Seguridad nuclear pasiva

Seguridad nuclear pasiva es un enfoque de diseño de elementos de seguridad, implementados en un reactor nuclear, que no requiere ninguna intervención activa por parte del operador ni retroalimentación eléctrica/electrónica para llevar la reactor a un estado de parada segura, en caso de un tipo particular de emergencia (generalmente sobrecalentamiento resultante de una pérdida de refrigerante o de flujo de refrigerante). Tales características de diseño tienden a depender de la ingeniería de componentes tales que su comportamiento previsto desacelere, en lugar de acelerar, el deterioro del estado del reactor; Por lo general, aprovechan fuerzas o fenómenos naturales como la gravedad, la flotabilidad, las diferencias de presión, la conducción o la convección natural del calor para realizar funciones de seguridad sin requerir una fuente de energía activa. Muchos diseños de reactores comunes más antiguos utilizan sistemas de seguridad pasivos de forma limitada, en lugar de depender de sistemas de seguridad activos, como motores diésel. Algunos diseños de reactores más nuevos cuentan con sistemas más pasivos; la motivación es que son altamente confiables y reducen el costo asociado con la instalación y el mantenimiento de sistemas que de otro modo requerirían múltiples trenes de equipos y fuentes de alimentación redundantes de clase de seguridad para lograr el mismo nivel de confiabilidad. Sin embargo, las débiles fuerzas impulsoras que impulsan muchas características de seguridad pasiva pueden plantear desafíos importantes para la eficacia de un sistema pasivo, especialmente en el corto plazo después de un accidente.

Terminología

'Seguridad pasiva' describe cualquier mecanismo de seguridad cuyo funcionamiento requiere poco o ningún poder externo o control humano. Los diseños de reactores modernos se han centrado en aumentar el número de sistemas pasivos para mitigar el riesgo de errores humanos agravados.

A pesar de la mayor seguridad asociada con una mayor cobertura de sistemas pasivos, todos los reactores nucleares actuales a gran escala requieren sistemas tanto externos (activos) como internos (pasivos). No existen métodos 'pasivamente seguros' reactores, sólo sistemas y componentes. Los sistemas de seguridad se utilizan para mantener el control de la planta si se sale de las condiciones normales en caso de sucesos operativos o accidentes previstos, mientras que los sistemas de control se utilizan para operar la planta en condiciones normales. A veces un sistema combina ambas características. La seguridad pasiva se refiere a los componentes del sistema de seguridad, mientras que la seguridad inherente se refiere al proceso del sistema de control independientemente de la presencia o ausencia de subsistemas específicos de seguridad.

Un ejemplo de un sistema de seguridad con componentes de seguridad pasiva es el recipiente de contención de un reactor nuclear. Las paredes de hormigón y el revestimiento de acero del buque presentan seguridad pasiva, pero requieren sistemas activos (válvulas, circuitos de retroalimentación, instrumentación externa, circuitos de control, etc.) que requieren energía externa y operación humana para funcionar.

La Agencia Internacional de Energía Atómica (OIEA) clasifica el grado de "seguridad pasiva" de componentes de categoría A a D según lo que el sistema no utilice:

1. sin mover fluido de trabajo
2. sin parte mecánica móvil
3. ninguna señal de 'inteligencia'
4. no entrada de energía externa o fuerzas

En la categoría A (1+2+3+4) está la vaina de combustible, la capa exterior protectora y no reactiva de la pastilla de combustible, que no utiliza ninguna de las características anteriores: siempre está cerrada y mantiene el combustible y la fisión. productos en su interior y no se abre antes de llegar a la planta de reprocesamiento. En la categoría B (2+3+4) está la línea de compensación, que conecta la pierna caliente con el presurizador y ayuda a controlar la presión en el circuito primario de un PWR y utiliza un fluido de trabajo en movimiento para cumplir su misión. En la categoría C (3+4) está el acumulador, que no necesita entrada de señal de 'inteligencia' o alimentación externa. Una vez que la presión en el circuito primario cae por debajo del punto de ajuste de las válvulas del acumulador accionadas por resorte, las válvulas se abren y se inyecta agua en el circuito primario mediante nitrógeno comprimido. En la categoría D (sólo 4) está el SCRAM, que utiliza fluidos de trabajo en movimiento, piezas mecánicas en movimiento y entradas de señales de 'inteligencia' pero no fuerzas o fuerzas externas: las barras de control caen impulsadas por la gravedad una vez que se han liberado de su abrazadera magnética. Pero la ingeniería de seguridad nuclear nunca es tan sencilla: una vez suelta, la varilla puede no cumplir su misión: puede quedarse atascada debido a condiciones sísmicas o debido a estructuras centrales deformadas. Esto demuestra que aunque se trata de un sistema pasivamente seguro y ha sido accionado correctamente, es posible que no cumpla su misión. Los ingenieros nucleares han tenido esto en cuenta: normalmente sólo se necesita una parte de las barras caídas para apagar el reactor. En casi todas las centrales nucleares se pueden encontrar ejemplos de sistemas de seguridad con componentes de seguridad pasiva: contención, hidroacumuladores en los PWR o sistemas de supresión de presión en los BWR.

En la mayoría de los textos sobre 'pasivamente seguro' componentes en los reactores de próxima generación, la cuestión clave es que no se necesitan bombas para cumplir la misión de un sistema de seguridad y que todos los componentes activos (generalmente I&C y válvulas) de los sistemas funcionan con energía eléctrica procedente de baterías.

La OIEA utiliza explícitamente la siguiente advertencia:

... la pasividad no es sinónimo de fiabilidad o disponibilidad, incluso menos con la idoneidad asegurada de la característica de seguridad, aunque varios factores potencialmente adversos al rendimiento pueden ser más fácilmente contrarrestados a través del diseño pasivo (percepción pública). Por otra parte, los diseños activos que emplean controles variables permiten un cumplimiento mucho más preciso de las funciones de seguridad; esto puede ser particularmente deseable en condiciones de gestión de accidentes.

Propiedades de respuesta del reactor nuclear como el coeficiente de temperatura de la reactividad y el coeficiente vóide de la reactividad generalmente se refieren a la respuesta termodinámica y del cambio de fase de la transferencia de calor del moderador de neutrones proceso respectivamente. Se dice que los reactores cuyo proceso de transferencia de calor tiene la propiedad operacional de un coeficiente vacío negativo de reactividad poseen un seguridad inherente función de proceso. Un modo de falla operacional podría alterar el proceso para que dicho reactor sea inseguro.

Los reactores pueden equiparse con un componente de sistema de seguridad hidráulica que aumenta la presión de entrada del refrigerante (agua de esponja) en respuesta a una mayor presión de salida del moderador y refrigerante sin intervención del sistema de control. Tales reactores se describirían como equipados con tal seguridad pasiva componente que podría - si así lo diseñó - hacer en un reactor un coeficiente de vacío negativo de reactividad, independientemente de la propiedad operacional del reactor en el que esté equipado. La característica sólo funcionaría si respondiera más rápido que un vacío emergente (estado) y los componentes del reactor podrían sostener la presión de refrigerante aumentada. Un reactor equipado con ambas características de seguridad – si está diseñado para interactuar constructivamente – es un ejemplo de un bloqueo de seguridad. Los modos de falla operacionales más estrictos pueden hacer que tanto las características de seguridad sean inútiles como restarles de la seguridad relativa general del reactor.

Ejemplos de seguridad pasiva en funcionamiento

Los sistemas de seguridad de reactores tradicionales son activos en el sentido de que implican operación eléctrica o mecánica en sistemas de comando (por ejemplo, bombas de agua a alta presión). Pero algunos sistemas de reactores diseñados funcionan de forma totalmente pasiva, por ejemplo, utilizando válvulas de alivio de presión para controlar la sobrepresión. Siguen siendo necesarios sistemas redundantes en paralelo. La seguridad inherente y pasiva combinada depende únicamente de fenómenos físicos como diferencias de presión, convección, gravedad o la respuesta natural de los materiales a las altas temperaturas para reducir la velocidad. o detener la reacción, no sobre el funcionamiento de componentes diseñados como bombas de agua de alta presión.

Los reactores de agua a presión y los reactores de agua en ebullición actuales son sistemas que han sido diseñados con un tipo de característica de seguridad pasiva. En caso de una condición de energía excesiva, cuando el agua en el núcleo del reactor nuclear hierve, se forman bolsas de vapor. Estos vacíos de vapor moderan menos neutrones, lo que hace que disminuya el nivel de potencia dentro del reactor. Los experimentos BORAX y el accidente de fusión del SL-1 demostraron este principio.

Un diseño de reactor cuyo proceso intrínsecamente seguro proporciona directamente un componente de seguridad pasivo durante una condición de falla específica en todos los modos operativos se describe típicamente como relativamente a prueba de fallos ante esa condición de fallo. Sin embargo, la mayoría de los reactores moderados y refrigerados por agua actuales, cuando se paran, no pueden eliminar la producción residual y el calor de desintegración sin la transferencia de calor del proceso o el sistema de enfriamiento activo. En otras palabras, mientras que el proceso de transferencia de calor inherentemente seguro proporciona un componente de seguridad pasiva que evita el calor excesivo mientras el reactor está en funcionamiento, el mismo proceso de transferencia de calor inherentemente seguro no proporciona un componente de seguridad pasiva si el reactor está en funcionamiento. apagado (SCRAMed). El accidente de Three Mile Island expuso esta deficiencia de diseño: el reactor y el generador de vapor se apagaron pero, debido a la pérdida de refrigerante, aún sufrieron una fusión parcial.

Los diseños de tercera generación mejoran los diseños anteriores al incorporar características de seguridad pasivas o inherentes que no requieren controles activos o intervención operativa (humana) para evitar accidentes en caso de mal funcionamiento, y pueden depender de diferenciales de presión., gravedad, convección natural o la respuesta natural de los materiales a las altas temperaturas.

En algunos diseños, el núcleo de un reactor reproductor rápido se sumerge en un charco de metal líquido. Si el reactor se sobrecalienta, la expansión térmica del combustible metálico y del revestimiento hace que más neutrones escapen del núcleo y la reacción nuclear en cadena ya no puede sostenerse. La gran masa de metal líquido también actúa como un disipador de calor capaz de absorber el calor de desintegración del núcleo, incluso si los sistemas de refrigeración normales fallaran.

El reactor de lecho de guijarros es un ejemplo de un reactor que exhibe un proceso inherentemente seguro que también es capaz de proporcionar un componente de seguridad pasiva para todos los modos operativos. A medida que aumenta la temperatura del combustible, el ensanchamiento Doppler aumenta la probabilidad de que los átomos de U-238 capturen neutrones. Esto reduce la posibilidad de que los neutrones sean capturados por átomos de U-235 e inicien la fisión, reduciendo así la producción de energía del reactor y colocando un límite superior inherente a la temperatura del combustible. La geometría y el diseño de los guijarros de combustible proporcionan un importante componente de seguridad pasiva.

Los reactores de sales fundidas de fluoruro de fluido único cuentan con radioisótopos fisibles, fértiles y actínidos en enlaces moleculares con el refrigerante de fluoruro. Los enlaces moleculares proporcionan una característica de seguridad pasiva en el sentido de que un evento de pérdida de refrigerante se corresponde con un evento de pérdida de combustible. El combustible de fluoruro fundido no puede alcanzar la criticidad por sí solo, sino que sólo la alcanza mediante la adición de un reflector de neutrones como el grafito pirolítico. La mayor densidad del combustible junto con el refrigerante de fluoruro FLiBe de menor densidad adicional sin combustible proporciona un componente de seguridad pasiva de la capa de flotación en el que el grafito de menor densidad que se desprende de las barras de control o de una matriz de inmersión durante una falla mecánica no induce criticidad. El drenaje de los líquidos del reactor impulsado por gravedad proporciona un componente de seguridad pasiva.

Se ha autorizado el funcionamiento desatendido de reactores de piscina de baja potencia, como el SLOWPOKE y el TRIGA, en entornos de investigación debido a que la temperatura del combustible de hidruro de aleación de uranio poco enriquecido (19,75% U-235) aumenta, el hidrógeno unido molecularmente en el combustible hace que el calor se transfiera a los neutrones de fisión a medida que son expulsados. Este cambio Doppler o endurecimiento del espectro disipa el calor del combustible más rápidamente en toda la piscina cuanto más aumenta la temperatura del combustible, lo que garantiza un enfriamiento rápido del combustible y al mismo tiempo mantiene una temperatura del agua mucho más baja que la del combustible. La transferencia de calor rápida, autodispersante y de alta eficiencia entre hidrógeno y neutrones, en lugar de la ineficiente transferencia de calor entre radionúclidos y agua, garantiza que el combustible no se derrita sólo por accidente. En las variantes de hidruro de aleación de uranio-circonio, el combustible en sí también es químicamente resistente a la corrosión, lo que garantiza un rendimiento de seguridad sostenible de las moléculas del combustible durante toda su vida útil. Una gran extensión de agua y el entorno de hormigón proporcionado por la piscina para que penetren los neutrones de alta energía garantizan que el proceso tenga un alto grado de seguridad intrínseca. El núcleo es visible a través de la piscina y las mediciones de verificación se pueden realizar directamente en los elementos combustibles del núcleo, lo que facilita una vigilancia total y proporciona seguridad contra la proliferación nuclear. Tanto las moléculas de combustible como la superficie abierta de la piscina son componentes de seguridad pasiva. Las implementaciones de calidad de estos diseños son posiblemente los reactores nucleares más seguros.

Ejemplos de reactores que utilizan elementos de seguridad pasiva

La Unidad 2 de Three Mile Island no pudo contener alrededor de 480 PBq de gases nobles radiactivos liberados al medio ambiente y alrededor de 120 kL de agua de refrigeración contaminada radiactivamente liberados más allá de la contención hacia un edificio vecino. La válvula de alivio operada por piloto en TMI-2 fue diseñada para cerrarse automáticamente después de aliviar la presión excesiva dentro del reactor hacia un tanque de enfriamiento. Sin embargo, la válvula falló mecánicamente, lo que provocó que el tanque de enfriamiento PORV se llenara y que el diafragma de alivio eventualmente se rompiera hacia el edificio de contención. Las bombas de sumidero del edificio de contención bombearon automáticamente el agua contaminada fuera del edificio de contención. Tanto un PORV en funcionamiento con tanque de enfriamiento como por separado el edificio de contención con sumidero proporcionaron dos capas de seguridad pasiva. Un PORV poco confiable anuló la seguridad pasiva diseñada. El diseño de la planta presentaba solo un indicador de apertura/cierre basado en el estado de su actuador de solenoide, en lugar de un indicador separado de la posición real del PORV. Esto hizo que la confiabilidad mecánica del PORV fuera directamente indeterminada y, por lo tanto, su estado de seguridad pasiva fuera indeterminado. Las bombas de sumidero automáticas y/o la capacidad insuficiente del sumidero de contención anularon la seguridad pasiva diseñada por el edificio de contención.

Los famosos reactores RBMK moderados con grafito y refrigerados por agua del desastre de la central eléctrica de Chernobyl fueron diseñados con un coeficiente de vacío positivo con barras de control de boro en garfios electromagnéticos para controlar la velocidad de reacción. En la medida en que los sistemas de control fueran confiables, este diseño tenía un grado correspondiente de seguridad inherente activa. El reactor no era seguro a bajos niveles de potencia porque un movimiento erróneo de la barra de control tendría un efecto amplificado que iba en contra de la intuición. En cambio, el reactor 4 de Chernobyl se construyó con barras de control de boro accionadas manualmente por grúa y rematadas con una sustancia moderadora, grafito y un reflector de neutrones. Fue diseñado con un sistema de enfriamiento del núcleo de emergencia (ECCS) que dependía de la energía de la red o del generador diésel de respaldo para estar operativo. El componente de seguridad del ECCS decididamente no fue pasivo. El diseño presentaba una contención parcial que consistía en una losa de concreto encima y debajo del reactor, con tuberías y varillas penetrantes, un recipiente metálico lleno de gas inerte para mantener el oxígeno alejado del grafito caliente enfriado por agua, un techo a prueba de fuego y las tuberías. debajo del recipiente sellado en cajas secundarias llenas de agua. El techo, la vasija metálica, las losas de hormigón y las cajas de agua son ejemplos de componentes de seguridad pasiva. El techo del complejo de la central eléctrica de Chernobyl estaba hecho de betún, en contra del diseño, lo que lo hacía inflamable. A diferencia del accidente de Three Mile Island, ni las losas de hormigón ni el recipiente de metal pudieron contener una explosión de hidrógeno impulsada por vapor, grafito y oxígeno. Las cajas de agua no pudieron soportar fallas de las tuberías por alta presión. Los componentes de seguridad pasiva diseñados eran inadecuados para cumplir los requisitos de seguridad del sistema.

El ESBWR (reactor económico simplificado de agua en ebullición, un BWR) de General Electric Company es un diseño que utiliza componentes de seguridad pasiva. En caso de pérdida de refrigerante, no se requiere ninguna acción del operador durante tres días.

El Westinghouse AP1000 ("AP" que significa "Advanced Passive") utiliza componentes de seguridad pasiva. En caso de accidente, no se requiere ninguna acción del operador durante 72 horas. Versiones recientes del VVER ruso han agregado un sistema pasivo de eliminación de calor a los sistemas activos existentes, utilizando un sistema de enfriamiento y tanques de agua construidos sobre la cúpula de contención.

El reactor integral rápido fue un reactor de cría rápida dirigido por el Laboratorio Nacional de Argonne. Fue un reactor refrigerado por sodio capaz de soportar una pérdida de flujo (coolant) sin SCRAM y pérdida de calorsink sin SCRAM. Esto se demostró durante una serie de pruebas de seguridad en las que el reactor se cerró con éxito sin intervención del operador. El proyecto fue cancelado debido a problemas de proliferación antes de que pudiera ser copiado en otros lugares.

El Experimento del Reactor de Sal Fundida (MSRE) fue un reactor de sal fundida dirigido por el Laboratorio Nacional de Oak Ridge. Fue moderado con grafito nuclear y la sal refrigerante utilizada fue FLiBe, que también llevaba el combustible de fluoruro de uranio-233 disuelto en él. El MSRE tenía un coeficiente de reactividad de temperatura negativo: a medida que aumentaba la temperatura del FLiBe, se expandía, junto con los iones de uranio que transportaba; esta menor densidad resultó en una reducción de material fisionable en el núcleo, lo que disminuyó la tasa de fisión. Con menos aporte de calor, el resultado neto fue que el reactor se enfriaría. Desde el fondo del núcleo del reactor se extendía una tubería que conducía a tanques de drenaje enfriados pasivamente. La tubería tenía una "válvula de congelación" a lo largo de su longitud, en el que la sal fundida se enfriaba activamente hasta formar un tapón sólido mediante un ventilador que soplaba aire sobre la tubería. Si la vasija del reactor desarrollara un calor excesivo o perdiera energía eléctrica para enfriar el aire, el tapón se derretiría; El FLiBe sería sacado del núcleo del reactor por gravedad hacia tanques de descarga, y la criticidad cesaría cuando la sal perdiera contacto con el moderador de grafito.

El diseño del HTGR de General Atomics presenta un sistema de eliminación de calor de desintegración totalmente pasivo e inherentemente seguro, denominado Sistema de enfriamiento de la cavidad del reactor (RCCS). En este diseño, una serie de conductos de acero recubren la contención de concreto (y por lo tanto rodean la vasija de presión del reactor) que proporcionan una ruta de flujo para la circulación natural impulsada por el aire desde las chimeneas ubicadas sobre el nivel del suelo. Los derivados de este concepto RCCS (con aire o agua como fluido de trabajo) también han aparecido en otros diseños de reactores refrigerados por gas, incluido el reactor de prueba de ingeniería de alta temperatura japonés, el HTR-10 chino, el PBMR sudafricano y el el GT-MHR ruso. Si bien ninguno de estos diseños se ha comercializado para la generación de energía, la investigación en estas áreas está activa, específicamente en apoyo de la iniciativa Generación IV y los programas NGNP, con instalaciones experimentales en el Laboratorio Nacional Argonne (hogar de la Instalación de Pruebas de Eliminación de Calor de Apagado por Convección Natural, un RCCS refrigerado por aire de escala 1/2) y la Universidad de Wisconsin (donde se separan RCCS refrigerados por aire y agua de escala 1/4).