Ydinvoimalaitoksen varalla olevien turvallisuusjärjestelmien määräaikaistestauksien riittävyys ja kattavuus
Lappeenrannan teknillinen yliopisto Energiatekniikan osasto Ydinvoimalaitoksen varalla olevien turvallisuusjärjestelmien määräaikaistestausten riittävyys ja kattavuus Diplomityön aihe on hyväksytty Energiatekniikan osaston osastoneuvostossa 6.8.2004 Työn tarkastajina ovat toimineet professori Riitta Kyrki-Rajamäki ja professori Jarmo Partanen, ja ohjaajina diplomi-insinööri Timo Eurasto ja filosofian maisteri Vesa Ruuska. Helsingissä 03.03.2005 Tomi Koskiniemi Puistokaari 13 C 43 00200 Helsinki p. 050-5262216
TIIVISTELMÄ Lappeenrannan teknillinen yliopisto Energiatekniikan osasto Tomi Koskiniemi Ydinvoimalaitoksen varalla olevien turvallisuusjärjestelmien määräaikaistestausten riittävyys ja kattavuus Diplomityö 2005 78 sivua, 19 kuvaa, 11 taulukkoa ja 6 liitettä Tarkastajat: Professori Riitta Kyrki-Rajamäki Professori Jarmo Partanen Hakusanat: ydinvoimalaitos, määräaikaistestaus, -koestus, turvallisuusjärjestelmä, hätäjäähdytysjärjestelmä Ydinvoimalaitoksen varalla olevien turvallisuusjärjestelmien tehtävänä on ehkäistä häiriö- ja onnettomuustilanteiden syntyminen sekä lieventää mahdollisen onnettomuuden seurauksia. Jotta saadaan tietoa näiden tärkeiden järjestelmien käyttökunnosta, on suoritettava riittäviä ja kattavia määräaikaistestauksia. Tutkimuksen pääkohteena ovat Olkiluodon voimalaitoksen matala- ja korkeapaineisten hätäjäähdytysjärjestelmien määräaikaistestaukset ja niiden ohjeet. Määräaikaistestauksista arvioidaan niiden kykyä havainnoida vikoja, mahdollisia vikaantumisia testauksissa, testausten taajuutta sekä vastaavuutta järjestelmien suunnitteluperusteena olevaan jäähdytteenmenetysonnettomuuteen (LOCA). Lisäksi selvitetään, mitä hyötyä testausten hajautuksilla ja diversifioinnilla on saavutettu, ja miten niitä tulisi jatkossa soveltaa. Testauksiin liittyviä ohjeita ja menettelyjä arvioidaan tarkastelemalla, täyttävätkö ne viranomaisen asettamat vaatimukset. Tulokseksi syntyi arvio järjestelmien testausten nykytilasta, joka on yleisesti ottaen hyvä. Tähän ovat vaikuttaneet testauksissa esiintyneiden puutteiden korjaaminen ja määräaikaistestausten määräajoin tapahtuvan arvioinnin kehittäminen. Vertailut LO- CA:an tuottivat tyydyttävän tuloksen, koska testausten todettiin olevan riittävän laajat ja vastaavan vuodessa kertyvien rasitusten osalta noin vuorokauden aikaista onnettomuutta lähes kaikilla laitteilla. Suositeltavaa olisi suorittaa pitkäaikaisempaa testausta apusyöttövesijärjestelmän pumpulle. Optimitestausvälin mukaisesti testausvälit ovat tällä hetkellä riittävän tiheät, ja muutamia testauksia pitäisi jopa harventaa. Hajautuksilla on saavutettu huomattava riskin väheneminen, ja nykyisin hajautusta sovelletaan hätäjäähdytysjärjestelmissä laajasti. Joistakin mittalaitteiden testauksista hajautus vielä puuttuu, joten näihin se olisi suositeltavaa lisätä. Järjestelmien testausten diversifiointi on nykyisellään riittävää.
ABSTRACT Lappeenranta University of Technology Department of the Energy engineering Tomi Koskiniemi Sufficiency and scope of the in-service testing of standby safety systems in a nuclear power plant Master s thesis 2005 78 pages, 19 pictures, 11 tables and 6 appendices Supervisor: Professor Riitta Kyrki-Rajamäki Professor Jarmo Partanen Keywords: nuclear power plant, in-service test, safety system, emergency core cooling system The standby safety systems in a nuclear power plant are utilized in the prevention of accidents or in the mitigation of accident consequences. Sufficient and extensive testing is required to verify the operability of these important systems. The main research subject of this thesis is the evaluation of the in-service tests and their regulations in the low and high pressurized emergency cooling systems at the Olkiluoto nuclear power plant. The capability of the in-service tests to find failures, the possible failures occurred during the tests and the correctness of test frequencies are examined. The tests are compared to the loss of coolant accident (LOCA) which is the design basis of the emergency cooling systems. Also the benefits of decentralization and diversification of the tests are examined, and some suggestions are made for improving their use. The regulation and the procurement of the test are evaluated against the authority regulations. A result of this thesis is that the current safety systems in-service tests are valid. These tests are basically sufficient and extensive. The faults in in-service testing are evaluated and re-evaluation of the tests has been performed. Also comparing to the loss of coolant accident the result is satisfying. The tests are extensive enough, and the stress induced by the tests collected during the year corresponds to approximately one day accident. The pumps of the auxiliary feedwater system shall be long -term tested. The test intervals are dense enough. Some test intervals could even be left out. With the decentralization of the tests considerable benefits have been achieved and extensively applied. The decentralization of all instrument testing is recommended. The diversification of the systems is adequate enough.
ALKUSANAT Tämä diplomityö on tehty Säteilyturvakeskuksen ydinvoimalaitosten valvontaosastolla, Helsingissä vuosina 2004-2005. Työn ohjaajana ovat toimineet Timo Eurasto ja Vesa Ruuska, joille kuuluu kiitos työn valmistumisesta: he antoivat tukensa ja tietämyksensä silloin, kun sitä pyysin ja potkivat minua eteenpäin, kun en sitä pyytänyt. Samalla haluan kiittää koko turvallisuuden hallinta toimistoa, sillä työilmapiiri on ollut mahtava ja antanut voimaa silloin, kun olen sitä tarvinnut. Työn tarkastajina ovat toimineet professorit Riitta Kyrki-Rajamäki ja Jarmo Partanen. Heitä haluan kiittää heidän osoittamastaan mielenkiinnosta sekä antamistaan arvokkaista neuvoista diplomityön edetessä. Erityiskiitokset ansaitsevat myös Pentti Rannila sekä paikallistarkastajat Jarmo Konsi ja Pauli Kopiloff heidän laitostuntemuksensa jakamisesta. Lisäksi kiittäisin Ari Julinia ja Ilkka Niemelää heidän tiedoistaan ja avustaan tilastoanalyysien saralla. Lopuksi suuri halaus kaikille ystävilleni ja sukulaisilleni, jotka ovat yrittäneet ymmärtää minua sekä ihanalle ja kauniille vaimolleni, Hennalle, joka on ollut ilonani ja tukenani koko tämän aherruksen ajan.
SISÄLLYSLUETTELO 1 JOHDANTO...1 1.1 TAUSTAA...1 1.2 AIHEEN RAJAUS... 2 1.3 SISÄLTÖ... 2 2 HÄTÄJÄÄHDYTYSJÄRJESTELMÄT JA TURVALLISUUS...3 2.1 TURVALLISUUSTOIMINNOT... 3 2.2 TURVALLISUUSPERIAATTEET... 3 2.2.1 Turvallisuustoimintojen moninkertaisuus eli redundanttisuus... 4 2.2.2 Fyysinen erottaminen... 5 2.2.3 Toiminnallinen eriytyvyys eli diversiteetti... 6 2.3 OLKILUODON TURVALLISUUSJÄRJESTELMÄT JA NIIDEN TEHTÄVÄT... 6 2.4 REAKTORISYDÄMEN RUISKUTUSJÄRJESTELMÄ (323)... 8 2.5 APUSYÖTTÖVESIJÄRJESTELMÄ (327)... 9 2.6 HÄTÄJÄÄHDYTYSJÄRJESTELMIEN TOIMINTA JÄÄHDYTTEENMENETYSONNETTOMUUDESSA (LOCA) 11 2.6.1 Jäähdytys heti onnettomuuden jälkeen... 12 2.6.2 Pitkän tähtäimen jäähdytys:... 13 3 MÄÄRÄAIKAISKOKEET - SUUNNITTELU, HALLINNOINTI JA KEHITTÄMINEN...14 3.1 TAUSTAA... 14 3.2 MÄÄRÄAIKAISKOKEIDEN VIRANOMAISVAATIMUKSET JA VALVONTA... 15 3.2.1 Määräaikaiskokeita koskeva säännöstö... 15 3.2.2 Määräaikaiskokeiden viranomaisvaatimusten sisältö... 17 3.2.3 Viranomaisen valvonta... 17 3.3 MÄÄRÄAIKAISTESTAUS PROSESSINA... 18 3.4 TESTAUKSEN SUUNNITTELUUN JA ARVIOINTIIN VAIKUTTAVAT TEKIJÄT... 19 3.4.1 Yleistä... 19 3.4.2 Järjestelmän ja laitteen ominaisuudet ja ympäristö... 19 3.4.3 Testauksessa esiintyvät haitat ja niiden huomioiminen... 20 3.5 TODENNÄKÖISYYSPOHJAINEN RISKIANALYYSI (PSA) YDINVOIMALAITOKSEN MÄÄRÄAIKAISKOEOHJELMIEN SUUNNITTELUN APUNA... 22 3.6 MÄÄRÄAIKAISKOEOHJELMIEN JA -TESTAUSTEN HALLINNOINTI... 23 3.7 TESTAUSTEN ARVIOINTI JA KEHITTÄMINEN... 25 4 EPÄKÄYTETTÄVYYS JA OPTIMITESTAUSVÄLI...28 4.1 VARALLA OLEVAN LAITTEEN EPÄKÄYTETTÄVYYS /21/... 28 4.2 HUOLLOSTA JA TESTAUKSESTA JOHTUVA EPÄKÄYTETTÄVYYS /21/, /26/... 29 4.3 KOKONAISEPÄKÄYTETTÄVYYS... 31 4.4 TESTAUKSEN OPTIMITAAJUUS /21/... 31 4.5 HAJAUTUKSEN VAIKUTUS EPÄKÄYTETTÄVYYTEEN /21/, /H6/... 32 4.6 HAJAUTUKSEN VAIKUTUS EPÄKÄYTETTÄVYYTEEN NELIREDUNDANTISSA SYSTEEMISSÄ... 35 5 OLKILUODON HÄTÄJÄÄHDYTYSJÄRJESTELMIEN MÄÄRÄAIKAISKOEOHJELMAT JA OHJEET...37 5.1 OLKILUODON MÄÄRÄAIKAISKOEOHJELMIEN HALLINNOINTI... 37 5.2 MENETTELYT MÄÄRÄAIKAISKOKEEN SUORITTAMISESSA... 39 5.3 TESTAUSTEN ARVIOINTIMENETTELY... 40 5.4 ARVIO MENETTELYISTÄ JA OHJEISTOSTA... 42
6 HÄTÄJÄÄHDYTYSJÄRJESTELMIEN TESTAUSTEN TUTKIMINEN.43 6.1 VIAT JA NIIDEN HAVAITSEMINEN... 43 6.1.1 Järjestelmien 323 ja 327 viat... 44 6.1.2 Vikojen havaitseminen... 49 6.2 HÄTÄJÄÄHDYTYSJÄRJESTELMIEN TESTAUKSET... 54 6.2.1 Sydämen ruiskutusjärjestelmän testaukset... 54 6.2.2 Apusyöttövesijärjestelmän testaukset... 57 6.3 TESTAUSVÄLIEN VERTAILU OPTIMITAAJUUTEEN... 61 6.3.1 Ennakkohuollot mukana optimitaajuutta laskettaessa... 62 6.4 JÄRJESTELMIEN TOIMINTAVAATIMUKSET ONNETTOMUUSTILANTEESSA... 64 6.4.1 Reaktorin ruiskutusjärjestelmän testauksien vertailu LOCA:an... 65 6.4.2 LOCA ja apusyöttövesijärjestelmän testaukset... 67 6.5 HAJAUTUS JA DIVERSIFIOINTI... 71 6.5.1 Hajautuksesta saatava hyöty... 71 6.5.2 Diversifioinnin soveltaminen testauksiin... 73 7 JOHTOPÄÄTÖKSET JA SUOSITUKSET...75 7.1 OHJEET... 75 7.2 VIAT JA NIIDEN HAVAITSEMINEN... 75 7.3 TESTIEN LOCA -VASTAAVUUS... 76 7.4 TESTAUSTAAJUUS... 77 7.5 TESTAUSTEN HAJAUTUS JA DIVERSIFIOINTI... 77 LÄHDELUETTELO LIITE I TTKE 4.2 Järjestelmäkohtainen yhteenvetotaulukko: 323 LIITE II TTKE 4.2 Järjestelmäkohtainen yhteenvetotaulukko: 327 LIITE III Reaktorin ruiskutusjärjestelmän laitteiden viat vuosina 1998-2003 LIITE IV Apusyöttövesijärjestelmän laitteiden viat vuosina 1998-2003 LIITE V Reaktorin ruiskutusjärjestelmän laitteille testausvälin optimoinnissa käytetyt arvot LIITE VI Apusyöttövesijärjestelmän laitteille testausvälin optimoinnissa käytetyt arvot
KÄYTETYT MERKINNÄT JA LYHENTEET Symbolit A A h q 0 r t T v λ τ käytettävyys epäkäytettävyys pinnankorkeus vian esiintymistaajuus tarvetilanteessa korjausaika aika testiväli pinnankorkeuden nousunopeus piilevien vikojen esiintymistaajuus muutos testausaika Alaindeksit d H PH s in out opt demand (käyttötarve) hajautettu pareittain hajautettu standby (varalla oleva) sisään ulos optimaalinen Lyhenteet ASME BWR DBD EH ENKKU FSAR IAEA American Society of Mechanical Engineers Boiling Water Reactor (Kiehutusvesireaktori) Design Basis Documentation Ennakkohuolto Ennakkohuolto- ja kunnonvalvonta -tietokanta Final Safety Assessment Report (Lopullinen turvallisuusseloste) International Atomic Energy Agency
ISO KTM LOCA LOTI MAK OL PSA PWR SFS STUK TVO U.S.NRC TTKE YVL VNP International Standardization Organization Kauppa- ja teollisuusministeri Loss of coolant accident (jäähdytteenmenetys onnettomuus) Loviisan tietokanta Määräaikaiskokeet -tietokanta Olkiluodon laitos Todennäköisyyspohjainen turvallisuusanalyysi Pressurized Water Reactor, Painevesireaktori Suomen standardisoimisliitto Säteilyturvakeskus Teollisuuden Voima United States Nuclear Regulatory Commission Turvallisuustekniset käyttöehdot Ydinvoimalaitos -ohjeet Valtioneuvoston päätökset Järjestelmänumerot ja laitetunnukset 312 314 321 322 323 324 327 733 C K P T V X Syöttövesijärjestelmä Ulospuhallusjärjestelmä Sammutetun reaktorin jäähdytysjärjestelmä Suojarakennuksen ruiskutusjärjestelmä Reaktorisydämen ruiskutusjärjestelmä Polttoaine- ja reaktorialtaiden jäähdytys- ja puhdistusjärjestelmä Apusyöttövesijärjestelmä Prosessiveden jakelujärjestelmä siivilä mittauslaite pumppu paineakku venttiili osajärjestelmän (piirin) numero, X= 1,2,3 tai 4
1 1 JOHDANTO 1.1 Taustaa Ydinvoimalaitokset on turvallisuuden takaamiseksi varustettu moninkertaisilla turvallisuusjärjestelmillä ja -laitteilla. Osa näistä laitteista on jatkuvassa käytössä, mutta pääsääntöisesti ne ovat varalla. Varalla oleville laitteille määräaikaistestaukset ja tarkastukset ovat usein ainoa tapa varmistaa niiden käyttökuntoisuus. Laitoksen ikääntyminen, tehdyt muutokset sekä tekniikan ja turvallisuusajattelun kehittyminen muuttavat järjestelmille ja laitteille asetettuja vaatimuksia ja toimintaa jatkuvasti. Tämä luo jatkuvan tarpeen testausten ja testausohjelmien uudelleenarvioinnille, jotta voidaan varmistua, että testaukset vastaavat nykyisiä vaatimuksia ja tarpeita kuitenkaan rasittamatta järjestelmää tai sen laitetta liikaa. Laitosten käytön aikana sekä viranomaisen suorittamissa tarkastuksissa on tullut esille asioita, jotka ovat paljastaneet puutteita testauksissa ja niiden arvioinneissa. Kyse on ollut erilaisista virheistä testauksissa, puutteista ohjeistossa ja menettelyissä tai piilevistä yhteisvioista, joita liian lyhyt testaus ei ole pystynyt tuomaan esiin. Tämän tutkimuksen tarkoitus on arvioida Olkiluodon ydinvoimalaitoksen varalla olevien turvallisuusjärjestelmien testauksia ja testausohjelmia, jotta varmistutaan niiden riittävyydestä ja kattavuudesta. Asiaa lähestyttiin aluksi tutkimalla Suomen ydinvoimalaitosten - Loviisan ja Olkiluodon - määräaikaistestauksia ja niiden ohjeita. Tutkimus rajattiin Olkiluodon ydinvoimalaitoksen matala- ja korkeapaineisiin hätäjäähdytysjärjestelmiin, joita ovat reaktorisydämen ruiskutusjärjestelmä (järjestelmä 323) ja apusyöttövesijärjestelmä (järjestelmä 327). Nämä järjestelmät ovat turvallisuuden kannalta erittäin tärkeitä, koska ne varmistavat reaktorin polttoaineen riittävän jäähdytyksen. Lisäksi ne ovat täysin varalla olevia järjestelmiä, joten tieto niiden käyttökuntoisuudesta saadaan ainoastaan niille tehdyistä testauksista ja tarkastuksista.
2 1.2 Aiheen rajaus Tutkimus keskittyy ainoastaan käytönaikaisiin, toimintoja mittaaviin määräaikaistestauksiin. Aiheen ulkopuolelle rajataan määräaikaistarkastukset, muutostyön tai vaihdon jälkeen tehdyt käyttöönottotarkastukset ja -kokeet sekä ennakkohuolto-ohjelmaan kuuluvat tarkastukset ja testaukset. Määräaikaistestauksella tai -koestuksella (in-service testing) tarkoitetaan käytön aikana säännöllisesti suoritettavaa laitteen tai järjestelmän toiminnan testausta, ja saadun tuloksen arviointia. Erottelun vuoksi määräaikaistarkastuksella (in-service inspection) tarkoitetaan laitteen rakenteen eheyden tutkimista esim. silmämääräisesti tai erilaisin testausmenettelyin ja saadun tuloksen arviointia. /1/ 1.3 Sisältö Aluksi aihetta lähestytään tarkastelemalla ydinvoimalaitoksen turvallisuusperiaatteita ja Olkiluodon turvallisuusjärjestelmiä sekä niiden toimintaa. Samalla käydään tarkemmin läpi hätäjäähdytysjärjestelmät sekä niiden toiminta oletetussa jäähdytteenmenetysonnettomuudessa. Luvussa 3 selvitetään määräaikaistestauksiin liittyvä teoria. Siihen kuuluvat viranomaisen rooli ja vaatimukset, testausten suunnittelu ja kehittäminen sekä ohjeisto. Luvussa 4 selvitetään laitteiden epäkäytettävyyden matemaattinen malli ja siitä johdettu optimaalinen testausväli. Lisäksi tarkastellaan hajautuksen vaikutusta laitteiden epäkäytettävyyteen. Luku 5 käsittelee Olkiluodon ydinvoimalaitoksen ohjeita ja menettelyitä määräaikaistestauksissa ja arvioinnissa, ja vertailee, miten nämä toteuttavat viranomaisvaatimukset. Varsinainen testausten tutkiminen tapahtuu luvussa 6. Ensin analysoidaan hätäjäähdytysjärjestelmistä ja niiden laitteista saatavat tapahtuma- ja vikatiedot määräaikaistestausten näkökulmasta sekä vertaillaan vastaavatko testaukset niitä oletettuja olosuhteita ja toimintoja, joita järjestelmiltä vaaditaan onnettomuustilanteessa (oletettu jäähdytteenmenetysonnettomuus, LOCA). Lisäksi lasketaan optimitestausväli tärkeimmille komponenteille, ja verrataan saatuja lukuja nykyisiin testauksiin. Tutkimuksen lopuksi lasketaan hajautuksesta saatava hyöty nykyisillä testausväleillä ja pohditaan hajautusten ja diversifioinnin lisäämistä testauksissa. Luvussa 7 esitetään yhteenveto saaduista tuloksista sekä parannusehdotukset.
3 Tiedot tutkimuksessa pohjautuvat tapahtumaraportteihin, laitoksen tietokannasta saatuihin vikatietoihin, suoritettuihin haastatteluihin sekä testausten seurantaan Olkiluoto 1:n ja 2:n vuosihuolloissa 2004. 2 HÄTÄJÄÄHDYTYSJÄRJESTELMÄT JA TURVALLISUUS 2.1 Turvallisuustoiminnot Suomen ydinvoimalaissa todetaan, että ydinenergian käytön on oltava turvallista eikä siitä saa aiheutua vahinkoa ihmisille, ympäristölle tai omaisuudelle. /2/ Suomen ydinvoimalaitokset on turvallisuuden takaamiseksi varustettu moninkertaisilla turvallisuusjärjestelmillä ja -laitteilla. Näiden tehtävänä on ehkäistä häiriö- ja onnettomuustilanteiden syntyminen sekä lieventää mahdollisen onnettomuuden seurauksia. Tärkeimmät turvallisuustoiminnot ovat: 1. Reaktiivisuuden hallinta 2. Reaktorisydämen jäähdyttäminen 3. Radioaktiivisen aineen eristäminen ihmisistä ja ulkomaailmasta Reaktiivisuuden hallinta pitää sisällään reaktorin paineen, lämpötilan ja jäähdytteen virtauksen pitämisen sallituissa rajoissa, jotta reaktori olisi turvallisessa ja hallitussa tilassa. Tähän kuuluu myös tarvittaessa reaktorin sammuttaminen. Reaktorisydämen jäähdyttäminen varmistetaan pitämällä sydän veden peitossa niin tehokäytöllä, häiriökuin onnettomuustilanteessakin, mistä juuri viime kädessä huolehtivat reaktorisydämen ruiskutusjärjestelmä (323) ja apusyöttövesijärjestelmä (327). Radioaktiivisten aineiden leviämisen peräkkäisinä esteinä ovat sisältäpäin lueteltuina polttoainesauvat, primääripiiri jossa jäähdyte liikkuu sekä suojarakennus. /3/, /4/, /5/ 2.2 Turvallisuusperiaatteet Tärkeimmiltä turvallisuustoiminnoilta vaaditaan suurta käyttövarmuutta. Lisäksi niiden täytyy kestää hyvin eri vikatilanteita ja ulkoisia olosuhteita, joten ne suunnitellaan
4 niin normaalikäytön kuin mahdollisen onnettomuustilanteenkin olosuhteisiin. Käytännössä tämä tarkoittaa moninkertaisia, niin fyysisesti kuin toimintatavoiltaankin erotettuja turvallisuusjärjestelmiä, jotka eivät tarvitse ulkoista käyttövoimaa tai joiden sähkönsyöttö voidaan toteuttaa sekä ulkoisella (400 tai 110 kv johdot) että sisäisellä (varalla olevat dieselgeneraattorit) sähköverkolla. Jos turvallisuusjärjestelmän käyttövoima jostain syystä menetetään kokonaan, kuuluu sen asettua turvallisuuden kannalta edulliseen tilaan. Esimerkiksi sähkönsyötön katkeaminen säätösauvoilta aiheuttaa reaktorin pikasulun eli säätösauvat työntyvät reaktorisydämeen. /4/, /5/ 2.2.1 Turvallisuustoimintojen moninkertaisuus eli redundanttisuus Tämän ns. yksittäisvikakriteerin täyttämiseksi turvallisuusjärjestelmät suunnitellaan moninkertaisiksi, siten että niiden erilliset piirit, redundanssit, pystyvät toisistaan riippumatta täyttämään vaaditun turvallisuustehtävän minkä tahansa yksittäisen laitteen ollessa pois käytöstä vian, huollon tai korjauksen vuoksi. Olkiluodossa on yleisesti käytössä neliredundantti systeemi, mikä tarkoittaa 4 rinnakkaista piiriä. Redundanttisuutta on pyritty selventämään kuvissa 1 ja 2. /5/, /6/ Kuva 1. Aktiiviset komponentit on kahdennettu, mutta yksittäisvika yhteisissä komponenteissa (venttiili, putki, säiliö) vikaannuttaa koko järjestelmän. Kuva 2. Redundantti järjestelmä kestää hyvin yksittäisviat. Yhteisviat ja systemaattiset virheet (vika tai tehty virhe kaikissa samanlaisissa komponenteissa) tai ulkoiset olosuhteet (esim. kaasuräjähdys putkien välissä) voivat edelleen vikaannuttaa koko järjestelmän.
5 2.2.2 Fyysinen erottaminen Fyysinen erottaminen näkyy esimerkiksi Olkiluodon laitoksen turvallisuusjärjestelmien 323 ja 327 neljän rinnakkaiseen osajärjestelmään (A-D) pumppujen sijoituksessa: Eri piireillä on erilliset pumppuhuoneet, A - D SUB:t suojarakennuksen ympärillä, kuvan 3 mukaisesti. Tällöin rinnakkaiset osat on erotettu toisistaan siten, ettei sama ulkoinen syy, esimerkiksi pienkoneen törmäys A -SUB:in, pystyisi vaurioittamaan koko järjestelmää. /7/, /8/ Kuva 3. Järjestelmien 322 (Suojarakennuksen ruiskutusjärjestelmä), 323 ja 327 pumppujen sijoitus erillisiin H -tiloihin, SUBeihin A-D, reaktorin suojarakennuksen ympärille. Pumppujen sähkönsyöttö tapahtuu eri kiskoilta dieselvarmennetusta 660 V verkosta. /7/, /8/ Tällaisessa moninkertaisessa, fyysisesti erotetussa turvallisuusjärjestelmässä ainoastaan yhteisvika kaikkien järjestelmän piirien samanlaisissa komponenteissa voi aiheuttaa koko järjestelmän epäkäytettävyyden. Yhteisvika tarkoittaa esimerkiksi varalla olevan turvallisuusjärjestelmän kaikissa pumpuissa on valmistusvika, joka rikkoo kyseisen laiteen tietyn käyttökerran jälkeen. Tällainen vaarallinen yhteisvika voi paljastua pahimmassa tapauksessa vasta todellisessa käyttötilanteessa (onnettomuus).
6 2.2.3 Toiminnallinen eriytyvyys eli diversiteetti Toimintaperiaatteen eriyttäminen on toteutettu esim. reaktorin sammuttamisessa säätösauvoilla ja boorihappoliuoksella. Siinä sama turvallisuustehtävä (reaktorin sammutus) hoidetaan kahdella, toisistaan riippumattomalla tavalla. Redundantti ja eri piirien osalta sekä fyysisesti että toimintaperiaatteiltaan erotettu järjestelmä kestää hyvin eri vikatilanteita (myös yhteisviat, koska eri piireillä erilaiset komponentit) ja ulkoisia olosuhteita. 2.3 Olkiluodon turvallisuusjärjestelmät ja niiden tehtävät Olkiluodon turvallisuusjärjestelmät on esitetty kuvassa 4. Kuva 4. Olkiluodon turvallisuusjärjestelmät. 1. Säätösauvat toimilaitteineen 2. Korkeapaineinen hätäjäähdytysjärjestelmä 3. Matalapaineinen hätäjäähdytysjärjestelmä 4. Boorivesijärjestelmä 5. Reaktorin paineenalennusjärjestelmä 6. Suojarakennuksen ylipainesuojaus 7. Suojarakennuksen ruiskutusjärjestelmä 8. Suojarakennuksen alaosan tulvitus 9. Suojarakennuksen vesitäyttö 10. Suojarakennuksen suodatettu paineenalennusjärjestelmä Seuraavassa tekstissä viitataan kuvan numeroihin. Reaktorin sammuttamisesta vastaavat ensisijaisesti säätösauvat, jotka työnnetään pikasulussa hydraulisesti reaktorisydämeen alhaalta päin muutamassa sekunnissa, jolloin ketjureaktio pysähtyy. Säätösauvat (1) voidaan ajaa sydämeen myös sähkömekaanisella järjestelmällä, joka on riippumaton hydraulisesta pikasulusta. Toinen tapa reaktorin sammuttamiseksi on pumpata neutroneita hyvin absorboivaa boorivettä (4) reaktorin jäähdytteen joukkoon, jolloin veden booripitoisuus nousee ja ketjureaktio pysähtyy.
7 Boorivesi on kuitenkin kiehutusvesireaktorissa vasta toissijainen vaihtoehto, koska sen käytön jälkeen tarvitaan paineastian puhdistamista. Olkiluodon kiehutusvesilaitoksessa ei ole erillistä sekundaaripiiriä, vaan jäähdytysvesi kiehuu reaktorissa ja johdetaan suoraan turbiineille. Tämän johdosta reaktorin paine säätyy korkeapaineturbiinin säätöventtiilien avulla. Äkillisissä paineennousutilanteissa reaktorin ylipainesuojausjärjestelmä (5) puhaltaa höyryä reaktorista suojarakennuksen alaosassa sijaitsevaan lauhdutusaltaaseen. Lauhdutusaltaasta vesi voidaan johtaa reaktorisydämen jäähdytykseen hätäjäähdytysjärjestelmien avulla. Korkea- ja matalapaineisilla hätäjäähdytysjärjestelmillä (2 ja 3) pyritään pitämään reaktorisydän veden peitossa ja takaamaan siten riittävä polttoaineen jäähdytys häiriö- ja onnettomuustilanteissa. Korkeapaineinen hätäjäähdytysjärjestelmä (Apusyöttövesijärjestelmä) pystyy toimittamaan riittävästi vettä täydessä paineessa (70 bar) olevaan primääripiiriin. Matalapaineista jäähdytysjärjestelmää (Reaktorisydämen ruiskutusjärjestelmä) voidaan käyttää, kun reaktorin paine on laskenut tarpeeksi alas (n. 10 bar). Polttoaineen jäähdytyksen lisäksi tarvitaan järjestelmiä, joilla reaktorin tuottama lämpö saadaan siirrettyä lopulliseen lämpönieluun (meri). Reaktorin ympärillä oleva suojarakennus estää radioaktiivisen aineen pääsyn rakennuksen ulkopuolelle. Lisäksi ydinvoimalaitos tarvitsee laitoksen ulkopuolista sähköä mm. jälkilämmönpoistojärjestelmien toimintaan, kun sen oma sähköntuotanto on pysähdyksissä esim. reaktorin pikasulun jälkeen. Olkiluodon laitosyksiköiden sähkönsyöttö on varmennettu 400 kilovoltin (kv) ja 110 kv sähköverkkojen menetystilanteissa varasähkön syöttömahdollisuudella joko Harjavallan tai Kolsin vesivoimalaitoksilta. Molemmilla laitosyksiköillä on myös neljä dieselgeneraattoria, joilla voidaan syöttää virtaa turvallisuuden kannalta tärkeille laitteille.
8 2.4 Reaktorisydämen ruiskutusjärjestelmä (323) Reaktorisydämen ruiskutusjärjestelmän tehtävänä on, yhdessä Apusyöttövesijärjestelmän (327) ja Ulospuhallusjärjestelmän (314) kanssa, suojata reaktorisydän ylikuumenemiselta minkä tahansa primääripiirin putken rikkoutuessa suojarakennuksen sisäpuolella. Suunnitteluperusteiden mukaisesti järjestelmä pystyy hoitamaan tämän tehtävän, vaikka kaksi piiriä neljästä olisi käyttökunnottomana. Reaktorisydämen ruiskutusjärjestelmä vaatii toimiakseen, että reaktorin paine on laskenut normaalista 70 bar käyttöpaineesta alle 12 bar paineeseen. /7/, /9/ Jäähdytys tapahtuu pumppaamalla vettä reaktoriin suojarakennuksen sisäpuolella olevasta lauhdutusaltaasta järjestelmän putkistoa pitkin. Onnettomuustilanteessa pumput käyvät koko niiden tarveajan. Virtausta ohjataan reaktoriin venttiilin VX04 kiinni - auki säädöllä välillä L3 (2,0m) ja H2 (5,0m), alkaen pinnan laskiessa alarajaan ja päättyen, kun yläraja saavutetaan. Muulloin pumppaus tapahtuu takaisin lauhdutusaltaaseen minimikierrätyslinjaa (testauslinja) pitkin. /9/ Yhden piirin (piirin 3) periaatekuva on esitetty seuraavalla sivulla kuvassa 5. Järjestelmä koostuu neljästä identtisestä toisistaan erotetusta piiristä; ainoana erona on piireissä 1 ja 2 olevat syöttölinjat järjestelmästä 327 heti suojarakennuksen sisäpuolella. Jokainen piiri koostuu lauhdutusaltaassa olevasta siivilästä (CX01), 125 kg/s kapasiteetilla toimivasta keskipakopumpusta (PX), suojarakennuksen ulkopuolisista (VX01, VX04 ja VX14) ja sisäpuolisista (VX05) eristysventtiileistä, takaiskuventtiileistä (VX02), säätöventtiileistä (VX07), sulkuventtiileistä (VX06 ja VX21) ja huoltoja testausventtiileistä (VX03, VX12). Järjestelmän matalapaineisten osien ylipainesuojaus on toteutettu sekä pumpun imu- että painepuolella murtolevyillä (VX16, VX17). Lauhdutusaltaan pinnan yläpuolella olevat osat on täytetty typellä (järjestelmästä 754), jotta estettäisiin alipaineen muodostuminen painepuolen linjoihin, josta seuraa paineisku pumpun käynnistyessä. Järjestelmä on automaattisessa käynnistysvalmiudessa oleva turvallisuusjärjestelmä, jota käytetään vain onnettomuustilanteessa. Pumppujen ja sähköä tarvitsevien venttiilien sähkönsyöttö on varmennettu dieselgeneraattorilla.
9 Kuva 5. Sydämen ruiskutusjärjestelmän piiri 3 (piiri 3233). /7/ 2.5 Apusyöttövesijärjestelmä (327) Apusyöttövesijärjestelmän tehtävänä on varmistaa reaktorisydämen jäähdytys ylläpitämällä vesimäärää, kun veden syöttöjärjestelmä ei ole toiminnassa (käyttötilanne on muuten normaali) sekä jäähdyttää reaktorisydäntä minkä tahansa primääripiirin putken tai alaläpiviennin rikkoutuessa suojarakennuksen sisäpuolella. Suunnitteluperusteiden mukaisesti järjestelmä pystyy hoitamaan nämä tehtävät, vaikka vain kaksi piiriä neljästä olisi käyttökunnossa. Järjestelmä pystyy syöttämään vettä reaktoriin täydessä paineessa (70 bar). Apusyöttövesijärjestelmä koostuu neljästä erillisestä ja toisistaan riippumattomasta piiristä (1-4), kuten reaktorin ruiskutusjärjestelmäkin. Piirit 3 ja 4 on liitetty syöttövesilinjaan reaktorin suojarakennuksen sisäpuolella. Kaksi muuta piiriä (1 ja 2) on liitetty reaktorin suojarakennuksen sisällä reaktorisydämen ruiskutusjärjestelmän (323)
10 piireihin 1 ja 2. kuvan 6 mukaisesti. Järjestelmän kahden piirin virtauskaavio on esitetty kuvassa 7. Kuva 6. Järjestelmän 327 liittyminen reaktoripaineastiaan järjestelmien 323 ja 312 kautta./8/ Kuva 7. Järjestelmän 327 piirien 1 ja 3 virtauskaavio./8/
11 Piiri koostuu mäntäpumpusta (kapasiteetti 22,5 kg/s), putkilinjasta järjestelmästä 733 (prosessiveden jakelujärjestelmä) reaktoriin, ulommista eristysventtiileistä VX02, sisemmistä eristysventtiileistä VX01 (lisäksi piireillä 3 ja 4 VX10, VX11), takaiskuventtiileistä VX06, valvotun vuodon keräilyjärjestelmän eristysventtiileistä VX15 ja jäähdyttimellä varustetusta takaisinkierrätyslinjasta, jossa palloventtiilit VX07 ohjaavat virtausta. Järjestelmän paineiskut on ehkäisty asentamalla kaksi paineakkua (TX1, TX3) pumpun jälkeen, ja pumpun painehäviöt imupuolella olevalla paineentasaussäiliöllä (TX2). Putket ovat normaalisti täynnä vettä. Jäähdytys tapahtuu pumppaamalla vettä järjestelmän 733 säiliöistä putkistoa pitkin reaktoriin. Sisään pumppauksessa venttiilit VX02 ja VX07 saavat välittömästi auki - käskyn, jonka jälkeen pumput käynnistyvät ja venttiilit VX15 sulkeutuvat. Kun pumput saavuttavat täyden pumppaustehon sulkeutuvat venttiilit VX07 ja varsinainen pumppaus reaktoriin alkaa. Säätö tapahtuu pelkästään venttiilien VX07 avulla, jolloin piirit 1 ja 2 pumppaavat reaktoriin veden pinnankorkeuden ollessa 2m ja 5m välillä ja hienosäätö tapahtuu piireillä 3 ja 4 välillä 3,6m ja 5m. Muulloin vesi virtaa takaisinkierrätyslinjassa.. /8/, /9/ Järjestelmä on automaattisessa käynnistysvalmiudessa oleva turvallisuusjärjestelmä, jota käytetään vain häiriö ja onnettomuustilanteessa. Pumppujen ja sähköä tarvitsevien venttiilien sähkönsyöttö on varmennettu dieselgeneraattorilla. 2.6 Hätäjäähdytysjärjestelmien toiminta jäähdytteenmenetysonnettomuudessa (LOCA) Molemmat järjestelmät on suunniteltu ylläpitämään reaktoripaineastian vesitasapainoa jäähdytteenmenetysonnettomuuden (LOCA eli A loss of coolant accident) aikana. Jäähdytteen menetys voi pahimmillaan aiheuttaa polttoaineen vaurioitumisen sen kuumetessa liikaa. Tämä voi aiheuttaa merkittävän radioaktiivisen vuodon primääripiiriin tai piirin rikkoutuessa suojarakennukseen. Kyseessä on siis erittäin vakava onnettomuus, mikä otetaan aina huomioon ydinvoimalaitosta suunniteltaessa.
12 Tässä työssä jäähdytteenmenetysonnettomuus käsitellään suojarakennuksen sisäisenä putkirikkona, jota ei pystytä eristämään. Putkikatkot ja murtumat oletetaan tässä tapahtuvan välittömästi paineastian ulkopuolella ja pahimmillaan ne ovat putken täydellisiä katkeamisia, jolloin vuotopinta-ala on suurin mahdollinen. 2.6.1 Jäähdytys heti onnettomuuden jälkeen Lyhyen aikavälin tärkein tavoite on pitää sydän jäähdytettynä pitämällä veden pinta riittävän korkeana. Tällöin kyse on stabiilin, turvallisen tilan saavuttamisesta, missä vesitasapaino on varmistettu. Putkikatko aiheuttaa reaktorissa nopean paineen ja vedenpinnan laskun. Riittävä pinnan ja paineen lasku laukaisee automaattisesti reaktorin pikasulun ja jäähdytykseen osallistuvien järjestelmien käynnistyksen sekä valmiustilan (tyhjäkäynti) varavoimanlähteenä käytettävissä dieselgeneraattoreissa. Turvallisuustoimintojen laukaisu voi tapahtua myös huonetiloissa olevien pinta- ja lämpötilavahtien aiheuttamana. Jos yhteys ulkoiseen sähköverkkoon (110 kv tai 400 kv) on käytössä, saadaan hätäjäähdytysjärjestelmien pumput käyntiin muutamassa sekunnissa. Jos taas ei, käynnistyvät pumput määrätyssä järjestyksessä heti, kun dieselgeneraattorit ovat valmiina syöttämään virtaa. Tällöin apusyöttövesijärjestelmä on valmiina pumppaamaan vettä reaktoriin viimeistään 40 sekunnin kuluttua. Reaktorin ruiskutusjärjestelmä käynnistyy viimeistään 30 sekunnin kuluttua ja on valmis täysipainoiseen pumppaukseen 15 sekunnin kuluttua käynnistyksestä. /9/, /10/ Pienissä reaktorisydämen yläpuolisissa vuodoissa, joissa paine laskee hitaasti tai jää yli 10 bar, käytetään jäähdyttämiseen ainoastaan apusyöttövesijärjestelmää. Isommissa putkirikoissa paine laskee hyvin nopeasti ja apusyöttövesijärjestelmän lisäksi reaktorin ruiskutusjärjestelmä alkaa täyttää paineastiaa paineen laskettua noin 10 bar:iin. Jos vuotokohtaa ei saada eristettyä, voi operaattori aloittaa järjestelmällisen alasajon ja paineen poiston reaktorista. /9/, /10/