ECCS sebagai Metode Defence in Depth

pada Reaktor BWR

Fahma Roswita
12/330374/TK/39548
Jurusan Teknik Fisika FT UGM
Jln. Grafika 2 Yogyakarta 55281 INDONESIA
fahma.roswita@mail.ugm.ac.id

Intisari Dasar dari suatu sistem keselamatan reaktor adalah menghindari adanya pelepasan zat radioaktif yang berbahaya ke
lingkungan. Konsep keselamatan reaktor nuklir adalah untuk melindungi baik pekerja maupun masyarakat umum dari bahaya
radiasi. Salah satu metode keselamatan reaktor nuklir adalah defence in depth. Defence in depth bertujuan untuk memastikan
kegagalan tunggal yang terjadi karena faktor manusia atau komponen peralatan pada satu tingkat tidak membahayakan pertahanan
di tingkat berikutnya. Menurut INSAG-10 IAEA ada 5 level defence in depth yang mendasari sistem pertahanan berlapis suatu
reaktor. Sistem pendingin reaktor menjadi salah satu contoh dari penerapan desain defence in depth. Paper ini membahas

mengenai Emergency Core Cooling System atau biasa disebut dengan ECCS pada reaktor tipe BWR. ECCS digunakan
untuk mematikan reaktor nuklir secara aman selama kondisi kecelakaan.
Kata kunci defence in depth, ECCS, kecelakaan, keselamatan reaktor, pendingin

I. PENDAHULUAN
Prinsip dasar dari suatu sistem keselamatan reaktor adalah
menghindari adanya pelepasan zat radioaktif yang berbahaya
ke lingkungan. Konsep keselamatan reaktor nuklir adalah
untuk melindungi baik pekerja maupun masyarakat umum
dari bahaya radiasi. Oleh karena itu dibutuhkan metode untuk
mewujudkan sistem keselamatan yang handal guna mencegah
terjadinya hal tersebut. Salah satu metode keselamatan reaktor
nuklir yang digunakan adalah defence in depth. Defence in
depth memiliki tujuan sebagai berikut.
Untuk mengkompensasi kegagalan yang disebabkan
oleh faktor manusia dan komponen.
Untuk menjaga efektivitas penghambat (barriers)
dengan mencegah kerusakan pembangkit dan
barriers itu sendiri.
Untuk melindungi masyarakat dan lingkungan
apabila barriers tidak berfungsi dengan baik.
Strategi inti dari defence in depth yang pertama adalah
untuk mencegah kecelakaan terjadi dan yang kedua jika
pencegahan gagal maka sistem defence in depth harus dapat
meminimalkan dampak yang terjadi sehingga dapat mencegah
kejadian yang lebih parah lagi. Defence in depth bertujuan
untuk memastikan kegagalan tunggal yang terjadi karena
faktor manusia atau komponen peralatan pada satu tingkat
tidak membahayakan pertahanan di tingkat berikutnya.
Sehingga sangat penting akan adanya sistem independen dari
setiap tingkat pertahanan. Ada 5 level defence in depth
menurut INSAG-10 IAEA yang mendasari sistem pertahanan
berlapis suatu reaktor.
1. Pencegahan kegagalan operasi
Mencakup pembuatan desain konsercatif yang
bertujuan membatasi bahan radioaktif dan

meminimalkan penyimpangan dan kesalahan yang

terjadi saat kondisi operasi normal. Namun
diperlukan definisi yang jelas antara operasi normal
dan abnormal yang dimaksud. Untuk meminimalkan
kebutuhan dalam mengambil langkah pada level
berikutnya, maka pada level 1 diberikan rentang
toleransi yang tinggi terhadap kesalahan maupun
kegagalan pada sistem reaktor. Selain rentang
toleransi yang tinggi pencegahan membutuhkan
waktu respon yang cukup. Pemilihan bahan material
yang tepat dan teruji dapat dikategorikan pula pada
level pencegahan. Yang terakhir adalah perlu adanya
standard operasional yang jelas dan memadai serta
perilaku budaya keselamatan operator yang tinggi.

2.

3.

4.

5.

Pendeteksi kegagalan
Sistem pendeteksi kegagalan dini digunakan untuk
emngurangi konsekuensi dari kegagalan operasi yang
menyimpang dari yang direncanakan. Sehingga
sistem pembangkit dapat dikembalikan ke kondisi
normal seperti semula. Untuk itu dibutuhkan alat
deteksi dan sitem control otomatis serta redundansi
alat yang dapat melakukan tindakan perbaikan
sebelum melebihi batas maksimal proteksi reaktor.
Desain kontrol kecelakaan
Pada level ini fokus pada pembuatan sistem
keselamatan dan sistem
perlindungan untuk
mencegah terjadinya kerusakan yang lebih parah
sehingga membatasi ruang gerak pelepasan bahan
radioaktif. Maka untuk menyusun sistem ini,
diperlukan perkiraan dan kemungkinan yang dapat
terjadi setelah kecelakaan reaktor. Sehingga desain
harus mampu mempertahankan efektifitas dari
barriers yang dibuat. Prinsip desainnya adalah:
redundansi,
pencegahan kegagalan karena faktor internal
atau eksternal (tata ruang dan perlindungan
struktural),
pencegahan kegagalan karena desain,
pembangunan konstruksi, kommisioning,
kesalahan manusia, dan
otomatisasi untuk mengurangi faktor human
error.
Pengendalian dan mitigasi kecelakaan
Pada level 4 ini, sistem berfungsi sebagai pelindung
dan pengungkung sehingga reaktor membutuhkan
barriers yang memadahi. Oleh karena itu, pada
sebuah instalasi reaktor nuklir memerlukan langkahlangkah khusus manajemen kecelakaan yang
memiliki peralatan tambahan yang mendukung.
Contohnya adalah instalasi sistem ventilasi yang
memiliki penyaring sehingga mencegah adanya
pembakaran hidrogen. Selain itu peran operator
sangat penting dalam mengoperasikan sistem
peralatan tadi dan mengambil tindakan sesuai dengan
standar operasional yang telah ditetapkan.
Mitigasi konsekuensi radiologis
Bagaimana pun juga sistem desain pertahanan yang
sudah dirancang sebaik mungkin tetap memiliki
kemungkinan terjadinya kecelakaan, oleh karena itu
perlu adanya rencana off-site emergency. Off-site
emergency
disiapkan
oleh
pihak
yang
berkepentingan seperti pihak pengelola dan badan
pengawas atas persetujuan internasional. Setiap level
pada sistem pertahanan dikatakan efektif bila desain,
bahan, struktur, komponen, sistem operasi dan

pemeliharaan sesuai dengan program jaminan

kualitas. Hal ini untuk memastikan bahwa
pembangkit listrik yang beroperasi dipertahanankan
sesuai dengan yang telah dirancang. Mitigasi ini
sendiri berfungsi untuk merancang evakuasi apabila
terjadi pelepasan bahan radioaktif dan membuat
respon darurat bila hal itu terjadi.
II. PEMBAHASAN
Sistem pendingin merupakan salah satu bagian yang sangat
penting dalam reaktor nuklir. Beberapa kecelakaan nuklir
yang terjadi disebabkan oleh kegagalan sistem pendingin
untuk mendinginkan teras sehingga terjadi pelelehan teras
reaktor yang menyebabkan pelepasan radioaktif ke lingkungan.
Misalkan saja pada kasus kecelakaan Fukushima tahun 2011
lalu. Kecelakaan tersebut terjadi karena adanya gempa besar
yang disusul tsunami sehingga memadamkan seluruh sistem
tenaga listrik baik yang utama maupun cadangan. Ini
menyebabkan reaktor yang beroperasi tidak terkendali karena
sistem pendingin reaktor yang memerlukan pasokan listrik
mengalami kegagalan yang kemudian menyebabkan
kebocoran pada reaktor di Fukushima Daiichi.

Gambar 1. Skema Kegagalan ECCS

pada Reaktor Fukushima[3]
Dari kasus tersebut, maka diperlukan desain defence in
depth yaitu proteksi pada sistem pendingin reaktor. Dalam
kategori menurut IAEA INSAG-10, proteksi sistem pendingin
dapat dikategorikan pada level 3 sebagai bagian dari desain
kontrol kecelakaan.
Emergency Core Cooling System (ECCS)
Pada paper ini akan dibahas mengenai Emergency Core
Cooling System atau biasa disebut dengan ECCS yang
termasuk dalam desain kontrol dan proteksi pada suatu reaktor
BWR seperti pada jenis reaktor yang ada di Fukushima.
Tujuan dari ECCS adalah untuk mematikan reaktor nuklir
secara aman selama kondisi kecelakaan. Hal ini
memungkinkan pembangkit listrik tenaga nuklir padam/mati
setelah mengalami kegagalan satu atau lebih subsistem karena

kecelakaan. ECCS bertanggung jawab untuk menghilangkan

panas yang dihasilkan selama fisi dan peluruhan dari anak
produk fisi ketika sistem pendingin reaktor normal tidak
tersedia karena reaktor shut down.

metode pendinginan yang akan digunakan saat tangki

penyimpanan air pengisian bahan bakar kosong setelah
sistem utama berhenti.

Gambar 2. BWR Emergency Core Cooling System[1]

ECCS memiliki beberapa komponen seperti yang dapat
dilihat pada Gambar 2. Komponen tersebut memiliki tugas
dan fungsinya sendiri-sendiri dalam menjalankan tugasnya
sebagai back-up dari pendingin utama ketika terjadi
kecelakaan reaktor. Berikut fungsi dari beberapa komponen
ECCS.
A. High Pressure Core Flooder
Berfungsi untuk suplai air ke bejana reaktor saat menerima
sinyal darurat. Sistem akan secara otomatis menyetel
kembali untuk mengambil air dari tangki penyimpanan air
pengisian bahan bakar memompa ke dalam sistem
pendingin reaktor. Sistem high pressure core flooder
dirancang untuk menyediakan air ke inti reaktor selama
keadaan darurat di mana tekanan sistem pendingin reaktor
masih relatif tinggi.
B. Low Pressure Core Flooder
Dirancang untuk menyuntikkan air dari tangki
penyimpanan air pengisian bahan bakar ke dalam sistem
pendingin reaktor berhenti lama, yang akan menyebabkan
tekanan sistem pendingin reaktor yang sangat rendah.
Umumnya sistem ini tidak berdiri sendiri. Air yang telah
masuk ke dalam reaktor sebagai pendingin dikeluarkan
lagi melalui pompa penukar panas dan di sana air akan
mengalami pendinginan kembali untuk kemudian dikirim
kembali ke dalam reaktor sebagai pendingin. Ini adalah

C. Automatic Depressurization System

ADS terdiri dari katup-katup yang terbuka untuk
mengembalikan uap ke kolam air. Aktuasi katup ini
menekan bejana reaktor dan membuat injeksi pendingin
tekanan rendah berfungsi, yang memiliki kapasitas yang
sangat besar dibandingkan dengan sistem tekanan tinggi.
D. Reactor Core Isolation Cooling
RCIC disediakan untuk menyuntikkan air dari sistem
pembuangan panas sisa atau penyimpanan kondensat air
tangki ke dalam inti reaktor dengan pompa turbin uap.
Selama uap tersedia, RCIC mampu dimanfaatkan dalam
pompa injeksi tekanan tinggi.
Ada 2 tipe ECCS yaitu ECCS tenaga listrik dan pasif.
Sistem darurat pada reaktor dibuat terpisah untuk mencegah
kegagalan yang dapat menghancurkan semua ECCS. Sistem
ECCS pasif diperlukan apabila terjadi kegagalan pada sistem
ECCS listrik, sehingga ECCS pasif tidak bergantung pada
suplai listrik. ECCS pasif dirancang untuk menggunakan
sirkulasi alami pusat kendali termal yang merupakan
perbedaan tekanan yang disebabkan oleh perbedaan suhu.
Dengan demikian ada dua kolom air yang memiliki densitas
berbeda. Air yang lebih hangat akan mengalir ke atas dan
yang dingin akan mengalir ke bawah. Perbedaan tekanan ini

memungkinkan aliran dalam sistem pendingin reaktor berjalan

tanpa bantuan pompa resirkulasi.
III. PENUTUP (KESIMPULAN)
Sistem keselamatan reaktor diterapkan untuk melindungi
baik pekerja maupun masyarakat luas dari bahaya bahan
radioaktif. Untuk mendukung sistem keselamatan tersebut
dibutuhkan suatu metode yang salah satunya adalah defence in
depth. Defence in depth sendiri merupakan sistem keamanan
berlapis yang berfungsi untuk mencegah dampak kecelakaan
berakibat pada lapis berikutnya. Defence in depth memiliki 5
level yaitu, pencegahan kegagalan operasi, pendeteksi
kegagala, desain kontrol kecelakaan, pengendalian dan
mitigasi kecelakaan, serta yang terakhir adalah mitigasi
konsekuensi radiologis.
Emergency Core Cooling System merupakan salah satu
dari penerapan metode defence in depth yang dapat
dikategorikan pada level 3 yaitu desain control kecelakaan.
ECC akan bekerja untuk mendinginkan reaktor saat shutdown

karena mengalami kegagalan sistem atau kecelakaan. Dalam

kondisi tersebut sistem pendingin utama mati. Inti dari prinsip
kerja ECCS adalah menyuplai reaktor dengan air yang
digunakan untuk mendinginkan reaktor. Sistem darurat pada
reaktor dibuat terpisah untuk mencegah kegagalan yang dapat
menghancurkan semua ECCS. Ini merupakan desain kontrol
kecelakaan untuk mencegah reaktor memasuki level
berikutnya yaitu mitigasi kecelakaan.
REFERENSI
[1]

[2]
[3]

[4]

C. Michael R. P. 2012. Design of Nuclear Reactor Protection Systems:

Lesson from Fukushima. Rensselaer PolytechnicInstitute, Hartford,
Connecticut
IAEA. 1996. INSAG-10 Defence in Depth in Nuclear Safety
Shinozuka, M. 2012. Probability and Fukushima Daiichi Nuclear
Power Plant Catastrophe. Department of Civil and Environmental
Engineering, University of California, Irvine
Wikipedia website. [Online]. Available: https://en.wikipedia.org/
wiki/Nuclear_reactor_safety_system