Барьеры и меры

Как обеспечивается безопасность АЭС: вчера, сегодня, завтра

ЦАИР в 2024 году подготовил отчет, систематизирующий информацию о подходах к обеспечению безопасности отечественных и зарубежных проектов АЭС большой мощности и содержащий классификацию поколений АЭС[1], отталкиваясь от данных подходов. В отчете подробно рассмотрены построение активных и пассивных систем безопасности отечественных и зарубежных проектов АЭС большой мощности поколений III и III+ и их функционирование в условиях проектных и запроектных аварий. Отчет также содержит описание преимуществ и недостатков концепций удержания расплава в корпусе при тяжелой аварии и применения ловушек расплава. Рассмотрен переход к концепции внутренне присущей безопасности в проектах поколения IV.

Безопасность людей и окружающей среды является наивысшим приоритетом для госкорпорации «Росатом». Первая в мире атомная электростанция — Обнинская АЭС — заработала более 70 лет назад. Атомная энергетика с тех пор прошла огромный путь: сейчас «Росатом» эксплуатирует и строит энергоблоки с реакторными установками ВВЭР поколения III+, в которых реализованы самые современные подходы к обеспечению безопасности, основанные на принципе глубокоэшелонированной защиты. Одновременно наши зарубежные партнеры заявляют о причислении своих проектов к поколению III+, но оправданно ли это? И какие характеристики проекта могут служить признаками принадлежности к поколению III+? Заглядывая за горизонт достигнутого, атомщики ведут активную работу по созданию ядерных энергетических систем следующего поколения, в которых подход к вопросам безопасности выводится на новый уровень.

Вероятность — одна миллионная

Принципы обеспечения безопасности АЭС для защиты людей и окружающей среды от радиологической опасности сформулированы в документах МАГАТЭ. В основе безопасности АЭС лежит принцип глубокоэшелонированной защиты. Его реализация заключается в применении системы барьеров на пути распространения излучения и радиоактивных веществ, а также технических и организационных мер для сохранности этих барьеров. Если барьеры нарушены — принимаются меры по защите персонала и окружающей среды. Физических барьеров четыре: сама топливная матрица (прочная таблетка топлива), оболочка твэла, граница контура теплоносителя реактора, герметичное ограждение.

Принцип глубокоэшелонированной защиты распространяется и на деятельность человека. Система технических и организационных мер образует пять уровней. Первый — качественно выполненный проект АЭС, контроль качества производства и монтажа, квалификация всех причастных к созданию и эксплуатации. Второй — обеспечение готовности оборудования и систем станции, важных для ее безопасности. Третий — инженерные системы безопасности, которые не дают перерасти отклонениям в проектные и запроектные аварии. Четвертый — отработка мероприятий по управлению ходом развития запроектных аварий. Наконец, если все-таки неблагоприятный сценарий реализовался, то пятый уровень защиты — противоаварийные меры вне площадки АЭС.

И еще немного базовой информации. Основные характеристики безопасности АЭС, принятые в мире, — это частота повреждения активной зоны и вероятность большого выброса радиоактивности. Целевым показателем для действующих АЭС является вероятность серьезного повреждения активной зоны ниже 1/10 000 на год эксплуатации блока. Вероятность большого выброса должна быть еще в 10 раз ниже. Задачей при эксплуатации будущих АЭС видится практическое исключение аварий с большим ранним (таким, что нет времени принять меры по защите населения) выбросом радиоактивности. В качестве цели по безопасности в большинстве стран в соответствии с рекомендациями МАГАТЭ для новых блоков АЭС устанавливается вероятность большого выброса 1/1 000 000 на блок в год. Финский регулятор STUK устанавливает допустимую вероятность большого выброса в размере 1/2 000 000 на реактор в год. И наконец, в России целевой ориентир для показателя вероятности большого выброса составляет 1/10 000 000 на реактор в год.

Зарезервировано. Многократно

Общим принципом построения систем безопасности является обеспечение их высокой надежности. Она достигается за счет использования отказоустойчивых решений (чтобы система управления не «падала» в результате нештатного события или их сочетаний в основном оборудовании). Кроме того, обеспечивается независимость систем безопасности от технологических систем станции. Выполнение системой заданных функций при любом исходном событии, требующем ее работы, и независимом единичном отказе обеспечивается через резервирование — использование двух или более идентичных по структуре независимых каналов — так, чтобы отказ одного канала не приводил к отказу других, а способность выполнить функцию для всей системы сохранялась бы. Например, у системы аварийного охлаждения ВВЭР-1000 (В-320) три канала — и любого достаточно для преодоления проектных аварий.

Снижение вероятности отказов резервированных систем и их каналов по общей причине достигается за счет физического разделения систем (расстояние, прочные и противопожарные барьеры и т. д.) и применения разнотипных (то есть выполняющих одни функции, но разных по принципу действия) систем и оборудования. Например, насос питательной воды парогенератора может иметь электрический и турбинный привод. Арматура может иметь ручной, электрический и пневматический привод: при больших неприятностях, вроде полного обесточивания блока, можно перекрыть задвижку традиционно, грубой физической силой. Поэтому заметим без всякой иронии, что сдача норм ГТО для сотрудников атомной отрасли и в целом спортивный образ жизни — не просто активность.

Из поколения в поколение

Энергетические реакторы первого поколения разрабатывались в 50–60-х годах прошлого века. В нашей стране к реакторам этого поколения относят установки проектов ВВЭР-210, ВВЭР-365 (блоки № 1 и 2 Нововоронежской АЭС) и ВВЭР-440 проектов В-179 и В-230 (блоки № 3 и 4 Нововоронежской и блоки № 1 и 2 Кольской АЭС), реакторы АМБ Белоярской, все четыре ЭГП-6 Билибинской АЭС и первые РБМК-1000 (блоки № 1 и 2 Ленинградской, № 1 и 2 Курской АЭС).

В обоснование безопасности реакторов поколения I закладывалось условие невозможности крупного нарушения герметичности первого контура, которое могло бы привести к существенному ухудшению охлаждения активной зоны. Требования к системам локализации аварии ограничивались, а обеспечение безопасности опиралось на предотвращение исходных событий — качество конструирования, изготовления и монтажа оборудования и повышенные требования к эксплуатации. Известно, что этот подход не выдержал испытаний временем, и большие аварии (Три-Майл-Айленд и Чернобыль) показали, чем реальность отличается от идеальных задумок. Каждая из аварий создавала огромную мотивацию для развития систем безопасности, но развитие шло и эволюционным путем.

Условно можно обозначить поколение II как установки, построенные до конца 1990-х годов. В нашей стране это более совершенные ВВЭР-440 (проект В-213), ВВЭР-1000 (проект В-320) и РБМК второй очереди. Три разрушенных реактора на АЭС «Фукусима-1» (BWR-3, 4) относились именно к поколению II. В установках поколения II предусмотрены технические меры, обеспечивающие безопасность при «максимальной проектной аварии» (МПА) — мгновенном разрыве главного циркуляционного трубопровода. Оборудование, трубопроводы и системы первого контура стали размещать внутри защитной герметичной оболочки (контейнмента), рассчитанной и на внутренние, и на внешние нагрузки (ветровые, сейсмические и т. д.). Проектный срок службы проектов АЭС поколения II — 30–40 лет, мощность энергоблока — до 1 ГВт (э), частота перегрузки топлива — раз в год. Что касается безопасности, частота повреждения активной зоны рассчитывалась как 1/10 000 для реактора в год; большого выброса — 1/100 000. Но системы безопасности были спроектированы лишь для преодоления заданного набора проектных аварий. Появились первые пассивные системы безопасности — чаще всего гидроемкости САОЗ. Для преодоления тяжелых аварий специальных систем не предусматривалось.

Ядерные реакторы третьего поколения появились в результате эволюции поколения II. Характерными чертами этих реакторов стали более высокая топливная эффективность, улучшенный тепловой КПД, стандартизация конструкции для снижения капитальных затрат и затрат на техническое обслуживание. Были достигнуты более высокие экономические характеристики: мощность до 1700 МВт (э); КИУМ до 95%; возможность маневрирования мощностью; проектный срок службы — 60 лет. Выгорание топлива увеличено до 60–70 МВт сут/тU, топливная кампания могла достигать 18 месяцев.

Важной особенностью реакторов поколения III является значительное усовершенствование систем безопасности, разработанных с учетом опыта тяжелых аварий. Частота повреждения активной зоны определялась как меньше 1/100 000; частота большого выброса — менее 1/1 000 000 для реактора в год. Блоки третьего поколения повысили устойчивость к единичному отказу или ошибке оператора (резервирование стали применять шире). Возросла устойчивость к сейсмическим воздействиям. Появились системы безопасности для преодоления тяжелых аварий.

Также в третьем поколении получили развитие, хотя и ограниченное, пассивные системы безопасности. Это системы, функционирование которых связано только с вызвавшим ее работу событием и не зависит от других, например сигнала АСУ, электроприводов (то есть электроснабжения в целом). Пассивные системы безопасности приводятся в действие естественными силами или явлениями, такими как гравитация, перепад давления, тепловая конвекция, инерция. Но их применение, например, для аварийного охлаждения реактора в поколении III (до III+) было ограниченным. Безопасность в значительной степени зависела от внешних приводных устройств (электроприводов, получающих питание от дизель-генераторов).

Именно широкое применение пассивных систем безопасности отличает проекты поколения III+, эти системы рассчитаны на обеспечение критических функций безопасности (КФБ) до 72 часов. Кроме того, проекты поколения III+ содержат конструктивные особенности, позволяющие смягчить последствия аварии с расплавлением активной зоны — либо путем затопления водой шахты реактора для внешнего охлаждения корпуса реактора, либо путем установки устройства, обычно называемого ловушкой расплава, с целью исключения больших выбросов радиоактивности. Также для проектов поколения III+ характерно применение двойной защитной оболочки. Из всех проектов, претендующих на звание III+, пожалуй, только ВВЭР-1200, ВВЭР-ТОИ и китайский «Хуалун-1» имеют в наличии все перечисленные опции (у проекта AP1000, например, отсутствует двойная защитная оболочка). Время обеспечения КФБ на пассивных принципах является предметом анализа, о чем пойдет речь ниже.

Первым действующим реактором поколения III+ является шестой энергоблок Нововоронежской АЭС (ВВЭР-1200).

Найти баланс

Успешное преодоление аварийной ситуации на АЭС зависит от обеспечения сохранности физических барьеров, препятствующих выходу радиоактивных продуктов деления из активной зоны реактора в окружающую среду. Для этого необходимо обеспечить выполнение КФБ: контроль реактивности, отвод тепла, локализацию продуктов деления. Обычно исходят из того, что подкритичность реактора обеспечивается надежной системой аварийной защиты, и основное внимание уделяют отводу тепла от активной зоны и локализации продуктов деления. Различные сценарии протекания аварий, в ходе которых могут не обеспечиваться необходимые условия отвода тепла от активной зоны, предъявляют различные требования к набору систем безопасности, необходимых для успешного преодоления аварийной ситуации, вызванной тем или иным исходным событием.

Развитие самого драматичного сценария зависит от возможности удержания расплава (кориума) в корпусе реактора. Опыт аварии на АЭС «Три-Майл-Айленд» показал, что при тяжелой аварии это возможно. Но там было лишь частичное расплавление активной зоны, только часть расплава собралась на днище корпуса реактора и в конце концов затвердела на нем. Для недопущения большого или раннего выброса продуктов деления в окружающую среду при тяжелой аварии в современных АЭС реализуются решения, обеспечивающие сохранение третьего (корпус реактора) и четвертого (контейнмент) физических барьеров безопасности. Это означает, что если удержать расплав активной зоны (кориум) в корпусе реактора при тяжелой аварии не получилось, то необходимо локализовать его в пределах контейнмента. Это и недопущение проплавления бетонного основания контейнмента за счет внедрения устройства локализации расплава (УЛР), и меры взрывобезопасности, предотвращения парового взрыва, взрыва водорода.

Удержание разрушенной активной зоны внутри корпуса реактора в случае тяжелой аварии предполагается осуществлять путем его наружного охлаждения. Предварительными условиями являются низкое давление внутри корпуса реактора, что обеспечивается за счет управления аварией; заполнение шахты реактора достаточным количеством воды и создание контура естественной циркуляции потока охлаждающей воды (эти две меры обеспечиваются конструкцией шахты реактора). Но надо учитывать коварство расплава: он разделяется на фракции — тяжелую, оксидную (соединения с кислородом урана и циркония), и легкую, металлическую (сталь и неокисленный цирконий), что приводит к концентрации тепловых нагрузок. Тогда максимум теплового потока придется на границу фракций, и тепловая нагрузка на стенки корпуса в этом месте может быть в 1,5 раза выше. Этот эффект называют фокусировкой теплового потока металлическим слоем.

Если малые и средние реакторы в этом и других случаях еще можно охладить циркуляцией воды в шахте, то для больших установок гарантировать достаточность этих мер невозможно. Поэтому разработчики реакторных установок применяют ряд мер для обеспечения охлаждения корпуса водой. Но эти возможности не бесконечны, поэтому для проектов АЭС большой мощности не следует рассчитывать на целостность корпуса реактора, и нужны устройства локализации расплава. УЛР предусмотрены в проектах современных АЭС с ВВЭР (АЭС-2006, ВВЭР-1000 (В-312, В-412, В-428)), а также в проекте EPR-1600 и в европейском варианте корейского проекта APR1400 (EU-APR).

Но концепции ловушек в АЭС-2006 и в EPR-1600 принципиально различаются. В АЭС-2006 УЛР расположено в подреакторном пространстве и представляет собой конструкцию, заполненную жертвенным материалом. В целом эта схема уже многократно описана, а монтаж ловушки на каждом новом строящемся блоке — хороший повод опубликовать релиз с напоминанием о приоритете безопасности. Этой возможности лишены наши зарубежные партнеры: в EPR-1600 под реактором предусмотрено отдельное помещение (камера охлаждения кориума), куда кориум должен стекать через наклонный желоб и растекаться для лучшего охлаждения и предотвращения взаимодействия с бетонным основанием контейнмента. Пол этой камеры выложен чугунными плитами, они охлаждаются водой снизу, а сверху покрыты слоем жертвенного бетона. Сверху растекшийся кориум заливается водой. Но, чтобы все сработало правильно, кориум должен вытечь из корпуса реактора единовременно. Потому что если часть кориума придет в камеру, залитую водой, то может произойти паровой взрыв с разрушением контейнмента. Это накладывает существенное ограничение на сценарий протекания тяжелой аварии применительно к EPR-1600. Тем не менее наши партнеры сэкономили, отказавшись от внереакторных устройств локализации расплава, уменьшили номенклатуру требуемого оборудования, снизили затраты на транспортировку и монтаж и выиграли в высоте контейнмента несколько метров, необходимых для УЛР при нашем подходе. Отказ от УЛР сокращает капитальные затраты на возведение блока до 10% применительно к ВВЭР. Но хорошо ли это с учетом приоритета безопасности над экономикой?

Кроме того, фактически длительное обеспечение безопасности на пассивных принципах реализовано не во всех проектах, претендующих на «плюс» к своей «тройке». Например, в проектах EPR-1600 и APR1400 применение пассивных систем безопасности ограничивается пассивной частью САОЗ (гидроемкостями) и не обеспечивает достаточное время выполнения критических функций безопасности на пассивных принципах. Поэтому отнесение проектов EPR-1600 и APR1400 к проектам поколения III+ является спорным.

Другой пример — AP1000, в котором используются только пассивные системы безопасности с незначительным количеством активных элементов, служащих для инициирования срабатывания пассивных систем. Это существенно снижает вклад потери внешних источников энергоснабжения, включая полное обесточивание станции, в частоту повреждения активной зоны. Но авария на АЭС «Фукусима-1» продемонстрировала, что применение пассивных систем безопасности не является универсальным рецептом, поскольку протекание физических процессов, на которых основано функционирование таких систем, требует определенных условий — достаточного давления в корпусе реактора, отсутствия неконденсируемых газов, наличия достаточного запаса воды для длительного функционирования системы.

Время действия и эффективность пассивных систем в ряде случаев ограничивается запасом воды в резервуарах этих систем. В частности, в проекте АР1000 внешнее охлаждение герметичной оболочки из бака, установленного в ее верхней части, ограничено по времени (96 часов). За границей этого интервала времени требуется пополнение бака, что возможно только с помощью активных средств, которые в проекте не отнесены к средствам, важным для безопасности.

Поэтому оптимальным видится баланс активных и пассивных систем безопасности. Именно он характерен для современных ВВЭР-1200, где для обеспечения современного уровня безопасности использован принцип построения защитных систем, основанный на выполнении каждой основной функции безопасности и активными, и пассивными системами, функционирующими независимо друг от друга. Обеспечена возможность выполнения пассивными системами функции аварийного охлаждения активной зоны в течение длительного времени, а аварийный отвод тепла при герметичном первом контуре не ограничен по времени.

На твердую четверку

Блоки поколения III+ достигли впечатляющих результатов по надежности и безопасности, но и они не идеальны (поэтому и ловушки, поэтому и множество систем, и т. д.). Пути выхода из технологической парадигмы, возможности повышения безопасности в которой, по-видимому, близки к исчерпанию (при всем нашем уважении к ВВЭР и не меньшем — к его зарубежным собратьям), — в будущем развитии технологий поколения IV, которое связывается с внедрением систем, основанных на принципе внутренне присущей безопасности (минимальной зависимости от человеческого фактора), когда реакторная установка не сможет в принципе прийти к запроектной аварии «по внутренним причинам» — потому что она так устроена. Реакторы поколения IV смогут превзойти по безопасности и надежности установки предыдущих поколений за счет устранения или минимизации потенциальных угроз (запасенная энергия давления и температуры, горючесть, критичность, общее количество радиоактивных материалов и пр.). Ожидается также, что установки поколения IV будут иметь преимущество в стоимости жизненного цикла по сравнению с другими источниками энергии. И предполагается, они сведут к минимуму количество ядерных отходов. Впрочем, есть и свои индивидуальные сложности: «сверхкритический» ВВЭР будет иметь более высокое, чем в сегодняшних ВВЭР, давление в корпусе, что потребует дополнительных мер по обеспечению безопасности. Жидкосолевой реактор хорош во всех отношениях, но не имеет двух первых барьеров безопасности — ни топливной таблетки, ни оболочки твэла, и с этим тоже что-то надо будет делать.

Ряд установок поколения IV в России уже на разных стадиях создания — от проектирования до сооружения. По-видимому, кандидат на звание первого в мире коммерческого блока поколения IV большой мощности — это натриевый БН-1200М, который планируется реализовать на Белоярской АЭС. Быстрый реактор со свинцовым теплоносителем — это строящийся БРЕСТ-300, прототип, который позволит оценить и отработать соответствующую технологию. Исследовательский жидкосолевой реактор планируется построить на Горно-химическом комбинате для утилизации отходов, опять же с целью отработки технологии. Причем с этим первенцем ЖСР можно не беспокоиться об отсутствии таблеток и твэлов — дополнительным барьером безопасности послужит горная выработка, ранее надежно хранившая промышленный графитовый реактор.

И чтобы успеть в гонке за реактором четвертого поколения, стоит сконцентрироваться. Ведь первый ВТГР наши китайские коллеги уже создали — это модульный высокотемпературный газовый реактор HTR-PM (провинция Шаньдун, КНР). Он экспериментальный и малой мощности (210 МВт (э)), но уже работает.

1. Журавлев И.Б., Пономарев А.В. Сравнение подходов к обеспечению безопасности проектов АЭС поколений III и III+ / Госкорпорация «Росатом», ЧУ «Наука и инновации», ЦАИР. — М., 2024.