1
SEGURANÇA É UM ESTADO
ONDE O RISCO É ACEITÁVEL
RISCO É O CONJUGADO
PROBABILIDADE x GRAVIDADE
2
SE MILITARMENTE EFICIENTE ...

JUSTIFICÁVEL

SE AMBIENTALMENTE SEGURO ...

ACEITÁVEL
3
EFETIVA DISSUASÃO DO FRACO AO FORTE

MILITARMENTE JUSTIFICÁVE L  OBTENÇÃO

NORMALIZAÇÃO E REGULAMENTAÇÃO
PARA GARANTIA DA SEGURANÇA

SOCIALMENTE ACEITÁVEL  LICENCIAMENTO
4
SIMILARES ÀS CENTRAIS NUCLEARES, MAS:
INVENTÁRIO RADIOATIVO
AGRESSÕES DO AMBIENTE
RESTRIÇÕES DE ARQUITETURA
SEGUIMENTO DE CARGA
 SEGURANÇA GLOBAL DO NAVIO 
5
SEMELHANÇA
OBJETIVO
ABORDAGEM
REGULAMENTAÇÃO
DIFERENÇA DE FOCO
INTEGRIDADE
REATOR
SOBREVIVÊNCIA
NAVIO
6
AÇÕES DE INTERFACE
7
LIBERAÇÃO DE
PRODUTOS DE
FISSÃO
FAO=4,2x10-6
FALHA DA
CONTENÇÃO
FAO=1,1x10-6
ACIDENTE DE
PERDA DE
REFRIGERANTE
FAO=1x10-7
FUSÃO DO
NÚCLEO
FAO=1x10-6
SOBRE-PRESSÃO
NO CIRCUITO
PRIMÁRIO
FAO=1x10-6
ACIDENTE DE
PERDA DE
REFRIGERANTE
FAO=1x10-4
FUSÃO DO
NÚCLEO
FAO=1x10-4
SOBRE-PRESSÃO
NO CIRCUITO
PRIMÁRIO
FAO=1x10-3
TRANSIENTE
ANORMAL
FAO=10
TRANSIENTE
ANORMAL
FAO=10
FALHA DA
CONTENÇÃO
FAO=1x10-7
FUSÃO DO
NÚCLEO
FAO=3x10-6
FUSÃO DO
NÚCLEO
FAO=1x10-6
ACIDENTE DE
PERDA DE
REFRIGERANTE
FAO=3x10-4
ACIDENTE DE
PERDA DE
REFRIGERANTE
FAO=1x10-4
FALHA DO
CIRCUITO
PRIMÁRIO
FAO=3x10-4
FALHA NO
CIRCUITO
PRIMÁRIO
FAO=1x10-4
FALHA DA
CONTENÇÃO
FAO=3x10-4
AVARIA
ESTRUTURAL
DO NAVIO
FAO=3x10-3
COLISÃO
ENCALHE
NAUFRÁGIO
FAO=2x10-3
DESLIGAMENTO
AUTOMÁTICO
FAO=20
FALHA EM CIRCUITO
DE SEGURANÇA
NUCLEAR
FAO=10
AGRESSÃO
INTERNA OU
EXTERNA
FAO=1x10-3
ERRO DE
NAVEGAÇÃO
FAO=10
TRANSIENTE
ANORMAL
FAO=10
8
CUMPRIMENTO DAS METAS
RACIONALIZAÇÃO DA ALOCAÇÃO DE MEIOS
APLICAÇÃO DO PROCEDIMENTO DE ANÁLISE

NECESSIDADE DE UMA DOUTRINA:

CONJUNTO DE PRINCÍPIOS QUE
SERVEM DE BASE PARA O
GERENCIAMENTO DE RISCOS

9
OBJETIVOS
PRINCÍPIOS
BÁSICOS
CRITÉRIOS GERAIS
REQUISITOS ESPECÍFICOS
PROCEDIMENTOS DE VERIFICAÇÃO
10
• Riscos Aceitáveis:
– Limites indicativos da
probabilidade máxima
de ocorrência de
conseqüências
inaceitáveis
• Diferenciação:
– incidência das
conseqüências
– posição geográfica
• Aplicação:
– disponibilidade da
instalação nuclear
– disponibilidade do navio
– conseqüências
radiológicas para
tripulação
– conseqüências
radiológicas para o
público
11
CATEGORIA
SO 1
SO 2
SO 3
SO 4
SO C
SITUAÇÃO DE OPERAÇÃO
normal
anormal: operação degradada (incidentes menores)
falha (incidentes graves)
acidental hipotética (acidentes postulados)
complementar (acidentes severos não postulados)
12
CATEGORIA
FAO
SO 1
SO 2
SO 3
>1
1 a 10-2
10-2 a 10-4
SO 4
10-4 a 10-6
SO C
CATEGORIA
SO 1
SO 2
< 10-6
FAO
>1
1 a 10-2
SO 3
10-2 a 10-4
SO 4
10-4 a 10-6
SO C
< 10-6
DISPONIBILIDADE DA
INSTALAÇÃO NUCLEAR
total
limitação transitória ou permanente
indisponibilidade total de curta duração
(recuperação)
indisponibilidade total podendo ser de
longa duração (não recuperação)
mínima perda integridade das barreiras
DISPONIBILIDADE DO NAVIO
plena capacidade operacional
capacidade operacional reduzida ou
necessitando intervenção da tripulação
capacidade operacional comprometida,
podendo ir até a necessidade de retorno
prematuro à base ou incapacidade de
mergulhar
grande degradação do material, podendo ir
até a incapacidade de navegar por meios
próprios
perda do navio
13
CATEGORIA
FAO
SO 1
>1
SO 2
1 a 10-2
SO 3
10-2 a 10-4
SO 4
10-4 a 10-6
SO C
< 10-6
CONSEQÜÊNCIAS
RADIOLÓGICAS
 doses ALARA para a tripulação
 dose desprezível* para o público
 rejeitos mínimos para o ambiente
 doses para a tripulação e rejeitos para
o ambiente significativamente abaixo dos
limites regulamentares
 dose desprezível para o público
 doses para a tripulação e rejeitos para
o ambiente dentro dos limites
regulamentares
 dose desprezível para o público
 condução das instalações possível,
porém com restrições sobre o pessoal
 rejeitos para o ambiente podem
exceder limites, porém sem resultar em
significativo aumento de doses para o
público
 doses para o público abaixo dos
limites regulamentares
* entende-se como desprezíveis doses significativamente inferiores aos níveis de irradiação
natural das populações que potencialmente poderiam incorrer em conseqüências radiológicas
de acidentes.
14
Assegurar uma disponibilidade suficiente da
instalação para garantir a segurança do navio
e portanto a segurança da instalação nuclear
Confinar a fontes radioativas para assegurar
proteção contra irradiação e contaminação
para tripulação, pessoal de manutenção,
público e meio-ambiente
Controlar e parar a reação em cadeia
Remover a potência residual do núcleo
15
A
U
M
E
N
T
O
D
O
R
I
S
C
O
CENÁRIO
ACIDENTAL
AÇÕES DE
SEGURANÇA
OPERAÇÃO
NORMAL
SEGURANÇA
INTRÍNSECA
(INTEGRADA)
EVENTO
INICIALIZADOR
SEGURANÇA
IMPLANTADA
EVENTO
INDESEJADO
SALVAGUARDA
ACIDENTE
EMERGÊNCIA
R
E
D
U
Ç
Ã
O
D
O
R
I
S
C
O
P
R
E
V
E
N
Ç
Ã
O
P
R
O
T
E R
Ç E
à S
O S
E
G
U
R
O
16
•
•
•
•
•
Escolha das condições iniciais
Métodos de cálculo qualificados
Critério de falha simples
Eventos agravantes
Cenários Complementares
17
EFICAZES: RISCO RESIDUAL ACEITÁVEL
EFICIENTES: ALOCAÇÃO ÓTIMA DE RECURSOS
SEM COMPROMER O DESEMPENHO DA MISSÃO
18
Sucesso Técnico da Missão
do Submarino
Segurança do Submarino,
das Pessoas e do Ambiente
Cumprimento dos
critérios de desempenho
funcional, atendendo às
necessidades de emprego
Não ocorrência de evento com
conseqüências graves, dentro
dos três casos possíveis:
- missão cumprida
- missão degradada
- missão fracassada
DISPONIBILIDADE
SEGURANÇA
MANUTEBILIDADE
CONFIABILIDADE
19
• A confiabilidade pode entrar em conflito
com a seguridade.
• Isto ocorre em situações onde se torna
necessário priorizar entre
–a possibilidade de sucesso da missão e
–a possibilidade de ocorrência de evento
catastrófico
Exemplo: relé de disparo20
• Dispositivos implantados a título de aumentar
a disponibilidade (redundâncias, interligações)
podem dar origem a eventos inicializadores de
acidentes, comprometendo a segurança
• Dispositivos implantados a título de aumentar
a segurança (intertravamentos, ações de
desligamento automático) podem comprometer
a disponibilidade e, portanto, a missão
21
O PROBLEMA:
Um navio no mar só se encontra em segurança com
respeito aos diversos riscos operativos e de navegação,
se ele puder dispor rapidamente da energia nuclear.
Se o fornecimento de vapor não é assegurado, a
manobrabilidade do navio, e sua própria segurança,
que está diretamente associada à segurança nuclear,
pode ser gravemente afetadas.
A segurança nuclear depende da segurança do navio,
que depende da disponibilidade de energia.
22
A INSTALAÇÃO:
Reatores PWR de 50 a 100 MWth equipam cerca de
400 submarinos (lançadores de mísseis balísticos,
lançadores de mísseis de cruzeiro, de ataque), navios
aeródromos e cruzadores das marinhas dos EUA,
Rússia, Grã-Bretanha, França e China (e alguns
poucos navios mercantes)
 maioria de PWR SEGREGADOS (loop type)
 alguns PWR INTEGRADOS
23
OS SUBMARINOS:
Um único reator assegurando propulsão e energia
elétrica “hotel”
Transientes bruscos implicando em grandes margens
de projeto e operação em condições normais
Limitada capacidade de baterias de emergência para
propulsão e “hotel”
POSSÍVEL PERDA DO NAVIO EM CASO DE
INDISPONIBILIDADE TOTAL DA INSTALAÇÃO
PRINCIPAL (especialmente em imersão profunda)
24
OS PORTA-AVIÕES:
MAIS DE UM REATOR ASSEGURANDO
PROPULSÃO, ENERGIA ELÉTRICA “HOTEL” E
LANÇAMENTO DE AVIÕES (pelo menos duas
instalações independentes)
Possibilidade de perda do navio em indisponibilidade
total da propulsão é bem menor à dos submarinos
A disponibilidade de pelo menos um reator é
indispensável para lançamento e recuperação de
aviões
25
A DISPONIBILIDADE:
Instantânea (imediata):
 Confiabilidade do sistema a atender à demanda
num dado o instante, permitindo ao
comandante enfrentar situações de emergência
Potencial (estatística):
 Confiabilidade e manutebilidade do sistema ao
longo do tempo
Pós-acidental (degradada):
 Modos de operação alternativos, com
desempenho reduzido, por tempo limitado
26
A SEGURANÇA:
 COMPARADO COM UMA CENTRAL NUCLEAR EM UM
MESMO EVENTO, AS CONSEQÜÊNCIAS RADIOLÓGICAS
SÃO MUITO MENORES (razão de inventários radioativos ou
potências térmicas)
 CONSEQÜÊNCIAS DEPENDEM DA POSIÇÃO DO NAVIO
(porto, litoral, ao largo) - NA MAIORIA DAS SITUAÇÕES, SÓ
A TRIPULAÇÃO É AFETADA
 Em projeto, os objetivos gerais e segurança (OGS) quantificados
constituem o limite para concessões à disponibilidade
 Em operação, a redução do risco presente (real) é confrontada
ao aumento do risco potencial (probabilístico)
27
O PROJETO:
a primeira falha sobre um sistema importante para a
disponibilidade ou para a segurança deverá ser, ou sem
efeito sobre a potência disponível, ou excepcionalmente
compensável por limitação da potência máxima
autorizada, sem mudança das margens de segurança
 o primeiro nível de automatismos destinados a manter
a instalação dentro do domínio de funcionamento
autorizado deverá ser constituído de ações corretivas
reversíveis, que devem ser concebidas para permitir, a
cada instante, o máximo de potência possível,
considerando o estado conhecido da instalação
28
O PROJETO:
como último recurso, deverão existir ações automáticas
de proteção e de segurança da instalação irreversíveis,
tais como a queda de todos os absorvedores de controle
do núcleo (SCRAM) ou o desencadeamento da injeção
de segurança; nestes casos, uma alta confiabilidade
deve ser buscada com respeito ao desencadeamento
intempestivo destas ações
no caso de submarinos, uma manobra de urgência
indispensável para a segurança do navio deve ser
possível mesmo após o SCRAM; utiliza-se neste caso a
energia térmica residual remanescente
29
O PROJETO:
no caso de impossibilidade de autorizar a plena
potência, a manutenção da instalação numa
potência reduzida, permitindo a autonomia elétrica
do navio e uma propulsão mínima deverá ser
garantida
os automatismos de fechamento total das válvulas
de bloqueio de vapor dos geradores de vapor
deverão ser estritamente limitados.
30
A OPERAÇÃO:
ESPECIFICAÇÕES TÉCNICAS: limitações da potência
do reator, com o objetivo de limitar a potência residual após
desligamento, no caso de uma indisponibilidade que afete a
função de resfriamento do núcleo em caso de acidente
DECISÕES EM TEMPO REAL: disposições
particulares, em condições não preconizadas pelas ET,
baseadas nos seguintes critérios
valor do desvio com relação à conformidade do equipamento
possibilidade e tempo para correção do desvio
duração de funcionamento desejável
avaliação de riscos
31
AS CONCLUSÕES:
A disponibilidade de uma instalação nuclear de
propulsão naval está submetida a dois tipos de
requisitos: a segurança do navio e de sua
tripulação, e a missão operativa.
Os objetivos associados à disponibilidade
constituem então dados de entrada para o projeto e
para a operação, ao mesmo título que os Objetivos
Gerais de Segurança nuclear (OGS).
32
AS CONCLUSÕES:
A análise de segurança deve fornecer os
elementos de apreciação sobre as margens
disponíveis com respeito OGS e aos critérios
de relativos as barreiras contra a liberação
para o navio e meio-ambiente.
Estas margens, analisadas em conjunto com
a probabilidade dos acidentes hipotéticos,
permitem fixar procedimentos que
autorizem, por curtos períodos a geração
potência em emergência.
33
AS CONCLUSÕES:
 Cabe ao Comandante do navio, ou a seu
representante hierárquico, arbitrar, em
tempo real no mar, os conflitos eventuais
entre disponibilidade e segurança, dentro
do contexto das autorizações gerais
emitidas pelas Autoridades de Segurança
para condições normais de paz
34
35
• capacidade de um sistema cumprir uma função
requerida, dentro de condições preestabelecidas,
durante um período determinado
– R (T) = P (S sem falha sobre [0, T] )
– Confiabilidade operacional é uma estatística
– Confiabilidade extrapolada é o resultado de um modelo
de processo estocástico
– Confiabilidade previsional é uma probabilidade subjetiva
cada uma tem uma utilização específica que não
deve ser confundida
36
• capacidade de um sistema estar em estado de cumprir uma
função requisitada dentro de condições preestabelecidas e
num instante determinado
– disponibilidade instantânea:
• permite enfrentar uma situação de urgência
– disponibilidade pós-incidental:
• capacidade de sobrevivência; continuar a desempenhar suas funções, de
forma degradada ou parcial, após um incidente
• A (t) = P (S sem falha em t)
– disponibilidade estatística:
• capacidade de funcionar de modo contínuo durante um intervalo de
tempo determinado
• A (T) = (Operação real / Operação potencial) [0, T]
37
• capacidade de um sistema ser mantido no ou
restabelecido ao estado de cumprir uma função
requisitada
– quando atividades de manutenção são realizadas dentro de
condições preestabelecidas, seguindo um conjunto de
procedimentos e meios prescritos
– M (T) = P (S é reparado sobre [0, T])
• Manutenção:
– Preventiva, preditiva, corretiva
38
• capacidade de um sistema evitar a ocorrência
de eventos críticos
–para o seu funcionamento ou
–para seus operadores, público e meio-ambiente
• dentro de condições preestabelecidas,
–S (T) = P (E sem falha  {C} em [0, T] )
39
FALHA EM
ATRASO
Falha em
atraso e avanço
0,3
Pr(2-Pr)
SERIE
SERIE MEIO
2
Pr(1+Pr-Pr
)
PARALELO
ELEMENTO
Pr
SIMPLES
SERIE
2
2
Pr (2-Pr)
PARALELO
PARALELO
22
Pr (2-Pr )
SERIE
PARALELO
2
Pr (2-Pr)
2
MEIO SERIE
PARALELO
Pr
Pa
2
Pa
0,3
FALHA EM
AVANCO
40