1.1. Alapfilozófia
A nukleáris erőmű elsőrendű célja: áramot termelni olcsón és biztonságosan, miközben a (radioaktív) szennyezést minden körülmények között egy megadott szint alatt kell tartani. Az atomerőmű veszélyes üzem, és baleset esetén jelentős környezeti károkat okozhat. Berendezései, high-tech mivoltuk miatt drágák, tönkremenetelük jelentős gazdasági hatással jár.
A műszerezés és irányításnak (instrumentation and control, I&C) számos célja van:
• az operátor segítése (biztonság, gazdaságosság),
• a normál üzemtől való eltérés jelzése,
• független biztonsági és irányítási tényezőként,
• baleset esetén a mindenkori minimális információ biztosítása,
• baleset esetén a további káros következmények megakadályozása, minimalizálása.
A műszereknek üzemzavar esetén is működőképesnek kell lenniük, ám a biztonság nem a műszereken, hanem az erőmű elvi, mechanikai és termohidraulikai tervezésén alapul. Ugyanakkor csak egy ideális reaktor tudna tetszőleges vagy előre megtervezett ideig biztonságosan üzemelni. Egy valódi reaktorban az I&C feladata a hibák észlelése, és az első védelmi vonal épségének megőrzése. Ma már a biztonsági funkciók külön vannak választva a normál üzemű irányítástól (ellentétben a korábbi rendszerekkel), így általában ritkábban következik a biztonsági funkciók felesleges aktiválása. Ez végeredményben az atomerőmű üzembiztonságát és rendelkezésre állását növeli.
Egy atomerőműben sokféle jellel lehet találkozni, amelyek az állapotjelző és irányítórendszerek számára szolgáltatnak bemenő információt. Egy lehetséges csoportosítás:
• nukleáris műszerek: pl. neutronfluxus mérése (reaktor teljesítménye) stb.,
• folyamatok mérése: pl. nyomás, hőmérséklet, hűtőközeg áramlási sebessége stb.,
• sugárzásmérés: pl. telephelyi sugárzási szint, szivárgás detektálása stb.,
• különleges műszerek: pl. hidrogénkoncentráció-, meteorológiai mérések, bórsav-koncentráció-, szeizmikus aktivitás mérése stb.
1.2. Tervezési tényezők
A biztonság szempontjából a tervezés kulcsfontosságú. A rendszerek bonyolultságának egyensúlyt kell tartania a megbízhatósággal, bár újabban a bonyolult, önmagukat ellenőrizni képes rendszerek terjednek. A biztonsági analízis feltárja a lehetséges hibákat, és az egyes kiváltó okok következményeit eseményfákon leköveti. Az üzemzavarokat és baleseteket olyan műszerekkel kell érzékelni, amelyek bizonyos szintű saját meghibásodást is tolerálnak.
Az ilyen rendszerek lehetnek determinisztikus vagy valószínűségi alapúak. A modern valószínűségi rendszerek túlmennek a régi „hihető” és „nem hihető” kategorizáláson, és számszerű valószínűség-értékekkel jellemzik az egyes eseményeket, amelyek így összehasonlíthatóvá válnak.
A nagy megbízhatóság miatt használnak az atomerőművekben többnyire drága műszereket és felszerelést, amelyeknek igen nagy hibatűrésük van. Pl. figyelembe kell venni, hogy egy meghibásodott hűtőventillátor akár egy egész rendszer kiesését is eredményezheti. Fontos, hogy az emberi tényezőt is figyelembe vegyék; emberi mulasztás akár a tervezési folyamat során is bekövetkezhet.
1.3. Megvalósítási módszerek
Általánosan elmondható, hogy a fenti alapokból kiindulva többféle megvalósítás lehetséges; az egyes rendszerek szerkezetére nagy befolyással volt a megvalósító ország (pl. gazdasági, földrajzi) helyzete, a hatalmon lévő személyek kiléte, ami még napjainkban is érzékelhető bizonyos szinten.
Elvileg lehet olyan rendszert tervezni, amelyben minden üzemzavar „biztonságos” („failure to safety”), és a reaktor leállásához vezet. Azonban nem minden esetben egyértelmű, hogy melyik a biztonságos döntés, valamint a fenti rendszer megvalósításához 100%-ban üzemzavarmentes műszerek szükségesek. Még ha lennének is ilyenek, a sok biztonsági leállás miatt az erőmű gazdaságtalanná válna. Ezért a rendszereket úgy építik, hogy a fenti filozófiát a lehető legjobban kövessék, az említett hibákat pedig:
• redundanciával (több műszer méri ugyanazt a paramétert),
• diverzitással (különböző elven működő rendszerek használata) és
• szeparációval (az egyes rendszerek elkülönítésével)
• hidalják át.
Kérdéses azonban a (jó esetben) ritkán használt tartalék- és biztonsági rendszerek üzemképességének megőrzése. Ez rendszeres tesztekkel ellenőrizhető, azonban a tesztüzem után garantálni kell a rendszerek helyes visszaállítását készenléti állapotukba. Vannak öntesztelő rendszerek is, amelyek kevesebb törődést igényelnek, és számítógéppel ellenőrizhetők.
1.4. Mélységi védelem
Az I&C-rendszerek – kiváló tulajdonságaik ellenére – önmagukban nem garantálják a teljes biztonságot; azt csak a mélységi védelem alkalmazásával érhetjük el. A mélységi védelem a biztonsági rendszerek egymásba ágyazását jelenti olyan módon, hogy az egyes védelmi vonalak mögött lévő rendszerek lépnek működésbe, amikor az előző vonalat védők csődöt mondanak. Ez a védelem nem csak az I&C-t tartalmazza, hanem magába foglalja az összes többi (pl. mechanikai) védelmet is, ezáltal hihető módon szavatolja a biztonságot még a tervezési és emberi hibákkal szemben is.
A mélységi védelem az atomerőművek biztonságának alapját jelenti. Helyes alkalmazása esetén az emberi és mechanikai hibák rosszindulatú kombinációja sem okozhat nagyobb kárt vagy sérülést, emellett hozzájárul a három fő biztonsági feladat ellátásához, amelyek:
• a konzervatív tervezés, a minőségbiztosítás (QA) és a biztonsági kultúra kombinációja,
• normális és nem normális üzem irányítása és a hibák észlelése,
• biztonsági és védelmi rendszerek,
• baleset-elhárítás,
• telephelyen kívüli vészreakciók.
A mélységi védelmet az I&C-n belül a rendszerek hierarchikus elrendezése jelenti, azaz az egyes rendszerek egyre magasabb védelmi szintet testesítenek meg: pl. a legtöbb atomerőműben az irányítórendszerek képviselik az első szintet, a védelmi (vagy biztonsági) rendszerek pedig az utolsó szintet. Még egyszer hangsúlyozzuk, hogy a mélységi védelmet nem lehet pusztán az I&C-vel megvalósítani, sok esetben a fizikai gátak és/vagy egyéb, nem I&C-rendszerek alkotják a védelmet.
5.1.4.1. ábra
Az I&C-rendszereket a biztonság tekintetbevételével fontosságuk alapján több kategóriába sorolják, amelyeknek más-más megbízhatósági követelményeknek (pl. földrengésállóság) kell megfelelniük. Az egyes kategóriájú rendszereket akár fizikailag is elkülöníthetik egymástól, pl. más épületben kapnak helyet.
5.1.4.2. ábra
1.5. Redundancia
A redundancia azt jelenti, hogy egy fontos funkciót kettő vagy több rendszer is el tud látni egymástól függetlenül, így az egyik rendszer kiesése nem okozza a funkció elvesztését (pl. az egyazon fizikai változót több hasonló műszerrel mérjük). Egy másik jó példa a redundanciára a biztonsági rendszereké: ezekben több csatornán fut az információ, ha a reaktort nem biztonságos körülmények között kell leállítani. Minden csatornához külön áramellátás, érzékelők, logikai áramkörök és működtető szerkezetek tartoznak. A jelek között a „többség dönt”, azaz háromból kettő, esetleg négyből kettő azonos eredményt tekintenek helyesnek. A redundancia másik nagy előnye, hogy az egyes csatornákat üzem közben is lehet tesztelni.
Számítógépes vezérlés esetén a redundancia két (vagy akár több) teljesen független számítógépes rendszert jelent, külön-külön szünetmentes tápellátással. Az egyik rendszer kiesése esetén minden feladat ellátását automatikusan a másik rendszer veszi át.
1.6. Diverzitás
A diverzitás azt jelenti, hogy ugyannak a feladatnak az ellátását két vagy több, fizikailag vagy funkcionálisan különböző módon végezzük. Például, több különböző gyártótól származó számítógépeket és szoftvereket használunk; egy jelenség vizsgálatához több, fizikailag különböző paramétert figyelünk; ugyanazt a beavatkozást más-más fizikai mechanizmusokkal valósítjuk meg (pl. vészleállításhoz használhatunk szilárd abszorbensrudakat és nagynyomású, folyékony reaktormérgeket is). Ezáltal kiküszöbölhetjük a tervezési vagy szervizelési problémákat, hiszen egy adott tervezési hiba csak az egyik rendszerben lehet jelen.
1.7. Szeparáció
A szeparáció nem más, mint a hasonló feladatot ellátó rendszerek szisztematikus szétcsatolása, egymástól fizikai értelemben vett távol tartása. Ezáltal a lokális hatások (pl. tűz, rakétatámadás) nem terjedhetnek át egyik rendszerről a másikra, valamint karbantartás során a gondatlan hibák nem vezetnek hamis riasztásokhoz.