En este artículo se desgranan los hitos más relevantes del CSN desde su creación en 1980, para ello se utilizarán los incidentes y accidentes más relevantes ocurridos en el mundo como jalones que marcan el camino y la evolución de la seguridad nuclear en estos últimos cuarenta años. Este artículo complementa el publicado en 2010 y titulado “Treinta años de seguridad nuclear (1980- 2010)” aportando la evolución de conceptos, problemas y soluciones a diferentes problemas de seguridad nuclear. A través de cinco accidentes muy importantes veremos cómo la visión y el enfoque de la seguridad nuclear ha pasado desde una gran confianza en la fiabilidad de los sistemas y equipos a los problemas de factores humanos y aspectos organizativos. Finaliza el artículo con los retos y desafíos más importantes para los próximos años relacionados con la seguridad nuclear de las centrales nucleares españolas. 

Texto: Rafael Cid Campo | director técnico de seguridad nuclear | José Mª Balmisa García-Serrano | jefe de la unidad de apoyo del Director Técnico 

D esde un punto de vista histórico, las centrales nucleares españolas se pueden agrupar en tres generaciones. La primera agruparía a las centrales cuya potencia no superaba los 500 Mwe (José Cabrera, Garoña y Vandellós I); la segunda generación corresponde a las centrales que tienen una potencia de unos 1000 Mwe (Cofrentes, Almaraz I y II y Ascó I y II); y la tercera la forman Trillo y Vandellós II. La diferencia fundamental entre la segunda y tercera es que las de segunda generación se construyeron considerando una cuerpo global y completo de normativa, básicamente del país de origen del proyecto y las de la tercera generación aplicaron en su diseño, además, las lecciones aprendidas del accidente de la central Three Mile Island (TMI) en 1975. 

Antes de la creación del CSN, en 1980, España tenía un plan ambicioso de desarrollo nuclear que, al igual que en EE. UU., se vio potenciado por la crisis del petróleo de 1973. 

El marco normativo desde mediados de los 60 hasta la creación del CSN en 1980 consistía básicamente en la Ley de Energía Nuclear de 1964, en la que se mezclaban aspectos de seguridad con otros de política energética. Posteriormente, en 1972 se publicó el Reglamento de Instalaciones Nucleares y Radiactivas (RINR) que desarrollaba muchos aspectos del marco administrativo de la seguridad nuclear. Fue con este marco, y con la Junta de Energía Nuclear (JEN) como regulador, como se licenciaron José Cabrera, Santa María de Garoña y Vandellós I. 

Dentro de un contexto internacional, desde el año 1953 con el programa “Átomos para la paz” y en 1954 con la fundación del OIEA; y nacional, con la creación de UNESA en 1944 y Tecnatom en 1957, entre otros hitos, los diferentes planes energéticos consideraron la energía nuclear como un elemento clave. 

La primera central nuclear comercial que entró en operación en España, José Cabrera (1968) se había construido siguiendo el modelo conocido como “llave en mano”, un modelo importado desde EE. UU. y con el que Westinghouse y General Electric pretendían favorecer la construcción de centrales y la venta de sus productos. Este modelo “llave en mano” también se aplicaría a Santa María de Garoña y a Vandellós I. Desde entonces, Las siguientes centrales nucleares que se construyeron y entraron en operación, contaron con una participación española significativa de empresas de ingeniería, como Empresarios Agrupados, INITEC, SENER y otras. 

Los primeros pasos

En la década de los 60 y 70 ni en España ni en Europa, ni siquiera en EE. UU., existía un conocimiento científico profundo de los fenómenos que podían producirse en una central nuclear en caso de accidente con daño al núcleo del reactor. Tampoco tenían herramientas analíticas ni modelos que reflejaran adecuadamente la fenomenología de los procesos físico-químicos de una central.

En este contexto, se aplicó en el diseño, construcción y operación de las primeras centrales el concepto fundamental de defensa en profundidad. 

Debido a la falta de un conocimiento tecnológico riguroso se utilizó el concepto de margen de seguridad con la definición de unos accidentes muy conservadores en la base de diseño, como principio clave para diseñar sistemas y evitar el fallo de las barreras físicas en los accidentes postulados que podrían ocurrir en una central. 

Habría que esperar a 1971 cuando se publicaría la primera revisión del Apéndice A del 10 CFR 502 , que contenía los criterios generales de diseño de las centrales nucleares de producción de energía nuclear.

Los criterios generales de diseño se estructuran de otro modo:

• Requerimientos generales (protección contra fenómenos naturales e internos.
• Protección mediante múltiples barreras.
• Sistema de protección y control del reactor.
• Sistemas de fluidos importantes para la seguridad.
• Edificio de contención.
• Control del material radiactivo y manejo del combustible gastado.

A comienzos de los 70, la energía nuclear estaba en auge. En el año 1972, la Atomic Energy Commission (AEC), precursora de la NRC, encargó a Norman Rasmussen, profesor del MIT, el informe WASH 1400 “Reactor Safety Study”, conocido como informe Rasmussen, en el que concluía que la energía nuclear era mucho más segura que las centrales térmicas convencionales y que de hecho se encontraba entre las actividades industriales más seguras. El informe Rasmussen fue controvertido al considerarse parcial, ya que había sido encargado por la AEC, que tenía entre sus funciones la promoción de la energía nuclear, y, por lo tanto, podía entenderse como un apoyo para el fomento de la energía nuclear. 

En 1973 se decidió dividir la AEC y crear la NRC como único regulador en materia de seguridad nuclear en EE. UU. Al poco de iniciarse su actividad se produjo un incidente que hizo reconsiderar la confianza depositada en la energía nuclear. 

Browns Ferry, 1975

El incendio de Browns Ferry se produjo en marzo de 1975 cuando unos trabajadores que estaban comprobando la estanqueidad de las penetraciones de cables entre distintas salas de la central provocaron un incendio que duraría más de 7 horas, se quemaron miles de cables en la sala de cables que comunicaban instrumentación y equipos de planta con la sala de control. El incendio afectó a las dos unidades de la central y se produjeron fallos de sistemas redundantes de seguridad que pusieron en dificultad la refrigeración del reactor. 

Como consecuencia de este incendio se publicaría el conocido como apéndice R3 de los requisitos de las centrales nucleares del 10 CFR4 50, que requería la implantación de un programa de protección contra incendios (PCI) que permitiese alcanzar y mantener la condición de parada segura, cualesquiera que fueran las consecuencias derivadas del mayor incendio postulado, sin que se produjeran liberaciones de productos radiactivos al exterior. Esta normativa era determinista, y por lo tanto se basaba en postular un incendio en las distintas áreas de la central con objeto de demostrar que existían redundancia, separación y diversidad suficiente para disponer de un camino de parada segura de la central.  

En España se requirió a las centrales nucleares el desarrollo e implantación de un programa de PCI según los criterios generales incluidos en el apéndice R y el criterio del 10 CFR 50.48 Fire Protection.

Sin embargo, las centrales nucleares no se habían diseñado ni implantado sus sistemas de PCI según esos principios, por lo que el cumplimiento del apéndice R era costoso, lo que llevaría con el paso del tiempo y el desarrollo del análisis de riesgos a aceptar una normativa no determinista sino informada en el riesgo, mediante la cual se identifican las zonas más susceptibles de incendios que debían ser protegidas. Esta normativa alternativa a varios requisitos del apéndice R es la NFPA 805 Performance-Based Standard for Fire Protection for Light-Water Reactor Electric Generating Plants.

La complejidad para adecuar los sistemas de PCI a los criterios de diseño ha sido tan grande, que el CSN ha informado de la transición a la NFPA 805 de la central nuclear (CN) Almaraz en el año 2020 y en el 2021 tiene previsto resolver la transición correspondiente a CN Ascó.

Browns Ferry fue un aviso y los reguladores tomaron conciencia de la importancia del riesgo de incendios en la seguridad nuclear, pero no fue hasta 1989, cuando en España, tomaríamos conciencia de la importancia del riesgo de incendios con la experiencia de primera mano del incendio en Vandellós I. 

Three Mile Island, 1979 (CSN 1980-1986)

El 28 de marzo de 1979 se produciría una fusión parcial del núcleo de la unidad 2 de la central de Three Mile Island (TMI), en Pensilvania El accidente comenzó con un fallo en el sistema de alimentación de agua a los generadores de vapor mediante el cual se evacúa el calor del reactor, que produjo el disparo de turbina y del reactor. Con objeto de evacuar el calor residual del núcleo del reactor a través de los generadores de vapor, debería haber funcionado automáticamente el agua de alimentación auxiliar, pero también falló debido a un error de mantenimiento previo. De forma inmediata la presión en el primario aumentó y una de las válvulas de alivio de presión en el circuito primario de refrigeración del reactor se abrió para que la presión disminuyera, pero en lugar de cerrarse inmediatamente, quedó atascada en posición abierta. La instrumentación en sala de control indicaba que la válvula había cerrado lo cual era erróneo, los operadores no advirtieron que se estaba perdiendo refrigerante primario a través de la válvula lo que se conoce como accidente de pérdida de refrigerante o LOCA. 

Otra instrumentación de planta estaba proporcionando información errónea a los operadores debido a la existencia de una burbuja en la cabeza de la vasija, que contenía gran cantidad de hidrógeno5 (la central no disponía de indicación de nivel de refrigerante en la vasija del reactor). Los operadores creyeron inicialmente que el nivel en el presionador era adecuado, a pesar de estar perdiéndose refrigerante, y por lo tanto el combustible en el núcleo estaba refrigerado por agua, pero esto no era correcto. Además, con la disminución de presión en el circuito primario, las bombas de refrigeración del reactor empezaron a vibrar y fueron paradas. Debido a la pérdida real de refrigerante a través de la válvula de alivio atascada abierta, arrancó la inyección de seguridad para introducir agua y refrigerar el combustible, pero los operadores al desconocer que se estaba produciendo un LOCA y observar el presionador lleno de agua por la información que recibieron de la instrumentación del mismo, consideraron que no era necesaria la inyección de seguridad y la pararon, lo cual agravó más la situación al quedarse al descubierto (sin agua) parte del combustible. 

El accidente finalizaría cuando los operadores se dieron cuenta de la situación de la válvula de alivio atascada abierta y cerraron la válvula motorizada de aislamiento correspondiente con lo que finalizó la pérdida de refrigerante y se comenzó a inyectar agua con el sistema de inyección de seguridad. 

Durante los días siguientes, la gestión de las autoridades y del titular fue deficiente. Se plantearon varios problemas técnicos, como la posible existencia de una burbuja de hidrógeno en la cabeza del reactor, con los consiguientes problemas para enfriar el núcleo y llevar la planta a una parada segura. Además, la existencia de esa burbuja con hidrógeno planteó la posibilidad de una explosión de hidrógeno con la consiguiente rotura de la vasija e incluso de la contención.

Los problemas anteriores y las incertidumbres que existían al respecto llevaron al gobernador del Estado a evacuar a 144.000 personas en los cincos días posteriores al suceso. Mientras tanto, la NRC estimó que la ausencia de oxígeno limitaba mucho la posibilidad de una explosión de hidrógeno, cuya cantidad, además, estaba disminuyendo, lo cual contribuyó a tranquilizar a los operadores, autoridades y público. 

La radiactividad que salió al exterior por el accidente fue muy poca, apenas 20 curios, de una cantidad de 66 millones de curios de I-131 existente en el núcleo. Se realizaron estudios epidemiológicos que no encontraron un incremento en la incidencia de cáncer en la población en las siguientes dos décadas. Quizá la lección más importante de este accidente para la industria y los reguladores es que accidentes con daño al núcleo eran posibles y que, por tanto, el optimismo previo a 1979 no estaba justificado. 

Por otro lado, este accidente puso de manifiesto la importancia del factor humano en la seguridad nuclear. No era suficiente considerar la fiabilidad de los equipos de seguridad; era necesario un proceso de formación y entrenamiento exhaustivo, incluyendo la formación en simulador. 

Se introdujeron los procedimientos de emergencia basados en síntomas (POE), de forma que el operador tomara decisiones en función de los síntomas y no tuviera que evaluar los sucesos que se estaban produciendo en la planta. Esta mejora en los procedimientos de emergencia fue acompañada con múltiples modificaciones en las salas de control para priorizar alarmas, nuevas indicaciones de las posiciones de las válvulas de alivio y la incorporación de nueva instrumentación para condiciones post-accidente en la sala de control, con objeto de tener información más completa sobre el estado del núcleo. 

También, a raíz de este accidente se puso de manifiesto la importancia de la experiencia operativa, porque había ocurrido un suceso de atascamiento de la válvula de alivio del presionador muy similar dos años antes en otra central y no había sido analizado para extraer lecciones del mismo. Además se creó el Institute of Nuclear Power Operations (INPO) que, desde entonces ha centralizado y distribuido lecciones aprendidas de incidentes y problemas en centrales nucleares. También INPO creó un sistema de acreditación y de asistencia a los operadores que ha resultado muy útil. 

Se establecieron muchos programas de investigación para conocer la generación de hidrógeno en una central nuclear, analizar otros tipos de LOCA pequeños, mejorar la comprensión de la fenomenología de los accidentes severos, etc. 

Por último, como consecuencia del accidente de TMI, se mejoraron los planes de emergencia y la coordinación de los diferentes actores de una emergencia.

En España, un año después del accidente se creaba el CSN como único regulador en materia de seguridad nuclear y protección radiológica.  

Inicialmente, el CSN contaba con un grupo muy reducido de funcionarios procedentes de la Junta de Energía Nuclear (JEN), con los que se afrontó desde el primer momento, una de las primeras misiones del CSN, que consistía en la aplicación de los programas de reevaluación de la seguridad que se estaban realizando en EE. UU., para adecuar las centrales antiguas a los criterios generales de diseño. Estos programas se realizarían para las centrales de la primera generación de diseño de EE.UU. (José Cabrera y Santa María de Garoña), entre los años 1980 y 1986. 

Las mejoras en José Cabrera se realizaron en tres fases, que abarcaron desde 1981 a 1985, con dos paradas largas para implantar modificaciones de diseño para separar los trenes de inyección de seguridad, instalar dos nuevas motobombas en el sistema de alimentación de emergencia, instalar un generador diésel y cualificar de la central hidráulica de Zorita, para que José Cabrera tuviera dos trenes de alimentación de corriente alterna completamente independientes, y grandes mejoras en los sistemas eléctricos de seguridad, baterías, inversores, etc. 

Santa María de Garoña se había construido también en la década de los 60 y operaba en los 70 y, tampoco se habían tenido en cuenta los criterios de seguridad nuclear del apéndice A del 10 CFR 50 (criterios generales de diseño). Al igual que en el caso de José Cabrera, se realizó una reevaluación de la seguridad de la central (SEP) entre los años 1981 y 1986, a raíz de la cual se introdujeron muchas mejoras en la planta, como las siguientes: reparación y sustitución de tramos de tuberías en el sistema de recirculación; reparación de penetraciones de los accionamientos de las barras de control; mejoras en los sistemas de inyección de refrigerante a alta presión (HPCI), en el sistema de inyección de refrigerante a baja presión (LPCI) y del rociado del núcleo, introduciendo nueva instrumentación y modificando la lógica de actuación; se introdujo separación eléctrica en los trenes del sistemas de despresurización automática (ADS); y modificaciones en la instrumentación y en el sistema eléctrico para cumplir con los criterios de independencia, redundancia y separación física, etc. 

Por otro lado, y por la misma época, se estaban construyendo y comenzando a entrar en operación las centrales de la segunda generación, lo que supuso un esfuerzo muy grande por parte de los titulares de las plantas y de las empresas de servicios e ingeniería que trabajaban en dichos proyectos. También del CSN, que tuvo que trabajar al mismo tiempo en los licenciamientos (pruebas prenucleares, permiso de explotación y pruebas nucleares) de Almaraz I y II, Ascó I y II y Cofrentes, en los que se tuvieron en cuenta los criterios generales de diseño y las lecciones aprendidas de TMI. 

Con objeto de reforzar la plantilla del CSN, una vez aprobado el primer Estatuto del CSN se convocaron las primeras oposiciones para funcionarios del Cuerpo Técnico de Seguridad Nuclear y Protección Radiológica en julio de 1982.  

En el ámbito internacional, en el marco del OIEA y de la NEA se creó el sistema de intercambio de experiencia operativa IRS en 1983, en el que España participó desde sus inicios. También se realizaron misiones de revisión OSART (Grupo de Examen de Seguridad Operacional) por expertos internacionales para revisiones de la seguridad de las centrales. La primera misión OSART en España se realizó en 1987 en Almaraz. Por último, se creó en 1983 el INSAG, un grupos para revisión de requisitos, y España formó parte activa desde el principio en todos los diferentes grupos de trabajo internacionales.

Chernóbil 1986 (CSN 1986-2000)

El reactor soviético de Chernóbil tenía un diseño muy diferente al de las centrales españolas y occidentales, con unas características de diseño que no estaban permitidas en nuestras centrales como criterio de diseño; por ejemplo, la existencia de coeficientes de reactividad positivos (de huecos y temperatura del moderador), que creaban potenciales inestabilidades en el reactor, ya que en lugar de parar la reacción en cadena ante una aumento de temperatura del moderador, el reactor aceleraba, causando las excursiones de potencia. Tampoco tenía edificio de contención, una barrera fundamental para evitar el escape al exterior.

El accidente con escape al exterior del 26 de abril de 1986 sería clasificado como nivel 7 en la escala INES debido a la magnitud del escape radiactivo al exterior. Por lo tanto, las consecuencias y lecciones aprendidas más importantes fueron las que tienen que ver con la protección radiológica. El accidente de TMI fue clasificado, en dicha escala, como un nivel 5 “Accidente con consecuencias de mayor alcance” y el suceso más grave ocurrido en España en Vandellós I en 1989, fue clasificado como nivel 3 “Incidente importante”, ya que en este caso no se llegó a producir ni daño al núcleo ni consecuencias al exterior.

Desde el punto de vista de la seguridad, a raíz de este accidente se introdujo en el ámbito internacional el concepto de cultura de seguridad 6 , que básicamente se puede resumir en lo siguiente: la seguridad es la prioridad máxima ante cualquier otro objetivo e interés para asegurar la protección del público y medio ambiente. 

En este caso, se quiso realizar un experimento para comprobar durante cuánto tiempo se podían seguir alimentando las bombas de refrigerante primario mediante la potencia eléctrica producida por la inercia de los turbogeneradores ante un escenario de pérdida de potencia eléctrica exterior antes de que entrasen los generadores diésel para alimentar a los equipos de emergencia.

Para hacer este experimento los operadores tuvieron que desconectar varios sistemas de seguridad, entre ellos algunas protecciones del disparo del reactor (parada automática). Además, el experimento se realizó a baja potencia, con lo que el efecto de los coeficientes de potencia fue más importante (mayor aceleración en la excursión de potencia). Debido a las inestabilidades del diseño del núcleo y por efecto de los coeficientes de reactividad positivos, los operadores no pudieron controlar la excursión de potencia, que provocaría la fusión del combustible y explosiones de vapor por contacto del agua con las partículas calientes, que causarían la entrada de aire provocando el incendio del grafito que se utilizaba como moderador. Estas explosiones de vapor y de hidrógeno junto con la ausencia de contención provocaron la liberación del material radiactivo al exterior. 

Reevaluaciones de la seguridad de las centrales más antiguas En 1986, tras la finalización de la implantación de las modificaciones de los SEP de José Cabrera y Garoña, el CSN requirió al titular de Vandellós I una revisión en profundidad de la seguridad de la central mediante el establecimiento de un Programa de Reevaluación de la Seguridad, al igual que ya se había realizado para las centrales de Zorita y Garoña. Este programa contemplaba la implantación de cinco grandes modificaciones realizadas en la central de referencia de Vandellós I, Saint Laurent des Eaux. Estas modificaciones se consistían en: 

a) Instalación de fuentes neutrónicas para comprobar las cadenas de arranque.

b) Instalación de falsas tulipas para impedir la obstrucción de los canales de refrigeración.

c) Mejoras en el sistema de protección contra incendios del edificio eléctrico.

d) Instalación de una cadena de protección frente a inserciones de reactividad.

e) Adaptación del cambiador de parada como sistema de refrigeración de emergencia.

Vandellós I era una central de diseño francés, de grafito gas y uranio natural, que había obtenido sus autorizaciones previa y de construcción en los años 1967 y 1968, respectivamente. El Permiso de Explotación Provisional (PEP) le fue concedido en 1972 y desde el 29 de abril de 1982 disponía del Permiso de Explotación Definitivo, con una validez hasta 2003. El núcleo del reactor de Vandellós I estaba formado por un apilamiento de 3.000 toneladas de grafito, soportado por una estructura metálica llamada “superficie soporte”. Insertado en esta estructura existían 3.072 canales de 145 mm y 10,20 m de altura, que se cargaban con 15 elementos combustibles cada uno (46.080 elementos). La refrigeración del combustible era CO2 y el moderador grafito.

Para el sistema de refrigeración de CO2 existían cuatro turbo-soplantes accionadas por el propio vapor del reactor o por vapor de las 4 calderas auxiliares, tras el disparo del reactor, que impulsaba el CO2 a través del núcleo. Tras una parada del reactor solamente era necesaria una tubo-soplante y ¼ del cambiador de calor para refrigerar el núcleo. 

El cambiador de calor principal (generador de vapor) estaba dividido en cuatro cuartos, alimentándose cada cuarto por una bomba principal estando el reactor a potencia.  

Adicionalmente, se disponía del sistema de refrigeración en parada, con un cambiador de calor en la parte superior del cajón (RAiE, intercambiador en parada), diseñado para actuar tras seis horas de la parada del reactor, que no necesitaba las turbo-soplantes (circulación natural).

El “cajón del reactor” era un prisma hexagonal de 49,15 m de altura y 28 m ancho. Cavidad cilíndrica interior de 19,05 m de radio y 32,29 m de altura. El espesor de las paredes era de 4,75m.

Finalmente, Vandellós I tenía dos turbo-alternadores de 290 Mw conectado a un transformador principal unido a la red eléctrica exterior de 380 Kv. Esta línea también proporcionaba la alimentación eléctrica cuando la central estaba parada o en arranque. 

La Sala de Control introducía una tecnología muy innovadora, con instrumentación digital, a través de ordenadores, siendo la instrumentación en paneles de Sala de Control muy limitada comparado con otras centrales nucleares. 

El 19 octubre 1989 a las 21:39 se inició un incendio en el que se pueden distinguir las tres fases siguientes: 

• Momentos iniciales del suceso: día 19/10/89 hora: 21:39 (20 minutos)
• El incendio (20 minutos - 2 horas)
• La inundación (2 horas - 8 horas)
• Recuperación parada segura (8 horas - 2 días)

En el informe se describe la secuencia de los sucesos más relevantes. Básicamente, a las 21:39 de la noche la central estaba en operación normal cuando se produjo un fallo mecánico del grupo turboalternador 2 que provocó el incendio, explosión y deflagración del hidrógeno utilizado en la refrigeración del alternador. 

En la sala de control el humo denso dificultaba la visión. Además, se perdió la megafonía, la iluminación y la telefonía interna. No existía en ese momento una brigada de protección contra incendios, así que los auxiliares de operación intentaron sofocar el incendio con mangueras. La pérdida de alimentación eléctrica hizo que se perdiera el aire de instrumentos para control y regulación automática de válvulas del sistema de agua de alimentación auxiliar.

Dada la limitada capacidad del ordenador de proceso y la avalancha de señales y alarmas que produjo el incendio, el ordenador quedo bloqueado perdiéndose toda la indicación y el control de equipos.

Los operadores, heroicamente, utilizando equipos autónomos de respiración, intentaron abrir las válvulas de agua de alimentación auxiliar en el edificio del reactor para mantener la refrigeración del reactor.

Con la llegada de los bomberos de Vandellós II y Hospitalet (20 minutos) se intentó confinar el fuego al turbo-grupo 2 y evitar la propagación al otro turbo-grupo y al edificio eléctrico.

Hasta aproximadamente 3 horas tras el inicio del accidente, no se recuperaría agua de alimentación al cambiador de calor y una vez que se consiguió recuperar el funcionamiento de este, la presión en el cajón bajó y parecía que la situación se iba controlando. Sin embargo, al entrar en el edificio del reactor se detectó aproximadamente 1 metro de agua en la cava (parte inferior del edificio), que afectaba a algunos equipos de seguridad.

Entre dos horas y ocho horas desde el inicio del accidente se produjo la inundación de agua de mar en la cava del reactor. Se calculó que había unos 4.000 metros cúbicos de agua, el 65% de ella procedente del mar. La restante se debía a las fugas de agua desmineralizada y la actuación de los bomberos. El incendio había afectado a las juntas flexibles de las tuberías de agua de circulación en su unión con el condensador y el agua había pasado del edificio de turbina al del reactor, y de este al de combustible gastado, y solamente cuando se pararon las bombas de circulación de agua de mar se detuvo la inundación.

A la 1:30 horas de la madrugada del día 20 de octubre se dio por controlado el incendio y comenzaron las labores de achique de agua con bombas portátiles. A las 4:00 se declaró extinguido (más de seis horas de incendio). El achique del agua de la inundación no finalizaría hasta las 10:00 de la mañana de ese día. 

A raíz de la investigación de este accidente, el CSN concluyó que Vandellós I tenía un diseño muy diferente al resto de plantas y, a diferencia del resto de centrales no se habían aplicado criterios básicos de diseño de seguridad nuclear. Hay que tener en cuenta que el programa de reevaluación de la seguridad comenzaría en 1986. 

Por otra parte, esta planta se asemejaba más a una central térmica preparada para la operación normal que para hacer frente a condiciones de accidente. Además, la normativa técnica de referencia en EE. UU. y Alemania contemplaba los problemas de incendios e inundaciones que se observaron en este accidente, por lo que las lecciones de este accidente en relación con la protección contra incendios e inundaciones no se consideraron directamente aplicables al resto de centrales.

En concreto, las carencias detectadas en Vandellós I respecto a la PCI eran similares a las del suceso de Browns Ferry que dieron lugar a la publicación del Apéndice R y en España posteriormente a la Instrucción del Consejo IS 30, sobre protección contra incendios. 

También la importancia de la protección contra inundaciones fue otro de los riesgos a tener en cuenta y que volvería a aparecer a raíz del accidente de Fukushima. 

Como conclusión, cabe decir que el accidente de Vandellós I fue singular, al ser el diseño de esta planta muy diferente al del resto de centrales nucleares españolas, pero puso de manifiesto, y de primera mano, la importancia de los incendios en la seguridad de las centrales y la posibilidad de inundaciones internas como consecuencia del incendio. Como se ha dicho, un aspecto muy importante a tener en cuenta es que en los años 80 el CSN estuvo inmerso durante el primer lustro en la revisión de la adaptación de las centrales José Cabrera y Garoña al cumplimiento de los criterios generales de diseño y a las actividades de inspección y evaluación relacionadas con la construcción y puesta en marcha del resto de centrales. Como se ha indicado, la reevaluación de Vandellós I comenzó a partir del año 1986, una vez terminadas las de José Cabrera y Garoña. 

La Tabla 1 muestra el esfuerzo de inspección del CSN en la década de los años 80. En ella se observa como Vandellós I, quizás debido a las peculiaridades de su diseño, no recibió una atención de inspección adecuada. 

Por otro lado, el CSN no tendría suficientes recursos humanos hasta finales de los 80. La Tabla 2 muestra la evolución del número de funcionarios del cuerpo técnico de Seguuridad Nuclear y Protección Radiológica.

Tras el accidente, la central paró definitivamente debido a las grandes inversiones necesarias para cumplir con los requisitos de seguridad necesarios. 

El Congreso de los Diputados solicitó al Consejo un informe sobre la seguridad de las centrales españolas. En 1992 se publicó el informe La seguridad de las centrales nucleares españolas para cumplir con el mandato del Congreso.

El informe repasaba una a una el estado de la seguridad de las diferentes centrales, exponiendo las medidas que se habían realizado y las que estaban en curso para mejorar la seguridad de las centrales. 

Este informe fue respuesta a la solicitud del Congreso en que se pedía al CSN que “en plazo objetivamente razonable y mediante un excepcional y exhaustivo análisis de las condiciones de seguridad de las centrales nucleares españolas, establezca de modo preciso los requerimientos que, en su caso, hubieran de imponerse a cada una de ellas, a fin de garantizar su seguridad operacional hasta el límite tecnológicamente posible”. 

El CSN, como indicó en su informe de 1992, “considera la cultura de seguridad como un elemento esencial del análisis de seguridad de la experiencia operativa de las centrales”. También en dicho informe, se comunicaba al Congreso y a la opinión pública que era “intención del CSN efectuar revisiones periódicas de la seguridad de las centrales nucleares aproximadamente cada diez años” con objeto de: “a) asegurar que el proceso de análisis derivado de la experiencia se ha aplicado correctamente, b) analizar el comportamiento global de la central en ciclos largos de operación, mediante el análisis de los resultados de los requisitos de vigilancia y del mantenimiento, c) evaluar las principales diferencias entre la central objeto de revisión y las centrales más modernas, identificando aspectos que no cumplen los requisitos de nueva normativa y valorando las ventajas para la seguridad de la central de los posibles cambios que fuera necesario introducir”.

En los años 90 no hubo grandes incidencias en la operación de las centrales nucleares, destacando el cambio de los generadores de vapor de las dos unidades de Ascó y Almaraz, debido a problemas con el material utilizado en la fabricación de los tubos de dichos generadores. También, en 1994 se cambió la tapa de la vasija del reactor de José Cabrera debido a la aparición de grietas en las penetraciones de la vasija.

grietas en las penetraciones de la vasija. Mientras tanto, el CSN intensificó su participación en grupos de trabajo del OIEA y de la NEA y estableció acuerdos bilaterales con otros reguladores. 

En 1999 se creó WENRA, una asociación de reguladores de países occidentales con energía nuclear, con objeto de elaborar una aproximación común en seguridad nuclear. En el año de su creación, WENRA incluía los reguladores de 10 países, hoy está formado por 18, siendo el CSN uno de ellos. Desde 2003, WENRA también incluye entre sus funciones el intercambio de experiencia y discusión sobre temas de seguridad.

En 2006, WENRA publicaría su estudio de armonización de la seguridad de reactores y definiría más de 300 niveles de referencia agrupados en unos 17 bloques (issues) con requisitos de seguridad. Cada país elaboró un plan de acción para llevar a cabo la armonización comprometida, que incluía la elaboración de una quincena de instrucciones del Consejo trasladando dichos requisitos de seguridad. Estas Instrucciones, junto con las desarrolladas posteriormente, tienen carácter reglamentario e incorporan la normativa técnica de seguridad nuclear de nivel reglamentario del país origen de diseño utilizada en la construcción y operación de las centrales nucleares y, los niveles de referencia de WENRA. Estos niveles de referencia se revisaron tras el accidente de Fukushima.

Cambio del Marco Estable y Ley del Sector Eléctrico (2000-2011)

Tras el informe al Congreso de los Diputados de 1992, sobre la seguridad de las centrales nucleares españolas, en 1995 el Consejo de Seguridad Nuclear emitió la revisión 0 de la Guía de Seguridad 1.10. Desde 1999, las autorizaciones de explotación han requerido la presentación de una Revisión Periódica de la Seguridad (RPS) acompañando a la solicitud de las mismas.

A partir de entonces se han venido realizando RPS cada diez años. La Guía de Seguridad 1.10 ha sido revisada en dos ocasiones. La primera se realizó en 2008, en la que se introdujo el concepto de “normativa de aplicación condicionada”, cuyo objetivo es identificar y requerir normativa adicional a la existente en las bases de licencia de las centrales, que supusiera una mejora en la seguridad de la planta con vistas a un nuevo periodo de operación. La segunda revisión se hizo en 2017 y fue motivada por las lecciones aprendidas del accidente de la central nuclear de Fukushima, ocurrido en marzo de 2011, las directivas de seguridad nuclear de la Unión Europea, Directiva 2009/71/Euratom del Consejo de 25 de junio de 2009 y Directiva 2014/87/Euratom del Consejo de 8 de julio de 2014. Esta revisión consistió en la adaptación de dicha guía a la del OIEA SSG 25 Periodic Safety Review for Nuclear Power Plants, incorporando apartados específicos relacionados con el envejecimiento y la obsolescencia de equipos y la operación a largo plazo. 

Como se observa en el gráfico, se han realizado hasta la fecha tres rondas de RPS, iniciándose la primera en 1999. Como se observa en las barras correspondientes a las últimas RPS (color rojo) en el último periodo de RPS varias plantas comenzarán la Operación a Largo Plazo (OLP) y, por lo tanto, operarán más allá de los 40 años desde el primer acoplamiento a la red, ya que es entonces cuando se requiere una supervisión sistemática de los fenómenos degradatorios debido al envejecimiento de las estructuras sistemas y componentes de la central. 

Antes de proseguir con los cambios en seguridad nuclear es necesario hacer una reseña a los cambios en el contexto socio-económico, por su influencia en la seguridad de las centrales.

En el año 1997 con la entrada en vigor de la Ley 54/1997, de 27 de noviembre, del Sector Eléctrico se modificó el marco legislativo en que hasta entonces se venían desarrollando las actividades eléctricas. Se abandonó el Marco Estable existente hasta entonces y, al igual que otros agentes eléctricos, los titulares de las centrales nucleares españolas debieron afrontar nuevos retos que requerían una mejora en la eficiencia de sus procesos. Este cambio legislativo tuvo consecuencias para el CSN, se empezó a considerar la necesidad de aumentar la seguridad a través de una mejora en el funcionamiento del regulador y en consecuencia fue necesario revisar sus procesos fundamentales para incrementar su eficiencia.

Con este fin, a principios de este siglo se formó un grupo entre los titulares de centrales nucleares y representantes del CSN, en el que se revisaron varios procesos fundamentales del CSN, entre ellos el de normativa, evaluación y supervisión.

Como consecuencia de la ejecución del plan de acción elaborado, se implantaron los cambios siguientes:

• Elaboración de un documento de Políticas del CSN.
• Aprobación en 2005 del documento Pirámide normativa y bases de licencia.
• Definición de un nuevo sistema de supervisión basado en el Reactor Oversight Process (ROP) de la NRC.
• Mejoras en los programas de autoevaluación y acciones correctoras de los titulares.
• Elaboración de la Guía de Seguridad 1.15 sobre Aplicaciones de los APS en el marco de la regulación informada por el riesgo (RIR).
• Reducción de trámites burocráticos.
• Modificación del régimen sancionador para mejorar el tratamiento de los incumplimientos y deficiencias que se detectasen, estableciendo medidas proporcionadas a su impacto en el riesgo y en la seguridad.

Estos cambios se vieron motivados en parte por los que se producían en la NRC como principal país de referencia de la normativa de seguridad nuclear aplicada. En EE. UU., tras el accidente de TMI, la creación de INPO y el perfeccionamiento de los Análisis Probabilistas de Seguridad (APS), entre otras acciones, se observó una mejora en el funcionamiento de las plantas. Esta mejoría en el funcionamiento de las plantas motivó el cambio en la NRC hacia una regulación informada por el riesgo, cuyo hito más importante, desde la aprobación de los objetivos de seguridad cuantitativos en 1986, sería la adopción del documento “Policy Statement” de 1995, en el que se aumentaba el uso del APS en la regulación, complementando los análisis deterministas, basados fundamentalmente en la defensa en profundidad, con información sobre el riesgo.

El accidente de Fukushima (CSN 2011-2020)

El 11 de marzo de 2011 se produjo un terremoto de magnitud 9.0 en la costa oriental de Japón, provocado por la rotura de una sección de la corteza terrestre de unos 500 km de longitud y 200 km de ancho, según las estimaciones, que provocó un tsunami que afectó a una amplia zona costera del país, incluida la costa nororiental, donde varias olas superaron los 10 metros de altura. El terremoto y el tsunami causaron miles de muertos. 

En la central nuclear de Fukushima Daiichi, explotada por la Compañía de Energía Eléctrica de Tokio (TEPCO), el terremoto causó daños al tendido del suministro eléctrico exterior y el tsunami provocó una destrucción sustancial de los edificios y sistemas de los reactores nucleares en el emplazamiento. El efecto combinado del terremoto y el tsunami fue la pérdida de la alimentación eléctrica dentro y fuera del emplazamiento. Esta pérdida de alimentación eléctrica impidió la función de refrigeración en los tres reactores que estaban en funcionamiento7 , así como a las piscinas de combustible gastado.

Las otras cuatro centrales8 situadas a lo largo de la costa también se vieron afectadas por el terremoto y el tsunami en diferentes grados. Sin embargo, todos los reactores que estaban en funcionamiento en esas centrales pararon de forma segura. 

Pese a los esfuerzos de los operadores los núcleos de los reactores de las unidades 1 a 3 se sobrecalentaron, el combustible nuclear se fundió y las tres vasijas de contención se fracturaron. Debido a la acumulación de hidrógeno se produjeron explosiones en los edificios de los reactores de las Unidades 1, 3 y 4, causando daños a las estructuras y el equipo y lesiones al personal. Hubo escape de productos radiactivos a la atmósfera que se depositaron en la tierra y el océano. 

Los habitantes de 20 km a la redonda y de otras zonas designadas fueron evacuados, y los que se encontraban en un radio de entre 20 y 30 km recibieron primero la instrucción de permanecer en espacios interiores, y más tarde el consejo de evacuar la zona voluntariamente. Se impusieron restricciones a la distribución y el consumo de alimentos y al consumo de agua potable. 

Este accidente puso de manifiesto los siguientes problemas:

• Vulnerabilidad de la central frente a sucesos externos

El análisis de riesgos externos de la central nuclear de Fukushima Daiichi no era adecuado. Antes del terremoto, la fosa de Japón estaba clasificada como una zona de subducción con frecuentes terremotos de magnitud 8, los científicos japoneses no creían que se pudiera producir un terremoto de magnitud 9,0 frente a la costa de Fukushima. Sin embargo, en diferentes zonas con entornos tectónicos parecidos se habían registrado terremotos de magnitudes de ese orden o superiores en los decenios precedentes. El diseño sísmico de la central contemplaba márgenes de seguridad suficientes, lo que hizo que el daño de las estructuras y sistemas de la planta debido al terremoto fuese bastante pequeño. Sin embargo, en el caso de inundaciones de bido a tsunamis la central era vulnerable y no se habían introducido márgenes adecuados en el diseño para considerar la incertidumbre de los modelos.

A raíz de este accidente, en España, así como en el resto de centrales europeas, se reevaluaron los márgenes de seguridad frente a riesgos externos y sus posibles combinaciones, que dieron lugar a modificaciones de diseño; por ejemplo, mayor capacidad para hacer frente a lluvias torrenciales internas, etc. 

• Defensa en profundidad

El accidente de Fukushima puso de manifiesto que era necesario reforzar la defensa en profundidad, un concepto fundamental, cuyo objetivo es el de proteger las barreras físicas que separan el material radiactivo del exterior en diferentes escenarios teniendo en cuenta posibles fallos humanos, fallos de equipos, etc. Se debería haber revisado la base de diseño de inundaciones externas para proteger la central, teniendo en cuenta toda la información disponible de tsunamis y las incertidumbres existentes. Además, el accidente puso de manifiesto la necesidad de reforzar la estrategia de mitigación para que en caso de un accidente más allá de la base de diseño, éste no progresase, incluyendo medidas de contingencia, de bajo coste, que en el caso de Fukushima hubieran podido haber salvado la situación.

A raíz de este accidente, se han reevaluado los cálculos de diseño de diferentes accidentes y se ha reforzado la mitigación al instalarse medios adicionales (bombas y generadores diésel portátiles) para aportar agua de refrigeración y alimentación eléctrica en caso de un accidente severo. 

• Mantenimiento de algunas funciones de seguridad

En una central nuclear hay tres funciones de seguridad que es necesario mantener en cualquier escenario. La primera es el control de la reactividad, es decir, que no se produzca una excursión de reactividad, como ocurrió en Chernobil, y el reactor pare; es decir, se haga subcrítico. En el caso de la central de Fukushima Daiichi, los reactores tenían incorporado a su diseño el disparo directo en caso de producirse un terremoto de determinada magnitud y todos los reactores que estaban en operación pararon correctamente.

La segunda función de seguridad es mantener la refrigeración del núcleo para evacuar el calor residual que se sigue produciendo en el núcleo del reactor y en la piscina de combustible gastado, incluso cuando se ha parado el reactor. En el accidente de Fukushima, debido a la pérdida de la mayoría de los sistemas eléctricos de corriente alterna y continua, se perdió la refrigeración y, por lo tanto, se produjo el calentamiento y posterior fusión del combustible. 

A raíz de Fukushima, las centrales españolas han incorporado medios portátiles de alimentación eléctrica alterna y continua y conexiones portátiles para introducir agua en el núcleo del reactor y en las piscinas de combustible gastado y conseguir evacuar el calor incluso en escenarios más allá de diseño en los que todos los sistemas disponibles hayan fallado. 

Además, debido a la dificultad en despresurizar la vasija, no se podía inyectar agua por otros medios a los previstos en el diseño, por ejemplo, con agua del sistema de protección contra incendios. A raíz de este accidente, todas las centrales españolas disponen de medios para despresurizar la vasija y permitir la entrada de agua de refrigeración de diferentes medios.

Por último, es necesario mantener la función de confinamiento, que consiste en evitar que fallen las barreras físicas que separan el material radiactivo del núcleo del reactor y el de la piscina de combustible gastado del exterior. En Fukushima también se perdió esta función de seguridad debido a la pérdida de las fuentes de corriente alterna y continua. Aunque los operadores lograron ventear, en dos de tres reactores se perdió la función de confinamiento y hubo escapes al exterior. A raíz de este suceso, todas las centrales españolas disponen de sistema de venteo filtrado de la contención para proteger esta última barrera y evitar que falle, con la consiguiente liberación de material radiactivo. 

El accidente de Fukushima también puso de manifiesto la necesidad de entrenar y formar a los operadores en la gestión de accidentes severos (más allá de la base de diseño). Esta formación y entrenamiento se ha impartido a todos los operadores de las centrales españolas. 

Por otra parte, de la investigación de este accidente, se concluyó que el sistema regulador japonés era complejo, ya que había varias organizaciones con diferentes funciones y responsabilidades y con interrelaciones complejas. No estaba totalmente claro cuáles de ellas tenían la responsabilidad y la autoridad de emitir instrucciones vinculantes sobre cómo responder sin demora a las cuestiones de seguridad. Esto ha llevado a la reforma del regulador nipón. 

En relación con el aspecto anterior, la lección aprendida por la comunidad internacional es que, para lograr una supervisión reglamentaria eficaz de la seguridad de las instalaciones nucleares, es esencial que el órgano regulador sea independiente y posea autoridad legal, competencia técnica y una sólida cultura de la seguridad. El CSN desde su creación nació como la única institución competente en seguridad nuclear y protección radiológica; desde entonces, a través de los foros y reuniones internacionales y las reuniones bilaterales con otros reguladores, el Consejo se compara con otros reguladores. Adicionalmente, tras haberse realizado auditorias de cultura de seguridad en las centrales nucleares, está previsto que se realice una auditoría sobre la cultura de seguridad del organismo.

Hay otras consecuencias y lecciones aprendidas derivadas de este accidente, relacionadas con la necesidad de reforzar medios y coordinación de los planes de emergencia exteriores de las centrales, así como mejoras relacionadas con la protección radiológica, que no son objeto de este artículo.  

Finalmente, tras el accidente de Fukushima, y como ocurrió con el resto de accidentes, el CSN se vuelve a replantear una vez más cómo cumplir de forma más eficaz su misión: garantizar la operación segura de las centrales, para lo cual hay que plantearse una pregunta: ¿qué es la operación segura?

La respuesta a esta pregunta, tras Fukushima, se encuentra en la Directiva de Seguridad Nuclear 2014/87, que fue posteriormente traspuesta a la legislación nacional en el Reglamento de Seguridad Nuclear aprobado en 2018. En concreto, en los artículos 8 a) y 8 b) se establece la necesidad de a) prevenir accidentes y en caso de producirse, mitigar sus consecuencias y b) limitar la existencia de accidentes con daño extenso en tiempo y espacio (Fukushima) y las emisiones tempranas que pudieran impedir la adopción de medidas de protección. Este segundo objetivo se aplica a nuevas centrales construidas a partir de 2014, pero es un objetivo al que deben aproximarse las centrales existentes, con mejoras en seguridad razonablemente factibles derivadas fundamentalmente de las Revisiones Periódicas de la Seguridad. Estos objetivos se han trasladado directamente a nuestro Reglamento de Seguridad Nuclear. Por lo tanto, el objetivo es mantener y mejorar la seguridad de las centrales e instalaciones nucleares.

El futuro

El accidente de Fukushima ha cambiado la proyección de la industria nuclear a nivel mundial, principalmente en los países occidentales. En EE. UU. las expectativas de relanzamiento de la industria se han ralentizado y prácticamente se ha paralizado la construcción de nuevas centrales nucleares. En Europa la posición de los distintos países es heterogénea, pero en general se tiende a disminuir la potencia instalada de centrales nucleares.

En España se ha firmado recientemente un protocolo de acuerdo, para el cierre paulatino de las centrales nucleares entre 2025 y 2035, entre los propietarios y Enresa. El protocolo incluye un calendario de cierre para el parque nuclear español, contemplando las clausuras ordenadas y escalonadas de los actuales siete reactores desde 2027 (Almaraz) hasta 2035 (Trillo). Esta situación puede introducir grandes retos en relación con el mantenimiento del capital humano y las inversiones en mantenimiento/fiabilidad de equipos de las centrales nucleares. En consecuencia, el CSN tiene previsto reforzar la supervisión con inspecciones específicas sobre la gestión del mantenimiento y control de requisitos sobre repuestos y suministros. 

Un aspecto destacable es la gestión del combustible gastado, la evaluación de diseño de contenedores de almacenamiento y transporte así como el licenciamiento de las instalaciones de almacenamiento de combustible gastado está requiriendo importantes esfuerzos del CSN y se prevé la dedicación de importantes recursos a estas actividades en el futuro. Además, el CSN considera que el seguimiento y control de los aspectos económicos y financieros de temas relacionados con la seguridad deben ser abordados, máxime teniendo en cuenta el contexto energético y el tiempo de operación de las centrales nucleares españolas, ya que de la capacidad económicofinanciera dependen partidas importantes del presupuesto para la seguridad de las centrales: mantenimiento, suministros, contratistas, etc.

Por último, en las RPS, cuyas evaluaciones se han terminado en el mes de junio de 2020 para informar sobre las solicitudes de renovaciones de las autorizaciones de explotación y en las que se están evaluando actualmente y en el futuro próximo, se han tenido en cuenta los objetivos de seguridad de la Directiva de 2014 transpuestos al Reglamento de Seguridad Nuclear, con objeto de identificar modificaciones en las instalaciones que sean razonablemente factibles y que supongan una mejora en la seguridad para el cumplimiento de los objetivos de seguridad nuclear. 

En resumen, en los próximos años el CSN impulsará cambios en sus procesos para controlar adecuadamente aspectos como el mantenimiento, las inversiones en seguridad, la capacitación del personal de plantilla de ls centrales y de las empresas contratistas, así como la adecuada gestión del envejecimiento y de los suministros y repuestos necesarios para mantener un nivel adecuado de seguridad en las plantas. En esta misión, el CSN no estará solo, ya que cuenta con los titulares, principales responsables de la seguridad de las instalaciones, y de las empresas de ingeniería y de servicios que contribuyen con su trabajo a la seguridad de las centrales.