Aprovechamiento del Análisis Probabilístico de Seguridad ... del Analisis... · como borrador...

APROVECHAMIENTO DEL ANÁLISIS PROBABILÍSTICO DE

SEGURIDAD EN CENTRALES NUCLEARES

ESPECIALIDAD: NUCLEAR

Manuel González Cuesta Doctor en Ingeniería Nuclear

20 de mayo de 2010

Aprovechamiento del Análisis Probabilístico de Seguridad en centrales nucleares

Especialidad: Nuclear 2

CONTENIDO

Resumen Ejecutivo 3

Palabras clave: 3

1 Introducción 4

1.1 Evolución inicial de la metodología APS 4 1.2 Definición de riesgo 5

2 Descripción de la metodología 7

2.1 Modelos lógicos 7 2.2 Desarrollo de datos probabilísticos 9 2.3 Cuantificación de secuencias 15 2.4 Comparación con métodos convencionales de evaluación 19 2.5 Otras fases del APS 20

3 Aprovechamiento del APS en las centrales 22

3.1 Etapa inicial: Uso correctivo del APS 22 3.2 Etapa intermedia: Uso complementario 23 3.3 Etapa avanzada: Uso integral 27

4 Conclusiones 32

5 Referencias 33

6 Bibliografía 37

7 Agradecimientos 38

8 Curriculum Vitae del autor 39



RESUMEN EJECUTIVO

El análisis probabilístico de seguridad (APS) es el estudio sistemático y estructurado de una amplia variedad de vectores que afectan la seguridad de una central nuclear, tomando en cuenta la diversidad de opciones materiales y operativas que permiten mitigar sus efectos. Con los modelos obtenidos es posible identificar contribuyentes significativos, jerarquizar sistemas y componentes, y estudiar el efecto de variaciones en el diseño y la operación. En este trabajo se presentan las experiencias adquiridas en el desarrollo y aplicación de modelos de APS de una central nuclear, hasta su integración a procesos internos que requieren enfocar aspectos significativos para el riesgo. Esto se hace en el contexto del enfoque basado en el desempeño e informado en riesgo que actualmente está emergiendo en la regulación de centrales nucleares. El alcance del trabajo se limita al uso de APS en una central nuclear, sin adentrarse en las actividades propias de los organismos reguladores. Igualmente, el trabajo se enfoca en centrales nucleares existentes, habiendo otras aplicaciones de APS importantes en torno de los nuevos diseños de reactores y el licenciamiento de éstos.

Palabras clave: Riesgo, probabilidad, centrales nucleares de potencia, árbol de fallas, árbol de eventos, lógica Booleana, estadística Bayesiana.



1 INTRODUCCIÓN

El Análisis Probabilístico de Seguridad (APS) es una metodología para identificar las secuencias de accidente dominantes específicas de una planta industrial y estimar su frecuencia de ocurrencia. Desde su primera implementación a principios de la década de los 70, la metodología ha ganado progresivamente aceptación tanto en organismos reguladores como en la industria, como una forma de identificar contribuyentes sobresalientes en el diseño y operación de la planta, y de comparar el beneficio de opciones propuestas para el mejoramiento de la seguridad. Su principal utilidad surge del contraste con los métodos tradicionales de evaluación del diseño [13]: se analizan condiciones que exceden la base de diseño, y se da crédito a sistemas no-relacionados con seguridad y a acciones del operador. Mientras que los métodos tradicionales cumplen con el propósito de garantizar la seguridad a través de un diseño conservador, a un costo elevado, los resultados de un APS complementan este esfuerzo concentrándose en los aspectos que dominan el riesgo.

1.1 Evolución inicial de la metodología APS La primera aplicación a gran escala de los métodos probabilísticos en la industria nuclear fue el estudio de seguridad de reactores conocido como WASH-1400, publicado como borrador [38] en 1974 y como informe final [39] en 1975. Este estudio obedeció a una exigencia del Congreso de EE.UU. de determinar cuál sería la probabilidad de un accidente con consecuencias al exterior durante la vida útil de la población esperada de reactores en ese país; el mandato vino acompañado de un amplio presupuesto para investigación y desarrollo, de manera que el proyecto no sólo representó la primera aplicación de estos métodos, sino que también permitió el desarrollo de conocimientos y tecnología sobre accidentes más allá de la base de diseño, necesarios para su implementación. Las características de la metodología APS y la forma como ésta se ajusta para reflejar el diseño y operación se detallan en la sección 2. Así, el propósito original del WASH-1400 fue obtener la probabilidad de los efectos a la población por accidentes severos en plantas nucleares. Sin embargo, desde el momento de su desarrollo se reconoció la utilidad de la metodología para identificar vulnerabilidades específicas del diseño de una central. Gran parte de la discusión sobre el futuro de los métodos probabilísticos desde la terminación del WASH-1400 se debatió entre estas dos formas de aprovechar los resultados. El accidente de la central Three Mile Island 2 (TMI-2) en marzo de 1979 significó un punto decisivo respecto al uso de métodos probabilísticos; por un lado vino a apoyar a aquellos que consideraron los resultados del WASH-1400 demasiado optimistas, pero por el otro demostró la validez de los principales resultados cualitativos del estudio, es decir, que el riesgo de plantas nucleares está dominado por accidentes que exceden las suposiciones del diseño (accidentes severos), y que aquellos accidentes iniciados por transitorios operacionales y fugas pequeñas de refrigerante contribuyen más que la peor pérdida de refrigerante en la base de diseño (LOCA-DBA) [40]. Igualmente, se debe recordar que la secuencia inicial de eventos en TMI-2 estaba contemplada en las secuencias dominantes del WASH-1400. Lo anterior resultó en un uso creciente de los resultados cualitativos y comparativos de APS, tales como la identificación de eventos y secuencias dominantes, la comparación del beneficio entre diversas opciones de mejora a los diseños, y el establecimiento de



prioridades de temas relacionados con seguridad en el ambiente regulador. Por otro lado, la utilización del resultado global de un APS, la frecuencia de accidentes, como criterio de aceptabilidad de una central tuvo una evolución más lenta, y siendo hasta años recientes que algunas versiones de este criterio han sido formalmente aceptadas por organismos reguladores en diversos países. Así, la metodología APS emerge en una etapa tardía del licenciamiento de la mayoría de los reactores existentes, representando un reto para su posible incorporación a la normativa y las prácticas reguladoras. La forma como se ha realizado esta incorporación es el tema de la sección 3. En México se cuenta desde 1988 con un APS de Nivel 1 para los reactores de potencia existentes. Este modelo se ha ido enriqueciendo a lo largo de los años, incorporando las mejoras en la metodología y las técnicas para reflejar la experiencia operacional específica de la planta descritas en este trabajo, aprovechándose para una diversidad de aplicaciones en el ámbito regulador y los procesos internos de la central.

1.2 Definición de riesgo La definición tradicional de riesgo en APS es el producto de la probabilidad por las consecuencias:

Riesgo = Probabilidad x Consecuencias donde este producto puede ser interpretado según las distintas formas de percibir o representar el riesgo. La diferencia estriba en la necesidad de distinguir entre una situación de consecuencias pequeñas con probabilidad alta, y otra de consecuencias grandes con probabilidad baja. El ejemplo clásico para describir esta diferencia es un individuo enfrentado con una decisión de dejar sin electricidad a un millón de familias con probabilidad de 1x10-6, comparada con otra decisión que deje sin electricidad a diez familias con probabilidad de 0.1; aunque ambas situaciones tienen el mismo riesgo promedio, es decir, una familia sin electricidad, el individuo seguramente tendrá mayor aversión por la primera situación. Debido a esta aversión, se considera más correcto presentar el riesgo como una gráfica de probabilidad contra magnitud de consecuencias, conocida como curva de riesgo o curva de Farmer [31], sobre la cual se pueden establecer comparaciones para distintos grados de consecuencias. En la Figura 1 se muestran ejemplos ilustrativos de estas curvas [39]. Entre los diferentes ámbitos sociales, existe una amplia variedad de enfoques de análisis de riesgo aplicados a los distintos agentes que pueden provocar efectos a la salud o pérdidas materiales, ya sean originados por actividad industrial, fenómenos naturales o agentes biológicos. En general, estos enfoques no necesariamente llegan al grado de detalle de una curva de Farmer, sino que pueden concentrarse en uno o varios de los siguientes elementos: • Estimar la frecuencia con que se puede presentar el agente, o caracterizar la

inminencia de su presencia • Estimar el número de personas, poblaciones, o áreas geográficas que estarían

expuestos a los efectos del agente • Caracterización la forma como el agente se puede propagar para producir un daño



Figura 1. Curvas de Farmer [39]

Algunos ejemplos comunes que ilustran el contexto de estos análisis de riesgo pueden ser: la propagación de un nuevo virus, la identificación de zonas de riesgo por fenómenos naturales, o el desarrollo de planes de prevención de accidentes para instalaciones industriales. Basándose en esta información, los análisis de riesgo se interpretan para determinar la necesidad de acciones preventivas, establecer criterios de cuándo el riesgo requiere medidas de control, y evaluar el beneficio de las medidas preventivas o de control propuestas.



2 DESCRIPCIÓN DE LA METODOLOGÍA

2.1 Modelos lógicos La metodología de un APS de Nivel 1 se basa en dos tipos de diagramas lógicos, que son:

• Árboles de Eventos: para determinar las posibles secuencias de accidente

• Árboles de Fallas: para obtener la probabilidad de fallas de sistemas

2.1.1 Árboles de eventos El árbol de eventos [10] se esquematiza en la parte superior de la Figura 2. Este se desarrolla a partir de un Evento Iniciador, que se define como cualquier suceso que pueda interrumpir la operación normal de la planta y al mismo tiempo impedir el funcionamiento de los sistemas necesarios para llevar a cabo las funciones de seguridad requeridas. Algunos ejemplos pueden ser los transitorios operacionales esperados, tal como un aislamiento de vapor principal; o bien, puede tratarse de eventos más severos, como una pérdida de potencia eléctrica externa o una pérdida de refrigerante. En los encabezados del árbol de eventos se presentan los distintos sistemas que son capaces de mitigar los efectos del evento iniciador. Así, para cada sistema de mitigación se pregunta si éste tiene éxito o no a cumplir con su función; el éxito se representa en la rama superior y la falla en la inferior. Haciendo esta pregunta para cada encabezado se hacen fallar tantos sistemas sean necesarios para llegar a una condición de daño al núcleo del reactor. De esta forma se define cada secuencia de accidente en el extremo derecho del árbol de eventos como la sucesión de éxitos y fallas de sistemas de mitigación que se presentan después del evento iniciador.

2.1.2 Árboles de fallas Para calcular la probabilidad de ocurrencia de las secuencias de accidente es necesario obtener un árbol de fallas [49] para cada sistema modelado en los encabezados. Los árboles de fallas se ilustran en la parte inferior de la Figura 2. Estos se construyen por medio de compuertas lógicas AND y OR; en las compuertas AND el evento desarrollado se presenta cuando ocurren todos los eventos modelados debajo de la compuerta, y en las compuertas OR cuando alguno de ellos ocurre. Los árboles se desarrollan hasta desglosar las fallas en términos de eventos básicos, para los cuales pueden obtenerse datos de falla significativos. Los eventos básicos utilizados en un APS incluyen:

• fallas de equipo: que consideran los diferentes modos de falla que puede tener un componente

• indisponibilidad: que consideran la posibilidad de que el componente esté indisponible por mantenimiento

• factores humanos: que consideran acciones del personal que puedan intervenir de manera positiva o negativa en el funcionamiento del sistema durante las actividades de la planta.

En el desarrollo de estos modelos lógicos se toma en cuenta también el análisis de dependencias. Esto es, cuando un mismo componente es compartido por dos o más sistemas, o bien cuando un evento básico puede de alguna manera afectar el funcionamiento de otros sistemas, es necesario repetir los eventos involucrados como



parte de cada árbol de fallas afectado. Existe también la posibilidad de que distintos componentes puedan llegar a estar fallados por la misma causa, ya sea por compartir el mismo diseño o proceso de fabricación, por estar sometidos a un mismo proceso de degradación, o debido a su proximidad física. Estas últimas se denominan causas comunes de falla, y se modelan repitiendo el mismo evento en los lugares donde intervienen los componentes del grupo afectado.

Figura 2. Modelos lógicos en APS



2.1.3 Integración del modelo El modelo del APS se integra juntando los modelos que representan cada elemento de la secuencia de accidente; esto es: • El evento iniciador • Los eventos tope de los árboles de fallas de los sistemas de mitigación • Los factores humanos que intervienen en la secuencia • Otras fallas de sistemas o dispositivos requeridas para completar la secuencia

Igualmente, existiendo una gran cantidad de secuencias de accidente, cada una con su propia estructura, es necesario conjuntar todas éstas para su tratamiento integral. En el lenguaje de los modelos lógicos, esto se puede resumir diciendo que el modelo integrado es la compuerta OR de todas las secuencias de accidente modeladas, y que cada secuencia de accidente se representa como la compuerta AND de los elementos que la definen. Así el modelo del APS se conjunta en un solo árbol de fallas, cuyo evento tope se podría definir como “Ocurre alguna secuencia de accidente”.

2.2 Desarrollo de datos probabilísticos Una vez definidos los eventos que aparecen en los modelos lógicos del APS, es necesario obtener sus probabilidades de ocurrencia, y existen métodos diferentes para cada tipo de evento, de acuerdo a sus características. En la medida de lo posible, estos datos deben reflejar la experiencia específica de la planta, aunque ésta debe ser consensuada con datos provenientes con la experiencia operacional; en ambos aspectos, los datos obtenidos deben actualizarse periódicamente para dar un seguimiento a la evolución de las probabilidades durante la vida de la planta, ya que éstas pueden sufrir un incremento a medida que los componentes envejecen o una disminución a medida que se van aplicando soluciones efectivas a los problemas de confiabilidad. En el desarrollo de datos no sólo es importante obtener una estimación puntual del valor real de la tasa de ocurrencia, sino también contar con una representación de la incertidumbre alrededor de este valor; esto es, la distribución de probabilidad de la tasa de ocurrencia.

2.2.1 Frecuencia de eventos iniciadores Los eventos iniciadores son sucesos que pueden interrumpir la operación normal de la planta y al mismo tiempo impedir el funcionamiento de sistemas necesarios para llevar a cabo las funciones de seguridad requeridas. Éstos incluyen desde eventos hipotéticos que no han ocurrido en ninguna central en el mundo, hasta sucesos que se espera que ocurran repetidamente durante la vida útil de la planta. Para eventos iniciadores que se esperan con cierta recurrencia durante la vida útil de la planta, o de reactores similares, es posible hacer estadísticas para obtener la distribución de la frecuencia de ocurrencia entre la población de reactores. Estas distribuciones no solo proporcionan la frecuencia promedio en la industria, sino que además dan una idea de la variación que se puede esperar entre las plantas debida a diferencias en el diseño y operación, así como otros condicionantes como ambiente circundante, envejecimiento, etc. Las distribuciones de probabilidad empleadas para representar esta variabilidad se obtienen mediante una técnica estadística especial llamada “análisis Bayesiano en dos etapas”, y se cuenta con resultados recientes para eventos iniciadores en reactores PWR y BWR [30].



En el caso de eventos hipotéticos o de muy rara ocurrencia, las frecuencias se obtienen a partir del juicio de expertos, basado en la experiencia en industrias con menor grado de exigencia o en eventos precursores que se hayan presentado en centrales nucleares. Para este propósito se emplean técnicas de elicitación de opiniones de expertos [16], a partir de los cuales se obtiene una distribución de probabilidad de la frecuencia de interés, la cual representa el estado de conocimiento del valor real de la frecuencia. Tanto las frecuencias provenientes de juicio de expertos como las que representan la variación entre la población de reactores, se pueden complementar con la evidencia estadística encontrada en la planta específica que se está analizando, ya sea que haya ocurrido o no el evento en cuestión. Esto se hace por medio de métodos de actualización Bayesiana [4,20,23], en los cuales la distribución a priori genérica se combina con la evidencia estadística, expresada como el número de eventos ocurridos en el tiempo de exposición observado. La distribución a posteriori resultante depende de qué tan “fuertes” sean el juicio de expertos o la consistencia entre plantas, por un lado, y la evidencia estadística, pro el otro. Por ejemplo, si la distribución a priori es muy dispersa, los eventos ocurridos rápidamente incrementan el valor esperado de la frecuencia; por otro lado, si el tiempo de exposición es comparable con el tiempo medio ente ocurrencias estimado con la distribución a priori, entonces la distribución a posteriori comienza a volverse menos dispersa, y se reduce la incertidumbre respecto al valor real de la frecuencia. Estos efectos se ilustran en la Figura 3.

Figura 3. Ejemplo de actualización Bayesiana

En algunos casos los eventos iniciadores pueden modelarse con árboles de fallas, debajo de los cuales aparecerán eventos iniciadores más específicos, que también se deben basar en la información estadística disponible. Por ejemplo, el iniciador “pérdida de total de agua de alimentación” puede desglosarse en combinaciones de trenes fuera de servicio y disparos de bombas, en las distintas etapas de bombeo: condensado,



refuerzo de condensado, bombas de drenes y turbobombas de agua de alimentación. Estos modelos son particularmente útiles cuando se desea analizar el impacto en el riesgo por tener trenes fuera de servicio u operación degradada de algún tren.

2.2.2 Confiabilidad de componentes La confiabilidad de componentes se calcula a partir de las tasas de ocurrencia de los modos de falla postulados para cada equipo en los árboles de fallas. De manera similar a los eventos iniciadores, existen distribuciones de probabilidad genéricas que representan la variabilidad entre plantas de estas tasas de ocurrencia en reactores PWR y BWR [30], las cuales pueden combinarse con la evidencia estadística específica de la instalación bajo estudio, mediante actualización Bayesiana, para obtener la distribución de probabilidad a posteriori específica de la planta. La industria nuclear tiene implantados procesos formales para el registro, evaluación y solución de problemas ocurridos o condiciones que se descubran durante la operación de cada central. Dentro del alcance de estos procesos se cubren todas las fallas de componentes [2,7], incipientes o catastróficas, independientemente de las causas que las hayan originado o la forma como se hayan descubierto. Para los componentes que pertenecen a sistemas importantes para el riesgo, así como otros que se determinen relevantes para la operación o la seguridad, estos procesos llevan a determinar y corregir la causa de raíz. Esto garantiza la disponibilidad de experiencia operacional documentada para soportar los datos específicos de planta, especialmente para los sistemas de mayor contribución en el APS. Para completar el análisis de confiabilidad de componentes es necesario combinar la tasa de ocurrencia con los tiempos de duración o de exposición a la falla, por medio de modelos de confiabilidad apropiados para obtener una estimación de la indisponibilidad promedio del componente [29]. A manera de ejemplo, la Tabla 1 muestra los modelos de confiabilidad más comunes para distintas condiciones de operación de un componente. En una central nuclear, los tiempos de duración de la falla generalmente están acotados por las Especificaciones Técnicas de Operación [47], cuyo cumplimiento es obligatorio, las cuales establecen la frecuencia con la que deben probarse los componentes de los sistemas de seguridad, así como la duración máxima permitida para restablecimiento de un sistema fallado. En el caso de sistemas convencionales, existen políticas internas de rotación del equipo que permiten verificar periódicamente el comportamiento de los equipos que no son de seguridad.

2.2.3 Fallas de causa común Las centrales nucleares, por norma, cuentan con dos o más trenes redundantes capaces de desempeñar la misma función de seguridad, y éstos generalmente son idénticos en su diseño, pero están separados física, mecánica, y eléctricamente. A pesar de esta separación, existe la posibilidad de que varios trenes redundantes fallen por la misma causa, especialmente cuando son del mismo diseño. Esto se conoce como fallas de causa común (CCF), y algunos mecanismos por los cuales se pueden presentar son por compartir los mismos errores de diseño o fabricación, prácticas de mantenimiento, partes de repuesto, ambientes de funcionamiento, errores de procedimiento u operación, suministros degradados, etc.



Tabla 1. Modelos de confiabilidad empleados en APS

Modelo de confiabilidad Ecuación y parámetros Operación continua irreparable

λ0 = tasa de falla durante operación tM = tiempo de misión

Operación continua reparable

tR = tiempo promedio de reparación Reserva continuamente monitoreado

λS = tasa de falla durante reserva Reserva probado periódicamente

tS = tiempo entre pruebas Indisponible por estar en mantenimiento

fmc = frecuencia de mantenimiento tmc = tiempo promedio del mantenimiento

Indisponibilidad por error humano

ft = frecuencia de prueba o actuación tS = tiempo entre pruebas

HEP = probabilidad de error humano Las fallas de causa común se representan probabilísticamente aplicando a la tasa de

fallas individual λIND un factor α n,m que represente la fracción de las veces que se tiene falla de un número requerido de componentes n en un grupo de m componentes, dado que ha habido falla del primer componente [1]. Multiplicando, la tasa de falla de causa común λCCF se obtiene como:

Esta tasa de falla se aplica al modelo de confiabilidad apropiado (Tabla 1) para obtener la indisponibilidad promedio del conjunto de n componentes. De manera similar a las tasas de falla individuales, existen datos estadísticos publicados que permiten obtener el factor α n,m para los principales componentes y modos de falla encontrados en reactores PWR y BWR [35], incluyendo las distribuciones de probabilidad genéricas que representan su incertidumbre. Sin embargo, la menor incidencia de las fallas de causa común en una central individual impide emplear la actualización Bayesiana para obtener valores específicos de la planta.1 Las fallas de causa común se incluyen en los modelos lógicos simplemente repitiendo el evento básico que las representa debajo de la compuerta OR que modela cada componente afectado.

1 A menos que se tenga una incidencia excepcionalmente alta, en cuyo caso se tendrían que hacer los

ajustes necesarios.



2.2.4 Confiabilidad humana Los modelos lógicos de un APS incluyen posibles errores del personal de la planta que puedan impedir el funcionamiento de algún sistema. Estos errores se pueden dividir en dos grandes categorías:

Antes de evento iniciador: Son aquellas intervenciones humanas rutinarias que se tienen durante el ciclo de operación, las cuales al ejecutarse incorrectamente pueden deshabilitar algún componente requerido

Después de evento iniciador: Son aquellas intervenciones humanas requeridas como respuesta para la mitigación de un evento iniciador

Algunos ejemplos de acciones antes del evento iniciador son el alineamiento de equipo para operación en reserva, el restablecimiento del equipo después de una prueba o mantenimiento, y la calibración de instrumentos. Entre las acciones después del evento iniciador se pueden mencionar el respaldo a acciones automáticas que no se completaron, la actuación de sistemas de mitigación manuales, y la intervención del operador para controlar cierto parámetro dentro de un rango deseado.

2.2.4.1 Acciones antes del evento iniciador

Estas acciones se caracterizan con una probabilidad de error humano (HEP) básica, asignada de acuerdo al tipo de acción, las condiciones de trabajo, y la existencia y claridad de procedimientos. Una vez ocurrido el error en la acción, pueden existir actividades o dispositivos que revelen el error, permitiendo su oportuna rectificación; éstos se denominan factores de recuperación, y algunos ejemplos son la actuación de alarmas o anunciadores en el cuarto de control, la ejecución de una prueba post-mantenimiento, la verificación de una segunda persona, etc. Los factores de recuperación se acreditan multiplicando la HEP básica por la probabilidad de error en la ejecución de la recuperación, de acuerdo a la siguiente ecuación [2]:

Como las acciones antes del evento iniciador corresponden a tareas rutinarias que se llevan a cabo durante las semanas o meses anteriores a un posible suceso, existe la posibilidad de que el error se repita sistemáticamente en varios trenes redundantes; por ejemplo, una instrucción incorrecta en un procedimiento, la percepción incorrecta de un operario con capacitación insuficiente, o un equipo de medición mal calibrado, pueden llevar a repetir el mismo error varias veces antes de detectarlo. Por esta razón, una parte integral del análisis de acciones antes del evento consiste en evaluar la dependencia entre acciones similares, y aplicar la probabilidad condicional de error humano para las acciones subsecuentes dado el error anterior. A manera de ilustración, para N componentes en paralelo sometidos a la misma actividad de mantenimiento, la probabilidad conjunta de que un error humano deje inhabilitados a todos los componentes sería, asumiendo una dependencia moderada [3]:

donde,

Dependencia moderada



Por ejemplo, para un grupo de tres componentes con probabilidad de error humano 0.003, la probabilidad conjunta sería 0.003x0.145x0.145= 6.3x10-5.

2.2.4.2 Acciones después del evento iniciador

El análisis de confiabilidad humana para estas acciones generalmente se divide en dos etapas. La primera corresponde al diagnóstico de la condición de planta para determinar cómo se requiere actuar, y la segunda a la ejecución de las acciones requeridas de acuerdo al procedimiento seleccionado con el diagnóstico inicial. Existen varios métodos aceptados para determinar la probabilidad de error humano en el diagnóstico, los cuales por lo general toman en cuenta el tiempo máximo disponible para completar el diagnóstico, una vez que se presenta alguna indicación inequívoca de la desviación del proceso, así como la facilidad de interpretar las indicaciones, el entrenamiento previo en ese tipo de escenario, y la disponibilidad de procedimientos que induzcan al diagnóstico. Alternativamente, cuando se cuenta con suficientes ejercicios en simulador documentados, es posible estimar el tiempo medio empleado por los turnos para completar un diagnóstico acertado (T½), así como su desviación normal (σ). Al comparar esta distribución con el tiempo máximo disponible para el diagnóstico (TW), se puede calcular la probabilidad de que el turno demore un tiempo mayor al requerido, y por lo tanto falle a realizar un diagnóstico oportuno. La Figura 4 ilustra la probabilidad de error humano en el diagnóstico que se obtendría con este método [9].

Figura 4. Probabilidad de error humano en el diagnóstico



En la segunda etapa del análisis de confiabilidad humana para acciones después del iniciador, se tiene la ejecución de las acciones requeridas de acuerdo al procedimiento seleccionado con el diagnóstico inicial. Al igual que las acciones antes del iniciador, se considera para cada acción crítica una HEP básica y posibles factores de recuperación. Algunos ejemplos de factores de recuperación para estas acciones son: la aparición de alarmas o indicaciones al no ejecutar el paso requerido, la verificación de otro miembro del turno, o la entrada a otro paso o procedimiento al degradarse la situación. En esta etapa también se puede requerir modelar cadenas de acciones consecutivas, así como diversos cursos de acción en función de los éxitos y fallas que se vayan teniendo, para obtener las distintas trayectorias que llevan a no tener éxito en la ejecución de la maniobra requerida [3]. Es igualmente importante identificar las dependencias que puedan existir entre las acciones después del evento iniciador. Empleando el mismo esquema ilustrado anteriormente, se asigna un grado de dependencia en función de si las acciones tienen lugar en el mismo espacio visual o en el mismo intervalo de tiempo. Por ejemplo, la actuación de dos sistemas redundantes cuyos controles se encuentren en la misma zona del panel de control y que tengan que darse consecutivamente tendría una dependencia alta, mientras que el alineamiento de un tercer sistema que desempeña una función diversa en una etapa posterior del escenario tendría una dependencia baja o nula.

2.3 Cuantificación de secuencias Una vez integrado el modelo completo del APS y obtenidos sus datos probabilísticos (eventos iniciadores, confiabilidad de componentes, fallas de causa común y factores humanos), se procede a la fase de cuantificación, la cual consta de dos etapas: reducción Booleana y cuantificación probabilística.

2.3.1 Reducción Booleana Aunque sería posible aplicar las reglas básicas de probabilidad a cada compuerta lógica de un árbol de fallas para obtener la probabilidad del evento tope, diferentes ramas del árbol de fallas pueden contener el mismo equipo o sistema de apoyo, o bien compartir causas comunes de falla y factores humanos dependientes; esto hace que las ramas ya no sean independientes, y por lo tanto deja de ser válido sumar o multiplicar sus probabilidades. La reducción Booleana es el proceso matemático por el cual un árbol de fallas se transforma en las combinaciones únicas de eventos básicos que pueden llevar al evento tope, llamadas conjuntos mínimos de corte [28]. Estos conjuntos tienen las siguientes características:

• Cada evento básico en el conjunto es necesario para que se presente el evento tope (conjunto mínimo)

• No existen conjuntos de corte repetidos (conjunto único)

Por lo tanto, los conjuntos de corte son mutuamente exclusivos, y al aplicar las reglas básicas de probabilidad a estos conjuntos es posible obtener la probabilidad del evento tope, a partir de las probabilidades de los eventos básicos. Los conjuntos mínimos de corte son una representación ineficiente de la lógica de fallas. Por ejemplo, una secuencia con seis sistemas de mitigación, cada uno de los



cuales tiene 30 eventos básicos, tendría un total de 36 (729 millones) conjuntos de corte por secuencia; esta cantidad no es manejable informáticamente, aún con las computadoras existentes actualmente. La simplificación tomada para resolver esta limitación es el truncamiento de los conjuntos de corte con probabilidad debajo de un cierto valor, de manera que se obtienen y cuantifican sólo los conjuntos dominantes,2 a costa de un cierto error numérico por truncamiento [18]. La reducción Booleana se realiza por medio de códigos de cómputo desarrollados para ese propósito [28,19,8]. En el caso de las secuencias de accidente de una central nuclear, se ha desarrollado en años recientes códigos altamente especializados que permiten eficientar el proceso para el tamaño y características particulares de estos modelos [50].

2.3.2 Cuantificación probabilística La cuantificación probabilística consiste primeramente en calcular la probabilidad del evento tope, es decir, la frecuencia total de todas las secuencias de accidente. Igualmente importante es obtener una medida de la contribución al riesgo de cada evento, así como determinar la incertidumbre en el resultado obtenido.

2.3.2.1 Frecuencia total

La probabilidad del evento tope se obtiene multiplicando las probabilidades PEB de los eventos básicos que forman cada conjunto (lógica AND), y sumando las probabilidades de todos los conjuntos mínimos de corte CMC (lógica OR). 3

Cada secuencia de accidente contiene un evento iniciador, por lo que cada conjunto de corte de la secuencia debe también contener ese evento iniciador. Como la probabilidad de los eventos iniciadores está expresada como frecuencia por año fIE, entonces la probabilidad del conjunto de corte y la suma de éstos también estarían expresada como frecuencia por año:

2 El truncamiento típico a finales de los años 80 era 1x10-8, para obtener miles de conjuntos; con las

computadoras y programas actuales llega a ser 1x10-12, para obtener centenas de miles de conjuntos. 3 Este resultado sería aproximado, ya que eventos básicos que se repiten en los conjuntos, y todavía existe

cierta dependencia entre éstos; es una buena aproximación cuando la probabilidad de los conjuntos es pequeña, y existen métodos de aproximación sucesiva cuando no lo son.



2.3.2.2 Análisis de importancia

El análisis consiste en determinar cuánto contribuye cada componente o sistema al riesgo total de la planta. Existen diversas formas de representar esta contribución, pero las dos principales son:

• Reducción de riesgo (RR): En cuánto disminuiría el riesgo si el componente fuera perfecto

• Incremento de riesgo (IR): En cuánto se incrementaría el riesgo si el componente fallara

La primera se calcula haciendo la probabilidad de los eventos del componente, y la segunda haciendo 1.0 su probabilidad, de la siguiente forma

La reducción de riesgo refleja la importancia de mantener o mejorar el nivel actual de confiabilidad del componente, y por lo tanto se usa para clasificar equipos que puedan beneficiarse o relajarse al eficientar los programas de confiabilidad. Por ejemplo, cuáles equipos incluir en los programas de mantenimiento predictivo, cuáles sistemas relajar en su frecuencia de pruebas, dónde permitir el uso de repuestos de grado comercial, etc. El incremento de riesgo refleja la importancia de mantener o mejorar el nivel actual de disponibilidad del componente, y por lo tanto se usa para identificar componentes que requieren un estricto control de la configuración. Por ejemplo, en cuáles sistemas no se debe permitir el mantenimiento en línea, cuáles equipos deben protegerse para evitar una salida innecesaria, etc. Los criterios empleados para determinar la importancia de componentes y sistemas son:

• Reducción de riesgo (RR): ≥ 0.5% de la frecuencia total de accidente

• Incremento de riesgo (IR): ≥ 100% la frecuencia total de accidente Estos dos indicadores no son independientes uno de otro. Todo componente importante para reducción de riesgo y que tenga un alto grado de confiabilidad, necesariamente es importante para incremento de riesgo. En la práctica, cualquier equipo que rebase alguno de los dos criterios mostrados se considera importante para el riesgo. Un resultado cualitativo encontrado comúnmente en el análisis de importancia del APS es la “regla del 80/20” (principio de Pareto [48]), donde un 80% de la frecuencia de accidente es atribuible a un 20% de los equipos. Esta característica es la que vuelve atractivos los resultados del APS para eficientar los procesos relacionados con la confiabilidad y disponibilidad de los equipos de una central.



2.3.2.3 Análisis de incertidumbre

Cada uno de los datos probabilísticos de entrada al APS está caracterizado por una distribución de probabilidad de su valor real, que por tanto representa la incertidumbre que se tiene sobre éste. Así, la incertidumbre de cada dato puede propagarse en los cálculos probabilísticos de los conjuntos de corte para encontrar la incertidumbre en la frecuencia de accidente. La técnica más simple y comúnmente empleada en los APS para propagación de incertidumbre es la simulación Monte Carlo [15]. Dada la simplicidad del cálculo en cuestión, el método Monte Carlo crudo es suficiente para obtener la distribución deseada con unos miles de muestras.4 El método de propagación de incertidumbre sigue los siguientes pasos: • Generar una muestra aleatoria de probabilidades (0≤P≤1), una por dato • Encontrar el valor que corresponde a esta probabilidad en la distribución del dato • Emplear los valores de la muestra de datos para calcular la frecuencia de accidente • Repetir los pasos anteriores para el número de muestras deseado • Emplear el histograma de muestras de la frecuencia de accidente para obtener las

estadísticas de su distribución de probabilidad La Figura 5 muestra un ejemplo de los resultados obtenidos en la propagación de incertidumbre de un modelo típico de APS. De esta figura puede observarse que el promedio de la distribución es mayor que la frecuencia obtenida con los valores promedio de cada dato de entrada (estimación puntual), siendo que ésta última, por

4 Algunos códigos emplean métodos más eficientes como el muestreo hipercúbico latino (LHS) [11].

Figura 5. Distribución de incertidumbre para un modelo típico de APS



método de momentos, debería ser una buena aproximación del promedio de la distribución final. La diferencia se debe a la correlación que existe entre las distribuciones de los datos de entrada, ya que muchos de ellos emplean los mismos parámetros probabilísticos. Por ejemplo, todas las motoválvulas tienen la misma tasa para cierto modo de falla; cuando esta tasa tiene un valor alto, todas las motoválvulas incrementan su indisponibilidad promedio, haciendo que la incertidumbre se ensanche, resultando en un incremento en el valor promedio de la distribución. Al emplear un código de cómputo con capacidad para propagar esta correlación [21], el efecto se hace evidente, siendo éste el resultado que debe tomarse como frecuencia total estimada en el APS [32].

2.4 Comparación con métodos convencionales de evaluación De acuerdo a la metodología presentada se pueden contrastar las características de un APS con los métodos convencionales de evaluación de plantas nucleares. En primer lugar, se considera un número ilimitado de fallas, ya que se postulan tantas como sean necesarias para llegar a una condición de daño al núcleo, a diferencia del criterio de falla única, que acota el número de fallas a considerar en el diseño de sistemas de emergencia. Mientras que este criterio generalmente garantiza un amplio margen de seguridad dentro de un sistema o función, la evaluación probabilística permite medir este margen y combinarlo con los de otros sistemas o funciones requeridos en una secuencia de accidente. El considerar un número de fallas mayor que el previsto en los criterios de diseño conduce al tratamiento de condiciones no analizadas, para las que es necesario estimar el comportamiento de la planta, ya que aún excediendo la base de diseño es posible en muchas secuencias evitar o retardar el daño al núcleo. Por ejemplo, la pérdida de potencia externa con falla de todos los generadores diesel de emergencia excede los criterios de diseño y no está considerada en los análisis de accidentes del FSAR; sin embargo, es todavía posible, y se considera así en el APS, mantener el núcleo enfriado con sistemas alimentados por corriente directa por varias horas mientras se intenta recuperar alguna forma de corriente alterna.5 Por otro lado, en un APS se da crédito para la mitigación de accidentes a sistemas no relacionados con seguridad y a acciones correctivas del operador, los cuales frecuentemente no son acreditados en los métodos convencionales de evaluación. También es importante en este tipo de estudios hacer suposiciones tan realistas como sea posible con la información disponible. Mientras en los métodos convencionales es importante garantizar un diseño conservador, y este conservadurismo forma parte del margen de seguridad deliberadamente introducido, en APS se pretende obtener la mejor estimación de cada elemento de análisis, precisamente para lograr una representación precisa del margen de seguridad en cada evento analizado.

5 Esta condición se conoce como station blackout, y su evaluación se añadió como requisito normativo en

parte como resultado de haberse identificado como contribuyente dominante en los primeros APS.



2.5 Otras fases del APS La metodología presentada en esta sección se denomina “APS Nivel 1 a potencia para eventos internos”, y los conceptos discutidos son suficientes para los objetivos del presente trabajo. Existen además métodos similares para cubrir otros aspectos del riesgo, los cuales se pueden agrupar en tres categorías, las cuales se describen a continuación:

• Modelos de consecuencias

• Modelos para otros modos de operación

• Modelos para peligros externos

2.5.1 Modelos de consecuencias Los árboles de eventos en una APS Nivel 1 como el que se ha discutido se desarrollan hasta encontrar un estado de daño al reactor, el cual generalmente lleva a la fundición de una parte del núcleo. En un APS de Nivel 2 los estados de daño se modelan en más detalle, por medio de un segundo grupo de árboles de eventos, hasta encontrar una condición de liberación radioactiva al exterior. A grandes rasgos, estos modelos requieren analizar los fenómenos físicos que se presentan durante la progresión del accidente y sus efectos sobre los edificios de contención. El producto final de un APS Nivel 2 es una lista de categorías de liberación, con su frecuencia, composición del material liberado, y el tiempo y forma en que se descarga.6 En un APS Nivel 3, se emplean modelos de dispersión atmosférica, junto con datos demográficos y económicos del sito, para determinar las consecuencias a la salud y la economía de las categorías de liberación encontradas en el nivel anterior. El producto final de un APS Nivel 3 son las curvas de Farmer para accidentes severos en la central.

2.5.2 Modelos para otros modos de operación Las centrales nucleares operan normalmente a su máxima potencia, y el modelo base del APS representa esa condición. En caso de requerirse un paro de la unidad, planeado o forzado, el reactor pasa por distintos modos de operación en los que las funciones de seguridad requeridas, y los sistemas que las desempeñan, son diferentes. Aún cuando el tiempo que se permanece en estos estados es pequeño, algunos de ellos pueden tener una participación no despreciable, y deben tomarse en cuenta en el cálculo del riesgo total. También pueden existir aplicaciones de APS relacionadas con sistemas y funciones específicos de estos modos de operación.

2.5.3 Modelos para peligros externos La metodología presentada en las secciones anteriores se refiere a eventos iniciados y propagados en los procesos internos de la planta. Es necesario además estudiar la posibilidad de que algún fenómeno externo afecte a estos procesos, especialmente si tiene el potencial para causar daño a más de un equipo a la vez. Los fenómenos que normalmente se incluyen en esta categoría son:

• Inundaciones dentro de los edificios de proceso 6 Alternativamente, se ha optado por emplear modelos simplificados de Nivel 2, en los que se analiza una

sola categoría de liberación: la “liberación grande en etapa temprana” (LERF). Estos modelos son suficientes para soportar la mayoría de las aplicaciones de APS realizadas en las centrales.



• Incendios dentro de los edificios de proceso

• Sismos

• Huracanes y otros fenómenos atmosféricos

• Incendios fuera de los edificios de proceso

• Inundaciones fuera de edificios de proceso

• Vulcanismo, tsunamis, y otros fenómenos naturales específicos del sitio

• Explosiones, accidentes de transporte, fugas y derrames, y otros peligros causados por actividad humana

Cada una de estas categorías tiene una metodología propia, que a rasgos generales consiste en:

• Caracterizar la relación magnitud vs. frecuencia del peligro (curvas o tablas)

• Modelar la propagación o amplificación del peligro dentro de la planta, especialmente en cuanto a la afectación simultánea de varias zonas

• Levantar el inventario de equipos modelados en el APS para cada zona afectada

• Representar la fragilidad de los equipos modelados en el APS respecto a la magnitud del peligro

• Añadir al modelo del APS las frecuencias del fenómeno por zona y la probabilidad condicional de falla de los equipos asociados.

De esta forma, los modelos de estos fenómenos “externos” aparecerían en un APS integrado como eventos iniciadores adicionales, que a su vez tienen eventos básicos asociados con probabilidades altas de causar la falla de los equipos.



3 APROVECHAMIENTO DEL APS EN LAS CENTRALES

La metodología APS emerge en una etapa tardía del licenciamiento de la mayoría de los reactores, no siendo por lo tanto un requisito regulatorio de origen. Esto representó un reto para su posible incorporación a la normativa y las prácticas reguladoras, ya que, al plantear un enfoque sustancialmente diferente, lleva a conclusiones divergentes respecto a los métodos de evaluación existentes; esta divergencia puede ir en ambos sentidos: los resultados del APS pueden mostrar como inadecuadas condiciones que antes se consideraban aceptables, pero también pueden mostrar como aceptables situaciones lo que no lo son bajo la normativa actual. Con objeto de facilitar el planteamiento, se puede hablar de tres etapas de evolución en el uso del APS, las cuales corresponden a tres alcances cada vez más ambiciosos:

Inicial: Uso correctivo

Los resultados del APS se emplean sólo para corregir puntos endebles en el diseño y operación

Intermedia: Uso complementario

Los modelos y resultados del APS se emplean de manera paralela a las prácticas tradicionales para implantar nuevas medidas que complementan a las existentes

Avanzada: Uso integral

Los modelos y resultados del APS se emplean de manera conjunta con las prácticas tradicionales para eficientar medidas existentes en la normativa anterior

3.1 Etapa inicial: Uso correctivo del APS Una vez reconocida la capacidad de los APS para identificar vulnerabilidades específicas del diseño de una central, distintos organismos reguladores alrededor del mundo determinaron solicitar a cada licenciatario la elaboración de un Examen Individual de Planta (IPE), por medio del cual se identificaran las vulnerabilidades a accidentes severos específicas de su diseño. Los objetivos del IPE incluyeron, que cada central:

• Desarrollara una apreciación del comportamiento de accidentes severos,

• Conociera las secuencias de accidente severo más probables que podrían presentarse en su planta,

• Adquiriera un conocimiento cuantitativo de las probabilidades globales de daño al núcleo y descarga de productos de fisión, y

• En caso necesario, redujera las probabilidades globales de daño al núcleo y descarga de productos de fisión modificando, según procediera, el equipo y los procedimientos que ayudaran a impedir o mitigar accidentes severos.

El IPE empleó una forma propia de interacción entre los licenciatarios y el organismo regulador, ya que tuvo un enfoque autoregulatorio, en el sentido de que los licenciatarios definieron las medidas concretas por implementar a partir del conocimiento adquirido con el IPE, incluyendo cuáles y cómo se habrían de resolver. Esto permitió que las acciones tomadas se adecuaran flexiblemente a la situación encontrada en cada central, la cual puede variar ampliamente de una planta a otra. Así, las normas que rigieron la identificación de vulnerabilidades fueron el apego a las



prácticas comunes de APS, y la metodología propuesta por la industria y aprobada por el órgano regulador con los criterios probabilísticos para identificar una vulnerabilidad [24]. Es importante destacar que el IPE no constituyó una nueva regla, sino que se requirió como información necesaria para que el organismo regulador decidiera sobre la necesidad de regular sobre accidentes severos [34]. El IPE tampoco requería un APS específico de cada central. Sin embargo, en los países que lo adoptaron, la realización del IPE resultó en que cada central desarrollara un modelo de APS razonablemente completo.

3.1.1 Renovación de licencia En años recientes, diversas centrales en EE.UU. que están alcanzado el final de vigencia de su licencia de operación han optado por solicitar la renovación. Esta renovación de licencia está sujeta a una nueva normativa que requiere, como parte de la evaluación de impacto ambiental [33], la implantación de alternativas de mitigación de accidentes severos (SAMAs); estas alternativas se identifican y resuelven en forma similar al IPE, pero de una manera más detallada y documentada. Con esto, en una renovación de licencia la evaluación de vulnerabilidades se eleva a la categoría de requisito regulador, y forma parte de la licencia de operación. La metodología empleada para evaluar las SAMAs introduce el análisis costo-beneficio para determinar cuáles justifican su implantación [25], seleccionando todas aquellas medidas con un costo de implementación menor al costo evitado por accidentes.

3.2 Etapa intermedia: Uso complementario Se puede decir que el uso “correctivo” del APS descrito en la etapa anterior es puramente una carga reguladora para el licenciatario, ya que sólo se enfoca en los resultados del APS que llevan a añadir compromisos. En la presente etapa, se plantea el uso de la información de riesgo para implementar en forma eficiente nuevas disposiciones normativas, consideradas necesarias por la autoridad reguladora, que no necesariamente se originaron de los resultados del APS. Al adoptar la información de riesgo, se comienza a desarrollar una nueva forma de trabajar, que permite enfocar los recursos en aquellos aspectos de mayor importancia para el riesgo. Es en este punto donde se aprovecha la “regla del 80/20”, asignando mayor atención a ese 20% de los componentes que contribuyen al 80% del riesgo, y relajando en los componentes que menos contribuyen.

3.2.1 La Regla de Mantenimiento Como se ha mencionado anteriormente, el tiempo que un sistema de seguridad puede estar fuera de servicio en una central nuclear está acotado por las Especificaciones Técnicas de Operación (ETOs) [47], cuyo cumplimiento es obligatorio. Estos tiempos tienen como propósito dar un margen suficiente y aceptable para la adecuada reparación y restablecimiento del equipo. Sin embargo, aún con estos controles se observaban diferencias importantes en la confiabilidad y disponibilidad de sistemas entre centrales similares, ya que las ETOs no limitan el número de veces que se recurre a esta holgura de tiempo. Más aún, la entrada repetitiva a las ETOs podría ser producto de una falta de efectividad en la solución de problemas o la planeación de los mantenimientos. Esta preocupación dio pie a la necesidad de promulgar una regla que



normara la efectividad del mantenimiento en las centrales nucleares: la Regla de Mantenimiento [41]. El problema abordado por la Regla de Mantenimiento contiene elementos comunes con la información manejada en APS, ya que requiere medir la confiabilidad y disponibilidad del equipo. Igualmente, el alcance no se limita a los sistemas de seguridad cubiertos en las ETOs, ya que la falta de mantenimiento efectivo de los sistemas de planta también se refleja en la frecuencia de transitorios, la cual forma parte de los análisis de seguridad, pero no cuenta con un control cuantitativo.

Monitoreo del mantenimiento

El alcance de la regla de mantenimiento cubre sistemas de diversa índole: sistemas de planta, de emergencia, de suministro eléctrico, de enfriamiento, de control, de monitoreo, de tratamiento, etc. El número de sistemas por monitorear oscila generalmente alrededor de 100. No todos los sistemas tienen la misma relevancia para satisfacer el objetivo final del órgano regulador —la protección del público—, y ésta varía sensiblemente de una planta a otra, incluso entre diseños similares. Esto dificulta la definición de criterios fijos y uniformes para toda las plantas. Tomando en cuenta la cantidad de sistemas a monitorear y su diversidad, el APS aporta información útil para eficientar la implantación de la solución, dado que se ha reconocido su capacidad para determinar la importancia relativa de los sistemas y componentes respecto al riesgo de accidente severo, para el diseño específico de cada central. Las actividades que componen el monitoreo de la regla de mantenimiento son las siguientes (Figura 6): • Identificación de los sistemas dentro del alcance • Clasificación en sistemas significativos y no significativos para el riesgo • Asignación de criterios de desempeño para confiabilidad de sistemas • Asignación de criterios de disponibilidad para sistemas con trenes en reserva • Monitoreo de los sistemas para determinar si están dentro de los criterios7 En caso de que algún sistema exceda los criterios asignados, éste se somete a evaluación para establecer las acciones correctivas apropiadas y asignar las metas específicas del problema para determinar cuándo se puede regresar a su monitoreo normal.

Balance entre confiabilidad y disponibilidad

Las actividades descritas se complementan con el análisis de resultados a largo plazo. Por un lado, se hace una evaluación del balance entre confiabilidad y disponibilidad, por medio de la cual se determina si se está logrando una proporción aceptable de mantenimientos correctivos y preventivos. Por otro lado, los modelos del APS se retroalimentan periódicamente con el desempeño observado, actualizando la clasificación de riesgo y los criterios de desempeño para asegurar que reflejen la experiencia operacional reciente de la planta y de la industria. Estos análisis se traducen a su vez en estrechar los criterios de desempeño, a medida que la central y la industria evolucionan, representando así un recurso para mejora continua de la efectividad del mantenimiento.

7 La intensidad del monitoreo se incrementa en los sistemas significativos para el riesgo, los cuales se

monitorean en cada uno se sus trenes, mientras los demás pueden vigilarse por el desempeño global de la planta. Los criterios numéricos asignados serán más estrictos para los sistemas significativos.



Figura 6: Diagrama de flujo del monitoreo del desempeño en Regla de Mantenimiento



Gestión del riesgo por mantenimiento

Como segunda etapa de la Regla de Mantenimiento, se añadió el requisito de evaluar el riesgo de la configuración de planta propuesta, antes de llevar a cabo un mantenimiento. Esta actividad consiste simplemente en adecuar el modelo del APS de la central para cuantificar el incremento en riesgo por tener fuera de servicio uno o varios trenes durante un mantenimiento [22]. La gran mayoría de los mantenimientos individuales resultan en un incremento de riesgo aceptable. Sin embargo, algunos sistemas individuales y combinaciones de sistemas pueden tener incrementos de riesgo particularmente elevados en la central evaluada. Si éste fuera el caso, el riesgo analizado se puede “administrar” tomando las siguientes medidas, en función de la magnitud del incremento:

• No combinar esos sistemas en el mismo período de mantenimiento

• Postergar el mantenimiento para hacerlo en otro modo de operación

• Llevar a cabo el mantenimiento en el menor tiempo, asignando recursos adicionales

• Implementando medidas compensatorias que disminuyan el riesgo calculado

• Preparando planes de contingencia que se pongan en práctica en caso de ocurrir alguna eventualidad durante el mantenimiento

La cuantificación de riesgo se realiza desde la planeación semanal de las actividades del mantenimiento, y puede ser actualizada por el personal del cuarto de control para tomar en cuenta actividades emergentes que no fueron incluidas en la planeación. Igualmente, es provechoso llevar la contabilidad del riesgo promedio acumulado por las actividades de mantenimiento tal como se llevaron a cabo. Este riesgo promedio se puede comparar contra el que se tendría aplicando sólo los controles normales (es decir, las restricciones por ETOs), ya que éste se cuantifica en el modelo base del APS. El resultado obtenido generalmente muestra un riesgo promedio real sensiblemente menor al riesgo promedio base, aún cuando ocasionalmente se exceda este último, como se ilustra en la Figura 7, mostrando la ventaja de esta medida de control.

Figura 7: Riesgo semanal por actividades de mantenimiento



Beneficios

Así, los controles añadidos con la Regla de Mantenimiento no sustituyen a los existentes previamente en las ETOs, sino que los complementan para mejorar su efectividad. Debe destacarse que, a raíz de su implantación, se han logrado disminuciones notorias en los tiempos de indisponibilidad de los equipos importantes para el riesgo y sus combinaciones, representando sólo por este hecho una disminución importante en el riesgo de accidente severo en la industria. Esto es resultado de enfocar los esfuerzos adicionales en controlar ese 20% de las configuraciones que ocasiona el 80% del riesgo. Al introducir la Regla de Mantenimiento se destaca un aspecto novedoso, aunque no innovador, en la forma de establecer los requisitos. Esto es, en lugar de normar el proceso que debe seguirse para tener un mantenimiento efectivo, lo que se hace es normar que se mida el desempeño que se observa en la planta como reflejo de un mantenimiento efectivo. A este enfoque regulatorio se le denomina “regulación basada en el desempeño”.

3.2.2 Vigilancia de reactores informada en riesgo Aunque el presente trabajo se dedica a las actividades de APS en las centrales de generación, cabe mencionar que algunos organismos reguladores han incorporado la información de riesgo para eficientar sus propios procesos internos de vigilancia de reactores [37,7]. Estos esquemas de supervisión informados en riesgo contienen los siguientes elementos:

• Procedimientos para cubrir aspectos significativos para el riesgo en las inspecciones realizadas

• Indicadores de planta probabilísticos que monitorean el desempeño de los sistemas significativos para el riesgo (MSPI) [26]

• Métodos para evaluar la importancia para el riesgo de los hallazgos de las inspecciones o de los eventos que ocurren en las centrales (SDP) [46]

Lo anterior resulta en un sistema de seguimiento mediante el cual se clasifica el estado que guarda cada central respecto a irregularidades importantes para el riesgo, estableciendo niveles de acción cada vez más intensos en función ese estado (verde, blanco, amarillo o rojo). Los niveles de acción pueden ser controles normales, la visita de un grupo de inspección específico, la realización de una inspección exhaustiva, o en casos extremos, suspender la operación hasta resolver las deficiencias. La participación rutinaria de los grupos de APS de las centrales en este proceso consiste en calcular los indicadores de riesgo (MSPI), así como realizar evaluaciones detalladas de hallazgos o eventos ocurridos (SDP) cuando el órgano regulador ha determinado que su importancia para el riesgo excede cierto valor umbral.

3.3 Etapa avanzada: Uso integral Finalmente, se plantea el uso de la información de riesgo para eficientar disposiciones existentes en la normativa anterior, incluyendo aquellas que puedan disminuir la carga reguladora. El reto para esta etapa consiste en definir cómo la información de riesgo



ha de coexistir con la normativa vigente. Esto necesariamente ha involucrado un período amplio de estudio, consulta y discusión, antes de formalizar el uso de APS.8

3.3.1 Guías Reguladoras informadas en riesgo Las Guías Reguladoras representan métodos aceptables para el órgano regulador de satisfacer requisitos normativos. No siendo parte integral de la reglamentación, el cumplimiento de estas guías es opcional, pudiendo existir otros métodos para alcanzar el mismo fin. Por el carácter opcional y no exclusivo de las Guías Reguladoras, éste ha sido el camino seleccionado por diversos órganos reguladores para permitir aplicaciones voluntarias informadas en riesgo para respaldar cambios a la base de licenciamiento [32,6,5]. Las guías reguladoras informadas en riesgo se basan en los cinco principios básicos mostrados en la Figura 8. Los tres primeros establecen con claridad la intención de preservar la normativa existente, y los principios deterministas conservadores que la acompañan: defensa en profundidad y márgenes de seguridad suficientes. Esto quiere decir que tienen que seguir existiendo barreras múltiples y diversas, en los distintos niveles de defensa en profundidad [13], y que el diseño de los sistemas y componentes tiene que seguir contando con una holgura que acomode posibles errores, incertidumbres, e imprevistos. Específicamente, la información de riesgo no debe ser argumento usar para eliminar una capa de protección, aún cuando ésta sea compensada por otras medidas que disminuyan el riesgo; tampoco se deben emplear métodos precisos de análisis para eliminar conservadurismo indiscriminadamente. El margen de acción permitido consiste en cambiar la forma como se satisfacen estos principios, más que buscar su eliminación.

Figura 8: Principios básicos para aplicaciones informadas en riesgo

8 En el caso de EE.UU. estos esfuerzos se condujeron a través de una política sobre el uso de APS [36], un

plan de implantación de regulación informada en riesgo [44], y más recientemente un plan informado en riesgo y basado en desempeño [43].



El cuarto principio representa el análisis de riesgo propiamente, y su comparación con los criterios probabilísticos de seguridad. Una parte importante de la cuantificación del riesgo consiste en identificar las suposiciones clave que puedan afectar las conclusiones del análisis; éstas incluyen, por ejemplo, la falta de experiencia operacional sobre los equipos al momento de realizar el análisis, el deterioro de componentes como consecuencia de los cambios, así como las incertidumbres relevantes que se hayan identificado en el modelo base del APS. Los criterios probabilísticos de seguridad empleados para cambios permanentes a la base de licenciamiento se ilustran en la Figura 9. Estos criterios limitan tanto el incremento de riesgo que se tiene por el cambio ( ), como el riesgo total después del cambio ( ). Por ejemplo, una central con riesgo total por arriba de 1x10-4/año sólo puede justificar cambios que tengan un incremento de riesgo menor a 1x10-6/año, mientras que otra central con igual a 6x10-5/año puede justificar cambios con incremento de riesgo menor a 1x10-5/año, siempre y cuando lleve un seguimiento de los efectos acumulativos de todos los cambios que implemente. Cuanto más cerca esté una aplicación de la frontera entre las regiones, más importante será la identificación y cuantificación de incertidumbre en el análisis.

Figura 9: Criterios probabilísticos de seguridad

El quinto principio representa el enfoque basado en el desempeño que se ha mencionado anteriormente. En este caso se trata de encontrar formas de medir el desempeño que se tiene como consecuencia de las modificaciones; evidentemente, esto depende de la naturaleza de los cambios realizados. Este principio debe resultar en un programa de implantación y monitoreo, que como mínimo verifique las suposiciones clave identificadas en el análisis de riesgo como significativas para la justificación del cambio. Por ejemplo, este programa puede incluir el monitoreo de la confiabilidad de equipos modificados, y retroalimentar los resultados en el análisis de riesgo para determinar si se debe revertir la decisión o si se deben tomar medidas adicionales. Con la integración de estos cinco principios al evaluar cambios a la base de licenciamiento queda definido cómo la información de riesgo ha de coexistir con la normativa vigente. También se establece la relación entre los conceptos “informado en



riesgo” y “basado en el desempeño” como un binomio que se complementa mutuamente. Todas las aplicaciones informadas en riesgo se deben someter a aprobación del órgano regulador, de acuerdo a los métodos y criterios de las guías reguladoras descritas arriba.

3.3.2 Requisitos de tratamiento especial Existen algunas aplicaciones avanzadas, actualmente en fase de implantación piloto, que ejemplifican la tendencia que puede esperarse a mediano plazo en el uso de APS. La más notoria de éstas se refiere, en forma amplia, a los requisitos normativos que deben satisfacer los equipos acreditados en los análisis de seguridad de una central nuclear; éstos se conocen como requisitos de tratamiento especial, y algunos ejemplos son: • Garantía de calidad en la fabricación, procura, instalación, etc. • Calificación ambiental y sísmica • Cumplimiento con normas industriales • Inspección y pruebas en servicio

Para cumplir y dar seguimiento a estos requisitos de tratamiento especial, los equipos tradicionalmente se clasifican en relacionados con seguridad y no relacionados con seguridad.9 Una vez que un equipo queda encasillado en una de estas categorías, la atención que se presta “regulatoriamente” es, en principio, la misma para todo el grupo. Como es de esperarse, de acuerdo a los resultados del APS que se han ido presentando a lo largo de este trabajo, los niveles de importancia para el riesgo que se tienen dentro de estas dos categorías son muy diversos. Dado que el costo de cumplir con el tratamiento especial es muy elevado, tanto para el licenciatario como para el regulador, esto representa un área de oportunidad para el aprovechamiento del APS. La aproximación propuesta consiste en expandir la clasificación a las cuatro categorías mostradas en la Figura 10. En este esquema, cada una de las clases se somete a requisitos de tratamiento alternos. Las principales diferencias en el tratamiento alterno consisten en añadir a las clases RISC-1 y RISC-2 nuevas funciones de seguridad que se hayan acreditado en el proceso de clasificación, incluyendo aquellas que excedan el propósito de su diseño original. En el caso de la clase RISC-3, los requisitos de tratamiento especial se sustituyen por requisitos de alto nivel, bajo los cuales se continúa garantizando la función de seguridad en condiciones base de diseño, pero con un grado de aseguramiento menor;10 igualmente, estos componentes 3 deberán seguir contando con inspección, pruebas, y acción correctiva en caso de encontrar deficiencias.

9 Existe además una tercera categoría, denominada importante para la seguridad, que incluye equipos no

relacionados que deben cumplir con un subconjunto de requisitos de tratamiento especial. 10 Este grado de aseguramiento quedaría definido en los nuevos procedimientos de la central, basándose a

su vez en modificaciones a las normas industriales que incorporen las nuevas clases de seguridad.



Figura 10: Clases de seguridad informadas en riesgo

De manera consistente con las guías reguladoras informadas en riesgo, esta aplicación debe contar con un programa de monitoreo para medición del desempeño, por medio del cual se identifiquen posibles tendencias adversas, y se revise periódicamente la clasificación de componentes tomando en cuenta la experiencia adquirida. Debe destacarse que la central pionera en la implementación de esta clasificación ha acumulado una experiencia operacional de más de siete años, en los cuales no se han observado tendencias adversas en el desempeño de los componentes que ha sido relajados (clase RISC-3) [17]. El manejo informado en riesgo y basado en el desempeño de los requisitos de tratamiento especial ha sido quizás el cambio más notorio a la normativa estadunidense dentro de su plan de implantación, habiendo sido incorporado como regla [42], la cual es de cumplimiento voluntario.



4 CONCLUSIONES

La forma de coexistencia con la normativa vigente planteada en las guías reguladoras informadas en riesgo deja claro que el APS no debe ser un sustituto para los principios de defensa en profundidad y márgenes de seguridad suficientes, los cuales ha demostrado ser adecuados para alcanzar un alto nivel de seguridad en las centrales nucleares diseñadas bajo esos principios. Esto descarta cualquier concepción ambiciosa que sitúe los análisis de riesgo como origen de la reglamentación o medida única para demostrar su cumplimiento. Sin embargo, muchas de las técnicas tradicionales que ponen en práctica los principios de defensa en profundidad y garantizan márgenes de seguridad involucran conceptos afines a los modelos del APS, como son: • probabilidad de ocurrencia de eventos y fallas • redundancia y diversidad de componentes para desempeñar una función • incertidumbre o variabilidad de los parámetros de análisis • posibilidad de error humano • posibilidad de fallas de causa común La capacidad del APS de integrar en forma cuantitativa estos conceptos lo sitúa en una posición privilegiada para eficientar la forma como se cumple con los principios de seguridad. Más aún, al existir los medios para incorporar la experiencia operacional específica de la planta, a través de las tasas de ocurrencia de fallas y eventos iniciadores, el APS puede integrar además el desempeño observado en cada central, permitiendo así que las decisiones sustentadas en él se ajusten de acuerdo a ese desempeño, a medida que los sistemas y procesos de la planta evolucionan en su ciclo de vida. De esta forma, los conceptos “informado en riesgo” y “basado en el desempeño” se presentan en las aplicaciones de APS como un binomio que se complementa mutuamente, mediante el cual se genera por un lado información necesaria para dar seguimiento a los efectos del cambio, y por el otro se cuenta con un modelo que permite poner esta información en perspectiva. Bajo este enfoque, la aplicación del APS no se trata simplemente de elaborar un documento estático que justifique la decisión y quede archivado, sino establecer un seguimiento del desempeño que pueda retroalimentarse al análisis para identificar la necesidad de medidas correctivas o avanzar en el proceso, según lo determinen los resultados.



5 REFERENCIAS

1. Ali Mosleh, et al., “Guidelines on Modelling Common Cause Failures in Probabilistic Risk Assessment”, U.S. Nuclear Regulatory Commission, NUREG/CR-5485, EE.UU., 1998.

2. Allan D. Swain, "Accident Sequence Evaluation Program Human Reliability Analysis Procedure," U.S. Nuclear Regulatory Commission, NUREG/CR-4772, EE.UU., 1987.

3. Allan D. Swain y H.E. Guttmann, "Handbook of Human Reliability Analysis with Emphasis on Nuclear Power Plant Applications", U.S. Nuclear Regulatory Commission, NUREG/CR-1278, EE.UU., 1983.

4. Corwin L. Atwood, et al., “Handbook of Parameter Estimation for Probabilistic Risk Assessment”, U.S. Nuclear Regulatory Commission, NUREG/CR-6823, EE.UU., 2003.

5. Comisión Nacional de Seguridad Nuclear y Salvaguardias, “Regulación informada en riesgo en instalaciones nucleares de potencia”, Guía Reguladora SN-01, Revisión A, México, 2005.

6. Consejo de Seguridad Nuclear, “Criterios básicos para la realización de aplicaciones de los Análisis Probabilistas de Seguridad”, Revisión 1, España, 2007.

7. Consejo de Seguridad Nuclear, “Sistema Integrado de Supervisión de Centrales (SISC)”, Procedimiento General PG.IV.07, España, 2006.

8. Electric Power Research Institute, "Cafta for Windows, Fault Tree Analysis System: User’s Manual," Versión 3.2, EE.UU., 1996.

9. Gareth W. Parry, et al., “An Approach to the Analysis of Operator Actions in Probabilistic Risk Assessment”, Electric Power Research Institute, EPRI TR-100259, Final Report, EE.UU., 1992.

10. Howard Raiffa, “Decision Analysis - Introductory Lectures on Choices under Uncertainty”, Addison-Wesley, ISBN: 0201062909, EE.UU., 1968.

11. Iman, R. L., Shortencarier M. J. "A FORTRAN 77 Program and User's Guide for the Generation of Latin Hypercube and Random Samples for Use With Computer Models", NUREG/CR-3624, U.S. Nuclear Regulatory Commission, EE.UU., 1984.

12. Institute of Electrical and Electronics Engineers, et al., “PRA Procedures Guide: A Guide to the Performance of Probabilistic Risk Assessments for Nuclear Power Plants”, U.S. Nuclear Regulatory Commission, NUREG/CR-2300, EE.UU., 1983.

13. International Atomic Energy Agency, “Defence in Depth in Nuclear Safety - A report by the International Nuclear Safety Advisory Group”, INSAG-10, 1996.

14. International Atomic Energy Agency, “Guidelines on the Role of Probabilistic Safety Assessment and Probabilistic Safety Criteria in Nuclear Power Safety”, A Safety Guide, IAEA Safety Series, 1989.

15. John M. Hammersley, et al., “Monte Carlo methods”, Halsted Press, ISBN: 0416523404, EE.UU., 1964.

16. J.P.Kotra, et al., “Branch Technical Position on the Use of Expert Elicitation in the High-Level Radioactive Waste Program”, U.S. Nuclear Regulatory Commission, NUREG/CR-1563, Apéndice J, EE.UU., 1996.



17. Ken Canavan, et al., “Safety and Operational Benefts of Risk-Informed Initiatives”, Electric Power Research Institute, White Paper, 2008.

18. Manuel González C., et al., “A Method for Estimation of Cutset Truncation Error in PSA Based On Cutset Growth Trend”, International Topical Meeting on Probabilistic Safety Assessment & Analysis PSA 2008, Knoxville, Tennessee, 7-11 de septiembre, 2008.

19. Manuel González C., "Arbol-X: Manual del Usuario," Emersis S.A. de C.V., México, 1995.

20. Manuel González C., et al., “Desarrollo de datos específicos de planta para un Análisis Probabilístico de Seguridad”, México Nuclear, Volumen 5, Número 2, pp. 1-10, México, 2004.

21. Manuel González C., "PSAlite: Manual del Usuario," Versión 4.0, Emersis S.A. de C.V., México, 2005.

22. Manuel González C., “Uso del Análisis Probabilístico de Seguridad para el monitor de riesgo antes de mantenimiento de la CLV”, México Nuclear, Volumen 5, Número 2, pp. 11-19, México, 2004.

23. Nathan O. Siu y Dana L. Kelly, “Bayesian parameter estimation in probabilistic risk assessment”, Reliability Engineering and System Safety, Vol. 62, pp. 89-116, 1998.

24. Nuclear Management and Rosource Council, “Severe Accidente Closure Guidelines”, Nuclear Management and Rosource Council (ahora Nuclear Energy Institute), NUMARC 91-04, EE.UU. 1991

25. Nuclear Energy Institute, “Nuclear Energy Institute Severe Accident Mitigation Alternatives (SAMA) Analysis Guidance Document,” Nuclear Energy Institute, NEI 05-01, Revision A, EE.UU., 2005.

26. Nuclear Energy Insitute, "Regulatory Assessment Performance Indicator Guidelines", NEI 99-02, Revisión 6, EE.UU., 2009.

27. Nuclear Energy Institute, “10 CFR 50.69 SSC Categorization Guideline”, NEI 00-04, Revisión 0, EE.UU, 2005.

28. R.B. Worrel, "SETS Reference Manual," U.S. Nuclear Regulatory Commission, NUREG/CR-4213, EE.UU., 1985.

29. Robert A. Bari, et al., “Probabilistic Safety Analysis Procedures Guide,” U.S. Nuclear Regulatory Commission, NUREG/CR-2815, EE.UU., 1985.

30. S.A. Eide, et al., “Industry-Average Performance for Components and Initiating Events at U.S. Commercial Nuclear Power Plants”, U.S. Nuclear Regulatory Commission, NUREG/CR-6928, EE.UU., 2007.

31. Stan Kaplan y John B. Garrick, "On the Quantitative Definition of Risk", Risk Analysis, vol. 1, EE.UU., 1981.

32. U.S. Nuclear Regulatory Commission, "An Approach for Using Probabilistic Risk Assessment in Risk-Informed Decisions on Plant-Specific Changes to the Licensing Basis", Regulatory Guide 1.174, July 1998.

33. U.S. Nuclear Regulatory Commission, “Environmental Protection Regulations for Domestic Licensing and Related Regulatory Functions”, U.S. Code of Federal Regulations, Title 10, Part 51 (10CFR51), EE.UU., 2007.



34. U.S. Nuclear Regulatory Commission, “Individual Plant Examination for Severe Accident Vulnerabilities - 10CFR50.54(f)”, Generic Letter No. 88-20, 23 de noviembre de 1988.

35. U.S. Nuclear Regulatory Commission, “INL Common-Cause Failure Data Base (CCFDB): CCF Parameter Estimations 2005”, Idaho National Laboratory, EE.UU., 2005.

36. U.S. Nuclear Regulatory Commission, “NRC Policy Statement on Probabilistc Risk Assessment”, The Federal Register, 60FR42622, 16 de agosto de 1995.

37. U.S. Nuclear Regulatory Commission, "Reactor Oversight Process (ROP) Basis Document", NRC Inspection Manual, Chapter 0308, EE.UU., 2007.

38. U.S. Nuclear Regulatory Commission, “Reactor Safety Study: An assessment of U.S. commercial reactors”, Draft, WASH-1400, EE.UU., 1974.

39. U.S. Nuclear Regulatory Commission, “Reactor Safety Study: An assessment of U.S. commercial reactors”, Final Report, NUREG 75/14, EE.UU., 1975.

40. U.S. Nuclear Regulatory Commission, "Reactor Risk Reference Document", Draft for Comment, NUREG-1150, EE.UU., 1987.

41. U.S. Nuclear Regulatory Commission, “Requirements for monitoring the effectiveness of maintenance at nuclear power plants”, U.S. Code of Federal Regulations, Title 10, Part 51, Section 50.65 (10CFR50.65), EE.UU., 1999.

42. U.S. Nuclear Regulatory Commission, “Risk-informed categorization and treatment of structures, systems and components for nuclear power reactors”, U.S. Code of Federal Regulations, Title 10, Part 50, Paragraph 50.69 (10CFR50.69), EE.UU., 2004.

43. U.S. Nuclear Regulatory Commission, “Risk-Informed and Performance Based Regulation Plan”, SECY-07-0074, abril, 2007.

44. U.S. Nuclear Regulatory Commission, “Risk-Informed Regulation Implementation Plan”, SECY-00-213, octubre, 2000.

45. U.S. Nuclear Regulatory Commission, “Safety-Related Motor-Operated Valve Testing and Surveillance”, Generic Letter No. 89-10, 28 de junio de 1989.

46. U.S. Nuclear Regulatory Commission, "Significance Determination Process (SDP)", NRC Inspection Manual, Chapter 0609, EE.UU., 2008.

47. U.S. Nuclear Regulatory Commission, “Standard Technical Specifications - General Electric Plants (BWR/6): Specifications”, NUREG-1434, Revisión 3, Volumen 1, EE.UU., 2004.

48. Vilfredo Pareto, “Manual of Political Economy”, Augustus M. Kelley Publishers, ISBN: 9780678008812, EE.UU., 1971.

49. William E. Vesely, et al., "Fault Tree Handbook," U. S. Nuclear Regulatory Commission, NUREG/CR-492, EE.UU., 1981.

50. Woo Sik Jung, et al., “FTREX Features for an Efficient PSA”, International Topical Meeting on Probabilistic Safety Assessment & Analysis PSA 2008, Knoxville, Tennessee, 7-11 de septiembre, 2008.



6 BIBLIOGRAFÍA

Bedford, T. y Cooke, R., “Probabilistic Risk Analysis: Foundations and Methods”, Cambridge University Press, ISBN: 978-0521773201, Reino Unido, 2001.

Green, A.E., et al., “Reliability Technology”, Willey-Interscience, ISBN:0471324809, EE UU, 1972.

Kumamoto, Hiromitsu y Henley, Ernest J. “Probablistic Risk Assessment and Management for Engineers and Scientists”, IEEE Press, ISBN: 0-7803-1051-9, EE.UU. 2000.

Lees, F., “Loss Prevention in the Process Industries - Hazard Idenitification, Assessment and Control”, Butterworth-Heinemann, ISBN: 978-0750615471, Reino Unido, 1996.

McCormick, Norman J., “Reliability and Risk Analysis”, Academic Press, ISBN: 978-0124823600, EE.UU., 1981.

Modarres, M., et al., “Reliability Engineering and Risk Analysis: A Practical Guide”, Second Edition, CRC Press, ISBN: 978-0849392474, EE.UU., 2009.

Okrent, David, “Nuclear Reactor Safety: On the history of the regulatory process”, The University of Wisconsin Press, EE.UU., 1981.

U.S. Nuclear Regulatory Commission, “Policy Statement on Severe Accidents Regarding Future and Existing Plants,” Federal Register, Vol. 50, 8 de agosto de 1985.

U.S. Nuclear Regulatory Commission, “Policy Statement on Safety Goals for the Operation of Nuclear Power Plants,” Federal Register, Vol. 51, 4 de agosto de 1986.



7 AGRADECIMIENTOS

A lo largo de más de treinta años que ha durado la evolución de los trabajos aquí presentados, han sido innumerables las personas cuyo esfuerzo y dedicación han quedado reflejados en los resultados hasta ahora obtenidos; tratar de enumerarlas conlleva el riesgo de omisión, y es necesario limitarse a destacar la participación institucional en algunas etapas decisivas. El autor considera que el detonante para insertar en México esta nueva metodología se da en el Instituto de Investigaciones Eléctricas a finales de los años setenta, por medio de proyectos internos de investigación y un programa de becas de posgrado, coordinado con CONACYT, que permitió la formación en el extranjero de una masa crítica de especialistas. El desarrollo inicial del APS fue contratado por el Proyecto Nucleoléctrico Laguna Verde de la CFE mucho antes de que esta metodología adquiriera un carácter regulatorio, aprovechando la asistencia técnica del Organismo Internacional de Energía Atómica, y contando con la valiosa colaboración de especialistas de la Comisión Nacional de Seguridad y Salvaguardias (CNSNS), el Instituto de Investigaciones Nucleares, y la propia CFE. En los años posteriores, CFE y CNSNS emprendieron una serie de aplicaciones piloto que resultaron en diseminar, en forma incipiente pero decisiva, el punto de vista APS entre los futuros usuarios; es preciso destacar el liderazgo del Ing. Víctor Ragasol Barbey y el Fís. José Luis Delgado Guardado en esta etapa decisiva. Con estos antecedentes se llega a la fase de asimilación del APS en los procesos de la planta. La Central Laguna Verde de la Gerencia de Centrales Nucleoléctricas, con la dedicación de su gente y su nivel de exigencia, no podría ser un terreno más fértil para llevar a cabo esta labor. En esta etapa, el autor ha tenido como contraparte a un pequeño pero eficiente grupo de especialistas y usuarios de APS, encabezado por el Ing. Alfredo Contreras Víquez, quienes han tenido la perseverancia necesaria para que las ideas presentadas aquí se hayan traducido en una realidad cotidiana. Finalmente, el autor desea agradecer a su familia por el aliento y comprensión, sin los cuales estos logros no hubieran sido posibles.



8 SEMBLANZA CURRICULAR DEL AUTOR

Manuel González Cuesta es Ingeniero en Energía por la Universidad Autónoma Metropolitana Unidad Iztapalapa. Hizo estudios de posgrado en la Universidad de California en Los Angeles, EE.UU., obteniendo los títulos de Maestría (M.S., 1982) y Doctorado (Ph.D., 1985), con especialidad en Ingeniería Nuclear. Trabajó en el Instituto de Investigaciones Eléctricas hasta 1991, donde ocupó el cargo de Coordinador de la Especialidad de Confiabilidad de Sistemas Nucleares. En el sector privado, formó y dirigió empresas dedicadas a consultoría y desarrollo tecnológico en análisis de riesgo y planeación de emergencias. Desde 2005 es Técnico Académico Titular “C” de tiempo completo en la Facultad de Ingeniería de la UNAM, donde promueve y participa en proyectos de vinculación con el sector energético. Ha sido responsable de más de 30 proyectos bajo contrato, y es autor de 90 informes técnicos y 20 publicaciones científicas. Es miembro fundador de la sociedad Nuclear Mexicana, pertenece a la Sociedad Nuclear Americana, y participa como revisor en comités editoriales de congresos y revistas científicas. El Dr. Manuel González Cuesta acumula una experiencia continua de más treinta años en análisis de seguridad de plantas industriales, cubriendo análisis probabilístico de seguridad, simulación de consecuencias de accidentes, y planes de respuesta a emergencias. Su contribución en la Central Laguna Verde ha abarcado el desarrollo de los métodos y modelos del análisis probabilístico de seguridad actualmente en uso, la implantación de los procedimientos de operación de emergencia y los niveles de acción de emergencia, la difusión en la central de los conceptos y resultados de riesgo, y la aplicación de éstos en apoyo a la toma de decisiones reguladoras y operativas. Al colaborar además con el organismo regulador y los institutos de investigación, ha contribuido a la formación de grupos de especialistas que actualmente aprovechan estas metodologías y sus resultados. Considera como su principal logro el liderazgo técnico en la evolución del análisis probabilístico de seguridad en la Central Laguna Verde, desde la recepción inicial de asistencia técnica del OIEA, hasta alcanzar una independencia tecnológica que mantiene comunicación con sus pares internacionales para continuar asimilando oportunamente los avances en esta especialidad de constante evolución.

Aprovechamiento del Análisis Probabilístico de Seguridad ... del Analisis... · como borrador...

Documents

Transcript of Aprovechamiento del Análisis Probabilístico de Seguridad ... del Analisis... · como borrador...