77 ^w STUK-YTO-TR 94 Todennäköisyyspohjaisen turvallisuusanalyysin käyttö viranomaistyön tukena Ari Julin MARRASKUU 1995 Strälsäkerhetscentralen Finnish Centre for Radiation and Nuclear Safety 7112.
STUK-YTO-TR94 MARRASKUU 1995 Todennäköisyyspohjaisen turvallisuusanalyysin käyttö viranomaistyön tukena Ari Julin Ydinturvallisuusosasto PL 14, 00881 HELSINKI (90) 759 881
ISBN 951-712-078-8 ISSN 0785-9325 Painatuskeskus Oy Helsinki 1995
STUK-YTO-TR 94 JULIN, Ari. Todennäköisyyspohjaisen turvallisuusanalyysin käyttö viranomaistyön tukena. STUK-YTO-TR 94. Helsinki 1995. 63 s. + liitteet 19 s. ISBN 951-712-078-8 ISSN 0785-9325 Avainsanat: todennäköisyyspohjainen turvallisuus- ja riskianalyysi, turvallisuusteknisten käyttöehtojen (TTKE) optimointi, sallittu korjausaika, määräaikaiskoeväli, ennakkohuolto, turvallisuusluokka, todennäköisyyspohjainen turvallisuuslaiteen, viranomaisen päätöksenteko, elävä PSA TIIVISTELMÄ Tämän opinnäytteen tavoitteena on tutkia eri mahdollisuuksia todennäköisyyspohjaisen turvallisuusanalyysin (PSA) käytön tehostamiseksi ydinvoimalaitosten viranomaisvalvonnassa. Työssä esitellään PSA:n rakennetta, tuloksia, laskentamenetelmiä sekä yhtälöitä ja periaatteita, joilla PSA:n tason 1 tuloksia voidaan hyödyntää päätöksenteossa. Esimerkkien avulla esitellään tapoja, joilla PSA:ta on käytetty ulkomailla ja erityisesti Säteilyturvakeskuksessa (STUK) Suomessa. PSA:ta on käytetty viranomaistoiminnassa esim. turvallisuusteknisten käyttöehtojen analysoinnissa, määräaikaiskoestusten ja ennakkohuoltojen riskimerkityksen arvioinnissa, voimayhtiöiden poikkeuslupahakemusten käsittelyssä, turvallisuusmarginaalien arvioimisessa käyttöhäiriöissä, hätätilanneohjeiden kehittämisessä, henkilöstön koulutuksessa, viranomaistarkastusten kohdentamisessa sekä korjaus-ja muutostöiden arvioimisessa. Työn yhteydessä tehdyt laskut perustuvat SPSA- ohjelmaan ja sille sovellettuun Olkiluodon ydinvoimalaitoksen (TVO) PSA-malliin. Lasketuissa esimerkeissä arvioitiin laitteiden turvallisuusluokkien ja turvallisuusmerkitysten vastaavuutta sekä jatkettuun tehoajoon ja alasajoon liittyvää riskiä jälkilämmönpoistojärjestelmien vikatilanteissa. Tämän lisäksi vertailtiin PSA:n avulla laskettuja sallittuja korjausaikoja turvallisuusteknisten käyttöehtojen mukaisiin korjausaikoihin. TV0:n 2. laitosyksikön käyttötapahtumia arvioitiin laskemalla viimeisen 9 vuoden ajalta tärkeimpien laitevikojen ja käyttöhäiriöiden turvallisuusmcrkitykset. Käyttöhistorian riskiperustaisessa arvioinnissa havaittiin laitevikojen ja käyttöhäiriöiden muodostavan vain 5 % PSA:ssa lasketusta sydänvauriotaajuudesta. Sydänvaurion kokonaisriski koostuu siis lähinnä harvinaisista ja merkittävistä alkutapahtumista.
STUK-YTO-TR 94 JULIN, Ari. Use of probabilistic safety assessment in supporting regulatory authority's work. STUK-YTO-TR 94. Helsinki 1995. 63 pp.+appendices 19 pp. ISBN 951-712-078-8 ISSN 0785-9325 Keywords'. probabilistic safety assessment (PSA, PRA), optimization of technical specifications (Tech Specs), allowed outage time (AOT), surveillance testing interval (STI), preventive maintenance (PM), safety class, probabilistic safety criteria (PSC), regulatory decision making, living PSA ABSTRACT The goal of this thesis is to examine possibilities to use probabilistic safety assessment (PSA) more effectively in regulatory control of nuclear power plants. The structure, results and evaluation methods of PSA along with the necessary equations and principles, which could be used in utilising level 1 PSA results in decision making, have been introduced. The presented examples describe the ways PSA has been utilised abroad and particularly in Finnish Centre for Radiation and Nuclear Safety (STUK). PSA has been used in regulatory work to analyse technical specifications, to evaluate the risk importance of surveillance testing and preventive maintenance, to handle exemptions from technical specifications, to evaluate safety margins in operational disturbances, to develop emergency operating procedures, to train personnel, to focus regulatory inspections and to evaluate the effects of repairs and modifications. The examples calculated in this thesis are based on the SPSA code and the PSA model of Olkiluoto nuclear power plant (TVO).The examples compare component safety classes versus safety importance and the risk of continued operation versus shutdown alternative in residual heat removal system failures. In addition to this allowed outage times, as calculated by PSA, were compared to allowed outage times according to technical specifications. The last 9 years operating experiences of TVOII was also examined by analysing the risk importance of significant component failures and operational disturbances. This analysis showed that the contribution of component failures and operational disturbances to the overall core damage risk during the studied time period was only 5 per cent. It appeared that the rare, significant initiating events provide the main contribution to the total cumulative risk.
STUK-YTO-TR 94 ALKUSANAT Tämä opinnäyte on tehty Säteilyturvakeskuksen ydinturvallisuusosastolla 1994-1995. Työn ohjaajana toimi ylitarkastaja dipl. ins. Reino Virolainen ja työn tarkastajana professori TkTHeikki Kalli. Haluan esittää kummallekin asiantuntijalle lämpimät kiitokset työn valmistumisen edistämisestä ja vielä erikseen kiitokset Reinolle korvaamattomista vinkeistä sekä avusta aiheen rajaamisessa. Erityiskiitokset haluan osoittaa Tuomas Mankamolle (Avap'an Oy) ja Ilkka Niemelälle (STUK), jotka ovat antaneet olennaista apua käytännön esimerkkien käsittelyssä. mielenkiintoisesta ja viihtyisästä työympäristöstä. Aivan erityisen lämpimät kiitokset haluan esittää äidille ja isälle henkisestä ja taloudellisesta tuesta sekä vankkumattomasta uskosta lopullisen päämäärän saavuttamiseen. Vielä lopuksi haluan kiittää Suomen loistavaa jääkiekkomaajoukkuetta, joka osoitti sisun ja loppuun asti yrittämisen vievän läpi jopa sinikeltaisen kiven. "i t mihään oo niin viisas Iqiin insinööri on täydellisiä joka. nipped ja rööri" "Suomi-ilmiö" Mikko Saarela
STUK-YTO-TR 94 SISÄLLYSLUETTELO TIIVISTELMÄ Sivu ABSTRACT KÄYTETYT MERKINNÄT JA LYHENTEET 9 LYHENTEET 10 1 JOHDANTO 11 1.1 Säteilyturvakeskus ydinenergian käytön valvontaviranomaisena 11 1.2 Työn tavoitteet ja sisältö 11 1.3 Määritelmiä 12 2 PSA 13 2.1 Periaatteet ja tavoitteet 13 2.2 PSA:n rakenne ja laskentamenetelmät 13 2.2.1 Alkutapahtumat 13 2.2.2 Tapahtuma- ja vikapuut 15 2.2.3 Tason 2 PSA 16 2.2.4 Tason 3 PSA 20 2.3 Tärkeimmät tulokset ja niiden tulkinta 20 2.3.1 Sydänvauriotaajuus 20 2.3.2 Laitoksen riskiprofiili 22 2.3.3 Tärkeysmitat 22 2.3.4 Epe/armuudet ja rajoitukset 24 3 PSA:N KÄYTTÖ VIRANOMAISTYÖN TUKENA 27 3.1 Taustaa 27 3.1.1 Suomen ydinvoimalaitosten PSA:t ja niiden päivittäminen viranomaisvaatimukset 27 3.1.2 Laitoskohtaisen PSA:n viranomaistarkastus 30 3.2 Turvallisuusteknisten käyttöehtojen analysointi 30 3.2.1 Sallitut korjausajat 31 3.2.2 Määräaikaiskoevälit 33 3.2.3 Ennakkohuollot 36 3.2.4 Voimayhtiöiden poikkeuslupahakemusten käsittely 38 3.3 Käyttökokemusten arviointi 39 3.4 Viranomaistarkastukset ja niiden kohdentaminen 39 3.4.1 Yleistä 39 3.4.2 Tarkastuskohteiden valinta ja tarkastustaajuudet 39
STUK-YTO-TR 94 3.5 Ydinvoimalaitoksen laitosmuutokset 40 3.5.1 Yleistä 40 3.5.2 PSA:n käyttö laitosmuutoksen arvioinnissa ja tarkastamisessa 40 3.5.3 Loviisassa tehtyjä laitosmuutoksia 40 3.5.4 Olkiluodossa tehtyjä laitosmuutoksia 42 3.6 Häiriö- ja hätätilanneohjeet 42 VIRANOMAISVAATIMUKSET PSA:N KÄYTÖLLE UUSIEN YDINVOIMALAITOSTEN SUUNNITTELU-, RAKENNUS- JA KÄYTTÖVAIHEESSA 43 4.1 PSA:n tarkoitus ja ajoitus 43 4.2 Todennäköisyyspohjaisetturvallisuuskriteerit ja-tavoitteet 43 TVO II:N KÄYTTÖHISTORIAN PERUSTEELLA TEHTY RISKIARVIO 46 5.1 Taustaa 46 5.2 Laitevikojen ja erotusten laskenta SPS A-ohjelmalla ja TVO:n PS A-mallilla 46 5.3 Tärkeimmät laiteviat ja käyttöhäiriöt 46 5.3.1 Sammutetun reaktorin välijäähdytysjärjestelmän lämmönsiirtimet (721) 47 5.3.2 Dieselgeneraattorien (653) erotukset 47 5.3.3 Tasa-/vaihtovirtamuuttajat (666) 48 5.3.4 ApusyöttÖvesijärjestelmä (327) 48 5.3.5 TVO II:n kytkinlaitoksen tulipalo 48 5.3.6 Laiteviasta johtuneet alasajot 48 5.3.7 Samanaikaiset laiteviat tai erotukset 48 5.4 Yhteenveto tuloksista ja johtopäätökset 49 KÄYTÄNNÖN ESIMERKKEJÄ PSA:N HYÖDYNTÄMISESTÄ 50 VIRANOMAISTYÖN TUKENA 6.1 Laitteiden turvallisuusluokkien ja riskimerkitysten vertailu 50 6.2 Sallittujen korjausaikojen määrittäminen PSA:n avulla 52 6.3 Jatketun käytön ja alasajoriskin vertailu TVO:n jälkilämmönpoistojärjestelmien vikatilanteissa 54 6.3.1 Taustaa 54 6.3.2 SPSA-ohjelman ja TVO:n PSA-mallin hyödyntäminen 54 6.4 PSA:n käyttö TTKE:n poikkeuslupahakemuksen käsittelyssä 57 6.4.1 Taustaa 57 6.4.2 Merivesisuodattimien asennuksen riskimerkitys 57 6.4.3 Päätös poikkeuslupahakemuksen hyväksymisestä ja päätöksenteon kriteerit 58
STUK-YTO-TR 94 7 YHTEENVETO JA JOHTOPÄÄTÖKSET 59 VIITTEET 60 LIITE A Loviisan voimalaitoksen päävirtauskaavio 64 LIITE B Olkiluodon voimalaitoksen päävirtauskaavio 65 LIITE C Ydinvoimalaitosten valvonta 66 LIITE D Ydinvoimalaitosten lupamenettely 67 LIITE E STUK:n tulosyksikköorganisaatio 68 LIITE F Seisokki-PSA:han liittyviä erityiskysymyksiä 69 LIITE G Olkiluodon voimalaitoksen sydänvauriotaajuuden jakaantuminen tehoajon ja seisokin kesken 70 LIITE H Tärkeimmät minimikatkosjoukot, TVO PS A Rev. 1.00 71 LIITE I Esimerkkejä TVO II:n TTKE-rajoituksen aiheuttaneista laitevioista 81
STUK-YTO-TR94 KÄYTETYT MERKINNÄT JA LYHENTEET 0 1 p p f 1o t u U X A D I C EF «> Af AR käyttökunnossa vialla paine todennäköisyys sydänvauriotaajuus epäonnistumistodennäköisyys/vaade aika epäkäytettävyys keskimääräinen epäkäytettävyys laite tai järjestelmä riskin lisäyskerroin riskin vähenemiskerroin tulotärkeysmitta minimikatkosjoukon suhteellinen osuus sydänvauriotaajuudesta (Fussell-Vesely tärkeysmitta) virhetekijä (error factor) vikatapahtuman taajuus osuus sydänvauriotaajuudesta [l/a] riskin muutos Kreikkalaiset kirjaintunnukset <& tehoajo X vikataajuus Alaindeksit aot sallittu korjausaika ar keskimääräinen korjaus mean odotusarvo co jatkettu käyttö i indeksi lt edellinen määräaikaiskoe op käytössä pm ennakkohuolto r korjaus ry reaktorivuosi (tehoajolla olon kestoaika vuodessa) sb varalla sd alasajo sti määräaikaiskoeväli ttke turvallisuusteknisten käyttöehtojen mukainen x laite tai järjestelmä
STUK-YTO-TR 94 LYHENTEET ATWS BWR CCDF CCF ETA FSAR IAEA IVO LOCA MKJ NEA PDS PWR SPSA STUK TTKE TVO USNRC Anticipated Transient Without Scram tarkoittaa laitoksen suunnittelussa huomioitua käyttöhäiriötä, jonka yhteydessä pikasulkujärjestelmä ei jostain syystä toimi. Kiehutusvesireaktori Complementary Cumulative Distribution Function, jakautuman summafunktion komplementti Common Cause Failure, yhteisvika Ennakkotarkastusaineisto Final Safety Analysis Report, ydinvoimalaitoksen lopullinen International Atomic Energy Agency on YK:n erityisjärjestö, jonka tarkoituksena on edistää kansainvälistä yhteistyötä ydinenergian rauhanomaisen käytön alalla Imatran Voima Oy, Loviisan ydinvoimalaitos Loss of Coolant Accident, jäähdytteenmenetysonnettomuus. Minimikatkosjoukko (Minimal Cut Set) Nuclear Energy Agency, OECD maiden ydinenergia-alan yhteistyöjärjestö Plant Damage State, voimalaitoksen vauriotila Painevesireaktori STUK PSA on Säteilyturvakeskuksen kehittämä tietokoneohjelma, jolla voidaan rakentaa, laskea ja päivittää PS A- malli. Säteilyturvakeskus turvallisuustekniset käyttöehdot (technical specifications) Teollisuuden Voima Oy, Olkiluodon ydinvoimalaitos U.S. Nuclear Regulatory Commission, ydinvoimalaitoksia valvova viranomainen Yhdysvalloissa 10
STUK-YTO-TR 94 1 JOHDANTO 1.1 Säteilyturvakeskus ydinenergian käytön valvontaviranomaisena Suomessa on neljä ydinvoimalaitosyksikköä, joista 2 sijaitsee Loviisassa ja 2 Olkiluodossa. Imatran Voima Oy (IVO) omistaa Loviisan painevesilaitokset (PWR) ja Teollisuuden Voima Oy (TVO) vastaa Olkiluodon kiehutusvesilaitosten (BWR) toiminnasta. Liitteissä A ja B on esitetty Loviisan ja Olkiluodon laitosten päävirtauskaaviot ja tärkeimmät järjestelmät. Säteilyturvakeskus (STUK) toimii Suomessa ydinenergian käyttöä valvovana viranomaisena. Se antaa ydinvoimalaitosten turvallisuutta, turvajärjestelyjä ja ydinmateriaalivalvontaa koskevat yksityiskohtaiset määräykset ydinenergialain sekä -asetuksen ja valtioneuvoston päätösten nojalla IM. Liitteessä C on esitetty STUK:n valvontatoimenpiteet, jotka kohdistuvat ydinvoimalaitosten lupahakemusten käsittelyyn, laitoksen rakentamiseen ja käyttöönottoon sekä voimalaitoksen käytön valvontaan 121. Liitteestä D käy ilmi ydinvoimalaitoksen lupamenettely, josta selviää STUK:n toiminta ja eri viranomaistahojen osuus lupahakemuksen käsittelyssä 131. Ydinvoimalaitoksia ja ydinenergian käyttöä valvoo STUK:ssa ydinturvallisuusosasto. Liitteessä E on esitetty Säteilyturvakeskuksen organisaatiokaavio 131, josta selviää myös muiden osastojen toiminta. 1.2 Työn tavoitteet ja sisältö Säteilyturvakeskuksessa on pitkään ja runsaasti käytetty tcdennäköisyyspohjaista turvallisuusanalyysiä (PSA) riskien valvontaan, laitosmuutosten tekemiseen ja niihin liittyvien päätösten valmisteluun. Resurssien puutteen vuoksi ei ole kuitenkaan tehty systemaattista kartoitusta PS A:n soveltamiseksi viranomaisen päivittäisen työn tukemiseen ja entistä käytännöllisempien ongelmien ratkaisemiseen. Tämän opinnäytteen tavoitteena on esitellä mahdollisuuksia PSA:n käytön lisäämiseksi viranomaisvalvonnassa. Haastatteluiden avulla on selvitetty ydinturvallisuusosaston tarkastajien näkemyksiä PS A:n käyttötarpeista ja työssä on pyritty esittämään teorian ja käytännön esimerkkien avulla kuinka PSA:ta voidaan käyttää viranomaistyön tukena. Luvussa 2 esitetään PSA:n tavoitteita, rakennetta sekä tärkeimpiä tuloksia ja niihin liittyviä epävarmuuksia. Lisäksi selvitetään tapoja, joilla PSA:n tuloksia voidaan hyödyntää ja tulkita. Luvussa 3 käydään läpi STUK:n voimayhtiöille esittämät vaatimukset nykyisten ydinvoimalaitosten PSA:n toimittamisesta STUKrn tarkastettavaksi. Lisäksi esitetään lyhyesti kuinka PSA:n viranomaistarkastukset suoritetaan STUK:ssa ja miten eri PSA-tarkastukset ovat edenneet. Luvussa 3 käydään läpi myös yhtälöt ja periaatteet, joiden avulla PSA:ta voidaan käyttää viranomaistyön tukena. Lisäksi esitellään STUK:n valvontatoimet ja -periaatteet, joiden mukaan valvotaan ydinenergian turvallista käyttöä. Keskeisiä kohtia täydennetään esimerkkien avulla. Lukujen 5 ja 6 käytännön esimerkkien laskennassa on hyödynnetty luvussa 3 esiteltyjä menetelmiä. 11
STUK-YTO-TR 94 1.3 Määritelmiä PSA (Probabilistic Safety Assessment) on yleiskäsite, jolla tarkoitetaan minkä tahansa laajuista todennäköisyyspohjaista turvallisuusanalyysiä. Nykyään sitä käytetään synonyyminä lyhenteen PRA (Probabilistic Risk Analysis) kanssa 141. Living PSA (elävä PSA) on laitoskohtainen PSA sovellutus, missä tehokkaasti tietokoneistettu laitosmalli on kytketty laitostietojärjestelmään, joka sisältää laitteiden ja järjestelmien tekniset tiedot, testausjärjestelyt ja menettelyt, operaattorien menettelyohjeet, käyttökokemusten keräys- ja prosessijärjestelmän ja termohydrauliset analysointiohjelmat. Elävä PSA päivitetään säännöllisesti ja aina laitoksella tehtävien muutosten yhteydessä sekä käyttökokemusten perusteella. Se pyritään pitämään ajan tasalla laitoksen kulloisenkin rakenteen suhteen. Elävällä PSArlla on virallinen asema laitosorganisaatiossa /5/. Alkutapahtuma on yksittäinen tapahtuma, jonka johdosta voimalaitos tai sen osa joutuu pois normaalista käyttötilasta. "Determinismi on käsitys, jonka mukaan kaikki tapahtumat ovat edeltävien syiden seurausta" 161. Ennakkohuoltopakctti muodostuu samaan aikaan eri järjestelmille tehtävistä ennakkohuolloista, jotka on koottu suoritettavaksi tietyn ajanjakson aikana. Epäkäytettävyys tarkoittaa todennäköisyyttä, että laite tai järjestelmä ei ole toimintakunnossa. Minimikatkosjoukko (MKJ) on pienin tarkasteltavaan tapahtumaan (huipputapahtuma) johtava perustapahtumien (vikojen) yhdistelmä. Mikään minimikatkosjoukon yksittäinen vika ei johda huipputapahtumaan. Kun lasketaan sydänvauriotaajuutta, muodostuu MKJ alkutapahtumasta ja perustapahtumista, jotka yhdessä johtavat sydänvaurioon. Perustapahtuma on vikatapahtuma, jolle on määritelty mm. vikaantumistodennäköisyys ja -jakautuma. Piilevällä vialla tarkoitetaan varalla olevan laitteen vikaa, joka paljastuu vasta toimintavaatimuksen yhteydessä tai koestuksessa. Redundanttisessa järjestelmässä on vähintään kaksi toistensa toiminnasta riippumatonta osajärjestelmää, jotka pystyvät korvaamaan toisensa esim. vikatilanteessa. Riski voidaan määritellä seurausten ja todennäköisyyden tulona. Yleisesti se ymmärretään esim. tiettyyn vaaraan, menetykseen, vaurioon, loukkaantumiseen tai kuolemaan liittyvän tapahtuman todennäköisyydeksi. Jatkossa riskillä tarkoitetaan reaktorisydämen vaurioitumisen todennäköisyyttä aikayksikköä kohti eli sydänvauriotaajuutta, ellei toisin mainita. "Transientti on nopea muutos sellaisissa ydinreaktorin käyttöparametreissa kuten, teho, jäähdytevirtaus, paine, lämpötila yms., joilla on vaikutusta polttoaineen suojakuoren tai primääripiirin eheyteen" 111. "Turvallisuustoiminto tarkoittaa onnettomuuden estämiseen tai seurausten lieventämiseen liittyvää toimintokokonaisuutta, jonka turvajärjestelmät käynnistävät ja ylläpitävät" 141. Yhteisvialla (CCF) tarkoitetaan kahden tai useamman laitteen vikaantumista yhteisestä syystä eli vioittumistavat eivät ole riippumattomia toisistaan. "YVL-ohjeet ovat sääntöjä, joita yksittäisen luvanhaltijan tai muun kyseeseen tulevan organisaation on noudatettava, ellei Säteilyturvakeskukselle ole esitetty muuta hyväksyttävissä olevaa menettelytapaa taikka ratkaisua, jolla YVL-ohjeessa esitetty turvallisuustaso saavutetaan" /!/. 12
STUK-YTO-TR 94 2 PSA Tässä luvussa esitetään lyhyesti PSA:n rakenne sekä siihen liittyviä laskentamenetelmiä ja analyysejä tuloksineen. Lisäksi esitetään viranomaisvaatimukset suomalaisten ydinvoimalaitosten PSA:n toimittamiseksi ydinturvallisuutta valvovalle viranomaiselle. 2.1 Periaatteet ja tavoitteet PSA:n tavoitteena on arvioida kvantitatiivisesti ydinvoimalaitoksen käyttöön liittyviä riskejä. Periaatteena on määrittää reaktorisydämen vaurioitumiseen johtavien tapahtumaketjujen sekä radioaktiivisten päästöjen todennäköisyydet ja onnettomuudesta mahdollisesti aiheutuvat riskit ympäristölle. PSA on käytännön syistä jaettu kolmeen tasoon /8/. Jako on tehty mm. käsiteltävän tiedon valtavan määrän sekä tietokoneohjelmien ja tietokoneiden rajallisen kapasiteetin vuoksi. Tason 1 PSA:n tavoitteena on reaktorisydämen vaurioitumiseen johtavien onnettomuusketjujen määrittäminen, mallintaminen sekä niiden todennäköisyyksien laskeminen. Sen avulla saadaan kvalitatiivinen ja kvantitatiivinen arvio sekä laitoksen vahvuuksista ja heikkouksista että turvajärjestelmien edellytyksistä estää sydänvaurio. Tason 1 kvantitatiivisena tuloksena on laitoksen sydänvaurion taajuus. Tason 2 PSA:ssa analysoidaan reaktorisydämen vaurioitumisen seurauksena vapautuvien radioaktiivisten aineiden kulkeutumista suojarakennuksessa. Siihen kuuluu sydämensulamisprosessin, sydänsulan ja radioaktiivisten aineiden käyttäytymisen sekä suojarakennuksen toiminnan analysoiminen ja mallintaminen kussakin onnettomuustilanteessa. Lopullisena tuloksena saadaan suojarakennuksesta ympäristöön mahdollisesti vapautuvan radioaktiivisen päästön koostumus, määrä ja todennäköisyys. Tason 3 PSA arvioi radioaktiivisten aineiden kulkeutumista voimalaitoksen ulkopuolella sekä siitä aiheutuvia ympäristö- ja terveysriskejä. 2.2 PSA:n rakenne ja laskentamenetelmät Tässä luvussa esitetään tarkemmin vain PSA:n tasoon 1 liittyviä menetelmiä ja tuloksia. Tason 2 ja 3 menetelmistä selvitetään ainoastaan yleiset periaatteet puuttumatta yksityiskohtiin. PSA:n rakenne selviää yksityiskohtaisesti ja laajasti esim. viitteestä 191. Kuvassa 1 on esitetty laajaan todennäköisyyspohjaisen turvallisuusanalyysiin liittyviä tehtäviä 191. Lähtötietojen keruu pitää sisällään mm. mallinnettavien laitteiden luotettavuustietojen ja mahdollisten onnettomuustilanteiden alkutapahtumien määrittämisen. Analyysit voidaan jakat karkeasti tason 1 järjestelmäanalyyseihin, tason 2 suojarakennusja lähdetermianalyyseihin sekä tason 3 seurausvaikutusanalyyseihin. Tulosten arvioimiseksi tehdään myös epävarmuus- ja herkkyysanalyysit. 2.2.1 Alkutapahtumat Onnettomuus alkaa alkutapahtumasta, jonka seurauksena laitos joutuu pois normaalista käyttötilasta. Alkutapahtuma voi olla laitoksen sisäisistä vioista ja häiriöistä tai ulkoisista syistä aiheutuva vaaratilanne. Tyypillisiä sisäisiä alkutapahtumia ovat jäähdy tteenmenetysonnettomuus (LOCA), lauhduttimen tai syöttöveden menetys, pikasulku, ulkoisen sähköverkon menetys ja käyttöhäiriö, jonka yhteydessä pikasulku ei onnistu (ATWS). Ulkoisiksi alkutapahtumiksi on määritelty mm. tulipaloista, tulvista, sääoloista tai maanjäristyksistä aiheutuvat transientit. Myös ydinvoimalaitoksen vuosihuollon aikana tapahtuvat transientit saattavat johtaa sydänvaurioon. Seisokkiriskin osuus keskimääräisestä sydänvauriotaajuudesta onkin usein merkittävä. Seisokin aikana mahdolliset vaaratilanteen laukaisevat alkutapahtumat ovat osin 13
STUK-YTO-TR 94 I en o CD o c Pääs tövoi kulke > Taso 3 :S.S. ;o:= o *> tn c en o en O V) 3 C C O O o c O 3 ** c CU -o O a) O CU il r.2»c ij?ao & oks > O (n D C O II <r 1% H"S"o5 CD w CU C :o > 1 c Q. C n Q. C 2-g i 3 av. <D 3 O llf 53 u telmien taminen i n f S S P o» c cu 0) c«ö in ^, c a? o c i 14
STUK-YTO-TR94 erilaisia kuin tchoajon aikana ja ne liittyvät usein huoltotöiden aiheuttamiin paincastiavuotoihin tai pysäytetyn reaktorin jäähdytysjärjestelmän vikoihin. Liitteeseen F on koottu seisokki-psa:han liittyviä erityiskysymyksiä ja liitteessä G on esitetty Olkiluodon laitoksen keskimääräisen sydänvauriotaajuuden jakaantuminen tchoajon ja -seisokin kesken. 2.2.2 Tapahtuma- ja vikapuut Laitokselle määritettyjen alkutapahtumien määrä on usein huomattavan suuri. Loviisan laitokselle on esimerkiksi määritetty n. 70 mahdollista alkutapahtumaa /10/. On tyypillistä, että laitos reagoi samalla tavalla useampiin alkutapahtumiin. Tällöin on järkevää yhdistää samantyyppiset alkutapahtumat ryhmiksi, joista kukin vaatii erilaiset turvajärjestelmien toiminnot onnettomuuden estämiseksi. Kullekin alkutapahtumaryhmälle tehdään kuvan 2 mukainen tapahtumapuu, joka alkaa alkutapahtumasta. Onnettomuusanalyyseillä määritetään turvajärjestelmiltä vaadittava minimikapasitcetti turvallisuustoiminnon onnistumiseksi, esim. apusyöttöveden massavirta tai tarvittavien ulospuhallusventtiilien lukumäärä. Kevytvcsircaktorien turvallisuustoiminnoilla pyritään hallitsemaan rcaktorisydämen reaktiivisuutta, poistamaan sydämestä jälki-ja varastoitunut lämpöenergia, huolehtimaan reaktorisydämen paincensäädöstä ja ylipainesuojaukscsta sekä pitämään suojarakennus ehjänä (eristys ja ylipaincsuojaus). Kunkin turvallisuustoiminnon kohdalla on tiedettävä (TURVATOIMINNOT) Alkutaoahtuma Järjestelmä 1 Järjestelmä 2 Onnettomuusketjut Sydänvaurioluokka ja -taajuus Onnistuu Onnistuu S2 IS1S2 OK Alkutapahtuma S1 Epäonnistuu Epäonnistuu F2 Onnistuu S2 IS1F2 1F1 S2 CD1 OK F1 Epäonnistuu F2 IS1F2 CD 2 Vikapuun huip- j i Vikapuun huip-, outapahtuma i ' putapahtuma i / \ TAI-oortti Vikapuu JA- DOflti O O O O Peruetapahtuma Kuva 2. Tapahtuma-ja vikapuiden rakenne/11/. 15
STUK-YTO-TR 94 sen onnistumistodcnnäköisyys alkutapahtuman toteutuessa. Turvajärjestelmien toiminta mallinnetaan vikapuina, jotka liitetään tapahtumapuun haaroihin. Turvallisuustoimintojen cpäonnistumistodennäköisyydct eli haarautumistodennäköisyydet saadaan vikapuuanalyysin tuloksina. Haarautumistodennäköisyydct ovat ehdollisia ja onnistumis- ja epäonnistumistodennäköisyyksicn summa on 1. Vikapuun huipputapahtumana on turvallisuustoiminnon ehdollinen epäonnistumistodennäköisyys, joka muodostuu epäonnistuneeseen toimintoon johtavista vikayhdistelmistä. Viat on mallinnettu perustapahtumiksi vikapuuhun. Tapahtumapuun ketjut johtavat erilaisiin reaktorisydämen tiloihin, jotka voivat olla esim. eriasteinen sydämen sulaminen, polttoainesauvan suojakuorivaurio tai vaurioitumaton sydän. Tapahtumaketjun taajuus saadaan alkutapahlumataajuuden ja ehdollisten haarautumistodennäköisyyksien tulona. Samaan reaktorisydämen vauriotilaan johtavat tapahtumaketjut yhdistetään sydänvaurioluokaksi. Kaikki tiettyä katkaisurajaa (cut-off criterion) todennäköiscmmät sydänvaurioon johtavat vikayhdistelmät eli minimikatkosjoukot lasketaan Boolen algebran säännöillä ja tulokseksi saadaan alkutapahtumaryhmän eli kyseisen tapahtumapuun sydänvauriotaajuus. Tapahtumaketjujen taajuuksia ei voi suoraan laskea yhteen, sillä eri tapahtumaketjuilla voi olla samoja minimikatkosjoukkoja. Tämä johtuu siitä, että turvallisuustoiminnot saattavat olla riippuvaisia esim. samoista sähkö-, jäähdytys- ja voitelujärjestelmistä. Koko laitoksen sydänvauriotaajuus saadaan kaikkien alkutapahtumaryhmien taajuuksien summana. 2.2.3 Tason 2 PSA Kuvassa 1 esiteltiin PSA:han liittyviä tehtäviä, mutta sen rakenne ja metodologia käy tarkemmin ilmi kuvasta 3 I\2I. Siinä on esitetty yleisesti käytetty esimerkki laajasta PSAtsta, joka sisältää tasot 1 3. PSA:n laajuudesta ja tarkkuudesta riippuen saattavat yksityiskohdat poiketa toisistaan eri PSA-tutkimuksissa. Tasolla 1 tunnistetaan suuri määrä mahdollisia reaktorisydämen vaurioitumiseen johtavia onnettomuusketjuja ja määritellään niiden taajuudet. Kun arvioidaan onnettomuuden etenemistä reaktorisydämen vaurioitumisen jälkeen, on tarpeetonta ja osittain myös epäkäytännöllistä käsitellä kutakin ketjua erikseen. Tämän johdosta onnettomuusketjut ryhmitellään laitoksen vauriotiloihin (PDS) sen mukaan miten ne vaikuttavat onnettomuuden etenemiseen, suojarakennuksen toimintaan ja fissiotuotteiden päästöihin. Voimalaitoksen vauriotilat kuvaavat muun muassa hätäjäähdytysjärjestelmien, suojarakennusjärjestelmien, primääripiirin sekä muiden onnettomuuden etenemisen kannalta oleellisten järjestelmien tilan vakavan reaktorionnettomuuden alussa. Esimerkiksi primääripiirin paine sydänvaurion sattuessa jakaa onnettomuusketjut korkea-ja matalapaineisiin vauriotiloihin. Yksi tai useampi suurimman esiintymistaajuuden omaava onnettomuusketju valitaan edustamaan kutakin vauriotilaa ja ainoastaan tietyn esiintymistaajuuden ylittävät laitoksen vauriotilat valitaan jatkokäsittelyä varten. Kullekin valitulle laitoksen vauriotilalle tehdään suojarakennuspuut (vrt. tapahtumapuu). Kuvan 2 tapahtumapuun turvatoiminnot on suojarakennuspuussa korvattu kysymyksillä, joilla pyritään mallintamaan ja kvantifioimaan vakavan onnettomuuden etenemiseen, suojarakennuksen toimintaan ja radioaktiivisiin päästöihin vaikuttavat ilmiöt. Laitoksen vauriotilan taajuus korvaa suojarakennuspuussa kuvan 2 alkutapahtumataajuuden. Vastaamalla suojarakennuspuun kysymyksiin on kyettävä määrittämään todennäköisyydet sille, onko suojarakennus eristetty, ohitettu, vaurioitunut, ehjä tai joudutaanko käyttämään suodatettua ulospuhallusta. Kysymykset riippuvat voimakkaasti laitoksen ja etenkin suojarakennuksen tyypistä. Viitteessä /13/ on käytetty suojarakennuspuun haarautumispisteissä jopa 145 kysymystä, mutta puiden kvantifioiminen, tarkastaminen ja esittäminen graafisesti on helpompaa 20 30 kysymyksen suojarakennuspuissa. Suojarakennuspuu jaetaan yleensä peräkkäisiin aikavyöhykkeisiin onnettomuuden etenemisen kannalta tärkeimpien ta- 16
STUK-YTO-TR 94 '..!'..' ' nij(?aie'iisisi nniijjtabi!8., v'i".'. Sf* ' I t ' ' 2 1 17
STUK-YTO-TR 94 pahtumien perusteella. Jako vyöhykkeisiin voidaan tehdä esimerkiksi seuraavalla tavalla /14/: 1) Tapahtumat ennen reaktorisydämen sulamista 2) Tapahtumat, jotka liittyvät reaktoripaineastian sisällä tapahtuviin ilmiöihin 3) Reaktoripaineastian vaurioitumisen aikana tai välittömästi sen jälkeen tapahtuvat ilmiöt 4) Reaktoripaineastian ulkopuolella tapahtuvaan sydänjätteen käsittelyyn ja jäähdyttämiseen liittyvät ilmiöt Vakavaan reaktorionnettomuuteen liittyvät ilmiöt ovat monimutkaisia ja monissa tapauksissa käytössä ei ole teoreettista mallia eikä käytännön koetuloksia, joilla ilmiöt voitaisiin riittävän hyvin ennustaa ja selittää. Suojarakennuspuiden haarautumistodennäköisyyksiä varten olisi kuitenkin saatava jonkinlainen arvio kyseisistä ilmiöistä laskentaohjelmien, asiantuntija-arvioiden ja kokeiden perusteella. Taulukkoon I on koottu esimerkkejä vakaviin reaktorionnettomuuksiin liittyvistä ilmiöistä ja epävarmuuksista/15/. Tarkemmat kuvaukset vakaviin onnettomuuksiin liittyvistä ilmiöistä löytyvät esim. viitteestä /16/. Kun jokaiseen suojarakennuspuun haarautumispisteeseen kyetään liittämään arvio tapahtuman todennäköisyydestä, saadaan todennäköisyyksien tulona kunkin suojarakennusketjun ehdollinen todennäköisyys sille, että suojarakennuksesta pääsee radioaktiivisia aineita ympäristöön. Tässä yhteydessä on kuitenkin otettava huomioon mahdolliset haarautumispisteisiin liittyvien tapahtumien (kysymysten) väliset riippuvuudet. Päästöt voivat levitä suojarakennuksen ulkopuolelle suojarakennuksen vaurioituessa, suojarakennuksen ohituksen kautta tai suodatetussa ulospuhalluksessa. Kertomalla ehdollinen todennäköisyys laitoksen vauriotilan taajuudella, saadaan määritettyä kyseisen suojarakennusketjun lopputilan taajuus (kuva 3). Lopputilojen lukumäärä on niin suuri, että tässäkin tapauksessa joudutaan sijoittamaan onnettomuuden etenemisen kannalta samantapaiset suojarakennusketjut suurempiin ryhmiin (binning). Jokaiseen suojarakennuspuun ketjun lopputilaan liittyy sille ominaiset radioaktiiviset päästöt (lähdetermi) ja taajuudet. Lähdetermi sisältää arvion muun muassa ympäristöön pääsevistä radionuklideista, niiden määrästä, aerosolihiukkasten kokojakaumasta ja päästön energiasisällöstä. Yleensä lähdetermien määrää pienennetään yhdistelemällä suojarakennusketjuja edustaviin päästöryhmiin. Niitä on oltava riittävästi, jotta jokainen lähdetermi voidaan sijoittaa johonkin edustavaan ryhmään. Kunkin päästöryhmän taajuus saadaan siihen liitettyjen lähdetermien taajuuksien summana. Suojarakennuspuun lopputilojen yhdistäminen päästöryhmiin tapahtuu esimerkiksi seuraavien fissiotuotteiden määrään, vapautumiseen ja onnettomuuden seurausvaikutuksiin vaikuttavien tekijöiden /12/ perusteella: päästön ajoittuminen (erittäin aikainen, aikainen, myöhäinen jne.) suojarakennuksen ohitus/eristys (höyrystimen tuubirikko, primääri-sekundäärivuodot, eristysventtiiliviat) päästömekanismi (suunnitteluperustainen vuoto, murtuma, läpiviennit) fissio tuotteiden aktiivisten poistojärjestelmien toiminta (ruiskutus, puhaltimet, lauhdutusaltaat, suodattimet yms.) fissiotuotteiden passiivisten poistojärjestelmien toiminta (kaksoissuojarakennus, reaktorirakennukset, mutkittelevat päästöväylät) päästökohdan sijainti päästön kesto päästöön varastoitunut energia Päästöryhmät yhdistävät siis sellaiset suojarakennusketjut, joissa onnettomuuden eteneminen on samantapainen ja joitten oletetaan johtavan samanlaisiin päästöihin ympäristöön. Päästöryhmien lukumäärä riippuu käsittelyn tarkkuudesta. Viitteessä /13/ käytettiin jopa 52 päästöryhmää (lähdetermiryhmää), mutta kuvan 3 esimerkissä on käytetty 15 20 ryhmää. 18
STUK-YTO-TR 94 Taulukko I. Vakavien reaktorionnettomuuksien epävarmuusalueita /15/. Vakavan reaktorionnettomuuden ilmiöitä Epävarmuuksia Vedyn kehittynvnen reaktoripaineastiassa Suojarakennuksen ylipaineistuminen lauhtumattomien kaasujen vuoksi Luonnonkierto korkeassa reaktoripaineessa (PWR) Polttoaine-jäähdyte vuorovaikutukset (FCI) reaktoripaineastian sisällä Reaktorin jäähdytysjärjestelmän vauriomekanismi Reaktoripaineastian rikkoutuminen korkeassa paineessa/ suojarakennuksen nopea lämpötilan ja paineen nousu Sydänmateriaalin jäähdytettävyys ja sydänmateriaali-betoni vuorovaikutukset Vedyn poltto Fissiotuotteiden vapautuminen ja käyttäytyminen suojarakennuksessa * sydämen uudelleenkastuminen, sulaneen suojakuorimateriaaliin aiheuttamat tukkeumat virtauskanavissa * vedyn kehitys (ja kulkeutuminen suojarakennuksessa) * sydänsula-betoni vuorovaikutukset * radioaktiiviset päästöt * kuuman haaran ja höyrystimen ylikuumeneminen * sydämen uudelleenjäähdytys * uudelleenkriittisyys * höyryräjähdykset * radioaktiiviset päästöt * vauriokohdan sijainti * vaurioitumistapa * reaktoripaineastian pohjan paikalliset vuodot * reaktoripaineastian pohjan putoaminen * sydänmateriaalin pirstoutuminen * Zirkoniumin oksidoituminen / vedyn kehittyminen * sydänmateriaalin kulkeutuminen * vedyn poltto * radioaktiiviset päästöt * höyryn muodostumisen aiheuttama ylipaineistuminen * lauhtumattomien kaasujen kehittyminen * sydänmateriaalin leviäminen ja mahdolliset vuorovaikutukset suojarakennuksen rajojen kanssa * radioaktiiviset päästöt * räjähdyksenomainen/hidas palaminen * sekoittuminen/kerrostuminen * lämmöntuoton aiheuttamat painekuormat * fissiotuotteiden höyrystyminen (sulan lämpötila, kemialliset reaktiot, kaasujen vapautumisnopeus) * sydänsula-betoni vuorovaikutukset * hiukkasten (aerosolien) kasvu (kosteus, vesihöyryn tiivistyminen, koagulaatio) * pidättyminen vesialtaisiin ja jäälauhduttimeen (PWR) * kerääntyminen (laskeutuminen) pinnoille * kulkeutuminen suojarakennuksessa (virtaukset, vesiruiskutus) 19
STUK-YTO-TR 94 2.2.4 Tason 3 PSA Jokaiselle päästöryhmälle määritetään sen seurausvaikutukset ympäristölle. Päästöryhmien seurausvaikutusten laatuun vaikuttavat mm. paikalliset sääolot, populaatiojakauma, topografia (vuoret, metsät, vesistöt jne.) ja suojaavat toimenpiteet ennen päästön leviämistä (evakuointi, suojat). Viitteessä /13/ on seurausvaikutuksia arvioitu 8 scurausmitalla (Consequence measures), jotka ovat varhaiset kuolintapaukset, varhaiset tapaturmat, myöhäiset syöpäkuolemat, populaation säteilyannos 50 mailin säteellä, populaation säteilyannos tietyllä alueella, taloudelliset menetykset, varhaisen kuoleman riski yksittäiselle henkilölle mailin säteellä ja myöhäinen syöpäriski yksittäiselle henkilölle 10 mailin säteellä voimalaitoksesta. Tason 3 tuloksena saadaan siis kunkin seurausmitan riski. Kuvassa 4 on esitetty riskin laskeminen laitoksen vauriotilataajuudesta lähtien. Siinä on kuvattu vain yhden onnettomuuskctjun riskivaikutusten laskeminen. Epävarmuus- ja herkkyysanalyysiä varten on laskut toistettava esimerkiksi muutama sata kertaa. Yleisimmin käytetään ns. Monte-Carlo simulointia /8/ epävarmuuksien määrittämiseen. Siinä varioidaan satunnaisesti PSA-mallin ehdollisia haarautumistodennäköisyyksiä sekä tapahtumataajuuksia. Simulointikertojen jälkeen saadaan satunnainen otos seurausmittojen riskeistä, joille voidaan määrittää jakautuman odotusarvo, mediaani ja luottamusvälit. Seurausmittojen riski voidaan ilmoittaa myös jakautuman summafunktiona tai sen komplementtina (CCDF). Kuvassa 5 on esitetty Surry (USA) ydinvoimalaitoksen PSA:n 200 simulointikerran CCDF:t seurausmitalle myöhäinen syöpäkuolema. Kuvan käyrien jokainen piste edustaa todennäköisyyttä, että syöpäkuolemien lukumäärä rcaktorivuotta kohti on suurempi kuin X. Esimerkiksi yli 1000 syöpäkuoleman riskitaajuuden keskiarvo on hieman suurempi kuin 10' 6 l/a. Kuvasta nähdään, että epävarmuudet ovat suhteellisen suuria siirryttäessä PSA:n tasolle 3. 2.3 Tärkeimmät tulokset ja niiden tulkinta 2.3.1 Sydänvauriotaajuus Tason 1 laitoskohtaisen PSA:n yhtenä päätuloksena saadaan sydänvauriotaajuuden odotusarvo tehoajolla. Se voidaan määritellä yhtälön (1) Un = P {Oi = 1 }, (1) mukaan missä A..:t ovat alkutapahtumataajuuksia ja P{O.=1} on ehdollinen todennäköisyys sille, että laitoksen turvallisuustoiminnot eivät kykene estämään sydänvauriota alkutapahtuman i jo toteuduttua. Kuva 6 havainnollistaa yhtälön (1) sekä edellisen luvun kuvauksen sydänvauriotaajuuden laskemisesta /17/. Laitoksen vauriotilat Suojarakennuspuut (CET, lopputilat) Päästöluokat (RC) Seurausvaikutukset (C; seurausmitat) Tulokset f (PDS) P (PDS -> CET) P(CET -> RC) C(RC) Riskit (C) op p r '1 r 12 ' ' " r 1,CET P P P M1 r 12 r 1,RC C 11 C 12 ' ' - C 1,C P 21 L f 1 f PDsJ X X X = RISK. 1 L -RISK cj _ P PDS ' ' ' P PDS,CET P CET ' ' ' P CET,RC. _ C RC ' " ' C RC.C Kuva 4. Riskin laskeminen matriisimuodossa /I3/. 20
STUK-YTO-TR 94 10 Keskiarvo CO i 95 % A I.55-6 r E 10 \ «10, i is io 8 ir 10-9 I SURRY INTERNAL EVENTS 99.5Z EVACUATION 10" 10 1 10' 10" 10 10 X, Myöhäiset syöpäkuolemat Kuva 5. Myöhäisen syöpäkuoleman riski (200 simulointikerran CCDF:t 90 % luottamusvälillä) /13/. Tapahturnapuu 1 I Alkutapahtuma 1 ja Turvatoimintojen epäonnistuminen alkutapahtuman 1 jälkeen tai Tapahtumapuu 2 I I J a taajuus todennäköisyys Kuva 6. PSA:n yksinkertaistettu rakenne vikapuumuodossa. /17I 21
STUK-YTO-TR 94 Kuvassa 7 on esitetty viiden Yhdysvaltalaisen rempi, mikäli laitos on hyvin suunniteltu. Kuvassa 8 on esitetty Olkiluodon voimalaitoksen ydinvoimalaitoksen /13/ sekä Olkiluodon ydinvoimalaitoksen /l 8/ sydänvauriotaajuuksicn sydänvauriotaajuuden jakaantuminen alkutapahtumakohtaiscsti. todennäköisyysjakauma 90 % vaihteluvälillä koskien pelkästään sisäisiä alkutapahtumia. Surry, Scquoyah ja Zion ovat paincvcsilaitoksia ja 2.3.3 Tärkeysmitat muut kolme ovat kiehutusvcsilaitoksia. Ydinvoimalaitosten vertaileminen keskenään pelkästään sydänvauriotaajuuksicn perusteella ei välttämättä anna oikeaa kuvaa laitosten välisistä turvallisuuseroista. Tulokset riippuvat suuresti käsittelyn laajuudesta ja tarkkuudesta. PSA:sta saattaa puuttua mahdollisia alkutapahtumia, joita ei ole osattu ottaa huomioon tai jotka on katsottu liian epätodennäköisiksi. Vertailuun tulisi lisäksi ottaa mukaan alkutapahtumien osuudet sydän vauriosta ja laitosten eri järjestelmien turvallisuusmcrkitystcn vertailu. Sydänvauriotaajuus on vain yksi PSA:n päätuloksista. Seuraavissa luvuissa käsitellään tarkemmin muita PSA:n tuloksia. PSA:n yhtenä tuloksena saadaan myös laitteiden, järjestelmien ja tapahtumaketjujen tärkeysmitat. Niitä käytetään järjestelmien ja laitteiden asettamisessa turvallisuusmcrkitykscn perusteella tärkeysjärjestykseen. Tällöin on helpompi päättää, mihin turvallisuuden parantamiseen liittyvät toimenpiteet tulisi kohdistaa. Tässä kappaleessa esitetään yleisimmin käytetyt tärkeysmitat/h/,/17/. Riskin lisäyskerroin (A x ) saadaan laskemalla uusi sydänvauriotaajuus laite tai järjestelmä vikaantuneena (x=l) ja jakamalla se keskimääräisellä sydänvauriotaajuudclla yhtälön (2) mukaisesti. 2.3.2 Laitoksen riskiprofiili Tason 1 tuloksista nähdään myös sydänvauriotaajuuden jakaantuminen eri alkutapahtumaryhmille. Minkään alkutapahtuman osuus sydänvauriotaajuudesta ei ole selvästi muita suu- Ax = f,-. (2) A x ilmaisee siis kuinka moninkertaiseksi sydänvauriotaajuus kasvaisi, jos laite X olisi vialla. 1.0E-2-) Surry I rt Bottom +r. I....1.. :. 1 ::::::::::::GfänS"»-"" :::: """"Ziöh"-"""- :::::::::::::TVO":"""" Gulf dänvaur iot aajuus 1.0E-3-1.0E-4-1.0E-5- T Ö--4AI..I..:::*.:.." I T l T i-4ioe-6- T-v"--" ^T,::,,,.:: L pvrr:."-.vr --".-J T...1 1 1.0E-6-1.0E-7 -I L - S % fraktiili X Mediaani 0 Keskiarvo - 95 % fraktiili Kuva 7. Viiden amerikkalaisen ja yhden suomalaisen ydinvoimalaitoksen sydänvauriotaajuudet 90 % luottamusvälillä/l3/, /18/. 22
STUK-YTO-TR 94 Riskin vähenemiskcrroin (D x ) saadaan jakamalla sydänvauriotaajuuden odotusarvo uudella sydänvauriotaajuudclla, joka lasketaan olettamalla laite vikaantumattomaksi eli täydelliseksi (x=0) yhtälön (3) mukaisesti. Tulotärkeysmitta (I x ) voidaan tulkita niistä minimikatkosjoukoista muodostuvaksi riskiksi, jotka sisältävät kyseisen laitteen tai järjestelmän. Se ottaa huomioon myös laitteen luotettavuuden yhtälön (5) mukaisesti. a = (3) I* = fmcan " x=0 u = laitteen x epäkäytettävyys (5) Birnbaumin tärkeysmitta (B x ) saadaan asettamalla komponentin X cpäkäytettävyydeksi 1 ja laskemalla yhteen niiden minimikatkosjoukkojen epäkäytettävyydet, jotka sisältävät kyseisen komponentin. Se voidaan laskea sydänvauriotaajuuden avulla yhtälöllä (4). B =f, -f, (4) B x ilmaisee kuinka paljon sydänvauriotaajuus muuttuu, kun komponentin X epäkäytettävyys muuttuu nollasta yhteen. Se ilmaisee myös millä todennäköisyydellä laitos on sellaisessa tilassa, että komponentin vikaantuminen johtaa sydänvaurioon. Birnbaumin tärkcysmitta mittaa laitteen tärkeyttä laitoksen toiminnalle, mutta ei ota huomioon laitteen omaa luotettavuutta. Sekä Birnbaumin että tulotärkeysmitan avulla voidaan priorisoida turvallisuuden kannalta tärkeiden laitteiden tarkastuksia ja arvioida mihin komponentteihin mahdolliset turvallisuutta parantavat toimenpiteet iulisi kohdistaa. Viranomaisen tarkastusresurssit ovat rajalliset, mikä tekee tarkastusten kohdentamisen tuvallisuuden kannalta oleellisiin järjestelmiin välttämättömäksi. Suhteellinen osuus sydänvauriotaajuudesta C % saadaan kullekin komponentille jakamalla sen tulotärkeysmitta laitoksen sydänvauriotaajuuden odotusarvolla yhtälön (6) mukaisesti. C x = Imca = ] TT (6) O Ulkoisen sähkön menetys Lauhduttanen menetys 3 % 13% t "~~T-- ^^^ 35% Suunniteltu alasajo D Palo: AC tai BD kaapelitila i 11 5% 5% ^"-llf 5% IM % " t! 19% Syöttöveden menetys D Tulva: 723 järj. menetys Keskisuuri jäähdytevuoto D Tulva: 714 järj. rrenetys D Palo: Oik. apurak. pumpputila Muut (kukin alle 3 %) Kuva 8. Tärkeimpien alkutapahtumien osuus sydänvauriotaaj uudesta, TVO I & II /J9/. 23
SÄTEILYT (JRVAKESKUS STUK-YTO-TR 94 C x mittaa siis komponentin suhteellista tärkeyttä ja siitä käytetään myös nimitystä Fussell-Vesely tärkeysmitta. Se kuvaa.iitä osuutta sydänvauriotaajuudesta, joka poistuisi komponentin ollessa vikaantumaton. Turvallisuusmarginaali Q x tarkoittaa todennäköisyyttä, että sydän ei vaurioidu jonkin alkutapahtuman jo toteuduttua. Se voidaan määritellä yhtälöllä (7) L missä A. =Z X.. (7) Kuvassa 9 on esitetty TVO:n laitosten järjestelmäkohtaiset Fussell-Vcscly tärkeysmitat. Kuvasta voi päätellä, ettei mikään yksittäinen järjestelmä ole muita selvästi tärkeämpi eli laitos on tässä suhteessa hyvin suunniteltu. TVO:n järjestelmät on lueteltu liitteessä B, josta näkyy myös TVO:n päävirtauskaavio. Kuvan 9 mukaan TVO:n laitosten tärkeimmät järjestelmät ovat sammutetun reaktorin merivesijärjestelmä (712), ulospuhallusjärjestelmä (314), 110 kv sähköverkko (622), Dieseljärjestelmät (650), Dicsclvarmennettu 660 V sähköverkko (662) ja sammutetun reaktorin välijäähdytysjärjestelmä (721). Riskin kannalta tärkeimpien tapahtumaketjujen tunnistaminen on myös tärkeä PSA:n tulos. Niistä nähdään ne järjestelmät, jotka ovat mukana tärkeimmissä onnettomuusketjuissa. Tällöin on mahdollista kohdistaa mahdolliset muutokset turvallisuuden parantamisen kannalta oikeisiin järjestelmiin. Liitteessä H on esitetty TVO:n PSA:n /19/ tärkeimpien sydänvaurioon johtavien vikayhdistelmien tärkeysmittalistat. 2.3.4 Epävarmuudet ja rajoitukset PSA:n tulisi antaa arvio myös tuloksiin liittyvien epävarmuuksien suuruudesta, mikä on tärkeä apu tehtäessä turvallisuuden parantamiseen liittyviä päätöksiä. Kaikkeen laskentaan liittyy tietty virhemarginaali ja sen suuruuden selville saaminen on tulosten tulkinnan kannalta tärkeää. Siksi epävarmuuksia ei tule pitää PSA:n heikkoutena, vaan pikemminkin vahvuutena. 100,0% -i 10,0% - -m--_- - m 1,0% m m--mm m n m Järjestelmän numero Kuva.9. Järjestelmäkohtaiset Fussell-Vesely tärkeysmitat, TVOI & 11/19/, 24
STUK-YTO-TR 94 Taulukko II. Inhimillisten virheiden ja yhteisvikojen vaikutus sydänvauriotaajuuteen (Fussel-Vesely tärkeysmitat) /19/, /20/. Sequoyah PWR 1100 Biblis B Ringhals 3/4 TVO (USA, PWR) (JAPAN) (GER, PWR) (SWE, PWR) (FIN, BWR) Inh.virheet 80% 15% 35% 55% 40% Yhteisviat 20% 60% 60% 10% 80% Suurimmat epävarmuudet aiheutuvat inhimillisten virheiden, riippuvuuksien ja yhteisvikojen mallintamisesta. PSA-mallien laadinnassa tehdyt konservatiiviset oletukset, laitteiden luotettavuustietojen arvioiminen sekä mallin epätäydellisyys aiheuttavat myös epävarmuutta tuloksiin. Taulukossa II on esitetty muutaman ydinvoimalaitoksen Fussell-Vesely (C x ) tärkeysmitat inhimillisten virheiden ja yhteisvikojen osalta /19/, /20/. Taulukon luvut kertovat kuinka monta prosenttia sydänvauriotaajuus pienenisi, jos inhimilliset virheet tai yhteisviat pystyttäisiin eliminoimaan. Eri tapausten tärkeysmittojen summa ei siis ole 100 %. Japanilaisessa painevesilaitoksessa on inhimillisten virheiden osuus vain 15 %, mikä on vähän esim. yhdysvaltalaiseen Sequoyah laitokseen verrattuna. Tuloksien vertailuissa on kuitenkin huomioitava, että laitosten turvallisuusanalyyseissä on inhimillisten virheiden käsittelyn laajuudessa ja mahdollisesti luokittelussakin eroja. Inhimilliset virheet liittyvät mm. käyttöhäiriön aikana tehtäviin virheellisiin toimintoihin ja laitteiden korjausten sekä huoltojen yhteydessä tehtäviin virheisiin. Vaikka reaktorin suojausjärjestelmä sekä sen ohjaamat turvajärjestelmät ja - toiminnot on automatisoitu on ihmisen toiminnalla tietyn ajan jälkeen huomattava merkitys sydänvaurion todennäköisyyteen. Jos häiriötilanteissa oletettaisiin operaattorien toimenpiteiden epäonnistuvan aina, kasvaisi sydänvauriotaajuus TVO:n laitoksessa 11-kertaiseksi. Päinvastaisessa tapauksessa pienenisi sydänvauriotaajuus n. 24 prosenttia /19/. Yhteisvikojen merkitys korostuu etenkin moniredundanttisissa laitoksissa. Esimerkiksi TVO:n laitoksessa on turvajärjestelmät jaettu pääsääntöisesti neljään rinnakkaiseen osajärjestelmään. Tämän lisäksi on muutamassa järjestelmässä vieläkin useampia rinnakkaisia laitteita. Yhteisvikojen tärkeysmittojen summa on 80 prosenttia /19/, josta nelinkertaiset yhteisviat muodostavat noin puolet ja ulospuhallusjärjestelmän venttiilien 5...12-kertaisct viat n. 20 % /19/. PSA-malli pyrkii olemaan turvajärjestelmien osalta mahdollisimman täydellinen ja kattava, mutta kaikkia laitteiden vikaantumistapoja, alkutapahtumia ja laitoksen toimintoja ei ole mukana mallissa. Toisin sanoen mallilla laskettu riskiarvio ei kata todellista laitoksen kokonaisriskiä. Mallia laadittaessa tehdään tiettyjä yksinkertaistuksia ja riskin aliarvioiminen pyritään estämään tekemällä konservatiivisia oletuksia. Keskimääräisen sydänvauriotaajuuden laskemisessa on konservatiivisuuden käyttö perusteltua. Se voi kuitenkin vääristää laitteiden välistä tärkeysjärjestystä, mikäli jonkun laitteen epäkäytettävyys on arvioitu konservatiivisesti liian suureksi verrattuina muiden laitteiden epäkäytettävyyksiin. Tämä voi puolestaan johtaa vääriin päätöksiin, kun PSA:n tuloksia käytetään päätöksenteon tukena. PSA-mallia on siksi täydennettävä jatkuvasti käyttökokemusten lisääntyessä, laitosmuutosten jälkeen sekä havaittujen virheiden ja puutteiden korjaamiseksi. Laitteiden vikataajuuksia ei tiedetä tarkasti, vaan yleensä käytetään jakautumaa, josta tunnetaan esim. odotusarvo ja hajonta tai 90 % luottamusvälin arvot. Näihin arvoihin sovelletaan tavallisimmin log-normaalijakautumaa. Sen etuna on, että kahden log-normaalin suureen tulo on myös log-normaalisti jakautunut. Jakautumien käyttö merkitsee sitä, että myös sydänvauriotaajuudelle saadaan kuvan 7 mukainen keskiarvo, mediaani ja vaihteluväli. Sydänvau- 25
STUK-YTO-TR 94 riotaajuuden epävarmuus voidaan ilmoittaa virhetekijällä (Error Factor), joka on tyypillisesti luokkaa 3 10 /21/. Se määritellään yhtälön (8) mukaisesti sydänvauriojakautuman vaihteluvälin ylärajan suhteena mediaaniin tai mediaaniin suhteena alarajaan 1221. EF. = tai EF 2 = ( 8 ) 150 105 f 9J = 95 % fraktiili f 50 = mediaani f 05 = 5 % fraktiili Log-normaalijakautumassa EF, on yhtä suuri kuin EF 2. 26
STUK-YTO-TR 94 3 PSA:N KÄYTTÖ VIRANOMAISTYÖN TUKENA 3.1 Taustaa 3.1.1 Suomen ydinvoimalaitosten PSA:t ja niiden päivittäminen viranomaisvaatimukset Säteilyturvakeskus esitti vuonna 1984 voimayhtiöille vaatimuksen tasojen 1 ja 2 PSA:n tekemiseksi käytössä oleville laitoksille /23/. Vaatimukset koskivat tehoajon PSA:ta sisäisten alkutapahtumien osalta. Yleisiksi tavoitteiksi STUK asetti mm. tärkeimpien onnettomuusketjujen määrittämisen, laitosten heikkojen kohtien paljastamisen sekä laitoshenkilöstön tietämyksen lisäämisen onnettomuuden etenemiseen ja sen estämiseen liittyvistä ilmiöistä. Tavoitteiden saavuttamiseksi edellytettiin, että suurin osa työstä tehtäisiin laitosten oman henkilöstön toimesta ja ulkopuolisia konsultteja käytettäisiin vain erityiskysymyksissä. STUK ei ole määritellyt kvantitatiivisia PSAtavoitteita Loviisan tai Olkiluodon laitoksille eli laitosmuutosten tarpeen arviointi tapahtuu tapauskohtaisesti asiantuntija-arvioiden, determinististen analyysien ja PSA:n perusteella /4/. Loviisan ja Olkiluodon ydinvoimalaitosten tason 1 PSA:t toimitettiin STUK:n tarkastettavaksi kesällä 1989. Samana vuonna STUK ja voimayhtiöt sopivat myös ulkoisten alkutapahtumien sekä vuosihuoltoseisokin ja matalien tehotasojen analysoinnista. STUK:n vaatimus sisälsi, että PSA ei ole ainoastaan kertaluonteinen, tiettyyn laitoskonfiguraatioon sidottu turvallisuusanalyysi, vaan PSA:ta on päivitettävä merkittävien laitosmuutosten tai mallin täydentämisen jälkeen IM. TVO on päivittänyt oman PSA:nsa ja IVO:n PSA-päivitys on tekeillä. Käytännössä voimayhtiö päivittää PSA-mallia jatkuvasti ja toimittaa STUK:lle tietyin väliajoin PSA:n päivityksen joka sisältää myös laajan dokumentoinnin käytetystä mallista ja menetelmistä. Koska PSA-malli muuttuu useasti, siitä käytetään myös nimitystä elävä PSA tai living PSA. Käytännössä se tarkoittaa laitoskohtaisen PSA:n tietokonemallia, johon on helppo päivittää pienetkin laitos- ja järjestelmämuutokset sekä laitteiden datamuutokset. PSA:n käyttö päätöksenteon apuna perustuu näin laitoksen todellisen toimintatilan mukaiseen malliin. Edistääkseen PSA:n käyttöä viranomaistyössä STUK aloitti living PSA koodin (SPSA) kehittämisen PC-tietokoneisiin 80-luvun lopulla /24/. Tarkoituksena oli tehdä luotettava, nopea ja helppokäyttöinen työkalu PSA:n päivittäiseen käyttöön. SPSA-koodia on kehitetty laitoskohtaisen PSA:n viranomaistarkastuksen yhteydessä ja sen ominaisuuksia on paranneltu aina tarpeen mukaan. Se on tarkoitettu viranomaisen lisäksi myös voimayhtiön työkaluksi päätöksenteon apuvälineenä. TVO on siirtänyt SPSAohjelmaan Olkiluodon laitoksen tason 1 PSAmallin, joka on tällä hetkellä käytössä sekä TVO:ssa että STUK:ssa. SPSA on koekäytössä myös IVO:ssa. TVO päivittää PSA-mallin vuosittain ja aina suurempien järjestelmä- tai datamuutosten yhteydessä. STUK on puolestaan sitoutunut ylläpitämään SPSA-ohjelmaa sekä korjaamaan ja kehittämään sitä tarvittaessa. IVO käyttää CAFTA-ohjelmistoa ja Loviisan laitoksen PSA-mallia PC-tietokoneessa. STUK:n tarkoituksena on siirtää Loviisan PSA-malli myös SPSA-ohjelmaan, mutta toistaiseksi IVO ei ole tätä toteuttanut. IVO otti Loviisan laitoksella käyttöön tietokonepohjaisen luotettavuustietojen keräysjärjestelmän jo vuonna 1989 ja 27