Tercer Ejercicio.

Seguridad Nuclear

TEMA 15

ACCIDENTES FUERA DE LA BASE DE DISEÑO: TRANSITORIOS PREVISTOS

SIN PARADA RAPIDA (ATWS). PERDIDA TOTAL DE CORRIENTE ALTERNA

RESUMEN

Como parte de la introducción al tema se repasan aspectos relacionados con los

accidentes base de diseño, analizándose algunos de sus conservadurismos. Se
presentan los accidente no contemplados en las base de diseño, indicándose las
condiciones necesarias bajo las que puede producirse un accidente severo en una
central nuclear. Se resume la metodología de los Análisis Probabilistas de Nivel 2,
incluyéndose algunos ejemplos sencillos de aplicación y, finalmente, se describe la
evolución histórica y soluciones aportadas en relación a los ATWS y SBO.
Este tema esta especialmente relacionado con los 15C, 27A y 30 A.

INDICE

1. INTRODUCCIÓN
2. ACCIDENTES NO CONTEMPLADOS EN LA ENVUELTA BASE DE DISEÑO
3. LOS ANÁLISIS PROBABILISTAS DE NIVEL 2
3.1 Identificación de los Estados de Daño a la Planta.
3.2 Análisis de progresión del accidente y respuesta de la contención.
3.2.1 Descripción de los APET
3.2.2 Cuantificación del APET
3.2.3 Agrupación de resultados y resultados de riesgo
4. TRANSITORIOS PREVISTOS SIN DISPARO DEL REACTOR
5. PERDIDA TOTAL DE CORRIENTE ALTERNA (SBO).
6. REFERENCIAS

1. INTRODUCCIÓN

El termino secuencia de accidente se refiere a la secuencia de sucesos que delinean

un accidente. Estos sucesos incluyen el iniciador del accidente, y todos los éxitos o
fallos posteriores de los sistemas y operaciones en general de la planta.
Las secuencias de accidente se suelen agrupar según sus iniciadores. La definición
del suceso iniciador depende del estado de operación de la planta. Si la planta se
encuentra a potencia, un suceso iniciador es aquel que requiere el disparo de la
planta y la actuación de los sistemas de seguridad para eliminar el calor residual.
Para situaciones en las que el reactor no se encuentra a potencia, un suceso
iniciador seria aquel que requiriera una actuación automática o manual para prevenir
el daño al núcleo. En general, la falta de respuesta de la planta frente a un suceso
iniciador conduciría a daño al núcleo.

Los iniciadores se dividen normalmente en dos grandes categorías. Los sucesos

internos incluyen el fallo de equipos y errores humanos que ocurran dentro de la
planta, tales como rotura de tuberías, fallos de instrumentación, y errores humanos.
Los sucesos externos incluyen aquellos de causa natural o de origen humano que
ocurran fuera de la planta tales como, terremotos o inundaciones. Existen algunas
excepciones a esta definición, así por ejemplo, los incendios internos,
tradicionalmente, se vienen categorizando como sucesos externos.

Accidentes base de diseño

Los informes finales de seguridad de las instalaciones nucleares han de identificar

las posibles causas de cada iniciador y asignar su frecuencia a una de las siguientes
categorías.

a. Incidentes de frecuencia moderada. Se espera que puedan ocurrir varias veces

durante la vida de la planta.
b. Sucesos infrecuentes. Se espera puedan ocurrir una vez durante la vida de la
planta.
c. Fallos limites. No se espera que puedan ocurrir pero se postula su ocurrencia
debido a la magnitud de sus consecuencias potenciales.

Las plantas se diseñan y construyen de forma tal que no se superen los limites
establecidos en el 10CFR Parte 100 como consecuencia de ningún accidente del
conjunto de accidente base de diseño (DBA).
La selección de los accidentes que forman el conjunto de accidente base de diseño
tiene en cuenta:

a. De cada grupo iniciador, los que presentan peores consecuencias radiológicas.

b. Los que permiten demostrar la adecuación del diseño de las salvaguardias
tecnológicas. Especialmente las relacionadas con el ECCS y la Contención.

La delineación de secuencias es totalmente determinista y esta establecido en un

conjunto de Guías de Seguridad de la NRC. El análisis incluye el criterio de fallo
simple según se establece en el Apéndice A del 10CFR Parte 50. El análisis de los
ATWS se exceptúan de esta norma.

Los LOCA base de diseño

Se supone que este accidente se inicia por la rotura instantánea de una tubería
grande del Sistema de Refrigeración del Reactor, coincidente con la perdida de
alimentación exterior y fallo al arranque de uno de generadores diesel. Esto implica
la perdida de uno de los dos trenes de los sistemas de seguridad alimentados por
corriente alterna.
En los análisis se considera un rango de roturas. El mas grave considera la rotura en
la línea mayor de un tamaño tal que el refrigerante se descargue por ambos
extremos, que es lo que se denomina rotura terminada en doble guillotina. Como
consecuencia se producirá una rápida expulsión del refrigerante al recinto de
Contención. En contenciones PWR, el agua fría aportado por el Sistema de Rociado,
y en las BWR el agua de la Piscina de Supresión, condensaran el vapor generado.
La condensación del vapor limita la presión en Contención y, por lo tanto, la
liberación de materiales radioactivos al exterior. Al final del periodo de expulsión
(blowdon) el RCS y la Contención estarán ocupadas principalmente por vapor
saturado en las mismas condiciones. De hecho, el LOCA grande o la rotura en una
Línea Principal de Vapor en el interior de la Contención establecen los limites de
diseño de presión y temperatura que la Contención es capaz de soportar.
En un LOCA grande el reactor se hace sub-critico rápidamente debido a la perdida
de moderador y la actuación del Sistema de Protección lo mantendrá subcritico ante
la actuación del ECCS. Inmediatamente después del disparo, el calor residual viene
a ser un 7% del generado a plena potencia y su valor disminuye rápidamente. Así
2
pues, si no se aportara una refrigeración de emergencia rápidamente, el Núcleo
podría alcanzar temperaturas en las que se produciría una oxidación rápida del
Zircaloy, una generación excesiva de Hidrogeno, y un daño al combustible.
A fin de limitar las consecuencias de un LOCA, cada LWR dispone de un Sistema de
Refrigeración de Emergencia (ECCS). Un Sistema de Control detecta la situación de
LOCA y coordina las diferentes partes del ECCS según se necesitan. La función del
ECCS es pues suministrar agua al Núcleo de forma rápida para enfriar y limitar el
incremento de temperatura. La Sección 50.46 del 10 CFR Parte 50 y su Apéndice K
requieren que la actuación del ECCS sea tal que:

. Las temperaturas de pico en vainas no superen el valor de 1204 ºC.

. La oxidación no exceda el 17% del espesor de vainas.
. La generación de Hidrogeno debido a la oxidación de vainas sea inferior al 1% del
máximo posible.
. El núcleo se mantenga con una geometría refrigerable.
. Suministre una refrigeración del núcleo a largo plazo.

Estos valores no representan ni mucho menos un umbral de daño, sinó una

situación conservadora que garantiza un alto grado de confianza de que la seguridad
publica esta protegida aun en el caso de LOCA. En el análisis tradicional del LOCA
de accidente base de diseño, el 10 CFR Parte 50 y el Apéndice K imponen la
utilización de hipótesis pesimistas lo que resulta en unos resultados de temperatura
de picos de vainas del orden de unos 350ºK superiores a los que se obtendrían
empleando hipótesis realistas.

La modificación del 10CFR 50.46 y del Apéndice K realizada en 1988 permite la

realización de cálculos mas realistas, pero requiere a cambio la realización de
análisis de incertidumbres y el "cumplimiento de los criterios del 50.46 con un alto
nivel de probabilidad".

El Edificio de Contención es una de las barreras mas significativas para evitar la

liberación de los productos de fisión al exterior de la instalación en caso de LOCA.
Esta estructura esta diseñada para que tenga una tasa de fugas muy reducida aun
ante el pico de presión en la Contención que se produciría en las condiciones de
LOCA. Las estructuras internas absorben el calor, liberándolo por conducción al
exterior, y reduciendo así el pico de presión. Adicionalmente los Sistemas de
Rociado en PWR y las Piscinas de Supresión en BWR reducen significativamente
las cargas sobre la Contención. Sin embargo, en los análisis se supone
conservadoramente que la Contención fuga con la tasa que corresponde a la presión
de pico durante las primeras 24 horas y la mitad de este valor durante el resto del
accidente.

Comparación de los DBA con los análisis realistas.

Las suposiciones conservadoras usadas para los análisis de los DBA en los Análisis
de Seguridad garantizan que las consecuencias calculadas excederían las
esperables si el accidente realmente tuviera lugar. Por ejemplo: las temperaturas de
pico vainas en caso de LOCA seria del orden de 350ºK menores; las dosis en la
zona de exclusión serian un orden de magnitud dos veces inferiores al obtenido en
los análisis de los DBA. La diferencia mas importante se centra en el daño al núcleo
supuesto en los análisis de impacto radiológico del LOCA, en los que se supone que
el 25% del inventario de yodos del Núcleo se liberaría a la atmósfera de la
Contención (Termino Fuente). Un análisis mas realista daría crédito a la actuación
del ECCS y la liberación de yodos habría de ser significativamente inferior. En
3
resumen, los análisis muy conservadores de los DBA predicen dosis de radiación al
exterior inferiores a los limites establecidos en el 10 CFR 100, y los análisis realistas
predicen dosis aún mucho menores. Esto no significa que accidentes resultantes en
dosis superiores al 10 CFR 100 sean imposibles, sino que tales accidentes tendrían
que implicar:

a. Mas fallos de componentes que los postulados en los DBA, para que los ECCS
fallaran, se fundiera el núcleo, y se liberara cantidades importantes de radio
nucleidos desde el combustible.
b. Que ocurriera una fuga catastrófica, fallo de aislamiento o baipas de la
Contención para que se liberaran cantidades importantes de materiales
radiactivos al exterior.

La probabilidad y consecuencias de los accidentes contemplados mas allá de la

envuelta base de diseño se analizan mediante métodos probabilistas.

2. ACCIDENTES NO CONTEMPLADOS EN LA ENVUELTA BASE DE DISEÑO

Iniciadores
Al igual que en los accidentes base de diseño, los accidentes severos se clasifican
por su iniciador. En términos generales se pueden establecer las categorías
siguientes:

1. Station Blackout (apagón general), que implica la perdida del suministro de

potencia de corriente alterna desde el interior y el exterior de la instalación.
2. Accidentes de perdida de Refrigerante.
3. Transitorios anticipados sin parada rápida del reactor (ATWS).
4. Transitorios (exceptuando los ATWS).
5. Iniciadores especiales.

En general el termino transitorio, por oposición al del LOCA, significa que en el inicio
del accidente se mantiene la integridad estructural del RCS, tratándose en general
de sucesos en los que se alteran los balances de energía en la planta. Los LOCA, a
su vez, se subdividen en LOCAS grandes, intermedios, pequeños y muy pequeños,
dependiendo de los sistemas de inyección necesarios para hacer frente a la
condición de LOCA.

Los iniciadores especiales incluyen fallos en los sistemas soporte de la planta, tales
como fallos en los Sistemas de Agua de Servicios, Aire de Instrumentos, etc.. En el
termino iniciadores especiales, y por ser especifico de planta, se incluyen también
los fallos de los componentes que separan la zona de alta presión del refrigerante de
las zonas de baja presión. Esta situación incluiría fallos en los tubos de los
Generadores de Vapor que darían lugar a accidentes tipo SGTR, y también los fallos
de aislamiento entre el Sistema de Eliminación del Calor Residual y el RCS, que
daría lugar a lo que se denomina un LOCA en interfase. A diferencia de los LOCAS
normales, los LOCAS de interfase no descargan a la atmósfera de la Contención.
Existe también la posibilidad de que un accidente pueda originarse por un suceso
externo a la planta. Esta posibilidad incluye sucesos tales como:

1. Inundaciones.
2. Incendios (internos y externos)
3. Sucesos de naturaleza sísmica.
4. Escapes de productos químicos.
5. Mísiles generados por la turbina.
4
6. Posibles accidentes en la industria del entorno de la planta, etc..

En general, los incendios y sucesos sísmicos son los iniciadores de mayor

importancia.
Tradicionalmente se ha prestado poca atención a la posibilidad de un accidente con
la planta en parada, sin embargo, esta posibilidad esta actualmente también
contemplada en los análisis probabilista de seguridad ya que en situación: a) Existen
menos requisitos de especificaciones técnicas; b) Muchos sistemas se encuentran
inoperables debido al mantenimiento de equipos; c) Los operadores tienen un
conocimiento mas pobre del estado de la planta, ya que muchos equipos pueden
entrar y salir de servicio y no toda la instrumentación esta disponible, y; d) Hay una
gran cantidad de personal en sala de control, donde, además, muchas de las
indicaciones luminosas están encendidas debido a que gran parte del equipo de la
planta esta fuera de servicio.

Después del disparo del reactor el calor residual decae rápidamente inicialmente,
alcanzando el 1% de la potencia térmica a las 24 horas, pero su disminución a partir
de entonces es bastante pequeña. Este 1% de potencia es mas que suficiente para
originar un daño grave al núcleo si se produjera una perdida de refrigeración. En
parada el núcleo se mantiene solamente cubierto hasta el limite de la zona activa
para permitir el proceso de recarga y una apertura de línea de drenaje u otra causa
podría originar un descubrimiento rápido del núcleo.

Daño al Núcleo
Supuesto un iniciador, el daño al núcleo únicamente se producirá si una o mas de
las funciones siguientes se perdieran.

1. Control de la reactividad.
2. Control del inventario de refrigerante.
3. Eliminación del calor residual.

Todas las plantas españolas tienen medios redundantes para cumplir estas
funciones y cumplen el criterio de fallo único establecido en el Apéndice A del 10
CFR 50. Por tanto un accidente que derive en daño al núcleo debe de incluir fallos
múltiples

Los fallos múltiples pueden se dependientes o independientes, en el sentido de que

la probabilidad de ocurrencia de uno no afecta a la ocurrencia del otro. Se espera
que la mayoría de los accidentes severos incluyan sucesos que sean, al menos,
parcialmente dependientes debido a causas comunes o a interacciones entre
sistemas. Fallos explícitamente dependientes y fallos de causa común son las
categorías mas importantes de fallos dependientes.

La categoría de fallos explícitamente dependientes incluye:

Dependencia del iniciador. El iniciador del accidente puede originar la

indisponibilidad de mas de un sistema.
Dependencias del Sistema Soporte. La operación de los sistemas frontales del
núcleo y de los sistemas de la contención pueden depender directa o
indirectamente de los sistemas soporte. (ejemplo, suministro de potencia
eléctrica, ventilación, etc..)
Dependencias de equipos compartidos (ejemplo, Piscina de Supresión en BWR)

5
 Errores humanos. Fallo del operador para responder de acuerdo con el
procedimiento. Puede originar el fallo o indisponibilidad de mas de un
componente o sistema.
Fallos de propagación. Fallo de un componente debido al fallo de otro anterior al
que esta ligado directamente (ejemplo, el fallo de un termostato puede originar
un fallo por temperatura de los componentes localizados en el cubículo)

La mayoría de los fallos explícitamente dependiente son factibles de identificarse

rápidamente, sin embargo, existen otra serie de fallos tales como los de causa
común o los fallos humanos por omisión cuya identificación y modelación en los
árboles de fallo es mucho mas compleja.

Los fallos por causa común son fallos de componentes debido a una causa
subyacente común, que puede deberse a un error de diseño, un factor ambiental o
cualquier otra. La información especifica de planta de la que se dispone es escasa,
por lo que para la cuantificación de las probabilidades de fallo por causa común se
usa información genérica, usando el concepto del factor beta, que es la probabilidad
condicionada de fallo de un componente a otro similar. Por ejemplo, si suponemos el
fallo de dos componentes en los dos trenes de un sistema que tiene una
probabilidad de fallo de 10-2, la probabilidad de fallo simultaneo será de 10-4. Sin
embargo, si el factor beta tiene un valor de 10-1, la probabilidad de que ambos trenes
fallen debido a una causa común será de 10-3. Las probabilidades de fallo por causa
común son siempre superiores y tienen un impacto importante en los resultados de
riesgo.

En los fallos humanos de comisión el operador "piensa por si mismo" y viola

intencionadamente un procedimiento escrito, realizando acciones que el cree que
ayudaran mejorar al restablecimiento de la planta. Estas actuaciones, en general,
exacerbaran las consecuencias del accidente. El ejemplo mas clásico de este tipo de
errores humanos fue el cierre de la inyección del ECCS por los operadores en los
estados iniciales del accidente de TMI-2. Este tipo de fallos presenta muchas mas
dificultades de modelación que los fallos humanos anteriores, en los que el operador
simplemente se equivoca al ejecutar un procedimiento escrito.

3. LOS ANÁLISIS PROBABILISTAS DE NIVEL 2

El Análisis Probabilista de Seguridad es el proceso sistemático de: a) Identificar los

accidentes que pudieran poner en peligro la salud al publico y la seguridad; b)
Estimar las frecuencias de tales accidentes, y; c) Estimar su riesgo derivado. Los
APS son una herramienta muy potente porque suministran un proceso sistemático
de identificación de las posibles vulnerabilidades de la planta. Los análisis de las
posibles secuencias que conducen a daño al núcleo y la identificación de sus
frecuencias se recogen en el nivel 1. En la figura a continuación se esquematiza los
elementos básicos del APS.

6
 Frecuencias del Accidente
Nivel 1

EDP

Progresión del Accidente, cargas y

respuesta estructural de la Contención

Grupos de Progresión del

Accidente

Transporte de Materiales
radiactivos
Nivel 2

Grupos de Términos Fuente

Integración de Riesgos

Los objetivos de análisis de riesgos e identificación de vulnerabilidades imponen una

serie de requisitos en el proceso de calculo, entre los que resaltamos:

a- La utilización de modelos rápidos de calculo, de tipo parametrico debido a la gran

variedad de accidentes que pueden ser modelados. Los accidentes se pueden
iniciar con una gran variedad de formas. Una vez iniciado, el daño al núcleo se
puede originar o evitar de múltiples maneras. Dándose por hecho el daño grave
al núcleo, la evolución del accidente tanto en el RCS como en la Contención
puede evolucionar según diferentes caminos y, además, cada uno de estos
caminos requiere una estimación de términos fuente.

b- La necesidad de introducir interfases bien delimitadas entre las diversas fases del
calculo. Estas interfases tienen diversos propósitos:

b-1 Garantizar que las hipótesis que se emplean en las diferentes fases de
calculo son consistentes.
b-2 Facilitar el calculo y la visualización de resultados intermedios.
b-3 Facilitar el seguimiento del análisis a través de las diferentes fases, pero
sobre todo.
b-4 Reducir el numero de cálculos necesario en la fase siguiente.

En las interfases se definen grupos de accidentes que tienen condiciones de

contorno similares respecto a los análisis de la fase siguiente. Los resultados de
los análisis de frecuencias (Nivel 1 e interfase 1/2 ) se agrupan en los Estados
de Daño a la Planta y los resultados de los análisis de Progresión del Accidente
en los denominados Grupos de Progresión del Accidente. Por ultimo, a partir de
los resultados de la Estimación de Términos Fuente se obtienen los grupos de
Términos Fuente.

El uso de interfases permite el desarrollo de expresiones del tipo:

nEDPnGPA
Fl = å å fEDPj pGPAjk pGTFkl
j =1 k =1
nSI
fEDPj= å fSIi pEDPij
i =1
7
 Donde:

Fl; Frecuencia anual ( / año) asociada al grupo de terminos fuente l.

fEDPj; Frecuencia (1/año) del EDP j.
pGPAjk; Probabilidad de que el EDP j resulte en el GPA k.
pGTFkl; Probabilidad de que el GPA k resulte en el GTF l
fSIi; Frecuencia del suceso iniciador i
pEDPij; Probabilidad de que el iniciador i origine el EDP j.

c- El uso de técnicas de Monte-Carlo simplificadas y procedimientos de muestreo

estratificados en los análisis de propagación de incertidumbres.

Para este analisis se procede a:

- La identificación de las nV variables importantes de valores inciertos.

Xt , t=1……nV
- La estimación de sus funciones de distribución Dt.
- El muestreo, obtención de nLHS casos para cada una de las nV variables Xt
,que da como resultado el vector:
Xs= (Xs1, Xs2,……….Xs,nv), s=1,2,…..nLH

- La propagación de la muestra a través de los cálculos origina una secuencia de

elementos de la forma:

nEDP nGPA
Fs l = å å fEDPs j pGPAs jk pGTFs kl
j =1 k =1

para cada elemento s de la muestra. El resultado final será una secuencia de

conjuntos Rs , s=1,…..nLHS.

En el NUREG-1150 el riesgo se define por el conjunto ordenado de tripletas:

Rs= {(Ssi,fsi,Oi) , i=1,…, nS} (1)

Donde: nS representa el numero de escenarios; Ssi, las agrupaciones de

accidentes; fsi las sumas de frecuencias asociadas a cada Ssi; y Oi un vector de
resultados generado para cada elemento s de la muestra.

Si los resultados son numéricos y ordenados, tal que Oi<Oi+1, el grafico de

puntos de la forma:

æ nS
ö
ç oi , å f j ÷ , i = 1,.....nS
è j = j +1 ø

es una forma sencilla de representación del riesgo, denominada Curva de

Excedencia. El resultado o se expresa en abscisas, y la frecuencia de que ocurra
un accidente que tenga resultados mayores que o en ordenadas. Las curvas de
excedencia son análogas a las complementarias de las funciones de
distribución, simplemente en ordenadas se muestran valores de frecuencia en
lugar de probabilidades.

8
3.1 IDENTIFICACIÓN DE LOS ESTADOS DE DAÑO A LA PLANTA.

Los EDP definen las condiciones de la planta al comienzo del daño al núcleo. Un
EDP es un grupo de secuencias de accidente que presenta características similares
respecto a la progresión del accidente y a la operabilidad de los Sistemas de
Salvaguardia de la Contención. Los EDP definen las condiciones iniciales y de
contorno para los análisis de Progresión del Accidente del Nivel 2 (Back-end).

El primer paso para la obtención de los EDP es la selección de las secuencias de

daño al núcleo identificadas en el nivel 1, a tener en cuenta en los escenarios que
representan los EDP. Se trata de un proceso de simplificación mediante la
eliminación de aquellas secuencias muy poco significativas. Conforme a la Generic
Letter 88-20 en los niveles 2 solo se consideran aquellas secuencias:
- Cuya contribución a la frecuencia media de daño al núcleo sea $ 1E-7/año
- Todas las secuencias contenidas en el 95% de la frecuencia media total de daño
al núcleo.
- Las secuencias que contribuyen a la derivación de la Contención, en valores
medios, de mas de 1E-8/año.

El comportamiento de la contención y la posible refrigeración del núcleo dañado

dentro o fuera de la Vasija no se tratan en el Nivel1, donde simplemente se
considera que cualquier secuencia accidental en la que no se satisfacen
determinados criterios de éxito es de daño al núcleo. Así pues, el segundo paso es
revisar los árboles de sucesos contemplados en el nivel1 teniendo en cuenta dichos
conceptos. En la actualidad no se crédito en los APS a las Guías de Gestión de
Accidente Severo.

Se completa en esta interfase la revisión de los sistemas frontales del RCS y se

incluyen los relacionados con el comportamiento del Recinto de Contención,
efectuándose los análisis de datos, la delineación de los árboles de fallos y de
sucesos, disponibilidades y criterios de éxito, de forma similar a como se hizo en
nivel 1.

A modo de ejemplo en la figura siguiente se recoge unos supuestos de delineación

de secuencias para el caso de una instalación de tipo PWR que ilustra las tareas de
ampliación de secuencias entre el nivel 1 y el nivel2 en la interfase Nivel1/Nivel2. El
ejemplo seleccionado corresponde a un transitorio de perdida de alimentación
eléctrica exterior, considerándose los siguientes cabeceros.

K: Sistema de Protección del Reactor. Este sistema realiza el control de reactividad

del núcleo insertando las barras cuando el reactor esta a potencia y se requiere
su parada. Se suele definir el fallo de este sistema cuando existe fallo a la
inserción de dos o mas de sus conjuntos de barras de control.

B1:Esta función representa la posibilidad de recuperar la alimentación a alguna de

las barras de salvaguardias a través de los generadores diesel de emergencia.

L: Esta función se desarrolla mediante la combinación del tren asociado a la turbo

bomba del sistema de agua de alimentación auxiliar y las válvulas de seguridad y
alivio del generador de vapor que alimenta.

Y: Representa la posibilidad de apertura de válvulas de alivio / seguridad por

transitorio de presión y la perdida del sistema de sellado de las bombas del RCS.

9
B2, B3 y B4: Representa la posibilidad de recuperación, vía algún suministro
exterior, de la alimentación a las barras de salvaguardia antes de que se produzca
el daño al núcleo, fallo de la vasija y contención, respectivamente.

U1: Por sencillez colapsamos en este cabecero la posibilidad de una inyección y

posterior recirculación a alta presión del caudal suministrado por una bomba del
sistema de inyección a alta presión.
U2: Se recoge en este cabecero la posibilidad de despresurización del RCS
mediante apertura controlada de las Válvulas de alivio del presionador, y por lo
tanto, la inyección de baja presión antes del fallo de la Vasija.
FC: Representa la posibilidad de refrigeración de la Contención (Por ejemplo
mediante unidades enfriadoras o de aspersión) para evitar su presurización.
R: Representa la posibilidad de retención de los productos de fisión en la atmósfera
de la contención.

Los B3, B4, U2, FC y R son los cabeceros adicionales considerados en el análisis de
la interfase para este ejemplo.

Siguiendo la grafica y para la interpretación del supuesto se hacen los siguientes

comentarios:
1- Todas las secuencias seleccionadas corresponden a situaciones con éxito de la
función de protección del reactor. En caso contrario se hubiera derivado en un
ATWS.
2- Por tratarse de un tema relacionado con SBO se han seleccionado únicamente
secuencias con fallo al arranque de los generadores diesel de emergencia.
Algunas plantas disponen adicionalmente de generadores diesel específicos de
SBO.
3- La actuación de las turbo bombas, hasta agotamiento de baterías, mantiene la
refrigeración del RCS. Sin embargo, la despresurización no es suficiente para
permitir la inyección de los sistemas de baja presión.
4- Al dejar de operar las turbo bombas se produciría un repunte en las condiciones
del RCS pudiendo alcanzarse las condiciones de apertura de las válvulas de
alivio/seguridad. En caso de fallo de las turbobombas el ciclado de dichas
válvulas es inevitable.
5- En la rama superior, cabecero B2 en éxito, la turbo ha mantenido condiciones de
entrada de la inyección de alta presión antes de daño al núcleo.
6- El éxito de la Inyeccion/Recirculacion de alta presión mantendrá el núcleo
refrigerado y estable. Sin embargo, el fallo obligaría a una despresurización
controlada antes de que se produjera el daño al núcleo al objeto de permitir la
entrada de los sistema de baja presión.
7- El éxito del sistema de refrigeración supone el no fallo de la Contención, por lo
que la actuación del Sistema de Rociado se considera irrelevante

Las cuatro secuencias seleccionadas en el ejemplo, todas de alta presión durante el

daño al núcleo, representan situaciones de partida en la planta bien diferentes antes
del comienzo del daño al núcleo: En la A el núcleo se mantendrá refrigerado y
estable; la B se originara el fallo de vasija; en la C se produciría el fallo de
Contención con mitigación en la liberación del material radioactivo; y en la C, un
SBO total, se produciría no solo el fallo catastrófico de la Contención si no la falta de
mitigación del termino fuente (radioactividad disponible para ser emitida que hay en
la atmósfera de la contención)

10
Perdida Sist. de Alimenta- Extracción Integridad Recupera- Recupera - Recupera- Inyección/ Despresuri- Refrigera - Rociado
E.E.E Protección ción desde calor desde RCS cion E.E.E ción E.E.E ción E.E.E Recircul. zación ción Contención.
Reactor GD Secundario antes fallo antes fallo RCS Contención
Vasija Contención
T K B1 L Y B2 B3 B4 U1 U2 FC R

A
6

5
2 7 B
4
C

1
3

D
El tercer paso seria la definición de los Estados de Daño a la Planta, la agrupación
de las secuencias resultantes de los árboles revisados del nivel 1 en dichos estados,
y la obtención del riesgo, definido por (1), en la interfase.

Los EDP vienen definidos por una serie de características que conformarían el
vector:

cEDP= [cEDP1 , ……….cEDPncEDP] (2)

Donde cEDPr , r=1, ….ncEDP, suelen ser descriptores alfanuméricos del estado de
los sistemas de la planta.

Por ejemplo, para un caso particular se identifica los siguientes atributos o

características:

1º- Tipo de iniciador (Loca grande = A, …..Transitorio=T);

2º- Presión en el RCS (Alta=H, Media=M, Baja=L);
3º- Disponibilidad de los Sist. de Rociado y Refrigeración de la Contención (Ambos
disponibles=FC, ……Ninguno disponible=N);
4º- Disponibilidad de agua en la Cavidad del Reactor para refrigeración del núcleo
después del fallo de la Vasija (Cavidad humeda=W, Cavidad seca=D);
5º- Estado de los Sistemas de recirculación de refrigeración de baja presión del
núcleo (Disponible= R, Fallado=F).

Para este caso ncEDP=5, y cEDP1 puede tomar los valores H,M o L. El THNDF
representaría un EDP iniciado como transitorio, con el RCS a alta presión antes de
que produjera el daño al núcleo y con indisponibilidad de todas las salvaguardias.

Los resultados de riesgo según la definición dada en (1) serian:

Ssi; Conjunto de accidentes que progresan a un accidente en el EDP i.

Oi; Vectores de definiciones identificados en (2).
fsi ; Se correspondería con

fEDPsi = å fSI sj pEDPsji

j

3.2 ANÁLISIS DE PROGRESIÓN DEL ACCIDENTE Y RESPUESTA DE LA

CONTENCIÓN.

El propósito de los análisis de progresión del accidente y de respuesta de la

contención es representar la progresión fisica del accidente desde cuando el daño al
núcleo es inminente hasta la finalización del accidente.

Cada una de las condiciones iniciales definidas por un EDP pueden derivar en
muchas vías de progresión del accidente. Algunos de los fenómenos son
estocásticos por naturaleza, mientras que otros no están perfectamente entendidos,
por lo que existe una cierta incertidumbre sobre las vías que un determinado
accidente puede seguir. El árbol de sucesos de progresión del accidente (APET)
calcula las probabilidades de cada una de las ramas o posibles vías de progresión
del accidente.
Los análisis de progresión del accidente y respuesta de la contención requieren de
una gran cantidad de información. Los APET forman una estructura lógica que
concretan la información experimental disponible, los resultados de códigos de
calculo y las opiniones de paneles de expertos, permitiendo la delineación
probabilística de las posibles vías que un accidente pueda seguir.

3.2.1 Descripción de los APET

Los APET consisten de una serie de preguntas sobre los sucesos que tienen lugar
en el RCS y en la Contención y sobre los fenómenos físicos que pueden afectar a la
progresión del accidente. El desarrollo de un APET es el proceso de diseño de la
estructura lógica que constituye el árbol. Lo que incluye determinar el orden de las
preguntas, decidir sobre los sucesos y fenómenos que han de ser incluidos,
establecer las dependencias entre preguntas, y asegurar que todas las vías posibles
del árbol son consistentes con la realidad física.

El APET divide la progresión del accidente en periodos de tiempo. Se suele

establecer la siguiente división para las preguntas: a) Las relacionadas con las
condiciones iniciales del EDP; b) Las relacionadas con la fenomenología y sucesos
antes del fallo de la Vasija;c) Las relacionadas con el fallo de la Vasija; d) Las
relacionadas con el periodo de tiempo inmediatamente posterior al fallo de la vasija;
e) Las relacionadas con el periodo final, y; e) Las preguntas resumen. Estas ultimas
se sitúan al final del árbol y agrupan la información del árbol en los resultados del
APET.

Los objetivos básicos del APET son establecer el modo de fallo de la Contención y
demás información necesaria para la estimación del Termino Fuente para, cada
EDP. Los EDP con fallo de aislamiento o derivación de la Contención ya contienen
dicha información y además su modo de fallo de la Contención ya esta definido, por
lo que para estos caso no es necesario la elaboración de un APET.

Las preguntas del segundo grupo conciernen a los procesos de degradación en la

Vasija, a la posibilidad de evitar el fallo de la Vasija, al estado de los sistemas de
seguridad y a la posibilidad de fallo de la Contención antes del fallo de la Vasija. Por
ejemplo:

a) los procesos de circulación natural en el RCS, en el caso de EDP que

representen transitorios de alta presión, pueden llevar a un sobrecalentamiento
de las estructuras del RCS originando el fallo de la rama caliente o la rotura de
tubos, lo que derivaría en escenarios tipo LOCA o de Baipas de la Contención
(SGTR), originando además una reducción de presión que modificaría
posteriormente las condiciones de fallo de la Vasija.

b) una recuperación de los sistemas de inyección a tiempo pueden evitar el fallo de

la vasija.

c) La Contención puede fallar antes de que lo haga la Vasija debido a combustiones

del hidrogeno generado en el proceso de degradación del núcleo o a la presión
de vapor si los sistemas de refrigeración de la contención no estuvieran
operativos.

El periodo de tiempo alrededor del fallo de la Vasija, aunque corto, requiere de

varias preguntas al objeto de determinar la posibilidad de fallo de la Contención

13
como consecuencia, precisamente, de los fenómenos que se originan en ese fallo.
La contención, por ejemplo, puede fallar debido a:

a- El incremento de presión debido a la expulsión de vapor y no condensables.

b- Explosiones de Vapor al entrar en contacto el núcleo fundido con el agua
existente en el Pleno Inferior de la Vasija o en la Cavidad del reactor.
c- A un Calentamiento directo de la Contención (DCH).
d- A explosiones de Hidrogeno.

Las preguntas en el periodo tardío, generalmente se relacionan con la posibilidad de

fallo de la Contención por:

a- La combustión del Hidrogeno y del Monóxido de Carbono generado en la

interacción del núcleo fundido con el hormigón de la cavidad del reactor (CCI).
b- La sobre presión originada por el vapor de agua generada en la CCI.

3.2.2 Cuantificación del APET

Es el proceso de determinar las probabilidades de cada rama, o las funciones de

distribución si el suceso o fenómeno de que trata la pregunta es importante para el
riesgo, representa una posible vulnerabilidad o la pregunta esta afectada por una
modificación de diseño en la planta.

En el árbol no se incluyen modelos fenomenológicos. Directamente lo que se asigna

a cada rama son resultados de la experiencia, opiniones de paneles de expertos o
cálculos realizados ex profeso para la pregunta en cuestión.

3.2.3 Agrupación de resultados y resultados de riesgo

Cada pregunta del árbol puede tener 2 o mas resultados. Así pues, un árbol con N
preguntas puede dar lugar a 2N, 3N e incluso 4N. Un árbol normal contiene unas 30
preguntas, por lo que se entiende que el numero de resultados puede ser intratable.
Por ello, los resultados de las ramas se agrupan por categorías o Grupos de
Progresión del Accidente.

Los GPA son grupos de categorías o características usados para definir el accidente
y empleados como condiciones de contorno en los Análisis de Términos Fuente.
Estas características forman la base para la definición del vector GPA.

[cGPA1,cGPA2,……..cGPANCGPA] (3)

Donde cGPAK , K=1, ……NCGPA, suele ser un descriptor alfanumérico de algún

aspecto del accidente.

Por ejemplo, para un caso en particular se identifican los siguientes atributos y

características:

1º- Presión en el RCS al fallo de la Vasija: (Alta= H, Baja=L);

2º- Modo de fallo de la Contención:
A; Fallo de aislamiento
B; Rotura de Tubos del Generador de Vapor
C; Rotura de Contención
……………………………
……………………………
14
 H; LOCA de Interfase
3º- Instante del fallo de la Contención (Al fallo de la Vasija=A, Tardio=B, Nunca=C).
4º- Modo de la CCI:
A; Progresa.
B; Núcleo fundido refrigerado por el agua existente en la Cavidad.

Así pues el HCBA representaría un GPA con fallo de la Vasija a alta presión, con
rotura tardía de la Contención y en el que se produciría la interacción del núcleo
fundido con el hormigón de la cavidad.

Los resultados de riesgo según la definición dada en (1) serian:

Ssk; Conjunto de accidentes agrupados en el GPA k.

Oi; Vectores de definiciones identificados en (3).
fsk ; Se correspondería con:

f sk = å fEDPsj pGPAsjk
j

A modo de ejemplo, en la figura siguiente, se presenta un esquema parcial de la

delineación y cuantificación de un APET para el caso de una instalación PWR,
mostrándose únicamente los aspectos relacionados con la evolución de la presión
en el RCS.

Los cabeceros 3º y 4º, representan las condiciones iniciales definidas en el EDP de

que se trate. La primera pregunta identifica los rangos de presión antes de daño al
núcleo (Hy-P, Med-P,Low-P), y la segunda identifica la posibilidad (DP-y, DP-n) de
que los operadores hayan procedido a una despresurización del RCS. En general,
los transitorios corresponden a iniciadores de alta presión, y los LOCAS medianos y
pequeños a condiciones de baja y media, respectivamente. En este caso no se da
crédito a que los operadores puedan despresurizar el RCS, por lo que cada rama
continuara en el rango de presión definido en 3ª.

Las preguntas 8ª, 9ª y 10ª conciernen a los sucesos y fenómenos que pueden influir
en la evolución de la presión en el RCS una vez que el daño al núcleo ya no puede
ser evitado. La pregunta 8ª representa la posibilidad (PrV-Op,PrV-Cl) de que una
válvula de alivio/seguridad del presionador falle al cierre y se mantenga agarrotada
abierta. Las preguntas 9ª y 10ª representan la posibilidad de fallo de la rama caliente
del RCS o de la línea de compensación del Presionador (HLR-y, HLR-n) y el fallo de
tubos del Generador de Vapor (TSGTR-y, TSGTR-n), respectivamente.

En el ejemplo no se considera factible un fallo estructural del RCS en situaciones de

media o baja presión. En el caso de transitorios, el fallo al cierre de una PORV
originaria que el RCS evolucionara a una situación de media presión lo que inhibiría
un posible fallo estructural posterior en el RCS. Para este ejemplo, análisis previos
realizados mediante códigos de detalle habían de haber demostrado que el fallo de
la envuelta de presión ocurriría antes en la rama caliente o línea de compensación
del presionador que en el Generador de Vapor, y también, que la rotura inducida de
tubos no seria factible en condiciones de media o baja presión.

15
 3º 4º 8º 9º 10º
P en RCS Operadores PORV Rotura SGTR
antes DN? despresurizan atascada inducida inducido?
RCS? abierta? Rama Caliente?

PrOp-y

Hi-P HLR-y

TSGTR-y

Med-P

Low-P

En el supuesto de que el proceso de cuantificación asignara las probabilidades

siguientes:

Rama
PrV-Cl HLR-n TSGTR-y
Probabilidad 0,99 0,05 0,001

Los resultados representarían unas condiciones favorables para la planta, dentro de

la extrema gravedad del accidente, ya que:

a. La probabilidad de rotura inducida de tubos, y por lo tanto la derivación de la

contención y consiguiente liberación temprana de materiales radiactivos
directamente al exterior, resulta extremadamente baja, aproximadamente 5.10-5.

b. La probabilidad de LOCA por fallo en el RCS y consiguiente liberación de los

materiales radioactivos al recinto de contención es extremadamente alta,
aproximadamente la unidad. Una situación de degradación del núcleo y fallo de la
Vasija en condiciones de baja presión incidirían en una menor generación de
Hidrogeno y se evitarían las grandes cargas que se producirían sobre la Contención
por fallo de la Vasija a alta presión.

4. TRANSITORIOS PREVISTOS SIN DISPARO DEL REACTOR

Un "transitorio anticipado" es un suceso que se espera ocurra una o mas veces

durante la vida de una planta. El rango va desde sucesos realmente triviales hasta
transitorios realmente significativos en términos de las demandas que imponen a los
equipos de la planta.

16
El Sistema de Protección del Reactor (SPR) es un sistema de seguridad de
actuación automática, diseñado para controlar variables criticas y detectar
condiciones anormales de planta debidas a transitorios anticipados. El sistema de
Disparo del Reactor (SDR) forma parte del SPR, y esta diseñado para que actúe en
el caso de un transitorio anticipado que pudiera suponer un daño a la planta. En el
caso de que este disparo fallara, estaríamos entonces en unas condiciones de
Transitorio Anticipado sin Disparo del Reactor (ATWS).

La problemática y discusiones sobre los ATWS fue larga. Realmente se inicia en los
años sesenta, en parte a raíz del accidente tipo ATWS ocurrido en el reactor HTRE-
3 en Estados Unidos, y no se completa hasta que en el año 1985 la NRC publica el
10CFR 50.62: La regla de los ATWS. Durante este tiempo hubo diversos incidentes,
siendo los mas importantes los que ocurrieron en la central, tipo BWR, de Browns
Ferry 3 en 1980 y en la PWR de Salem 1 en 1983, en Estados Unidos.

En reactores tipo BWR el accionamiento de las barras de control es de tipo

hidráulico, impulsadas por pistones. Ante una señal de scram, se impone una alta
presión en la parte inferior, al tiempo que se alivia la presión en la parte superior del
embolo mediante la apertura de la válvula de salida de scram, permitiendo que las
barras de control se inserten rápidamente. El agua descargada de los accionadores
de las barras de control se recoge en dos cabeceros separados, denominados
volúmenes de descarga de scram (SDV), que deben de estar vacíos para permitir la
inserción de barras. En operación “normal”, existe una señal de nivel de descarga de
scram que provoca el scram automático en anticipación de que este volumen se
pueda llenar.

En la C.N. de Browns Ferry se produjo un fallo inicial de inserción de 76 de las 185

barras de control en un scram manual, estando la planta al 35% de potencia. Scrams
manuales insertaron nuevas barras y , seis minutos mas tarde, se produjo uno
automático que completo toda la inserción. El origen del problema de debió a que
uno de los SDV estaba bastante lleno de agua, y a que la maneta de nivel de
descarga de scram en sala de control estaba en posición de “bypass” , antes del
disparo automático.

Las bases esenciales de diseño del SDR son que: a) Ningún fallo simple pueda
impedir el disparo del reactor y; b) Todos los canales de instrumentación y lógica
asociada de disparo puedan ser calibradas, probadas y mantenidas con la planta en
operación. Estos requisitos se logran implementando en el diseño varios canales de
instrumentación redundantes para cada variable que haya de ser medida. En
general se implementan cuatro canales para cada variable, y el disparo del reactor
se produce por señal coincidente de dos de cuatro, al objeto de evitar actuaciones
espurias. En realidad, al postular un ATWS se están por tanto postulando fallos
múltiples (Mas fallos que los postulados según el criterio de fallo simple)

La probabilidad de fallo de scram (inserción de barras de control) debido a fallos

aleatorios independientes es suficientemente baja (menor que 10-7 por demanda)
debido a la alta redundancia impuesta en el diseño. Los fallos por causa común, sin
embargo, presentan una mayor dificultad de análisis y la solución, en general, pasa
por la diferenciación. Esto es, la implementación de una diversificación de equipos
que miden la misma variable del reactor o la diversificación funcional, que implicaría
la toma de señal a partir de variables diferentes.

17
Para el caso de PWR los ATWS mas graves serian los originados por perdida del
Sistema de Alimentación. Este accidente se puede resumir según los pasos
siguientes:

a. Señal de bajo caudal de agua comparado con flujo de vapor en coincidencia

con bajo nivel en el Generador de Vapor (GV) iniciaría la señal de Scram, que
se ignora en los análisis.
b. La perdida de agua de alimentación, descenso de nivel en los GVs y la
reducción de transferencia de calor al primario, originan el calentamiento y
aumento de presión en el RCS. Las bombas del Sistema de Agua de
Alimentación Auxiliar podrían arrancar automáticamente, pero tienen
capacidad suficiente para eliminar todo el calor generado en el núcleo en
caso de ATWS.
c. El incremento de presión provocaría la apertura de las válvulas de seguridad
del presionador y la descarga inicial de vapor. La expansión del refrigerante
por temperatura provocaría un aumento de nivel. El Presionador comenzaría
a descargar agua en lugar de vapor al llenarse completamente, pero con un
caudal menor al necesario para evitar el aumento de la presión.
d. En función de la potencia inicial y el numero de barras no insertadas, la
potencia del reactor podría disminuir a lo largo del transitorio debido a la
inserción de reactividad negativa originada por el aumento de la temperatura
y la disminución de la densidad en el RCS. Este efecto combinado con la
actuación del SAAA y la apertura de las válvulas, podría reducir la presión y el
cierre de las válvulas, apareciendo nuevamente vapor en el extremo superior
del Presionador.
e. Si el RCS soportara el pico inicial de presión, la potencia se reduciría y la
capacidad del SAAA seria suficiente para mantener al núcleo refrigerado,
evitándose así posteriores incrementos de presión, lo que permitiría la
inyección de la solución de Boro.

En el caso de BWR, los transitorios que pueden originar un mayor daño son los
que provocan un incremento de la presión en el RCS. Se considera que los
peores son los originados por perdida de vació en el condensador y los debidos
al cierre de las válvulas principales de vapor. En estos casos el incremento de
presión reduce o colapsa las burbujas de vapor, lo que provoca, a su vez, un
aumento de la reactividad y de la potencia.

La Regla de los ATWS impone los siguientes requisitos:

a. La actuación del SAAA y de disparo de turbina en condiciones indicativas de

ATWS debe de estar diversificado e independizado respecto al de disparo del
reactor.
b. Cada BWR debe de disponer de un sistema, alternativo, diversificado con
respecto al de disparo del reactor e independiente, de inyección de barras de
control (ARI).
c. Cada BWR debe de disponer de un Sistema de Control de Liquido de
Reserva (SCLCR) con actuación automática. El SCLCR es simplemente un
tanque de agua borada conectada al refrigerante. Un mecanismo explosivo
abriría la válvula de paso. La conexión se suele hacer a través del Sistema de
Aspersión de Alta Presión al objeto de facilitar la mezcla.
d. Cada BWR debe de disponer del equipo adecuado para poder disparar de
forma fiable las bombas de recirculación del reactor automáticamente. El
disparo de estas bombas reduce la potencia del reactor del 100 al 30% en
menos de un minuto en caso de ATWS.
18
5. PERDIDA TOTAL DE CORRIENTE ALTERNA (SBO).

Muchos sistemas necesarios para la refrigeración del núcleo y de la contención

dependen de la corriente alterna (CA), sin embargo, las plantas no fueron
inicialmente diseñadas frente a SBO debido a que este tipo de accidentes, al igual
que los ATWS, requieren de la existencia de fallos múltiples.

En 1975 , the Reactor Safety Study señalo que los SBO podrían contribuir de forma
importante al riesgo por accidentes. Por otra parte, la experiencia de operación
acumulada vino a indicar que la fiabilidad de los sistemas de CA de emergencia
podría ser menor que la inicialmente prevista. Estudios realizados y experiencia
operacional en esos años vinieron a concretar que:

a- El rango estimado de probabilidades de SBO es amplio, variando entre 10-5 y

10-3 /reactor.año.
b- La frecuencia estimada de fusión de núcleo por SBO podría variar entre 10-6 y
10-4/reactor.año
c- La redundancia y fiabilidad de los sistemas de potencia eléctrica de CA
influyen de forma importante en la probabilidad de SBO.
d- La probabilidad de daño al núcleo en caso de SBO, depende
significativamente de la capacidad del sistema de eliminación de calor
residual para hacer frente a apagones de mas de dos horas.

La regla del Station Black Out, (10CFR 50.63), publicada en 1988, tiene por objeto
reducir el riesgo de accidente severo debido a este tipo de accidentes mediante:

a- El mantenimiento de una alta fiabilidad de los sistemas de potencia eléctrica

de AC.
b- Asegurar que las plantas pueden hacer frente a una situación de SBO durante
un tiempo mínimo, especifico de planta.

Es de interés anotar, que no se consideraba que los SBO supusieran un riesgo

indebido antes de la aplicación de la regla. En si, los SBO, incluso después de la
regla siguen siendo unos contribuyentes importantes al riesgo residual. La regla se
ha desarrollado para prevenir mejor y por lo tanto reducir la probabilidad de daño al
núcleo por SBO.

La Regla se desarrolla en la Guía Reguladora 1.155 de la NRC, titulada “Station

Blackout” que establece cierta normativa para:

a. El mantenimiento de un alto nivel de fiabilidad para los Generadores

Diesel de Emergencia.
b. El desarrollo de procedimientos para la recuperación de las fuentes de
potencia, tanto interior y exterior.
c. Seleccionar las duraciones aceptables de SBO para cada tipo de
planta. (Por ejemplo 2,4,8,,o 16 horas).

REFERENCIAS

NUREG-0460. Anticipated Transients Without Scram for LWR 1978

NUREG-1032. Evaluation of Station Blackout Accidents at N.P.P 1988
NUREG-4551 Methodology for the Accident Progression Event and Containment
Analysis.1990.
19