Ilkka Männistö, Jan-Erik Holmberg, VTT Tuotteet ja tuotanto Ydinvoimalaitoksen järjestelmien, rakenteiden ja laitteiden riskitietoinen luokittelu Ilkka Männistö, Jan-Erik Holmberg, VTT Tuotteet ja tuotanto
Johdanto 1/2 Riskitietoinen lähestymistapa tarkoittaa riskianalyysin tulosten käyttämistä päätöksenteon apuna Ydinvoimaloihin liittyviä riskejä arvioidaan PSA:lla (probabilistic safety assessment) PSA on matemaattinen malli laitoksen luotettavuudelle Riskitietoinen luokittelu tarkoittaa tässä yhteydessä PSA:n käyttämistä luokittelun tukena PSA:ssa määritellään erilaisia negatiivisia tapahtumia (TOP-tapahtuma) joiden todennäköisyyksiä lasketaan, kuten reaktorisydämen vaurioituminen (taso 1), tai radioaktiivisten aineiden leviäminen ympäristöön (taso 2)
Johdanto 2/2 Työn aiheena selvittää riskiluokittelun soveltamista ydinvoimalaitosten järjestelmiin, rakenteisiin ja komponentteihin Luokittelua käytetään yleisesti riskin rajoittamisessa ja kontrolloinnissa Riskin määritelmä P*C P = tapahtuman todennäköisyys C = seurauksen suuruus Ei-ydinvoimaan liittyviä sovelluksia: padot, dokumenttien salaisuusluokat, vankien riskiluokat Luokiteltavan asian ominaisuudet määräävät riskiluokan (negatiivisten seurausten tn., seurausten suuruus) Luokkaan liittyy toimenpiteitä jotka pienentävät riskiä (vahvemmat rakenteet, kalliimpi vakuutus, etc.)
Menetelmä Järjestelmien vikaantuminen vaikuttaa voimalaitoksen turvallisuuteen Yleisesti vikaantumisen vaikutusta riskin suhteen mitataan erilaisilla tärkeysmitoilla, esim: Riskin nousu laitteen ollessa epäkäytettävänä Riskin lasku laitteen toimiessa aina Todennäköisyys että ko. komponentti on syynä, kun sydänvaurio on tapahtunut Tärkeysmitat riippuvat TOP-tapahtumasta; eri komponentit tärkeitä kun verrataan sydänvauriota ja radioaktiivisten aineiden vapautumista
Riskitärkeysmitat 1/3 Yleisesti komponenttien ja järjestelmien riskitärkeyttä on kuvattu kahdella mitalla: Riskin nousukerroin, RIF: kerroin jolla riski nousee kun laite on epäkäytettävä Fussel-Vesely: komponentin aiheuttama suhteellinen osuus kokonaisriskistä (ehdollinen tn. komponentin epäkäytettävyydelle kun TOP tapahtuu) Työssä valittiin kuitenkin todennäköisyyspohjaiset riskitärkeysmitat näiden sijaan
Riskitärkeysmitat 2/3 Vikaantumistodennäköisyys P(X) Tn. että järjestelmä tai komponentti ei toimi Ehdollinen sydänvauriotodennäköisyys (CCDP) Todennäköisyys sydänvauriolle ehdolla että järjestelmä tai komponentti ei toimi Nämä kaksi mittaa kuvaavat riskin, joka liittyy komponentin tai järjestelmän vikaantumiseen, koska riski määriteltiin todennäköisyys * seuraus
Riskitärkeysmitat 3/3 Riskimittojen tulkintoja: Korkea CCDP: heikko defense-in-depth tai suurella taajuudella turvallisuushaasteita jotka vaativat komponentin tai järjestelmän toimintaa Korkea vikaantumistodennäköisyys: laite on epäluotettava Komponentin tai järjestelmän korkea riskimerkitys voi siis muodostua korkeasta CCDP:stä tai P(X):stä
Menetelmä Menetelmät CCDP:n ja luotettavuuden parantamiseksi ovat erilaisia, joten luokittelussa tarvitsee huomioida molemmat Korkeata CCDP:tä voidaan alentaa lisäämällä redundanssia, tai diversifioimalla turvallisuustoimintoa Korkeata vikaantumistodennäköisyyttä voidaan alentaa vaihtamalla laite luotettavammaksi tai laadunvarmennuksella Riskiluokittelun periaate: Riskitieto eli tärkeysmitat määräävät luokan Luokkaan liittyy riskejä alentavia menetelmiä
Menetelmän soveltaminen Työssä kehitetty kahdenlaista käyttöä riskiluokitukselle Tärkeiden komponenttien tunnistaminen riskin alentamista varten. Tavoitteena resurssien tehokas käyttö, vaikka eksplisiittisesti ei ole kyse optimointiongelmasta YVL-ohjeen vaatimien turvallisuusluokkien arviointi Tavoitteena turvallisuusluokkien tasapainoisuus Mahdollisuus asettaa luotettavuusvaatimuksia järjestelmille ja laitteille Reunaehtona kaikille näille on sydänvauriotaajuudelle asetettu tavoite (10-5/vuosi uusille laitoksille)
Laitteiden vs. järjestelmien luotettavuus PSA antaa helposti tiedon laitteiden tärkeydestä, mutta luokituksessa kiinnostaa järjestelmien (toimintojen) merkitys Samaan toimintoon kuuluvilla laitteilla on lähes sama CCDP yksinkertainen menetelmä päätellä järjestelmätoiminnon tärkeys tarvitsematta laskea PSA:ta uudestaan Toiminnon luotettavuus riippuu yleensä epäluotettavimpien komponenttien luotettavuudesta => suuruusluokka tarkkaa arviota varten pitäisi ratkaista vikapuu Järjestelmien tärkeys voidaankin karkeasti arvioida laitteiden riskitärkeyksien perusteella toki tarkemmat arviot voidaan tuottaa PSA-mallilla, mutta se vaatii paljon laskentaa
YVL 2.1-turvallisuusluokittelu YVL ohjeet vaativat kaikkien järjestelmien, rakenteiden ja komponenttien turvallisuusluokittelua Luokitteluperusteena käytettävä determinististä turvallisuusmerkitystä Determinististen perusteiden tukena täytyy käyttää myös riskianalyysin tietoja Turvallisuusluokituksen tulee perustua toiminnalliseen tärkeyteen, eli järjestelmän tärkeys suhteessa turvallisuustoimintoon / toimintoihin joita järjestelmä on toteuttamassa Pelkästään riskitärkeysmittojen käyttäminen turvallisuusluokitteluun ei siis onnistu, koska toiminnot eivät ole suoraviivaisesti määritelty PSA:ssa, eivätkä riskitärkeysmitat suoraan mittaa niiden toteutumista
XY-riskikuvaaja Luokiteltavat järjestelmät ja komponentit voidaan havainnollistaa XY-tasokuvaan valittujen riskitärkeysmittojen suhteen Kuvaajaa voi käyttää apuna tärkeiden komponenttien tunnistamisessa Kuvaaja voidaan nähdä ALARA-mielessä, eli on liiallisen ja mitättömän riskin alueet, ja alue jossa riskiä tulee alentaa jos mahdollista Käytettäessä luokittelun apuna tietyt alueet kuvassa vastaavat tiettyä luokkaa. Voidaan muodostaa yhteys näiden luokkien ja turvallisuusluokkien välille --> Mahdollisuus määrätä luotettavuusvaatimuksia turvallisuusluokille
Hahmotelma riskiluokitukselle (Class 1,2,3 eri kuin YVL 2 Hahmotelma riskiluokitukselle (Class 1,2,3 eri kuin YVL 2.1 turvallisuusluokitus) log P(X=1) log P(TOP=1|X=1) Class 2 Class 1 Class 3 Area of insignificant risk Area of unacceptable risk
Riskiluokkien eräs tulkinta Class 1 liittyvät välttämättömiin toimintoihin harvinaisissa alkutapahtumissa liittyvät lähes välttämättömiin toimintoihin yleisissä alkutapahtumissa voivat aiheuttaa erittäin vakavan alkutapahtuman Class 2 liittyvät varmentaviin toimintoihin voivat aiheuttaa melko vakavan alkutapahtuman Class 3 voivat aiheuttaa yleisen alkutapahtuman Näettekö yhteyttä turvallisuusluokkiin?
Komponentteja ja alkutapahtumia Loviisan voimalaitoksesta [Jänkälä]
Komponentteja ja alkutapahtumia Loviisan voimalaitoksesta [Jänkälä]
Yhteenveto Valitut riskitärkeysmitat, vikaantumistodennäköisyys ja ehdollinen sydänvaurio tn. ovat komplementaarisia riskin määritelmän suhteen Valitut riskitärkeysmitat mahdollistavat vikaantumistapahtumien vertailun erityyppisten parannusehdotusten suhteen Komponenttien tärkeyttä ja turvallisuusluokitusta on arvioitu paljolti erilaisilla riskitärkeysmitoilla, mutta tässä työssä tarkastellaan myös järjestelmien tärkeyttä, ottaen huomioon toiminnallinen tärkeys Järjestelmätoimintojen tärkeys päätellään yksinkertaisesti laitteiden tärkeydestä Mutta kuinka paljon turvallisuusluokitus (YVL-2.1) vaikuttaa laitteiden luokitukseen? Jos turvallisuusluokituksen ja riskiluokituksen välillä halutaan nähdä yhteys, tulisi varmistua siitä että turvallisuusluokitus johtaa asetettuihin luotettavuustavoitteisiin