Olkiluoto 3:n automaatiosuunnittelu haastoi valvovan viranomaisen

4.6.2019

Olkiluoto 3 -ydinvoimala; Kuva: TVOKäyttöluvan myöntäminen Olkiluodon kolmosyksikölle huipensi helmikuussa Säteilyturvakeskuksen kahden vuosikymmenen valvontatyön. Erityisesti voimalan automaatiojärjestelmien vaatimustenmukaisuuden täyttäminen aiheutti runsaasti haasteita niin toimittajille kuin valvovalle viranomaisellekin.

Eduskunta hyväksyi toukokuussa 2002 valtioneuvoston periaatepäätöksen OL3:n rakentamisesta Säteilyturvallisuuskeskuksen (STUK) antaman alustavan turvallisuusarvion perusteella.

Varsinaisen turvallisuusarvion teko käynnistyi vuonna 2004 TVO:n jätettyä voimalan rakentamislupahakemuksen. Pian tämän jälkeen kävi ilmi, ettei voimalan digitaalisten automaatiojärjes- telmien yleisarkkitehtuurisuunnittelu vastannut asetettuja vaatimuksia esimerkiksi järjestelmien riippumattomuuden ja vikakriteerien osalta.

Tilanne eskaloitui keväällä 2009, kun STUK ilmoitti keskeyttävänsä Olkiluodon rakennustyöt, mikäli automaatiojärjestelmiä ei muuteta ja suunnitella viranomaisen turvalliseksi katsomalle tasolle. Muutama kuukausi tämän jälkeen Areva myöntyi STUK:n vaatimuksiin, ja se ilmoitti suunnittelevansa reaktorin turvajärjestelmät uudelleen vastaamaan paitsi STUK:n myös Ranskan ja Britannian ydinenergian turvallisuudesta vastaavien viranomaisten vaatimuksia.

Käytännössä tämä edellytti reaktorin ohjaus -, valvonta - ja rajoitusjärjestelmien kahdentamista ja turvajärjestelmien ja käyttöä ohjaavien järjestelmien eriyttämistä kokonaan toisistaan. Lisäksi reaktorin digitaalinen pikasulkujärjestelmä on varmennettu kiinteästi kaapeloidulla analogisella turvajärjestelmällä, jolla reaktori voidaan pysäyttää tarvittaessa myös manuaalisesti.

STUK:n apulaisjohtaja Tapani Virolainen; Kuva: Mikko Arvinen

STUK:n apulaisjohtaja Tapani Virolaisen mukaan analogisista automaatiojärjestelmistä digitaalisiin järjestelmiin siirtyminen toi runsaasti uusia osaamisvaatimuksia myös STUK:n henkilökunnalle.

- Kun valvontaprojekti alkoi vuonna 2004, ei ydinalalta löytynyt Suomesta varmaankaan edes kymmentä digitaalisten automaatiojärjestelmien todellista osaajaa. Nyt heitä on meidänkin palveluksessamme jo lähemmäs kymmenen, Virolainen kertoo.

Perusteelliset testaukset edelsivät toimituksia

STUK hyväksyi uuden arkkitehtuurin kuvauksen pääpiirteissään vuonna 2014, mutta edellytti vielä täsmennyksiä suunnitelmien yksityiskohtiin ja analyysia automaatiojärjestelmän mahdollisen vikaantumisen seurauksista. Lisäksi järjestelmät tuli testata perusteellisesti tehtailla ennen laitteiden toimittamista työmaalle.

Alkuvuodesta 2015 STUK valvoi voimalan käyttölaitteiden automaatiojärjestelmän testausta Saksassa, ja kun testit saivat viranomaisen hyväksynnän, toimitettiin laitteet Eurajoelle elokuussa 2015. Turvallisuusjärjestelmän, kuten hätäjäähdytysjärjestelmän ohjauksen, testaus jatkui vielä tämän jälkeen. Nämä laitteet saatiin toimitettua Olkiluotoon vuoden 2016 alussa.OL3 valvomosimulaattori; Kuva: TVOOL3:n valvomon laitosidenttinen harjoitussimulaattori. Kaikki valvomossa työskentelevät henkilöt käyvät järjestelmien käytön simulaattorikoulutuksen ennen voimalan käynnistämistä.

Voimalan automaatiojärjestelmät koostuvat esimerkiksi kenttäinstrumentaatiosta, ohjaus- ja säätöjärjestelmistä sekä automaation käyttöliittymistä. Järjestelmät on luokiteltu kolmelle tasolle. Prosessiautomaatio ohjaa laitoksen toimintaa normaaleissa olosuhteissa, rajoitusjärjestelmä pyrkii korjaamaan laitoksen tilaa poikkeustilanteissa, ja mikäli tämä ei auta, otetaan reaktorin toiminnan pysäyttävät suojausjärjestelmät käyttöön. Osa järjestelmistä on Arevan suunnittelemia ja osa Siemensin.

Kaikki valvomossa työskentelevät henkilöt koulutetaan järjestelmien käyttöön laitosidenttisellä simulaattorilla. Automaatiojärjestelmien koekäyttötestit aloitettiin vuoden 2016 alussa. STUK valvoo koekäyttötoimintaa paikan päällä. Valvonnassa huomiota kiinnitetään erityisesti testien kattavuuteen, jotta kaikki toiminnot tulevat varmasti testatuiksi.

Sähkölaitteiden on kestettävä säteilyä

Automaatiojärjestelmän komponenttien lisäksi myös kaikkien voimalan toiminnan kannalta kriittisissä kohteissa sijaitsevien sähkölaitteiden on oltava ydinvoimalakäyttöön kelpoistettuja. Turvallisuusjärjestelmän laitteilta, kuten jäähdytysvesipumppujen moottoreilta, edellytetään myös ydinteknisten standardien mukaista säteilykelpoistusta.

Kelpoistuksella varmistetaan, että laitteet toimivat kaikissa niille määritellyissä olosuhteissa – eli myös mahdollisissa onnettomuustilanteissa – suunnitellulla tavalla.

- Esimerkiksi sähkökeskuksille ei tehdä teollisuusstandardien mukaan yleensä vaikkapa maanjäristystestejä, mutta Olkiluotoon toimitetut keskukset on testattu tärinäpöydillä. Lisäksi testataan, miten sähkölaitteet kestävät esimerkiksi yli- ja alijännitteitä ja taajuushäiriöitä, Tapani Virolainen kertoo.

Olennaisinta turvallisuuden varmistamisessa on, että kaikki kriittiset järjestelmät on vähintään kahdennettu toisistaan täysin riippumattomiksi järjestelmiksi, ja että järjestelmät on toteutettu mahdollisuuksien mukaan toisistaan poikkeavilla komponenteilla esimerkiksi samanaikaisen hajoamisen riskin pienentämiseksi.

OL3:n reaktorilaitoksen sähkönjakelujärjestelmä on jaettu neljään erilliseen osajärjestelmään. Turvallisuuden kannalta tärkeiden laitteiden sähkönkäyttö on varmennettu dieselkäyttöisillä varavoimageneraattoreilla ja sähkönsyöttömahdollisuudella Olkiluodon kaasuturbiinilaitokselta.

 
Ydinturvallisuuden tutkimusohjelma apuna

Järjestelmien toimivuutta erilaisissa poikkeustilanteissa tutkitaan teoriatasolla esimerkiksi Suomen kansallisessa ydinturvallisuuden tutkimusohjelma SAFIRissa (Safety of Nuclear Power Plants – Finnish National Research Programme). Ohjelmaan kuuluvassa SAUNA-tutkimusprojektissa (Integrated safety assessment and justification of nuclear power plant automation) on kehitetty menetelmiä automaation kokonaisturvallisuuden arviontiin. Yksittäisvikojen lisäksi on pyritty huomioimaan tapahtumaketjut, joissa esimerkiksi automaatiolaitteen vikaantumiseen yhdistyy inhimillinen virhe, tukijärjestelmien pettäminen tai ohjelmiston suunnitteluvirhe.

Hankkeen projektipäällikön, VTT:n erikoistutkija Antti Pakosen mukaan mallintarkastus (model checking) on osoittautunut tehokkaaksi menetelmäksi automaatio-ohjelmistojen arviontiin. VTT on STUK:n toimeksiannosta soveltanut menetelmää Olkiluoto 3:n reaktorin suojausjärjestelmän tarkistamiseen.

- Mallintarkastuksen avulla voidaan matemaattisesti todistaa, että järjestelmästä tehty malli täyttää annetut toiminnalliset vaatimukset. Menetelmä täydentää testausta, jossa haasteena on aina testien kattavuus. SAUNAssa on kehitetty keinoja laajentaa mallintarkastuksen soveltamismahdollisuuksia siten, että pelkän ohjelmiston lisäksi voidaan huomioida myös automaatiolaitteiston vikaantumismekanismeja, Pakonen kertoi Espoossa 21.3. järjestetyssä SAFIR-ohjelman tutkimusseminaarissa.OL3 lehdistötilaisuus; Kuva: Mikko ArvinenOL3:n turvallisuusvalvonnan projektipäällikkö Minna Tuomainen kertoi voimalalle myönnetystä käyttöluvasta STUK:n tiloissa Helsingin Roihupellossa helmikuussa järjestetyssä lehdistötilaisuudessa.

Niin ikään hankkeeseen kuuluvassa ESSI-projektissa (Electric systems and safety in Finnish nuclear power plant) on puolestaan tutkittu Suomessa yleisiltä salamaniskuilta suojautumista. Pääperiaatteiltaan ydinvoimalan salamasuojaus ei poikkea muiden voimalaitosten ja sähkön jakelujärjestelmän suojausperiaatteista, mutta automaatiota täynnä olevassa laitoksessa pitää varautua ylijännitteiden lisäksi erityisesti sähkön laadun vaihtelulta suojautumiseen ukonilmojen aikana.

 
Kahden vuosikymmenen valvontaprojekti

OL3:n turvallisuusvalvonnan projektipäällikkö Minna Tuomaisen mukaan OL3:n rakentamisen valvonta on ollut STUK:lle työläs, mutta samalla varsin selkeä tehtävä. Valvonnan resurssointi on säädetty sikäli mutkattomaksi, että STUK saa laskuttaa luvanhaltijoilta riittämäksi katsomansa valvontatyön todelliset kustannukset.

- Kaikki valvonta perustuu lainsäädäntöön ja siihen nojaaviin tarkempiin määräyksiin ja ohjeisiin. Tässä vaiheessa voimme todeta, että laitos ja sitä käyttävä organisaatio TVO täyttävät suomalaiset turvallisuusvaatimukset, Tuomala kertoi STUK:n järjestämässä lehdistötilaisuudessa helmikuussa.

Valtioneuvosto myönsi OL3:lle käyttöluvan 7. maaliskuuta STUK:n puoltavan lausunnon perusteella. Seuraavaksi vuorossa on viimeisten käyttötestien saattaminen loppuun ja polttoainesauvojen lataaminen reaktoriin.

Myös vanhojen automaatiojärjestelmien uusimisessa riittää haasteita

Uuden kolmosreaktorin valmistumisen jälkeen Olkiluodossa käynnistyy merkittävä ykkös- ja kakkosreaktoreiden automaatiojärjestelmien uudistamishanke. Suomalaisten ydinvoimaloiden turvallisuutta seuraavan, riippumattomista asiantuntijoista koostuvan Ydinturvallisuusneuvottelukunnan (YTN) raportin mukaan Olkiluodon ykkös- ja kakkosreaktorin suojausautomaation prosessimittaus- ja laiteohjausosuudet on kaavailtu uusia samalla tekniikalla, kuin millä ne on alkujaan tehty.

YTN:n mukaan TVO:n kannattaisi kuitenkin harkita digiaikaan siirtymistä myös vanhoissa yksiköissä, sillä vanhaa, 1970-luvun lopun analogista reletekniikkaa edustaviin laitteisiin on jatkuvasti hankalampaa saada varaosia ja eri teknologiasukupolvia edustavien järjestelmien rinnakkaiseen käyttöön liittyy monia muitakin haasteita. Lisäksi analogisten järjestelmien ylläpito saattaa muodostua haastavaksi myös niiden luotettavaa toimintaa seuraaville viranomaisille vanhojen reletekniikan osaajien siirtyessä eläkkeelle.

Osa Fortumin Loviisan voimalaitoksen automaatiojärjestelmistä uusittiin digitaalisiksi vuosina 2016 – 2018 STUKin mukaan hyvällä menestyksellä.