Sicherheitsanalysen in Kernanlagen – Entwicklung und Verankerung im Alltagsbetrieb

Der von der ETH Zürich emeritierte Professor George Yadigaroglu zeichnete die Entwicklung der Sicherheitstechnik vom ersten Reaktor «Chicago-Pile-1» aus dem Jahr 1942 bis heute nach. Die Lernfortschritte waren enorm und mündeten in die Entwicklung der Reaktoren der dritten Generation, initiiert von den Betreibern und nicht von den Behörden. Als grösste Herausforderung nach dem Reaktorunfall in Fukushima-Daiichi bezeichnete er die weltweite Harmonisierung der Sicherheitsstandards, da die Empfehlungen der Internationalen Atomenergie-Organisation (IAEO) für die Mitgliedstaaten nicht verbindlich sind.

Lob für die schweizerische Sicherheitskultur

Artur Lyubarskiy von der IAEO legte dar, dass gemäss des (unverbindlichen) IAEO-Regelwerks die Naturgefahren während der Betriebszeit eines Kernkraftwerks regelmässig evaluiert werden müssen. Wären diese Regeln im Fall von Fukushima-Daiichi angewendet worden, wäre der Unfall nicht passiert. Lyubarskiy lobte die schweizerische Sicherheitskultur, die ein Benchmark für die Anwendung der IAEO-Empfehlungen sein könnte.

Torsten Krietsch vom Eidgenössischen Nuklearsicherheitsinspektorat (Ensi) legte die gesetzlichen Grundlagen für die deterministischen Sicherheitsanalysen (DSA) in der Schweiz dar. Sie sind fester Teil der Periodischen Sicherheitsüberprüfungen (PSÜ), die alle zehn Jahre stattfinden. Zentral ist die Forderung des Kernenergiegesetzes, wonach die Bewilligungsinhaber von Kernanlagen alle angemessenen Sicherheitsmassnahmen zu ergreifen haben, die nach der Erfahrung und dem Stand von Wissenschaft und Technik notwendig sind. Ebenfalls auf dem aktuellen Stand des Wissens muss die Aufsichtstätigkeit des Ensi ausgeübt werden.

Gerhard Schoen ebenfalls vom Ensi erläuterte die Grundlagen der probabilistischen Sicherheitsanalysen (PSA). Sie wurden erstmals Ende der 1970er-Jahre beim Bau des Kernkraftwerks Gösgen angewendet und schrittweise ausgeweitet. Heute ist die regelmässige Aktualisierung dieser Analysen bei allen schweizerischen Kernkraftwerken als Prozess eingeführt («Living PSA») und hat gemäss Schoen zu zahlreichen Anlagenverbesserungen geführt.

Permanenter Erkenntnisgewinn in der Praxis

Am Nachmittag wurde die Anwendung deterministischer Sicherheitsanalysen dargestellt und diskutiert. Peter Baumann von Kernkraftwerk Leibstadt charakterisierte die Anwendung in der Praxis mit dem Hinweis, dass «wir eigentlich jeden Tag im Werk Sicherheitsbewertungen vornehmen». Dies schliesse neben der Technik auch die menschlichen Faktoren ein.

Martin Zimmermann vom Paul Scherrer Institut (PSI) gab einen Einblick in die aktuelle Forschung am Beispiel der Weiterentwicklung und Verfeinerung der Computersimulationen von schweren Störfällen. Er zog das Fazit, dass sich der Aufwand lohnt, da bestehendes Wissen eine solidere Grundlage erhält und neue Erkenntnisse gewonnen werden können.

Jonathan Birchley, ebenfalls vom PSI, informierte über den Stand der Modellrechnungen für auslegungsüberschreitende Störfälle, vom Versagen des Reaktordruckbehälters bis zur Belastung des Containments durch eine Kernschmelze. Er stellte fest, dass die heute vorhandenen Computercodes noch verbessert werden können. Er legte auch dar, dass die Anwendung der einschlägigen Codes auf den Block 4 von Fukushima-Daiichi klar zeige, dass das Brennstoff-Lagerbecken nicht die Ursache der Wasserstoffgas-Explosion in diesem Block sein könne.

Reinhard Müller vom Kernkraftwerk Beznau führte in die Methodik der radiologischen Analysen von Auslegungsstörfallen gemäss den Anforderungen des Ensi ein. Ermittelt werden einerseits die sogenannten Quellterme, d.h. die Freisetzung von radioaktiven Stoffen nach bestimmten Störfällen und die Pfade, die dazu führen können. Zum anderen gehören zu dieser Analyse auch Ausbreitungsrechnungen, die zeigen, wie sich freigesetzte radioaktive Stoffe in der Atmosphäre verbreiten und wie sie in die Nahrungskette gelangen können. In jedem Fall muss der Betreiber nachweisen, dass auch unter ungünstigsten Annahmen die geltenden Dosislimiten nicht überschritten werden.

«Lehren aus Fukushima» schon vor Jahrzehnten gezogen

Zum Schluss des ersten Kurstages fasste Prof. Horst-Michael Prasser von der ETH Zürich den aktuellen Stand des Wissens über den Ereignisablauf in Fukushima-Daiichi zusammen. Er stellte dabei fest, dass in der Schweiz mit dem Bau der Notstandssysteme und weiteren Nachrüstungen die wichtigsten Lehren aus dem Unfall in Japan bereits vor Jahrzehnten gezogen worden sind. Das gleiche gilt für die fortgeschrittenen Reaktorsysteme der heutigen dritten Generation, die einerseits die Kernschadenshäufigkeit weiter reduzieren und andererseits in der Lage sind, Kernschmelzen sicher einzuschliessen, falls alle anderen Systeme versagen sollten. Diese Reaktorsysteme enthalten von Anbeginn alles, was in Fukushima zur Beherrschung des Unfalls fehlte.

Der Beginn des zweiten Kurstages war der Anwendung der PSA gewidmet. Johannis Nöggerath vom Kernkraftwerk Leibstadt vertiefte zu Beginn die Grundlagen der PSA anhand von Beispielen wie Hochwasser, Rohrbruch und Erdbeben. Er zeigte anschliessend, dass die Sicherheit laufend nachgerüsteter Reaktoren der zweiten Generation, wie wir sie in der Schweiz haben, mittels PSA sehr gut mit den Reaktorsystemen der dritten Generation zu vergleichen ist. «Konsequent nachgerüstete Reaktoren sind zukunftsfähig», schloss Nöggerath sein eindringliches Plädoyer sowohl für die Nachrüstung bestehender als auch für den Bau neuer Kernkraftwerke.

Martin Richner vom Kernkraftwerk Beznau kann auf 20 Jahre Erfahrung mit der PSA zurückblicken. Eindrücklich schilderte er die umfangreichen Nachrüstungen in den Blöcken 1 und 2 im Laufe der letzten 25 Jahre mit einem Investitionsvolumen von rund CHF 1,5 Mrd. So wurden hier beispielsweise Ertüchtigungen aufgrund der Erdbeben-PSA bereits Mitte der 1980er-Jahre vorgenommen. Bis zum Jahr 2014 wird mit dem Projekt Autanove zusätzlich die Notstromversorgung umgebaut. Laut Richner hilft die PSA, Wesentliches von Unwesentlichem zu unterscheiden und damit die Ressourcen gezielt einzusetzen.

Christoph Plüss der Resun AG erläuterte anschliessend die Rolle der PSA im Lizenzierungsprozess für neue Kernkraftwerke. Die PSA erlaubt Sicherheitsabklärungen in einer sehr frühen Projektphase, wenn Änderungen im Anlagendesign noch möglich sind. Aufgrund von Fukushima werden Anlagenlieferanten die neuen Designs mit Hilfe der PSA und DSA neu überprüfen. Bei künftigen Lizenzierungsverfahren rechnet Plüss mit der verstärkten Berücksichtigung externer Extremereignisse wie Erdbeben und Hochwasser. Auch die Brennelemente-Becken und deren Kühlsysteme werden als Folge von Fukushima in der Sicherheitsanalyse stärker berücksichtigt.

Den Faktor Mensch mathematisch erfassen

Vinh Dang vom PSI rief in Erinnerung, dass schlussendlich menschliche Handlungen einen massgebenden Einfluss darauf haben, ob hochkomplexe technische Systeme sicher und zuverlässig funktionieren. Die Human Reliability Analysis (HRA) ist ein wichtiger Aspekt der PSA. Sie untersucht die Zuverlässigkeit menschlicher Handlungen und Entscheidungen bei der Interaktion mit der Maschine. Dang schilderte einzelne Methoden zum qualitativen und quantitativen Einbezug des Faktors Mensch in die PSA und ging dabei auf deren Grenzen und künftigen Perspektiven ein.

In der anschliessenden von Cindy Mäder (Axpo) geleiteten Podiumsdiskussion hoben die Referenten noch einmal die Rolle hervor, die die PSA bei der vom Gesetz geforderten laufenden Erhöhung der Sicherheit unserer Kernanlagen spielt. In Zukunft werden auch Alterungsphänomene vermehrt in die Analysen einzubeziehen sein. Ein Referent machte es deutlich: «Wir werden unsere Kraftwerke noch lange fahren. Der Druck auf die Werke, am Netz zu bleiben, wird gross sein.»

Sicherheitsanalyse in der Praxis

Der Nachmittag des zweiten Kurstages stand im Zeichen der praktischen Anwendungen von Sicherheitsanalysen. Yahya Bayraktarli, der im Kernkraftwerk Mühleberg für PSA zuständig ist, erläuterte die Herleitung von Fragility-Kurven. Er führte aus, wie auf der Basis von Erfahrungswerten, Expertenmeinungen und analytischen Modellen sogenannte Bauwerksantwortsmodelle entstehen.

Warum man sich bei komplexen Unfallszenarien nicht einzig auf PSA verlassen sollte, legte anschliessend Jens-Uwe Klügel vom Kernkraftwerk Gösgen dar. Komplexe Szenarien wie Erdbeben oder Überflutung können mehrere Sicherheitsbarrieren gleichzeitig gefährden. Da dabei verschiedene Einzelereignisse mit jeweils verschiedenen Eintrittshäufigkeiten zusammenspielen, stossen PSA-Modelle an ihre Grenzen. Deshalb plädierte Klügel für die Verwendung bedingter Risikometriken in Kombination mit bewährten Risikomodellen der PSA.

Cornelia Bühler vom TÜV SÜD erläuterte, wie ihre Organisation mit den Herausforderungen beim Beurteilen digitaler Sicherheits-Leittechniksystemen umgeht. Bei der Zuverlässigkeitsbewertung digitaler Systeme werden deterministische und probabilistische Analysen kombiniert. Die Systeme werden auf Dissimiliarität überprüft. Im Rahmen dieser Untersuchung wird geprüft, ob die Gerätetechniken hinsichtlich Hardware, Software, Entwicklungswerkzeugen, Entwicklungsteams, Fertigung, Test und Instandhaltung hinreichend unähnlich bzw. ungleichartig sind. Durch diese Verschiedenartigkeit wird ein kompletter Ausfall des Systems unwahrscheinlicher.

Mit berechtigtem Stolz erzählte Herbert Rust, der ehemalige stellvertretende Kraftwerksleiter von Beznau, wie sein Werk eine Betriebszeit von über 40 Jahren gemeistert hat. Viele Auslegungskriterien hätten höchstens «Halbzeit» und mit der Durchführung schon beschlossener Massnahmen wie beispielsweise die Erneuerung der Reaktordruckbehälter-Deckel sei eine Betriebsdauer von 60 Jahren technisch wie wirtschaftlich möglich. Rust betonte, dass die Deckel 2014 ausgetauscht würden, obwohl die bestehenden keine Schäden aufweisen.

Olivier Nusbaumer vom Kernkraftwerk Leibstadt zeigte im letzten Referat des diesjährigen Kurses auf, wie man 3000 Räume, 10'000 sicherheitsrelevante Komponenten und mehrere Tausend Kilometer Kabel in Brandzonen einteilt und in ein Brandschutz-Konzept integriert. Dazu gehören die Bestimmung relevanter Brandszenarien – jeweils für Volllast-Betrieb, reduzierten Betrieb und Stillstand – Schadenausmassanalysen, Brandsimulationen, probabilistische Modelle sowie klassische Besichtigungen. Im Falle von Leibstadt brauchte es dazu mehr als 20'000 Mann-Stunden und fast eine Million Franken.