18.6.2 Possible Evolution in Safety Evaluation Methods (Mistakes and Limits in Probability Evaluations) and in Safety Criteria
The probability of a rare event may have been wrongly underevaluated for lack of information. Além disso, mesmo que a probabilidade de um evento raro seja corretamente avaliada, e o tempo de retorno do evento seja longo (por exemplo, 1000 anos para uma probabilidade de uma vez em 1000 anos), geralmente a maioria das pessoas pensa que, de qualquer forma, um longo tempo decorrerá antes que o evento ocorra. Existe um tipo de fenômeno psicológico, que poderia ser chamado de “ilusão de miragem inversa” (o que pode estar muito próximo é percebido como estando muito distante), pelo qual eventos de muito longo tempo de retorno são percebidos como localizados no futuro distante. Na realidade, a definição de probabilidade (razão entre um tipo de evento e o total de eventos possíveis de qualquer tipo) não inclui qualquer referência à distância no tempo futuro do evento cuja probabilidade é calculada e a probabilidade avaliada, mais uma vez, é sempre uma probabilidade média ao longo de muitos tempos de retorno (Moroney, 1951). Somente em um intervalo de tempo muito longo em relação ao tempo de retorno avaliado é que o intervalo entre dois eventos sucessivos tende a ser “na média” próximo ao tempo de retorno avaliado. Isto significa que um evento com um tempo de retorno de 1000 anos também pode acontecer no próximo ano. Algo assim deve ter acontecido para o tsunami de Fukushima.
Simplesmente, é bem conhecido que no jogo “cabeças ou caudas” uma série, por exemplo, de caudas pode acontecer ao invés de uma ocorrência alternada regular de “cabeças” e de “caudas”
O tempo de retorno avaliado de eventos raros é um valor “médio” em tempos muito longos. Pelo contrário, o momento em que o evento vai acontecer é um produto do acaso ou da má sorte/boa sorte. Eventos casuais, o produto do acaso, são definidos por muitos especialistas como aqueles eventos cujas bases desconhecemos. Claro que, de acordo com esta linha de pensamento, existem causas para que um evento raro aconteça mais cedo ou mais tarde, mas estas causas frequentemente não são conhecidas.
Se olharmos para a acção de escolher uma moeda numa caixa de moedas, podemos considerar que, para uma extracção cega de uma moeda, o resultado “cabeça ou cauda” será casual. No entanto, se as condições iniciais da operação forem conhecidas (por exemplo, posição das moedas e posição da mão), juntamente com a velocidade e direção do movimento da mão e as regras seguidas para pegar a moeda na caixa (por exemplo, a primeira moeda tocada pela mão é pegada sem girá-la), o resultado da extração poderá ser avaliado com precisão. O facto é que na operação descrita há pouco, na maioria dos casos todos estes dados não são conhecidos e o resultado tem de ser considerado “casual” devido à nossa ignorância. “Chance” é o grande fator misterioso em eventos futuros, juntamente com sua probabilidade.
O filósofo inglês John Locke disse que os homens não tomam suas decisões no sol do pleno conhecimento, mas no crepúsculo da probabilidade. A presença do Chance é a causa desta crença.
No entanto, ao tentar entender se um evento raro pode acontecer em um tempo próximo, a presença de todas as indicações disponíveis de um evento destrutivo iminente deve ser procurada e monitorada. Nesta pesquisa, o intervalo de tempo é muito importante ao qual a palavra “iminente” é aplicada. Como exemplo, pode ser possível fazer uma previsão para um período futuro de muitos anos (período de interesse para o projeto da usina nuclear) e, pelo contrário, pode não ser possível fazer uma previsão para um período futuro de dias (pois é de interesse para a evacuação preventiva da população). A este respeito, a questão correta deve ser colocada aos especialistas em fenômenos de interesse, ou seja, com a especificação correta do período de interesse no futuro. O problema é também que, se as indicações acima mencionadas estão disponíveis, muitas vezes não acreditamos nelas ou na sua gravidade (ver o caso Vajont, como exemplo).
Uma outra possível armadilha no uso prático das avaliações de probabilidade é descrita numa publicação recente de Nassim Nicholas Taleb, “The Black Swan” (Taleb, 2007). Um Cisne Negro é, em resumo, um evento isolado de grande impacto que não está incluído no reino das expectativas normais, porque nada no passado pode indicar, com um bom grau de plausibilidade, a sua possibilidade de acontecer. O nome “Cisne Negro” foi escolhido porque, antes da descoberta da Austrália, os habitantes do Velho Mundo estavam convencidos de que todos os cisnes eram brancos. Taleb indica, além disso, a existência, no mundo das possibilidades, de duas províncias: o Mediocristão e o Extremistão. O Mediocristão é a província dominada por eventos medíocres, onde nenhum evento isolado pode ter um impacto significativo sobre o todo. A curva de distribuição de probabilidade em forma de sino, Gauss, tem o seu fundamento no Mediocristão. O Extremistão, pelo contrário, é o reino dos cisnes negros. Fig. 18.1 tenta mostrar em uma figura um exemplo dos dois tipos de eventos (intensidade de eventos diferentes por um fator de 100, LOG(100)=2).
As densidades máximas de probabilidade das duas províncias são arbitrárias. A variável pode ser a intensidade de um evento natural prejudicial ou de uma crise financeira (o Prof. Taleb descreve vários casos deste tipo, uma vez que a sua principal especialização é Finanças). As probabilidades integrais aproximadas (1 e 5e-11) das duas classes de eventos são mostradas na figura.
Um dos usos errados mais comuns das distribuições de probabilidade é ignorar a presença de eventos do Extremistão além de eventos distribuídos de forma mais ou menos regular, como ao longo de uma curva gaussiana ou similar de densidade de probabilidade.
Exemplos de eventos inicialmente (pelo menos parcialmente) ignorados no campo da segurança nuclear são aqueles listados no início da Seção 18.6.1.
Tentando imaginar possíveis eventos catastróficos futuros de muito baixa probabilidade, mas ainda possíveis, os seguintes casos poderiam ser considerados como exemplos:
–
Outro tsunami destrutivo. Este fenômeno é particularmente perigoso porque pode começar não só por um terremoto de alta magnitude, mas também por um deslizamento de terra submarino ou costeiro ou uma erupção vulcânica submarina ou explosão submarina de outra origem e porque se propaga com intensidade prejudicial por centenas de quilômetros ou mais.
–
Uma queda de avião voluntária ou acidental numa central
–
Uma sabotagem dos sistemas de protecção do reactor
–
Uma explosão de uma cuba de pressão de um reactor ou de outra cuba de uma grande central
–
Uma excursão de reactividade devido a uma ficha não embebida num PWR durante um LOCA (possibilidade bem conhecida, para alguns PWRs, para especialistas em termo-hidráulica)
–
Fonte destrutivo de tornado em instalações de segurança significativas como o Novo Confinamento de Segurança (Shelter) do Sarcófago de Chernobyl 4; a estrutura como foi descrita publicamente anos atrás (Nuclear News, 2011 e comunicações posteriores) é, de fato, uma maravilha da engenharia para tamanho e construção “leve” (29.000 t em uma superfície plana de 42.000 m2), mas é projetada, tanto quanto se sabe, para um tornado bastante pequeno, enquanto, na região geográfica de interesse, tornados de maior intensidade já aconteceram (Petrangeli, 2011). No entanto, é bem possível que nos últimos tempos, a ancoragem da estrutura ao solo tenha sido reforçada e tenha sido instalado um sistema de ventilação melhorado do interior do abrigo.
Nesta secção, os Cisnes Negros são destinados a incluir todos os eventos “praticamente impossíveis”, mas “fisicamente possíveis”, também com base na experiência passada. Estes eventos caem, como por exemplo o evento Fukushima, fora do campo de proteção dos atuais cinco níveis de Defesa em Profundidade. Disposições muito excepcionais têm que ser adotadas se uma tentativa de remover ainda mais a possibilidade de que tais eventos aconteçam novamente. Se dizemos que um evento é “praticamente impossível” não podemos desconsiderá-lo nesta tentativa.
O primeiro requisito que parece necessário é que, uma vez que um destes eventos tenha acontecido ou descoberto na história passada, medidas sejam tomadas sobre todas as outras plantas expostas, a fim de resistir a ele. Deve ser criado um “sexto nível” de Defesa em Profundidade a fim de cuidar desses eventos?
Das para a definição deste “sexto nível” são as seguintes:
–
Tente descobrir fenómenos precursores que anunciam um desastre iminente e mantê-los sob observação (mas este método geralmente não é suficientemente preciso no que diz respeito à identificação do tempo em que o fenómeno irá acontecer);
–
Estabelecer um sistema de alerta que possa detectar o fenómeno natural e não natural já iniciado (por exemplo tsunami, terremoto, voos de aeronaves suspeitas) e dar algum tempo (típico é de alguns minutos a 30 minutos) para colocar a planta em condições seguras (se possível, dadas as suas características de projeto);
–
Desenhar a planta contra o “evento máximo possível” cuja magnitude pode geralmente ser melhor definida do que a distância do evento no tempo futuro em relação ao presente (por exemplo, o máximo possível de terremoto pode ser identificado pela história passada e pelas características tectônicas da região). 10CFR Parte 100, agora Revisada em 2017 (critérios sísmicos e geológicos de localização para usinas nucleares) foi o primeiro conjunto de critérios que adotou esta posição. O máximo absoluto de terremoto no mundo é geralmente aceito para ter uma Richter Magnitude de 8,5 a 9; para a zona de L’Aquila, Itália, o máximo terremoto possível poderia ser da ordem de M=7. Naturalmente, o custo pode ser elevado. No entanto, os locais para usinas nucleares são geralmente escolhidos em locais de baixa sismicidade (por exemplo Apêndice 16).
A escolha de usar para o projeto da usina o máximo evento possível, ao invés de um evento de probabilidade estimada inferior a um determinado valor, poderia ser estendida a outros eventos potencialmente prejudiciais como inundações.
Na formulação de novos requisitos, no entanto, deve-se lembrar que, com base na experiência passada, às vezes uma aversão prevalecente por perdas de investimento e por despesas de remediação é evidente no comportamento de alguns investidores, mesmo na presença de indicações claras de uma catástrofe natural iminente ou relacionada à máquina. Isto tem sido evidente, por exemplo, no caso Vajont (movimento de deslizamento lento medido anteriormente no Monte Toc que eventualmente se transformou num desastre rápido) e no caso Fukushima (tsunamis anteriores no Oceano Índico).
Uma possibilidade a ser discutida é criar para cada usina nuclear ou para um grupo deles um fundo especial para modificações periódicas de usinas ou procedimentos como conseqüência de cisnes negros em uma usina. Além disso, sempre como exemplo a ser discutido este fundo poderia ser criado economizando um ou dois dias de operação de energia para cada ano de operação. Os números acima usados levam em conta a observação de que um Cisne Negro (lista na Seção 18.6.1) pode ser assumido, com base na experiência, para ocorrer aproximadamente uma vez em 10 anos (Gianni Petrangeli, 2013) e que as modificações de melhoria em uma usina podem exigir uma despesa de dezenas de milhões de euros ou equivalente. Esta proposta significa uma espécie de “seguro próprio”. De qualquer forma, são necessárias novas exigências não condicionadas e uma mudança de mentalidade.
A seguir são mencionados alguns exemplos de provisões muito excepcionais eventualmente necessárias. Outras e melhores provisões podem ser desenvolvidas.
Estou ciente de que estes exemplos podem ser considerados excessivos e também contraproducentes por alguém. Certamente existem melhores soluções, mas a minha experiência sugere que novas boas ideias, especialmente se caras, levam tempo (10-20 anos) a ressurgir após uma negligência inicial (espero que não seja o caso neste momento). Normalmente são incorporadas em projetos de novas plantas. De fato, um ditado atual na indústria é que “toda boa nova exigência é aceitável, a menos que mude o atual projeto estabelecido” (intervenção ouvida em um congresso internacional). Esta posição é compreensível, a menos que uma melhoria excepcional no nível de segurança seja solicitada pelas evidências disponíveis, como, creio, no momento atual.
O primeiro exemplo é a criação, mesmo em uma planta existente ou em construção, de uma nova proteção contra queda de aeronaves, outros impactos, inundação ou perda de outra energia elétrica de emergência. Esta proposta de discussão está esboçada na Fig. 18.2 e é tratada mais completamente em (Petrangeli, 2013).
Esta proteção adicional consiste em um cilindro de concreto armado ou protendido que envolve as partes essenciais de segurança de uma planta. Como proteção contra um tsunami destrutivo, o cilindro pode ter 20-50 m de altura (ver Guia SSG-18 da IAEA, que recomenda uma elevação de referência da onda sobre o nível normal do mar de 50 m, na ausência de evidência segura prevalecente). A Figura 18.2 mostra um cilindro de 120 m de altura (tanto quanto uma chaminé alta de uma usina nuclear ou alimentada por combustíveis fósseis) que também atua como proteção contra o impacto de uma aeronave (se os edifícios da usina estivessem mais incrustados no solo, a altura do cilindro poderia ser inferior a 120 m). O plano de impacto é suposto tocar a usina com um ângulo máximo com o horizonte de 30 graus (mais do que o ângulo excepcional de cerca de 24 graus atingido pelo avião que atingiu o edifício do Pentágono em 2001) (Ritter, 2002) e muito mais do que o habitual ângulo de aterragem de 3 graus.
A parte superior do cilindro é coberta por uma grade de cabos de aço e por uma rede mais fina, a fim de oferecer proteção contra uma variedade de projéteis imagináveis (drones, etc.).
Na parte superior do cilindro, encontra-se um tanque anular segmentado e resistente ao impacto: pode fornecer água de arrefecimento ao núcleo, em caso de acidente, durante mais de 4 dias utilizando como força motriz a pressão hidrostática devido à altura (sistema passivo).
O volume do cilindro de 120 m de altura é de cerca de 120.000 m2, custando mais de 15 milhões de euros.
Anteparas móveis à prova de água têm de ser fornecidas na parede do cilindro para o movimento dos componentes que entram e saem do cilindro. Estima-se que a superfície externa do cilindro, se coberta com células solares, poderia fornecer vários Mw de energia elétrica à luz do dia. Outros sistemas auxiliares serão necessários (acumuladores de energia, etc.).
A forma plana do cilindro pode não ser circular para adaptar a estrutura a outros edifícios não essenciais à segurança da planta.
Se uma solução como a ilustrada for adotada, as características protetoras antiaéreas atualmente adotadas da planta (mostradas na Fig. 18.2) poderiam ser simplificadas para plantas em fase de projeto com vantagem conômica. Se uma contenção de aço for, então, usada, também o resfriamento da contenção poderia ser mais fácil.
Esta solução, proposta como exemplo, pode, novamente, parecer excessiva, já que as primeiras contenções à prova de vazamentos dos anos 60 pareceram a muitos engenheiros de bom senso. A opinião destes, entretanto, mudou radicalmente após Three Mile Island.
Outros exemplos de soluções estão listados em (Petrangeli, 2013): plantas construídas sobre um aterro (contra tsunami) e sistemas passivos de resfriamento de emergência (contra perda dos sistemas de resfriamento de emergência ativos usuais).
Códigos de dinâmica de fluidos de computador agora disponíveis podem ajudar a simular com boa precisão um runup de onda de tsunami em uma dada situação de terreno-planta (por exemplo, o efeito de um aterro como um local elevado da usina sobre o terreno circundante).
No que diz respeito à eficácia geral das avaliações de probabilidade na análise de segurança nuclear, é preciso lembrar que essas avaliações são essenciais na detecção, em sistemas complexos, de partes ou fenômenos de importância crucial. Como exemplo, é bem conhecido que uma avaliação de probabilidade de usina geralmente indica que sistemas de condicionamento de salas de equipamentos são cruciais para o funcionamento de vários sistemas de segurança e, portanto, seu correto funcionamento deve ser assegurado com alta probabilidade pelos meios habituais de nível de qualidade, redundância e diversificação (ver também Seção 11.3).
Mais ainda, à luz da discussão acima, uma baixa probabilidade de eventos intoleráveis pode ser considerada uma condição necessária mas não suficiente para a proteção contra tais eventos.