Правила ядерной безопасности ПБЯ-74.

ПБЯ-04-74

duel

В скрупулезном исследовании того, насколько реактор РБМК-1000 в1986 году соответствовал тогдашним правилам ядерной безопасности (ПБЯ 74) и общим положениям по безопасности (ОПБ 82) есть что-то от сюрреализма. Этот подход к расследованию и анализу чернобыльской аварии был навязан с самого начала создателями РБМК и применен к анализу действий только эксплуатационного персонала (нарушали регламент эксплуатации, потому и взорвали реактор). Но спустя 5 лет, как только появилась такая возможность, Госатомнадзор повернул "колесо истории" на 180° и теперь все те же претензии обращены к главному конструктору. И в эту игру (нарушал / не нарушал) так все втянулись, что никак не могут выскочить из этого порочного круга.
Сказанное, это вовсе не призыв к тому, что надо принизить значение регламентирующих документов и позволить нарушать их как кому заблагорассудится. Совсем наоборот, предлагается отнестись к ним максимально серьезно и понять, как это происходит, что простое нарушение регламента может вызвать такие чудовищные последствия, и что это за руководящие документы, в которых каждый может прочитать то, что ему хочется, и оно будет прямо противоположно тому, что прочитал другой. Про регламент эксплуатации мы уже поговорили достаточно здесь и здесь, теперь на очереди "Правила ядерной безопасности атомных электростанций ПБЯ-04-74", действовавшие на тот момент (общие положения ОПБ-73, по которым делался проект реактора, и ОПБ-82, которые тогда уже вступили в силу, мало что к этому добавляют).

Самое страшное, что может случиться с ядерным реактором, это то что произошло на ЧАЭС - неконтролируемый разгон на мгновенных нейтронах, а по простому говоря, ядерный взрыв. В "Правилах" этого не сказано, видимо потому, что считалось: такое произойти не может, если будет выполнено все что в "Правилах" написано. А что же именно в первую очередь, из того что требуют ПБЯ, делает неконтролируемый разгон невозможным?
Это, несомненно, требование, "чтобы полный мощностной коэффициент реактивности не был положительным при любых режимах работы АЭС". Прекрасно, но, во-первых, это основополагающее требование содержится в некотором ничем не примечательном рядовом пункте 3.2.2 в одном из разделов "Правил" среди множества других пунктов требований к конструкции и характеристикам активной зоны. А во-вторых это и не требование вовсе, а только пожелание:" При проектировании реактора следует стремиться к тому,…" и далее по тексту. Чтобы этот пункт 3.2.2 не выглядел уж совсем абсурдным, он заканчивается следующим текстом: "Если полный мощностной коэффициент реактивности в каких-либо эксплуатационных условиях положителен, в проекте должна быть обеспечена и особо доказана ядерная безопасность реактора при работе в стационарных, переходных и аварийных режимах".
И все, больше по этому наиважнейшему для ядерной безопасности вопросу в ПБЯ не сказано ни слова, ни как должно быть обосновано то, что во всех режимах коэффициент реактивности отрицателен (если это так), ни как должна быть обеспечена ядерная безопасность (если это не так), и как конкретно эта безопасность должна быть доказана. Все отдано на откуп главному конструктору. Он сам должен проявить инициативу и признать, что у него есть режимы, когда мощностной коэффициент положителен, и в этом случае сам должен придумать что он должен доказывать и как. Вряд ли кто-нибудь, на его месте будет искать себе на голову подобных приключений. Куда проще посчитать, что таких режимов, где коэффициент положителен, нет, и тогда ничего никому обосновывать и доказывать не нужно. Так гл. конструктор и поступил, и сделал взрывоопасный реактор. Но, скажите пожалуйста, что он нарушил, какую "бумагу"? Он ведь "не знал" (пока не произошла авария), что мощностной коэффициент может быть положительным!

Ну хорошо, допустим, что чего-то главный конструктор не знал, о чем-то научный руководитель не догадался, и всякое может с реактором случиться. Но именно на такой случай на всех реакторах предусмотрена аварийная защита, которая осуществляет "быстрое гашение цепной реакции, а также поддержание реактора в подкритическом состоянии" (п. 3.3.1. ПБЯ-04-74), причем делать это она должна "при любых нормальных и аварийных условиях" (п. 3.3.5. ПБЯ-04-74) и в том числе обеспечивать "автоматический останов реактора при возникновении аварийной ситуации" (п. 3.3.21. ПБЯ-04-74).
Много еще чего сказано в ПБЯ про аварийную защиту, но не сказано прямым текстом главного, само собой разумеющегося. Не сказано, что достигается все это введением большой отрицательной реактивности, и никогда ни при каких обстоятельствах аварийная защита, срабатывая, не должна вводить положительную реактивность.
А главный конструктор РБМК-1000(86) сделал такую аварийную защиту, которая в определенной ситуации положительную реактивность вводила. И здесь гл. конструктор не может сказать (как в случае с мощностным коэффициентом реактивности), что он этого не знал. Как же не знал, если он вместе с научным руководителем поднял такой шум вокруг ОЗР (оперативного запаса реактивности), сделав его чуть ли не главным критерием "отклонения от пределов и условий безопасной эксплуатации реакторной установки АЭС" (формулировка из определения ядерно-опасного режима в п. 2.14. ПБЯ-04-74 ). Ведь именно и только при малом ОЗР аварийная защита превращается в свою противоположность и вводит вместо отрицательной положительную реактивность, и именно малый ОЗР ставится в вину оперативному персоналу как одно из главных нарушений регламента, приведших к аварии. Значит, знал гл. конструктор об опасности малого ОЗР, когда писал регламент эксплуатации, а опасен малый ОЗР только одним, своим влиянием на работу аварийной защиты.
Правда, весь этот вселенский шум по поводу малого ОЗР поднят уже после аварии, а до этого полная тишина. Нет ни слова про ОЗР в пункте 2.14. ПБЯ, где определяется, что такое ядерно опасный режим, ни в пункте 2.3.26, где перечисляются отклонения от условий безопасной эксплуатации, при которых должна срабатывать аварийная защита, и вообще в ПБЯ-04-74 нет такого понятия как ОЗР (даже в пункте 2.15, где определяется что такое "максимальный запас реактивности"). Нет (т.е. не было) по этому параметру и никакой сигнализации его отклонения от безопасных пределов, да и вообще не было никакого непрерывного автоматического контроля этого параметра на пультах и панелях БЩУ.

Вот тут и начинается настоящий сюрреализм. Гл. конструктор сделал совершенно противоестественную, противоречащую здравому смыслу аварийную защиту. Такого не должно было быть, оно не имеет права на существование, и, разумеется, не предусмотрено ни в каких руководящих и регламентирующих документах. А мы теперь все вместе во главе с Госатомнадзором ходим колесом и пытаемся определить каким пунктам "Правил ядерной безопасности" эта фантастическая аварийная защита не соответствует и в чем это несоответствие состоит?
Еще больший сюрреализм это пляски вокруг ОЗР. Эта характеристика возведена в ранг главного параметра, влияющего на безопасность реактора и его теперь на полном серьёзе анализируют наряду с аварийным ростом мощности, запасом до кризиса, и еще бог знает чем. Но ОЗР стал параметром безопасности только из-за наличия такой аварийной защиты на РБМК (86) и то только после аварии. Ни на каких других реакторах такого чуда нет.
Но поскольку идет такая игра в дурачка, придется и нам сыграть по её правилам.

Итак, по нормальной человеческой логике возможна только одна из двух взаимно исключающих ситуаций.
Ситуация 1: Гл. конструктор не знал, что его аварийная защита способна в определенных случаях вносить вместо отрицательной положительную реактивность. Т.е. он пребывал в полной уверенности, что защита полностью соответствует её проектным характеристикам и тем самым не нарушает требований ПБЯ ни по надежности, ни по быстродействию срабатывания и заглушает реактор в любых нормальных и аварийных ситуациях. А если постфактум это оказалось не так, и требования ПБЯ (как установил в своем докладе [ГП] Госатомнадзор уже после аварии) оказались нарушены по многим пунктам, то вины главного конструктора в этом нет, таково стечение обстоятельств.
Но в этом случае эксплуатационный персонал тем более не мог знать о коварных свойствах аварийной защиты и о зловещей роли малого ОЗР. Нарушение персоналом регламента эксплуатации это тема для другого разговора (еще неизвестно кто внес в эти нарушения больший вклад, персонал или сам регламент), но взваливать всю вину за чернобыльскую катастрофу исключительно на персонал это и несправедливо и аморально.

Ситуация 2: Гл. конструктор знал (и все должны были знать), что защита при малом ОЗР может вносить положительную реактивность или, по крайней мере, быть неработоспособной, и тогда вечная анафема эксплуатационному персоналу, работавшему с малым ОЗР.
Но тогда, гл. конструктор (как, впрочем, и все остальные) должен был понимать, что аварийная защита (и система контроля реактора) не удовлетворяет требованиям ПБЯ-04-74 по целому ряду пунктов, и, следовательно, он сознательно шел на их нарушение. Все эти пункты рассмотрены, и нарушения детально проанализированы в докладе Госпроматомнадзора (ГПАН) [ГП1], перечислим их вкратце
1) Не заведен в систему сигнализации контроль за таким важным для безопасности параметром как ОЗР (нет ни аварийных, ни предупредительных сигналов, ни отображения текущего значения), пункт 3.1.8.
2) Отсутствует срабатывание аварийной защиты по выходу ОЗР за безопасные пределы, пункт 3.3.26.
3) Нарушаются требования по быстродействию и надежности срабатывания аварийной защиты пункты 3.3.1, 3.3.21, 3.3.28
4) Нарушается требование пункта 3.3.5 о выполнении аварийной защитой своих функций при любых нормальных и аварийных ситуациях.
5) Не выполняется требование пункта 3.3.28 о предотвращении образования локальных критмасс. Более того защита, наоборот, сама может способствовать образованию локальных критмасс.
6) Согласно пункту 3.1.6 в техническом проекте АЭС в специальном разделе "указываются все имеющиеся отступления от требований «Правил». Отступления должны быть обоснованы и согласованы с Госатомнадзором СССР". Разумеется, ничего этого сделано не было, и вся эксплуатационная документации на АЭС составлялась без учета "мягко говоря" особенностей аварийной защиты.

Так знал или не знал Главный конструктор "особенности" своей аварийной защиты? В том же докладе ГПАН убедительно показано, что знал. Но молчал. Даже если не принимать во внимание эти соображения ГПАН, согласно нормальной человеческой логике надо, казалось бы, выбрать что-то одно из двух (либо знал, либо не знал). Но у гл. конструктора, и у всех тех, кто разделяет его точку зрения, видимо другая логика. Он взял от каждой из рассмотренных выше двух взаимно исключающих ситуаций только первую половину, отбросив все остальное, и получилась полная (логическая) чушь. Т.е. он, как бы, ничего не знал, а эксплуатационный персонал все знал, и потому персонал кругом виноват, а гл. конструктор выходит весь в белом и клеймит этот персонал позором.

Во всем этом "сюрреале" нарушений есть два момента, заслуживающие серьезного отношения, и на них следует остановиться отдельно. Об одном из них уже сказано выше, это пункт 3.1.6 ПБЯ-04-74. В том, что этот пункт не выполнен (также как не выполнен был пункт 3.2.2, касающийся положительного мощностного эффекта) виноват не столько главный конструктор, сколько Госатомнадзор. Это он должен был решить, есть ли в проекте РБМК-1000 отступления от требований ПБЯ и какие нужны обоснования этих отступлений. Ждать таких решений от самих создателей реактора бессмысленно, это, в сущности, и есть коллективная безответственность, когда невозможно найти концов.
Если бы от гл. конструктора в свое время потребовали доказательств отсутствия отклонений от требованиий ПБЯ, то мы бы сейчас не гадали о том, знал он или не знал про свой знаменитый scram-эффект. И тогда не сидел бы в засаде такой безобидный с виду (сильно изменчивый и зависящий от многих факторов) параметр ОЗР, дожидаясь чернобыльской аварии, чтобы проявить свою "звериную сущность". И регламент эксплуатации не представлял бы собой смесь директивного документа, предписывающего что, как и когда делать, и научно-технического отчета с его неопределенно-рекомендательными сентенциями. В общем, много чего было бы тогда по-другому. И не было бы чернобыльской аварии.

Второй момент, это выполнение/невыполнение пункта 3.3.29 ПБЯ-04-74 "Аварийная защита должна быть спроектирована таким образом, чтобы начавшееся защитное действие, как правило, доводилось до конца. .………. Допустимость прекращения действия защитных устройств в некоторых случаях при исчезновении сигнала, вызвавшего срабатывание защиты, должна быть обоснована в проекте." Однозначно определить выполнил гл. конструктор требование этого пункта или не выполнил не представляется возможным. Во-первых, как опять мы видим, это (в первой части пункта) не требование, а рекомендация. Во-вторых, неясно, чего от него хотят (во второй части), какого именно обоснования.
По простому речь идет о следующем. Если по какому-либо аварийному сигналу стержни аварийной защиты начали погружаться в активную зону, то они должны пройти весь свой путь до конца независимо от того, продолжается аварийный сигнал или он снялся (прекратился). Должен происходить так называемый самоподхват сигнала, что является нормой для проектирования аварийной защиты реактора. Применительно к нашему случаю, это, например, могло бы выглядеть так: нажали кнопку АЗ-5 - появился аварийный сигнал от кнопки, подержали кнопку 2-3 секунды и отпустили - сигнал исчез. А стержни должны продолжать свое движение и заглушить реактор на полную свою эффективность ≈ -20β. Но поскольку гл. конструктор рекомендацией пункта 3.3.29 пренебрег, то в реакторе РБМК 1000 (86) этого не было, и при такой манипуляции с кнопкой АЗ-5 на 4-м блоке ЧАЭС стержни погрузились бы в зону приблизительно на 1 метр и остановились, не заглушая реактор, а наоборот, продолжая его разгонять.
Существует версия аварии, по которой так именно все и происходило, но даже если это не так, то такое могло бы происходить. То есть, принятое главным конструктором проектное решение, позволяющее использовать аварийную защиту не только для заглушения реактора, но и для управления мощностью, сделало защиту еще значительно более ядерноопасной.
Ну а как с выполнением требований (если можно так выразиться) пункта 3.3.29 в целом? Выполнил их гл. конструктор или не выполнил? Он сам считает, что выполнил, а Госатомнадзор (ГПАН) в своем докладе (1991 г) считает, что нет. И оба правы. Как говорил 100 лет назад В.И.Ленин: "по форме правильно, а по существу издевательство". Вопрос, собственно стоит так: дал ли главный конструктор обоснование своего отказа от традиционного подхода к построению СУЗ в части аварийной защиты (рекомендуемого первой частью статьи 3.3.29)? Да, дал, и вот какое. В пояснительной записке к техническому проекту системы управления и защиты (СУЗ) реактора РБМК есть два абзаца по несколько строчек (рекламного характера), в которых говорится почти буквально следующее: "условия работы РБМК в энергосистемах заставляют работать по новому и делают неприемлемыми классическиие принципы построения СУЗ".
Неизвестно, является ли подобный текст обоснованием с точки зрения авторов ПБЯ-04-74, но ГПАН в своем докладе его таковым посчитал. И вот какое он сделал заключение. "Изложенное показывает, что алгоритм действия аварийной защиты разработчиками реактора обосновывался с точки зрения эффективности работы АЭС в энергосистеме, а не с точки зрения обеспечения ядерной безопасности, для чего, собственно, и предназначена аварийная защита.
Комиссия считает, что проект РБМК-1000 не соответствовал требованиям статьи 3.3.29. ПБЯ-04-74."
Т.е., обоснование дано, но мы (ГПАН) его не принимаем, и проект СУЗ не утверждаем. Только вот незадача, на 30 лет с этим решительным демаршем запоздали.
--------------------------------------------------------------------------