18.6.2 Possibile evoluzione nei metodi di valutazione della sicurezza (errori e limiti nelle valutazioni di probabilità) e nei criteri di sicurezza
La probabilità di un evento raro può essere stata erroneamente sottovalutata per mancanza di informazioni. Inoltre, anche se la probabilità di un evento raro è valutata correttamente, e il tempo di ritorno dell’evento è lungo (ad esempio, 1000 anni per una probabilità di una volta su 1000 anni), di solito la maggior parte delle persone pensa che in ogni caso passerà molto tempo prima che l’evento si verifichi. Esiste una sorta di fenomeno psicologico, che potrebbe essere chiamato “illusione del miraggio inverso” (ciò che può essere molto vicino viene percepito come molto lontano), per cui gli eventi con tempi di ritorno molto lunghi vengono percepiti come situati in un futuro lontano. In realtà, la definizione di probabilità (rapporto tra un tipo di evento e il totale degli eventi possibili di qualsiasi tipo) non include alcun riferimento alla distanza nel tempo futuro dell’evento di cui si calcola la probabilità e la probabilità valutata, ancora, è sempre una probabilità media su molti tempi di ritorno (Moroney, 1951). Solo in un intervallo di tempo molto lungo rispetto al tempo di ritorno valutato, l’intervallo tra due eventi successivi tenderà ad essere “in media” vicino al tempo di ritorno valutato. Ciò significa che un evento che ha un tempo di ritorno di 1000 anni può accadere anche l’anno prossimo. Qualcosa del genere deve essere successo per lo tsunami di Fukushima.
Similmente, è noto che nel gioco “testa o croce” può accadere una serie, per esempio, di code invece di una regolare alternanza di “teste” e di “code”.
Il tempo di ritorno valutato di eventi rari è un valore “medio” in tempi molto lunghi. Al contrario, il momento in cui l’evento accadrà è un prodotto del caso o della cattiva/buona sorte. Gli eventi casuali, il prodotto del caso, sono definiti da molti esperti come quegli eventi di cui non conosciamo le basi. Naturalmente, secondo questa linea di pensiero, esistono delle cause perché un evento raro accada prima o poi, ma queste cause spesso non sono note.
Se si guarda all’azione di scegliere una moneta in una scatola di monete, si può considerare che, per un’estrazione alla cieca di una moneta, il risultato “testa o coda” sarà casuale. Tuttavia, se si conoscono le condizioni iniziali dell’operazione (ad esempio, la posizione delle monete e la posizione della mano), insieme alla velocità e alla direzione del movimento della mano e alle regole seguite per prelevare la moneta dalla scatola (ad esempio, la prima moneta toccata dalla mano viene prelevata senza girarla), si potrebbe valutare con precisione l’esito dell’estrazione. Il fatto è che nell’operazione appena descritta, nella maggior parte dei casi tutti questi dati non sono noti e il risultato deve essere considerato “casuale” a causa della nostra ignoranza. Il “caso” è il grande fattore misterioso degli eventi futuri, insieme alla loro probabilità.
Il filosofo inglese John Locke diceva che gli uomini non prendono le loro decisioni al sole della piena conoscenza, ma nel crepuscolo della probabilità. La presenza del Caso è la causa di questa convinzione.
Tuttavia, nel cercare di capire se un evento raro può accadere in un tempo prossimo, bisogna cercare e monitorare la presenza di ogni indicazione disponibile di un imminente evento distruttivo. In questa ricerca è molto importante l’intervallo di tempo a cui si applica la parola “imminente”. Per esempio, può essere possibile fare una previsione per un periodo futuro di molti anni (periodo di interesse per la progettazione di impianti nucleari) e, al contrario, può non essere possibile fare una previsione per un periodo futuro di giorni (come è di interesse per l’evacuazione preventiva della popolazione). In questo senso, la domanda corretta deve essere posta agli esperti dei fenomeni di interesse, cioè con la corretta specificazione del periodo di interesse nel futuro. Il problema è anche che se le indicazioni di cui sopra sono disponibili, spesso non si crede in esse o nella loro gravità (vedi il caso Vajont, come esempio).
Un’altra possibile insidia nell’uso pratico delle valutazioni di probabilità è descritta in una recente pubblicazione di Nassim Nicholas Taleb, “The Black Swan” (Taleb, 2007). Un Cigno Nero è, in breve, un evento isolato di grande impatto che non è incluso nel regno delle normali aspettative, perché nulla nel passato può indicare, con un buon grado di plausibilità, la sua possibilità di accadere. Il nome “Cigno Nero” è stato scelto perché, prima della scoperta dell’Australia, gli abitanti del Vecchio Mondo erano convinti che tutti i cigni fossero bianchi. Il Prof. Taleb indica, inoltre, l’esistenza, nel mondo delle possibilità, di due province: il Mediocristano e l’Estremistan. Il Mediocristano è la provincia dominata da eventi mediocri, dove nessun singolo evento può avere un impatto significativo sull’insieme. La curva di distribuzione delle probabilità a forma di campana di Gauss ha il suo fondamento nel Mediocristano. L’Extremistan, al contrario, è il regno dei Cigni Neri. La Fig. 18.1 cerca di mostrare in un’immagine un esempio dei due tipi di eventi (intensità degli eventi diversa di un fattore 100, LOG(100)=2).
Le densità massime di probabilità delle due province sono arbitrarie. La variabile potrebbe essere l’intensità di un evento naturale dannoso o di un evento di crisi finanziaria (il Prof. Taleb descrive vari casi di questo tipo poiché la sua principale specializzazione è la finanza). Le probabilità integrali approssimative (1 e 5e-11) delle due classi di eventi sono mostrate nella figura.
Uno degli usi impropri più comuni delle distribuzioni di probabilità è quello di trascurare la presenza di eventi Extremistan oltre agli eventi distribuiti in modo più o meno regolare, come lungo una curva di densità di probabilità gaussiana o simile.
Esempi di eventi inizialmente (almeno parzialmente) trascurati nel campo della sicurezza nucleare sono quelli elencati all’inizio della Sezione 18.6.1.
Provando a immaginare possibili eventi catastrofici futuri di probabilità molto bassa ma comunque possibili, si potrebbero indicare come esempi i seguenti casi:
–
Un altro tsunami distruttivo. Questo fenomeno è particolarmente pericoloso perché può iniziare non solo da un terremoto di grande magnitudo, ma anche da una frana sottomarina o costiera o da un’eruzione vulcanica sottomarina o un’esplosione sottomarina di altra origine e perché si propaga con intensità dannosa per centinaia di chilometri o più.
–
Un incidente aereo volontario o accidentale su un impianto
–
Un sabotaggio dei sistemi di protezione del reattore
–
Un’esplosione di un recipiente in pressione del reattore o di un altro grande recipiente dell’impianto
–
Escursione di reattività dovuta a una spina non borata in un PWR durante una LOCA (possibilità ben nota, per alcuni PWR, agli specialisti di termoidraulica)
–
Evento di tornado distruttivo su impianti significativi per la sicurezza come il New Safety Confinement (Shelter) del Sarcofago di Chernobyl 4; la struttura così come è stata descritta pubblicamente anni fa (Nuclear News, 2011 e comunicazioni successive) è, sì, una meraviglia dell’ingegneria per dimensioni e costruzione “leggera” (29.000 t su una superficie in pianta di 42.000 m2), ma è progettata, per quanto si sa, per un tornado piuttosto piccolo, mentre, nella regione geografica di interesse, sono già avvenuti tornado di intensità superiore (Petrangeli, 2011). Tuttavia, può darsi che in tempi recenti sia stato rinforzato l’ancoraggio della struttura al suolo e sia stato installato un migliore sistema di ventilazione dell’interno dello Shelter.
In questa sezione, per Cigni Neri si intendono tutti gli eventi “praticamente impossibili”, ma “fisicamente possibili”, anche sulla base dell’esperienza passata. Questi eventi cadono, come per esempio l’evento Fukushima, al di fuori del campo di protezione degli attuali cinque livelli di Defense in Depth. Devono essere adottate disposizioni molto eccezionali se si cerca di eliminare ulteriormente la possibilità che tali eventi si ripetano. Se diciamo che un evento è “praticamente impossibile” non possiamo non tenerne conto in questo tentativo.
Il primo requisito che sembra necessario è che, una volta che uno di questi eventi sia accaduto o scoperto nella storia passata, si prendano misure su tutti gli altri impianti esposti per resistere ad esso. Si deve creare un “sesto livello” di Defense in Depth per far fronte a questi eventi?
Le idee per la definizione di questo “sesto livello” sono le seguenti:
–
Cercare di scoprire i fenomeni precursori che annunciano un disastro imminente e tenerli sotto osservazione (ma questo metodo non è di solito abbastanza preciso per quanto riguarda l’identificazione del tempo entro il quale il fenomeno si verificherà);
–
Eseguire un sistema di allarme che possa rilevare il fenomeno naturale e non naturale già iniziato (es, tsunami, terremoto, voli aerei sospetti) e dare un po’ di tempo (tipicamente da pochi minuti a 30 minuti) per mettere l’impianto in condizioni di sicurezza (se possibile, date le sue caratteristiche di progettazione);
–
Progettare l’impianto contro il “massimo evento possibile” la cui magnitudo può essere generalmente meglio definita della distanza dell’evento nel tempo futuro rispetto al presente (per esempio, il massimo terremoto possibile può essere identificato dalla storia passata e dalle caratteristiche tettoniche della regione). Il 10CFR Part 100, ora rivisto nel 2017 (criteri di ubicazione sismica e geologica per le centrali nucleari) è stato il primo insieme di criteri che ha adottato questa posizione. Il terremoto massimo assoluto nel mondo è generalmente accettato per avere una Magnitudo Richter di 8,5-9; per la zona de L’Aquila, Italia, il terremoto massimo possibile potrebbe essere dell’ordine di M=7. Naturalmente, il costo può essere alto. Tuttavia, i siti per le centrali nucleari sono di solito scelti in luoghi a bassa sismicità (ad es, Appendice 16).
La scelta di utilizzare per la progettazione dell’impianto il massimo evento possibile, invece di un evento di probabilità stimata inferiore a una certa cifra, potrebbe essere estesa ad altri eventi potenzialmente dannosi come le inondazioni.
Nella formulazione di nuovi requisiti, tuttavia, occorre ricordare che, sulla base dell’esperienza passata, talvolta è evidente nel comportamento di alcuni investitori una prevalente avversione alle perdite di investimento e alle spese di ripristino, anche in presenza di chiare indicazioni di un’imminente catastrofe naturale o legata alle macchine. Questo è stato evidente, per esempio, nel caso Vajont (precedente lento movimento di scorrimento misurato nel Monte Toc che alla fine si è sviluppato in un rapido disastro) e nel caso Fukushima (precedenti tsunami nell’Oceano Indiano).
Una possibilità da discutere è quella di creare per ogni impianto nucleare o per un gruppo di essi un fondo speciale per modifiche periodiche di impianti o procedure come conseguenza dei cigni neri in un impianto. Inoltre, sempre come esempio da discutere, questo fondo potrebbe essere creato risparmiando uno o due giorni di funzionamento per ogni anno di funzionamento. I numeri sopra utilizzati tengono conto dell’osservazione che un Cigno Nero (elenco nella sezione 18.6.1) può essere assunto, sulla base dell’esperienza, per avere luogo circa una volta ogni 10 anni (Gianni Petrangeli, 2013) e che le modifiche di miglioramento su un impianto possono richiedere una spesa di decine di milioni di euro o equivalente. Questa proposta significa una sorta di “auto-assicurazione”. Nuovi requisiti incondizionati e un cambio di mentalità sono, in ogni caso, necessari.
Di seguito sono citati alcuni esempi di disposizioni molto eccezionali eventualmente necessarie. Altre e migliori disposizioni possono essere sviluppate.
Sono consapevole che questi esempi possono essere considerati eccessivi e anche controproducenti da qualcuno. Soluzioni migliori certamente esistono, ma la mia esperienza suggerisce che le nuove buone idee, specialmente se costose, richiedono tempo (10-20 anni) per riemergere dopo un iniziale abbandono (spero che questo non sia il caso in questo momento). Di solito vengono incorporate in nuovi progetti di impianti. In effetti, un detto corrente nell’industria è che “Ogni buon nuovo requisito è accettabile a meno che non cambi l’attuale progetto stabilito” (intervento sentito in un congresso internazionale). Questa posizione è comprensibile, a meno che un eccezionale miglioramento del livello di sicurezza sia richiesto dall’evidenza disponibile, come, credo, nel momento attuale.
Il primo esempio è una creazione, anche in un impianto esistente o in un impianto in costruzione, di una nuova protezione contro l’incidente aereo, altri impatti, inondazioni, o perdita di altra potenza elettrica di emergenza. Questa proposta di discussione è abbozzata nella Fig. 18.2 ed è trattata più compiutamente in (Petrangeli, 2013).
Questa protezione aggiuntiva consiste in un cilindro di cemento armato o precompresso che circonda le parti essenziali di sicurezza di un impianto. Come protezione contro uno tsunami distruttivo, il cilindro potrebbe essere alto 20-50 m (vedi la Guida SSG-18 dell’AIEA, che raccomanda un’elevazione dell’onda di riferimento sul livello normale del mare di 50 m, in assenza di prove prevalenti di sicurezza). La Fig. 18.2 mostra un cilindro alto 120 m (quanto un alto camino di una centrale nucleare o a combustibile fossile) che funge anche da protezione contro l’impatto di un aereo (se gli edifici della centrale fossero più incassati nel terreno, l’altezza del cilindro potrebbe essere inferiore a 120 m). Si suppone che l’aereo che impatta tocchi l’impianto con un angolo massimo con l’orizzonte di 30 gradi (più dell’angolo eccezionale di circa 24 gradi raggiunto dall’aereo che ha colpito l’edificio del Pentagono nel 2001) (Ritter, 2002) e molto di più del solito angolo di atterraggio di 3 gradi.
La parte superiore del cilindro è coperta da una griglia di cavi d’acciaio e da una rete più sottile, per offrire protezione contro una varietà di proiettili pensabili (droni, ecc.).
Nella parte superiore del cilindro, si trova un serbatoio anulare segmentato resistente all’impatto: può fornire acqua di raffreddamento al nucleo, in caso di incidente, per più di 4 giorni usando come forza motrice la pressione idrostatica dovuta all’altezza (sistema passivo).
Il volume del cilindro alto 120 m è di circa 120.000 m2, costando più di 15 milioni di euro.
Sono necessarie paratie mobili impermeabili nella parete del cilindro per il movimento dei componenti dentro e fuori il cilindro. Si stima che la superficie esterna del cilindro, se coperta da celle solari, potrebbe fornire diversi Mw di energia elettrica alla luce del giorno. Altri sistemi ausiliari saranno necessari (accumulatori di energia, ecc.).
La forma in pianta del cilindro può non essere circolare per adattare la struttura ad altri edifici di impianti non essenziali per la sicurezza.
Se si adottasse una soluzione come quella illustrata, le caratteristiche di protezione antiaerea dell’impianto attualmente adottate (mostrate nella Fig. 18.2) potrebbero essere semplificate per impianti in fase di progettazione con vantaggio conomico. Se si utilizzasse, poi, un contenimento in acciaio, anche il raffreddamento del contenimento potrebbe essere più semplice.
Questa soluzione, proposta come esempio, può, ancora una volta, sembrare eccessiva, come sembravano a molti ingegneri di buon senso i primi contenimenti a tenuta stagna-resistenti alla pressione degli anni ’60. L’opinione di questi, però, cambiò radicalmente dopo Three Mile Island.
Altri esempi di soluzioni sono elencati in (Petrangeli, 2013): impianti costruiti sopra un terrapieno (contro lo tsunami) e sistemi di raffreddamento passivo di emergenza (contro la perdita dei consueti sistemi di raffreddamento attivo di emergenza).
I codici di fluidodinamica computerizzata ora disponibili possono aiutare a simulare con buona precisione l’incedere dell’onda dello tsunami su una data situazione terreno-impianto (es, l’effetto di un terrapieno come posizione elevata dell’impianto rispetto al terreno circostante).
Per quanto riguarda l’efficacia generale delle valutazioni di probabilità nell’analisi di sicurezza nucleare, bisogna ricordare il fatto ben noto che queste valutazioni sono essenziali nell’individuazione, in sistemi complessi, di parti o fenomeni di importanza cruciale. Per esempio, è noto che una valutazione di probabilità di un impianto di solito indica che i sistemi di condizionamento delle sale macchine sono cruciali per il funzionamento di diversi sistemi di sicurezza e, quindi, il loro corretto funzionamento deve essere assicurato con un’alta probabilità con i mezzi usuali di livello di qualità, ridondanza e diversificazione (vedi anche Sezione 11.3).
Inoltre, alla luce della discussione precedente, una bassa probabilità di eventi intollerabili può essere considerata una condizione necessaria ma non sufficiente per la protezione contro tali eventi.