Introducción

Las centrales nucleares están diseñadas y concebidas para que además de funcionar correctamente durante la operación normal, en caso de que algo imprevisible ocurra, los sistemas automáticos de seguridad entren inmediatamente en funcionamiento para asegurar la protección del reactor y garantizar las siguientes funciones de seguridad:

• El control de la reacción de fisión (reacción en cadena) en el seno del reactor, permitiendo en todo momento la parada segura del mismo.
• La refrigeración del combustible nuclear que extrae en todo momento el calor generado por el combustible, incluso después de que el reactor esté detenido. Como hemos visto previamente, aunque el reactor esté parado, todavía se genera calor residual de la desintegración de los productos de fisión, que hay que disipar. Este calor disminuye rápidamente con el tiempo, pero es clave disponer de sistemas activos o pasivos de refrigeración para que el refrigerante siga pasando a través de los elementos combustibles para extraer y refrigerar ese calor generado. En caso contrario, si no se mantuviera una circulación suficiente en el reactor, el combustible podría dañarse y degradar la estructura interna del núcleo, que incluso podría llegar a fundirse.
• El confinamiento de las sustancias radiactivas dentro de barreras de protección físicas evitando los daños que éstas pudieran causar.
• La mitigación de las consecuencias radiológicas de un accidente, en el altamente improbable caso de que éste se produjera.

Las salvaguardias tecnológicas son el conjunto de sistemas diseñados para garantizar la protección del reactor (detención inmediata de la reacción nuclear y mantenimiento en este estado) así como el confinamiento de los productos radiactivos de forma que se eviten los accidentes y se reduzcan sus consecuencias exteriores a límites mínimos. En los reactores de agua ligera están primero las salvaguardias enfocadas a asegurar la refrigeración del núcleo aun en el caso de la pérdida del circuito de refrigeración, evitando que se alcance la temperatura de fusión del combustible y las destinadas al control de la reacción nuclear. La primera, además, está apoyada por la presencia del recinto de contención, que debe ser capaz de soportar la temperatura y presión derivadas del citado accidente y contener, en su caso, el material radiactivo.

Análisis y Gestión de riesgos: Modelo del queso suizo.

El modelo del queso suizo de causalidad de los accidentes es un modelo utilizado en el análisis de riesgos y gestión de riesgos, usado en la aviación, la ingeniería y la asistencia sanitaria. Compara los sistemas humanos a varias rebanadas de queso suizo, que se apilan. Esto fue propuesto originalmente por Dante Orlandella y James T. Reason de la Universidad de Mánchester y se ha ganado ya una amplia aceptación. A veces se llama el modelo del efecto acumulativo.

En el modelo de queso suizo, las defensas contra el fallo se modelan como una serie de barreras, representadas como rebanadas de queso. Los agujeros en las rebanadas representan debilidades en partes individuales del sistema y están variando continuamente en tamaño y posición a través de las cortes. El sistema produce fallos cuando un agujero en cada rebanada se alinea momentáneamente, lo que permite una trayectoria de oportunidad de accidente, de manera que un peligro pasa a través de los agujeros en todas las rebanadas, lo que conduce a un fallo.

Las defensas, barreras y salvaguardias ocupan una posición clave en el enfoque de Reason hacia la seguridad en sistemas complejos.

El modelo de Reason está basado en la filosofía de las defensas a profundidad, esto es, un sistema de defensa que tiene muchas capas o barreras, cada una diseñada para darle soporte a la otra, en orden de reducir la probabilidad de un accidente o un desastre. En un mundo ideal todas las capas defensivas deberían estar intactas no permitiendo que suceda ninguna penetración. Por supuesto, en el mundo real las defensas pueden deteriorarse con el tiempo; las modificaciones o los rediseños pueden debilitar o eliminar a las defensas, las defensas pueden ser removidas durante la calibración, el mantenimiento y las pruebas, o como resultado de errores y violaciones. Por ejemplo los operadores del cuarto de control del reactor nuclear de Chernobyl removieron capas de defensa sucesivamente con el objetivo de completar su tarea de probar un nuevo generador de voltaje.

En la realidad las defensas son como porciones de queso suizo que tienen muchos huecos, pero a diferencia de en el queso, los huecos están continuamente abriéndose, cerrándose y cambiando de posición. La presencia de huecos en una porción normalmente no tiene por qué causar un mal resultado. Usualmente, éste solo puede suceder cuando los huecos en muchas porciones momentáneamente se alinean para permitir una oportunidad de una trayectoria para un accidente, convirtiendo a los peligros en un daño al ponerlos en contacto con las víctimas. Los huecos en las defensas surgen por dos razones: fallos activos y condiciones latentes. Casi todos los eventos adversos tienen una combinación de estos dos conjuntos de factores.

Las fallas activas abarcan los actos inseguros que pueden estar directamente vinculadas a un accidente, como por ejemplo los errores humanos de los operadores de central. Las fallas latentes incluyen factores contributivos que pueden permanecer en estado latente durante días, semanas o meses hasta que contribuyen al accidente, como por ejemplo un diseño imperfecto o una válvula mal ajustada.

Control de la reacción nuclear

El sistema de protección del reactor está compuesto por sistemas diseñados para terminar inmediatamente la reacción nuclear. Mientras el reactor está operando, la reacción nuclear se mantiene produciendo calor y radiación. Al interrumpir la reacción en cadena, la fuente de calor se elimina en su mayor parte, y otros sistemas pueden ser usados para continuar eliminando el calor producido por la desintegración del núcleo.

Todas las centrales tienen alguna forma de los siguientes sistemas de protección del reactor:

Barras de control

Como hemos visto en la unidad didáctica anterior, las barras de control son una serie de varillas metálicas que pueden ser insertadas rápidamente en el núcleo para absorber neutrones y terminar de inmediato la reacción nuclear.

Control de inyección de seguridad en espera

Una reacción nuclear también puede ser detenida inyectando un líquido directamente en el núcleo que absorba los neutrones. En los reactores de agua en ebullición esto consiste habitualmente en una solución que contiene boro (como ácido bórico), que puede ser inyectado para desplazar el agua en el núcleo.

Extracción de calor

Es importante mantener el combustible “frío” en todos los posibles modos de operación normal:

• Estado estacionario: El reactor está en funcionamiento. La energía que proviene de la fusión produce vapor de agua que libera la energía en la turbina y el condensador.
• Parada (la turbina no está disponible): El calor residual genera vapor, que se dirige directamente al condensador.
• Recarga de combustible: El fuel se mantiene bajo agua y el calor residual es eliminado por el sistema de eliminación de calor residual (Residual Heat Removal System RHRS).

Todos los BWR tienen sistemas de accionamiento de las barras de control que se pueden insertar para apagar el reactor. Como backup también hay un sistema de control líquido que consiste en una solución de agua (borada) absorbedora de neutrones que se puede inyectar para apagar la reacción de fisión en cadena.

En el caso de que la vía normal de extracción de calor hacia la turbina/condensador se perdiese, los BWR tiene, en primera instancia, sistemas que salvaguardan al núcleo ya sea por adición de agua en la vasija o proporcionando un camino alternativo de eliminación de calor, o por ambos.

Algunos de estos sistemas que entran en funcionamiento cuando que el reactor queda aislado de la turbina y el condensador son:

• Sistema de refrigeración del núcleo aislado (Reactor Core Isolation Cooling (RCIC))
• Condensador de aislamiento (Isolation Condenser IC)

Si estos primeros sistemas de copia de seguridad no son suficientes y produce una insuficiente refrigeración del núcleo, entonces entra en funcionamiento el sistema de refrigeración de emergencia del núcleo (Emergency Core Cooling System ECCS), que tiene como funciones principales el proveer de caudal de refrigeración de emergencia en caso de accidente de pérdida de refrigerante originada por una rotura en el sistema de refrigeración del reactor, aportar la cantidad suficiente de boro disuelto en el caudal de inyección a fin de compensar el aumento de reactividad, asegurando un margen de parada aceptable.

Los principales sistemas ECCS son los siguientes:

• Sistema de aspersión del núcleo a alta presión (HPCS-High Pressure Core Spray)
• Sistema de inyección del núcleo a alta presión (HPCI-High Pressure Core Injection)
• Sistema de despresurización automática (ADS-Automatic Depressurization System)
• Sistema de aspersión del núcleo a baja presión (LPCS-Low Pressure Core Spray)
• Sistema de inyección de refrigerante a baja presión (LPCI-Low Pressure Core Injection)

Es importante tener en cuenta que todos estos sistemas requieren electricidad para el control y funcionamiento de los sistemas de extracción del calor residual del combustible y del reactor al medioambiente. Sin embargo, los dos primeros sistemas mencionados, el sistema de condensador de aislamiento IC y el enfriamiento aislamiento núcleo del reactor del sistema (RCIC), requieren electricidad sólo para fines de control y no para sus funcionamiento. Estos sistemas juegan un papel clave en la progresión del accidente y fueron determinantes en el desarrollo del accidente nuclear de Fukushima Dai-ichi.

Veamos en detalle cada uno de estos sistemas.

Condensador de aislamiento

El condensador de aislamiento para la refrigeración pasiva del núcleo, presente en el reactor 1, es un intercambiador de calor situado por encima de la contención en una piscina de agua abierta y están diseñados para refrigerar el núcleo cuando se aísla de su principal disipador de calor, el conjunto turbina/condensador. Durante la operación de potencia, el reactor está normalmente aislado del Condensador de Aislamiento. Cuando el núcleo se aísla del conjunto turbina/condensador, mediante una serie de válvulas el vapor principal es desviado al Condensador de Aislamiento y condensa en una sección de tubos verticales que constituye el intercambiador de calor. El calor se transfiere a la piscina del Condensador de Aislamiento evaporando agua a la atmosfera. El condensado vuelve al núcleo drenando por gravedad al interior de la vasija refrigerándolo. En la figura 7 podemos observar el esquema de un condensador de aislamiento.

Al drenar por gravedad, este sistema no requiere de electricidad para su funcionamiento.

El volumen de agua de la parte secundaria del condensador de aislamiento (ambos tramos juntos) es suficiente para la refrigeración durante ocho horas, después de lo cual hay que reponer el agua a partir de una fuente establecida con ese fin.

Refrigeración del núcleo del reactor aislado (RCIC)

Tiene como objetivo la refrigeración o enfriamiento del núcleo independientemente de la actuación de cualquier Sistema de Emergencia de Enfriamiento del Núcleo o ECCS, en caso de que el reactor quede aislado del condensador principal, y/o exista una pérdida del agua de alimentación a la vasija. El RCIC inyecta agua del tanque de almacenamiento de condensado (por succión) a la vasija a través de un circuito principal y mediante una turbo-bomba que es impulsada por vapor. El vapor de escape de la turbina es enviado a la cámara de supresión. La succión alternativa del RCIC es de la cámara de supresión y se realiza cuando hay bajo nivel en el Tanque de Almacenamiento de Condensado (TAC) o alto nivel en la cámara de supresión. Durante operación normal este sistema, junto con el RHR (sistema de extracción del calor residual) operando en modo de condensación de vapor, podrá mantener el reactor en condición de reserva en caliente. Las principales funciones del sistema RCIC son:

• Mantener el inventario de refrigerante en la vasija del reactor después de un aislamiento de esta, cuando la vasija del reactor es mantenida en la condición de reserva en caliente.
• Mantener el inventario de refrigerante en la vasija del reactor después de un aislamiento del reactor del condensador principal acompañado por una pérdida de flujo de refrigerante del Sistema de Agua de Alimentación del Reactor.
• Mantener el inventario de agua en la vasija del reactor al perderse el Sistema de Agua de Alimentación hasta que el reactor pueda ser enfriado usando el Sistema de evacuación de Calor Residual en el modo de enfriamiento en el apagado.

La refrigeración del núcleo del reactor aislado está diseñada para funcionar por lo menos durante cuatro horas.

Podemos ver representado el esquema de un RCIC en la figura 8.

Este sistema estaba presente en las unidades 2 a la 6.

Sistema de aspersión del núcleo a alta presión (HPCS):

Consta de una bomba con motor eléctrico que suministra agua a la vasija del reactor a través de un rociador en forma de anillo que se encuentra encima de los elementos combustibles. El sistema es capaz de inyectar agua en vasija para todo el rango de presiones, a 81.5 bares el caudal suministrado es de 23 l/s y a 14 bares el sistema proporciona un caudal de 234 l/s. El sistema entra en funcionamiento cuando el nivel de agua en la vasija del reactor baja a una altura preseleccionada sobre el núcleo (-90,2 cm) o cuando hay una alta presión en el pozo seco. El sistema parará automáticamente si se produce alto nivel de agua en la vasija del reactor. El equipo principal del sistema está situado fuera del recinto de contención, estando colocada la bomba en una cota inferior al nivel de agua en el depósito de almacenamiento de condensado y de la cámara de supresión. El sistema dispone de un circuito de prueba y de un circuito de derivación de bajo caudal, que actúa hasta que la presión suministrada por la bomba supera la presión del sistema nuclear, y es posible el flujo hacia la vasija del reactor.

Sistema de inyección de refrigerante a alta presión (HPCI):

Es la primera línea de defensa en el sistema de refrigeración de emergencia del núcleo. Está formado por un sistema igual al del RCIC pero es capaz de inyectar mucha más agua (19000 l/min frente a los 2000 l/min del RCIC) y con más presión.

Sistema de despresurización automática (ADS):

Si el RCIC y el HPCS no pueden mantener el nivel de agua en el reactor, el ADS, que es independiente de cualquier otro sistema de refrigeración de emergencia del núcleo, reduce la presión en el reactor para permitir la entrada en el núcleo del flujo procedente del LPCI y LPCS, para garantizar la adecuada refrigeración del núcleo y limitar la temperatura de las vainas del combustible. El ADS emplea siete de las dieciséis válvulas de alivio de presión del sistema nuclear, localizadas en las tuberías de vapor principal dentro del pozo seco, para liberar vapor de alta presión a través de tuberías de descarga que se sumergen en la cámara de supresión de presión.

Sistema de aspersión del núcleo a baja presión (LPCS):

Consta de una bomba centrífuga que puede ser accionada por energía auxiliar normal o por un generador diésel de reserva, un anillo de rociado en la vasija del reactor por encima del núcleo, separado del rociador del HPCS, y las tuberías, válvulas, controles e instrumentación asociados. Está diseñado para impedir el daño a las vainas de combustible, en el caso de que el núcleo se quede sin refrigerante debido a grandes roturas; como parte del ECCS, el LPCS debe proporcionar adecuada refrigeración al núcleo para todo el espectro de pérdida de refrigerante. Para accidentes con pequeña pérdida de refrigerante el LPCS cumple su objetivo en combinación con el ADS. El sistema aspira el agua de la cámara de supresión y la descarga en la parte superior de la envoltura del núcleo a través de dos anillos con rociadores. Proporciona un caudal de 318 l/s a una presión de 19 bares.

Sistema de inyección de refrigerante a baja presión (LPCI):

Dispone de tres subsistemas independientes que utilizan las tres bombas centrífugas del RHR, para llevar el agua de la cámara de supresión a la vasija del reactor. Dos de los tres circuitos tienen un intercambiador de calor refrigerado por agua de servicios esenciales que garantiza la refrigeración del reactor a largo plazo. Las bombas principales del RHR se dimensionan adecuadamente para garantizar el caudal requerido durante la inyección de refrigeración a baja presión, y se ubican en una cota adecuada para asegurar una correcta altura de aspiración para todas las condiciones de funcionamiento. Este subsistema es capaz de reponer y mantener el nivel de agua en la vasija, de forma que se garantice la adecuada refrigeración del núcleo en caso de accidente con pérdida de refrigerante. Asimismo es capaz de reponer el inventario tras una despresurización automática en caso de una rotura pequeña. Ni el LPCI ni el resto de ECCS se aísla por señal automática de aislamiento de contención, garantizando la adecuada refrigeración del núcleo aun cuando la contención este aislada. Cada subsistema proporciona un caudal de 318 l/s a una presión de 1,7 bares.

Venteo

Como una medida para mejorar la capacidad de hacer frente a accidentes graves se instaló un sistema de venteo en las unidades de la central nuclear Fukushima Daiichi en la década de 1990, tras una decisión reguladora. El propósito del sistema de venteo de la contención es aliviar la sobrepresión de la contención primaria.

Para efectuar un venteo, es necesario abrir un determinado número de válvulas para permitir que el vapor encuentre un camino mediante el cual pueda salir al exterior. Aunque la mejor ruta de venteo es desde la cámara de supresión, con el fin de beneficiarse de la eliminación de los radioisótopos de la piscina de agua, la ruta de salida incluye un desvío por el pozo seco para permitir rechazar energías más altas de la contención para proteger su integridad de manera oportuna.

En la central nuclear de Fukushima Daiichi, la línea de ventilación también contenía un disco de ruptura que estaba preparado para estallar cuando la presión de la contención superase una presión preestablecida, impidiendo la ventilación prematura. La filosofía subyacente en Japón era no ventear hasta que fuese inevitable y como último recurso para mantener la integridad de la contención primaria con el fin de retrasar o impedir la liberación directa de material radiactivo al medio ambiente. Como descubriremos en las próximas unidades, esta filosofía es distinta en las centrales nucleares de otros países.

Confinamiento de las sustancias radiactivas

Los sistemas de contención están diseñados para prevenir la liberación de material radiactivo en el medio ambiente.

A fin de compensar fallos técnicos, mecánicos o errores humanos, se utiliza el concepto de Defensa en Profundidad, que consiste en incorporar barreras sucesivas de aislamiento del material radiactivo, lo cual se conoce como protección multibarrera a fin de prevenir el escape incontrolado de materiales radiactivos al exterior.

La defensa en profundidad consiste fundamentalmente en la combinación de una serie de niveles de protección, consecutivos e independientes, que previenen de la liberación de material radiactivo al ambiente. Si fallara un nivel de protección o una barrera se debe garantizar que el nivel o barrera siguiente cumplirá con su función. La defensa en profundidad garantiza que ningún fallo técnico, humano o de organización pueda, por sí solo dar lugar a efectos perjudiciales, y que las combinaciones de fallos que pudieran causar efectos perjudiciales importantes sean sumamente improbables. La eficacia independiente de los diferentes niveles de defensa es un elemento central de la defensa en profundidad.

De esta forma cualquier fallo aislado o incluso fallos combinados en un nivel de defensa dado, no se propagaría ni pondría en peligro la defensa en profundidad de los niveles consecutivos.

Los materiales potencialmente peligrosos son confinados mediante múltiples barreras herméticas, de manera que es altamente improbable que escapen al exterior. Si una barrera se rompe, actuará la siguiente y así sucederá con las diversas barreras existentes en caso de fallos sucesivos.

Podemos ver estas barreras en la figura 9. Son las siguientes:

1. El propio combustible nuclear:

Está diseñado para alojar en la propia pastilla algunos de los productos radiactivos que se generan por las reacciones de fisión. Las pastillas de combustible son cerámicas y capaces de soportar unos 2800 ºC.

2. El revestimiento del combustible:

Está diseñado para proteger al combustible de la corrosión que desparramaría el material del combustible a través de todo el circuito de refrigeración del reactor. En la mayor parte de los reactores toma la forma de una capa de sello metálica o de cerámica. También sirve para atrapar los productos de la fisión, especialmente los que son gaseosos a las temperaturas que se alcanzan el interior del reactor, tales como el kriptón, xenón y el yodo. El revestimiento no constituye un escudo de protección, ya que debe ser diseñado para absorber tan poca radiación como sea posible. Por esta razón, se usan materiales tales como el magnesio y el zirconio debido a sus bajas secciones transversales para la captura de neutrones.

3. Recipiente del reactor:

Es la primera capa de protección alrededor del combustible nuclear y usualmente está diseñada para atrapar la mayor parte de la radiación liberada durante la reacción nuclear. El recipiente del reactor también está diseñado para resistir altas presiones.

La barrera de presión del circuito primario, compuesta de la vasija y sus conexiones aislables, mantiene confinados los productos radiactivos en caso de que se rompan las vainas de los elementos combustibles.

4. El Edificio de Contención:

Incluye generalmente un recubrimiento metálico que asegura la hermeticidad y un blindaje de hormigón para detener las radiaciones, evitar fugas y proteger frente a impactos provenientes del exterior. Evita que los productos radiactivos, mayoritariamente gases o elementos volátiles, escapen al exterior en caso de un accidente en que todas las barreras anteriores fallaran. La central de Chernobyl carecía de este elemento. Por el contrario, en el caso de la central Three mile island, el Edificio de Contención evitó que se produjeran consecuencias radiológicas de importancia en el exterior de la central.

Durante el funcionamiento normal, la contención está sellada y el acceso se realiza a través de compuertas similares a los usados en los buques. La temperatura del aire y la radiación del núcleo limitan el tiempo que las personas pueden permanecer dentro de la contención cuando la planta está funcionando a plena potencia. La contención está diseñada para aislar y contener completamente una fusión del núcleo, situándose en el peor caso posible denominado accidente base de diseño. Aunque existen sistemas redundantes que previenen una posible fusión, se asume por principio que este pudiera suceder, condicionando las características de la contención.

En los reactores de agua en ebullición, la contención y el escudo se construyen muy cerca de la vasija del reactor. La pared del edificio del reactor forma una contención secundaria durante las operaciones de recarga de combustible.

La primera generación BWR (llamada BWR/1) utilizaba una gran variedad de configuraciones de contención y ninguna sigue funcionando hoy en día. Los modelos BWR/2 y BWR/3 usan la contención MARK I. La mayoría de BWR/4 tienen la MARK I y algunos la Mark II. Todos los BWR/5 tienen una contención tipo Mark II, y todos los BWR/6 tienen una contención Mark III.

En la figura 10 podemos ver el esquema de los 3 tipos de contención mencionados.

La diseño del sistema de contención Mark I es el que más gravemente se vió afectado en el accidente de Fukushima Daiichi. Es importante tener en cuenta que el sistema de contención es no sólo una frontera física, sino también una serie de sistemas y componentes que se diseñan para prevenir la diseminación de la radiactividad.

5. Contención secundaria:

Algunas centrales tienen un sistema de contención secundario que abarca al sistema primario. Esto es muy común en los BWR ya que la mayor parte de los sistemas de vapor, incluyendo la turbina, contienen materiales radiactivos.

Sistemas eléctricos de emergencia

Bajo condiciones normales, las centrales de energía nuclear reciben energía eléctrica desde fuentes externas. Para evitar que, ante posibles pérdidas de las alimentaciones convencionales, los sistemas protectivos queden inoperativos, pudiéndose así garantizar la extracción del calor residual del núcleo, se dispone de alimentaciones eléctricas diversas desde el exterior y generadores diésel de emergencia.