Giới thiệu

Cho đến nay, ba tai nạn nghiêm trọng đã xảy ra trong lịch sử vận hành các Nhà máy điện hạt nhân. (NMĐHN). Tuần tự theo thời gian là TMI-2, Chernobyl-4 và Fukushima (4 lò phản ứng bị tổn hại). Hiện tại, tất cả các hậu quả của Fukushima chưa được xác định hết. Nếu Chernobyl-4 cho thấy vai trò quan trọng của Văn hoá An toàn trong thiết kế và khai thác một NMĐHN, thì TMI-2 cũng cung cấp nhiều bài học vẫn còn được sử dụng. Mục đích của bài này là tóm tắt các kinh nghiệm chính đó.

Đầu tiên, diễn biến của tai nạn TMI-2 được trình bày với sự nhấn mạnh vào các sự kiện dẫn đến các bài học kinh nghiệm. Sau đó các hậu quả của tai nạn được đề cập. Và cuối cùng các nguyên nhân cùng bài học kinh nghiệm được thảo luận và so sánh với tai nạn Chernobyl-4 để đưa đến kết luận : yếu tố con người là mấu chốt của An toàn vận hành NMĐHN.

Tai nạn TMI-2 xảy ra vào lúc 4 giờ sáng ngày 28 tháng 3 năm 1979, tại lò phản ứng Three Mile Island-2, ở 16km cách thủ đô Harrisburg của tiểu bang Pennsylvania bên Hoa Kỳ. Đây là một lò phản ứng nước áp suất với công suất 900 MWe. TMI-2 được khởi động vào cuối năm 1978.

 

1. Diễn biến của tai nạn

Tiến trình tai nạn trình bày dưới đây đã được lập ra bằng cách sử dụng các mã tính với dữ liệu ghi lại ở các thiết bị đo đạc trong lúc tai nạn, với các khảo sát về luyện kim và về hoá phóng xạ các chất liệu còn lại của tâm lò, và với kết quả nghiên cứu về tính năng của nhiên liệu trong các tai nạn nghiêm trọng.

– T = 0 : lò phản ứng ở công suất danh định, các máy bơm cung cấp nước cho máy sinh hơi nước (GV) của hệ vòng hai bị hỏng. Hệ vòng một không được làm nguội bởi GV hệ vòng hai, nóng lên và tăng áp suất cho tới mở các van xả của bình giữ áp suất và dập lò khẩn cấp tự động.

– T = 8 giây : Áp suất vòng một giảm và van xả được lệnh đóng. Sự trục trặc thiết bị thứ nhất xuất hiện : các van xả của bình giữ áp suất không đóng lại và áp suất tiếp tục giảm, nhưng đội vận hành lại tưởng là van được đóng rồi vì bộ chỉ thị truyền lại lệnh đóng chứ không truyền vị trí đóng của van xả.

Phía hệ vòng hai, việc ngừng cung cấp nước bình thường làm ngừng tua-bin và khởi động máy bơm nước khẩn cấp vào GV. Nhưng hai van trên mạch nước khẩn cấp lại bị đóng sau khi được bảo trì (đây là trục trặc thiết bị thứ hai), làm chặn nước vào GV.

– T = 2 phút : áp suất vòng một tới ngưỡng 110 bar, hệ nạp nước an toàn (IS) tự khởi động và nạp nước lạnh vào vòng một. Ở vòng hai các GV bị khô cạn.

– T = 4mn 38 giây : đội vận hành, tưởng rằng các van xả của bình giữ áp suất đã được đóng và nhìn thấy mực nước lên trong bình giữ áp suất, họ sợ cho quá nhiều nước vào vòng một nên cắt IS. Tình trạng lò trở thành tương đương với nứt vòng một mà không có nước bổ sung. Nước vòng một, bị đun nóng bởi công suất tồn dư (sau khi dập lò), bắt đầu sôi. Hỗn hợp nước và hơi nước chảy trong vòng một làm sinh hốc trong các máy bơm.

– T = 8 phút : đội vận hành nhận ra trên biểu thị tình trạng đóng của các van cung cấp nước vào GV và mở van bằng tay.

– T = 15 phút : bình chứa xả thải (của bình giữ áp suất) tràn đầy và làm vỡ đĩa nứt, nước vòng một đổ thẳng vào Nhà che chắn.

– T = 1 giờ 13 phút và 1 giờ 40 phút : đội vận hành ngừng hai máy bơm vòng một để tránh thiệt hại bơm, nước không lưu thông giữa tâm lò và GV nữa, nước dồn xuống dưới thấp và hơi ở trên cao. Mực nước trong tâm lò hạ xuống để lộ phần trên tâm lò và làm tăng nhiệt độ vỏ thanh nhiên liệu lên tới 1000°C. Hơi nước phản ứng hoá học với lớp vỏ Zirconium, tạo ra hydro và toả một lượng nhiệt lớn làm nóng chảy vỏ thanh nhiên liệu. Sau đó các khí sản phẩm phân hạch từ nhiên liệu thoát ra ngoài.

– T = 2 giờ 14mn : Những sản phẩm phân hạch truyền vào Nhà che chắn và gây ra ở đây báo động "độ phản ứng cao".

– T = 2 giờ 22mn : Đội vận hành, giả định sự rò rỉ của van xả (vì họ biết van xả đã có một tỷ suất rò rỉ cao trước khi xảy ra tai nạn), đóng van cô lập, làm gián đoạn việc xả nước cùng với sự thoát nhiệt từ vòng một qua van xả. Tâm lò tiếp tục nóng thêm và áp suất vòng một tăng theo.

– T = 2 giờ 54 phút : Đội vận hành, nhân cơ hội tăng áp suất này, khởi động lại một bơm vòng một để tải nước lạnh từ GV về nhiên liệu nóng. Lượng nước tiếp xúc với nhiên liệu, bay hơi và làm tăng áp suất một cách nguy hiểm.

– T = 3 giờ 12 phút : Đội vận hành cho ngừng bơm vòng một và mở lại các van cô lập van xả của bình giữ áp suất trong 5 phút để làm giảm đỉnh áp lực. Chất lỏng xả vào Nhà che chắn lại càng thêm nhiều phóng xạ. Nước xả thải này chảy vào các hố thu nước và được bơm vào các bể chứa trong các tòa nhà phụ trợ. Các bể này đầy tràn và tạo ra một nguồn hơi nước phóng xạ ra bên ngoài của Nhà máy.

– T = 3 giờ 20 phút : Đa số các máy báo hiệu phóng xạ ở trong Nhà máy đã báo động. Tình trạng khẩn cấp được công bố, Nhà che chắn được cách ly để ngừng thải phóng xạ ra bên ngoài. Nhận ra tâm lò bị tổn hại nhiều và chắc chắn thiếu nước trong vòng một, đội vận hành bắt đầu hiểu tình hình và khởi động lại IS từ lưu lượng thấp đến lưu lượng danh định.

– T = 3 giờ 45 phút : tâm lò ngập nước trở lại và tình trạng lò được ổn định.

– T = từ 5 đến 9 giờ : Các van cô lập của van xả bình giữ áp suất được tuần tự mở ra và đóng lại nhiều lần để duy trì áp suất chấp nhận được (đó chính là nhiệm vụ vận hành của van xả).

– T = 9 giờ 50 phút : Hydrô thoát qua Nhà che chắn, phản ứng với không khí và làm tăng áp suất lên tới 2 bar.

– T = 15 giờ 50 phút : Khởi động lại máy bơm vòng một để làm nguội nhiên liệu.

– T = 20 giờ : Các tai nạn chính thức chấm dứt.

   

 

DANH MỤC các thành phần sơ đồ TMI-2:

Reactor Building = Nhà lò phản ứng

Pressurized relief valve = Van xả

Block valve = Van cô lập

Safety valve = Xú-páp an toàn

Pressurizer = Bình giữ áp suất

Steam generator = Máy sinh hơi nước

Control rods = Các thanh điều khiển

Pressurized relief tank = Bình chứa xả thải (của bình giữ áp suất)

Reactor = Lò phản ứng

Reactor coolant pump = Bơm vòng một

Primary = Vòng một

Turbine Building = nhà tua-bin
 

Turbine = Tua-bin

Generator = Máy sinh điện

Condensor = Bộ ngưng tụ

Condensate pump = Bơm củabộ ngưng tụ

Main feed water pump = Bơm cung cấp nước bình thường (cho máy sinh hơi nước)

Secondary (non nuclear) = Vòng hai (không thuộc về hạt nhân)

Transformator= máy biến thế

Circulating water pump = bơm nước tuần hoàn

Cooling tower = tháp làm nguội

 

 

2. Hậu quả

Năm 1985 khi đã có thể vào Nhà che chắn, một máy ảnh được đưa vào thùng lò. Phân tích hình ảnh của bên trong tâm lò cho thấy mức độ thiệt hại : 45% nhiên liệu đã nóng chảy, trộn lẫn với vật liệu và và các cấu trúc thành 62 tấn một hỗn hợp « corium » (xỉ gắn kết ), trong số đó 20 tấn corium được xếp thành tầng ở đáy thùng lò nhưng không xuyên qua đáy.

Tuy nhiên, những hậu quả trong môi trường vẫn là tối thiểu vì Nhà che chắn gần như toàn hảo : một cá nhân thường trực ở ranh giới cơ sở theo hướng gió, sẽ hấp thụ một liều phóng xạ dưới 1 mSv (suất liều được cho phép).

Sau sáu năm chuẩn bị, nhiên liệu bắt đầu bốc dỡ vào năm 1985 và kết thúc vào năm 1990. Năm 1993, Cơ quan An toàn Mỹ cấp phép cho chuyển đổi TMI-2 thành kho lưu trữ của các thiết bị để lại tại chỗ.

 

3. Các nguyên nhân chính của tai nạn

Tai nạn TMI-2 cho thấy rằng sự trùng hợp nhiều trục trặc nhỏ có thể dẫn tới một tai nạn nghiêm trọng hơn cả tai nạn được coi như bao trùm tất cả, khi thiết kế (đó là tai nạn mất lưu chất làm nguội vòng một vì gẫy tức thì ống dẫn lưu chất lớn nhất ở vòng một). Đặc biệt ở TMI-2, tất cả các tự động an toàn (dập lò khẩn cấp, nạp nước an toàn, cách ly Nhà che chắn) đều hoạt động tốt.

Các nguyên nhân chính của tai nạn là :

* Thiếu chỉ thị chính xác vị trí van xả vì bộ chỉ thị chỉ chuyển lệnh đóng van.

* Không chuẩn hạng lại van dẫn nước vào GV sau công việc tu sửa : van bị đóng lại thay vì được mở ra.

* Không hiểu biết đặc tính của bình giữ áp suất : đội vận hành không biết đặc tính của rò rỉ ở vùng hơi nước của bình giữ áp suất, làm áp suất giảm trong khi mực nước trong bình lên cao.

* Thiếu kinh nghiệm phản hồi : thật ra việc không biết đặc tính trên đây đã từng xảy ra tại NMĐHN Davis Besse ở Hoa Kỳ vào tháng 9 năm 1977, trục trặc này không có hậu quả bởi vì công suất lò còn thấp. Theo nguyên tắc "không có hậu quả = không quan trọng", nên vấn đề này không được Nhà vận hành hoặc Cơ quan An toàn chú ý đến.

* Không có phương thức xác định rõ các phương pháp kiểm soát để cho phép ngừng IS.

* Vấn đề « Tương tác người và máy » :

- Máy tính dùng để vận hành, bị kẹt vì đầy ngập thông tin nên không hoạt động được trong 2 tiếng đồng hồ.

- Phòng điều hành trông giống như một "cây sapin Noël" với tất cả các đèn cảnh báo, đèn báo động, nhấp nháy hay bật sáng đủ mầu không phân cấp. Hiện tượng này còn làm cho đội vận hành rối trí hơn là giúp họ nhận định rõ trạng thái vật lý của lò phản ứng.

     

4. Bài học kinh nghiệm

Việc phân tích các nguyên nhân của tai nạn đưa đến những cải tiến sau đây ở Pháp:

4.1. Về Thiết kế :

* Thay một loại van xả mới (SEBIM) không bị kẹt cứng khi có sự hiện diện của một hỗn hợp nước và hơi nước.

* Bổ sung thiết bị mới như máy phát hiện trạng thái sôi.

* Lắp đặt thiết bị tổ hợp hydrô.

* Cải thiện tổ chức làm việc hợp lý (công thái học) của phòng điều khiển : Thành lập thứ tự ưu tiên cho các báo động để tránh cho đội vận hành khỏi bị rối trí vì số lượng báo động cùng lúc.

* Đặt thêm « Bảng An toàn » (thu góp các thông tin cần thiết) để trợ giúp nhân viên điều hành hiểu rõ tình trạng lò.

4.2. Về vận hành :

* Xét thêm các trường hợp mất toàn thể hệ thống dự phòng, và bố trí các Phương thức tối hậu trong trường hợp nóng chảy tâm lò.

* Viết lại và hợp thức hoá (qua bộ mô phỏng) các Phương thức xử lý tai nạn để tăng thêm phạm vi áp dụng và hiệu lực trong trường hợp nhiều trục trặc trùng hợp, do con người hay do hỏng thiết bị, đồng thời hay kế tiếp.

* Sử dụng các Phương thức "Tiếp cận từng trạng thái" (EPA) : Cho đến năm 1991, các Phương thức đề xử lý trong các tình trạng « Trục trặc »  hay « Tai nạn » dựa trên cách tiếp cận theo "Sự kiện" tức là từ một chẩn đoán duy nhất ban đầu, đội vận hành xử lý theo các chỉ dẫn đã định trước để duy trì các Chức năng An toàn (Dưới tới hạn, tải nhiệt dư, lưu giữ vật liệu phóng xạ). Tai nạn TMI-2 đã cho thấy Phương thức này không xử lý được các tình trạng kết hợp nhiều trục trặc do hỏng thiết bị hay do lỗi của con người. Do đó, EDF đã quyết định thay thế từ từ các Phuơng thức Tiếp cận theo sự kiện bằng các Phương thức APE. Theo các Phương thức mới này, hành động xử lý có thể được xác định lại bất cứ lúc nào tùy theo trạng thái hiện thực của lò. Các trạng thái của lò phản ứng được xác định từ sáu "Chức năng trạng thái" bao gồm 3 Chức năng An toàn đề cập ở trên. Xử lý theo EPA có mục đích phục hồi các trạng thái đã suy hoá theo một mạng lưới các hành vi ưu tiên.

4.3. Về tổ chức :

* Nhận dạng các  « Tiền tố » có thể dẫn đến tai nạn nghiêm trọng, bằng cách phân tích hệ thống Phản hồi Kinh nghiệm.

* Bắt buộc chuẩn hạng lại thiết bị sau khi được tu sửa, để phát hiện các lỗi còn lại.

* Đặt thêm chức Kỹ sư An toàn để theo dõi dự phòng (song song với đội vận hành) bắt đầu từ trường hợp Trục trặc.

* Giúp nhân viên vận hành chuẩn bị để đối phó với một tai nạn nghiêm trọng, bằng cách sử dụng bộ mô phỏng trong các lớp huấn luyện ( bao gồm cả vận hành bình thường lẫn xử lý các Trục trặc hay Tai nạn) thường xuyên cho họ.

 

5. So sánh các nguyên nhân của tai nạn giữa TMI-2 và Chernobyl-4

So sánh với Chernobyl-4, hậu quả của TMI-2 được giới hạn trong thiệt hại kinh tế là nhờ :
* Thiết kế (đặc biệt các phần liên quan đến Vật lý lò phản ứng, các hệ bảo vệ và Nhà che chắn) của TMI-2 theo sát tiêu chuẩn an toàn hơn là Chernobyl-4.

* Đội vận hành TMI-2 đã không vi phạm các chỉ thị An toàn.

Tuy nhiên trong TMI-2, từ một trục trặc thông thường của hệ làm nguội đã dẫn đến sự nóng chảy một phần của tâm lò, chính là vì những thiếu sót trong các lĩnh vực sau :

* Về Phương pháp làm việc : Áp dụng Phản hồi Kinh nghiệm, Chuẩn hạng lại các thiết bị sau khi tu sửa, huấn luyện thường xuyên nhân viên vận hành, áp dụng nguyên tắc « kiểm soát dự phòng song song» trong các tình trạng trục trặc.

* Về Tương tác giữa người và máy trong các lĩnh vực : Thiết kế của phòng điều khiển (đặc biệt các thiết bị chỉ thị trạng thái Vật lý hiện thực của lò phản ứng), Chất lượng của các Phương thức Xử lý tai nạn.

Những đề tài kể trên là các thành phần chính của « yếu tố con người ».

 

Kết luận

 

Tai nạn TMI-2 đã nêu ra sự quan trọng của yếu tố con người trong An toàn khai thác một NMĐHN đã có thiết kế tổng thể toàn bị. Vì thế, không những một mức độ cao về an toàn trong thiết kế cũng chưa đủ để đảm bảo tai nạn sẽ không xẩy ra, mà hơn nữa nhân tố còn là chủ yếu trong An toàn khai thác. Do đó, bài học kinh nghiệm quan trọng nhất của TMI-2, đặc biệt cho các Cơ quan mua NMĐHN với dạng "chìa khóa trao tay" ở các nước chưa hề có kinh nghiệm trong ngành Điện hạt nhân, là sự thiết yếu của việc huấn luyện liên tục nhân viên vận hành NMĐHN một cách nghiêm túc theo Văn hóa An toàn Hạt nhân và của tổ chức công việc điều hành chặt chẽ theo các quy tắc an toàn.