systemów zasilania bezprzerwowego w odpowiednich podsystemach, dwa generatory nie podłączyły się. Dwa pozostałe generatory awaryjne w podsystemach C i D dostarczały energię elektryczną do sieci wewnętrznej w ciągu całego incydentu. Sieć prądu zmiennego zasila także wyposażenie mierzące poziom lustra wody i ciśnienie w zbiorniku ciśnieniowym reaktora. Funkcje te są także rozdzielone na cztery podsystemy. Wobec tego, że dwa z systemów pomiarowych nie pracowały, spowodowało to (zgodnie z projektem) automatyczne wyłączenie awaryjne reaktora. Znaczna część oprzyrządowania pomiarowego w nastawni także nie działała, ponieważ otrzymywała ona zasilania z podsystemów A i B. Pompy kondensatu i wody zasilającej, które dostarczają wodę do zbiornika reaktora podczas 5 4.5 4 3.5 3 2.5 2 1.5 1 0.5 4 323/327 circuits available Coarse Reactor Level [m] 211K411 211K412 211K413 211K414 323 pumps normalnej eksploatacji, zatrzymały się wraz z wyłączeniem reaktora. Reaktor był potem chłodzony początkowo przez zrzut pary ze zbiornika ciśnieniowego do basenu skraplania wewnątrz obudowy bezpieczeństwa, a następnie przez pompowanie doń wody dwoma pomocniczymi pompami wody zasilającej otrzymującymi energią elektryczną z podsystemów C i D. Spowodowało to obniżenie ciśnienia z 70 bar do 6 bar w ciągu 30 minut, a lustro wody opadło do najniższego poziomu wynoszącego 1,9 metra nad górną powierzchnią rdzenia. Rys. 3.2. Przebieg zmian poziomu lustra wody w Forsmark 1 podczas incydentu 25 lipca 2006r. 24 0 0 200 400 600 800 1000 1200 1400 1600 1800 2000 tid W przypadku awaryjnego wyłączenia reaktora, wszystkie pręty regulacji i zabezpieczeń muszą być wprowadzone do rdzenia. Zazwyczaj informacja o tym 11

pokazana jest w nastawni, ale w tym przypadku utrata zasilania w podsystemach A i B spowodowała, że nie było wskazań położenia dla połowy prętów. Sygnały pokazujące położenie prętów pochodzą od śrub napędzanych elektrycznie, które wprowadzają pręty kontrolne jako działanie rezerwowe dodatkowo do szybko działającego napędu hydraulicznego. Jednakże odczyty strumienia neutronów przekonały personel w nastawni, że reaktor został prawidłowo wyłączony. Wszystkie pręty znalazły się w rdzeniu. Po 22 minutach personel w nastawni podłączył ręcznie generatory A i B do ich szyn zbiorczych dzięki czemu: W nastawni odzyskano pełny wgląd w stan elektrowni, W podsystemach A i B dokończono ruchu śrub dublujących wprowadzanie prętów kontrolnych i uzyskano potwierdzenie, że wszystkie pręty są wprowadzone, Zwiększono moc pompowania wody do rdzenia reaktora, tak że przywrócono normalny poziom lustra wody. Po wszechstronnych pomiarach kontrolnych (45 minut po rozpoczęciu incydentu) operator wpisał do dziennika w sterowni Reaktor jest bezpieczny w stanie podkrytycznym i stabilnym. 3.5. Co by było gdyby... Szwedzki Inspektorat Energii Jądrowej (SKI) i Forsmark Power Group wydały wspólnie następujące oświadczenie: Gdyby zawiodły więcej niż dwa systemy zasilania bezprzerwowego i nie pracowały odpowiednie generatory z napędem diesla, to jeszcze ciągle pozostałby duży margines bezpieczeństwa w stosunku do momentu osuszenia rdzenia i uszkodzenia paliwa. Gdyby zawiodły trzy a nie dwa podsystemy, to operatorzy przeprowadziliby ręcznie sterowany zrzut pary z reaktora do zbiornika skraplania pary w obudowie bezpieczeństwa. Byłoby możliwe ręczne podłączenie trzech szyn zbiorczych zasilanych z generatorów z napędem diesla w ciągu 20 minut, wykorzystując moc z systemu potrzeb własnych elektrowni. Gdyby zawiodły wszystkie cztery podsystemy, to byłoby możliwe podłączenie ręczne podsystemów, zasilanych awaryjnie z generatorów z silnikami diesla, do normalnego układu elektrycznego, z wystarczająco dużym marginesem bezpieczeństwa. Również w takim przypadku nie doszłoby do uszkodzenia rdzenia reaktora.. 3.6. Wnioski Przyczyną incydentu było zwarcie w zewnętrznej rozdzielni, spowodowane błędnym wykonaniem pracy przez obcą firmę spoza elektrowni. Projektanci EJ Forsmark nie przewidzieli w swojej analizie bezpieczeństwa, że wewnętrzne skoki napięcia mogą być tak duże jak miało to miejsce z powodu zwarcia w sieci zewnętrznej. Jednakże, pomimo tych dwóch błędów, reaktor został wyłączony z dużym marginesem bezpieczeństwa i był bezpieczny przez cały czas incydentu, pomimo częściowego braku informacji o działaniu niektórych podsystemów w nastawni. Trening na symulatorze, w którym przewidziano taki incydent, pomógł operatorom w prawidłowym działaniu i opanowaniu sytuacji. Jednoczesne niezadziałanie dwóch generatorów awaryjnych wskazywało na to, że w projekcie układu zasilania awaryjnego bloku Forsmark -1 popełniono jakiś błąd. Firma prowadząca eksploatację elektrowni zawiadomiła niezwłocznie dozór jądrowy, a także inne firmy energetyczne, w których elektrowniach jądrowych mogły potencjalnie występować podobne błędy. Do czasu wyjaśnienia sytuacji wyłączono dwa reaktory w EJ Forsmark i dwa reaktory w EJ Oskarshamn. Uruchomiono je dopiero wyjaśnieniu, wszystkich okoliczności i przyczyn zdarzenia. Okazało się, że w trzech z tych bloków układy nie wymagały korekty, natomiast w reaktorze Forsmark -1 przeprowadzono odpowiednie modyfikacje w układzie elektrycznym 25. Analizy przeprowadzone przez dozór jądrowy są tajne ze względu na konieczność ochrony fizycznej elektrowni jądrowych po atakach terrorystycznych w USA z 11 września 2001r., ale zachowanie operatorów ocenił dozór jako poprawne i podkreślił, że było ono zgodne z treningiem, jaki operatorzy przechodzą na symulatorze elektrowni, ćwicząc procedury opanowania awarii różnego typu. Incydent w Forsmark jest jednym z możliwych incydentów przewidzianych w scenariuszach awaryjnych. Przedstawiciel operatora (Forsmark Kraftgrupp) oświadczył, że w 12

żadnym momencie nie było obawy wystąpienia uszkodzeń w elektrowni. Poza generatorami awaryjnymi elektrownia mogła skorzystać z sieci elektrycznych o niższym napięciu (70 kv i 6 kv), które były do dyspozycji przez cały czas. Sprawa rzekomego zezwolenia na otwarcie specjalnego zaworu chroniącego obudowę bezpieczeństwa w razie nadciśnienia po ciężkiej awarii, zwanego zaworem Wallmanna, jest całkowicie wymyślona przez niemieckich wojowników antynuklearnych. Poza tym, że zarówno dozór jądrowy jak i sam premier Szwecji zaprzeczają, by takie zezwolenie było wydane, okazuje się, że w EJ Forsmark nie ma wcale takiego zaworu, ani innego podobnego elementu 26. Również twierdzenie pana Paulitza, reprezentanta niemieckiej grupy International Physicians for the Prevention of Nuclear War o rzekomej niestabilności elektrowni jądrowej jest zupełnie pozbawione podstaw fizycznych. Lekkowodne reaktory jądrowe są bardzo stabilne, a w razie utraty napięcia w sieci do rdzenia samoczynnie wprowadzane są pręty regulacyjne i bezpieczeństwa wyłączające reaktor. To właśnie zdarzyło się w EJ Forsmark i to samo zdarzyłoby się w każdym innym reaktorze na świecie, z wyjątkiem reaktora RBMK, który uległ awarii w Czarnobylu. Reaktor czarnobylski budowany w oparciu o projekty reaktorów produkujących pluton do celów wojskowych - był jedynym typem reaktora, którego moc z uwagi na stosowane w nim łącznie w rdzeniu materiały tj grafit i wodę w razie awarii mogła samoczynnie rosnąć. We wszystkich innych typach reaktorów moc w razie awarii samoczynnie MALEJE. Dlatego nie ulega wątpliwości, że do awarii typu czarnobylskiego w reaktorach budowanych w krajach Unii Europejskiej dojść nie może. Można tu zauważyć, że niezależnie od kompetencji pana Paulitza jako lekarza, nie jest on najbardziej kompetentny w sprawie sterowania reaktora i jego stabilności. Wątpię, czy pan Paulitz przyjąłby jako wiarygodną wypowiedź inżyniera nuklearnego na temat metody i zagrożeń przy operacji przeszczepu nerek. Incydent w Forsmark był rzeczywiście najpoważniejszym incydentem, jaki zdarzył się w elektrowniach jądrowych w Szwecji. Nie spowodował on żadnych uszkodzeń ani napromieniowania, ani żadnych wydzieleń produktów rozszczepienia, ani nawet przegrzania paliwa lub elementów reaktora. Załoga reaktora działała prawidłowo, ani przez chwilę nie było rzeczywistego zagrożenia. Dozór jądrowy zareagował ostro i prawidłowo, przeprowadzono działania, które wykluczają możliwość powtórzenia się podobnego przypadku. Według szwedzkiego dozoru jądrowego (SKI) wszystko jest OK z punktu widzenia bezpieczeństwa, jak oświadczył przedstawiciel SKI w sierpniu 2006r.. Jeśli incydent w EJ Forsmark jest przykładem najgroźniejszej awarii we współczesnych elektrowniach jądrowych, to nie ulega chyba wątpliwości, że zagrożenie powodowane przez te elektrownie jądrowe jest znikome. Nic dziwnego, że Parlament Europejski stwierdził w swej rezolucji z 24.10.2007 27, że w ciągu ostatnich czterdziestu lat następowała ciągła poprawa niezawodności i bezpieczeństwa energetyki jądrowej. Co więcej, społeczeństwo szwedzkie nie uwierzyło alarmistycznym wystąpieniom wojowników antynuklearnych z Niemiec i Szwecji. Poparcie dla energetyki jądrowej w Szwecji stale rośnie. Chociaż Greenpeace wzywa do zamknięcia wszystkich szwedzkich elektrowni jądrowych, społeczeństwo nie tylko uważa za konieczne utrzymanie wszystkich istniejących elektrowni jądrowych w ruchu, ale i popiera budowę nowych bloków. W 2007 roku Partie Chrześcijańsko- Demokratyczna i Centrowa zmieniły swe nastawienie do energetyki jądrowej 28 a w styczniu 2008 r. przywódca partii liberalnej wezwał do zbudowania w Szwecji 4 nowych reaktorów energetycznych 29. W 2008 r. ankieta wykazała, że aż 48% Szwedów popiera budowę nowych elektrowni jądrowych, a tylko 39 % jest przeciwnych. Reszta, to jest 13% jest niezdecydowana. Poprzednio poparcie dla energetyki jądrowej nie przekraczało 35% 30. W marcu 2009 roku rząd szwedzki opublikował dokument programowy przewidujący zlikwidowanie uchwalonej w 1980 roku ustawy antyatomowej 31 a w czerwcu 2010 parlament zatwierdził ustawę zezwalającą na budowę nowych reaktorów jądrowych 32 4. Przepalenie paliwa w basenie pozareaktorowym w EJ Paks. 4.1. Ogólna charakterystyka awarii w EJ Paks Organizacje antynuklearne twierdzą, że w EJ Paks doszło do ciężkiej awarii, która groziła wybuchem i była o krok od katastrofy w Czarnobylu, że hala reaktora jest skażona i niedostępna, że nie wiadomo, co zrobić ze zniszczonym paliwem, że nie można wyłączyć reaktora, bo nikt tam nie może wejść i że może być tylko gorzej 33. W rzeczywistości w czasie operacji przemywania zestawów paliwowych prowadzonej poza reaktorem, w studzience do operacji pomocniczych połączonej z basenem paliwowym, doszło do przegrzania paliwa i uszkodzenia koszulek paliwowych. Było to spowodowane niedostatecznym chłodzeniem paliwa po skończonej operacji przemywania, gdy obieg chłodzący został przestawiony na znacznie zmniejszony wydatek, niewystarczający do 13

odbioru ciepła z paliwa przez dłuższy czas. Zazwyczaj paliwo usuwano ze studzienki wkrótce po oczyszczeniu, natomiast w dniu awarii pozostawiono je po oczyszczeniu przez kilka godzin w warunkach niewystarczającego odbioru ciepła. Był to oczywisty błąd i nie powinien był się wydarzyć, tym bardziej, że nie było do tego żadnych obiektywnych powodów. Popełnieniu tego błędu sprzyjało to, że operację przemywania paliwa traktowano jako zwykłą operację chemiczną, a wykonywała ją grupa pracowników firmy Siemens, a więc grupa ludzi spoza personelu eksploatacji EJ Paks. Natomiast decyzję o opóźnieniu przeniesienia paliwa ze studzienki do reaktora podjęli pracownicy grupy remontu reaktora (bez uzgodnienia z personelem ruchowym), którzy nie docenili konieczności szybkiego wyładunku paliwa. Co więcej, zgodnie z zasadami bezpieczeństwa jądrowego nie powinno się projektować i wykorzystywać urządzeń, które wymagają przeładunku w określonym i to krótkim czasie. Każdy układ reaktora powinien zapewniać bezpieczną pracę (lub bezpieczne przebywanie w nim paliwa jeżeli do tego został zaprojektowany) przez dowolnie długi czas, bez potrzeby interwencji operatora. Projektant układu oczyszczania paliwa, dostarczonego przez firmę Siemens, popełnił więc zasadniczy błąd w fazie projektowej, a strona węgierska zaniedbała dokładnej kontroli projektu i nie wykryła jego uchybień. Paliwo pozostawione w specjalnym zbiorniku oczyszczania w basenie paliwowym, przy zmniejszonym wydatku obiegu chłodzenia, zostało przegrzane. Po kilku godzinach 30 zestawów paliwowych zostało uszkodzonych, a basen paliwowy został skażony. Chociaż skażenie dotyczyło studzienki i basenu paliwowego a nie układu samego reaktora, trzeba było ten basen oczyścić przed uruchomieniem reaktora. Opracowanie technologii oczyszczania basenu i przeprowadzenie tej operacji trwało długo, ale po rocznym przestoju reaktor wznowił pracę i obecnie pracuje normalnie. W czasie i po awarii ani pracownicy ani mieszkańcy nie otrzymali znaczących dawek promieniowania. Największa dawka, którą otrzymał jeden z pracowników, to 0,5 mikrosiwerta. Aby zdawać sobie sprawę ile to jest, przypomnijmy, że w Polsce dawka promieniowania ze źródeł naturalnych wynosi średnio 2500 mikrosiwertów rocznie, a w Finlandii 7000 mikrosiwertów. Polak będący w Finlandii dostaje w ciągu godziny dodatkową dawkę 0,5 mikrosiwerta - tyle, ile dostał najbardziej narażony pracownik w EJ Paks wskutek całej tej awarii. A przecież nikt nie ogranicza pobytu w Finlandii do jednej godziny i zresztą nikomu nie przychodzi do głowy, by bać się do Finlandii pojechać! Wokoło EJ Paks nikt z mieszkańców mierzalnych dawek nie otrzymał. Tak więc skutki radiacyjne zdarzenia są pomijalnie małe. Oczywiście twierdzenia, że nie można wejść i wyłączyć reaktora nie mają sensu reaktor wyłącza się z nastawni blokowej, a w razie gdyby nastawnia blokowa (główna) była uszkodzona, to można reaktor wyłączyć ze nastawni awaryjnej. Wszystkie elektrownie jądrowe są wyposażone w dwie nastawnie - główną i awaryjną i EJ Paks również je posiada. Obie nastawnie są odległe od basenu wypalonego paliwa. W EJ Paks nie żadnych kłopotów z wejściem do nastawni nie była ona i nie jest narażona na promieniowanie jonizujące, jest w pełni dostępna i zespół operatorów normalnie w niej pracuje. I reaktor pracuje też dostarczając energię elektryczną bardzo potrzebną dla Węgier i tanią. Twierdzenia, że może być tylko gorzej też nie mają sensu problem jest już rozwiązany, a okoliczni mieszkańcy odzyskali zaufanie do organizacji eksploatującej EJ (czego dowodem jest m.in. planowana budowa kolejnego, piątego jądrowego bloku energetycznego na Węgrzech) 34. Awaria w EJ Paks rzeczywiście miała miejsce i została spowodowana błędami ludzi. Opis przebiegu i przyczyn awarii podajemy poniżej. Do wystąpienia awarii przyczyniła się z jednej strony niemiecka firma Siemens, która zaprojektowała układ niezgodnie z wymaganiami bezpieczeństwa i niewłaściwie prowadziła proces chemicznego oczyszczania paliwa, a z drugiej strony pracownicy EJ Paks i pracownicy dozoru, którzy zaufali renomowanemu dostawcy urządzenia, nie sprawdzili bezpieczeństwa przed zainstalowaniem urządzenia i nie nadzorowali realizowanej przez firmę Siemens procedury oczyszczania paliwa. Straty finansowe elektrowni były znaczne, bo awaria spowodowała wielomiesięczny przestój jednego bloku elektrowni, a energia elektryczna kupowana z innych źródeł była znacznie droższa od energii jądrowej. Przyczyny awarii zostały starannie przeanalizowane przez specjalistów węgierskich i przez międzynarodową misję ekspertów MAEA, zaproszoną przez władze węgierskie. Analizy potwierdziły, że zagrożenia dla ludności i elektrowni nie było, ale skutki awarii wewnątrz basenu paliwowego i hali reaktora były znaczące. 4.2. Wnioski Awaria w EJ Paks jest przykładem podkreślającym znaczenie kultury i filozofii bezpieczeństwa. Przyczyny awarii leżą zarówno po stronie firmy dostarczającej urządzenie, które zostało źle zaprojektowane i było eksploatowane bez 14

świadomości potencjalnego zagrożenia, jak i po stronie elektrowni i dozoru węgierskiego, które potraktowały operację jako zwykły zabieg chemiczny i nie dokonały wystarczającej analizy bezpieczeństwa całej operacji. Natomiast charakterystyczne jest, że skutki awarii ograniczyły się do strat finansowych, które poniosła elektrownia (wyłączenie jednego bloku na okres około roku). Skutki radiologiczne były pomijalnie małe w przypadku pracowników, a zerowe w przypadku ludności. Jak widać, zasada obrony w głąb zdała egzamin - ludzie popełnili wprawdzie błędy, ale w systemie obrony w głąb zakłada się, że błędy mogą się zdarzyć. Wymagane jest tylko by takie błędy nie prowadziły do szkód zdrowotnych i w przypadku EJ Paks żadnych szkód zdrowotnych nie było. Twierdzenie przeciwników energetyki jądrowej że przepalenie 30 zestawów paliwowych, bez żadnych następstw radiologicznych, jest najcięższym przypadkiem awarii w Europie wskazuje, że rzeczywiście elektrownie jądrowe są bezpieczne, a przeciwnikom EJ brakuje już silniejszych argumentów 4.3. Czyszczenie elementów paliwowych w EJ Paks. W wytwornicach pary bloków z reaktorami WWER 440 w latach 1995-1997 stwierdzono konieczność wymiany kolektora wody zasilającej. Wymianę tę przeprowadzano w EJ w Czechach, Bułgarii, Słowacji i w innych krajach - bez dekontaminacji wytwornicy pary. Natomiast EJ Paks, starając się o zmniejszenie do minimum narażenia radiacyjnego robotników, przeprowadziła przed wykonaniem prac w samych wytwornicach, ich dekontaminację metodami chemicznymi. Dekontaminacja rzeczywiście doprowadziła do usunięcia osadów radioaktywnych z wytwornic i prace modernizacyjne przeprowadzono przy minimalnym narażeniu radiacyjnym - w bloku nr 2 w latach 1995-1997, a w blokach nr 1 i 3 w następnych latach (2000 2001). Niestety działanie czynników chemicznych spowodowało rozpuszczenie ochronnych warstw tlenków na rurkach wymiany ciepła w wytwornicy pary i produkty korozji zaczęły uwalniać się z wytwornicy i przepływać do rdzenia. Część z nich utworzyła warstwy osadów magnetytowych na powierzchni elementów paliwowych. Zmniejszenie pola przepływu chłodziwa pociągnęło za sobą wzrost oporów przepływu, zmniejszenie wydatku chłodziwa w obiegu pierwotnym, wzrost temperatury na wylocie z rdzenia i zmusiło EJ Paks do zmniejszenia mocy rdzenia, by utrzymać wymagane zapasy bezpieczeństwa 35. Działania zaradcze podjęte przez elektrownię objęły pełną wymianę paliwa w bloku nr 2 w 1997 roku i w bloku nr 3 w 2003 roku, oraz chemiczne czyszczenie zestawów paliwowych w układzie oczyszczenia zaprojektowanym przez firmę Siemens i pozwalającym na czyszczenie po 7 zestawów na raz. Oczyszczanie przeprowadzano w specjalnym układzie ze zbiornikiem umieszczonym w basenie paliwowym, w tym samym budynku, w którym znajdował się reaktor (Rys. 4.1). Proces oczyszczania obejmował najpierw mycie paliwa wodą o temp. 90 C, następnie chłodzenie wodą i usuwanie rozpuszczonych osadów pod działaniem promieniowania ultrafioletowego. Potem woda wracała do paliwa dla dalszego oczyszczania. W latach 2000 i 2001 oczyszczono 170 częściowo wypalonych zestawów paliwowych i załadowano je ponownie do rdzenia reaktora. Jednakże pojemność 7 zestawów paliwowych była zbyt mała na potrzeby elektrowni, więc w 2002 roku podpisano z firmą Framatome ANP (obecnie AREVA NP), w skład której weszła firma z koncernu Siemensa, kontrakt na przeprowadzenie czyszczenia paliwa w zbiorniku o pojemności 30 zestawów paliwowych 36. Nowy układ noszący nazwę AMDA został zaprojektowany, ale w związku z wycofywaniem się Niemiec z rozwoju energetyki jądrowej firma Siemens nie dysponowała wówczas tak dobrymi kadrami jak dawniej. Projekt opracował młody inżynier, nie posiadający wystarczającego doświadczenia w energetyce jądrowej, nie zdający sobie w pełni sprawy z zasad filozofii bezpieczeństwa jądrowego. Układ został jednak przyjęty bez analizy przez stronę węgierską i zainstalowany w marcu 2003 roku. Zgodnie z umową zespół chemików firmy Siemens do 29 marca przeprowadził pomyślnie czyszczenie pięciu wsadów po 30 zestawów paliwowych. 15

Reactor Building Bubble Condenser Turbine Hall Middle Building 50 m 0 m 1. Reactor pressure vessel, 2. Steam generator, 3. Refueling machine, 4. Spent fuel pit, 5. Reactor hall, 6. Make-up feedwater system, 7. Protective cover, 8. Confinement system, 9. Bubble condenser trays, 10. Check valves 11. Air traps, 12. Intake air unit, 13. Turbine, 14. Condenser, 15. Feedwater tank with degasifier, 16. Electrical instrumentation and control compartments Rys. 4.1 Przekrój wzdłużny reaktora w EJ Paks. 1. Zbiornik ciśnieniowy reaktora, 2. Wytwornica pary, 3. Maszyna przeładowcza, 4. Basen paliwa wypalonego, 5 Hala reaktora, 6. Układ wody zasilającej, 7. Kołpak osłonowy, 8. Układ obudowy bezpieczeństwa, 9. Półki kondensatora wodnego, 10. Zawory zwrotne, 11. Pułapki powietrzne, 12 Zasysanie powietrza, 13 Turbina, 14, Skraplacz, 15 Zbiornik wody zasilającej z odgazowywaczem, 16 Pomieszczenia przyrządów pomiarowych i elektrycznych. 4.4. Zaprojektowanie układu oczyszczania zestawów paliwowych Jak widać na Rys. 4.2 podczas czyszczenia chemicznego czynnik czyszczący przepływał przez zestawy paliwowe umieszczone w specjalnym zbiorniku w basenie paliwowym. Był to tzw. reżym C oczyszczanie paliwa. Rys. 4.2. Układ do oczyszczania 30 zestawów paliwowych 37. Podczas głównego etapu oczyszczania wydatek przepływu roztworu przez zbiornik wynosił 250 t/h. Następnie w reżymie B przepływ przełączano na pompę pomocniczą o wydatku 20 t/h, podnoszono pokrywę zbiornika i przeładowywano zestawy paliwowe do reaktora. 16

Wobec tego, że wydajność pompy była mała, Siemens zalecił aby drugi etap nie trwał dłużej niż 9 minut. Siemens opracował także krótką ocenę bezpieczeństwa (7 stron), ale nie było jasnego stwierdzenia, co stanie się, jeśli zalecenie o czasie 9 minut nie zostanie zrealizowane. Przy projektowaniu (jak się później okazało) nie uwzględniono w dostatecznym stopniu wszystkich przepływów bocznikowych wody chłodzącej, omijających elementy paliwowe. Pojemnik miał podwójne ścianki dla zapewnienia izolacji cieplnej potrzebnej do utrzymania wody w temperaturze 90 C, wymaganej w procesie usuwania osadów. Rys. 4.3. Przepływ równoległy wewnątrz zbiornika paliwa 38. 4.5. Braki w kulturze bezpieczeństwa na Węgrzech Na Węgrzech proces czyszczenia paliwa potraktowano jako operację czysto chemiczną. Aparat do oczyszczania elementów paliwowych zakwalifikowano do urządzeń nie objętych klasami bezpieczeństwa jądrowego, tak że nie wymagano dla niego raportu bezpieczeństwa. Nie wymagano nadzoru sekcji inżynierii jądrowej, ani kontroli Urzędu Dozoru Jądrowego. Ponadto panowało przekonanie, że produkt Siemensa musi być dobry. Był to oczywisty błąd, wskazujący na poważne braki w kulturze bezpieczeństwa. Rys. 4.4. Rozmieszczenie urządzeń do oczyszczania paliwa w hali reaktora 39. Widoczne jest połączenie hydrauliczne basenu paliwowego, studzienki Nr 1 (do pomocniczych operacji) i basenu reaktora. Nowy aparat traktowano jako modyfikację starego, sprawdzonego w działaniu. Nie zauważono, że powiększenie pojemności zmieniło warunki cieplno-przepływowe i wymaga analizy bezpieczeństwa. 4.6. Przebieg awarii Dnia 9 kwietnia 2003r. zespół Siemensa rozpoczął czyszczenie szóstego kompletu 30 zestawów paliwowych i zakończył je 10 kwietnia ok. godziny 16. O 16.40 zgodnie z instrukcją układ przestawiono na pracę w konfiguracji B, gdzie paliwo jest chłodzone jedną pompą nurnikową o znacznie mniejszym wydatku niż w reżymie C. Pracownicy Siemensa zgłosili personelowi remontowemu reaktora zakończenie operacji czyszczenia, ale zespół remontu reaktora odłożył otwarcie zbiornika zawierającego oczyszczone zestawy paliwowe na później, ponieważ suwnica potrzebna do uniesienia pokrywy zbiornika była zajęta wykonywaniem innych prac związanych z przestawianiem elementów w zbiorniku reaktora. Ok. godz. 19 zauważono wzrost poziomu wody w basenie paliwowym, gdzie następował proces czyszczenia paliwa i w stabilizatorze ciśnienia reaktora, w czasie tych prac połączonym hydraulicznie z basenem, o 7 cm. Zdziwiło to 17

operatorów, ale nie starali się znaleźć przyczyny tego nieoczekiwanego zjawiska. Jak wykazała analiza, ten wzrost poziomu lustra wody był spowodowany odparowaniem wody w zbiorniku, gdzie znajdowały się oczyszczone elementy paliwowe i wypchnięciem wody ze zbiornika przez powstającą w nim parę. Jednocześnie zaobserwowano że moc dawki promieniowania gamma nad basenem paliwowym stopniowo rosła 40. O godz. 21.50 zauważono w hali basenu paliwowego wzrost mocy dawki powodowanej przez Kr-85 1. O godz. 22.30 moc dawki w hali doszła do 20 msv/h, a o 22.50 ewakuowano halę reaktora. O godz. 4.20 mechanicy próbowali podnieść pokrywę zbiornika AMDA, ale próba nie udała się, gdyż jedna z lin nośnych zerwała się i pokrywa pozostała w pozycji uchylonej, ze szczeliną około 15 cm po jednej stronie i 2 cm po drugiej stronie. Do północy następnego dnia łączna aktywność uwolnionych radioaktywnych gazów szlachetnych doszła do 160 TBq. W jednej z sąsiednich stacji monitoringu zarejestrowano moc dawki poniżej 500 nsv/h, ale po krótkim czasie moc dawki wróciła do poziomu tła naturalnego, wynoszącego 100 nsv/h. Innych skutków poza elektrownią nie zauważono. W oparciu o to incydent zaklasyfikowano pierwotnie jako INES 2 w międzynarodowej skali klasyfikacji zakłóceń i awarii jądrowych. W dniu 16 kwietnia udało się całkowicie podnieść pokrywę zbiornika. Inspekcja przy pomocy kamery telewizyjnej wykazała poważne uszkodzenie wszystkich 30 zestawów paliwowych. Na terenie wokoło elektrowni ogłoszono alarm, powiadomiono dozór jądrowy i podniesiono klasyfikację wydarzenia do poziomu INES 3. Przeprowadzono analizę sytuacji, wezwano ekspertów rosyjskich i specjalistów Siemensa. Pomiary poziomu promieniowania wykazały, że zagrożenie stopniowo maleje. Analiza możliwej krytyczności paliwa w wodzie wykazała, że maksymalny współczynnik mnożenia jest poniżej 0,95 przy stężeniu kwasu borowego 16 g/kg (rzeczywista wartość tego stężenia wynosiła 15,3 g/kg). Zatem układ pozostawał w stanie głęboko podkrytycznym 2 i nie było żadnego zagrożenia wystąpieniem niekontrolowanej reakcji łańcuchowej. Do zbiornika dodano kwasu borowego, zainstalowano 4 pompy chłodzące, a 20-go kwietnia opracowano procedury dalszego postępowania. Stan pogotowia alarmowego został odwołany. Wypadek wywołał ogromne zainteresowanie mediów, polityków i specjalistów. Po analizie sytuacji okazało się, że układ zaprojektowany przez firmę Siemens miał poważne wady, a EJ Paks ufając w doświadczenie Siemensa, nie podjęła wystarczających środków ostrożności. 4.7. Wady projektowe i przyczyny awarii Analiza awarii wykazała, że układ do chemicznego czyszczenia elementów paliwowych zaprojektowano i użytkowano pomimo kilku istotnych wad, m.in.: Pompa nurnikowa pracująca w fazie B miała za mały wydatek (potrzeba było 28 t/h) i nie była rezerwowana. W analizie cieplno-przepływowej nie uwzględniono wszystkich przepływów bocznikowych koło zestawów paliwowych. Bocznik, którym mogła przepływać woda był nieprawidłowo uszczelniony, były otwory w rurach powłoki wewnętrznej. Zidentyfikowano potencjalnie możliwe dodatkowe przepływy bocznikowe koło zestawów paliwowych mogące powstać z powodu nieprawidłowego posadowienia paliwa w gnieździe, ale nie zapewniono właściwych środków by ten problem rozwiązać. Uproszczona analiza cieplno-przepływowa projektu została wykonana i wykazała, że w warunkach awaryjnych margines do uszkodzenia jest niedopuszczalnie mały (krótki czas do wrzenia i odparowania chłodziwa), ale nie wyciągnięto z tego wniosków i nie podjęto żadnych działań. Środki zapewnione do podniesienia pokrywy zbiornika w fazie B albo w razie scenariusza awaryjnego były niewystarczające. Nie zwrócono uwagi na zmiany w konfiguracji zbiornika czyszczenia paliwa (położenie rury wylotowej i komory wlotowej) wprowadzone przy zmianie z 7 na 30 zestawów paliwowych. Oprzyrządowanie pomiarowe, systemy do określania tendencji zmian parametrów i układ alarmowy przewidziany do detekcji odchyleń od warunków normalnych podczas czyszczenie i chłodzenia były niewystarczające. Brak było wystarczającego oprzyrządowania pomiarowego w zbiorniku, tylko jedna termopara mierzyła temperaturę wody na 1 Jest to izotop promieniotwórczy (jeden z produktów rozszczepienia) należący do tzw. radioaktywnych gazów szlachetnych. 2 Podkrytyczność układu wyniosła ok. -8 β ef. 18

wylocie. Woda ulegała mieszaniu przed miejscem pomiaru. W związku z tym, jeśli woda omijała w swym przepływie część elementów paliwowych, to odczyt temperatury wylotowej nie był w pełni wiarygodny. Ponieważ w zbiorniku istniała tylko jedna płyta prowadząca stopę zestawu paliwowego - by nakierować ją na właściwe gniazdo - łatwo było o nieprawidłowe posadowienie zestawu paliwowego. Nawet małe odchylenie w posadowieniu zestawu paliwowego powodowało zmniejszenie przepływu wskutek występowania przepływu bocznikowego. Normalnie w basenach do przechowywania kaset paliwowych stosuje się dwie płyty prowadzące. Margines do wrzenia był bardzo mały (9 minut), brak było jego opisu w instrukcji. Układ eksploatowany był przez niewłaściwy personel, bez nadzoru inżynierów jądrowych. Dozór nie docenił znaczenia instalacji dla bezpieczeństwa. Pracownicy firmy Siemens pracowali bez nadzoru operatorów EJ Paks. Wstępna inspekcja wykazała, że oczyszczone paliwo po opisanym zdarzeniu było uszkodzone i wydostawały się zeń produkty rozszczepienia. Operator chciał otworzyć pokrywę, ale nie mógł tego dokonać wskutek trudności mechanicznych. Gdy pokrywę podniesiono, okazało się, że zbiornik wypełnia nie woda lecz para. Nagłe ochłodzenie paliwa spowodowało powiększenie uszkodzeń paliwa. W wyniku otwarcia pokrywy pęcherz parowy uniósł się nagle, a z nim produkty rozszczepienia. Jednocześnie zimna woda wypełniła zbiornik, nagle chłodząc elementy paliwowe. Na skutek powstałych wówczas naprężeń termicznych paliwo popękało na drobne kawałki. Rys. 4.5. Bocznikowanie przepływu wskutek przecieków wody na poziomie stopek zestawów paliwowych 41. Późniejsze analizy wykazały, że wzrost poziomu wody był spowodowany wypchnięciem wody ze zbiornika przez parę. W analizie opracowanej przed awarią nie uwzględniono, że w pojemniku występuje dla chłodziwa obejście wskutek faktu, że jest w nim tylko jedna płyta separatora (na górze). Woda płynąca od dna może w związku z tym płynąć zarówno między stopami zestawów paliwowych do pierścieni między zestawami paliwowymi jak i do pierścienia zewnętrznego między paliwem a ścianką zbiornika. Rys. 4.6. Zestawy paliwowe z otworami bocznymi, przez które wyciekała woda chłodząca 42. Natężenie przepływu przez obejście rosło wskutek wrzenia wody, co prowadziło do spadku przepływu przez paliwo, dalszego wzrostu intensywności wrzenia, wzrostu oporu przepływu przez paliwo i dalszego wzrostu przepływu przez bocznik. 19

Na koniec przepływ przez paliwo ustał całkowicie, ale temperatura na wylocie była normalna, bo przepływ przez obejście nadal istniał. Prawdopodobnie właściwe rozmieszczenie czujników temperaturowych pozwoliłoby szybko zauważyć zagrożenie i - być może zapobiec awarii. 4.8. Skutki radiologiczne awarii Rys. 4.7. Pokrywa zbiornika układu AMDA. To właśnie przy podnoszeniu tej pokrywy doszło do zalania gorących zestawów paliwowych wodą i popękania koszulek paliwowych. Wydzielenia gazów szlachetnych, jodu i aerozoli pokazano na Rys. 8, 9 i 10. 200 180 160 140 120 GBq 100 80 60 143 204 40 20 0 7.76 1.35 1.61 0.98 0.35 0.43 2003.04.10 2003.04.11 2003.04.12 2003.04.13 2003.04.14 2003.04.15 2003.04.16 2003.04.17 Rys. 8. Wydzielenia radio-aktywnych gazów szlachetnych [1]. 20

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres