Ines 2001 S

LA ESCALA INTERNACIONAL DE SUCESOS NUCLEARES (INES) MANUAL DEL USUARIO EDICIN DE 2001
Documento preparado conjuntamente por el OIEA y la AEN/OCDE
LA ESCALA INTERNACIONAL DE SUCESOS NUCLEARES (INES) MANUAL DEL USUARIO

EDICIN DE 2001
Documento preparado conjuntamente por el OIEA y la AEN/OCDE
ORGANISMO INTERNACIONAL DE ENERGA ATMICA VIENA, 2001
LA ESCALA INTERNACIONAL DE SUCESOS NUCLEARES (INES) MANUAL DEL USUARIO EDICIN DE 2001 OIEA, VIENA, 2001 IAEA-INES-2001 Impreso por el OIEA en Austria Diciembre de 2001
PREFACIO
La Escala Internacional de Sucesos Nucleares (INES) fue introducida en marzo de 1990 conjuntamente por el Organismo Internacional de Energa Atmica (OIEA) y la Agencia de Energa Nuclear de la Organizacin para la Cooperacin y Desarrollo Econmicos (AEN/OCDE). Su principal propsito es facilitar la comunicacin y el entendimiento entre la comunidad nuclear, los medios de informacin y el pblico sobre la importancia para la seguridad de los sucesos ocurridos en las instalaciones nucleares. La escala se perfeccion en 1992 como fruto de la experiencia adquirida y se ampli para ser aplicable a cualquier suceso asociado con material radiactivo o radiaciones, incluyendo el transporte de sustancias radiactivas. Esta edicin del Manual del usuario de la INES incorpora la experiencia obtenida en la aplicacin de la versin de 1992 de la escala y del documento Clarification of issues raised. Como tal, sustituye esas dos publicaciones anteriores. No se enmiendan las bases tcnicas del procedimiento de clasificacin de la INES, pero se espera facilitar la tarea de quienes tienen que clasificar la significacin de un suceso para la seguridad utilizando la escala INES. La red de comunicacin de la INES viene recibiendo y diseminando informacin de sucesos a los oficiales nacionales de la INES de 60 Estados Miembros en fomularios de clasificacin de sucesos especficos que constituyen la informacin oficial sobre los sucesos, incluyendo la clasificacin. El proceso de comunicacin de la INES ha llevado a cada pas participante a establecer una red nacional mediante la cual todos los sucesos se comunican y clasifican rpidamente, siempre que hayan de notificarse al exterior o en el interior del pas. El OIEA ofrece servicios de formacin en el uso de la escala, previa peticin.
NDICE
PARTE I. DESCRIPCIN RESUMIDA . . . . . . . . . . . . . . . . . . . . . . 1 1 1 1 3 3 5 6
I1. INTRODUCCIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I1.1. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I1.2. Descripcin general de la escala . . . . . . . . . . . . . . . . . . . . . I1.3. mbito de la escala . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I1.4. Uso de la escala . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I1.5. Ejemplos de clasificacin de sucesos nucleares . . . . . . . . . . I1.6. Estructura del manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PARTE II. PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA . . . . . . . . . . .
7 7
II1. PROCEDIMIENTO DE CLASIFICACIN . . . . . . . . . . . . . . . . . . . . . . II2. COMUNICACIN DE SUCESOS AL SERVICIO DE INFORMACIN DEL OIEA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PARTE III. IMPACTO FUERA DEL EMPLAZAMIENTO Y EN EL EMPLAZAMIENTO . . . . . . . . . . . . . . . . . . . . .
18 18 18 19 21 22 22 23 24 26 26
III1. IMPACTO FUERA DEL EMPLAZAMIENTO . . . . . . . . . . . . . . . . . . . III1.1. Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III1.2. Definicin de niveles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III1.3. Clculo de equivalencia radiolgica y dosis . . . . . . . . . . . . III2. IMPACTO EN EL EMPLAZAMIENTO . . . . . . . . . . . . . . . . . . . . . . . . III2.1. Descripcin general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III2.2. Definicin de niveles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III2.3. Clculo de equivalencia radiolgica . . . . . . . . . . . . . . . . . . PARTE IV. IMPACTO SOBRE LA DEFENSA EN PROFUNDIDAD
IV1.ANTECEDENTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV2.PRINCIPIOS GENERALES PARA LA CLASIFICACIN DE SUCESOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
IV3.ORIENTACIN DETALLADA PARA LA CLASIFICACIN DE SUCESOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV3.1. Determinacin de las mximas consecuencias potenciales . . IV3.2. Determinacin de la clasificacin bsica teniendo en cuenta la eficacia de las disposiciones de seguridad . . . . . . IV3.3. Consideracin de factores adicionales . . . . . . . . . . . . . . . . . IV4.DEFINICIONES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PARTE V. EJEMPLOS ILUSTRATIVOS DE LAS ORIENTACIONES SOBRE CLASIFICACIN ATENDIENDO A LA DEFENSA EN PROFUNDIDAD . .
29 29 30 41 43
46
V1. ORIENTACIONES SOBRE EL EMPLEO DEL MTODO DE CAPAS PARA TIPOS ESPECFICOS DE SUCESOS . . . . . . . . . . . . . V1.1. Control de la criticidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . V1.2. Prdida o remocin de fuentes radiactivas . . . . . . . . . . . . . . V1.3. Liberacin/dispersin no autorizada de contaminacin . . . . V1.4. Control de dosis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V1.5. Enclavamiento de puertas de recintos blindados . . . . . . . . . V1.6. Fallos de los sistemas de extraccinventilacin, filtracin y limpieza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V1.7. Incidentes de manejo y cada de cargas pesadas . . . . . . . . . V1.8. Prdida de suministro elctrico . . . . . . . . . . . . . . . . . . . . . . V1.9. Incendios y explosiones . . . . . . . . . . . . . . . . . . . . . . . . . . . V1.10. Fenmenos peligrosos externos . . . . . . . . . . . . . . . . . . . . . . V1.11. Sucesos durante transporte . . . . . . . . . . . . . . . . . . . . . . . . . V1.12. Fallos en los sistemas de refrigeracin . . . . . . . . . . . . . . . . V2. EJEMPLOS ILUSTRATIVOS DE LA APLICACIN DEL MTODO DE CAPAS DE SEGURIDAD . . . . . . . . . . . . . . . . . . . . . . . V3. EJEMPLOS PREPARADOS BASADOS EN SUCESOS REALES . . . . V3.1. Ejemplos en que se utiliza el mtodo del iniciador . . . . . . . Ejemplo 1: Parada urgente del reactor tras cada de barras de control nivel 0 . . . . . . . . . . . . . . . Ejemplo 2: Fuga de refrigerante del reactor durante recarga a potencia nivel 1 . . . . . . . . . . . . . .
46 46 47 47 48 48 48 49 50 51 51 51 52
54 60 60 60 61
V3.2.
No disponibilidad del rociado de la contencin por haberse dejado vlvulas cerradas nivel 1 . . . . . . . . . . . . . . . . . . . . . . Ejemplo 4: Fuga de agua del circuito primario a travs del disco de ruptura del tanque de alivio del presionador nivel 1 . . . . . . . . . . . . . . . . . . . Ejemplo 5: Prdida de circulacin forzada de gas durante 15 a 20 minutos nivel 2 . . . . . . . . . . . . . . . . Ejemplo 6: Cada de elemento combustible durante recarga nivel 1 . . . . . . . . . . . . . . . . . . . . . . Ejemplo 7: Bloqueo parcial de toma de agua en una unidad y prdida de alimentacin elctrica exterior en la unidad gemela en temporada muy fra nivel 3 . . . . . . . . . . . . . . . . . . . . . Ejemplo 8: Calibracin incorrecta de detectores regionales de sobrepotencia nivel 1 . . . . . . . . . . . . . . . Ejemplo 9: Fallo de un dispositivo de un sistema de seguridad durante una prueba habitual nivel 1 . . . . . . . . . . . . . . . . . . . . . . Ejemplo 10: Pequea fuga en el circuito primario nivel 2 . . . . . . . . . . . . . . . . . . . . . Ejemplo 11: Parada urgente del reactor causada por perturbacin de la red elctrica debida a un tornado nivel 3 . . . . . . . . . . . . . . . . . . . . Ejemplo 12: Apagn completo en una central debido a un incendio en el edificio de la turbina nivel 3 . . . . . . . . . . . . . . . . . . . . . . . Ejemplos basados en el mtodo de capas de seguridad . . . . Ejemplo 13: Presurizacin del espacio vaco en una vasija disolvente de elementos combustibles nivel 0 . . . . . . . . . . . . . . . . . . Ejemplo 14: Un trabajador recibe una dosis acumulada al cuerpo entero por encima del lmite de dosis nivel 1 . . . . . . . . . . . . . . . . . . . . . . . . Ejemplo 15: Fallo del sistema de enclavamiento de puertas de blindaje nivel 2 . . . . . . . . . . . . . Ejemplo 16: Fallo de control de criticidad nivel 1 . . . . . . Ejemplo 17: Prdida prolongada de ventilacin en una instalacin de fabricacin de combustible nivel 1 . . . . . . . . . . . . . . . . . . .
Ejemplo 3:
62
63 64 65
66 67
68 69
69
70 71
71
71 72 73
74
Ejemplo 18: Prdida de ventilacin en una instalacin de almacenamiento de productos de fisin nivel 1 . . . . . . . . . . . . . . . . . . . . . . . . Ejemplo 19: Prdida de una fuente sellada nivel 2 . . . . . Ejemplo 20: Derrame de lquido contaminado con plutonio en el suelo de un laboratorio nivel 2 . . . . . . Ejemplo 21: Se descubre que contenedores de transporte supuestamente vacos contienen material nuclear nivel 1 . . . . . . . . . . . . . . . . . . . . . . Ejemplo 22: Prdida completa de refrigeracin en parada nivel 1 . . . . . . . . . . . . . . . . . . . . . . . Ejemplo 23: Excursin de potencia en un reactor experimental durante la carga de combustible nivel 2 . . . . . . . . . . . . . . . . . . . PARTE VI. APNDICE I: APNDICE II: APNDICES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . CLCULO DE LA EQUIVALENCIA RADIOLGICA . . . SINOPSIS DEL PROCEDIMIENTO DE CLASIFICACIN DE LOS SUCESOS EN REACTORES DE POTENCIA SEGN LA DEFENSA EN PROFUNDIDAD . . . . . . . . . .
75 77 77
78 78
79 81 81
88
APNDICE III: CLASIFICACIN, DERIVADA DE LAS TABLAS, DE LOS SUCESOS EN REACTORES DE POTENCIA (SECCIN IV3.2.1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . APNDICE IV: EJEMPLOS DE INICIADORES . . . . . . . . . . . . . . . . . . . . . APNDICE V: CLASIFICACIN DE LOS SUCESOS QUE IMPLICAN UNA VIOLACIN DE LAS CLO . . . . . . . . . . . . . . . . . . .
90 93
99
APNDICE VI: LISTA DE PASES Y ORGANIZACIONES PARTICIPANTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Parte I DESCRIPCIN RESUMIDA

I1. INTRODUCCIN I1.1. Antecedentes
La Escala Internacional de Sucesos Nucleares (INES) es un medio para la rpida comunicacin al pblico en trminos coherentes sobre la importancia para la seguridad de los sucesos notificados en las instalaciones nucleares. Al poner los sucesos en la perspectiva apropiada se puede facilitar un entendimiento comn entre la comunidad nuclear, los medios y el pblico. La escala fue diseada por un grupo internacional de expertos reunido en 1989 conjuntamente por el OIEA y la Agencia para la Energa Nuclear de la Organizacin de Cooperacin y Desarrollo Econmicos (AEN/OCDE). Tambin refleja la experiencia adquirida gracias a la utilizacin de escalas similares en Francia y Japn, as como a la consideracin de posibles escalas en varios pases ms. Inicialmente la escala se aplic durante un perodo de prueba para clasificar sucesos en centrales nucleares y despus se extendi y adapt para permitir su aplicacin a todas las instalaciones asociadas con la industria nuclear civil. Actualmente opera satisfactoriamente en ms de 60 pases. Esta edicin del Manual del usuario puede aplicarse a cualquier suceso asociado con material radiactivo o radiacin y a cualquier suceso que ocurra durante el transporte de material radiactivo. I1.2. Descripcin general de la escala
Los sucesos se clasifican en la escala en siete niveles: los niveles altos (47) se denominan accidentes y los niveles bajos (13) incidentes. Los sucesos que no tienen importancia para la seguridad se clasifican por debajo de escala como nivel 0 y se denominan desviaciones. Los sucesos que no tienen relevancia para la seguridad se denominan fuera de escala. La estructura de la escala se muestra en la Figura 1, en forma de una matriz con palabras clave. Las palabras utilizadas no pretenden ser precisas o definitivas. Cada nivel se define en detalle en las Partes III y IV de este manual. Los sucesos se consideran en funcin de tres diferentes reas de impacto representadas por cada una de las columnas: impacto fuera del emplazamiento, impacto en el emplazamiento e impacto en la defensa en profundidad. La primera columna se refiere a sucesos que dan lugar a liberaciones de radiactividad fuera del emplazamiento. Dado que ste es el nico impacto directo posible en el pblico, tales liberaciones son comprensiblemente de particular preocupacin.
PARTE I
MBITO DEL IMPACTO IMPACTO FUERA DEL EMPLAZAMIENTO 7 ACCIDENTE GRAVE LIBERACIN GRANDE: EFECTOS EXTENSOS PARA LA SALUD Y EL MEDIO AMBIENTE IMPACTO EN EL EMPLAZAMIENTO IMPACTO SOBRE LA DEFENSA EN PROFUNDIDAD
6 LIBERACIN SIGNIFICATIVA: ACCIDENTE IMPORTANTE PROBABLEMENTE SE REQUIERA LA APLICACIN PLENA DE LAS CONTRAMEDIDAS PREVISTAS 5 ACCIDENTE CON RIESGO FUERA DEL EMPLAZAMIENTO LIBERACIN LIMITADA: PROBABLEMENTE SE REQUIERA LA APLICACIN PARCIAL DE LAS CONTRAMEDIDAS PREVISTAS LIBERACIN PEQUEA: EXPOSICIN DEL PBLICO DEL ORDEN DE LOS LMITES PRESCRITOS LIBERACIN MUY PEQUEA: EXPOSICIN DEL PBLICO A UNA PEQUEA FRACCIN DE LOS LMITES PRESCRITOS DAOS GRAVES AL NCLEO DEL REACTOR/BARRERAS RADIOLGICAS
4 ACCIDENTE SIN RIESGO SIGNIFICATIVO FUERA DEL EMPLAZAMIENTO 3 INCIDENTE IMPORTANTE 2 INCIDENTE 1 ANOMALA
DAOS SIGNIFICATIVOS AL NCLEO DEL REACTOR/ BARRERAS RADIOLGICAS/ EXPOSICIN MORTAL DE UN TRABAJADOR DIFUSIN IMPORTANTE DE CASI ACCIDENTE SIN CONTAMINACIN/EFECTOS CAPAS DE SEGURIDAD REMANENTES GRAVES PARA LA SALUD DE UN TRABAJADOR DISPERSIN SIGNIFICATIVA DE CONTAMINACIN/ SOBREEXPOSICIN DE UN TRABAJADOR INCIDENTES CON FALLOS SIGNIFICATIVOS DE LAS PROVISIONES DE SEGURIDAD ANOMALA QUE REBASA EL RGIMEN DE EXPLOTACIN AUTORIZADO
0 DESVIACIN
SIN SIGNIFICACIN PARA LA SEGURIDAD
FIG. 1.
Estructura bsica de la escala. (Los criterios que figuran en la matriz son slo indicadores generales.)
As, el punto ms bajo en esta columna representa una liberacin que produce al grupo crtico una dosis de radiacin estimada equivalente en trminos numricos a un dcimo, aproximadamente, del lmite anual de dosis para el pblico; este caso se clasifica como de nivel 3. Una dosis as suele ser alrededor de un dcimo del promedio anual de dosis recibida por radiacin natural de fondo. El nivel ms alto es un accidente nuclear grave de consecuencias muy extensas para la salud y el medio ambiente. La segunda columna se refiere al impacto del suceso en el emplazamiento. Esta categora abarca un intervalo que va desde el nivel 2 (contaminacin y/o sobreexposicin de un trabajador) al nivel 5 (dao grave al ncleo del reactor o las barreras radiolgicas). Todas las instalaciones nucleares se disean y operan de modo que acta una sucesin de capas de seguridad para impedir un impacto grave fuera o dentro del
DESCRIPCIN RESUMIDA
emplazamiento y la extensin de las capas de seguridad previstas generalmente ser proporcionada al potencial para tales impactos. Todas estas capas de seguridad deben fallar para que se produzcan consecuencias sustanciales fuera o dentro del emplazamiento. La previsin de estas medidas o capas de seguridad se denomina defensa en profundidad. La tercera columna se refiere a incidentes en los que estas previsiones para la defensa en profundidad se han degradado. Esta columna abarca los niveles de incidente 1 a 3. Un suceso que impacta en una o ms reas siempre se clasifica al nivel ms alto identificado. Los sucesos que no alcanzan el umbral en ninguna de las tres reas se clasifican por debajo de escala como nivel 0. La figura 2 contiene descripciones tpicas de sucesos de cada nivel junto con ejemplos de clasificacin de sucesos nucleares ocurridos en el pasado en instalaciones nucleares. I1.3. mbito de la escala
La escala puede aplicarse a cualquier suceso asociado con material radiactivo o radiacin y a cualquier suceso que ocurra durante el transporte de material radiactivo. No se clasifican accidentes industriales u otros sucesos no relacionados con las operaciones nucleares o radiolgicas. Tales sucesos se denominan fuera de escala. Por ejemplo, aunque los sucesos asociados con una turbina o generador pueden afectar al equipo relacionado con la seguridad, los fallos que slo afecten a la disponibilidad de la turbina o el generador se clasificaran como fuera de escala. De forma similar, sucesos tales como incendios se clasificarn fuera de escala si no implican ningn posible peligro radiolgico y no afectan a las capas de seguridad. La escala no se aplica a los controles previstos nicamente para la salvaguardia del material fisible. Igualmente, las desviaciones publicadas de la contabilidad de dicho material (material no contabilizado (MNC)) se clasificaran como fuera de escala. I1.4. Uso de la escala
Aunque comparables en lneas generales, los criterios de seguridad nuclear y radiolgica y la terminologa utilizada para describirlos varan de un pas a otro. La escala internacional se ha diseado teniendo en cuenta este hecho, pero es posible que los pases usuarios deseen clarificar la escala en su contexto nacional. Los procedimientos detallados de clasificacin se exponen en este manual. El folleto INES no debe usarse como base para la clasificacin de sucesos, puesto que slo contiene ejemplos de sucesos de cada nivel, en lugar de definiciones reales. La escala se disea para su rpida utilizacin tras un suceso. Sin embargo, habr ocasiones en que se requieran plazos ms largos para entender y clasificar las consecuencias de un suceso. En estas raras circunstancias, se dar una clasificacin
4
NIVEL/ DESCRIPCIN 7 ACCIDENTE GRAVE
PARTE I
NATURALEZA DE LOS SUCESOS Liberacin externa de una gran parte del material radiactivo de una instalacin grande (por ejemplo, el ncleo de un reactor de potencia). Ello comprendera tpicamente una mezcla de productos de fisin radiactivos de corta y larga vida (en cantidades radiolgicamente equivalentes a ms de decenas de miles de terabequerelios de 131I). Esa liberacin dara lugar posiblemente a efectos graves para la salud, efectos retardados para la salud en una amplia zona que abarcase posiblemente ms de un pas; consecuencias a largo plazo para el medio ambiente.
EJEMPLOS Central nuclear de Chernbil, URSS (actualmente en Ucrania), 1986
6 ACCIDENTE IMPORTANTE 5 ACCIDENTE CON RIESGO FUERA DEL EMPLAZAMIENTO
Liberacin externa de material radiactivo (en cantidades radiolgicamente equivalentes al orden de miles a decenas de miles de terabequerelios de 131I). Esa liberacin tendr por resultado probablemente la puesta en prctica plena de las contramedidas previstas en los planes locales para casos de emergencia a fin de limitar los efectos graves para la salud.
Planta de reelaboracin de Kishtim, URSS (actualmente en la Federacin de Rusia), 1957
Liberacin externa de material radiactivo (en cantidades radiolgicamente equivalentes al orden de cien- Windscale Pile, tos a miles de terabequerelios de 131I). Esa liberacin tendr probablemente por resultado la puesta en Reino Unido, prctica parcial de las contramedidas previstas en los planes para casos de emergencia a fin de redu- 1957 cir la probabilidad de efectos para la salud. Daos graves en la instalacin. Ello puede incluir daos graves en una gran parte del ncleo de un reac- Three Mile Island, tor de potencia, un accidente de criticidad importante o un incendio o explosin importante que libere Estados Unidos de grandes cantidades de radiactividad dentro de la instalacin. Amrica, 1979 Liberacin externa de radiactividad que tenga por resultado una dosis al grupo crtico del orden de algunos milisieverta. Con esa liberacin, por lo general sera poco probable que se requirieran medidas de proteccin fuera del emplazamiento, con excepcin de un posible control local de los alimentos. Daos significativos en la instalacin. Un accidente de este tipo podra implicar daos que originasen Planta de reelaboracin problemas de recuperacin en el emplazamiento, tal como la fusin parcial del ncleo en un reactor de de Windscale, Reino Unido, 1973 potencia y sucesos comparables en instalaciones que no sean reactores. Central nuclear de Saint Laurent, Francia, 1980 Irradiacin de uno o ms trabajadores que se traduzca en una sobreexposicin con alta probabilidad de Conjunto crtico de Buenos Aires, muerte temprana. Argentina, 1983
4 ACCIDENTE SIN RIESGO SIGNIFICATIVO FUERA DEL EMPLAZAMIENTO
3 INCIDENTE IMPORTANTE
Liberacin externa de radiactividad que d por resultado una dosis al grupo crtico del orden de dcimos de milisieverta. Con esa liberacin, pueden no ser necesarias las medidas de proteccin fuera del emplazamiento. Sucesos en el emplazamiento que se traduzcan en dosis recibidas por los trabajadores suficientes para causar efectos graves para la salud y/o un suceso que provoque una fuerte dispersin de contaminacin, por ejemplo, algunos miles de terabequerelios de actividad liberados en una contencin secundaria en que el material pueda llevarse de vuelta a una zona de almacenamiento satisfactoria. Incidentes en que un fallo posterior de los sistemas de seguridad podra dar lugar a condiciones de acci- Central nuclear de dente o a una situacin en que los sistemas de seguridad seran incapaces de impedir un accidente si Vandells, se produjeran ciertos sucesos iniciadores. Espaa, 1983
2 INCIDENTE
Incidentes con fallo significativo de las disposiciones de seguridad pero en que subsiste una defensa en profundidad suficiente para hacer frente a fallos adicionales. Esto incluye sucesos en que los fallos reales se clasificaran como nivel 1, pero que revelan deficiencias significativas adicionales de la organizacin o la cultura de seguridad. Un suceso que produzca una dosis a un trabajador que exceda el lmite anual de dosis autorizado y/o un suceso que cause la presencia de cantidades significativas de radiactividad en zonas de la instalacin donde no lo prevea el diseo y que requiera medidas correctivas.
1 ANOMALA
Anomala que rebase el rgimen autorizado, pero en que queda una defensa en profundidad significativa. Puede deberse a fallos de equipo, error humano o procedimientos inadecuados y puede ocurrir en cualquier rea abarcada por la escala, por ejemplo, operacin de la planta, transporte de material radiactivo, manejo de combustible y almacenamiento de residuos. Algunos ejemplos son: incumplimiento de especificaciones tcnicas o normativa de transporte, incidentes sin consecuencias directas de seguridad que revelan fallos de la organizacin o la cultura de seguridad, defectos menores de tuberas por encima de lo esperado en el programa de vigilancia.
DESVIACIN
Desviaciones en que no se exceden las condiciones y lmites de operacin y que se gestionan correctamente segn procedimientos apropiados. Algunos ejemplos son: un fallo nico aleatorio descubierto en un sistema redundante durante una inspeccin o prueba peridica, un disparo del reactor que evoluciona normalmente, la actuacin espuria de sistemas de seguridad sin consecuencias significativas, fugas dentro de lmites operacionales, dispersin menor de contaminacin en zonas controladas sin implicaciones ms amplias para la cultura de seguridad.
Las dosis se expresan en trminos de dosis equivalente efectiva (dosis corporal). Estos criterios, cuando sea conveniente, tambin pueden expresarse en trminos de los correspondientes lmites anuales de descarga de efluentes autorizados por las autoridades nacionales.
FIG. 2. La Escala Internacional de Sucesos Nucleares (para la pronta comunicacin de la significacin en lo referente a la seguridad).
DESCRIPCIN RESUMIDA
provisional con una confirmacin en fecha posterior. Tambin es posible que como resultado de informacin posterior se requiera reclasificar un suceso. Aunque la escala se utiliza para todas las instalaciones, en cierto tipo de stas es fsicamente imposible que ocurran sucesos que liberen al medio ambiente cantidades considerables de material radiactivo. Para estas instalaciones no seran aplicables los niveles altos de la escala. Entre ellas figuran los reactores de investigacin, las instalaciones de tratamiento de combustible no irradiado y los emplazamientos de almacenamiento de residuos. La escala no sustituye los criterios ya adoptados a nivel nacional e internacional de anlisis tcnico y notificacin de sucesos a las autoridades de seguridad, ni forma parte de las disposiciones formales de emergencia que existan en cada pas para afrontar accidentes radiolgicos. La escala no constituye una base apropiada de seleccin de sucesos con fines de retroinformacin sobre experiencia operativa, dado que frecuentemente se pueden sacar enseanzas importantes de sucesos relativamente poco significativos. Finalmente, no es apropiado utilizar la escala para comparar la actuacin en materia de seguridad entre pases. Cada pas tiene diferentes disposiciones para notificar sucesos menores al pblico y es difcil asegurar con precisin la coherencia internacional en la clasificacin de sucesos en la frontera entre los niveles 0 y 1. Aunque generalmente se facilitar informacin sobre los sucesos de nivel 2 y superiores en la escala, el nmero estadsticamente pequeo de tales sucesos, que tambin vara de ao en ao, hace difcil realizar comparaciones internacionales significativas. I1.5. Ejemplos de clasificacin de sucesos nucleares
El accidente de 1986 en la central nuclear de Chernbil en la URSS (ahora en Ucrania) produjo efectos extensos en el medio ambiente y la salud humana. Se clasifica como de nivel 7. El accidente de 1957 en la planta de reproceso de Kishtim en la URSS (ahora en la Federacin de Rusia) dio lugar a una gran liberacin fuera del emplazamiento. Se tomaron medidas de emergencia, incluida la evacuacin de la poblacin, para limitar los efectos graves a la salud. En base al impacto fuera del emplazamiento este suceso se clasifica como de nivel 6. El accidente de 1957 en el reactor con pila de grafito refrigerado por aire en la instalacin de Windscale (ahora Sellafield) en el Reino Unido origin una liberacin externa de productos radiactivos de fisin. En base al impacto fuera del emplazamiento, se clasifica como de nivel 5. El accidente de 1979 en la central nuclear de Three Mile Island en EE.UU. dio lugar a que se daase gravemente el ncleo del reactor. La liberacin de radiactividad fuera del emplazamiento fue muy pequea. El suceso se clasifica como de nivel 5 en base al impacto en el emplazamiento.
PARTE I
El accidente de 1973 en la planta de reproceso de Windscale (ahora Sellafield) en el Reino Unido supuso una liberacin de material radiactivo a zonas operativas de la planta como resultado de una reaccin exotrmica en una vasija de proceso. Se clasifica como de nivel 4 en base al impacto en el emplazamiento. El accidente de 1980 en la central nuclear de Saint Laurent en Francia dio lugar a que se daara parcialmente el ncleo del reactor, pero no hubo liberacin exterior de radiactividad. Se clasifica como de nivel 4 en base al impacto en el emplazamiento. El accidente de 1983 en el conjunto crtico RA-2 en Buenos Aires, Argentina, una excursin accidental de potencia debida a la inobservancia de normas de seguridad durante una secuencia de modificacin del ncleo, dio lugar a la muerte de un operador que probablemente estuviera a 34 m. Las estimaciones de dosis absorbida indican 21 Gy de dosis gamma, junto con 22 Gy de dosis por neutrones. El suceso se clasifica como de nivel 4 en base al impacto en el emplazamiento. El incidente de 1989 en la central nuclear de Vandells I en Espaa no dio lugar a liberacin externa de radiactividad, ni se da el ncleo del reactor, ni se contamin el emplazamiento. Sin embargo, el dao producido por el fuego a los sistemas de seguridad de la planta degrad la defensa en profundidad significativamente. El suceso se clasifica como de nivel 3 en base al impacto en la defensa en profundidad. La gran mayora de los sucesos notificados se clasifican por debajo del nivel 3. Aunque aqu no se den ejemplos de estos sucesos, los pases que utilizan la escala pueden desear, individualmente, aportar ejemplos de sucesos correspondientes a estos niveles bajos. I1.6. Estructura del manual Este manual consta de seis partes: La Parte I aporta una visin general de la escala; La Parte II es un resumen del procedimiento a utilizar para clasificar los sucesos y notificarlos al servicio de informacin INES; La Parte III da las orientaciones detalladas necesarias para clasificar los sucesos por el impacto fuera y dentro del emplazamiento; La Parte IV ofrece las orientaciones detalladas necesarias para clasificar los sucesos por su impacto en la defensa en profundidad; La Parte V consiste en ejemplos que ilustran el uso de las orientaciones de clasificacin; La Parte VI contiene varios apndices que dan informacin detallada sobre aspectos particulares de la escala.
Parte II PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA
II1. PROCEDIMIENTO DE CLASIFICACIN El diagrama de flujo de las siguientes pginas describe brevemente el procedimiento de clasificacin de INES para cualquier suceso relacionado con material radiactivo y/o radiacin y cualquier suceso que ocurra durante el transporte de material radiactivo. El diagrama de flujo se ha diseado de forma que muestre el camino lgico a seguir para evaluar el significado de cualquier suceso desde el punto de vista de la seguridad. Aporta una visin general para los noveles en cuestiones de clasificacin y un resumen del procedimiento para quienes estn familiarizados con el Manual del usuario de INES. Por supuesto, no se puede utilizar aislado de las orientaciones detalladas contenidas en las Partes III y IV. El programa informtico INESAR (INES Automatic Rating) se ha desarrollado en base a un diagrama de flujo previo similar.
II2. COMUNICACIN DE SUCESOS AL SERVICIO DE INFORMACIN DEL OIEA El Oficial Nacional INES tiene el deber de comunicar lo antes posible (objetivo: en 24 horas) informacin oficial sobre las consecuencias de un suceso a todos los pases participantes (vase el Apndice VI) por medio del Servicio de Informacin INES del OIEA. Los criterios para identificar qu sucesos deben comunicarse son: a) b) Los sucesos clasificados como de nivel 2 o superior, Los sucesos que atraen el inters del pblico internacional.
La informacin se presenta en un formato especfico utilizando el Event Rating Form que facilita el OIEA. Este formato se enva al Servicio de Informacin INES del OIEA mediante dos canales redundantes, fax y correo electrnico. El Servicio de Informacin INES siempre est en funcionamiento y por lo tanto asegura la distribucin del formulario en cualquier momento.
PARTE II
Hoja 1 Procedimientos de clasificacin INES Principio
Es aplicable INES ?
No
Fuera de escala
Efectos fuera del emplazamiento ?
No
Efectos en el emplazamiento ?
No
S Fuera del emplazamiento

Subprocedimiento fuera del emplazamiento
S En el emplazamiento
Subprocedimiento en el emplazamiento
Defensa en profundidad (D.E.P.)

Subprocedimiento (D.E.P.)
Liberacin exterior Dosis a grupo crtico Prdida de fuente en transporte
Dao radiolgico Contaminacin Dosis a los trabajadores
Mtodo de capas Mtodo de iniciadores Factores adicionales
Nivel MAX fuera del emplazamiento

Vaya a hoja 2
Nivel MAX en el emplazamiento

Vaya a hoja 3
Nivel MAX D.E.P.
Vaya a hoja 4
Tomar el mximo de fuera, dentro de emplazamiento y D.E.P.
Fin
PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA
Hoja 2 Subprocedimiento fuera del emplazamiento
No
Dispersin de material radiolgico ? S
Suceso localizado, por ejemplo una fuente perdida
Liberacin radiolgica
Una dispersin externa radiolgicamente equivalente a varios 1016 Bq de 131I ? No Una dispersin externa radiolgicamente equivalente a entre 1015 y 1016 Bq de 131I?
Nivel 7
Nivel 6
No Una dispersin externa radiolgicamente equivalente a entre 1014 y 1015 Bq de 131I? No
Nivel 5
Muerte temprana?
No
Dosis al grupo crtico
Nivel 4
S
Dosis al individuo ms expuesto del orden de mSv? S No Dosis al individuo ms expuesto del orden de dcimas de mSv? No
Efectos agudos a la salud?

No
Nivel 3
S
No aplicable
No aplicable
Nivel MAX fuera del emplazamiento
10
Hoja 3 Subprocedimiento en el emplazamiento
Dao a las barreras radiolgicas Dispersin de contaminacin? Dosis a los trabajadores S No
No
Dao severo al ncleo o barreras radiolgicas? (1)
Nivel 5
No
Exposicin mortal de un trabajador? (6) No S Dispersin severa de contaminacin? (4) S
Nivel 4
PARTE II
Nivel 4
No S
Nivel 3
Dao significativo al ncleo o barreras radiolgicas? (2) No (7)
Sobreexposicin de un trabajador que produce efectos graves de salud?
Nivel 3
No
Nivel 3
No
Dispersin grave de contaminacin? (5)
Sobreexposicin de trabajadores? (8) No
Liberacin significativa desde barreras que puede conducirse a un almacenamiento satisfactorio? (3) No
Nivel 2
No aplicable
No aplicable
No aplicable Nivel MAX en el emplazamiento
11
Notas a la Hoja 3 1. Se funde ms de un pequeo porcentaje del combustible de un reactor de potencia, o ms de un pequeo porcentaje del inventario del ncleo se libera desde los elementos combustibles. Incidentes en otras instalaciones que implican una gran liberacin de radiactividad al emplazamiento (comparable con la liberacin desde un ncleo fundido) con importante amenaza a la seguridad radiolgica fuera del emplazamiento. Ha habido una fusin cualquiera de combustible, o ms de alrededor del 0,1% del inventario del ncleo de un reactor de potencia se ha liberado desde los elementos combustibles. Sucesos en instalaciones no consistentes en reactores que impliquen la liberacin de unos pocos miles de terabequerelios de actividad desde su contencin primaria que no pueden devolverse a una zona de almacenamiento satisfactoria. Sucesos que resultan en la liberacin de unos pocos miles de terabequerelios de actividad hacia una contencin secundaria en que el material no puede devolverse a una zona de almacenamiento satisfactoria. Sucesos que resultan en una tasa de dosis o un nivel de contaminacin que fcilmente podran dar lugar a que uno o ms trabajadores recibieran una dosis que produzca efectos graves para la salud (tal como una exposicin corporal del orden de 1 Gy y exposiciones de la superficie corporal del orden de 10 Gy). Un suceso que da lugar a la suma de tasas de dosis gamma ms neutrones mayor que 50 mSv por hora en una zona de operacin de la planta (tasa de dosis medida a 1 m desde la fuente). Un suceso que origina la presencia de cantidades significativas de radiactividad en la instalacin, en zonas donde no lo prevea el diseo (vase la Seccin III2.3) y que requiere acciones correctivas. En este contexto, cantidad significativa debe interpretarse como: a) contaminacin por lquidos que implican una actividad radiolgica total equivalente a unos pocos cientos de gigabequerelios de 176Ru; b) un derrame de material slido radiactivo de significacin radiolgica equivalente a la del orden de unos pocos cientos de gigabequerelios de 176Ru, siempre que los niveles de contaminacin superficial y area sobrepasen diez veces los permitidos para zonas controladas; c) una liberacin area de material radiactivo, contenida en un edificio y que implica cantidades de significacin radiolgica equivalente a la del orden de unas pocas decenas de gigabequerelios de 131I.
2.
3.
4.
5.
12
PARTE II
6.
Irradiacin externa de uno o ms trabajadores, que produce una sobreexposicin con alta probabilidad de que ocurra una muerte temprana (alrededor de 5 Gy). Sucesos cuyo resultado es una tasa de dosis o un nivel de contaminacin que dan lugar a que uno o ms trabajadores reciban una dosis que produzca efectos graves en la salud (tales como exposicin corporal del orden de 1 Gy y exposiciones de la superficie corporal del orden de 10 Gy). Un suceso que produzca a uno o ms trabajadores una dosis que sobrepase un lmite anual de dosis de la Comisin Internacional de Proteccin Radiolgica para trabajadores expuestos a radiacin. Un suceso que origine la necesidad de una ciruga importante para evitar una dosis que de otro modo hubiera sido alrededor de un orden de magnitud superior al lmite anual de dosis.
7.
8.
13
Hoja 4 Subprocedimiento de defensa en profundidad (D.E.P.)
No
Hay algn fallo potencial (inclusive un defecto estructural)? (Seccin IV3.2.3)
S
Fue descubierto el defecto durante la vigilancia habitual y se ajusta a criterios de aceptacin?
Nivel 0
No
Hay alguna posibilidad de que el fallo potencial detectado durante la vigilancia habitual produjera una degradacin o una amenaza (= iniciador) a las funciones de seguridad ?
No
Nivel 0
S
Suponga que el fallo potencial haya originado un fallo real y determine el impacto en las funciones de seguridad y/o la amenaza a tales funciones
Suceso obviamente sin importancia para la seguridad? (Seccin IV3.2.4)
Nivel 0
No S
Afecta el suceso a reactores de potencia?
No
Mtodo de iniciadores
Vaya a hoja 5
Mtodo de capas
Vaya a hoja 6
En caso de fallos potenciales, ajuste la clasificacin en base a la probabilidad de que el fallo potencial evolucione hasta un fallo real (Seccin IV3.2.3)
Clasificacin bsica por D.E.P. Aumente la clasificacin en un nivel si est justificado. Los temas a considerar (Seccin IV3.3) son: l Fallos por causa comn l Procedimientos inadecuados l Deficiencias en la cultura de seguridad: Violaciones de procedimientos relativos a CLO Deficiencias en el proceso de GC Acumulacin de errores humanos Falta de mantenimiento de un control adecuado de los materiales radiactivos o la dosis personal Enseanzas de un suceso anterior no aprovechadas Verificacin de la coherencia de la clasificacin por cotejo con la descripcin general de los niveles (Fig. 2)
Nivel MAX D.E.P.
14
Hoja 5 Mtodo del iniciador
Hubo iniciador (suceso iniciador)?
No
S
Se degrad una funcin de seguridad? (incluyendo los fallos en los sistemas especficamente previstos para proteccin contra riesgos)
No
Nivel 0
Determine la clasificacin bsica
(Ocurri un suceso iniciador) (Degradacin de funcin de seguridad)
Determine la clasificacin bsica
Clasificacin de sucesos por su impacto en la defensa en profundidad con iniciador Frecuencia del iniciador (1) Capacidad de operacin de la funcin de seguridad (2) A: Plena
Clasificacin de sucesos por su impacto en la defensa en profundidad sin iniciador real
Determine la categora de frecuencia del iniciador (1): Esperada Posible Improbable Esperado Posible Improbable Determine la capacidad de operacin de la funcin de seguridad degradada (2): A: Plena B: Dentro de los requisitos de las CLO C: Adecuada D: Inadecuada
0
PARTE II
Frecuencia del iniciador (1)
Capacidad de operacin de la funcin de seguridad (2)

0 1/2 2/3 3+ 3+ 3+ 2/3 2/3 2/3 2/3 1 2
Esperado Posible Improbable
A: Plena
B: Dentro de los requisitos de las CLO
B: Dentro de los requisitos de las CLO
C: Adecuada
C: Adecuada D: Inadecuada
1/2 3
1 2
1 1
Determine la capacidad de operacin de las funciones de seguridad amenazadas por los iniciadores (2): A: Plena B: Dentro de los requisitos de las CLO C: Adecuada D: Inadecuada Determine la frecuencia del iniciador que se supone amenaz la funcin de seguridad : Esperada Posible Improbable
D: Inadecuada
Reduzca la clasificacin en un nivel si el perodo de no disponibilidad fue muy corto comparado con el intervalo de prueba
Clasificacin por el mtodo del iniciador
15
Notas a la Hoja 5 1. Definicin de iniciador y frecuencia de iniciador: un iniciador es un hecho que supone una amenaza para los sistemas de seguridad y hace que funcionen. En la prctica, el iniciador puede ser diferente del hecho que da origen al suceso. Las categoras de frecuencia de iniciadores son las siguientes: Esperado: Posible: iniciadores que se espera que ocurran una o varias veces durante la vida de la planta. iniciadores que no son esperados, pero que tienen una frecuencia prevista durante la vida de la planta superior al 1% aproximadamente (es decir, alrededor de 3 104/a). iniciadores considerados en el diseo de la planta menos probables que los anteriores.
Improbable:
2.
Capacidad de operacin de una funcin de seguridad: las tres funciones bsicas de seguridad son: a) control de la reactividad o las condiciones de proceso; b) refrigeracin del material radiactivo; c) confinamiento del material radiactivo. La funcin se cumple mediante sistemas de seguridad que incluyen sistemas de apoyo como los de suministro elctrico, refrigeracin e instrumentacin. Como marco para la clasificacin de los sucesos, se consideran cuatro niveles de capacidad operativa: A Plena: todos los sistemas y componentes de seguridad considerados por el diseo para afrontar un iniciador determinado estn plenamente operables. B Mnima requerida (por las condiciones y lmites de operacin (CLO)): capacidad mnima de operacin de los sistemas de seguridad especificada en las CLO para la continuacin del funcionamiento a potencia, incluso durante un tiempo limitado. C Adecuada: un nivel de capacidad operativa de los sistemas de seguridad suficiente para lograr la funcin de seguridad prevista en particular para el iniciador considerado. D Inadecuada: la degradacin de la capacidad operativa de los sistemas de seguridad es tal que la funcin de seguridad no puede cumplirse.
16
PARTE II
Hoja 6 Mtodo de capas
I
Determine las mximas consecuencias posibles
Hubo una amenaza a las funciones de seguridad?
No
S
Era esperada durante la vida de la planta y tenan plena capacidad operativa todos los sistemas de seguridad requeridos?
No
S
Estaban todas las disposiciones de seguridad dentro de los requisitos de las CLO?
No
Identifique las capas de seguridad remanentes y sus relaciones de dependencia
Hay alguna capa de seguridad independiente de alta integridad para afrontar la amenaza a las disposiciones de seguridad? (1)
No
Determine las capas de seguridad independientes que quedan Capas de seguridad remanentes Mximas consecuencias potenciales Niveles 5, 6, 7 A B C D Ms de 3 3 2 1o0 0 1 2 3 Niveles 3, 4 0 0 1 2 Niveles 1o2 0 0 0 1 Dentro S de los requisitos de las CLO?
Reduzca la clasificacin en un nivel si el perodo de no disponibilidad fue muy corto en comparacin con el intervalo de prueba
Nivel 0?
No
Nivel 1 Nivel 0
No
Clasificacin por el mtodo de capas
17
Notas a la Hoja 6 1. Una capa de seguridad de alta integridad debe tener todas las caractersticas siguientes: a) Estar concebida para hacer frente a todos los fallos de relevancia previstos en la base de diseo y estar explcita o implcitamente reconocida en la justificacin de seguridad de la planta como elemento que requiere un nivel de integridad o fiabilidad especialmente alto. b) Su integridad se garantiza mediante una labor de inspeccin o vigilancia adecuadas que permita detectar toda degradacin de esa integridad. c) Si se detecta en ella cualquier degradacin, hay medios claros para afrontar este hecho y aplicar medidas correctivas, ya sea por medio de procedimientos preestablecidos o por disponerse de prolongados intervalos de tiempo para mitigar el fallo.
Parte III IMPACTO FUERA DEL EMPLAZAMIENTO Y EN EL EMPLAZAMIENTO

III1. IMPACTO FUERA DEL EMPLAZAMIENTO III1.1. Descripcin general La clasificacin de sucesos por el criterio del impacto fuera del emplazamiento tiene en cuenta el impacto radiolgico real fuera de la instalacin nuclear. Esto puede expresarse en trminos de la cantidad de actividad liberada desde la instalacin o de la dosis evaluada a miembros del pblico. Se acepta que en caso de accidente significativo en una instalacin, en una primera fase, no ser posible determinar con exactitud la amplitud de la liberacin al exterior. Sin embargo, debera poderse indicar en lneas generales esa amplitud y as asignar al accidente un nivel provisional en la escala. Es posible que una posterior revaluacin de la magnitud de la liberacin requiera una revisin de la estimacin inicial de la clasificacin del suceso en la escala. Es importante advertir que el grado de respuesta de emergencia a los accidentes no se usa como base para la clasificacin. Los detalles de la planificacin contra los accidentes en centrales nucleares varan de un pas a otro y tambin es posible que en algunos casos se tomen medidas de precaucin incluso sin estar plenamente justificadas por la magnitud de la liberacin. Por estas razones, es esa magnitud y la dosis evaluada lo que se debe utilizar para clasificar el suceso en la escala y no las medidas protectoras tomadas respondiendo al plan de emergencia. Se han seleccionado cinco niveles, que van desde el 7, correspondiente a la liberacin de una gran parte del inventario del ncleo de una central nuclear comercial, hasta el 3, en que la dosis a un miembro del pblico equivale numricamente a aproximadamente un dcimo del lmite anual de dosis. En el caso de los niveles 3 y 4, la dosis comprometida al grupo crtico es lo que se utiliza para estimar el nivel adecuado. Los niveles 5 a 7 se definen en funcin de la cantidad de actividad liberada, radiolgicamente equivalente a determinado nmero de terabequerelios de 131I. La razn del cambio es que para estas grandes liberaciones la dosis realmente recibida depender mucho de las contramedidas aplicadas. Los niveles de liberacin se establecieron sobre la base de que, teniendo en cuenta las contramedidas probables, se estimaba que una liberacin de nivel 5 podra originar dosis del orden de diez veces la dosis definida para el nivel 4. Por supuesto, el volumen real de la liberacin de radiactividad correspondiente al umbral del nivel 5 supera en bastante ms que un orden al volumen mnimo de una liberacin que correspondiera al nivel 4.
IMPACTO FUERA DEL EMPLAZAMIENTO Y EN EL EMPLAZAMIENTO
19
Por debajo del nivel 3, el impacto fuera del emplazamiento se estima insignificante a efectos de la clasificacin del suceso en la escala. A estos niveles inferiores, slo deben considerarse el impacto en el emplazamiento y en la defensa en profundidad. Los sucesos examinados en el marco del impacto fuera del emplazamiento sern de dos tipos, ambos considerados en la definicin que se da ms abajo. El primero se refiere a las liberaciones que se dispersan en medida considerable, de modo que las dosis sern pequeas, pero a un significativo nmero de miembros del pblico. El segundo se refiere a dosis, como las que pueden ocurrir por la prdida de una fuente o un suceso de transporte, que pueden ser mayores, pero para un nmero de personas mucho ms pequeo. Se dan orientaciones especficas para este ltimo tipo de sucesos en las definiciones de los niveles 3 y 4. Las definiciones de los niveles 5 a 7 aplican a ambos tipos de sucesos. III1.2. Definicin de niveles Nivel 7. Liberacin grave Definicin: Liberacin externa correspondiente a una cantidad de radiactividad radiolgicamente equivalente1 a una liberacin a la atmsfera de varias decenas de miles de terabequerelios de 131I o ms. Esto corresponde a la liberacin de una gran parte del inventario del ncleo de un reactor de potencia, que tpicamente comprende una mezcla de productos de fisin de vida corta y larga. Con una liberacin de este tipo, existe la posibilidad de efectos graves para la salud. Son de esperar efectos diferidos para la salud en una amplia zona que abarque tal vez ms de un pas. Tambin son probables consecuencias medioambientales a largo plazo. Nivel 6. Liberacin significativa Definicin: Liberacin externa correspondiente a una cantidad de radiactividad radiolgicamente equivalente (ver a pie de pgina nota 1) a una liberacin a la atmsfera del orden de miles a decenas de miles de terabequerelios de 131I. Con una liberacin de este tipo es muy probable que se estimen necesarias medidas protectoras, tales como permanencias en edificios o evacuacin, a fin de limitar los efectos a la salud de miembros del pblico en la zona cubierta por el plan de emergencia.
1
La equivalencia radiolgica se define en la Seccin III1.3.
20
PARTE III
Nivel 5. Liberacin limitada Definicin: Liberacin externa correspondiente a una cantidad de radiactividad radiolgicamente equivalente (ver a pie de pgina nota 1) a una liberacin a la atmsfera del orden de cientos a miles de terabequerelios de 131I. Como consecuencia de tal liberacin sern probablemente necesarias algunas medidas protectoras, por ejemplo permanencia en edificios y/o evacuacin localizadas para minimizar la probabilidad de efectos en la salud. Nivel 4. Liberacin menor Definicin: Liberacin externa de radiactividad que da lugar a una dosis (segn se define en la Seccin III1.3) al grupo crtico del orden de unos pocos milisievert, o suceso, tal como la prdida de una fuente o percance en un transporte, que produce una dosis a un miembro del pblico mayor de 5 Gy (es decir, que implique una alta probabilidad de muerte temprana). Como consecuencia de tal liberacin, es en general improbable la aplicacin de acciones protectoras fuera del emplazamiento, excepto posibles controles locales de alimentos. En todo caso, se pueden adoptar otras medidas como precaucin para evitar que siga degradndose el estado de la planta. Tal estado se tiene en cuenta en los dems mbitos del impacto (impacto en el emplazamiento e impacto sobre la defensa en profundidad). Nivel 3. Liberacin muy pequea Definicin: Liberacin externa de radiactividad que da lugar a una dosis (segn se define en la Seccin III1.3) al grupo crtico del orden de dcimas de milisievert, o suceso, tal como la prdida de una fuente o percance en un transporte, que produce una dosis a un miembro del pblico que conlleva efectos graves para la salud (tal como una exposicin del cuerpo entero del orden de 1 Gy y la exposicin de la superficie corporal del orden de 10 Gy). A raz de una liberacin de este tipo no son necesarias medidas protectoras fuera del emplazamiento. No obstante, tales medidas se pueden adoptar como precaucin para evitar que siga degradndose el estado de la planta. Tal estado se tiene en cuenta en
21
los dems mbitos del impacto (impacto en el emplazamiento e impacto sobre la defensa en profundidad). III1.3. Clculo de equivalencia radiolgica y dosis En el caso de los niveles 5 a 7, es probable que se aplique una prohibicin de alimentos y por tanto la importancia radiolgica relativa de la liberacin a la atmsfera debera evaluarse comparando la dosis efectiva total comprometida derivada de todos los nucleidos y resultante de la inhalacin, de la dosis externa causada por el paso de la nube de material radiactivo y de la irradiacin externa a largo plazo, debida a la actividad depositada, es decir, de todas las vas excepto la ingestin. Utilizando las hiptesis formuladas en el Apndice I, se ha calculado y se presenta en la Tabla I el factor de multiplicacin aplicable a una variedad de istopos. La actividad realmente liberada debe multiplicarse por el factor indicado y despus compararse con los valores dados en la definicin de cada nivel. TABLA I. EQUIVALENCIA RADIOLGICA EN CASO DE IMPACTO FUERA DEL EMPLAZAMIENTO (slo aplicable a los niveles 5 a 7)
Istopo
3H 131I 137Cs 134Cs 132Te 54Mn 60Co 90Sr 106Ru 235U(S)a 235U(M)a 235U(F)a 238U(S)a 238U(M)a 238U(F)a
Factor de multiplicacin 0,02 1 30 20 0,3 4 50 10 7 800 300 100 700 300 50 800 10 000 9 000 Insignificante (prcticamente 0)
Unat 239Pu (Clase Y) 241Am Gases nobles

a
Tipos de absorcin pulmonar: S lento; M medio; F rpido. En caso de duda, utilcese el valor ms conservador.
22
PARTE III
En el caso de los niveles 3 y 4, probablemente haya una pequea prohibicin de alimentos, o ninguna, y la importancia radiolgica relativa se estima comparando la dosis efectiva comprometida correspondiente a la incorporacin en el grupo crtico por todas las vas posibles. Este valor ha de calcularse utilizando las hiptesis estndar del pas para la evaluacin de la dosis sin tener en cuenta la direccin del viento en el momento de la liberacin o la poca del ao en que ocurre. No es posible ofrecer factores de multiplicacin para los niveles 3 y 4 porque la dosis por ingestin depender de las prcticas agrcolas en el pas. Las descargas lquidas que producen dosis al grupo crtico muy superiores a las del nivel 4 podran tenerse que clasificar como de nivel 5 o por encima, pero, de nuevo, la estimacin de la equivalencia radiolgica sera especfica del emplazamiento y por lo tanto aqu no se puede ofrecer orientacin detallada.
III2. IMPACTO EN EL EMPLAZAMIENTO III2.1. Descripcin general Para clasificar los sucesos atendiendo al impacto en el emplazamiento se tiene en cuenta el impacto real en el emplazamiento de la instalacin nuclear, independientemente de las posibles liberaciones fuera de ese emplazamiento y las implicaciones de la defensa en profundidad. Se consideran la amplitud del dao radiolgico principal, por ejemplo el dao del ncleo, la dispersin de los productos radiolgicos dentro del emplazamiento pero fuera de las contenciones previstas en el diseo y los niveles de dosis a los trabajadores. Los sucesos que producen daos radiolgicos se clasifican en los niveles 4 y 5, los que producen contaminacin, en los niveles 2 y 3, y los que causan altas dosis a los trabajadores, en los niveles 2 a 4. La importancia de la contaminacin se mide bien por la cantidad dispersada, o bien por la tasa de dosis resultante. Estos criterios se refieren a las tasas de dosis existentes en una zona de operaciones pero no requieren que un trabajador est realmente presente. No deben confundirse con los criterios de dosis a los trabajadores que se refieren a dosis realmente recibidas. Se acepta que es posible que no se conozca la naturaleza exacta del dao a la planta durante algn tiempo tras un accidente con consecuencias de ese tipo en el emplazamiento. Sin embargo, debe ser posible estimar en general la probabilidad de un dao mayor o menor y decidir si clasificar el suceso provisionalmente en el nivel 4 o 5 de la escala. Es posible que una revaluacin posterior del estado de la planta requiera una reclasificacin del suceso. Por debajo de nivel 2, el impacto en el emplazamiento se considera insignificante a los efectos de la clasificacin de un suceso en la escala; a estos niveles inferiores slo tiene que considerarse el impacto en la defensa en profundidad.
23
III2.2. Definicin de niveles Nivel 5. Dao grave al ncleo del reactor o a las barreras radiolgicas Definicin: Se fundemsdeun pequeo porcentajedel ncleodeunreactorde potencia o se libera de los elementos combustibles ms de un pequeo porcentaje del inventario del ncleo. Incidentes en otro tipo de instalaciones que conllevan una gran liberacin de radiactividad en el emplazamiento (comparable con la liberacin que produce un ncleo fundido) con serias amenazas a la seguridad radiolgica fuera del emplazamiento. En las instalaciones distintas de reactores cabe citar como ejemplo un gran accidente de criticidad o un gran incendio o explosin que liberase grandes cantidades de actividad dentro de la instalacin. Nivel 4. Dao significativo al ncleo del reactor o a las barreras radiolgicas o exposicin mortal de un trabajador Definicin: Cualquier fusin de combustible de un reactor de potencia o liberacin de ms del 0,1% del inventario del ncleo desde los elementos combustibles. Sucesos en instalaciones distintas de reactores que conllevan la liberacin de unos pocos miles de terabequerelios de actividad desde su contencin primaria2 que no pueden devolverse a una zona de almacenamiento satisfactoria. Irradiacin externa de uno o ms trabajadores que da lugar a una dosis mayor de 5 Gy (es decir, con una alta probabilidad de muerte temprana). Nivel 3. Dispersin importante de contaminacin y/o sobreexposicin de un trabajador con consecuencias graves para la salud Definicin: Sucesos que dan lugar a una tasa de dosis o un nivel de contaminacin que origina o puede fcilmente originar una dosis en uno o ms trabajadores que produzca consecuencias graves para la salud (por
En este contexto, los trminos contencin primaria y secundaria se refieren al confinamiento de materiales radiactivos en instalaciones distintas de reactores y no se deben confundir con trminos similares utilizados para contenciones de reactores.
24
PARTE III
ejemplo una exposicin del cuerpo entero del orden de 1 Gy y exposiciones de superficie corporal del orden de 10 Gy).3 Sucesos que dan lugar a la liberacin de unos pocos miles de terabequerelios de actividad en una contencin secundaria (ver nota 2 al pie de pgina) desde donde el material puede devolverse a una zona de almacenamiento adecuada. Nivel 2. Gran dispersin de contaminacin y/o sobreexposicin de trabajadores Definicin: Sucesos que dan lugar a una dosis a uno o ms trabajadores que excede del lmite reglamentario anual para personal expuesto a radiacin. Sucesos que dan lugar a tasas de dosis de rayos gamma ms neutrones mayores que 50 mSv por hora en una zona de operacin de la planta (la tasa de dosis medida a 1 m de la fuente). Sucesos que causan la presencia de cantidades significativas de radiactividad en la instalacin en zonas no previstas por el diseo (vanse las definiciones formuladas al final de la Parte IV) y que requieren acciones correctivas. En este contexto cantidad significativa se interpreta como: a) Contaminacin por lquidos que conlleva una actividad total radiolgicamente equivalente a unos pocos cientos de gigabequerelios de 106Ru. b) Derrame de material radiactivo slido radiolgicamente equivalente a unos pocos cientos de gigabequerelios de 106Ru, siempre que los niveles de contaminacin superficial y area excedan diez veces de los permitidos en zonas operacionales (vanse las definiciones formuladas al final de la Parte IV). c) Una liberacin area de material radiactivo, contenida en un edificio y que conlleva cantidades radiolgicamente significativas equivalentes a unas pocas decenas de gigabequerelios de 131I.
III2.3. Clculo de equivalencia radiolgica En el Apndice I se indican las hiptesis a utilizar en el clculo de la equivalencia radiolgica en el caso de impacto en el emplazamiento. En base a estas
Esto requiere estimaciones basadas en la tasa de dosis, el tiempo y las medidas protectoras.
3
25
hiptesis, se ha calculado el factor de multiplicacin para una serie de istopos y se presenta en la Tabla II. La actividad realmente liberada debe multiplicarse por el factor indicado y luego compararse con los valores indicados en la definicin de cada nivel para el 131I o el 106Ru.
TABLA II. EQUIVALENCIA RADIOLGICA EN EL CASO DE IMPACTO EN EL EMPLAZAMIENTO

Istopo
3H 131I 137Cs 134Cs 132Te 54Mn 60Co 90Sr 106Ru 235U(S)a 235U(M)a 235U(F)a 238U(S)a 238U(M)a 238U(F)a Unat 239Pu (Clase Y) 241Am Gases nobles a
Factor de multiplicacin para 131I equivalente 0,002 1 0,6 0,9 0,3 0,1 1,5 7 3 600 200 50 500 100 50 600 9000 2000 Insignificante (prcticamente 0)
Factor de multiplicacin para 106Ru equivalente 0,0006 0,3 0,2 0,3 0,1 0,03 0,5 2 1 700 200 20 30 170 20 200 3000 700 Insignificante (prcticamente 0)
Parte IV IMPACTO SOBRE LA DEFENSA EN PROFUNDIDAD

Esta parte del manual se divide en tres secciones principales. La primera expone lo que se entiende por defensa en profundidad, lo que seguramente ser familiar para la mayora de los lectores. La segunda seccin presenta los principios generales que deben utilizarse para clasificar los sucesos atendiendo a la defensa en profundidad; como han de abarcar un amplio espectro de tipos de instalaciones y sucesos, son de naturaleza genrica. La Seccin 3 aporta orientacin ms detallada a fin de que se apliquen de una forma coherente. Esta orientacin se ampla en la Parte V, que da pautas mas especficas para cierto tipo de sucesos y aporta una serie de ejemplos trabajados.
IV1.ANTECEDENTES La prevencin de accidentes e incidentes radiolgicos, y por tanto la seguridad de una instalacin nuclear, se basa en un buen diseo y operacin. El mtodo de la defensa en profundidad se aplica en general a estos dos aspectos y se admite la posibilidad de fallos de equipo, errores humanos y que se produzcan evoluciones imprevistas. La definicin de defensa en profundidad del Grupo Asesor Internacional en Seguridad Nuclear es la siguiente: A fin de compensar potenciales fallos humanos y mecnicos, se aplica el concepto de defensa en profundidad, centrado en varios niveles de proteccin que incluyen barreras sucesivas que impiden la liberacin de sustancias radiactivas al medio ambiente. El concepto incluye la proteccin de las barreras mediante la prevencin de daos a la central y a las propias barreras. Ello incluye medidas adicionales para proteger al pblico y al medio ambiente de daos en caso de que estas barreras no sean plenamente eficaces.4 Todas las instalaciones nucleares y el transporte del material radiactivo cuentan con disposiciones similares de defensa en profundidad que cubren la proteccin del pblico y los trabajadores e incluyen los medios para impedir la transferencia de material a lugares mal protegidos, as como para impedir liberaciones radiactivas. Por
INTERNATIONAL NUCLEAR SAFETY ADVISORY GROUP, Basic Safety Principles for Nuclear Power Plants, 75-INSAG-3 Rev. 1, INSAG-12, IAEA, Vienna (1999) 17.
IMPACTO SOBRE LA DEFENSA EN PROFUNDIDAD
27
lo tanto, la defensa en profundidad es una combinacin de diseo conservador, garanta de calidad, actividades de vigilancia, medidas de mitigacin y una cultura de seguridad general que fortalece cada capa sucesiva. La operacin segura se mantiene por medio de las tres funciones bsicas de seguridad: a) b) c) Control de la reactividad o de las condiciones de proceso; Refrigeracin del material radiactivo; Confinamiento del material radiactivo.
Cada funcin de seguridad se realiza mediante un buen diseo, una operacin bien controlada y una serie de sistemas y controles administrativos. En el estudio de seguridad de la central, los sistemas operacionales pueden distinguirse de las disposiciones de seguridad; si un sistema operacional falla, entonces operarn disposiciones adicionales de seguridad a fin de mantener la funcin de seguridad. Las disposiciones de seguridad pueden ser procedimientos, controles administrativos o sistemas, activos o pasivos, que normalmente se prevn en forma redundante, con su disponibilidad sujeta a condiciones y lmites de operacin (CLO). La frecuencia de amenazas a las disposiciones de seguridad se minimiza con un buen diseo, operacin, mantenimiento, vigilancia, etc. Por ejemplo, la frecuencia de fallos del circuito primario de un reactor se minimiza mediante mrgenes de diseo, control de calidad, restricciones operativas, vigilancia y as sucesivamente. Anlogamente, la frecuencia de transitorios del reactor se minimiza mediante procedimientos de operacin, sistemas de control, etc. Los sistemas normales de operacin y control contribuyen a minimizar la frecuencia de amenazas a las disposiciones de seguridad. En ciertas ocasiones no es posible reducir significativamente la frecuencia de amenazas a una disposicin de seguridad, por ejemplo, intentos de entrada en celdas que potencialmente contienen fuentes. En estos casos las funciones de seguridad slo se aseguran mediante disposiciones de seguridad de integridad adecuada.
IV2.PRINCIPIOS GENERALES PARA LA CLASIFICACIN DE SUCESOS Esta orientacin es de aplicacin a una amplia serie de instalaciones nucleares y su inventario radiactivo por lo que la cronologa de los sucesos en ellas variar ampliamente. Es importante tener en cuenta estos factores en la clasificacin de sucesos y es inevitable que la orientacin al respecto sea genrica y que haya que aplicar buen criterio. En secciones posteriores se da orientacin ms especfica. Aunque hay tres niveles por encima de nivel 0 para el impacto sobre la defensa en profundidad, en algunas instalaciones las mximas consecuencias posibles fuera o
28
PARTE IV
dentro del emplazamiento estn limitadas por el inventario radiactivo y el mecanismo de liberacin. Est claro que el mximo nivel posible con respecto al impacto en la defensa en profundidad, cuando se ha impedido un accidente, debe ser ms bajo que el mximo nivel posible con respecto al impacto en el emplazamiento o fuera de l. Si el mximo nivel posible dentro o fuera del emplazamiento para una actividad determinada no puede ser mayor que el nivel 4 de la escala debido a sus limitadas consecuencias potenciales, una clasificacin mxima de nivel 2 ser la adecuada atendiendo a la defensa en profundidad. De forma similar, si el mximo nivel potencial no puede exceder del nivel 2, entonces el mximo nivel para la defensa en profundidad ser el 1. Una instalacin puede, por supuesto, abarcar una serie de actividades y en este contexto cada actividad debe considerarse separadamente. Por ejemplo, el almacenamiento de residuos y las operaciones del reactor deben considerarse como actividades separadas, incluso aunque puedan tener lugar en una misma instalacin. Tras determinar el lmite superior atendiendo a la defensa en profundidad, la clasificacin bsica se hace evaluando la probabilidad de que el suceso hubiera podido originar un accidente, no utilizando tcnicas probabilistas directamente sino considerando si las disposiciones de seguridad fueron amenazadas y qu fallos adicionales de esas disposiciones habran sido necesarios para dar lugar a un accidente. Tambin se considera si el suceso ha evidenciado aspectos de cultura de seguridad subyacentes que puedan haber incrementado la probabilidad de que se produjera un accidente. Por lo tanto, para clasificar un suceso se deben seguir los siguientes pasos: 1) El lmite superior de clasificacin por concepto de defensa en profundidad se establece teniendo en cuenta las mximas consecuencias radiolgicas potenciales (es decir, la mxima clasificacin potencial de las actividades de relevancia en la instalacin segn los criterios de impacto dentro y fuera del emplazamiento). En la Seccin IV 3.1 se dan orientaciones adicionales para establecer las mximas consecuencias potenciales. A continuacin, la clasificacin bsica se determina teniendo en cuenta el nmero y eficacia de las disposiciones de seguridad existentes (en el plano del equilibrio y en el administrativo), para la prevencin, vigilancia y mitigacin, incluyendo las barreras activas y pasivas. Al determinar el nmero y eficacia de tales disposiciones es importante tener en cuenta el tiempo disponible y el tiempo requerido para la identificacin y aplicacin de las acciones correctivas adecuadas. En la Seccin IV3.2 se ofrece orientacin adicional sobre la evaluacin de las disposiciones de seguridad. Adems de los planteamientos anteriores, se debe considerar la subida de la clasificacin bsica, segn se explica en la Seccin IV3.3, sin rebasar el lmite superior de clasificacin por concepto de defensa en profundidad establecido en el prrafo 1) anterior. La subida de nivel responde a aquellos aspectos del suceso que puedan indicar una degradacin ms profunda de la planta o de los
2)
3)
29
aspectos organizativos de la instalacin. Los factores considerados son los fallos por causa comn, los procedimientos inadecuados y las deficiencias en la cultura de seguridad. Tales factores no intervienen en la clasificacin bsica y pueden indicar que la importancia del suceso con respecto a la defensa en profundidad es mayor que la considerada en el proceso de clasificacin clsica. Por lo tanto, se considera si procede subir esa clasificacin en un nivel a fin de comunicar la verdadera importancia del suceso al pblico. Evidentemente, adems de considerarlo bajo el concepto de defensa en profundidad, cada suceso debe considerarse tambin atendiendo a su impacto fuera del emplazamiento, y en l.
IV3.ORIENTACIN DETALLADA PARA LA CLASIFICACIN DE SUCESOS IV3.1. Determinacin de las mximas consecuencias potenciales Para evaluar la mayora de los sucesos que afectan al ncleo de los reactores de potencia o a su combustible gastado guardado en piscinas, no suele ser necesario considerar especficamente las mximas consecuencias potenciales. La posibilidad terica de una gran liberacin es asumida y por lo tanto el lmite superior de clasificacin por concepto de defensa en profundidad es el nivel 3. Para otras instalaciones o para las actividades en que slo est presente una pequea fraccin del inventario del ncleo (por ejemplo, manejo de combustible), es necesario considerar las mximas consecuencias potenciales (es decir, la mxima clasificacin potencial atendiendo al impacto fuera y dentro del emplazamiento) si fallaran todas las disposiciones de seguridad. En algunas instalaciones quiz no sea fsicamente posible alcanzar los niveles altos de INES incluso a causa de accidentes extremadamente improbables. Las mximas consecuencias potenciales no son especficas del tipo de suceso sino que guardan relacin con una serie de operaciones realizadas en la instalacin. Al evaluar la mxima clasificacin potencial atendiendo al impacto fuera o dentro del emplazamiento, se deben tener en cuenta los siguientes principios generales: a) Cualquier emplazamiento puede contener una serie de instalaciones con diversas tareas desarrolladas en cada instalacin. As, la mxima clasificacin potencial ser especfica del tipo de instalacin en que ocurra el suceso y del tipo de operaciones que se lleven a cabo en el momento del suceso. Es necesario considerar el inventario radiactivo que podra haber sido afectado por el suceso, las propiedades fsicas y qumicas del material involucrado y los mecanismos por los que la actividad podra haberse dispersado.
b)
30
PARTE IV
c)
La evaluacin no debera centrarse en los escenarios considerados en la justificacin de seguridad de la planta sino en los accidentes fsicamente posibles en caso de deficiencias en todas las disposiciones de seguridad de la central amenazadas por el suceso. Estos principios pueden ilustrarse mediante los ejemplos siguientes:
1)
2)
3)
4)
En los sucesos asociados con el mantenimiento de los enclavamientos de entrada a una celda, las mximas consecuencias potenciales estarn probablemente relacionadas con la exposicin del trabajador. Si los niveles de radiacin son suficientemente altos como para causar la muerte del trabajador al entrar en la celda y no existen medidas mitigadoras, entonces la mxima clasificacin potencial es la de nivel 4, atendiendo al impacto en el emplazamiento. En los sucesos relativos a pequeos reactores de investigacin (es decir, con una potencia menor de 1 MW), aunque existan los mecanismos fsicos para la dispersin de una fraccin significativa del inventario (por accidente de criticidad o prdida de refrigeracin del combustible), el inventario total es tal que la mxima clasificacin potencial no podra superar el nivel 4, por concepto del impacto fuera o dentro del emplazamiento, incluso si fallaran todas las disposiciones de seguridad. En las instalaciones de reprocesado y otras de procesado de compuestos de plutonio, el inventario y los mecanismos fsicos presentes de dispersin de una fraccin significativa de ese inventario (por accidentes de criticidad, explosiones qumicas o incendios), son tales que la mxima clasificacin potencial podra superar el nivel 4, atendiendo al impacto fuera o dentro del emplazamiento, si todas las disposiciones de seguridad fallaran. En las plantas de fabricacin de combustible y enriquecimiento de uranio, las liberaciones tienen aspectos de seguridad qumicos y radiolgicos. Se debe subrayar que el riesgo qumico debido a la toxicidad del fluoruro de uranio es mayor que el radiolgico. Pero la escala INES slo se refiere a la evaluacin de este ltimo. Desde un punto de vista radiolgico, no son concebibles consecuencias graves fuera o dentro del emplazamiento que determinen una clasificacin superior al nivel 4, causadas por una liberacin de uranio o de esos compuestos.
IV3.2. Determinacin de la clasificacin bsica teniendo en cuenta la eficacia de las disposiciones de seguridad Debido a que el anlisis de seguridad de los reactores nucleares durante su operacin a potencia sigue una prctica internacional comn, es posible dar orientacin ms especfica sobre cmo evaluar las disposiciones de seguridad en el caso de los
31
sucesos que afectan a reactores en rgimen de potencia. Adems, como se indica al principio de la Seccin IV3.1, para la clasificacin no es preciso tener en cuenta explcitamente las mximas consecuencias potenciales. El mtodo se basa en la consideracin de indicadores, funciones de seguridad y sistemas de seguridad. Estos trminos, que resultarn familiares a aquellos involucrados en los anlisis de seguridad, se explican con ms detalle a continuacin. Otros sucesos en emplazamientos de reactores, por ejemplo, los asociados con una parada del reactor u otras instalaciones en el emplazamiento, se deben clasificar utilizando el mtodo de capas de seguridad descrito en la Seccin IV3.2.2. De forma similar, para los sucesos en reactores de investigacin se debe utilizar el mtodo de capas de seguridad y tener en cuenta adecuadamente las mximas consecuencias potenciales as como la filosofa de diseo. El Apndice II da una visin global del mtodo seguido para ayudar a los nuevos usuarios de la escala. IV3.2.1. Sucesos que ocurren en reactores en rgimen de potencia (mtodo del iniciador) Un iniciador o suceso iniciador es un suceso identificado que origina una desviacin del estado normal de operacin y amenaza una o ms funciones de seguridad. Los iniciadores se usan en el anlisis de seguridad para evaluar la validez de los sistemas de seguridad instalados: el iniciador es una incidencia que supone una amenaza a los sistemas de seguridad y les hace funcionar. Los sucesos que conllevan un impacto en la defensa en profundidad de la planta generalmente tendrn dos formas posibles: Bien sea un iniciador (suceso iniciador) que hace que funcione algn sistema de seguridad en particular diseado para afrontar las consecuencias de este iniciador; O bien una degradacin de la capacidad operativa de una funcin de seguridad debida a que estn degradados uno o ms sistemas de seguridad sin que ocurra el iniciador para el cual se han previsto estos sistemas. En el primer caso la clasificacin del suceso depende principalmente del alcance de la degradacin de la capacidad de operacin de las funciones de seguridad. Sin embargo, la gravedad tambin depende de la frecuencia prevista del iniciador en cuestin. En el segundo caso no hay una desviacin real de la operacin normal de la planta, pero la degradacin observada de la capacidad operativa de la funcin de seguridad podra acarrear consecuencias significativas si realmente ocurriera uno de los iniciadores para los que se prevn los sistemas de seguridad degradados. En tal supuesto, la clasificacin del suceso depende de:
32
PARTE IV
La frecuencia prevista del iniciador potencial, La capacidad de operacin de la funcin de seguridad correspondiente, garantizada por la capacidad operativa de determinados sistemas de seguridad. Hay que sealar que un suceso puede categorizarse bajo ambos aspectos. El mtodo bsico para clasificar tales sucesos es, por lo tanto, identificar la frecuencia de los iniciadores que interesen y la capacidad operativa de las funciones de seguridad afectadas. Se utilizan dos tablas para identificar la clasificacin bsica adecuada. El Apndice III da ms informacin sobre la forma de obtener las tablas. Ms abajo se ofrecen orientaciones detalladas para la clasificacin. IV3.2.1.1. Determinacin de la frecuencia de los iniciadores Se han seleccionado cuatro categoras de frecuencia del iniciador diferentes: 1) 2) Esperado. Esto abarca los iniciadores que se espera ocurran una o varias veces durante la vida operativa de la central. Posible. Iniciadores que no son esperados, pero tienen una frecuencia prevista durante la vida de la planta superior aproximadamente a un 1% (es decir, alrededor de 3 104 por ao). Improbable. Iniciadores considerados en el diseo de la central que son menos probables que los anteriores. Fuera de diseo. Iniciadores de frecuencia muy baja, no incluidos normalmente en el anlisis de seguridad convencional de la central. Cuando se adoptan sistemas de proteccin contra estos iniciadores, no incluyen necesariamente el mismo grado de redundancia y diversidad que las medidas contra los accidentes previstos en la base de diseo.
3) 4)
Cada central tiene su propia lista y clasificacin de iniciadores. El Apndice IV da ejemplos tpicos de iniciadores base de diseo pertenecientes a las cuatro categoras anteriores. Las pequeas perturbaciones de la central que se corrigen con los sistemas de control (a diferencia de los de seguridad) no se incluyen entre los iniciadores. El iniciador puede ser diferente segn la incidencia que da comienzo al suceso. Por otro lado, a menudo es posible agrupar una serie de secuencias de sucesos diferentes bajo un nico iniciador. En muchos sucesos ser necesario considerar ms de un iniciador, de cada uno de los cuales resultar una clasificacin. El nivel del suceso ser el ms alto de los niveles asociados con cada iniciador. Por ejemplo, una excursin de potencia en un reactor podra ser un iniciador que amenace la funcin protectora. La operacin satisfactoria del sistema de proteccin llevara entonces a una parada. En tal caso, sera
33
necesario considerar el disparo del reactor como un iniciador que amenaza la funcin de refrigeracin del combustible. IV3.2.1.2. Capacidad operativa de las funciones de seguridad Las tres funciones bsicas de seguridad son: a) b) c) Control de la reactividad o de las condiciones de proceso, Refrigeracin del material radiactivo, Confinamiento del material radiactivo.
Estas funciones se realizan mediante sistemas pasivos (como barreras fsicas) y activos (como el sistema de proteccin del reactor). Diferentes sistemas de seguridad pueden contribuir a una funcin de seguridad determinada, y esta funcin puede cumplirse incluso cuando uno de ellos no est disponible. Igualmente sern precisos sistemas de apoyo, como los de suministro elctrico, refrigeracin e instrumentacin, para asegurar el cumplimiento de alguna funcin de seguridad. Es importante considerar la capacidad de operacin de la funcin de seguridad al clasificar los sucesos, no la capacidad operativa de un sistema dado. Un sistema o componente se considerar en condiciones de operar cuando sea capaz de cumplir su funcin en la forma requerida. Las condiciones y lmites de operacin son las que rigen la capacidad operativa de cada sistema de seguridad. En la mayora de los pases forman parte de las especificaciones tcnicas. La capacidad de operacin de una funcin de seguridad para un iniciador determinado puede variar desde un estado en que todos los componentes de los sistemas de seguridad previstos para cumplir esa funcin sean plenamente operativos hasta un estado donde esa capacidad sea insuficiente para la funcin de seguridad a realizar. A fin de ofrecer una base para la clasificacin de sucesos, se consideran cuatro categoras de capacidad de operacin. A. Plena
Todos los sistemas y componentes de seguridad previstos en el diseo para afrontar el iniciador en cuestin a fin de limitar sus consecuencias son plenamente operativos (es decir, se dispone de redundancia y diversidad). B. Mnima requerida por las CLO
Capacidad de operacin mnima de los sistemas de seguridad que cumplen la funcin de seguridad prescrita en las CLO, y para la que se permite continuar el
34
PARTE IV
funcionamiento en rgimen de potencia, incluso durante un tiempo limitado. Este nivel de capacidad corresponder generalmente a la capacidad operativa mnima de los diferentes sistemas de seguridad a la que puede cumplirse la funcin de seguridad para todos los iniciadores considerados en el diseo de la central. Sin embargo, todava puede existir redundancia y diversidad para ciertos iniciadores. C. Adecuada
Grado de capacidad operativa de los sistemas de seguridad suficiente para lograr la funcin de seguridad que requiere el iniciador considerado. En algunos sistemas de seguridad, esto corresponder a un grado de capacidad menor que el prescrito en las CLO. Un ejemplo sera un caso en que las CLO prescriban que cada uno de los diversos sistemas de seguridad sean capaces de operar, pero slo uno tenga esa capacidad, o en que todos los sistemas de seguridad diseados para garantizar una funcin de seguridad son incapaces de operar durante un tiempo tan corto que la funcin de seguridad, aunque fuera de los requisitos de las CLO, est an garantizada por otros medios (por ejemplo, la funcin de seguridad refrigeracin del combustible puede garantizarse si ocurre un apagn total slo durante un corto tiempo). En otros casos, las categoras B y C pueden ser la misma. D. Inadecuada
La degradacin de la capacidad operativa de los sistemas de seguridad es tal que la funcin de seguridad no puede cumplirse para el iniciador considerado. Debe observarse que aunque C y D representan una gama de estados de la planta, A y B representan capacidades de operacin especficas. As, la capacidad operativa real puede situarse entre las definidas por A y B, es decir, puede ser menor que plena pero mayor que el mnimo permitido para continuar la operacin en rgimen de potencia. De esto trata la Seccin IV3.2.1.3 a). IV3.2.1.3. Estimacin de la clasificacin bsica A fin de determinar la categora bsica, primero se decide si hubo o no una amenaza real a los sistemas de seguridad (un iniciador real). En tal caso, la Seccin IV3.2.1.3. a) es la adecuada, de lo contrario la adecuada es la Seccin IV3.2.1.3. b). Puede ser necesario considerar un suceso aplicando ambas secciones si ocurre un iniciador y revela una capacidad reducida en una funcin no amenazada por el iniciador real, por ejemplo, si un disparo del reactor sin prdida de alimentacin elctrica exterior revela una capacidad operativa reducida de los generadores Diesel. En caso de sucesos que impliquen fallos potenciales, por ejemplo, el descubrimiento de defectos estructurales, se utiliza un mtodo similar al descrito en la Seccin IV3.2.3.
35
a)
Sucesos con un iniciador real
El primer paso es decidir la frecuencia con que ese tipo de iniciador est previsto en el diseo. Al decidir la categora apropiada, lo que es relevante es la frecuencia supuesta en el estudio de seguridad (la justificacin de la seguridad de la central y su entorno operativo). El Apndice IV aporta algunos ejemplos. El segundo paso es determinar la capacidad operativa de la funcin de seguridad amenazada por el iniciador. Es importante considerar slo las funciones de seguridad amenazadas. Si se descubre la degradacin de otros sistemas de seguridad, debe evaluarse aplicando la Seccin IV3.2.1.3 b) al iniciador que habra amenazado esa funcin de seguridad. Tambin es importante advertir que al decidir si la capacidad de operacin est o no dentro de lo prescrito por las CLO, deben considerarse los requisitos relativos a la capacidad antes del suceso, no los aplicables durante el suceso. Si dicha capacidad est dentro de los requisitos y adems es meramente adecuada, debe utilizarse la categora C. La clasificacin del suceso debe entonces determinarse segn la Tabla III. Cuando se pueda elegir la clasificacin, la eleccin se basar en el grado de redundancia y diversidad disponible para el iniciador considerado. Si la capacidad operativa de la funcin de seguridad es slo adecuada (es decir, un fallo ms habra originado un accidente), es apropiado el nivel 3. En el caso B.1 de la Tabla III el valor ms bajo ser apropiado si an se dispone de considerable redundancia y diversidad. Cuando la capacidad operativa de la funcin de seguridad es mayor que el mnimo requerido por las CLO, pero menor que Plena, es posible que existan redundancia y diversidad considerables para los iniciadores esperados. En tales casos, el nivel 0 ser el ms apropiado. Los iniciadores fuera de diseo no se incluyen especficamente en la Tabla III. Si ocurre un iniciador de ese tipo, entonces sern apropiados los niveles 2 o 3 en el contexto de la defensa en profundidad, segn la redundancia de los sistemas de proteccin. Sin embargo, es posible que iniciadores fuera de diseo originen un accidente que deba clasificarse por su impacto fuera o dentro del emplazamiento.
TABLA III. SUCESOS CON UN INICIADOR REAL

Frecuencia del iniciador Capacidad operativa de la funcin de seguridad A B C D Plena Dentro de los requisitos de las CLO Adecuada Inadecuada 0 1/2 2/3 3+ 1 2/3 2/3 3+ 2 2/3 2/3 3+ Esperado Posible Improbable
36
PARTE IV
TABLA IV. SUCESOS SIN UN INICIADOR REAL

Frecuencia del iniciador Capacidad operativa de la funcin de seguridad A B C D Plena Dentro de los requisitos de las CLO Adecuada Inadecuada 0 0 1/2 3 0 0 1 2 0 0 1 1 Esperado Posible Improbable
Si se producen hechos peligrosos internos o externos tales como incendios, explosiones externas o tornados, pueden clasificarse utilizando la tabla. El hecho peligroso en s no debe considerarse como el iniciador, sino que los sistemas de seguridad que permanezcan con capacidad operativa deben evaluarse frente un iniciador ocurrido y/o frente a iniciadores potenciales. b) Sucesos sin un iniciador real
El primer paso es determinar la capacidad operativa de la funcin de seguridad. En la prctica, los sistemas o componentes de seguridad pueden encontrarse en un estado no plenamente descrito por cualquiera de las cuatro categoras. Dicha capacidad puede ser menor que la plena pero mayor que el mnimo requerido por las CLO, o la totalidad del sistema puede estar disponible pero degradado por prdida de funciones de indicacin. En tales casos deben utilizarse las categoras apropiadas para obtener el posible marco de clasificacin y se debe proceder con buen criterio para determinar la clasificacin adecuada. Si la capacidad de operacin es slo adecuada pero an se sita dentro de las CLO, debe utilizarse la categora B. El segundo paso es determinar la frecuencia del iniciador para el cual se requiere la funcin de seguridad. Si hay ms de un iniciador relevante, entonces debe considerarse cada uno. Debe utilizarse el que d la clasificacin ms alta. Si la frecuencia se sita en el lmite entre dos categoras, ser menester un cierto grado de apreciacin. En el caso de los sistemas especficamente previstos para la proteccin contra hechos peligrosos, esos hechos deben considerarse como el iniciador. La clasificacin del suceso se debe determinar entonces segn la Tabla IV. Cuando sea posible una eleccin, sta depender de si la capacidad operativa es meramente adecuada o de si an existe redundancia y/o diversidad para el iniciador considerado. Si el perodo de incapacidad operativa fue muy corto comparado con el intervalo entre las pruebas de los componentes del sistema de seguridad, debe considerarse la posibilidad de reducir la clasificacin bsica del suceso.
37
La Tabla IV no incluye especficamente iniciadores fuera de diseo. Cuando la capacidad operativa de la funcin de seguridad afectada es menor que el mnimo requerido por las CLO, es apropiado el nivel 1. Si esa capacidad es mayor que el mnimo requerido por las CLO, o las CLO no prevn lmites de la capacidad de operacin del sistema, el nivel 0 es el adecuado. IV3.2.2. Todos los dems sucesos, es decir, cualquier suceso no asociado con reactores en rgimen de potencia (el mtodo de capas) Para clasificar un suceso, es necesario considerar las disposiciones de seguridad y evaluar el nmero de capas de seguridad independientes que impiden un accidente. Al hacer esto tambin es necesario tener en cuenta el tiempo disponible y el requerido para adoptar acciones correctivas eficaces. Cada uno de estos aspectos se considera a continuacin. IV3.2.2.1. Tiempo disponible En algunas situaciones, el tiempo disponible para llevar a cabo acciones correctivas puede ser bastante mayor que el requerido para esas acciones y, por lo tanto, hacer posible que se disponga de capas de seguridad adicionales. Estas capas de seguridad adicionales se pueden tener en cuenta siempre que existan procedimientos para ejecutar las medidas requeridas. En algunos casos, el tiempo disponible puede ser tal que haya una gama completa de capas de seguridad potenciales con las que pueda contarse y no se haya considerado necesario en la justificacin de seguridad identificar cada una de ellas en detalle, ni incluir en el procedimiento los pormenores de cmo poder contar con cada una de ellas. En tales casos la disponibilidad de este largo intervalo de tiempo supone una capa de seguridad muy fiable y esto tambin debe tenerse en cuenta, como se explica en la prxima seccin. IV3.2.2.2. Determinacin de capas de seguridad Se considera que una capa de seguridad es una disposicin de seguridad que no puede dividirse en partes redundantes. As, si la funcin de refrigeracin estaba asegurada por dos series de medidas distintas en un 100%, stas deben considerarse como dos capas de seguridad distintas, a no ser que tengan un sistema de apoyo comn no redundante. Las capas de seguridad pueden basarse en un diseo pasivo, componentes activos o controles administrativos. Pueden incluir procedimientos de vigilancia, aunque debe tenerse en cuenta que la vigilancia por s sola no constituye una capa de seguridad; tambin se requieren los medios para aplicar las medidas correctivas.
38
PARTE IV
Al examinar el nmero de capas de seguridad es necesario asegurarse de que la eficacia de ciertas capas distintas consistentes en equipo no se reduce a causa de un sistema de apoyo comn o una accin del operador comn en respuesta a alarmas o indicaciones. En tales casos, aunque tal vez haya varias capas formadas por equipo es posible que slo exista una capa de seguridad eficaz. Cuando se considere que los controles administrativos forman capas de seguridad, es importante comprobar la medida en que los distintos procedimientos pueden estimarse independientes y cerciorarse de que cada uno de ellos ofrece fiabilidad suficiente para ser admitido como capa de seguridad. No es posible facilitar orientacin ms explcita, por lo que es inevitable proceder con buen criterio. En algunas situaciones puede estar disponible una capa de seguridad de alta integridad, por ejemplo un cofre de transporte de combustible adecuadamente utilizado, una vasija de un reactor a presin o una medida de seguridad basada en fenmenos pasivos que ocurren de forma natural, como la refrigeracin por conveccin. En tales casos, si se demuestra que la capa tiene una integridad/fiabilidad extremadamente alta, sera evidentemente inapropiado considerarla tan slo como una nica capa de seguridad al aplicar estas orientaciones. Una capa de seguridad de alta integridad debe tener las siguientes caractersticas: a) Estar diseada para hacer frente a todos los fallos de inters considerados en la base de diseo y reconocerse explcita o implcitamente en la justificacin de seguridad de la planta que requiere un nivel de integridad o fiabilidad especialmente alto; Su integridad se asegura mediante inspeccin o vigilancia adecuadas de tal modo que se puede detectar cualquier degradacin de esa integridad; Si se detecta en ella cualquier degradacin, hay medios claros para afrontarla y aplicar medidas correctivas, ya sea porque se recurre a procedimientos preestablecidos, o porque se dispone de largos intervalos de tiempo para reparar o mitigar el fallo.
b) c)
Un ejemplo de una capa de alta integridad sera una vasija. Los controles administrativos no satisfacen normalmente los requisitos de una capa de alta integridad aunque, como se indica ms arriba, ciertos procedimientos de operacin tambin pueden contemplarse como capas de seguridad de alta integridad si hay muy largos perodos de tiempo disponibles para aplicar las medidas requeridas, corregir los errores de operador que puedan ocurrir y existe una amplia gama de medidas disponibles. IV3.2.2.3. Estimacin de la clasificacin bsica Tras comprobar las mximas consecuencias potenciales y el nmero de capas de seguridad eficaces, la clasificacin bsica se determinar como sigue:
39
TABLA V. CLASIFICACIN DE SUCESOS UTILIZANDO EL MTODO DE CAPAS DE SEGURIDAD

Mximas consecuencias potenciales Nmero de capas de seguridad remanentes A B C D
a
INES niveles 5, 6, 7 0a 1 2 3
INES niveles 3, 4 0a 0a 1 2
INES niveles 2 o 1 0a 0a 0a 1
Ms de 3 3 2 1o0
Si la capacidad de operacin de las capas de seguridad no se ajusta a los requisitos de las CLO, las orientaciones de la Seccin IV3.3 pueden llevar a una clasificacin de nivel 1.
1)
2)
En el anlisis de seguridad de la planta se identificar una amplia gama de sucesos que se hayan tenido en cuenta en el diseo. Se reconocer que cabe razonablemente esperar que algunos de ellos ocurran durante la vida de la planta (es decir, tendrn una frecuencia mayor que 1/N por ao, siendo N la vida esperada de la planta). Si la amenaza a las disposiciones de seguridad implicada por el suceso fue un suceso esperado y los sistemas de seguridad previstos para hacerle frente estuvieron plenamente disponibles antes del suceso y funcionaron segn lo previsto, el suceso debe clasificarse como de nivel 0. De manera similar, si no hay una amenaza real a las disposiciones de seguridad pero se descubre que estn degradadas, el suceso se debe clasificar a nivel 0 si la degradacin de la capacidad operativa de las disposiciones de seguridad se ha mantenido dentro de los requisitos de las CLO. En todas las dems situaciones, debe utilizarse la Tabla V para determinar la clasificacin bsica.
Si slo permanece una capa de seguridad pero cumple todos los requisitos indicados anteriormente para ser de alta integridad, una clasificacin bsica de nivel 0 sera la apropiada.5 Si el perodo de indisponibilidad de una capa de seguridad fue muy corto comparado con el intervalo entre las pruebas de los componentes de la capa de seguridad, debe considerarse la posibilidad de reducir la clasificacin bsica del suceso. Este mtodo requiere inevitablemente ms discernimiento que el descrito en la
Si la capacidad de operacin de las capas de seguridad no se ajusta a los requisitos de las CLO, las orientaciones de la Seccin IV3.3 pueden llevar a una clasificacin de nivel 1.
40
PARTE IV
Seccin IV3.2.1, pero la Seccin V1 aporta orientacin adicional para tipos de sucesos especficos y la Seccin V2 ofrece algunos ejemplos genricos de la utilizacin del mtodo de capas de seguridad. IV3.2.3. Sucesos potenciales (inclusive defectos estructurales) Algunos sucesos no amenazan por s mismos las disposiciones de seguridad pero suponen un incremento de la probabilidad de esa amenaza. Son ejemplos el descubrimiento de defectos estructurales, una fuga terminada por una accin del operador, o fallos descubiertos en sistemas de control de proceso. El mtodo para clasificar tales sucesos se describe a continuacin. El programa de vigilancia est pensado para identificar los defectos estructurales antes de que su magnitud se haga inaceptable. Si el defecto se ajusta a este requisito, el nivel 0 ser el apropiado. Si el defecto es mayor que el esperado conforme al programa de vigilancia, su categorizacin debe tener en cuenta dos factores. Primero, la significacin del componente defectuoso para la seguridad se debe determinar suponiendo que el defecto haya causado el fallo del componente y aplicando la parte apropiada de la Seccin IV3. En caso de aplicarse la Seccin IV3.2.1 (reactores en rgimen de potencia), si el defecto est en un sistema de seguridad, aplicando la Seccin IV3.2.1.3 b) se tendr el lmite superior de la clasificacin bsica. Puede ser necesario considerar la posibilidad de un fallo en modo comn. Si el defecto se ha dado en un componente cuyo fallo puede producir un iniciador, la aplicacin de la Seccin IV3.2.1.3 a) dar el valor superior de la clasificacin bsica. La clasificacin potencial obtenida de este modo se debe ajustar en funcin de la probabilidad de que el defecto hubiera producido el fallo de un componente y considerando los factores adicionales examinados en la Seccin IV3.3. Pueden evaluarse otros sucesos potenciales de forma similar a la descrita ms arriba. Primero, la importancia de la amenaza potencial se evala suponiendo que ha existido efectivamente y aplicando la parte apropiada de la Seccin IV3, basada en la capacidad operativa de las disposiciones de seguridad que existan en ese momento. Segundo, la clasificacin se reduce atendiendo a la probabilidad de que la amenaza potencial hubiera podido ser originada por el suceso que realmente ocurri. El nivel al que la clasificacin debe reducirse tendr que basarse en una apreciacin acertada. IV3.2.4. Sucesos clasificados por debajo de escala a nivel 0 En general, los sucesos se deben clasificar por debajo de escala a nivel 0 nicamente si la aplicacin de los procedimientos descritos anteriormente no da lugar a una clasificacin ms alta. Sin embargo, siempre que ninguno de los factores
41
adicionales expuestos en la Seccin IV3.3 sea aplicable, los siguientes tipos de sucesos son ejemplos tpicos de los que suelen clasificarse por debajo de escala a nivel 0: Disparo del reactor que evoluciona normalmente; Operacin espuria de los sistemas de seguridad6 seguida de un retorno normal a operacin sin que afecte a la seguridad de la instalacin; Degradacin no significativa de las barreras (tasa de fugas menor que la requerida por las CLO); Fallos nicos o incapacidad operativa de un componente de un sistema redundante descubiertos durante una prueba o inspeccin peridica programada. IV3.3. Consideracin de factores adicionales Ciertos aspectos particulares pueden amenazar simultneamente diferentes capas de la defensa en profundidad, y por consiguiente deben considerarse factores adicionales que pueden justificar la clasificacin de un suceso en un nivel por encima del resultante de las orientaciones precedentes. Los principales factores adicionales que actan de esa forma son: Fallos por causa comn, Procedimientos inadecuados, Deficiencias en la cultura de seguridad. Debido a estos factores, puede ocurrir que un suceso se clasifique como de nivel 1, aunque carezca por s mismo de significacin para la seguridad. Al considerar la subida de nivel de la clasificacin bsica a causa de estos factores, es preciso atender a los siguientes aspectos: 1) Alguno de los factores anteriores puede haberse tenido ya en cuenta en la clasificacin bsica, por ejemplo el fallo en modo comn. Por tanto, es importante tener cuidado de no contar dos veces tales fallos. Dando cabida a todos los factores adicionales, la clasificacin de un suceso slo puede subirse en un nivel. La clasificacin del suceso no debe elevarse ms all del mximo nivel deducido en conformidad con la Seccin IV2; este nivel mximo se debe aplicar
6
2)
A este respecto una operacin espuria incluira la operacin de un sistema de seguridad como resultado del mal funcionamiento de un sistema de control, deriva de instrumento o error humano individual. En cambio, la actuacin del sistema de seguridad iniciada por variaciones de los parmetros fsicos causadas por acciones no premeditadas en otro lugar de la planta no se considerara iniciacin espuria del sistema de seguridad.
42
PARTE IV
nicamente si hubiera ocurrido un accidente en caso de haber tenido lugar otro suceso (ya fuese un iniciador esperado u otro fallo de un componente). IV3.3.1. Fallos por causa comn Un fallo por causa comn es el hecho de que varios dispositivos o componentes no realicen sus funciones como resultado de un suceso o causa nico especfico. En particular, puede originar el fallo de componentes o dispositivos redundantes destinados a realizar la misma funcin de seguridad. Esto puede implicar que la fiabilidad de la funcin de seguridad completa sea mucho menor que la esperada. La gravedad de un suceso que produce un fallo por causa comn que afecta a uno o varios componentes es por lo tanto mayor que un fallo aleatorio que afecta a los mismos componentes. Los sucesos que conllevan una dificultad de operacin de sistemas, debido a falta de informacin o a informacin errnea, tambin pueden tenerse en cuenta para elevar la clasificacin basada en un fallo por causa comn. IV3.3.2. Procedimientos inadecuados Los procedimientos inadecuados pueden producir una amenaza simultnea a varias capas de la defensa en profundidad. Por lo tanto, esa inadecuacin es otra posible razn para aumentar el nivel en la escala. Algunos ejemplos son: las instrucciones incorrectas o inadecuadas dadas a los operadores para hacer frente a un suceso (durante el accidente de Three Mile Island en 1979, los procedimientos que tenan que utilizar los operadores en caso de actuacin de la inyeccin de seguridad no se adaptaban a la situacin particular de prdida de refrigerante en la fase de vapor del presionador); las deficiencias en el programa de vigilancia manifestadas por anomalas no descubiertas gracias a los procedimientos normales, o perodos de indisponibilidad de la planta que exceden con creces del intervalo de prueba. IV3.3.3. Sucesos con implicaciones para la cultura de seguridad La cultura de seguridad se ha definido como el conjunto de caractersticas y actitudes en organizaciones e individuos que establece, como prioridad suprema, que los temas de seguridad nuclear de la planta reciban la atencin requerida por su importancia. Una buena cultura de seguridad ayuda a evitar incidentes; en cambio, una falta de cultura de seguridad puede dar lugar a que los operadores acten de formas que no estn de acuerdo con las hiptesis de diseo. La cultura de seguridad, por lo tanto, ha de considerarse como parte de la defensa en profundidad y por consiguiente, una deficiencia en la cultura de seguridad puede justificar el aumento en un nivel al clasificar un suceso.
43
Para que merezca un aumento por deficiencia en la cultura de seguridad, el suceso ha de considerarse como un indicador real de una deficiencia en la cultura de seguridad global. Algunos ejemplos de tales indicadores pueden ser: Una violacin de las condiciones y lmites de operacin o una violacin de un procedimiento sin justificacin (vase el Apndice V para informacin adicional sobre las CLO y especificaciones tcnicas); Una deficiencia en el proceso de garanta de calidad; Una acumulacin de errores humanos; El hecho de no mantener bajo control apropiado los materiales radiactivos, incluyendo liberaciones al medio ambiente o un fallo de los sistemas de control de dosis; La repeticin de un suceso, indicio de que no se han sacado posibles enseanzas o no se han tomado medidas correctivas despus del primer suceso. Es importante advertir que el propsito de esta orientacin no es que se inicie una evaluacin larga y detallada, sino que se considere si es posible una apreciacin inmediata por parte de quienes clasifican el suceso.
IV4.DEFINICIONES Esta seccin presenta definiciones de trminos no especificados en otras publicaciones del OIEA. En muchos casos, en este manual se ofrece una explicacin ms detallada. barrera radiolgica. Barrera diseada para impedir la dispersin del material radiactivo fuera del confinamiento establecido. capacidad de operacin del equipo. Un componente se considerar capaz de operar si puede realizar su funcin prescrita de seguridad en la forma requerida. capacidad de operacin de una funcin de seguridad. Esta capacidad puede ser plena, dentro de los requisitos de las CLO, adecuada o inadecuada, segn la capacidad operativa de los sistemas y componentes de seguridad redundantes y diversos considerados individualmente. capa de seguridad de alta integridad. Debe tener todas las caractersticas siguientes: a) Estar diseada para hacer frente a todos los fallos de inters considerados en la base de diseo y reconocerse explcita o implcitamente en la justificacin de
44
PARTE IV
b) c)
seguridad de la planta que requiere un nivel de integridad o fiabilidad especialmente alto; Su integridad se asegura mediante inspeccin o vigilancia adecuadas de tal modo que se puede detectar cualquier degradacin de esa integridad; Si se detecta en ella cualquier degradacin, hay medios claros para afrontarla y aplicar medidas correctivas, ya sea por medio de procedimientos preestablecidos, o porque se dispone de largos intervalos de tiempo para reparar o mitigar el fallo.
capas de seguridad. Disposicin de seguridad que no puede dividirse en partes redundantes. condiciones y lmites de operacin (CLO). Conjunto de normas que establecen lmites de parmetros, la capacidad funcional y los niveles de actuacin de los equipos y el personal aprobados por el rgano regulador para la operacin segura de una central nuclear (en la mayora de los pases, estn incluidas en las especificaciones tcnicas). defensa en profundidad. Segn se define en Basic Safety Principles for Nuclear Power Plants (Safety Series No. 75-INSAG-3 Rev. 1) (ver nota 4 al pie de pgina): A fin de compensar potenciales fallos humanos y mecnicos, se aplica el concepto de defensa en profundidad, centrado en varios niveles de proteccin que incluyen barreras sucesivas que impiden la liberacin de sustancias radiactivas al medio ambiente. El concepto incluye la proteccin de las barreras mediante la prevencin de daos a la central y a las propias barreras. Incluye medidas adicionales para proteger al pblico y al medio ambiente de daos en caso de que estas barreras no sean plenamente eficaces. disposiciones de seguridad. Procedimientos, controles administrativos, sistemas de seguridad activos o pasivos normalmente establecidos de forma redundante, cuya disponibilidad viene controlada por las CLO. equivalencia radiolgica. Cantidad de un radionucleido que debe liberarse para producir la misma dosis comprometida efectiva que las cantidades de referencia de 131I o 106Ru en el contexto de impacto en el emplazamiento y fuera del emplazamiento, calculada utilizando el modelo detallado en el Apndice I. funciones de seguridad. Las tres funciones bsicas de seguridad son: a) control de la reactividad o las condiciones de proceso; b) refrigeracin del material radiactivo; c) confinamiento del material radiactivo. importancia para la seguridad. Se refiere a la seguridad nuclear o radiolgica. iniciador (suceso iniciador). Suceso identificado que origina una desviacin del rgimen normal de operacin y amenaza una o ms funciones de seguridad. rgimen de operacin autorizado. Vanse condiciones y lmites de operacin.
45
sistemas de seguridad. Sistemas importantes para la seguridad, establecidos para garantizar las funciones de seguridad. zona de operacin. Zonas en que se permite el acceso de los trabajadores. Se excluyen las zonas en que se requieren controles especficos debido al nivel de contaminacin o radiacin. zonas no previstas en el diseo. Zonas cuya base de diseo, tanto para estructuras permanentes como temporales, no contempla que tras un incidente puedan recibir y retener el nivel de contaminacin sobrevenido e impedir la dispersin de contaminacin fuera de ellas. Los siguientes son ejemplos de sucesos que involucran contaminacin de zonas no previstas en el diseo: Contaminacin por radionucleidos fuera de las zonas controladas o supervisadas que normalmente no presentan actividad, como suelos, escaleras, edificios auxiliares, zonas de almacenamiento, etc.; Contaminacin por plutonio o productos de fisin muy radiactivos de una zona diseada y equipada nicamente para el manejo de uranio.
Parte V EJEMPLOS ILUSTRATIVOS DE LAS ORIENTACIONES SOBRE CLASIFICACIN ATENDIENDO A LA DEFENSA EN PROFUNDIDAD
V1. ORIENTACIONES SOBRE EL EMPLEO DEL MTODO DE CAPAS PARA TIPOS ESPECFICOS DE SUCESOS V1.1. Control de la criticidad El comportamiento de un sistema crtico y sus consecuencias radiolgicas depende mucho de las caractersticas y condiciones fsicas del sistema. En las soluciones homogneas de material fisible, el nmero de fisiones posible, el nivel de potencia de la excursin de criticidad y las consecuencias potenciales de una excursin de este tipo estn limitadas por esas caractersticas. La experiencia relativa a excursiones de criticidad en soluciones de material fsible muestra que el nmero total de fisiones es tpicamente del orden de 1017 1018. Los sistemas crticos heterogneos, como los formados por retculos de barras de combustible o conjuntos secos slidos crticos, pueden producir altos picos de potencia que conduzcan a una liberacin explosiva de energa y de grandes cantidades de material radiactivo como resultado de un dao sustancial a la instalacin. El principal riesgo de una excursin de criticidad se debe a los intensos campos de radiacin directa en forma de neutrones y radiacin gamma que pueden causar una radioexposicin elevada al personal. Una segunda consecuencia podra ser la liberacin fuera del emplazamiento de productos radiactivos de fisin de vida corta y una contaminacin potencialmente grave dentro de la instalacin. Adems, una liberacin explosiva de energa resultante de una excursin de criticidad en un sistema heterogneo podra resultar tambin en la liberacin de material fisionable. As, en la mayora de casos el impacto fuera y dentro del emplazamiento se limita al nivel 4. Slo es posible una clasificacin ms alta cuando el material fisionable puede liberarse por una explosin. En conformidad con las orientaciones generales: Las desviaciones menores del rgimen de seguridad respecto a la criticidad que estn dentro de los requisitos de las CLO se debe clasificar a nivel 0. Una operacin no ajustada a los requisitos de las CLO se debe clasificar al menos a nivel 1.
EJEMPLOS ILUSTRATIVOS DE LAS ORIENTACIONES SOBRE CLASIFICACIN ATENDIENDO A LA DEFENSA EN PROFUNDIDAD
47
Un suceso se debe clasificar a nivel 3 cuando pudiera haber ocurrido un accidente de criticidad con consecuencias potenciales mximas de nivel 5 o mayores si las circunstancias hubieran sido menos favorables o si hubiera habido un fallo ms en las disposiciones de seguridad. El nivel 2 sera apropiado para sucesos similares si su potencial slo pudiera alcanzar los niveles 3 o 4. Si se mantiene ms de una capa de seguridad, lo apropiado sera un nivel ms bajo, como se indica en la Tabla V. V1.2. Prdida o remocin de fuentes radiactivas Esta seccin considera los sucesos relativos a prdida o colocacin errnea de fuentes radiactivas selladas y no selladas cuyo almacenamiento y uso estn sujetos a controles administrativos. Dado que tales sucesos son resultado de fallos de los procedimientos de control necesarios, una clasificacin mnima a nivel 1 es adecuada para todos los sucesos relativos a la prdida permanente de una fuente o descubrimiento de una fuente en un lugar inadecuado. Si las consecuencias potenciales fuera del emplazamiento, en caso de desintegracin de la fuente, no pueden alcanzar las definidas para el nivel 5 pero el tamao de la fuente es tal que existe la posibilidad de que una persona reciba una dosis que pueda resultar en una exposicin mortal o quemaduras por radiacin (es decir, efectos adversos para la salud a corto plazo), su prdida permanente debe clasificarse a nivel 2 en el contexto de la defensa en profundidad. Igualmente, el descubrimiento de tal fuente fuera de la zona controlada, o fuera del emplazamiento, en un lugar donde eventualmente pudiera haber causado efectos adversos para la salud, tambin se debe clasificar a nivel 2. Si la desintegracin de la fuente pudiera originar un suceso de nivel 5, su prdida permanente debe clasificarse como de nivel 3 por el concepto de defensa en profundidad. V1.3. Liberacin/dispersin no autorizada de contaminacin Cualquier suceso que implique una transferencia de contaminacin dentro o fuera del emplazamiento, que origine un nivel superior al prescrito para esa zona, puede justificar una clasificacin a nivel 1 en base a la Seccin IV3.3.3 (no mantenimiento del control apropiado sobre los materiales radiactivos). Otros fallos ms importantes en las disposiciones de seguridad se clasificarn considerando el nmero de capas de seguridad que permanecen y las mximas consecuencias potenciales si todas las disposiciones de seguridad fallaran. Si no es posible una contaminacin significativa fuera del emplazamiento, la mxima clasificacin atendiendo a la defensa en profundidad es a nivel 2. La vulneracin de autorizaciones de descarga debe clasificarse al menos a nivel 1.
48
PARTE V
V1.4. Control de dosis Ocasionalmente pueden surgir situaciones en que los procedimientos de control radiolgico y las disposiciones de la direccin son inadecuados y los empleados reciben exposiciones no planificadas a la radiacin (interna o externa). Tales sucesos pueden justificar una clasificacin a nivel 1 en base a la Seccin IV3.3.3 (no mantenimiento del control apropiado sobre los materiales radiactivos). Si el suceso produce una dosis acumulativa que excede de los lmites de dosis prescritos, debe clasificarse al menos a nivel 1 por violacin de las CLO. El nivel 2 resultara apropiado en el contexto de la defensa en profundidad si las mximas consecuencias potenciales son de nivel 3 o 4 en caso de fallar las disposiciones de seguridad y, como consecuencia del suceso, slo permanece una capa de seguridad. En general, la orientacin de la Seccin IV3.3 no debe utilizarse para elevar la clasificacin de sucesos relacionados con un fallo en el control de dosis por encima de un nivel 1 bsico. De otro modo, los sucesos en que se evit una dosis se clasificaran al mismo nivel que aqullos en que se recibieron realmente dosis por encima de los lmites prescritos. V1.5. Enclavamiento de puertas de recintos blindados Para evitar las entradas por error en lugares blindados se utilizan generalmente sistemas de enclavamiento de las puertas activados por radiacin, procedimientos de autorizacin de entrada y comprobaciones de tasas de dosis antes de entrar. El fallo del enclavamiento de proteccin de la puerta blindada puede deberse a prdida de suministro elctrico y/o defectos en los detectores o el equipo electrnico asociado. Como las mximas consecuencias potenciales para tales sucesos se limitan al nivel 4, los sucesos en que un fallo adicional de las disposiciones de seguridad dara lugar a un accidente se deben clasificar a nivel 2. Los sucesos en que subsisten otras capas de seguridad, entre ellas mecanismos administrativos para regular la autorizacin de entrada, se deben clasificar como nivel 1. V1.6. Fallos de los sistemas de extraccin-ventilacin, filtracin y limpieza Frecuentemente se prevn tres sistemas de extraccin-ventilacin distintos pero interrelacionados para mantener el gradiente de presin entre las vasijas, celdas o cajas de guantes de la planta, y las zonas de operacin as como caudales adecuados a travs de aperturas en el muro frontera de la zona de trabajo en celdas para impedir la retrodifusin del material radiactivo. Adicionalmente se prevn sistemas de limpieza tales como filtros de partculas de alta eficiencia (HEPA) o depuradores (scrubbers) para reducir las descargas a la atmsfera por
49
debajo de lmites predefinidos y evitar la retrodifusin hacia zonas de baja actividad. El primer paso en la clasificacin de sucesos asociados con la prdida de tales sistemas es determinar las mximas consecuencias potenciales dentro y fuera del emplazamiento si fallaran todas las disposiciones de seguridad. Se debe considerar el inventario de material y los posibles medios para su dispersin dentro y fuera de la planta. Tambin hay que considerar el potencial para una disminucin en la concentracin de gases inertes o la acumulacin de mezclas explosivas. En la mayora de los casos, a menos que una explosin sea posible, es improbable que las mximas consecuencias potenciales excedan del nivel 3 y por lo tanto el mximo por concepto de la defensa en profundidad sera el nivel 2. El segundo paso es constatar la eficacia de las disposiciones de seguridad subsistentes, inclusive los procedimientos para impedir la generacin de ms actividad poniendo fin al trabajo. La clasificacin de tales sucesos se ilustra con los ejemplos 16 y 17 de la Seccin V3. V1.7. Incidentes de manejo y cada de cargas pesadas V1.7.1. Sucesos que no afectan a conjuntos combustibles El impacto de los incidentes de manejo o del fallo de equipo de elevacin depende del material involucrado, la zona en la que el incidente ocurre y el equipo que resulta o puede resultar afectado. Los sucesos en que la cada de una carga amenaza producir un derrame de material radiactivo (procedente de la propia carga que cae o de las vasijas o tuberas afectadas) deben clasificarse considerando las mximas consecuencias potenciales y la probabilidad de que tal derrame pudiera haber ocurrido. Los incidentes en que la cada de una carga causa slo dao limitado pero tiene una probabilidad relativamente alta de causar un accidente deben clasificarse al mximo nivel en el contexto de la defensa en profundidad. De forma similar, los sucesos en que slo queda una capa de seguridad y esa capa no se considera de fiabilidad/integridad especialmente alta tambin deben clasificarse al mximo nivel. Los incidentes en que la probabilidad es menor o hay capas de seguridad adicionales deben clasificarse siguiendo las orientaciones de la Seccin IV3.2.2. Los incidentes menores de manejo que se pueden esperar a lo largo de la vida de la planta deben clasificarse a nivel 0. V1.7.2 Fallos de manejo de combustible Los sucesos durante el manejo de elementos combustibles de uranio no irradiado sin implicaciones significativas para el manejo del combustible irradiado, se
50
PARTE V
clasificarn en general a nivel 0 si no ha habido riesgo de daos a elementos combustibles gastados o a equipo relacionado con la seguridad. El inventario radiactivo de un solo elemento combustible es evidentemente mucho menor que el de la piscina de combustible gastado o el ncleo del reactor. Siempre que se garantice la refrigeracin del elemento combustible gastado, esto representa una importante capa de seguridad dado que la integridad de la matriz del combustible no resulta afectada por el sobrecalentamiento. En general, los perodos de tiempo relacionados con el sobrecalentamiento del combustible sern muy largos. Segn sea la configuracin de la planta, la contencin representar tambin una capa de seguridad en la mayora de los casos. Los sucesos esperados durante la vida de la planta que no afectan a la refrigeracin de elementos combustibles gastados y slo producen liberaciones menores o nulas se deben clasificar por lo general a nivel 0. El nivel 1 se debe considerar para sucesos como los siguientes: Sucesos no esperados durante la vida de la planta, Operacin fuera de los requisitos de las CLO, Degradacin limitada de la refrigeracin que no afecte la integridad de las agujas de combustible, Dao mecnico a la integridad de las agujas de combustible sin que se degrade la refrigeracin. El nivel 2 puede ser apropiado para sucesos en que se dae la integridad de las agujas de combustible como resultado de un calentamiento considerable del elemento combustible. V1.8. Prdida de suministro elctrico En muchas plantas suele ser necesario un suministro garantizado de electricidad para la operacin duradera en condiciones de seguridad y mantener la disponibilidad del equipo de supervisin y de la instrumentacin de vigilancia. A fin de evitar fallos por causa comn, se utilizan fuentes de suministro diversas y con trazados independientes. Mientras la mayora de las plantas paran automticamente y quedan en situacin segura si se produce una prdida completa de la alimentacin elctrica, algunas otras cuentan con disposiciones de seguridad adicionales, tales como el uso de gas inerte. En algunas plantas incluso con una prdida completa de suministro elctrico que dure varios das no habr efectos adversos para la seguridad; este tipo de sucesos en esas instalaciones se debe generalmente clasificar a nivel 0 o 1 puesto que habr varios medios para restablecer el suministro dentro del tiempo disponible. Si la disponibilidad de los sistemas de seguridad no se hubiera ajustado a las CLO, sera apropiado el nivel 1.
51
Es necesario utilizar las orientaciones generales de la Seccin IV3.2.2 para clasificar los sucesos en los que haya prdida de suministro exterior o fallos en los sistemas elctricos internos, teniendo en cuenta la amplitud de todo suministro subsistente, el tiempo durante el cual no se dispuso de suministro y las mximas consecuencias potenciales. Es particularmente importante considerar el intervalo de tiempo aceptable que sea preciso para restablecer el suministro elctrico. La prdida parcial o completa de alimentacin elctrica desde la red exterior con suministro a cargo de sistemas de apoyo es algo esperado durante la vida de la planta y por lo tanto debe clasificarse por debajo de escala. V1.9. Incendios y explosiones Un incendio o una explosin dentro de la planta o adyacente a ella, sin potencial para degradar ninguna disposicin de seguridad se debe clasificar a nivel 0 o fuera de escala. Los incendios extinguidos con los sistemas de proteccin instalados, funcionando conforme a diseo, tambin se deben clasificar a nivel 0 o fuera de escala. La importancia de los incendios y explosiones en las instalaciones nucleares no slo depende del material afectado, sino tambin de su localizacin y la facilidad con que se pueden realizar las operaciones de extincin. La clasificacin depende de las mximas consecuencias potenciales fuera o dentro del emplazamiento y el nmero y eficacia de las capas de seguridad que subsistan, incluyendo las barreras y los sistemas de seguridad. Con respecto a la eficacia de las capas de seguridad subsistentes se debe tener en cuenta la probabilidad de su posible degradacin. Cualquier incendio explosin que afecte a desechos de baja radiactividad se debe clasificar a nivel 1 debido a las deficiencias en materia de procedimientos o de cultura de seguridad. V1.10. Fenmenos peligrosos externos En caso de ocurrir fenmenos peligrosos como terremotos, tornados o explosiones, pueden clasificarse igual que los dems sucesos, considerando la eficacia de las disposiciones de seguridad subsistentes. Tratndose de sucesos que impliquen fallos de los sistemas especficamente previstos para la proteccin contra esos fenmenos, debe estimarse el nmero de capas de seguridad incluida la probabilidad de que el suceso ocurriera durante el tiempo en que el sistema no estuvo disponible. Dada la baja frecuencia esperada para este tipo de fenmenos, una clasificacin por encima del nivel 1 sera, probablemente, incorrecta. V1.11. Sucesos durante transporte Como en muchos otros sucesos, es muy importante establecer las mximas consecuencias potenciales y por lo tanto la mxima clasificacin en el contexto de la
52
PARTE V
TABLA VI. RELACIN ENTRE ACTIVIDAD TRANSPORTADA Y MXIMA CLASIFICACIN

Actividad transportada Mayor que 100 A2 Entre A2 a 100 A2 Menor que A2 Mximas consecuencias potenciales (basadas en suponer la liberacin del 100% del contenido) Nivel 57 Nivel 34 Nivel 2 Mxima clasificacin por defensa en profundidad 3 2 1
defensa en profundidad. Los reglamentos de transporte estipulan la mxima actividad que puede contener cada bulto, remesa o vehculo. La mxima actividad puede relacionarse con el parmetro A2, siendo A2 el contenido mximo de nucleido radiactivo especfico permitido en un bulto Tipo A cuando el material est en forma no especial. Por lo tanto, es posible relacionar la actividad transportada en trminos del valor A2 aplicable con las mximas consecuencias potenciales segn INES suponiendo un 100% de liberacin del contenido, as como con las consecuencias mximas atendiendo a la defensa en profundidad. La Tabla VI muestra la relacin entre actividad transportada y consecuencias que debe utilizarse como orientacin al clasificar sucesos de transporte que impliquen liberaciones areas7. En base a lo anterior y los principios generales de la clasificacin de sucesos por el mtodo de capas de seguridad, puede deducirse la siguiente orientacin especfica (presentada en la Tabla VII) para casos particulares. En otros casos, al clasificar habr que tener en cuenta la idoneidad de las disposiciones de seguridad subsistentes, utilizando la orientacin general. V1.12. Fallos en los sistemas de refrigeracin V1.12.1 Sucesos con reactor parado La mayora de los sistemas de seguridad del reactor se disean para afrontar iniciadores que ocurren durante la operacin a potencia. Los sucesos en parada o arran-
La orientacin INES sobre equivalencia radiolgica se refiere nicamente a las liberaciones areas. No es posible aportar orientacin genrica sobre esa equivalencia para las liberaciones acuticas.
53
TABLA VII.
CLASIFICACIN DE LOS SUCESOS DE TRANSPORTE

Actividad del bulto transportada A2 100 A2 > 100 A2
Reduccin de las capas de seguridad Sucesos no relacionados con un accidente de transporte Slo subsiste una disposicin de seguridada No subsiste ninguna disposicin de seguridad (p.ej. bulto mal preparado) Prdida de bulto Sucesos relacionados con un accidente de transporte Ninguna degradacin de disposiciones de seguridad Gran degradacin de disposiciones de seguridada (slo subsiste una o ninguna de esas disposiciones)
a
< A2
0 1 1
1 2 2
2 3 3
0 1
0 2
0 3
A menos que la disposicin cumpla los requisitos de capa de alta integridad.
que caliente son muy similares a los sucesos en operacin a potencia y deben tratarse como se expone en la Seccin IV3.2.1. Una vez el reactor est parado, an se requieren algunos de esos sistemas de seguridad para asegurar las funciones de seguridad, pero normalmente se dispone de ms tiempo hasta que pueda ocurrir una eventual liberacin del inventario del ncleo. Por otra parte, el tiempo disponible para acciones manuales con el fin de impedir un gran incremento de la temperatura del combustible y una liberacin de productos radiactivos de fisin puede sustituir parte de las disposiciones de seguridad en cuanto a redundancia o diversidad, es decir, segn sea el estado de la planta, una reduccin en la redundancia del equipo y/o barreras de seguridad puede ser aceptable durante algn tiempo en parada fra. En tales condiciones de parada, las configuraciones de las barreras tambin son muy diferentes algunas veces (por ejemplo, el sistema primario de refrigeracin y la contencin estn abiertos). En la Seccin V2 se presentan algunos ejemplos aplicables a reactores de agua a presin que ofrecen orientacin para clasificar sucesos durante una parada fra siguiendo el mtodo de las capas de seguridad. A efectos de clasificacin se tiene principalmente en cuenta el tiempo disponible para las acciones correctivas y el nmero de capas de seguridad no afectadas. Para otro tipo de reactores ser necesario utilizar esta orientacin a ttulo ilustrativo junto con los principios generales para clasificar tales sucesos.
54
PARTE V
V1.12.2 Sucesos que afectan a la piscina de combustible gastado Tras varios aos de operacin, el inventario radiactivo de la piscina de combustible gastado puede ser elevado. En este caso, la clasificacin de los sucesos que afecten a la piscina de combustible gastado respecto al impacto en la defensa en profundidad puede variar desde debajo de escala hasta el nivel 3. Dado el gran inventario de agua y el calor de decaimiento relativamente bajo, normalmente se dispone de mucho tiempo para tomar las medidas correctivas aplicables a los sucesos que implican una degradacin de la refrigeracin de la piscina de combustible gastado. Esto es igualmente cierto para una prdida de refrigerante en la piscina de combustible gastado, dado que las fugas de la piscina estn limitadas por diseo. As, un fallo en el sistema de refrigeracin de la piscina durante varias horas o una fuga de refrigerante normalmente no afectarn al combustible gastado. Por lo tanto, las fugas o degradaciones menores del sistema de refrigeracin de la piscina se deben clasificar en general a nivel 0. La operacin no ajustada a los requisitos de las CLO, un incremento considerable de la temperatura o una disminucin notable del lquido de la piscina se deben clasificar a nivel 1. Si los elementos combustibles empezaran a quedar al descubierto, ello indicara un nivel 2. Si quedaran al descubierto y se calentasen considerablemente, ello indicara claramente un nivel 3.
V1.12.3 Otras instalaciones Los fallos en los sistemas de refrigeracin esenciales pueden clasificarse de forma similar a los fallos en los sistemas elctricos teniendo en cuenta las mximas consecuencias potenciales, el nmero de capas de seguridad subsistentes y la demora aceptable hasta que haya de restablecerse la refrigeracin. En el caso de fallos en los sistemas de refrigeracin de desechos lquidos de alta radiactividad o almacenamiento de plutonio, probablemente sea apropiado el nivel 3 para los sucesos en que slo subsista una capa de seguridad durante un perodo de tiempo significativo.
V2. EJEMPLOS ILUSTRATIVOS DE LA APLICACIN DEL MTODO DE CAPAS DE SEGURIDAD A continuacin se exponen una serie de ejemplos basados en la refrigeracin de reactores parados, como ilustracin del uso de las orientaciones dadas en la Seccin IV3.2.2.
55
Ejemplo 1 Descripcin del suceso En este primer ejemplo la refrigeracin en parada la aporta la circulacin de refrigerante a travs de un cambiador de calor para la extraccin de calor residual (RHR) por una nica tubera de succin con dos vlvulas de aislamiento. El circuito primario est cerrado. En caso de cierre de las vlvulas de aislamiento la temperatura del refrigerante subir, pero tardar aproximadamente una hora en alcanzar temperaturas inaceptables. Las vlvulas pueden operarse desde la sala de control. Los generadores de vapor estn abiertos para efectuar trabajos y por lo tanto indisponibles. No se dispone de inyeccin de seguridad, las bombas de inyeccin de seguridad a alta presin (HPSI) son independientes de las bombas de carga y hay vlvulas de alivio para controlar la presin del circuito primario. El suceso a clasificar es una operacin espuria de los sensores de presin que causan el cierre de las vlvulas de aislamiento. Las alarmas en la sala de control indicaron al operador el cierre de las vlvulas y, habiendo comprobado que el incremento de presin fue una seal espuria, se reabrieron las vlvulas. Las temperaturas no subieron por encima de los requisitos de las CLO. Explicacin de la clasificacin Las mximas consecuencias potenciales de la prdida de refrigeracin exceden del nivel 4 y por lo tanto la mxima clasificacin atendiendo a la defensa en profundidad es el nivel 3. La funcin de seguridad que interesa es la refrigeracin del combustible. En definitiva, la nica capa de seguridad que aporta refrigeracin es la tubera de succin del RHR del circuito primario, es decir, slo hay una capa de seguridad. Por lo tanto es necesario considerar la integridad de esa nica capa de seguridad y sus aspectos en el plano del equipo (hardware) y en el de los procedimientos (software). Considerando en primer lugar las medidas a adoptar por el operador, a fin de restablecer la refrigeracin ste debe asegurarse que la seal de presin fue espuria y, si la subida de temperatura del refrigerante ha causado un incremento de presin, es preciso reducirla. Existe un procedimiento para restablecer la RHR tras el cierre de las vlvulas. La operacin puede llevarse a cabo en el tiempo disponible, pero sin mucho margen. Considerando los aspectos de equipo, el fallo de reapertura de cualquier vlvula dar lugar a la indisponibilidad de la capa de seguridad. Adems, ciertamente no hay suficiente tiempo para reparaciones en caso de que las vlvulas fallen en su apertura. Por estas razones no se considera que la nica capa existente sea una capa de seguridad de alta integridad, incluso aunque fuera la nica prevista en el diseo. La
56
PARTE V
necesidad de poder abrir ambas vlvulas de aislamiento para restablecer la refrigeracin limita claramente la integridad de la capa de seguridad. Un suceso como este en una planta del diseo descrito sera por lo tanto de nivel 3.
Ejemplo 2 Descripcin del suceso En este caso, se modifica ligeramente el diseo considerado en el ejemplo 1. Ahora hay dos lneas distintas de RHR, cada una con dos vlvulas de aislamiento, y las vlvulas de cada lnea alimentadas por transductores independientes de presin. El suceso es similar, excepto que el incremento de presin es autntico. Explicacin de la clasificacin En lo relativo al equipo ahora parece haber dos capas. Sin embargo, ambas siguen dependiendo del operador para la reapertura de las vlvulas. Las disposiciones de seguridad pueden ilustrarse como sigue:
Vlvulas de la primera lnea de RHR abiertas
Vlvulas de la segunda lnea de RHR abiertas
Procedimientos de operacin para reducir la presin y abrir las vlvulas
La fiabilidad de las disposiciones de seguridad est limitada por la necesidad de que acte el operador. Dada la complejidad de la operacin y que el tiempo dis-
57
ponible es limitado, se considera que slo hay una capa de seguridad eficaz, es decir, un procedimiento de operacin que prescriba la reduccin de la presin y la reapertura de la vlvula de aislamiento. Por lo tanto, se considera nuevamente apropiado el nivel 3.
Ejemplo 3 Descripcin del suceso El diseo en este ejemplo es el mismo que en el ejemplo 2. Sin embargo, se supone que el suceso ocurre algn tiempo despus de la parada del reactor. Se supone que hay cinco horas para adoptar las medidas requeridas. Explicacin de la clasificacin Igual que antes, hay dos capas de seguridad en el plano del equipo y una capa de seguridad en serie en el de los procedimientos, pero ahora hay un perodo de tiempo significativamente ms largo para tomar las medidas requeridas. La accin del operador por lo tanto puede considerarse como una capa de seguridad de alta integridad. Ahora, el aspecto limitante de las disposiciones de seguridad son las dos capas formadas por el equipo. La existencia de estas dos capas implica que el suceso debe clasificarse a nivel 2.
Ejemplo 4 Descripcin del suceso En este ejemplo, el diseo es el mismo que en el ejemplo 2, pero adems se dispone de dos generadores de vapor. El suceso a clasificar es tambin el mismo que el del ejemplo 2. Explicacin de la clasificacin Ahora hay cuatro capas formadas por equipo pero adems la disponibilidad de generadores de vapor ofrece mucho ms tiempo para las medidas a tomar por el operador por lo que es posible realizar reparaciones. Las disposiciones de seguridad se ilustran en el esquema siguiente. Como resultado de los largos perodos de tiempos disponibles, las cuatro capas pueden considerarse plenamente eficaces y se considera apropiada la clasificacin a nivel 0:
58
PARTE V
Primera lnea de RHR
Segunda lnea de RHR
Primer generador de vapor
Segundo generador de vapor
Procedimiento para reducir la presin y abrir las vlvulas
Ejemplo 5 Descripcin del suceso Este ejemplo se basa en el diseo del ejemplo 1, pero una semana despus de la parada, cuando la vasija est abierta y la cavidad llena. La prdida de RHR ahora nicamente dar lugar a un calentamiento muy lento del refrigerante primario, permitiendo unas diez horas para la actuacin del operador. Explicacin de la clasificacin En lo que respecta a la funcin de seguridad de refrigeracin del combustible, ahora hay dos capas de seguridad. La primera es el sistema RHR y la segunda es la posibilidad de aadir agua a fin de mantener su nivel conforme merman el agua y el calor por evaporacin. La segunda capa se puede considerar de alta integridad por las siguientes razones: Hay mucho tiempo disponible para la actuacin del operador; Hay una serie de vas para aadir ms agua (por ejemplo, inyeccin de seguridad a baja presin (LPSI), mangueras de incendios, etc.), aunque deba controlarse la concentracin del boro; Esta capa de seguridad se reconoce en la justificacin de seguridad como un dispositivo clave de seguridad. Adicionalmente, el tiempo disponible es tal que la primera capa es de mayor integridad que la supuesta en el ejemplo 1 dado que hay tiempo suficiente para reparaciones. En este caso, la observacin del transitorio de temperatura supone un medio para medir el tiempo gastado y el tiempo disponible. La siguiente orientacin es por tanto aplicable:
59
Las variaciones menores de la temperatura del refrigerante se deben clasificar en general por debajo de escala, La superacin de las mximas temperaturas del refrigerante permitidas o de las diferencias de temperatura del refrigerante (en el tiempo) especificadas en las CLO se deben clasificar a nivel 1, Un calentamiento considerable del refrigerante, por ejemplo su ebullicin masiva, se debe clasificar a nivel 2, El caso de que los elementos combustibles comiencen a quedar apreciablemente al descubierto indicara tpicamente un nivel 3. Ejemplo 6 Descripcin del suceso Este ejemplo se basa en un reactor de investigacin de 100 kW con una gran piscina de refrigeracin y un sistema de cambiador de calor y purificacin, como se muestra ms abajo. En caso de prdida de refrigeracin, cualquier calentamiento del agua ser muy lento.
Piscina de refrigeracin
Reactor Cambiador de calor Bomba
El suceso a clasificar consiste en un fallo ocurrido en la tubera aguas abajo de la bomba, lo que produjo un bombeo del refrigerante hasta el fondo de la lnea de aspiracin. Luego la bomba fallo por cavitacin. Explicacin de la clasificacin Hay que tener en cuenta dos funciones de seguridad, una es la refrigeracin del combustible y la otra el blindaje para impedir altas dosis a los trabajadores.
60
PARTE V
Inicialmente es necesario considerar las mximas consecuencias potenciales si fallaran todas las capas de seguridad. Las mximas consecuencias potenciales para ambas funciones de seguridad no pueden exceder del nivel 4, debido al escaso inventario, y por tanto el mximo atendiendo a la defensa en profundidad es el nivel 2. Considerando la funcin de refrigeracin, por diseo hay tres capas de seguridad: una es el sistema de cambiador de calor, otra es el gran volumen de agua en la piscina y la tercera es la capacidad de refrigerar el ncleo con aire. La posicin de la aspiracin se ha diseado deliberadamente de forma que un gran volumen de agua permanezca en la piscina si falla la tubera. En consecuencia, esto puede considerarse una capa de alta integridad por las siguientes razones: El aporte de calor es pequeo comparado con el volumen de agua, de modo que cualquier calentamiento ser extremadamente lento. El nivel del agua tardara muchos das hasta decrecer apreciablemente. Cualquier reduccin del nivel del agua ser detectada sin dificultad por el operador y dicho nivel puede restablecerse plenamente con facilidad por varias vas. En la justificacin de seguridad de la planta se reconoce este aspecto como una capa clave de seguridad y se demuestra su integridad. La tubera de aspiracin al cambiador de calor se dise cuidadosamente para asegurar que quede el agua necesaria. En estas condiciones se estima que la clasificacin bsica es cero, ya que subsisten dos capas de seguridad y una de ellas es de alta integridad. En cuanto a la funcin de seguridad del blindaje, slo subsiste una capa de seguridad, pero como es de alta integridad, la clasificacin bsica se considera que es cero.
V3. EJEMPLOS PREPARADOS BASADOS EN SUCESOS REALES V3.1. Ejemplos en que se utiliza el mtodo del iniciador Ejemplo 1: Parada urgente del reactor tras cada de barras de control nivel 0 Descripcin del suceso La unidad funcionaba a plena potencia. Durante la insercin de la barra de parada (banco A), que se realiz como parte de una prueba de vigilancia peridica de las barras de control, el reactor par automticamente como consecuencia de la seal alta variacin negativa de flujo neutrnico en rango de potencia, lo que tambin
61
caus el disparo automtico de la turbina y el generador. Enseguida se comprob la operacin de la barra con el detector de posicin de barras de control. Se descubri que cuatro barras de control del grupo del banco A haban cado antes de la parada del reactor. Una inspeccin del circuito del mecanismo de accionamiento de barras de control indic que la causa del fallo era una tarjeta de regulacin defectuosa (de circuito impreso). Ms tarde la tarjeta defectuosa fue sustituida por una de recambio y despus de comprobar la integridad del circuito de control se reanud la operacin a plena potencia. Explicacin de la clasificacin El impacto dentro y fuera del emplazamiento no es de inters para la clasificacin. La insercin accidental de barras de control no amenaza las funciones de seguridad y por lo tanto no es un iniciador. El disparo del reactor es un iniciador (esperado) y la funcin de seguridad refrigeracin del combustible estaba plenamente disponible. Segn la Seccin IV3.2.1.3 a), procede aplicar la indicacin A1 de la Tabla. No hay razones para elevar la clasificacin y por lo tanto se asigna el nivel 0. Ejemplo 2: Fuga de refrigerante del reactor durante recarga a potencia nivel 1 Descripcin del suceso Durante la recarga habitual de combustible a plena potencia, surgi en la cmara de recarga una fuga de refrigerante del reactor de 1,4 t/h. Los operadores determinaron que el puente Este de recarga haba cado 40 cm. Se par y enfri el reactor. La presin del refrigerante se mantuvo por transferencia desde otras unidades y se recuper desde el sumidero. La fuga total fue de 22 t (~ 10% del inventario). No se requiri la operacin de ningn sistema de seguridad con la excepcin del cierre de la contencin por alta actividad al cabo de una hora. No hubo liberacin anormal de radiactividad al medio ambiente. Explicacin de la clasificacin El impacto fuera y dentro del emplazamiento no interesa para esta clasificacin. Aunque hubo una fuga muy pequea del refrigerante del reactor, no se vieron amenazadas las funciones de seguridad, dado que la accin del operador mantuvo el inventario de agua. Si la fuga hubiera evolucionado hasta un pequeo accidente de prdida de refrigerante (LOCA), todos los sistemas de seguridad necesarios habran estado plenamente disponibles. Por lo tanto corresponde el nivel 0.
62
PARTE V
La causa del problema fue el fallo de un enclavamiento cuya comprobacin no previ el programa de vigilancia. Adems, se conoca esta deficiencia antes del suceso. Por estas razones, la clasificacin se elev a nivel 1 (vase la Seccin IV3.3).
Ejemplo 3: No disponibilidad del rociado de la contencin por haberse dejado vlvulas cerradas nivel 1 Descripcin del suceso Las dos unidades gemelas de la planta tienen que parar anualmente para realizar las pruebas requeridas en el sistema comn de refrigeracin de emergencia (ECCS) y las acciones automticas de seguridad conexas. Estas pruebas se hacen normalmente cuando una de las unidades est en parada fra para recarga. El 9 de octubre las unidades 1 y 2 estaban sometidas a estas pruebas. La unidad 1 permaneci en parada fra por recarga y la unidad 2 reanud la operacin a potencia el 14 de octubre. El 1 de noviembre, durante la comprobacin mensual de las vlvulas sometidas a salvaguardias se descubri que las cuatro vlvulas de las bombas de rociado de la contencin, lado descarga, estaban cerradas. Se concluy que estas vlvulas no se haban vuelto a abrir despus de las pruebas del 9 de octubre, en contradiccin con lo requerido en el procedimiento de prueba aplicable. As, la unidad 2 haba operado 18 das sin disponer de rociado. Se concluy que la causa del suceso fue un error humano. Sin embargo, se reconoci que el error ocurri al final de un intervalo de prueba que era ms largo de lo normal (como resultado del arreglo de averas) y que una notificacin ms formal de las actuaciones realizadas habra sido muy til. Explicacin de la clasificacin Los criterios de impacto fuera y dentro del emplazamiento no interesan. No existi un iniciador real, pero la capacidad operativa de la funcin de seguridad confinamiento estuvo degradada. Esa capacidad fue menor que la mnima requerida por las CLO, pero mayor que la meramente suficiente, ya que estuvo disponible un sistema diverso. El iniciador que habra amenazado la funcin de seguridad degradada era un gran LOCA (improbable). Segn la Seccin IV3.2.1.3 b), aplica lo indicado en C3 de la Tabla. El fallo lo caus un error humano pero no se considera apropiado elevar la clasificacin del suceso por deficiencias en la cultura de seguridad. (En el Apndice III se explica que al elegir el nivel 1 en lugar de 0 para la clasificacin bsica ya se tuvo en cuenta el hecho de que se hubieran violado las CLO.)
63
Ejemplo 4: Fuga de agua del circuito primario a travs del disco de ruptura del tanque de alivio del presionador nivel 1 Descripcin del suceso Se haba llevado la unidad a parada caliente. El sistema RHR se haba aislado y drenado parcialmente para probarlo tras efectuar modificaciones y por lo tanto no estaba disponible. La prueba peridica de eficiencia del sistema de rociado del presionador estaba en curso y el sistema de refrigeracin del reactor estaba a una presin de 159 bares. Hacia las 16.00, actu la alarma de alta presin del tanque de alivio del presionador. Cay el nivel del tanque de control de volumen, lo que indicaba una fuga de refrigerante del reactor a un ritmo estimado de 1,5 m3 por hora. El operador fue al edificio del reactor en un intento de descubrir la localizacin de la fuga y concluy que proceda del vstago de una vlvula del sistema de refrigeracin del reactor (una vlvula manual en el conducto de derivacin de los sensores de temperatura). El operador comprob que la vlvula quedaba hermtica al ponerla en la posicin reasiento por medio de un volante manual (de hecho, la vlvula todava no estaba correctamente asentada). La fuga continuaba y a las 18.00 se llam al personal de mantenimiento, el cual tampoco pudo encontrar el origen de la fuga. Durante este tiempo continuaron subiendo la presin y temperatura en el tanque de alivio del presionador. El operador mantuvo la temperatura por debajo de 50 C mediante operaciones de inyeccin y sangrado, es decir, inyecciones de agua fra de aporte y desage al tanque de drenajes de refrigerante del reactor. Dos bombas en paralelo dirigan este efluente desde el edificio del reactor al tanque del sistema de reciclado de boro. Hacia las 21.00, los sensores de actividad indicaron un incremento en la radiactividad en el edificio del reactor. A las 21.56, se alcanz el punto de tarado de aislamiento parcial de la contencin. El principal resultado fue el cierre dentro de la contencin de las vlvulas del sistema de drenado y venteo de la isla nuclear. En este momento el efluente no poda ya seguirse dirigiendo al sistema de reciclado de boro. Dentro del tanque de alivio del presionador, la presin continu subiendo hasta que saltaron los discos de ruptura a las 21.22. A fin de mantener la temperatura del tanque de alivio del presionador a unos 50 C, se sigui aportando agua hasta las 23.36. A la 01.45, los niveles de actividad en el edificio del reactor cayeron por debajo del punto de tarado de aislamiento de la contencin. A las 02.32, el sistema de refrigerante del reactor estaba a una presin de 25 bares; la planta se haba llevado al estado de parada caliente subcrtica, siendo el calor extrado por los generadores de vapor; el sistema RHR an no estaba disponible. A las 10.54, se restableci el sistema RHR y a las 11.45 se desconect la vlvula defectuosa del sistema de refrigerante del reactor desde su control remoto para poder reasentarla. De este modo se cort la fuga.
64
PARTE V
Explicacin de la clasificacin No interesan los criterios de impacto dentro y fuera del emplazamiento. No ocurri ningn iniciador real, ya que no hubo amenaza al sistema de refrigeracin de emergencia del ncleo. La fuga inicial se control por medio de los sistemas normales de aporte (vase la Seccin IV3.2.1.1). Por lo tanto, es apropiado el nivel 0. El iniciador espurio del aislamiento de la contencin caus dificultades operativas y produjo informacin errnea. Por estas razones, se elev la clasificacin del suceso al nivel 1 (vase la Seccin IV3.3).
Ejemplo 5: Prdida de circulacin forzada de gas durante 15 a 20 minutos nivel 2 Descripcin del suceso No se elimin automticamente un fallo de fase nica en la aportacin de los instrumentos del reactor 1 y continu hasta que la aportacin se cambi manualmente. El fallo caus el cierre de las vlvulas de disparo de la alimentacin de alta y baja presin de una caldera, lo que dio lugar a la parada del turbosoplante del gas. Se perdi en gran parte la funcin de instrumentacin y control automtico de las calderas y el reactor. Era posible y se intent la insercin manual de barras, pero el ritmo result insuficiente para evitar la subida de temperatura, lo que dio lugar al disparo automtico del reactor por alta temperatura absoluta de elementos combustibles (aproximadamente 16 C de subida). Al operador le pareci que todos los sistemas de control de barras quedaban incapaces de operar. La instrumentacin esencial alimentada por bateras y el sistema de proteccin del reactor permanecieron funcionando, junto con algunos sistemas normales de instrumentacin y control. Todos los turbosoplantes fueron parando a medida que se deterioraba el vapor hacia sus turbinas. El fallo de la aportacin de instrumentos impidi el acoplamiento de los motores auxiliares de los soplantes de gas, tanto automtica como manualmente. La alimentacin de baja presin se mantuvo en todo momento a tres de las cuatro calderas y se restableci a la cuarta por actuacin del operador. Tras el transitorio inicial, que llev al disparo del reactor, bajaron las temperaturas de los elementos combustibles, pero subieron cuando fall la circulacin forzada de gas. Estas temperaturas se estabilizaron a unos 50 C por debajo de los niveles normales de operacin antes de caer de nuevo cuando arrancaron los motores auxiliares de los soplantes tras conectar el aporte de reserva de instrumentos. El reactor 2 no se vio afectado y oper todo el tiempo a plena potencia. El reactor 1 se llev de nuevo a potencia al da siguiente.
65
Explicacin de la clasificacin No son aplicables los criterios de impacto dentro y fuera del emplazamiento. Hay que considerar este suceso en dos partes. El primer iniciador fue el transitorio causado por la prdida de alimentacin a una caldera junto con la prdida de indicaciones. Esto amenazaba el sistema de proteccin, que an estaba plenamente disponible. Por lo tanto, esta parte del suceso se clasificara a nivel 0. Debe puntualizarse que aunque el primer fenmeno del suceso fue un fallo en el aporte de instrumentos, esto no es el iniciador. El fallo de los instrumentos caus la prdida de alimentacin a una caldera pero no amenaz directamente ningn sistema de seguridad. Por lo tanto no se considera un iniciador. El transitorio que sigui fue una amenaza para el sistema de proteccin y es por lo tanto un iniciador. El segundo iniciador fue el disparo del reactor y la parada de los turbosoplantes de gas accionados por vapor. Esto amenaz la funcin de seguridad refrigeracin del combustible. La capacidad de operacin de esta funcin fue menor que la mnima requerida por las CLO dado que no pudo arrancar ninguno de los motores auxiliares, pero ms que adecuada puesto que la circulacin natural aport refrigeracin efectiva y la circulacin forzada se restableci antes de que las temperaturas pudieran subir a niveles inaceptables. Segn la Seccin IV3.2.1.3 a), es apropiado lo indicado en C1 de la Tabla, lo que da una clasificacin de 2 o 3. Como se explica en la seccin, el nivel escogido depende del grado en que la capacidad de operar sobrepasa la meramente adecuada. Dada la disponibilidad de circulacin natural y el tiempo limitado durante el cual no estuvo disponible la circulacin forzada, en este suceso es apropiado el nivel 2. En cuanto a posibles subidas de nivel, hay dos temas a considerar, ambos sealados en la Seccin IV3.3. El fallo involucra un fallo en modo comn de todos los soplantes. pero este hecho ya se ha tenido en cuenta en la clasificacin bsica y la subida de nivel sera contar dos veces (vase la introduccin a la Seccin IV3.3, apartado a)). El otro factor relevante es la dificultad causada por la ausencia de indicaciones. Sin embargo, esto tuvo ms importancia para controlar el transitorio inicial y no podra haber empeorado la refrigeracin tras el disparo. Adems, segn el apartado c) de la Seccin IV3.3, el nivel 3 sera inapropiado, puesto que un solo fallo adicional de un componente no habra producido un accidente.
Ejemplo 6: Cada de elemento combustible durante recarga nivel 1 Descripcin del suceso Al realizar la recarga, tras izar un elemento combustible desde su celda, ocurri una retraccin espontnea del brazo telescpico de la mquina de recarga y un ele-
66
PARTE V
mento fresco cay en el tubo central del cofre de la mquina. Los enclavamientos funcionaron segn diseo y no se produjo dao de combustible ni despresurizacin. Explicacin de la clasificacin No son aplicables los criterios de impacto dentro y fuera del emplazamiento. Aunque el suceso slo afect a combustible no irradiado, podra haber ocurrido con combustible irradiado. Esto se tiene que tener en cuenta al clasificar las implicaciones para la defensa en profundidad. La cada de un nico elemento combustible se seala como un posible iniciador en el Apndice IV, y segn la Seccin IV3.2.1.3 es apropiado clasificar como nivel 1 dado que los sistemas de seguridad previstos estaban plenamente disponibles (ver lo indicado en A2 de la Tabla). Si se aplicara la orientacin de la Seccin V1.7.2 se tendra la misma clasificacin. No hay razones para subir la clasificacin del suceso. Ejemplo 7: Bloqueo parcial de toma de agua en una unidad y prdida de alimentacin elctrica exterior en la unidad gemela en temporada muy fra nivel 3 Descripcin del suceso Haba dos sucesos, ambos con la misma causa: bloqueo parcial de la toma de agua de la unidad 1 y, dos horas despus, prdida de alimentacin elctrica exterior en la unidad 2. A fin de simplificar el ejemplo, slo se considera aqu el impacto en la unidad 2. El origen del incidente doble fue el tiempo fro que haca en la zona en aquel momento: tmpanos de hielo bloquearon la toma de agua mientras las bajas temperaturas contribuyeron al disparo de la unidad convencional, seguido por una reduccin de tensin en la red elctrica. El bloqueo de la estacin de bombeo en la unidad 1 pudo haber ocurrido como sigue. El hielo probablemente se desliz bajo el espumador y alcanz las rejillas contra suciedad de la estacin de bombeo de la unidad 1. Sigui la formacin de hielo, lo que pudo convertir los tmpanos en un bloque slido que obstruy parcialmente las rejillas contra suciedad compartidas por los dos tambores de filtrado de la estacin de bombeo de la unidad 1. Esto habra producido una reduccin significativa en la toma de agua bruta de la estacin de bombeo. No hubo alarma clara que indicara la cada de nivel. Como resultado de la bajada de nivel, la prdida de vaco en los condensadores dio lugar al disparo de los cuatro turbogeneradores auxiliares del emplazamiento (entre las 09.30 y las 09.34). Las correspondientes cuatro barras elctricas fueron realimentadas cada una desde la red en un segundo. Los turbogeneradores principales de la Unidad 1 se desconectaron a las 09.28 y 09.34 y se par el reactor.
67
La unidad 2 permaneci en operacin, aunque desde las 09.33 a las 10.35 no estuvo disponible ningn turbogenerador auxiliar en el emplazamiento (esta situacin estaba prevista en los procedimientos generales de operacin) y las dos nicas fuentes de suministro eran la red elctrica y los dos turbogeneradores principales de la unidad. A partir de las 10.55, cuando se reconect un segundo turbogenerador auxiliar a la distribucin elctrica, dos turbosoplantes estuvieron alimentados por los turbogeneradores auxiliares en operacin y los otros dos turbosoplantes dependan de una de las dos lneas de 400 kV. A las 11.43, tras una reduccin de tensin en la red elctrica, los dos turbogeneradores principales de la unidad 2 se dispararon casi simultneamente (fallo de la alimentacin en isla) lo que caus la cada de barras y la parada urgente del reactor as como la prdida del suministro elctrico exterior (disparo de los interruptores de la lnea). En este momento, slo dos de los cuatro turbogeneradores auxiliares se haban vuelto a poner en servicio. Consiguientemente, slo dos de los cuatro turbosoplantes permanecan en operacin para refrigerar el combustible. Las lneas elctricas que conectan la unidad 2 a la red se restablecieron a los 10 y a los 26 minutos, de modo que los otros turbosoplantes se volvieron a poner en servicio. Explicacin de la clasificacin No son aplicables los criterios de impacto dentro y fuera del emplazamiento. Esta es una serie compleja de sucesos, pero lo que se clasifica es la operacin de la unidad 2 sin ninguna fuente de energa elctrica esencial en el emplazamiento (debido a la prdida de agua de refrigeracin tras la formacin de hielo). No hubo iniciador, pero la funcin de seguridad de refrigeracin del combustible estuvo degradada. La capacidad operativa de la funcin de seguridad fue inadecuada puesto que no haba ninguna fuente elctrica en el emplazamiento para afrontar la prdida de suministro exterior (un iniciador esperado). De acuerdo con la Seccin IV3.2.1.3 b), procede lo indicado en D1 de la Tabla, lo que da una clasificacin de nivel 3. Aunque el tiempo de indisponibilidad fue corto (una hora), la probabilidad de prdida de suministro exterior era alta. De hecho, se perdi poco despus. Por lo tanto, no es apropiado bajar la clasificacin del suceso. Ejemplo 8: Calibracin incorrecta de detectores regionales de sobrepotencia nivel 1 Descripcin del suceso Durante la calibracin habitual de los detectores regionales de sobrepotencia para los sistemas de parada 1 y 2, se aplic un factor de calibracin incorrecto. El factor de calibracin utilizado fue para el 96% de potencia aunque el reactor estaba al 100%. Este error se descubri unas seis horas despus, momento en que se recalibra-
68
PARTE V
ron todos los detectores al valor correcto de operacin a plena potencia. La eficacia del disparo por este parmetro para ambos sistemas de parada estuvo reducida por lo tanto durante unas seis horas. Explicacin de la clasificacin No son aplicables los criterios de impacto dentro y fuera del emplazamiento. No hubo iniciador real pero la capacidad de operacin del sistema de proteccin estuvo reducida. Esta capacidad fue menor que el mnimo permitido por las CLO, pero mayor que la meramente adecuada, pues permaneci disponible un segundo parmetro de disparo con redundancia. Los detectores calibrados errneamente tambin habran aportado proteccin en la mayora de las condiciones de fallo. La proteccin se requera para los iniciadores esperados. Segn la Seccin IV3.2.1.3 b), es apropiado lo indicado en C1 de la Tabla, lo que da el nivel 1 o 2. Se ha optado por el nivel 1 dado que la operabilidad fue considerablemente mayor que la meramente adecuada. Al considerar si la clasificacin bsica debe ajustarse, es importante considerar que el fallo slo existi durante un corto tiempo. Por otra parte, haba deficiencias en el procedimiento. Se decidi mantener la clasificacin a nivel 1. Ejemplo 9: Fallo de un dispositivo de un sistema de seguridad durante una prueba habitual nivel 1 Descripcin del suceso La unidad estaba operando a potencia nominal. Durante la prueba habitual de un generador Diesel ocurri un fallo de su sistema de control. El Diesel se retir del servicio durante unas seis horas para su mantenimiento y se volvi a poner en servicio. Las especificaciones tcnicas prescriben que si un generador Diesel se deja fuera de servicio, deben probarse los otros dos dispositivos del sistema de seguridad. La prueba no se realiz en ese momento. Posteriormente, se probaron los otros dispositivos del sistema de seguridad y resultaron ser capaces de funcionar. Explicacin de la clasificacin La explicacin que se da aqu es apropiada para clasificar el suceso una vez realizadas las pruebas adicionales que demostraban que dos dispositivos eran de hecho capaces de funcionar. No son aplicables los criterios de impacto dentro y fuera del emplazamiento. No hubo iniciador pero la funcin de seguridad de refrigeracin del combustible estuvo degradada. La capacidad de operacin no fue menor que el mnimo permitido
69
por las CLO, dado que dos dispositivos mantuvieron esa capacidad. Segn la Seccin IV3.2.1.3 b), es apropiado lo indicado en A1 de la Tabla, lo que da una clasificacin bsica de cero. Sin embargo, los operadores violaron las especificaciones tcnicas y conforme a la orientacin de la Seccin IV3.3 se elev la clasificacin del suceso a nivel 1. Ejemplo 10: Pequea fuga del circuito primario nivel 2 Descripcin del suceso Una fuga muy pequea (slo detectada por medidas de humedad) se descubri en la parte no aislable de una lnea de inyeccin de seguridad, debida a defectos no esperados en el programa de vigilancia (la zona no estaba incluida en el programa de vigilancia). Defectos similares pero menores se presentaban en otras tuberas de inyeccin de seguridad. Explicacin de la clasificacin Conforme a la Seccin IV3.2.3, si el defecto hubiera dado lugar al fallo del componente, habra ocurrido un gran LOCA (un iniciador improbable). Segn la Seccin IV3.2.1.3 a), lo indicado en A3 de la Tabla da un valor mximo de 2 a la clasificacin bsica. Como slo ocurri una fuga (sin fallo efectivo de la tubera) la clasificacin debe reducirse en un nivel. Sin embargo, dado que los defectos podran haber originado un fallo en modo comn de todas las lneas de inyeccin de seguridad, la clasificacin se subi al nivel 2.
Ejemplo 11: Parada urgente del reactor causada por perturbacin de la red elctrica debida a un tornado nivel 3 Descripcin del suceso La unidad estaba operando de forma estable a plena potencia. Las lneas de transmisin se daaron a causa de un tornado. La proteccin de emergencia hizo que la unidad se disparara por las fuertes oscilaciones de frecuencia en el sistema. Se aport suministro elctrico auxiliar a la unidad desde el transformador auxiliar. Se mantuvo la presin del colector de vapor principal y se disip el calor residual. Se mantuvo la refrigeracin del ncleo mediante circulacin natural. Al bajar la tensin se produjo la seal de arranque de los generadores Diesel (GDs), pero fall la conexin de los GDs a las barras conductoras esenciales. Como continuaba la seal de arranque de GD, sigui habiendo arranques peridicos. Los
70
PARTE V
intentos posteriores de suministrar corriente a las barras auxiliares desde los GDs fallaron por la ausencia de aire en las botellas de arranque. Cuatro horas despus del disparo ocurri una prdida total de alimentacin elctrica. Media hora ms tarde se restableci el suministro desde la fuente exterior. A lo largo del transitorio, el estado del ncleo se mantuvo vigilado con la instrumentacin prevista en el diseo. Explicacin de la clasificacin No son aplicables los criterios de impacto dentro y fuera del emplazamiento. El suceso se clasific por el impacto en la defensa en profundidad. Ocurri un iniciador real, con prdida del suministro externo de corriente alterna, inclusive fluctuaciones de frecuencia y tensin, debido a un tornado. La frecuencia de este iniciador es esperada. La disponibilidad de la funcin de seguridad fue meramente la adecuada ya que la prdida de suministro elctrico exterior dur poco tiempo. Conforme a la Seccin IV3.2.1.3 a), se asigna el nivel 2 o 3. Como la funcin de seguridad fue justo adecuada, se escogi el nivel 3. Adems, ocurri una violacin de las CLO, puesto que se hicieron esfuerzos para llevar el reactor al mnimo nivel de potencia controlada sin que hubiera generadores Diesel disponibles para la funcin de seguridad ante la prdida completa de suministro elctrico. Ejemplo 12: Apagn completo en una central debido a un incendio en el edificio de la turbina nivel 3 Descripcin del suceso Mientras un reactor PHWR funcionaba a potencia, ocurri un incendio en el edificio de la turbina. Se dispar el reactor manualmente y se inici el enfriamiento del reactor. Debido al incendio, se daaron muchos cables y equipo elctrico, lo que produjo un apagn completo. La disipacin de calor residual del ncleo se produjo mediante circulacin natural. La alimentacin de agua a la parte secundaria de los generadores de vapor se realiz mediante bombas Diesel contra incendios. Se aadi agua pesada borada al moderador para mantener al reactor subcrtico en todos los modos. Explicacin de la clasificacin No son aplicables los criterios de impacto dentro y fuera del emplazamiento. La prdida de alimentacin elctrica en el emplazamiento (clase IV, III, II o I) es un iniciador posible para reactores PHWR que de hecho ocurre (es decir, es real). La funcin de seguridad de refrigeracin era adecuada porque se aliment la parte
71
secundaria con una bomba Diesel contra incendios, que no es un sistema normal de seguridad. Segn la Seccin IV3.2.1.3 a), el suceso se clasifica a los niveles 2 o 3. Se escogi el nivel 3 en vista de los fallos por causa comn (incendio y degradacin de los sistemas de seguridad disponibles debido a prdida de muchas indicaciones) de modo que ciertos fallos nicos adicionales podran haber dado lugar a un accidente. V3.2. Ejemplos basados en el mtodo de capas de seguridad Ejemplo 13: Presurizacin del espacio vaco en una vasija disolvente de elementos combustibles nivel 0 Descripcin del suceso La deteccin de una pequea presurizacin en el espacio vaco de una vasija de disolucin de una planta de reprocesado dio lugar a un corte automtico del proceso. Se apag el sistema de calentamiento del disolvente y se aplic agua fra; se par la aportacin de cido ntrico a la vasija y se suprimi la reaccin de la disolucin aadiendo agua fra a la vasija. No se produjo ninguna liberacin de contaminacin area a la zona de operacin de la planta ni al medio ambiente. La investigacin consiguiente indic que la presurizacin se debi a una emanacin anormal de vapor y un incremento de la tasa de produccin de vapor nitroso debido a un aumento pasajero del ritmo de disolucin de combustible. Explicacin de la clasificacin El suceso no tuvo impacto dentro ni fuera del emplazamiento. El proceso se par automticamente debido a la desviacin de las condiciones de trabajo. Todas las fases de la parada se sucedieron normalmente. No fall ninguna capa de seguridad. Por lo tanto, se seleccion la clasificacin bsica de nivel 0 y no hay razones para clasificar el suceso a un nivel superior.
Ejemplo 14: Un trabajador recibe una dosis acumulada al cuerpo entero por encima del lmite de dosis nivel 1 Descripcin del suceso La dosis al cuerpo entero recibida por un directivo de la planta durante las dos ltimas semanas de diciembre fue ligeramente superior a la autorizada o esperada y por ello su dosis acumulada al cuerpo entero super el lmite anual de dosis.
72
PARTE V
Explicacin de la clasificacin El suceso no tuvo impacto fuera del emplazamiento y el registrado dentro del emplazamiento estuvo por debajo del nivel de significacin. La clasificacin bsica es nivel 0 al no haber degradacin de las capas de seguridad previstas para evitar dosis significativas a los trabajadores. Sin embargo, el suceso debe clasificarse a nivel 1 conforme a la Seccin IV3.3, puesto que se excedi el lmite anual de la dosis acumulada al cuerpo entero.
Ejemplo 15: Fallo del sistema de enclavamiento de puertas de blindaje nivel 2 Descripcin del suceso El incidente ocurri cuando un contenedor de residuos vitrificados altamente radiactivos se llev a una celda mientras sus puertas de blindaje estaban abiertas tras una operacin de mantenimiento. La apertura de las puertas la controlaba un sistema de intercambio de llaves, enclavamientos gamma instalados y controladores lgicos programables. El diseo original del sistema de acceso a la celda se haba modificado dos veces durante el perodo de puesta en servicio con el fin de mejorarlo. Todos estos sistemas fueron incapaces de impedir la transferencia de material altamente radiactivo a la celda mientras las puertas de blindaje estaban abiertas. La entrada de personal a esta zona se controla mediante un permiso que requiere el uso de dosmetros individuales con alarma. El personal que hubiera podido estar presente en la celda o zonas adyacentes podra haber recibido una exposicin severa a la radiacin si no hubiera respondido al movimiento del contenedor ni a la alarma acstica del dosmetro individual. En el suceso, el operador advirti rpidamente el problema, cerr las puertas de blindaje y nadie recibi exposiciones adicionales. En lo que concierne al acceso a las celdas, el diseo de la planta se haba modificado durante la puesta en servicio y las consecuencias de esos cambios no se haban considerado adecuadamente. En particular: a) La puesta en servicio del sistema de intercambio de llaves de enclavamiento de las puertas de blindaje de la celda no permiti detectar que el sistema era inadecuado. Un sistema de control lgico programable no se haba programado ni puesto en servicio correctamente. Las modificaciones fueron mal evaluadas y controladas porque su significado de seguridad no se clasific correctamente. El personal de diseo y el de puesta en servicio no se comunic apropiadamente.
b) c) d)
73
Se haba cancelado una autorizacin de permisos para trabajar, lo que indica que la planta haba vuelto a su estado normal, pero de hecho no era as. El sistema de propuestas de modificaciones temporales de la planta se usaba demasiado frecuentemente, se controlaba inadecuadamente y requera mejoras. Adems, la labor de entrenamiento y supervisin de las entradas a celdas activas era inadecuado. Explicacin de la clasificacin A pesar del fallo de varias capas de seguridad, quedaba una capa de seguridad, a saber el procedimiento de autorizacin de permisos para trabajar y entrar en las celdas que requiere el uso de dosmetros individuales de alarma. Las mximas consecuencias potenciales para tales actividades son de nivel 4 (muerte de un trabajador) y por tanto la clasificacin bsica a nivel 2 es la apropiada.
Ejemplo 16: Fallo de control de criticidad nivel 1 Descripcin del suceso Una comprobacin rutinaria del cumplimiento de las normas de operacin en una planta de fabricacin de combustible descubri que se haban embalado de forma incorrecta seis muestras de pastillas de combustible. Adicionalmente al embalaje permitido, cada muestra se haba colocado en un contenedor de plstico. Tenan que introducirse en el almacn los contenedores plsticos adicionales que mostraban un requisito que vedaba el uso de material hidrogenado adicional al de envoltura permitido. Las investigaciones posteriores demostraron que el certificado de no-criticidad era difcil de interpretar y la evaluacin relativa a la criticidad era inadecuada para permitir la plena comprensin de la evaluacin de seguridad. Explicacin de la clasificacin Las mximas consecuencias potenciales de una criticidad seran de nivel 4, es decir, muerte de un trabajador. La mxima clasificacin atendiendo a la defensa en profundidad sera por lo tanto a nivel 2 (Seccin IV3.2.2.3). Las capas de seguridad subsistentes son: Los controles previstos para evitar inundaciones (supuestas en el estudio de seguridad); Las inspecciones para detectar desviaciones con respecto a los supuestos admitidos en el estudio de seguridad (por ejemplo, la presencia de otro material hidrogenado).
74
PARTE V
Por lo tanto, quedan dos capas de seguridad y la clasificacin bsica es de nivel 1. Este nivel tambin sera apropiado porque: Las operaciones no se ajustaban a los requisitos de las CLO; La cultura de seguridad no garantiz las evaluaciones ni la documentacin adecuadas.
Ejemplo 17: Prdida prolongada de ventilacin en una instalacin de fabricacin de combustible nivel 1 Descripcin del suceso Tras una prdida de ventilacin normal y de emergencia y el incumplimiento de procedimientos, los operadores trabajaron durante ms de una hora sin contencin dinmica. La ventilacin realiza una doble funcin. Primero, dirige la radiactividad que se extendera por un recinto cerrado a un circuito de filtracin y liberacin controlada y, segundo, crea una ligera depresin en ese recinto cerrado para evitar la transferencia de radiactividad a otras zonas. Esta forma de contencin se llama contencin dinmica. El incidente empez con la prdida de suministro elctrico al sistema normal de ventilacin. El sistema de ventilacin de emergencia, que debera haber actuado, no arranc. Las investigaciones posteriores indicaron que la avera del sistema normal de ventilacin y el fallo del sistema de ventilacin de emergencia estaban ligados a la presencia de un modo comn entre las alimentaciones elctricas de estos sistemas de ventilacin. La alarma se sealiz en el puesto de guardia, pero la informacin no lleg ni a los supervisores ni al personal de operacin. Al personal de operacin slo se le inform de que haba saltado la alarma poco ms de una hora despus de que hubiera empezado el turno. El resultado de las medidas de contaminacin atmosfrica, tomadas en todos los puestos de trabajo monitorizados, no aport ninguna evidencia de incremento de contaminacin atmosfrica. Explicacin de la clasificacin El sistema de ventilacin se dise en cascada de flujos de aire desde zonas de baja contaminacin a otras de contaminacin sucesivamente ms alta, real o potencialmente. Si hubiera habido un suceso coincidente que produjera presurizacin, se habra descargado a la zona de operacin de la planta, y despus a la atmsfera sin el mismo grado de filtracin, alguna radiactividad que de otro modo se habra canalizado por el sistema de filtracin. Las mximas consecuencias potenciales seran:
75
En el emplazamiento: nivel 3 (amplia dispersin de contaminacin area); Fuera del emplazamiento: nivel 4. Por lo tanto la mxima clasificacin por concepto de defensa en profundidad es a nivel 2. Las disposiciones de seguridad independientes que quedaban, sin incluir los procedimientos de emergencia en ltima instancia, son: Los sistemas contra incendios instalados (automticos); La estructura del edificio que prev contencin y descontaminacin para reducir las exposiciones; No haberse producido fuego en el combustible. Segn la Seccin IV3.2.2.3, haba ms de dos capas de seguridad eficaces y la clasificacin bsica de cero es la apropiada. Sin embargo, se violaron las CLO (continu el trabajo sin ventilacin) y por lo tanto la clasificacin del suceso se sube a nivel 1.
Ejemplo 18: Prdida de ventilacin en una instalacin de almacenamiento de productos de fisin nivel 1 Descripcin del suceso La contencin del residuo lquido de alta actividad estaba formada por: Las vasijas; Dos sistemas extractores independientes de ventilacin del 100% que aseguraban el confinamiento dinmico evitando cualquier transferencia de radiactividad a otras zonas y canalizando la radiactividad que podra dispersarse hacia circuitos de filtracin y tratamiento; Sistemas de refrigeracin de seguridad para evitar la ebullicin; Sistemas de seguridad pulsantes para evitar puntos calientes en las vasijas debidos a la deposicin de partculas slidas; Sistemas extractores de ventilacin especficos para asegurar la recogida de hidrgeno y evitar una explosin. El suceso ocurrido fue una parada total de los sistemas extractores de ventilacin. Durante unas tres horas, el gradiente de presin entre las celdas y otras zonas no estuvo asegurado. Sin embargo, las disposiciones de seguridad para mantener la dilucin de hidrgeno continuaron con normalidad (se dispona de vasija de aire a presin y de botellas de nitrgeno).
76
PARTE V
Descripcin de la clasificacin Al sistema de ventilacin se le asignan tres objetivos: a) b) c) Mantener la concentracin de hidrgeno por debajo del lmite de explosin; Controlar las descargas radiactivas por una va con filtracin; Mantener los gradientes de presin entre vasijas, celdas y zonas de operacin de la planta.
La prdida prolongada de ventilacin junto con un incendio o explosin en el sistema de ventilacin de la vasija podra dar lugar a: Mayores dosis a los operadores, como mximo nivel 2 a causa de presurizacin; Dispersin de la contaminacin area, como mximo nivel 3; Mayores descargas a la atmsfera por las rutas de ventilacin de celdas que tienen menor nivel de filtracin que las rutas de ventilacin de la vasija. Las mximas consecuencias pueden exceder del nivel 4; Daos a la planta, pero con materiales radiactivos plenamente recuperables y confinados (nivel 4). Las capas de seguridad subsistentes son: La refrigeracin de las vasijas, que limita el ritmo de emanacin de descargas gaseosas junto con la medida y alarmas de concentracin de H2 con la disponibilidad de nitrgeno para bajar el contenido de oxgeno si la concentracin de hidrgeno empezase a subir; La ausencia de un mecanismo que inicie una deflagracin o detonacin; Los sistemas intactos de filtrado y ventilacin de las celdas, distantes de las estructuras de las vasijas, edificios y celdas, que actan como un sistema de contencin y descontaminacin reduciendo el impacto de las descargas. Conforme a la Seccin IV3.2.2.3, las mximas consecuencias potenciales son nivel 5 y hay tres capas de seguridad disponibles. Por lo tanto, la clasificacin bsica es a nivel 1 y no hay razones para subirla.
77
Ejemplo 19: Prdida de una fuente sellada nivel 2 Descripcin del suceso Durante la prueba de una serie de monitores de radiacin se descubri que una fuente de 2 GBq de 226Ra, utilizada para pruebas funcionales de instrumentacin, faltaba de su contenedor de transporte blindado. La fuente se encontr en una zona controlada, en un pasillo de libre acceso para el personal. Explicacin de la clasificacin Esta fuente producira 80 Sv/h a 1 cm, lo que es claramente suficiente para causar quemaduras (nivel 3) en unos pocos minutos de exposicin o la muerte. La mxima clasificacin por el concepto de defensa en profundidad fue por lo tanto a nivel 2. Dado el corto tiempo, todas las capas potenciales de seguridad quedaron intiles. Por lo tanto la clasificacin es a nivel 2. Ejemplo 20: Derrame de lquido contaminado con plutonio en el suelo de un laboratorio nivel 2 Descripcin del suceso Se desprendi una manguera flexible que aportaba agua de refrigeracin a un condensador de vidrio en una caja de guantes. El agua inund la caja de guantes y llen un guante ambidiestro hasta que el guante revent. El agua derramada contena unos 2,3 GBq de 239Pu. Descripcin de la clasificacin El laboratorio no estaba diseado para contener derrames. Se estima que los derrames lquidos tienen una equivalencia radiolgica de unos pocos cientos de GBq de 106Ru. Segn la Seccin III2.4, 1 2,3 Bq 239Pu GBq 239Pu 3 000 Bq 106Ru 6,9 103 GBq 106Ru
La cantidad derramada es mayor que la correspondiente al nivel 2, pero menor que la de nivel 3, de unos pocos miles de TBq. Dado que el derrame ocurri en forma lquida hay poca probabilidad de alguna exposicin significativa al personal.
78
PARTE V
Ejemplo 21: Se descubre que contenedores de transporte supuestamente vacos contienen material nuclear nivel 1 Descripcin del suceso Una planta de fabricacin de combustible recibe xido de uranio enriquecido en 235U por va martima. El material viaja en unos bidones especiales sellados mecnicamente y colocados en un contenedor martimo. Tras extraer el material, el fabricante del combustible enva de vuelta a su proveedor los bidones vacos. Tras recibir un contenedor con 150 bidones supuestamente vacos, el proveedor de xido de uranio descubri que dos bidones estaban llenos y contenan un total de 100 kg de xido de uranio. La actividad estimada del material era 8 109 Bq; sin embargo, se comprob que la superficie exterior de los bidones y el contenedor martimo estaban limpios. Ningn trabajador ni miembro del pblico recibi dosis imprevista alguna como consecuencia de este suceso. Explicacin de la clasificacin Aunque el embalado de los bidones vacos fue el mismo que si estuvieran llenos (se mantena el sellado mecnico as como las condiciones del contenedor), el etiquetado del transporte fue menos exigente y las precauciones de manejo ligeramente relajadas. Por lo tanto, hubo una vulneracin de las CLO y conforme a la Seccin V1.11 el suceso se clasifica a nivel 1.
Ejemplo 22: Prdida completa de refrigeracin en parada nivel 1 Descripcin del suceso La refrigeracin en parada de la vasija del reactor se perdi completamente durante varias horas cuando las vlvulas de aislamiento de la aspiracin del sistema RHR, que estaba en operacin, cerraron automticamente. Estas vlvulas cerraron debido a la prdida de suministro elctrico a la divisin 2 del sistema de proteccin del reactor. El suministro alternativo estaba indisponible por mantenimiento. La unidad haba estado parada durante un largo tiempo (unos 16 meses) y el calor residual era muy escaso. Durante el perodo de tiempo en que la refrigeracin en parada estuvo indisponible, el agua de la vasija empez a calentarse a un ritmo aproximado de 0,3 C por hora. El sistema RHR se puso de nuevo en marcha unas seis horas despus del suceso inicial.
79
Explicacin de la clasificacin Puesto que el reactor estaba en parada, el suceso debe clasificarse utilizando el mtodo de capas de seguridad. a) En este suceso particular, se dispona de mucho tiempo antes que pudiera ocurrir ninguna consecuencia significativa, como degradacin del ncleo o liberacin radiolgica significativa. Esta disponibilidad de tiempo permite la realizacin de un amplio espectro de medidas para corregir la situacin y por lo tanto puede considerarse una capa de alta integridad, como se indica en la Seccin IV3.2.2.1. Como consecuencia de la presencia de esta capa de alta integridad, la clasificacin bsica del suceso es nivel 0. Suponiendo que la configuracin no cumpliera los requisitos de las CLO respecto al tiempo previsto para la recuperacin, el suceso se podra clasificar a nivel 1. Si el calor residual no hubiera sido tan bajo, el tiempo disponible habra sido mucho ms corto y no se habra podido considerar como una capa de alta integridad. En tal caso, las capas de seguridad eficaces son las siguientes: Procedimientos y acciones del operador para restablecer el suministro elctrico a la divisin 2 del sistema de proteccin del reactor; Procedimientos y acciones del operador para restablecer la refrigeracin RHR con sistemas alternativos. Las mximas consecuencias potenciales para la instalacin considerada llevan a un nivel 5 o mayor, luego es aplicable la primera columna de la Tabla V. Dado que quedaban dos capas, el suceso se habra clasificado a nivel 2.
b) c)
Ejemplo 23: Excursin de potencia en un reactor experimental durante la carga de combustible nivel 2 Descripcin del suceso En un reactor de investigacin de piscina ocurri una excursin de potencia, que produjo un disparo del reactor por sobrepotencia durante una operacin de recarga. El reactor operaba corrientemente a 2 MW. Tras la sustitucin de un conjunto de barras de control de seguridad, los elementos combustibles se estaban devolviendo al ncleo. Tras cargar el quinto elemento combustible, las barras de control de seguridad se estaban extrayendo para comprobar que el reactor no estaba crtico. Las barras se extrajeron hasta un 85%, en lugar del 40% requerido (posicin segura). Al insertar el sexto elemento combustible se vio un brillo azul y el reactor dispar por
80
PARTE V
sobrepotencia. El disparo por Log N se haba puesto en derivacin para evitar disparos espurios mientras se mova combustible irradiado hacia la posicin de carga en el ncleo y la derivacin no se haba desconectado. El mximo transitorio de potencia estimado fue de alrededor del 300% de plena potencia. Los procedimientos de recarga se van a examinar y revisar. Explicacin de la clasificacin La introduccin a la Seccin IV3.2 establece que el mtodo de capas de seguridad debe utilizarse para evaluar reactores de investigacin. El primer paso por lo tanto es identificar las mximas consecuencias potenciales. Esto se haba evaluado para el reactor y se haba demostrado que la mxima clasificacin potencial no excedera del nivel 4. La nica barrera que impeda una liberacin significativa era el disparo por sobrepotencia. No se aportan detalles sobre esa proteccin, pero a menos que se muestre que hay dos o ms capas de proteccin redundantes, eficaces en las condiciones de operacin en vigor, debe suponerse que slo haba una capa que impeda una liberacin significativa. La clasificacin, segn la Tabla V es por lo tanto a nivel 2.
Parte VI APNDICES
Apndice I CLCULO DE LA EQUIVALENCIA RADIOLGICA
I.1.
INTRODUCCIN
En este apndice se presentan los factores de multiplicacin que cabe aplicar a la actividad liberada de un radionucleido especfico para obtener una actividad que pueda compararse con los valores indicados del 131I. Los valores de los coeficientes de inhalacin se han publicado recientemente e incorporado a las Normas bsicas de seguridad (NBS) del OIEA . Son los utilizados en este anlisis.
I.2.
MTODO
La metodologa y escenarios utilizados son comparables a los adoptados en la anterior orientacin sobre la Escala INES. Se resumen seguidamente. a) Para el impacto fuera del emplazamiento, se consideran las dos siguientes vas: Dosis por inhalacin (efectiva, miembro adulto del pblico) de una concentracin area de radionucleidos, con un ritmo de respiracin de 3,3 10-4 m3s-1 y un coeficiente de dosis por inhalacin (Dinh, SvBq-1); Dosis externa de radiacin gamma (efectiva, adulto), integrada durante 50 aos, debida a los radionucleidos depositados en el suelo. La deposicin en suelo se relaciona con la concentracin en aire utilizando velocidades de deposicin (Vg) de 10-2 ms-1 para yodo elemental y 1,5 10-3 ms-1 para otros materiales. Se utiliza la dosis integrada durante 50 aos causada por la unidad de depo8
AGENCIA PARA LA ENERGA NUCLEAR DE LA OCDE, ORGANISMO INTERNACIONAL DE ENERGA ATMICA, ORGANIZACIN DE LAS NACIONES UNIDAS PARA LA AGRICULTURA Y LA ALIMENTACIN, ORGANIZACIN INTERNACIONAL DEL TRABAJO, ORGANIZACIN MUNDIAL DE LA SALUD Y ORGANIZACIN PANAMERICANA DE LA SALUD, Normas bsicas internacionales de seguridad para la proteccin contra la radiacin ionizante y para la seguridad de las fuentes de radiacin, Coleccin Seguridad Nm. 115, OIEA, Viena (1996).
82
PARTE VI
sicin en suelo de cada radionucleido (Dsue, Sv por Bqm-2) y se aplica un factor 0,5 a ste para tener en cuenta la irregularidad del terreno. La dosis total (Dtot) resultante de una actividad liberada Q y de la concentracin area, integrada con respecto al tiempo de radionucleidos a nivel del suelo de X (Bqsm-3 por Bq liberado) es: Dtot = QX(Dinhritmo de respiracin + Vg Dsue 0,5) Para cada radionucleido, la equivalencia radiolgica relativa al 131I puede calcularse por lo tanto como el cociente de los respectivos valores de Dtot/(QX). b) Para las consecuencias en el emplazamiento slo se consideran la va de inhalacin y los coeficientes de inhalacin para los trabajadores.
I.3.
DATOS BSICOS
os coeficientes de inhalacin en las columnas segunda y tercera de la Tabla VIII se han tomado de las NBS (vase nota a pie de pgina nm. 8), salvo para el Unat que no figura en ese documento. Los valores del Unat se han calculado sumando las aportaciones del 238U, 235U y 234U y sus principales productos de decaimiento, como se indica ms abajo. Cuando un radionucleido tiene varios tipos de absorcin pulmonar, se utiliza el mximo valor del coeficiente de inhalacin. Las dosis por radiacin gamma externa integradas para 50 aos han sido calculadas por National Radiological Protection Board del Reino Unido. Los datos del 235U incluyen el 231Th y los del 238U incluyen el 234Th y el 234Pam. Los valores del uranio natural se han calculado utilizando las siguientes proporciones: 234U (48,9%), 235U (2,2%) y 238U (48,9%).
I.4.
RESULTADOS
Los factores de multiplicacin aplicables para el impacto en el emplazamiento se obtienen dividiendo el valor de cada radionucleido por el del 131I. Estos valores se dan en la Tabla IX y en forma redondeada en la Tabla X. Los factores de multiplicacin estn dentro del rango de un pequeo factor respecto de los publicados en el anterior documento de clarificacin de la Escala INES9.
ORGANISMO INTERNACIONAL DE ENERGA ATMICA, Clarification of Issues Raised: Addendum to the INES User's Manual, IAEA, Vienna (1996).
9
APNDICES I
83
El clculo de los factores de multiplicacin aplicables al impacto fuera del emplazamiento se presenta en la Tabla XI. La dosis externa por Bqsm-3 (cuarta columna) se suma a la dosis por inhalacin (sptima columna) para obtener el total de las dos va (octava columna). El valor total correspondiente a cada radionucleido se divide por el del 131I para obtener los factores de multiplicacin que figuran en la columna final. stos se presentan en forma redondeada en la Tabla X. Los factores de multiplicacin estn dentro del rango de un pequeo factor respecto de los publicados en el anterior documento de clarificacin de la Escala INES9.
ORGANISMO INTERNACIONAL DE ENERGA ATMICA, Clarification of Issues Raised: Addendum to the INES User's Manual, IAEA, Vienna (1996).
84
PARTE VI
TABLA VIII. DATOS BSICOS

Coeficientes de inhalacin Nuclide Sv/Bq (trabajadores) (publicacin citada en nota 8 1,10 108 1,80 1011 2,90 109 1,20 109 1,70 108 1,10 109 6,70 109 9,60 109 3,00 109 7,70 108 3,50 108 6,80 106 6,10 106 1,80 106 6,00 107 5,70 106 1,60 106 5,80 107 6,20 106 1,00 104 2,70 105 Sv/Bq (pblico) (publicacin citada en nota 8 7,40 109 2,60 1010 3,40 109 1,50 109 3,10 108 9,90 1010 3,90 108 2,00 108 2,00 109 1,60 107 6,60 108 9,40 106 8,50 106 3,10 106 5,20 107 8,00 106 2,90 106 5,00 107 8,70 106 1,20 104 9,60 105 External from deposit Svh1 por Bqm2 (a) 3,40 1016 3,65 1013 3,65 1013 3,65 1013 5,36 1014 5,36 1014 5,36 1014 3,44 1014 1,75 1016 3,65 1014 Sv50 a1 por Bqm2 (a) 2,48 1010 0 0 1,96 108 2,30 107 5,57 1011 1,25 107 7,24 108 6,49 1010 0 5,27 109 1,49 1010 1,60 107 1,60 107 1,60 107 2,35 108 2,35 108 2,35 108 1,51 108 7,67 1011 1,60 108
131I
HTO
32P 54Mn 60Co 99Mo 137Cs 134Cs 132Te 90Sr 106Ru 234U(S)b 235U(S)b 235U(M)b 235U(F)b 238U(S)b 238U(M)b 238U(F)b
Unat
239Pu 241Am a
Clculo de la equivalencia radiolgica para el Manual del usuario de INES, carta de S. Hughes a S.J. Mortin, 2000. Tipos de absorcin pulmonar: S lento; M medio; F rpido. En caso de duda, utilcese el valor ms conservador.
APNDICES I
85
TABLA IX. IMPACTO EN EL EMPLAZAMIENTO, SLO INHALACIN

Nucleidoe
131I
Coeficiente de inhalacin (Sv/Bq) (trabajadores) 1,10 108 1,80 1011 2,90 109 1,20 109 1,70 108 1,10 109 6,70 109 9,60 109 3,00 109 7,70 108 3,50 108 6,10 106 1,80 106 6,00 107 5,70 106 1,60 106 5,80 107 6,20 106 1,00 104 2,70 105
Razn a 131I 1,0 0,002 0,3 0,1 1,5 0,1 0,6 0,9 0,3 7,0 3,2 554,5 163,6 54,5 518,2 145,5 52,7 563,6 9090,9 2454,5
HTO
32P 54Mn 60Co 99Mo 137Cs 134Cs 132Te 90Sr 106Ru 235U(S)a 235U(M)a 235U(F)a 238U(S)a 238U(M)a 238U(F)
Unat
239Pu 241Am a
86
PARTE VI
TABLA X. IMPACTO FUERA DEL EMPLAZAMIENTO, INHALACIN Y DOSIS EXTERNA POR DEPSITO EN EL SUELO
Dosis 50 aos (Sv por Nucleido Bqm2)
131I
Velocidad de Dosis externa Coeficiente
Ritmo de
Dosis por
Dosis total Razn a

131I
externa para deposicin Vg para 50 aos de inhalacin respiracin inhalacin (Sv por (ms1)
1,00102 0 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103 1,50103
(pblico) (Sv por Bq)

7,40109 2,601010 3,40109 1,50109 3,10108 9,901010 3,90108 2,00108 2,00109 1,60107 6,60108 8,50106 3,10106 5,20107 8,00106 2,90106 5,00107 8,70106 1,20104 9,60105
Sv por (m3s1)
3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104 3,30104
Sv por (Bqsm3)
3,681012 8,581014 1,121012 1,521011 1,831010 3,681013 1,071010 6,091011 1,151012 5,281011 2,571011 2,92109 1,14109 2,921010 2,66109 9,751010 1,831010 2,88109 3,96108 3,17108 1,0 0,02 0,30 4,1 49,6 0,1 29,0 16,5 0,3 14,3 7,0 794,4 310,4 79,2 721,8 264,7 49,6 782,8 10755,0 8607,3
Bqsm3)
1,241012 0 0 1,471011 1,731010 4,181014 9,381011 5,431011 4,871013 0 3,951012 1,201010 1,201010 1,201010 1,761011 1,761011 1,761011 1,131011 5,751014 1,201011
(Bqsm3)
2,441012 8,581014 1,121012 4,951013 1,021011 3,271013 1,291011 6,601012 6,601013 5,281011 2,181011 2,81109 1,02109 1,721010 2,64109 9,571010 1,651010 2,87109 3,96108 3,17108
2,481010 0 0 1,96108 2,30107 5,571011 1,25107 7,24108 6,491010 0 5,27109 1,60107 1,60107 1,60107 2,35108 2,35108 2,35108 1,51108 7,671011 1,60108
HTO
32P 54Mn 60Co 99Mo 137Cs 134Cs 132Te 90Sr 106Ru 235U(S)a 235U(M)a 235U(F)a 238U(S)a 238U(M)a 238U(F)a
Unat
239Pu 241Am
APNDICES I
87
TABLA XI. EQUIVALENCIAS RADIOLGICAS

Factores de multiplicacin Nucleido
131I
Impacto fuera del emplazamiento 1(1) 0,02() 0,3() 4() 50() 0,1() 30(90) 20() 0,3() 10(30) 7(10) 800() 300() 100() 700(2500) 300() 50(80) 800 10 000(9000) 9000(9000)
Impacto en el emplazamiento 1(1) 0,002() 0,3() 0,1() 1,5() 0,1() 0,6(1) 0,9(2) 0,3(4) 7(10) 3(1) 600() 200() 50() 500(1000) 100() 50(35) 600 9000(10 000) 2000(10 000)
HTO
32P 54Mn 60Co 99Mo 137Cs 134Cs 132Te 90Sr 106Ru 235U(S)a 235U(M)a 235U(F)a 238U(S)a 238U(M)a 238U(F)a
Unat
239Pu 241Am a
Tipos de absorcin pulmonar: S lento; M medio; F rpido. En caso de duda, utilcese el valor ms conservador. Nota: Los valores entre parntesis son los indicados en la publicacin citada en la nota 8.
Apndice II SINOPSIS DEL PROCEDIMIENTO DE CLASIFICACIN DE LOS SUCESOS EN REACTORES DE POTENCIA SEGN LA DEFENSA EN PROFUNDIDAD
II.1. ANTECEDENTES La defensa en profundidad se puede considerar de diferentes formas. Por ejemplo, se puede tener en cuenta el nmero de barreras previstas para impedir una liberacin (por ejemplo, combustible, vaina, vasija de presin, contencin). Igualmente se puede considerar el nmero de sistemas que habran de fallar para que un incidente ocurriera (por ejemplo, prdida de suministro elctrico exterior ms fallo de todos los Diesel indispensables de emergencia). Este ltimo enfoque es el adoptado en el procedimiento de clasificacin de INES. El procedimiento bsico de clasificacin se centra en el alcance de los fallos de los sistemas de seguridad y en si han sido amenazados. Sin embargo, se reconoce que las consecuencias del fallo de todos los sistemas pueden variar considerablemente. Las consecuencias potenciales se tratan en INES de una forma relativamente sencilla. Tratndose de sucesos en que las mximas consecuencias potenciales pudieran ser de nivel 5 o mayor, el mximo nivel adecuado, atendiendo a la defensa en profundidad, es el 3. Si las mximas consecuencias potenciales del suceso no pueden superar el nivel 4, entonces el mximo por concepto de defensa en profundidad es el nivel 2. De forma similar, si las mximas consecuencias potenciales no pueden exceder del nivel 2, el mximo segn la defensa en profundidad es el nivel 1. Ahora consideraremos ms detalladamente el mtodo para clasificar sucesos. En este manual se describen dos mtodos distintos pero similares. El primero, que se resume aqu, obviamente es el ms apropiado para sucesos asociados con reactores de potencia. El segundo es probablemente ms apropiado para sucesos relacionados con reactores en parada, plantas qumicas, fallos de combustible en ruta, disposiciones asociadas con la proteccin de los trabajadores, etc. En general, el mtodo a utilizar depende de la forma en que se ha evaluado la seguridad de la planta.
II.2. PROCEDIMIENTO PARA SUCESOS ASOCIADOS CON REACTORES DE POTENCIA Considrese una planta en que la proteccin contra la prdida de suministro elctrico exterior est asegurada por cuatro Diesel esenciales. Para que un accidente ocurra, el suceso debe amenazar la seguridad de la planta (por ejemplo, LOOP) y la
APNDICES II
89
proteccin debe fallar (por ejemplo, que falle el arranque de todos los Diesel). La amenaza inicial a la seguridad de la planta (LOOP en este ejemplo) se llama iniciador y la respuesta de los Diesel viene definida por la capacidad de operacin de la funcin de seguridad (refrigeracin pos disparo en este ejemplo). As, para que ocurra un accidente se necesita un iniciador y una capacidad operativa insuficiente de funciones de seguridad. La defensa en profundidad mide lo cerca que se est de ese accidente, es decir, si el iniciador ha ocurrido, cul fue la probabilidad del accidente y la capacidad de operacin de las funciones de seguridad. Si se ha perdido el suministro elctrico exterior pero todos los Diesel arrancan segn lo previsto, un accidente ser improbable (tal suceso probablemente se clasificara a nivel 0). De forma similar, si un Diesel ha fallado en una prueba pero los dems estuvieron disponibles as como el suministro elctrico exterior, un accidente ser improbable (de nuevo, tal suceso sera probablemente clasificado a nivel 0). Sin embargo, si se descubriera que todos los Diesel no han estado disponibles durante un mes, entonces incluso aunque hubiera estado disponible el suministro exterior y no hubiese necesidad de que los Diesel funcionaran, un accidente sera relativamente probable puesto que la posibilidad de perder la alimentacin elctrica exterior era relativamente alta (un suceso as se clasificara probablemente a nivel 3 si no hubiera otras lneas de proteccin). El procedimiento de clasificacin por lo tanto considera si hubo necesidad de que las funciones de seguridad actuaran (en caso de ocurrir un iniciador), la probabilidad supuesta del iniciador y la capacidad de operacin de las funciones de seguridad relevantes.
Apndice III CLASIFICACIN, DERIVADA DE LAS TABLAS, DE LOS SUCESOS EN REACTORES DE POTENCIA (SECCIN IV3.2.1)
III.1. INCIDENTES QUE IMPLICAN DEGRADACIN DE SISTEMAS DE SEGURIDAD SIN INICIADOR (SECCIN IV3.2.1.3 B)) La categorizacin de un incidente depender en principio de la medida en que se degrada las funciones de seguridad y de la probabilidad del iniciador para el que estn previstas. En rigor, esta ltima es la probabilidad de que el iniciador ocurra durante el perodo de degradacin de la funcin de seguridad puesto que el perodo de incapacidad operativa variar de un incidente a otro. Consecuentemente, si el perodo de incapacidad es muy corto, ser apropiado un nivel ms bajo que el indicado en la tabla. Si la capacidad de operacin de una funcin de seguridad requerida es inadecuada (independientemente de si es apenas inadecuada o muy inadecuada), entonces el incidente nicamente se evit porque no ocurri el iniciador. En caso de tal incidente, si la funcin de seguridad se requiere para iniciadores esperados (es decir, aquellos que se espera que ocurran una o ms veces durante la vida de la planta), ser apropiado el nivel 3. Si la funcin de seguridad inadecuada slo se requiere para iniciadores posibles o improbables, lgicamente ser apropiado un nivel ms bajo puesto que la probabilidad de un accidente es mucho menor. Por esta razn, la tabla muestra el nivel 2 para los iniciadores posibles y el nivel 1 para los improbables. El nivel escogido ser lgicamente menor cuando la funcin de seguridad es adecuada que cuando es inadecuada. As, si se requiere la funcin para iniciadores esperados y la capacidad de operacin es justo la adecuada, lo apropiado es el nivel 2. Sin embargo, en algunos casos la capacidad operativa de la funcin de seguridad puede ser considerablemente mayor que justo la adecuada, pero no estar dentro de lo prescrito por las CLO. Esto se debe a que la mnima capacidad requerida por las CLO frecuentemente incluir redundancia y/o diversidad contra algunos iniciadores esperados. En tales situaciones, el nivel 1 sera ms apropiado. As, la tabla indica una eleccin entre los niveles 1 o 2. El valor apropiado se escoger dependiendo de la redundancia y/o diversidad subsistentes. Si la funcin de seguridad se requiere para iniciadores posibles o improbables, la reduccin en uno del nivel obtenido para un sistema inadecuado da el nivel 1 en el caso de iniciadores posibles y el nivel 0 en el de iniciadores menos probables. Sin embargo, no se considera apropiado clasificar a nivel 0 la reduccin de la capacidad operativa de un sistema de seguridad por debajo de la requerida por las CLO. Una
APNDICES III
91
parte importante de la defensa en profundidad, un sistema de seguridad redundante, ha fracasado. As, la tabla muestra el nivel 1 tanto para iniciadores posibles como improbables. Si la capacidad de operacin de la funcin de seguridad est dentro de los requisitos de las CLO, la planta ha permanecido dentro de su entorno operativo de seguridad y lo apropiado es el nivel 0 para todas las frecuencias de iniciadores. Esto tambin se muestra en la tabla.
III.2. INCIDENTES QUE IMPLICAN UN INICIADOR REAL (SECCIN IV3.2.1.3 A) Aqu la clasificacin depender primordialmente de la capacidad de operacin de las funciones de seguridad, pero por coherencia se adopta la misma estructura de tabla que para los sucesos sin iniciador. Obviamente, si la funcin de seguridad es inadecuada, habr ocurrido un accidente que se clasificar bajo los criterios de impacto fuera o dentro del emplazamiento. Sin embargo, el nivel 3 representa la mxima categora en cuanto a defensa en profundidad. Esta prdida total de defensa en profundidad se expresa en la tabla con un 3+. Si la funcin de seguridad es justo la adecuada, de nuevo ser apropiado el nivel 3, puesto que un fallo ms conducira a un accidente. Sin embargo, como se indica en la seccin anterior, cuando la incapacidad operativa es justo menor que la requerida por las condiciones y lmites de operacin, puede ser considerablemente mayor que la meramente adecuada, en particular para iniciadores esperados. Por lo tanto, en la tabla se muestran los niveles 2/3 para los iniciadores esperados y una funcin de seguridad adecuada, dependiendo la eleccin del grado en que dicha capacidad es mayor que justo la adecuada. Para iniciadores improbables la capacidad operativa requerida por las condiciones y lmites de operacin probablemente sea justo la adecuada y, por tanto, en general sera apropiado el nivel 3. Sin embargo, puede haber ciertos iniciadores para los cuales haya redundancia y por ello la tabla muestra los niveles 2/3 para todas sus frecuencias. Si la funcin de seguridad es plenamente operativa y ocurre un iniciador esperado, esto ser obviamente un nivel 0, como muestra la tabla. Sin embargo, el hecho de ocurrir iniciadores posibles o improbables, incluso aunque haya considerable redundancia en las funciones de seguridad, representa el fallo de una parte importante de la defensa en profundidad, a saber, la prevencin de iniciadores. Por esta razn la tabla muestra el nivel 1 para los iniciadores posibles y el nivel 2 para los improbables. Si la capacidad de operacin de las funciones de seguridad es la mnima requerida por las CLO, entonces en algunos casos, como ya se ha indicado, no habr redundancia adicional para los iniciadores posibles y especialmente para los improbables.
92
PARTE VI
Por lo tanto, es apropiado el nivel 2/3, dependiendo de la redundancia subsistente. Para los iniciadores esperados, habr redundancia adicional y por lo tanto se propone una categorizacin ms baja. La tabla muestra el nivel 1/ 2, donde de nuevo el valor escogido depender de la redundancia adicional en las funciones de seguridad. Cuando la disponibilidad de la funcin de seguridad es mayor que el mnimo requerido por las CLO pero menor que plena, puede que existan redundancia y diversidad considerables para los iniciadores esperados. En tales casos, el nivel 0 sera el ms apropiado.
Apndice IV EJEMPLOS DE INICIADORES

IV.1. REACTORES DE AGUA A PRESIN (PWR Y WWER)
IV.1.1. Esperados Disparo del reactor; Dilucin fortuita de la compensacin qumica; Prdida de caudal de agua de alimentacin; Despresurizacin del sistema de refrigeracin del reactor por operacin fortuita de un componente activo (por ejemplo, una vlvula de seguridad o alivio); Despresurizacin fortuita del sistema de refrigeracin del reactor debida al enfriamiento por rociado del presurizador normal o auxiliar; Fuga en el sistema de conversin de potencia que no impida una parada y enfriamiento controlados del reactor; Fuga en un tubo del generador de vapor que excede de las especificaciones tcnicas de la central, pero inferior a la equivalente a una ruptura completa de tubo; Fuga en el sistema de refrigeracin del reactor que no impida una parada y enfriamiento controlados del reactor; Prdida de suministro exterior de corriente alterna, con atencin a las perturbaciones de frecuencia y voltaje; Operacin con un elemento combustible en posicin mal orientada o incorrecta; Extraccin fortuita de una barra de control durante la recarga de combustible; Incidente menor de manejo de combustible; Prdida o interrupcin total del caudal forzado del refrigerante del reactor, excluido el agarrotamiento del rotor de la bomba de refrigerante del reactor. IV.1.2. Posibles Pequeo accidente de prdida de refrigerante (LOCA); Rotura total de un tubo del generador de vapor; Cada de un conjunto combustible gastado que slo afecta al conjunto cado; Fuga desde la piscina del combustible gastado que excede de la capacidad normal de aporte; Descarga del refrigerante del reactor a travs de mltiples vlvulas de seguridad o alivio;
94
PARTE VI
IV.1.3. Improbables LOCA de gran amplitud, que llegue incluso hasta la mayor rotura de tubera justificada en la envolvente de presin del refrigerante del reactor; Eyeccin de una barra de control; Gran rotura de tubera del sistema de conversin de potencia, que llegue incluso hasta la mayor rotura de tubera justificada; Cada de un conjunto combustible gastado sobre otros conjuntos combustibles gastados.
IV.2. REACTORES DE AGUA EN EBULLICIN IV.2.1. Esperados Disparo del reactor; Extraccin fortuita de una barra de control durante la operacin del reactor de potencia; Prdida de caudal de agua de alimentacin; Fallo del control de presin del reactor; Fuga en el sistema principal de vapor; Fuga en el sistema de refrigeracin del reactor que no impida la parada y enfriamiento controlados del reactor; Prdida de suministro exterior de corriente alterna, con atencin a las perturbaciones de frecuencia y voltaje; Operacin con un elemento combustible en posicin mal orientada o incorrecta; Extraccin fortuita de una barra de control durante la recarga de combustible; Incidente menor de manejo de combustible; Prdida de caudal forzado del refrigerante del reactor. IV.2.2. Posibles Pequeo LOCA; Rotura de tubera de vapor principal; Cada de un conjunto combustible gastado que slo afecta al conjunto cado; Fuga desde la piscina del combustible gastado que excede de la capacidad normal de aporte; Descarga del refrigerante del reactor a travs de mltiples vlvulas de seguridad o alivio.
APNDICES IV
95
IV.2.3. Improbables LOCA de gran amplitud, que llegue incluso hasta la mayor rotura de tubera justificada en la envolvente de presin del refrigerante del reactor; Cada de una barra de control; Gran rotura en tubera principal de vapor; Cada de un conjunto combustible gastado sobre otros conjuntos combustibles gastados.
IV.3. REACTORES DE AGUA PESADA A PRESIN CANDU IV.3.1. Esperados Disparo del reactor; Dilucin fortuita de la compensacin qumica; Prdida de caudal de agua de alimentacin; Prdida del control de la presin del sistema de refrigeracin del reactor (alta o baja) debida a fallo u operacin fortuita de un componente activo (por ejemplo, vlvula de alimentacin, sangrado o seguridad); Fuga en un tubo del generador de vapor que excede de la especificacin de funcionamiento de la central pero inferior a la equivalente a una rotura completa de tubera; Fuga en el sistema de refrigeracin del reactor que no impida una parada y enfriamiento controlados del reactor; Fuga en el sistema de conversin de potencia que no impida una parada y enfriamiento controlados del reactor; Prdida de suministro exterior de corriente alterna, con atencin a las perturbaciones de frecuencia y voltaje; Operacin con elemento(s) combustible(s) en posicin incorrecta; Incidente menor de manejo de combustible; Disparo de bomba(s) de refrigerante del reactor; Prdida de caudal de agua de alimentacin a uno o ms generadores de vapor; Bloqueo del caudal en un canal individual (menos del 70%); Prdida de refrigeracin del moderador; Prdida del control por computadora; Aumento regional imprevisto de la reactividad.
96
PARTE VI
IV.3.2. Posibles Pequeo LOCA (incluida la rotura de tubo de presin); Rotura completa de un tubo del generador de vapor; Descarga de refrigerante del reactor a travs de mltiples vlvulas de seguridad o alivio; Dao del combustible irradiado o prdida de refrigeracin a la mquina de carga del combustible cuando contenga combustible irradiado; Fuga desde el muelle del combustible irradiado que excede de la capacidad normal de aporte; Rotura de la lnea de agua de alimentacin; Bloqueo del caudal en un canal individual (ms del 70%); Fallo del moderador; Prdida de refrigeracin del blindaje final; Fallo de la refrigeracin de parada; Aumento masivo imprevisto de reactividad; Prdida de agua de servicio (agua de servicio de alta o baja presin, o agua de refrigeracin recirculada); Prdida del aire de instrumentos; Prdida de potencia elctrica en el emplazamiento (clase IV, III, II o I). IV.3.3. Improbables LOCA de gran amplitud, que llegue incluso hasta la mayor rotura de tubera justificada en la envolvente de presin del refrigerante del reactor; Gran rotura de tubera del sistema de conversin de potencia, que llegue incluso hasta la mayor rotura de tubera justificada.
IV.4. REACTORES RBMK (LWGR) IV.4.1. Esperados Disparo del reactor; Funcionamiento defectuoso del sistema de control neutrnico de la potencia del reactor; Prdida de caudal de agua de alimentacin; Despresurizacin del sistema de refrigeracin del reactor (circuito primario) debida a operacin fortuita de un componente activo (por ejemplo, una vlvula de seguridad o alivio);
APNDICES IV
97
Fuga en el circuito primario que no estorbe al disparo y enfriamiento normales del reactor; Reduccin del caudal del refrigerante a travs de un grupo de canales de combustible y de canales del sistema de proteccin del reactor; Reduccin del caudal de la mezcla de helio en el apilamiento de grafito del reactor; Prdida de suministro elctrico exterior, con atencin a las perturbaciones de frecuencia y voltaje; Operacin con un conjunto combustible en posicin mal orientada o incorrecta; Incidente menor de manejo de combustible; Despresurizacin del canal del combustible durante la recarga del combustible. IV.4.2. Posibles Pequeo LOCA; Cada de conjunto combustible gastado; Fuga desde la piscina del combustible gastado que exceda de la capacidad normal de aporte; Fuga del refrigerante primario a travs de mltiples vlvulas de seguridad o alivio; Rotura de un canal del combustible o de un canal del RPS; Prdida de caudal de agua en cualquier canal de combustible; Prdida de caudal de agua en el circuito de refrigeracin del RPS; Prdida total del caudal de la mezcla de helio en el apilamiento de grafito del reactor; Emergencia durante la operacin de la mquina de recarga de combustible; Prdida total de la alimentacin elctrica auxiliar; Suministro no autorizado de agua fra al reactor desde el sistema de refrigeracin de emergencia. IV.4.3. Improbables LOCA de gran amplitud que llegue incluso hasta la mayor rotura de tubera justificada en la envolvente de presin del refrigerante del reactor; Rotura de tubera de vapor principal antes de la vlvula de aislamiento de vapor principal, incluida la mayor rotura de tubera justificada; Cada de un conjunto combustible gastado en otros conjuntos combustibles gastados; Prdida total de caudal de agua de servicio;
98
PARTE VI
Eyeccin de un conjunto combustible desde el canal del combustible, incluida la eyeccin desde el canal del combustible mientras est en la mquina de recarga.
IV.5. REACTORES REFRIGERADOS POR GAS IV.5.1. Esperados Disparo del reactor; Prdida de caudal de agua de alimentacin; Despresurizacin muy pequea; Fuga en tubo de caldera; Prdida de suministro de corriente alterna exterior, con atencin a las perturbaciones de frecuencia y voltaje; Extraccin fortuita de una o ms barras de control; Incidente menor de manejo de combustible; Cierta prdida o interrupcin del caudal forzado del refrigerante del reactor. IV.5.2. Posibles Despresurizacin pequea; Extraccin fortuita de un grupo de barras de control; Rotura total de un tubo de caldera; Cada de una ristra de combustible (nicamente AGR); Cierre de las paletas de gua de la entrada del circulador (nicamente AGR); Fallos del cierre del limitador de flujo (nicamente AGR). IV.5.3. Improbables Despresurizacin de gran importancia; Fallo de la tubera de vapor; Fallo de la tubera de alimentacin.
Apndice V CLASIFICACIN DE LOS SUCESOS QUE IMPLICAN UNA VIOLACIN DE LAS CLO
Las condiciones y lmites de operacin (CLO) estipulan la mnima capacidad operativa de los sistemas de seguridad de forma que la operacin permanece dentro de los requisitos de seguridad de la planta. Pueden incluir una operacin con disponibilidad reducida de los sistemas de seguridad durante un tiempo limitado. En algunos pases las especificaciones tcnicas incluyen las CLO y, adicionalmente, en el caso de que stas no se cumplan prescriben las medidas a tomar, incluso los tiempos permitidos de recuperacin y el estado al que conviene replegarse. Si la disponibilidad del sistema est dentro de los requisitos de las CLO pero la instalacin permanece ms tiempo del permitido (segn se define en las especificaciones tcnicas) en ese estado, el suceso se debe clasificar a nivel 1 debido a deficiencias en la cultura de seguridad. Si se descubre que la disponibilidad del sistema es menor que la permitida por las CLO, incluso durante un tiempo limitado, pero el operador va a un estado seguro de acuerdo con las especificaciones tcnicas, el suceso se clasificar segn se describe en la Seccin III3.2, pero no debe elevarse de nivel por violacin de dichas especificaciones. Tambin debe tenerse en cuenta el tiempo durante el cual la disponibilidad de la funcin de seguridad es menor que la definida por las CLO. Adems de las CLO establecidas, algunos pases introducen en sus especificaciones tcnicas requisitos adicionales, tales como lmites relacionados con la seguridad de componentes a largo plazo. Tratndose de sucesos en que tales lmites se excedan durante un corto tiempo, el nivel 0 ser ms apropiado. Para los reactores en parada, las especificaciones tcnicas estipularn tambin los requisitos mnimos de disponibilidad, pero generalmente no prescribirn los tiempos de recuperacin ni los estados a que conviene replegarse al no ser posible identificar un estado ms seguro. El requisito ser restablecer el estado original de la planta lo antes posible. En general, los fallos de la planta que reducen la disponibilidad en parada se clasificarn utilizando el mtodo de capas de seguridad y la reduccin en la disponibilidad de la planta por debajo de la prescrita por las especificaciones tcnicas no debe contemplarse como una violacin de las CLO. Este manual se ha preparado en base a la experiencia adquirida en la aplicacin de la edicin de 1992 y la clarificacin de los temas suscitados. Esta actualizacin se ha llevado a cabo bajo los auspicios del Comit Asesor INES, dirigido por S. Mortin, Magnox Generation Business Group, British Nuclear Fuels, Reino Unido.
Apndice VI LISTA DE PASES Y ORGANIZACIONES PARTICIPANTES

Alemania Arabia Saudita Argentina Armenia Australia Austria Bangladesh Belars Blgica Brasil Bulgaria Canad Chile China Costa Rica Croacia Dinamarca Egipto Eslovaquia Eslovenia Espaa Estados Unidos de Amrica Federacin de Rusia Finlandia Francia Grecia Guatemala Hungra India Irn (Repblica Islmica del) Irlanda Islandia Italia Japn Kazajstn Kuwait Lbano Lituania Luxemburgo Mxico Noruega Pases Bajos Pakistn Per Polonia Portugal Reino Unido de Gran Bretaa e Irlanda del Norte Repblica rabe Siria Repblica Checa Repblica de Corea Repblica Democrtica del Congo Repblica Federativa de Yugoslavia Rumania Sri Lanka Sudfrica Suecia Suiza Turqua Ucrania Viet Nam
ENLACE INTERNACIONAL Comisin Europea Instituto de Energa Nuclear Asociacin Mundial de Explotadores de Instalaciones Nucleares

Ines 2001 S

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Ines 2001 S

Transféré par

Droits d'auteur :

Formats disponibles

LA ESCALA INTERNACIONAL DE SUCESOS NUCLEARES (INES) MANUAL DEL USUARIO EDICIN DE 2001

Documento preparado conjuntamente por el OIEA y la AEN/OCDE

LA ESCALA INTERNACIONAL DE SUCESOS NUCLEARES (INES) MANUAL DEL USUARIO

ORGANISMO INTERNACIONAL DE ENERGA ATMICA VIENA, 2001

IV1.ANTECEDENTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV2.PRINCIPIOS GENERALES PARA LA CLASIFICACIN DE SUCESOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

APNDICE VI: LISTA DE PASES Y ORGANIZACIONES PARTICIPANTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

Parte I DESCRIPCIN RESUMIDA

SIN SIGNIFICACIN PARA LA SEGURIDAD

EJEMPLOS Central nuclear de Chernbil, URSS (actualmente en Ucrania), 1986

6 ACCIDENTE IMPORTANTE 5 ACCIDENTE CON RIESGO FUERA DEL EMPLAZAMIENTO

Planta de reelaboracin de Kishtim, URSS (actualmente en la Federacin de Rusia), 1957

4 ACCIDENTE SIN RIESGO SIGNIFICATIVO FUERA DEL EMPLAZAMIENTO

Parte II PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA

Hoja 1 Procedimientos de clasificacin INES Principio

Efectos fuera del emplazamiento ?

S Fuera del emplazamiento

Defensa en profundidad (D.E.P.)

Liberacin exterior Dosis a grupo crtico Prdida de fuente en transporte

Dao radiolgico Contaminacin Dosis a los trabajadores

Mtodo de capas Mtodo de iniciadores Factores adicionales

Nivel MAX fuera del emplazamiento

Nivel MAX en el emplazamiento

Nivel MAX D.E.P.

Tomar el mximo de fuera, dentro de emplazamiento y D.E.P.

PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA

Hoja 2 Subprocedimiento fuera del emplazamiento

Dispersin de material radiolgico ? S

Suceso localizado, por ejemplo una fuente perdida

No Una dispersin externa radiolgicamente equivalente a entre 1014 y 1015 Bq de 131I? No

Dosis al grupo crtico

Efectos agudos a la salud?

Nivel MAX fuera del emplazamiento

Hoja 3 Subprocedimiento en el emplazamiento

Dao a las barreras radiolgicas Dispersin de contaminacin? Dosis a los trabajadores S No

Dao severo al ncleo o barreras radiolgicas? (1)

Exposicin mortal de un trabajador? (6) No S Dispersin severa de contaminacin? (4) S

Dao significativo al ncleo o barreras radiolgicas? (2) No (7)

Sobreexposicin de un trabajador que produce efectos graves de salud?

Dispersin grave de contaminacin? (5)

Sobreexposicin de trabajadores? (8) No

No aplicable Nivel MAX en el emplazamiento

PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA

PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA

Hoja 4 Subprocedimiento de defensa en profundidad (D.E.P.)

Hay algn fallo potencial (inclusive un defecto estructural)? (Seccin IV3.2.3)

Suceso obviamente sin importancia para la seguridad? (Seccin IV3.2.4)

Nivel MAX D.E.P.

Hoja 5 Mtodo del iniciador

Hubo iniciador (suceso iniciador)?

(Ocurri un suceso iniciador) (Degradacin de funcin de seguridad)

Determine la clasificacin bsica

Clasificacin de sucesos por su impacto en la defensa en profundidad sin iniciador real

Frecuencia del iniciador (1)

Capacidad de operacin de la funcin de seguridad (2)

Esperado Posible Improbable

B: Dentro de los requisitos de las CLO

B: Dentro de los requisitos de las CLO

Clasificacin por el mtodo del iniciador

PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA

Hoja 6 Mtodo de capas

Hubo una amenaza a las funciones de seguridad?

PROCEDIMIENTO DE CLASIFICACIN Y NOTIFICACIN DE SUCESOS AL OIEA

Parte III IMPACTO FUERA DEL EMPLAZAMIENTO Y EN EL EMPLAZAMIENTO