18.6.2 Možný vývoj v metodách hodnocení bezpečnosti (chyby a limity v hodnocení pravděpodobnosti) a v bezpečnostních kritériích
Možná pravděpodobnost vzácné události byla nesprávně podhodnocena z důvodu nedostatku informací. Navíc, i když je pravděpodobnost vzácné události správně vyhodnocena a doba návratu události je dlouhá (např. 1000 let pro pravděpodobnost jednou za 1000 let), obvykle se většina lidí domnívá, že v každém případě uplyne dlouhá doba, než k události dojde. Existuje jakýsi psychologický jev, který by se dal nazvat „inverzní iluze přeludu“ (co může být velmi blízko, je vnímáno jako velmi daleko), díky němuž jsou události s velmi dlouhou dobou návratu vnímány jako nacházející se ve vzdálené budoucnosti. Ve skutečnosti definice pravděpodobnosti (poměr mezi určitým typem události a celkovým počtem možných událostí jakéhokoli typu) neobsahuje žádný odkaz na vzdálenost v budoucím čase události, jejíž pravděpodobnost se počítá, a vyhodnocená pravděpodobnost je opět vždy průměrnou pravděpodobností za mnoho dob návratu (Moroney, 1951). Pouze v časovém intervalu, který je vzhledem k vyhodnocované době návratu velmi dlouhý, bude mít interval mezi dvěma po sobě následujícími událostmi tendenci být „v průměru“ blízký vyhodnocované době návratu. To znamená, že událost s dobou návratu 1000 let může nastat i příští rok. Něco takového se muselo stát v případě fukušimské tsunami.
Podobně je známo, že ve hře „hlava nebo orel“ může místo pravidelného střídavého výskytu „hlav“ a „ocasů“ nastat například série „ocasů“.
Vyhodnocená doba návratu vzácných událostí je ve velmi dlouhých časech „průměrnou“ hodnotou. Naopak okamžik, kdy událost nastane, je produktem náhody nebo smůly/štěstí. Náhodné události, produkt náhody, jsou mnoha odborníky definovány jako ty události, jejichž základy neznáme. Podle tohoto směru myšlení samozřejmě existují příčiny toho, že vzácná událost nastane dříve nebo později, ale tyto příčiny často neznáme.
Podíváme-li se na akci výběru mince v mincovní krabičce, můžeme se domnívat, že pro slepý výběr mince bude výsledek „hlava nebo ocas“ náhodný. Jsou-li však známy počáteční podmínky operace (např. poloha mincí a poloha ruky) spolu s rychlostí a směrem pohybu ruky a pravidly, která se při výběru mince z krabičky dodržují (např. první mince, které se ruka dotkne, se vezme, aniž by se otočila), lze výsledek výběru přesně vyhodnotit. Faktem je, že při právě popsané operaci ve většině případů všechny tyto údaje neznáme a výsledek musíme kvůli naší neznalosti považovat za „náhodný“. „Náhoda“ je velkým tajemným faktorem budoucích událostí spolu s jejich pravděpodobností.
Anglický filozof John Locke řekl, že lidé se nerozhodují na výsluní plného poznání, ale v krepuskulu pravděpodobnosti. Přítomnost Náhody je příčinou této víry.
Při snaze pochopit, zda může v blízké době dojít k vzácné události, je však třeba hledat a sledovat přítomnost všech dostupných indicií blížící se destruktivní události. V tomto výzkumu je velmi důležitý časový interval, na který se vztahuje slovo „bezprostřední“. Jako příklad lze uvést, že může být možné provést prognózu na budoucí období mnoha let (období, které je zajímavé pro projektování jaderné elektrárny) a naopak nemusí být možné provést prognózu na budoucí období několika dnů (jak je zajímavé pro preventivní evakuaci obyvatelstva). V tomto ohledu je třeba položit odborníkům na zájmové jevy správnou otázku, a to se správnou specifikací zájmového období v budoucnosti. Problém je také v tom, že pokud jsou výše uvedené indicie k dispozici, často jim nevěříme, resp. nevěříme v jejich závažnost (jako příklad viz případ Vajont).
Další možné úskalí v praktickém využití pravděpodobnostních hodnocení je popsáno v nedávné publikaci Nassima Nicholase Taleba „Černá labuť“ (Taleb, 2007). Černá labuť je stručně řečeno ojedinělá událost s velkým dopadem, která není zahrnuta do sféry běžných očekávání, protože nic v minulosti nemusí s velkou mírou pravděpodobnosti naznačovat možnost, že se stane. Název „černá labuť“ byl zvolen proto, že před objevením Austrálie byli obyvatelé Starého světa přesvědčeni, že všechny labutě jsou bílé. Prof. Taleb dále naznačuje, že ve světě možností existují dvě provincie: Mediocristan a Extremistan. Mediocristan je provincie, v níž převládají průměrné události a kde žádná jednotlivá událost nemusí mít významný vliv na celek. Zvonovitá, Gaussova křivka rozdělení pravděpodobnosti má svůj základ v Mediocristánu. Extremistán je naopak říší černých labutí. Obr. 18.1 se snaží na obrázku ukázat příklad obou typů událostí (intenzita událostí se liší o faktor 100, LOG(100)=2).
Obrázek 18.1. Mediokristán a extremistán.
Maximální hustoty pravděpodobnosti obou provincií jsou libovolné. Proměnnou může být intenzita škodlivé přírodní události nebo události finanční krize (Prof. Taleb popisuje různé případy tohoto druhu, protože jeho hlavní specializací jsou finance). Přibližné integrální pravděpodobnosti (1 a 5e-11) obou tříd událostí jsou znázorněny na obrázku.
Jedním z nejčastějších zneužití rozdělení pravděpodobnosti je ignorování přítomnosti extrémních událostí vedle událostí rozložených víceméně pravidelně, například podél Gaussovy nebo podobné křivky hustoty pravděpodobnosti.
Příkladem původně (alespoň částečně) opomíjených událostí v oblasti jaderné bezpečnosti jsou události uvedené na začátku kapitoly 18.6.1.
Pokusíme-li se představit si možné budoucí katastrofické události s velmi nízkou pravděpodobností, ale přesto možné, můžeme si jako příklad představit následující případy:
–
Další ničivá tsunami. Tento jev je obzvláště nebezpečný, protože může začít nejen zemětřesením o velké síle, ale také podmořským nebo pobřežním sesuvem půdy nebo podmořskou sopečnou erupcí či podmořským výbuchem jiného původu a protože se šíří s ničivou intenzitou stovky kilometrů i více.
–
Samovolný nebo náhodný pád letadla na elektrárnu
–
Sabotáž ochranných systémů reaktoru
–
Výbuch tlakové nádoby reaktoru nebo jiné velké nádoby elektrárny
–
Výkyv aktivity v důsledku nezapojené zátky v PWR při LOCA (možnost dobře známá, u některých reaktorů PWR odborníkům na termohydrauliku)
–
Destruktivní tornádo na bezpečnostně významných zařízeních, jako je Nový bezpečnostní kryt (kryt) sarkofágu Černobyl 4; stavba, jak byla před lety veřejně popsána (Jaderné noviny, 2011 a pozdější sdělení), je skutečně zázrakem techniky pro své rozměry a „lehkou“ konstrukci (29 000 t na půdorysné ploše 42 000 m2), ale je navržena, pokud je známo, na poměrně malé tornádo, zatímco v zájmové geografické oblasti již došlo k tornádům vyšší intenzity (Petrangeli, 2011). Je však možné, že v nedávné době bylo zesíleno ukotvení konstrukce k zemi a byl instalován vylepšený systém odvětrávání vnitřních prostor krytu.
Černými labutěmi jsou v této části myšleny všechny „prakticky nemožné“, avšak „fyzikálně možné“ události, a to i na základě minulých zkušeností. Tyto události spadají, stejně jako například událost ve Fukušimě, mimo oblast ochrany současných pěti úrovní hloubkové ochrany. Pokud se usiluje o další odstranění možnosti opakování takových událostí, musí být přijata velmi výjimečná ustanovení. Řekneme-li, ţe událost je „prakticky nemoţná“, nemůţeme ji při tomto pokusu přehlíţet.
Prvním poţadavkem, který se jeví jako nezbytný, je, aby poté, co se jedna z těchto událostí stala nebo byla zjištěna v minulé historii, byla přijata opatření na všech ostatních ohroţených elektrárnách, aby jí odolaly. Má být vytvořena „šestá úroveň“ obrany do hloubky, která by se o tyto události postarala?
Nápady na vymezení této „šesté úrovně“ jsou následující:
–
Snažit se odhalit průvodní jevy, které ohlašují blížící se katastrofu, a udržovat je pod dohledem (tato metoda však obvykle není dostatečně přesná, pokud jde o určení doby, během níž k jevu dojde);
–
Vytvořit varovný systém, který dokáže odhalit již započatý přírodní i nepřírodní jev (např, tsunami, zemětřesení, podezřelé lety letadel) a poskytnout určitý čas (typicky několik minut až 30 minut) na uvedení elektrárny do bezpečných podmínek (pokud je to vzhledem k jejím konstrukčním vlastnostem možné);
–
Navrhnout elektrárnu proti „maximální možné události“, jejíž velikost lze obecně lépe definovat než vzdálenost události v budoucím čase vzhledem k současnosti (např. maximální možné zemětřesení lze identifikovat podle minulé historie a podle tektonických vlastností regionu). 10CFR část 100, nyní revidovaná v roce 2017 (seismická a geologická kritéria pro umisťování jaderných elektráren) byla prvním souborem kritérií, který toto stanovisko přijal. Za absolutní maximum zemětřesení ve světě je obecně považováno zemětřesení o síle 8,5 až 9 stupňů Richterovy škály; v případě zóny L’Aquila v Itálii by maximální možné zemětřesení mohlo být řádově M=7. Náklady mohou být samozřejmě vysoké. Lokality pro jaderné elektrárny se však obvykle vybírají v místech s nízkou seismicitou (např, Příloha 16).
Volba použít pro návrh elektrárny maximální možnou událost namísto události s odhadovanou pravděpodobností nižší než určité číslo by se mohla rozšířit i na další potenciálně škodlivé události, jako jsou povodně.
Při formulování nových požadavků je však třeba mít na paměti, že na základě minulých zkušeností je někdy v chování některých investorů patrná převažující nechuť k investičním ztrátám a k výdajům na nápravu, a to i za přítomnosti jasných náznaků blížící se přírodní nebo strojní katastrofy. To se projevilo například v případě Vajontu (předchozí naměřený pomalý pohyb sesuvu hory Toc, který nakonec přerostl v rychlou katastrofu) a v případě Fukušimy (předchozí tsunami v Indickém oceánu).
Jednou z diskutovaných možností je vytvořit pro každou jadernou elektrárnu nebo pro jejich skupinu zvláštní fond pro pravidelné úpravy zařízení nebo postupů v důsledku černých labutí v jedné elektrárně. Dále, vždy jako příklad k diskusi, by tento fond mohl být vytvořen úsporou jednoho nebo dvou dnů energetického provozu v hodnotě za každý rok provozu. Výše použitá čísla berou v úvahu zjištění, že na základě zkušeností lze předpokládat, že k černé labuti (seznam v části 18.6.1) dojde zhruba jednou za 10 let (Gianni Petrangeli, 2013) a že zlepšovací úpravy na elektrárně si mohou vyžádat výdaje v řádu desítek milionů eur nebo ekvivalentní částky. Tento návrh znamená jakési „pojištění sebe sama“. Nepodmíněné nové požadavky a změna myšlení jsou v každém případě nezbytné.
Několik příkladů velmi výjimečných ustanovení, která jsou případně nutná, je uvedeno níže. Lze vypracovat další a lepší ustanovení.
Jsem si vědom toho, že tyto příklady může někdo považovat za přehnané a také kontraproduktivní. Lepší řešení jistě existují, ale moje zkušenost naznačuje, že novým dobrým nápadům, zejména pokud jsou nákladné, trvá nějakou dobu (10-20 let), než se po počátečním zanedbání znovu objeví (doufám, že to nebude případ této chvíle). Obvykle jsou začleněny do nových návrhů zařízení. Ostatně jedno ze současných rčení v průmyslu říká, že „každý nový dobrý požadavek je přijatelný, pokud nemění současný zavedený návrh“ (zásah slyšený na mezinárodním kongresu). Tento postoj je pochopitelný, pokud si výjimečné zvýšení úrovně bezpečnosti nevyžádají dostupné podklady, jako je tomu, myslím, v současné době.
Prvním příkladem je vytvoření, a to i ve stávající elektrárně nebo v elektrárně ve výstavbě, nové ochrany proti pádu letadla, jiným nárazům, zaplavení nebo ztrátě jiné nouzové elektrické energie. Tento diskusní návrh je zhruba načrtnut na obr. 18.2 a podrobněji je zpracován v (Petrangeli, 2013).
Obrázek 18.2. Velmi výjimečná ochrana proti tsunami, nárazu letadla nebo jinému nárazu a ztrátě nouzového napájení.
Tuto dodatečnou ochranu tvoří železobetonový nebo předpjatý válec obklopující bezpečnostní podstatné části elektrárny. Jako ochrana proti ničivé vlně tsunami může být válec vysoký 20-50 m (viz příručka MAAE SSG-18, která doporučuje referenční výšku vlny nad normální hladinou moře 50 m, pokud neexistují převládající bezpečné důkazy). Na obr. 18.2 je znázorněn válec vysoký 120 m (tolik, kolik má vysoký komín jaderné elektrárny nebo elektrárny na fosilní paliva), který slouží i jako ochrana proti nárazu letadla (pokud by budovy elektrárny byly více zapuštěny do země, výška válce by mohla být menší než 120 m). Předpokládá se, že dopadající letadlo se dotkne elektrárny maximálním úhlem s horizontem 30 stupňů (což je více než výjimečný úhel přibližně 24 stupňů, kterého dosáhlo letadlo narážející do budovy Pentagonu v roce 2001) (Ritter, 2002) a mnohem více než obvyklý úhel přistání 3 stupně.
Vrchní část válce je pokryta mřížkou z ocelových lan a jemnější sítí, aby poskytovala ochranu proti různým myslitelným projektilům (dronům apod.).
V horní části válce je umístěna segmentová prstencová nádrž odolná proti nárazu: v případě nehody může dodávat chladicí vodu do jádra po dobu delší než 4 dny, přičemž jako hnací sílu využívá hydrostatický tlak způsobený výškou (pasivní systém).
Objem 120 m vysokého válce činí přibližně 120 000 m2 a stojí více než 15 milionů eur.
Ve stěně válce musí být umístěny mobilní vodotěsné přepážky pro pohyb komponent do válce a z něj. Odhaduje se, že vnější povrch válce, pokud by byl pokryt solárními články, by mohl za denního světla poskytovat několik Mw elektrické energie. Budou zapotřebí další pomocné systémy (akumulátory energie atd.).
Půdorysný tvar válce nemusí být kruhový, aby bylo možné konstrukci přizpůsobit jiným než bezpečnostně nezbytným budovám závodu.
Pokud by bylo přijato takové řešení, jaké je znázorněno na obrázku, mohly by být v současnosti přijímané protiletadlové ochranné prvky elektrárny (znázorněné na obr. 18.2) zjednodušeny pro elektrárny ve fázi návrhu s konomickou výhodou. Pokud by se tedy použil ocelový kontejnment, mohlo by být jednodušší i chlazení kontejnmentu.
Toto řešení, navržené jako příklad, se opět může zdát přehnané, jako se mnohým inženýrům zdravého rozumu zdály první netěsné tlakově odolné kontejnmenty z let šedesátých. Jejich názor se však radikálně změnil po Three Mile Island.
Další příklady řešení jsou uvedeny v (Petrangeli, 2013): elektrárny postavené nad náspem (proti tsunami) a pasivní systémy havarijního chlazení (proti ztrátě obvyklých aktivních systémů havarijního chlazení).
Dnes dostupné kódy počítačové dynamiky tekutin mohou pomoci při simulaci s dobrou přesností náběhu vlny tsunami na danou terénní situaci elektrárny (např, vliv náspu jako vyvýšené polohy elektrárny nad okolním terénem).
Co se týče celkové účinnosti pravděpodobnostních hodnocení v analýze jaderné bezpečnosti, je třeba připomenout známou skutečnost, že tato hodnocení mají zásadní význam při odhalování, ve složitých systémech, zásadně důležitých částí nebo jevů. Jako příklad lze uvést dobře známou skutečnost, ţe z pravděpodobnostního hodnocení elektrárny obvykle vyplývá, ţe klimatizační systémy místností se zařízením jsou klíčové pro fungování několika bezpečnostních systémů, a proto musí být jejich správná funkce zajištěna s vysokou pravděpodobností obvyklými prostředky úrovně kvality, redundance a diverzifikace (viz také oddíl 11.3).
Ve světle výše uvedené diskuse lze navíc nízkou pravděpodobnost neakceptovatelných událostí povaţovat za nutnou, nikoliv však postačující podmínku ochrany před takovými událostmi.
.