Copenhagen Atomics Kontrolsystemer (del 1)
For to uger siden var jeg så heldig, at et par drømme gik i opfyldelse. Det er sku fedt når det lykkes og det er fedt at være en del af dem. Den første ”drøm” var at IDA fremtidsteknologi kom til os og spurgte, om vi ville hjælpe med at stable en event om thoriumenergi på benene. Det endte med at være den bedste event om thoriumenergi og MSR i Danmark til dato. For mig markerer dette en kæmpe milepæl. Jeg har været med til at starte en lang række ting i Danmark om thoriumenergi, og det har været et kæmpearbejde og push hele vejen. Denne IDA event var første gang, jeg oplevede et meget kraftigt pull, og jeg vil gerne sige en kæmpe tak til IDA Universe for at stable denne event på benene. Der er ved at blive lavet et antal videoer fra dagen, og her er et par af dem:
Resten af denne blog vil jeg bruge på at forklare, hvordan sikkerheden omkring fremtidens atomkraft kan opbygges. Mere specifikt så handler det om 2 ting i forhold til driften af en reaktor. 1.) Walk-away-safety 2.) Priminister-safety.
Kort fortalt så er walk-away-safety et princip om, at en reaktor skal kunne lukke sig selv sikkert ned, hvis alle mennesker og al strøm forsvinder fra reaktorens kontrolsystemer. Der er en række MSR startups, som alle siger, at de vil lave deres reaktordesigns walk-away-safe heriblandt Copenhagen Atomics. Gammeldags atomkraft er ikke walk-away-safe. Det så vi tydeligt i Fukusima.
Kort fortalt så er priminister-safety et princip om, at ingen mennesker skal kunne manipulere reaktoren til at komme i en situation, hvor den bliver farlig. Det må ikke være muligt for mennesker, lige meget hvor mange stjerner de har på skulderen, at regulere reaktoren på en måde, som ikke var godkendt og ind-programmeret allerede før den blev startet. Så vidt jeg ved, så var det ThorCon Power, som først introducerede dette sikkerhedskoncept, og Copenhagen Atomics har også vedtaget at overholde priminister-safety princippet. Jeg forventer, at den del af de andre MSR startups også vil følge tråden.
I efteråret besøgte jeg det nyeste atomkraftværk i Indien, og vi blev bl.a. vist igennem kontrolrummet. Vi måtte ikke tage billeder, derfor har jeg været nødt til at sætte et andet billede ind her: Værket, vi besøgte, var under 5 år gammelt.
Rummet, vi besøgte, havde kontrol over to stk. 500 MWe reaktorer, og rummet var på ca. 100 m2, og der arbejdede ca. 20 mand i kitler. Der var mindst 100 skærme, og jeg gætter på langt over 1000 knapper foruden alle de kontroller, som kunne styres fra de mange, mange computere. Altså ca. 4 gange så stort som billedet ovenfor.
Jeg har mere end 5 års erfaring med IT outsourcing bl.a. til Indien og har utallige gange oplevet, hvordan Indere bare siger ja, selv om de ikke rigtig har forstået et budskab. Der står jeg så, i kontrolrummet på et atomkraftværk, som øjensynligt er landets stolthed. Alle ved at det er menneskeligt at fejle. Hvis man spørger sig selv, om flere knapper øger eller formindsker sandsynligheden for fejl, så er det ikke svært at indse; Hvis man skal undgå uheld, så skal man ikke putte 100 skærme og 1000 knapper og 20 Indere i et sådant rum.
Lad mig gøre det HELT klart! Rum som dette og især det design og den filosofi, som ligger bag, gør mig yderst utryg ved hele industrien og de folk, som arbejder der i dag. Jeg synes det er skræmmende, at de ikke selv kan se, at pris og kompleksitet i de gamle atomkraftværker er kørt ud på et sidespor, hvor de fleste beslutninger bedst kan betegnes som groteske. Desuden så er der mig bekendt ingen af de 800 reaktorer, vi har i verden i dag, som er hverken walk-away-safe eller priminister-safe. Jeg begræder denne udvikling og håber, vi kan gøre det bedre i fremtiden.
Nå men det er jo let at kritisere andre, så lad mig forklare, hvordan vi ville gøre. Walk-away-safe er det vigtigste princip, og det skal sikre at næste lige meget hvad der går galt, så vil vores Copenhagen Atomics Waste Burner stille og roligt lukke sig selv ned. Det kræver ikke, at nogle trykker på en knap, eller at der er strøm til at styre pumper eller ventiler. Vi ønsker, at hvis temperaturen stiger over et givet niveau, så skal reaktoren lukke sig selv ned. Desuden må kædereaktionen først startes, når der er et stabilt tryk i vores system. Hvis trykket falder, kunne det indikere, at systemet er utæt et sted. Hvis trykket falder eller stiger uden for et forudbestemt interval under driften, så skal reaktoren lukke sig selv ned. Ikke noget med mennesker og elektronik. Rent fysik og mekanik.
Freeze plug er en slags ventil, som holdes lukket ved, at man køler på røret udefra og derved holder en klump smeltesalt frosset inde i røret og agerer lukket ventil. Hvis temperaturen i salten og rørene oven for freeze pluggen stiger over et vist niveau, vil man ikke længere kunne holde salten frosset og freeze pluggen smelter og åbner så fuelsalten løber ned i dumptanken, og hele reaktoren går i stå.
Overheat valve er en slags ventil som åbner, hvis væsken foran ventilen bliver over en vis temperatur. Den findes i en lang række udformninger forskellige steder i industrien. Men de kan jo fejle, hvorfor vi foreslår, at man har flere af dem i parallel og gerne også i parallel med en freeze plug.
Overtryksventiler er en slags ventiler, som åbner, hvis trykket foran dem bliver for højt eller for lavt. Copenhagen Atomics Waste Burner er designet sådan, at hvis trykket i dumptanken falder under et vist niveau, så kan reaktoren slet ikke pumpe væsken rundt, og så går den i stå. Eller rettere, hvis der ikke er det rigtige tryk i dumptanken og i vacuumtanken, så vil disse overtryksventiler åbne, og salten vil flyde tilbage i dumptanken, og reaktoren vil gå i stå.
Der er mulighed for endnu to sikkerhedssystemer i walk-away-safe pakken. I det reaktordesign, som vi har skitseret ovenfor, vil kædereaktionen gå i stå, hvis det tunge vand længst til venstre forsvinder eller sænkes under et vist niveau. Dette vil ligeledes føre til, at reaktoren gå i stå. Vi skal altså have endnu et antal ventiler, som virker ved overtryk eller overheat, og som åbner og dumper det tunge vand, hvis trykket eller temperaturen ikke er inden for det normale sikkerhedsinterval.
Den sidste mulighed er, at man sprøjter en væske ind i enten fuel-salten eller det tunge vand, som har meget stor tilbøjelighed til at indfange neutroner. Når denne væske kommer i nærheden af kædereaktionen, vil kædereaktionen gå i stå med det samme og reaktoren vil lukke sig selv ned. Den ventil, som lukker den neutronslugende væske ind, skal, lige som de øvrige tidligere, være styret af tryk eller temperatur.
I Copenhagen Atomics er det vores opgave at teste forskellige kombinationer af disse ventiler og at anbefale en kombination, som vi forventer vil give 99.999xxx % sandsynlighed for at virke, hvis noget går galt. Det er så op til en myndighed at kontrollere og stole på det, vi lægger frem.
Det er nok vigtigt lige at sige at walk-away-safe princippet ikke siger noget om, at reaktoren skal lukke sig selv sikkert ned, hvis der sker en eksplosion fra en vulkan eller fra bomber eller andet udefra kommende, som ødelægger rør eller ventiler. Men til forskel fra andre reaktortyper, så har thermal molten salt reaktor den fordel, at de har en stor negativ temperaturkoefficient. Det betyder, at kædereaktionen aftager, hvis temperaturen af fuel-salten stiger. Det vil sige, hvis man ikke aktivt køler på salten udefra, så vil den også gå i stå. Med andre ord, skal vi mennesker gøre noget aktivt for at fjerne varmen fra systemet for at holde processen i gang. Så hvis blot man slukker for en pumpe i et af de sekundære loops, vil det hele også gå i stå. Dette er en unik feature, som desværre ikke findes i de gammeldags atomkraftværker.
Det er klart at mennesker skal kunne skrue op og ned for den effekt, der kommer ud af en reaktor, og hvis noget går galt, skal de omgående kunne lukke reaktoren ned. Altså nøjagtig som speederen og bremsen i en Tesla. I Copenhagen Atomics mener vi ikke, det skal være muligt at skrue op og ned for noget andet. Hvis der skal skrues på andre parametre, som måske forbedrer performance, så skal det ikke ske på en driftreaktor, men ske i R&D-afdelingen i nogle meget kontrollerede forsøg. Når R&D har fundet frem til noget, som er bedre, kan de godt opdatere styre-softwaren i reaktoren på samme måde, som Tesla opdaterer software i bilerne på vejen, når de er helt sikre på, at denne softwareupdate er sikker.
Nu nærmer vi os pointen i hele denne artikel. Nemlig, at hvis et menneske kan se på en skærm, at en værdi er kommet ud i det røde område og beslutter at lukke reaktoren ned, så kan software også gøre dette og formentlig meget hurtigere og med mindre fejlmargin. Vi mener derfor, det er usandsynligt, at de mennesker i kontrolrummet i en Copenhagen Atomics Waste Burner nogensinde kommer til at trykke på nogen knapper.
Outputeffekten styres bedst af dem, som styrer elnettet. De sender blot en kommando om, hvor meget effekt de gerne vil have ud. Hvis noget går galt, må mennesker ikke kunne forhindre reaktoren i at lukke sig selv sikkert ned aka. Priminister-safty. Per definition findes der ikke nogen tænkelig knap, som har en fornuftig eller positiv effekt, som noget menneske kan skrue på under driften. Alle sådanne ændringer skal være grundig gennemtestet i R&D afdelingen hos Copenhagen Atomics, før de sættes i drift.
Jeg er godt klar over, at der er en meget stor del af befolkningen, som ikke stoler på atomkraft og heller ikke på computere, og de vil naturligvis opponere meget kraftigt, hvis vores atomreaktor ikke har et kontrolrum. Det er simpelthen imod deres menneskelige intuition, at noget sådan kan være sikkert. Så vi har et kompromis til jer:
Der kommer én knap i kontrolrummet:
Samtidig kommer der alle de skærme og måleværdier, som disse mennesker kan ønske sig. Hvis menneskene i kontrolrummet ser nogle tal på skærmene, som gør dem utrygge, så kan de når som helst trykke på STOP- knappen, og reaktoren vil øjeblikkeligt lukke ned, simpelthen ved at en eller flere af de ventiler, som vi omtalte tidligere, åbner.
Til gengæld for dette feel-good-kontrolrum, har vi to ønsker:
1.) Hvis et menneske nogen sinde trykker på STOP-knappen, så må man ikke starte reaktoren i normal drift igen, før det er blevet undersøgt, hvad der ville være sket, hvis mennesket ikke havde trykket STOP. Hvis det viser sig, at der var sket noget farligt, så kræver vi, at ALLE reaktorer af den type bliver stoppet øjeblikkeligt, indtil fejlen er rettet, og vi igen tror på, at stopknappen er unødvendig.
2.) Alle de tal, som kontrolrumstilhængeren gerne vil have vist på skærmene, vil vi også have mulighed for at gemme på en ekstern harddisk og evt. vise på andre skærme et andet sted i verden. Altså en slags halvoffentlig adgang til driftdata for alle reaktorer. En slags black box, som gør det muligt at forstå, hvad der er sket, hvis noget går galt, eller hvis nogle forsøger på noget andet end fredelig energiproduktion.
I del 2 af denne blog, vil jeg komme ind på, hvordan vi påtænker, at designe et sikkert system til kontrol af sådan en reaktor med walk-away-safety og priminister-safety og med et STOP-knapkontrolrum med remote logging. Det viser sig nemlig, at det ikke kun er i atomreaktorer, at disse principper er ønskværdige.
Tusind tak til Søren Nielsen for hjælpen med denne blog.
