Kontrola bezpečnosti jaderné elektrárny z pohledu funkčních vazeb a prokázání plnění principu ochrany do hloubky

Ilustrační foto (zdroj: Pixabay.com) Ilustrační foto (zdroj: Pixabay.com)

Státní úřad pro jadernou bezpečnost vydal dne 30.3.2016 rozhodnutí o prodloužení povolení provozu 1. bloku Jaderné elektrárny Dukovany při splnění několika podmínek. Jednou z nich byla i podmínka A4, která mimo jiné požaduje objasnit míru fyzické a funkční nezávislosti mezi jednotlivými úrovněmi ochrany do hloubky. Na vypořádání této připomínky spolupracoval provozovatel jaderných elektráren, ČEZ, a. s. (útvar Správa projektu JE) s ÚJV Řež, a. s., divizí ENERGOPROJEKT PRAHA, jakožto „generálním projektantem“ JE Dukovany. Bylo nutné sestavit tým z řad zkušených odborníků v oblasti jaderné energetiky na straně projektanta a provozovatele. Cílem spolupráce bylo vytvoření modelu vnitřních vazeb a funkčních závislostí jednotlivých systémů v Jaderné elektrárně Dukovany pro jednotlivé úrovně ochrany do hloubky jako podklad pro jasný průkaz splnění podmínky prodloužení provozu. Práce byla zahájena v roce 2016 a v současné době probíhá i pro JE Temelín.

Ochrana do hloubky (DiD – Defense in Depth) je základním principem pro dosažení požadované úrovně jaderné a radiační bezpečnosti jaderné elektrárny. Požadované úrovně ochrany do hloubky lze dosáhnout technickými opatřeními implementovanými do projektu jaderné elektrárny, která musí zohledňovat vliv lidského faktoru. Správná implementace principu ochrany do hloubky zajišťuje bezpečný provoz bloku v normálních provozních stavech, kdy elektrárna dodává do sítě elektrickou energii, zamezuje rozvoji abnormálních provozních stavů a rozvoji havarijních stavů. Správnou funkcí technologických zařízení a pomocí řady fyzických bariér, které svojí integritou oddělují zdroje radiace od pracovníků, obyvatelstva a životního prostředí, je dosaženo požadované jaderné a radiační bezpečnosti jaderné elektrárny. Princip ochrany do hloubky musí být uplatněn a dodržován ve všech fázích životního cyklu jaderné elektrárny – od návrhu až po vyřazování.

Implementace ochrany do hloubky musí zajistit:

  • prevenci nehod v jaderné elektrárně a
  • zmírnění následků případných nehod (havárií) v jaderné elektrárně.

Důležitými požadavky na zajištění principu ochrany do hloubky jaderné elektrárny jsou:

  • co největší robustnost fyzických bariér jednotlivých úrovních ochrany do hloubky,
  • co největší míra vzájemné nezávislosti všech úrovní ochrany do hloubky.

Požadavky na robustnost a míru nezávislosti se vzájemně doplňují a podporují ve smyslu zajištění efektivity funkce ochranné bariéry a efektivity funkce úrovně ochrany do hloubky.

Funkční analýzy ochrany do hloubky jaderných elektráren

Pro objasnění míry nezávislosti úrovní ochrany do hloubky a robustnosti fyzických bariér bylo nutné provést tzv. funkční analýzy. Řešení funkčních analýz vychází z platné legislativy (zejm. Atomový zákon 263/2016 Sb. a vyhlášky 329/2017 Sb. a z relevantních mezinárodních dokumentů IAEA, WENRA). Struktura funkční analýzy je uvedena na Obr.1. ze kterého jsou patrné jednotlivé části funkční analýzy a jejich vazby. Jednotlivé části jsou popsány v dalších odstavcích.

Nová SW aplikace pro vyhodnocení funkčních analýz jaderných elektráren

Ve funkční analýze ochrany do hloubky byly identifikovány tisíce vzájemných vazeb. Aby bylo možné tyto vazby rychle a přesně vyhodnotit, byla vytvořena speciální SW aplikace Hierarchical In-depth Design Requirements Assessment, tzv. HIDRA. SW a v něm obsažený datový model funkčních vazeb pro Jadernou elektrárnu Dukovany a Temelín byl vyvinutý ve spolupráci projektanta (ÚJV Řež, divize ENERGOPROJEKT PRAHA) a programátorů (I&C Energo), za podpory provozovatele jaderných elektráren v ČR (ČEZ).

SW je efektivním nástrojem pro inženýrské hodnocení robustnosti a nezávislosti ochrany do hloubky. SW je využíván pro zpracování funkčních analýz s využitím aktuálního stavu elektrárny, nebo pro rychlé zhodnocení funkčních vazeb v případě modernizace částí elektráren. SW podporuje rychlé a přesné ověření správnosti projektových východisek a požadavků (Design Basis/Design Requirements) pro obě české jaderné elektrárny.

Do SW se zadávají data pro jednotlivé části uvedené na Obr.1. V SW je použit víceúrovňový systém funkcí (základní, typové, specifické). Dále jsou definovány funkční analytické skupiny (např. vysokotlaký systém havarijního chlazení aktivní zóny, systém rychlého odstavení reaktoru,...), data pro lokalizaci funkcí a funkčních analytických skupin, potenciální Hrozby (např. vítr, déšť, bouře, seismická událost, porucha zařízení, lidský faktor,…), tzv. Provisions (tj. opatření - diviznost 3 x 100 %, redundance 2 x 100 %), časová hlediska a další metadata. Nejdůležitější částí SW jsou Funkční řetězce. Ty jsou dále vázány do Linií ochrany do hloubky (Linie DiD) a Mapy funkcí.

V rámci Funkčních řetězců jsou popsány závislosti vykonávaných specifických a podpůrných specifických funkcí pro jednotlivé funkční analytické skupiny. Například funkční analytická skupina „nízkotlaký systém havarijního chlazení aktivní zóny“ vykonává specifickou funkci „nízkotlaké chlazení aktivní zóny“ pouze když má k dispozici všechny podpůrné funkce (například dodávku elektrické energie, média, řízení, …).

Funkční řetězce je možné vytvořit a upravovat přímo v SW. Při editaci schémat Funkčních řetězců dochází k automatickému vytvoření/modifikaci dat v datovém modelu
funkčních vazeb. Tím je zajištěna koordinace dat vůči schématům a možnost grafické kontroly datového modelu.

Ilustrativní příklad schéma Funkčního řetězce je uveden na Obr. 2.; modře orámované bloky jsou funkční analytické skupiny, plněné a požadované funkce jsou znázorněny šipkami. Z obrázku je dále patrná provázanost a složitost vzájemných vazeb jednotlivých funkčních analytických skupin. Linie DiD se skládají z jednoho či několika Funkčních řetězců. V jednotlivých úrovních ochrany do hloubky (asociovaných stavů jaderného bloku) jsou vytvářeny jedna nebo více Linií DiD tříděných po požadovaných typových bezpečnostních a provozních funkcích jaderné elektrárny.

SW HIDRA podporuje tvorbu Map funkcí, které slouží ke grafickému maticovému zobrazení jednotlivých Linií DiD tříděných dle plnění požadovaných typových bezpečnostních či provozních funkcí a zároveň dle úrovně ochrany do hloubky (asociovaných stavů jaderného bloku), viz Obr.3. V matici jsou zakresleny jednotlivé Linie DiD ve vertikálním pořadí, dle toho, jak se navzájem zálohují v ochraně do hloubky a horizontálně dle konfigurací daných výchozím stavem bloku či způsobu působení Hrozby (normální provoz, havárie s/bez ztráty chladiva,…). Na Mapě funkcí lze dohledat kompletní informace vložené do SW.

V SW je možné specifikovat jednotlivé vnější a vnitřní Hrozby a jejich kombinace. U jednotlivých Hrozeb jsou pro podpůrné specifické funkce uvedena data (například intenzita hrozby, zda hrozba je aplikovatelná na specifickou funkci, jak je tato funkce odolná proti definované hrozbě,…).

Pro specifikaci odolnosti je zde zaveden pojem Provisions, který definuje odolnost daného zařízení na Hrozby. Provisions představují vlastnosti přiřazené jednotlivým funkčním analytickým skupinám, působící proti jednotlivým mechanismům hrozeb (například odolnost bezpečnostních systémů proti hrozbě „zranitelnost jednoduchou poruchou“ je řešena Provisions „diviznost 3x100 %“).

Inženýrské hodnocení ochrany do hloubky jaderných elektráren s využitím SW HIDRA

V Mapě funkcí lze provádět první část Inženýrského hodnocení - hodnocení robustnosti a to uplatněním definované Hrozby na specifické funkce. Tím dojde k automatickému vyhodnocení specifických funkcí u jednotlivých funkčních skupin, přes Funkční řetězce a Linie DiD. Následně se v Mapě funkcí zobrazí relevantní stavy jednotlivých Linií DID (stav: funkční, přímo vyřazena hrozbou, nejsou k dispozici všechny potřebné podpůrné funkce, nejsou vybrány všechny potřebné podpůrné funkce). V SW lze zobrazit i rezervy odolnosti jednotlivých specifických funkcí vůči definované Hrozbě. Na základě zobrazených dat v SW jsou týmem špičkových odborníků zpracovány závěry a doporučení do hodnotících zpráv.

Druhou část Inženýrského hodnocení – hodnocení nezávislosti úrovní ochrany do hloubky lze provádět pomocí přehledů, které jsou automaticky vytvářeny SW. Na kontrolních přehledech jsou zobrazována požadovaná data – jednotlivé dvojice Linií DID a jejich závislost (fyzická i funkční). Odborníci za jednotlivé profese tak na základě těchto dat jednoduše vyhodnotí míru závislosti, dle požadavku Státního úřadu pro jadernou bezpečnost. Míra nezávislosti je rozdělena do 5 stupňů - od Fyzicky a funkčně nezávislé, přes Fyzicky nezávislé, Funkčně nezávislé, Jednosměrně funkčně závislé až po Plně závislé.

Výše uvedenými Inženýrskými hodnoceními byla ověřena a potvrzena vysoká úroveň jaderné i provozní bezpečnosti Jaderné elektrárny Dukovany.

Další možnosti využití SW HIDRA

Vzhledem k rychlému a přesnému vyhodnocování SW HIDRA lze funkční analýzy využít nejen pro jaderné elektrárny, ale také pro klasické elektrárny či jiné výrobní a technologické závody. Funkčních analýz a SW lze využít v době přípravy projektového řešení, i po celou dobu životnosti celého zařízení.

V SW je možné simulovat skutečné provedení celého zařízení a identifikovat slabá místa i zhodnotit výhody plánovaných modernizací a změn konfigurací systémů. Investor si tak může ověřit přínosy jednotlivých variant změn do bezpečnosti, spolehlivosti a ekonomiky provozu a optimalizovat finální řešení. Funkční analýzy s pomocí SW HIDRA tak mohou být dalším krokem k ověření správnosti projektových východisek například nového jaderného zdroje v České republice.

Funkční analýzy s pomocí SW HIDRA tak mohou být dalším krokem k ověření správnosti projektových východisek například nového jaderného zdroje v České republice.

Ing. Michal Vozábal, hlavní inženýr projektu
Ing. Václav Hakl, vedoucí projektant
ÚJV ŘEŽ, a.s.
Divize ENERGOPROJEKT PRAHA