18.6.2 Possible Evolution in Safety Evaluation Methods (Mistakes and Limits in Probability Evaluations) and in Safety Criteria
Prawdopodobieństwo rzadkiego zdarzenia mogło zostać błędnie niedoszacowane z powodu braku informacji. Ponadto, nawet jeśli prawdopodobieństwo rzadkiego zdarzenia jest prawidłowo oszacowane, a czas powrotu zdarzenia jest długi (np. 1000 lat dla prawdopodobieństwa raz na 1000 lat), zazwyczaj większość ludzi myśli, że upłynie dużo czasu zanim zdarzenie wystąpi. Istnieje pewnego rodzaju zjawisko psychologiczne, które mo „na by nazwad „odwróconą iluzją mirażu” (to, co mo „e byd bardzo bliskie, jest postrzegane jako bardzo dalekie), przez które zdarzenia o bardzo długim czasie powrotu są postrzegane jako zlokalizowane w dalekiej przyszłości. W rzeczywistości definicja prawdopodobieństwa (stosunek pomiędzy danym typem zdarzenia a całością możliwych zdarzeń dowolnego typu) nie zawiera żadnego odniesienia do odległości w czasie przyszłym zdarzenia, którego prawdopodobieństwo jest obliczane, a oszacowane prawdopodobieństwo, ponownie, jest zawsze średnim prawdopodobieństwem z wielu czasów powrotu (Moroney, 1951). Tylko w przedziale czasu, który jest bardzo długi w odniesieniu do ocenianego czasu powrotu, przedział czasu pomiędzy dwoma kolejnymi zdarzeniami ma tendencję do bycia „średnio” bliskim ocenianemu czasowi powrotu. Oznacza to, że zdarzenie, którego czas powrotu wynosi 1000 lat, może wystąpić również w przyszłym roku. Coś takiego musiało się zdarzyć w przypadku tsunami w Fukushimie.
Podobnie, dobrze wiadomo, że w grze „heads or tails” zamiast regularnego naprzemiennego występowania „głów” i „reszek” może się zdarzyć seria, na przykład, reszek.”
Oceniany czas powrotu rzadkich zdarzeń jest wartością „średnią” w bardzo długich czasach. Przeciwnie, punkt w czasie, w którym zdarzenie będzie miało miejsce jest produktem przypadku lub złego/dobrego szczęścia. Zdarzenia losowe, produkt przypadku, są definiowane przez wielu ekspertów jako te zdarzenia, których podstawy nie znamy. Oczywiście, według ten linia myśl, przyczyna istnieć dla rzadki wydarzenie zdarzać się wcześniej lub później, ale te przyczyna często znać.
Jeśli jeden patrzeć przy akcja wybierać moneta w moneta pudełko, jeden móc że, dla ślepy wydobywanie moneta, „głowa lub ogon” wynik być przypadkowy. Jeśli jednak znane są warunki początkowe operacji (np. położenie monet i położenie ręki), wraz z szybkością i kierunkiem ruchu ręki, oraz regułami stosowanymi przy wybieraniu monety z pudełka (np. pierwsza moneta dotknięta ręką jest podnoszona bez obracania jej), wynik wydobycia mógłby być precyzyjnie oszacowany. Faktem jest, że w opisanej przed chwilą operacji, w większości przypadków wszystkie te dane nie są znane i wynik musi być uznany za „przypadkowy” z powodu naszej niewiedzy. „Przypadek” jest wielkim tajemniczym czynnikiem przyszłych wydarzeń, wraz z ich prawdopodobieństwem.
Angielski filozof John Locke powiedział, że ludzie nie podejmują swoich decyzji w blasku słońca pełnej wiedzy, ale w krepułce prawdopodobieństwa. The obecność Szansa być the przyczyna ten wiara.
Jednakże, w próba czy rzadki wydarzenie móc zdarzać się w pobliski czas, the obecność każdy dostępny wskazówka nieuchronny niszczycielski wydarzenie musieć szukać i monitorować. In this research the time interval is very important to which the word „imminent” is applied. Przykładowo, może być możliwe sporządzenie prognozy na okres wielu lat (okres interesujący dla projektowania elektrowni jądrowych) i przeciwnie, może nie być możliwe sporządzenie prognozy na okres kilku dni (interesujący dla prewencyjnej ewakuacji ludności). W związku z tym należy zadać właściwe pytanie ekspertom w zakresie interesujących nas zjawisk, a mianowicie z prawidłowym określeniem interesującego nas okresu w przyszłości. Problem polega również na tym, że jeśli wspomniane przesłanki są dostępne, często nie wierzymy w nie lub w ich wagę (patrz przypadek Vajont, jako przykład).
Inna możliwa pułapka w praktycznym wykorzystaniu ocen prawdopodobieństwa jest opisana w niedawnej publikacji Nassima Nicholasa Taleba, „The Black Swan” (Taleb, 2007). Czarny Łabędź to, w skrócie, odosobnione wydarzenie o wielkim wpływie, które nie mieści się w sferze normalnych oczekiwań, ponieważ nic w przeszłości nie może wskazywać, z dużym stopniem wiarygodności, na możliwość jego wystąpienia. Nazwa „Czarny Łabędź” została wybrana, ponieważ przed odkryciem Australii mieszkańcy Starego Świata byli przekonani, że wszystkie łabędzie są białe. Prof. Taleb wskazuje ponadto na istnienie w świecie możliwości dwóch prowincji: Mediocristan i Extremistan. Mediocristan jest prowincją zdominowaną przez przeciętne zdarzenia, gdzie żadne pojedyncze zdarzenie nie może mieć znaczącego wpływu na całość. Krzywa rozkładu prawdopodobieństwa w kształcie dzwonu, Gaussa, ma swoje podstawy w Mediocristanie. Ekstremistan, przeciwnie, jest królestwem Czarnych Łabędzi. Rys. 18.1 próbuje pokazać na rysunku przykład tych dwóch typów zdarzeń (intensywność zdarzeń różni się o współczynnik 100, LOG(100)=2).
Rysunek 18.1. Mediocristan i extremistan.
Maksymalne gęstości prawdopodobieństwa dla dwóch prowincji są arbitralne. Zmienną może być intensywność niszczących zjawisk naturalnych lub kryzysów finansowych (prof. Taleb opisuje różne tego typu przypadki, gdyż jego główną specjalizacją są finanse). Przybliżone prawdopodobieństwa całkowite (1 i 5e-11) tych dwóch klas zdarzeń są pokazane na rysunku.
Jednym z najczęstszych nadużyć rozkładów prawdopodobieństwa jest pomijanie obecności zdarzeń ekstremalnych obok zdarzeń rozłożonych w mniej lub bardziej regularny sposób, jak wzdłuż krzywej gęstości prawdopodobieństwa Gaussiana lub podobnej.
Przykładami początkowo (przynajmniej częściowo) lekceważonych zdarzeń w dziedzinie bezpieczeństwa jądrowego są zdarzenia wymienione na początku punktu 18.6.1.
Próbując wyobrazić sobie możliwe przyszłe zdarzenia katastroficzne o bardzo niskim prawdopodobieństwie, ale wciąż możliwe, jako przykłady można podać następujące przypadki:
–
Kolejne niszczące tsunami. Zjawisko to jest szczególnie niebezpieczne, ponieważ może się rozpocząć nie tylko od trzęsienia ziemi o dużej sile, ale także od podmorskiego lub przybrzeżnego osuwiska lub podmorskiej erupcji wulkanicznej lub podmorskiej eksplozji innego pochodzenia oraz ponieważ rozprzestrzenia się z niszczącą intensywnością na setki kilometrów lub więcej.
–
Dobrowolna lub przypadkowa katastrofa lotnicza na terenie elektrowni
–
Sabotaż systemów ochrony reaktora
–
Wybuch zbiornika ciśnieniowego reaktora lub innego dużego zbiornika elektrowni
–
Wybuch reaktywności spowodowany przez niezabezpieczony korek w PWR podczas LOCA (możliwość dobrze znana,
–
Niszczące tornado w obiektach o dużym znaczeniu dla bezpieczeństwa, takich jak Nowa Komora Bezpieczeństwa (Schron) Sarkofagu 4 w Czarnobylu; Konstrukcja opisana publicznie przed laty (Nuclear News, 2011 i późniejsze komunikaty) jest rzeczywiście cudem inżynierii, jeśli chodzi o rozmiary i „lekkość” konstrukcji (29 000 t na powierzchni 42 000 m2), ale została zaprojektowana, o ile wiadomo, na raczej niewielkie tornado, podczas gdy w interesującym nas regionie geograficznym zdarzały się już tornada o większej intensywności (Petrangeli, 2011). Niewykluczone jednak, że w ostatnich czasach wzmocniono zakotwienie konstrukcji do podłoża i zainstalowano ulepszony system wentylacji wnętrza schronu.
W tym rozdziale przez „czarne łabędzie” rozumie się wszystkie zdarzenia „praktycznie niemożliwe”, a jednak „fizycznie możliwe”, także na podstawie dotychczasowych doświadczeń. Zdarzenia te, jak np. zdarzenie w Fukushimie, znajdują się poza polem ochrony obecnych pięciu poziomów Defense in Depth. Jeśli dąży się do wyeliminowania możliwości powtórzenia się takich zdarzeń, należy przyjąć bardzo wyjątkowe przepisy. Jeśli mówimy, że jakieś zdarzenie jest „praktycznie niemożliwe”, nie możemy go pominąć w tej próbie.
Pierwszym wymogiem, który wydaje się konieczny, jest to, aby po wystąpieniu jednego z takich zdarzeń lub odkryciu go w przeszłości, podjąć działania we wszystkich innych narażonych zakładach, aby mu się oprzeć. Czy ma być stworzony „szósty poziom” Defense in Depth, aby zająć się tymi zdarzeniami?
Pomysły na zdefiniowanie owego „szóstego poziomu” są następujące:
–
Postarać się odkryć prekursorskie zjawiska zapowiadające nadchodzącą katastrofę i utrzymywać je pod obserwacją (jednak ta metoda zwykle nie jest wystarczająco precyzyjna jeśli chodzi o identyfikację czasu w jakim dane zjawisko nastąpi);
–
Założyć system ostrzegania który może wykryć już zaistniałe zjawiska naturalne i nienaturalne (np, tsunami, trzęsienie ziemi, podejrzane loty samolotów) i dać trochę czasu (typowo od kilku do 30 minut), aby elektrownia znalazła się w bezpiecznych warunkach (jeśli to możliwe, biorąc pod uwagę jej cechy konstrukcyjne);
–
Zaprojektować elektrownię na „maksymalne możliwe zdarzenie”, którego wielkość może być generalnie lepiej określona niż odległość zdarzenia w czasie przyszłym w stosunku do teraźniejszości (np. maksymalne możliwe trzęsienie ziemi może być zidentyfikowane na podstawie historii przeszłości i cech tektonicznych regionu). 10CFR Part 100, obecnie znowelizowana w 2017 r. (sejsmiczne i geologiczne kryteria lokalizacyjne dla elektrowni jądrowych) była pierwszym zestawem kryteriów, w którym przyjęto to stanowisko. Ogólnie przyjmuje się, że absolutne maksimum trzęsienia ziemi na świecie ma magnitudę od 8,5 do 9 stopni w skali Richtera; dla strefy L’Aquila we Włoszech maksymalne możliwe trzęsienie ziemi może być rzędu M=7. Oczywiście koszty mogą być wysokie. Jednak lokalizacje elektrowni jądrowych są zwykle wybierane w miejscach o niskiej sejsmiczności (np, Załącznik 16).
Wybór wykorzystania w projekcie elektrowni maksymalnego możliwego zdarzenia, zamiast zdarzenia o szacowanym prawdopodobieństwie mniejszym od pewnej liczby, można rozszerzyć na inne potencjalnie niszczące zdarzenia, takie jak powodzie.
Przy formułowaniu nowych wymogów należy jednak pamiętać, że na podstawie dotychczasowych doświadczeń można stwierdzić, że czasami w zachowaniu niektórych inwestorów dominuje niechęć do ponoszenia strat inwestycyjnych i wydatków naprawczych, nawet w przypadku wyraźnych sygnałów o zbliżającej się katastrofie naturalnej lub maszynowej. Było to widoczne np. w przypadku Vajont (wcześniejsze pomiary powolnego ruchu osuwiskowego w górze Toc, który ostatecznie przekształcił się w szybką katastrofę) oraz w przypadku Fukushimy (wcześniejsze tsunami na Oceanie Indyjskim).
Jedną z możliwości, którą należy przedyskutować, jest utworzenie dla każdej elektrowni jądrowej lub ich grupy specjalnego funduszu na okresowe modyfikacje instalacji lub procedur w wyniku wystąpienia czarnych łabędzi w jednej elektrowni. Ponadto, zawsze jako przykład do omówienia, fundusz ten mógłby być tworzony poprzez zaoszczędzenie jednego lub dwóch dni roboczych w każdym roku eksploatacji. Powyższe liczby uwzględniają spostrzeżenie, że Czarny Łabędź (lista w punkcie 18.6.1) może mieć miejsce, na podstawie doświadczenia, mniej więcej raz na 10 lat (Gianni Petrangeli, 2013) i że modyfikacje usprawniające w elektrowni mogą wymagać wydatku rzędu kilkudziesięciu milionów euro lub ich równowartości. Propozycja ta oznacza swego rodzaju „samoubezpieczenie”. Bezwarunkowe nowe wymagania i zmiana sposobu myślenia są w każdym przypadku konieczne.
Poniżej wymieniono kilka przykładów bardzo wyjątkowych przepisów ewentualnie wymaganych. Inne i lepsze przepisy mogą być opracowane.
Jestem świadomy, że te przykłady mogą być uważane za przesadne, a także przeciwskuteczne przez kogoś. Lepsze rozwiązania z pewnością istnieją, ale moje doświadczenie wskazuje, że nowe dobre pomysły, zwłaszcza jeśli są kosztowne, potrzebują czasu (10-20 lat), aby odrodzić się po początkowym zaniedbaniu (mam nadzieję, że nie będzie to miało miejsca w tym momencie). Zazwyczaj są one włączane do projektów nowych zakładów. Rzeczywiście, jednym z aktualnych powiedzeń w przemyśle jest to, że „Każde nowe dobre wymaganie jest akceptowalne, chyba że zmienia obecny ustalony projekt” (interwencja usłyszana na międzynarodowym kongresie). Stanowisko to jest zrozumiałe, chyba że dostępne dowody wymagają wyjątkowego podniesienia poziomu bezpieczeństwa, jak to ma miejsce, jak sądzę, w obecnym czasie.
Pierwszym przykładem jest stworzenie, nawet w istniejącym zakładzie lub w zakładzie w budowie, nowego zabezpieczenia przed katastrofą lotniczą, innymi uderzeniami, zalaniem lub utratą innego awaryjnego źródła energii elektrycznej. Ta propozycja dyskusyjna jest zgrubnie naszkicowana na Rys. 18.2 i szerzej potraktowana w (Petrangeli, 2013).
Rysunek 18.2. Bardzo wyjątkowa ochrona przed tsunami, uderzeniem samolotu lub innym uderzeniem i utratą zasilania awaryjnego.
Ta dodatkowa ochrona składa się z żelbetowego lub sprężonego betonowego cylindra otaczającego istotne dla bezpieczeństwa części elektrowni. Jako ochrona przed niszczącym tsunami cylinder może mieć wysokość 20-50 m (patrz przewodnik MAEA SSG-18, w którym zaleca się, aby przy braku przeważających dowodów bezpieczeństwa wysokość fali referencyjnej nad normalnym poziomem morza wynosiła 50 m). Na Rys. 18.2 pokazano cylinder o wysokości 120 m (tyle, co wysoki komin elektrowni jądrowej lub kopalnej), który pełni także funkcję ochronną przed uderzeniem samolotu (gdyby budynki elektrowni były bardziej osadzone w gruncie, wysokość cylindra mogłaby być mniejsza niż 120 m). Zakłada się, że samolot uderzający w elektrownię dotknie jej pod maksymalnym kątem 30 stopni względem horyzontu (więcej niż wyjątkowy kąt około 24 stopni osiągnięty przez samolot uderzający w budynek Pentagonu w 2001 roku) (Ritter, 2002) i znacznie więcej niż zwykły kąt lądowania wynoszący 3 stopnie.
Górna część cylindra jest pokryta siatką z lin stalowych i drobniejszą siatką, aby zapewnić ochronę przed różnymi możliwymi pociskami (drony itp.).
W górnej części cylindra znajduje się odporny na uderzenia segmentowy zbiornik pierścieniowy: może on dostarczać wodę chłodzącą do rdzenia, w razie wypadku, przez ponad 4 dni, wykorzystując jako siłę napędową ciśnienie hydrostatyczne wynikające z wysokości (system pasywny).
Pojemność cylindra o wysokości 120 m wynosi około 120 000 m2 i kosztuje ponad 15 mln euro.
W ścianie cylindra należy przewidzieć ruchome grodzie wodoszczelne, umożliwiające przemieszczanie elementów do i z cylindra. Szacuje się, że zewnętrzna powierzchnia cylindra, jeśli pokryta ogniwami słonecznymi, mogłaby dostarczyć kilka Mw energii elektrycznej w świetle dziennym. Wymagane będą inne systemy pomocnicze (akumulatory energii, itp.).
Kształt cylindra może nie być okrągły, aby dostosować konstrukcję do innych budynków fabrycznych nie związanych z bezpieczeństwem.
W przypadku przyjęcia rozwiązania takiego jak przedstawione na rysunku, obecnie przyjęte przeciwlotnicze elementy ochronne elektrowni (przedstawione na rys. 18.2) mogłyby zostać uproszczone dla elektrowni w fazie projektowania z korzyścią konomiczną. W przypadku zastosowania stalowego containmentu również chłodzenie containmentu mogłoby być łatwiejsze.
Rozwiązanie to, zaproponowane jako przykład, może znów wydawać się przesadne, tak jak pierwsze szczelne containmenty ciśnieniowe z lat 60. wydawały się wielu zdroworozsądkowym inżynierom. Ich opinia zmieniła się jednak radykalnie po Three Mile Island.
Inne przykładowe rozwiązania są wymienione w (Petrangeli, 2013): elektrownie zbudowane nad nasypem (przeciw tsunami) i pasywne awaryjne systemy chłodzenia (przeciw utracie zwykłych aktywnych awaryjnych systemów chłodzenia).
Dostępne obecnie kody komputerowej dynamiki płynów mogą pomóc w symulowaniu z dużą dokładnością spływu fali tsunami na daną sytuację terenowo-zakładową (np, efekt nasypu jako wyniesienia elektrowni ponad otaczający grunt).
W odniesieniu do ogólnej skuteczności ocen prawdopodobieństwa w analizie bezpieczeństwa jądrowego należy przypomnieć powszechnie znany fakt, że oceny te mają zasadnicze znaczenie w wykrywaniu, w złożonych systemach, niezwykle ważnych części lub zjawisk. Na przykład dobrze wiadomo, że ocena prawdopodobieństwa w elektrowni zwykle wskazuje, że systemy klimatyzacji pomieszczeń sprzętowych są kluczowe dla działania kilku systemów bezpieczeństwa i dlatego ich prawidłowe działanie musi być zapewnione z dużym prawdopodobieństwem za pomocą zwykłych środków poziomu jakości, redundancji i dywersyfikacji (patrz także punkt 11.3).
Ponadto, w świetle powyższej dyskusji, niskie prawdopodobieństwo wystąpienia zdarzeń nieakceptowalnych można uznać za warunek konieczny, ale niewystarczający dla ochrony przed takimi zdarzeniami.